关于IT运维技术的
最佳实践博客网站

bind配置 DNS子域授权和转发

1、子域名授权解决了DNS服务器压力和管理操作。

如果一个公司有很多产品,很多团队,且很多部门都有自己的域名,如果只用一台DNS,不仅压力会比较大(DNS主从也解决解决了压力和容错备份),最重要的是管理起来很复杂,这个时候我们就要用到子域名授权了。

这里假定我们运维部门,有独立的域名为“ops.cnhzz.com”;并且有自己的独立的web服务器,mail服务器等服务器。

关于子域的建立,过程和正常的DNS建立设定相同。对子域的授权,我们需要在父域的配置文件中添加如下项:

  • 授权的子域名称
  • 子域的名称服务器
  • 子域名称服务器的IP地址

2、DNS转发,解决了一些DNS的局限性扩充子域名解析范围。

1、如果域内的客户端请求本地DNS不负责解析的区域,怎么办?

  • 一种办法是转发给根,但效率很低;
  • 另一种是转发给特定的主机,我们明确知道该主机可以解析该请求,那么就可以大大的提高效率。

2、怎么让运维部门的dns也能解析到主dns负责的区域?

要想实现转发,首先是我们转向的主机要允许我们递归

DNS查询请求分为递归和迭代两种,递归是指查询提交后,由dns找到结果返回给我们;迭代是指,查询提交后,返回的结果告诉我们,谁可能找到,我们再向它提交查询,以此类推,直到找到结果。

递归可以在全局设定,也可以在特定区域设定。

3、实践子域授权和转发

本实验接着《DNS原理介绍及Centos/Redhat/Fedora系统下用bind和bind-chroot的正反向解析域名的配置》进行。

1、在主DNS服务器(也就是父域DNS)的正想解析文件里面添加。

vim /var/named/chroot/var/named/cnhzz.com.zone

ops     IN      NS      ns.ops
ns.ops  IN      A       192.168.35.130 #子域可在不同网段

2、在新安装好的子域服务器中添加子域区域和转发域。

vim /var/named/chroot/etc/named.rfc1912.zones

//运维部子域区域
zone "ops.cnhzz.com"{
        type master;
        file "ops.cnhzz.com.zone";
};
//转发区域到主DNS(父域服务器上)
zone "cnhzz.com" IN {
      type forward;           //指定服务器类型为转发
      forwarders { 192.168.35.129; }; #转发列表,可指定多个IP
      forward only; #定义转发类型
};

vim /var/named/chroot/var/named/ops.cnhzz.com.zone

$TTL 600
@ IN    SOA     ns.ops.cnhzz.com. root.ops.cnhzz.com. (
                                        20155142320
                                        1H
                                        10M
                                        1W
                                        1D )

        IN      NS      ns
ns      IN      A       192.168.35.130
www     IN      A       192.168.35.131
mail    IN      A       192.168.35.132

3、测试配置,设置开机启动

[root@ops ~]# service named configtest
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone ops.cnhzz.com/IN: loaded serial 2975273136
[root@ops ~]# service named restart
停止 named:                                               [确定]
启动 named:                                               [确定]
[root@ops ~]# chkconfig named on

4、测试子域名是否能解析。

[root@ops ~]# dig -t A www.ops.cnhzz.com @192.168.35.130

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> -t A www.ops.cnhzz.com @192.168.35.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6201
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.ops.cnhzz.com.		IN	A

;; ANSWER SECTION:
www.ops.cnhzz.com.	600	IN	A	192.168.35.131

;; AUTHORITY SECTION:
ops.cnhzz.com.		600	IN	NS	ns.ops.cnhzz.com.

;; ADDITIONAL SECTION:
ns.ops.cnhzz.com.	600	IN	A	192.168.35.130

;; Query time: 1 msec
;; SERVER: 192.168.35.130#53(192.168.35.130)
;; WHEN: Mon May 18 00:31:48 2015
;; MSG SIZE  rcvd: 84

5、测试转发(测试子域服务器上是否能解析父域解析的域名)

[root@ops ~]# dig -t A www.cnhzz.com @192.168.35.130

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> -t A www.cnhzz.com @192.168.35.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20257
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;www.cnhzz.com.			IN	A

;; ANSWER SECTION:
www.cnhzz.com.		494	IN	A	192.168.35.134

;; AUTHORITY SECTION:
cnhzz.com.		510	IN	NS	ns1.cnhzz.com.
cnhzz.com.		510	IN	NS	ns2.cnhzz.com.

;; Query time: 0 msec
;; SERVER: 192.168.35.130#53(192.168.35.130)
;; WHEN: Mon May 18 00:35:53 2015
;; MSG SIZE  rcvd: 83

到此为止子域名授权转发已经配置完成了。

4、还有有一种转发,就是转发所有非本机负责的区域的请求至某指定的DNS服务器

vim /var/named/chroot/etc/named.conf

options {
    ...
forward only|first;
forwarders { IP; };
        }

only/first:

  • only:只使用forwarders DNS服务器做域名解析,如果查询不到则返回查询失败。
  • first优先使用forwarders DNS服务器做域名解析,如果查询不到再使用本地DNS服务器做域名解析。

访问控制:

allow-transfer {};  #区域传输白名单
allow-query {};     #查询白名单
allow-update {};    #更新白名单,一般为none

递归白名单:

allow-recursion {};
recursion yes;

 

赞(0)
未经允许不得转载:菜鸟HOW站长 » bind配置 DNS子域授权和转发

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址