dns子域授權、view配置詳解
子域授權:其實就是將乙個比較大的域再分割成小區域,每個小區域可以交由一組或多組伺服器管理,這些伺服器只解析其管轄範圍內的網域名稱,超出其範圍的解析請求一般會**給父域或直接**給根域。子域是相對而言的,對於根來說頂級網域名稱就是它的子域,依次類推,我們這裡講提到的子域授權是針對二級網域名稱來說的,也就是**網域名稱授權。
正向區域的子域授權:使用膠水記錄(glue record),也就是在父域中新增一條ns記錄和一條a記錄即可。如果客戶端的請求超出子域的解析范文,那麼我們就需要定義**伺服器。
注意:被**的伺服器需要能夠為請求者做遞迴,否則,**請求不予進行;
(1) 全部**: 凡是對非本機所有負責解析的區域的請求,統統**給指定的伺服器;
options
fowwarders
}(2) 區域**:僅**對特定的區域的請求至某伺服器;
zone "zone_name" in
forwarders
}配置子域授權:
1、在父dns伺服器的區域解析庫中新增如下幾條記錄
[root@bogon named]# vim czcedu.com.zone
23 ops in ns ns1.ops
24 ops in ns ns2.ops
25 ns1.ops in a 192.168.1.107
26 ns2.ops in a 192.168.1.108
2、在子域dns伺服器的區域檔案中新增子域定義
[root@bogon ~]# vim /etc/named.rfc1912.zones
60 zone "ops.czcedu.com." in ;
3、編輯子域伺服器的區域解析庫檔案
[root@bogon named]# vim ops.czcedu.com.zone
1 $ttl 1d
2 $origin ops.czcedu.com.
3 @ in soa ns1.ops.czcedu.com. admin.ops.czcedu.com. (
4 2015042701
5 1h
6 10m
7 1w
8 1d )
9 in ns ns1
10 in ns ns2
11 ns1 in a 192.168.1.107
12 ns2 in a 192.168.1.108
13 www in a 172.16.200.1
14 mail in cname www
15 ops.czcedu.com a 192.168.1.107
16 * in a 192.168.1.107
[root@bogon named]# dig -t a www.ops.czcedu.com @192.168.1.107 #測試子域解析是否正確 這裡在父域和子域解析都是正確的
; <<>> dig 9.8.2rc1-redhat-9.8.2-0.30.rc1.el6 <<>> -t a www.ops.czcedu.com @192.168.1.107
;; global options: +cmd
;; got answer:
;; ->>header<<- opcode: query, status: noerror, id: 31108
;; flags: qr aa rd ra; query: 1, answer: 1, authority: 2, additional: 2
;; question section:
;www.ops.czcedu.com. in a
;; answer section:
www.ops.czcedu.com. 86400 in a 172.16.200.1
;; authority section:
ops.czcedu.com. 86400 in ns ns1.ops.czcedu.com.
ops.czcedu.com. 86400 in ns ns2.ops.czcedu.com.
;; additional section:
ns1.ops.czcedu.com. 86400 in a 192.168.1.107
ns2.ops.czcedu.com. 86400 in a 192.168.1.108
;; query time: 5 msec
;; server: 192.168.1.107#53(192.168.1.107)
;; when: fri apr 24 13:02:47 2015
;; msg size rcvd: 120
4、在子域伺服器中新增**伺服器將對父域的解析請求**給父域伺服器
[root@bogon named]# vim /etc/named.conf
44 zone "czcedu.com" in ;
48 };
5、測試解析父域成功
acl: (訪問控制列表)把乙個或多個位址歸併為乙個集合,並通過乙個統一的名稱呼叫;
acl acl_name ;
示例:acl mynet
bind有四個內建的acl:
none: 沒有乙個主機;
any: 任意主機;
local: 本機;
localnet: 本機的ip同掩碼運算後得到的網路位址
bind中的view實現:
view的主要作用是將來自不同網路的主機分發到不同網段的伺服器上,以提高訪問速度降低伺服器壓力。就以我們國家情況為例,電信和網通使用者之間的訪問頻寬是非常小的,但是它們內部的訪問頻寬卻非常大,所以我們可以將對同一網域名稱的訪問通過dns分發到不同的ip之上,那麼就可以實現電信使用者訪問電信的伺服器,聯通使用者訪問聯通的伺服器,這甚至也是cdn(內容分發網路)的一種解決方法,但是cdn還可以實現將對同一網域名稱的訪問只解析到乙個ip之上,但是擁有這個ip的伺服器不做任何內容的反饋,只是將來自不同區域的ip排程到不同區域的快取伺服器上,這樣可以實現高併發高速率的響應使用者請求,後續的部落格中也會提到。
配置view:
在dns伺服器中定義acl
定義區域檔案view
[root@bogon named]# vim /etc/named.rfc1912.zones
13 view internel ;
15 allow-recursion ; #僅允許內網做遞迴請求
1617 zone "." in ;
2122 zone "localhost.localdomain" in ;
26 };
2728 zone "localhost" in ;
32 };
3334 zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" in ;
38 };
3940 zone "1.0.0.127.in-addr.arpa" in ;
44 };
4546 zone "0.in-addr.arpa" in ;
50 };
6263 zone "czcedu.com." in ;
67 };
74 };
7576 view internet ;
78 allow-recursion ; #不可做遞迴請求
7980 zone "czcedu.com." in ;
84 };
85 };
建立兩個解析庫檔案
從不同客戶端發出的dns查詢請求返回不同的ip
好了,到此為止我們dns伺服器的應用就告一段落了,如有錯誤敬請指正。
配置DNS子域授權
本案例要求為tarena公司構建父 子dns網域名稱解析系統。其中,父dns伺服器負責解析二級域tarea.com,而子dns負責解析 域bj.asd.cn。現要求當客戶機向父dns查詢子域中的網域名稱www.bj.asd.cn的時候也能獲得正確結果,需要在父dns伺服器上配置對子域的授權。需要完成...
DNS子域的授權
何為子域授權 每乙個大域,裡面都會有若干個小域。比如lnsjb.com就是乙個大域,裡面會有www域 即www.lnsjb.com 會有bbs域,會有movies域,會有data域等等等等。如果是壕企業,可以不用網域名稱服務商提供的dns伺服器,而自己搭建企業dns伺服器,但是需要把自己的dns伺服...
DNS子域授權和分離解析
dns子域授權 配置子域的dns伺服器的配置檔案 192.168.4.2 修改主配置檔案named.conf root redhat6 vim var named chroot etc named.conf options zone bj.tarena.com in zone tarena.com ...