​DNS子域授权

                        DNS子域授权


实验背景:


一、之子域解析:

当一个组织的DNS区域扩大到一定规模后,往往会增设子域以分流解析压力,比如二级父域tarena.com、三级子域bj.tarena.com,各设一台DNS服务器,主要负责本级区域的解析。但在必要的时候,来自客户机的DNS解析请求应能够传递:


1.向tarena.com域的DNS服务器也可查到属于bj.tarena.com域的FQDN。


2.向bj.tarena.com域的DNS服务器也可查到属于tarena.com域的FQDN。



实验环境:

VMware Workstation     RHEL 5.9


实验方案:

使用2台RHEL 5虚拟机,为了简化实验网络结构,提供分离解析的DNS服务器配置有2个IP地址(192.168.4.5和172.16.16.5),以便不同网段的客户机可直接访问。两台RHEL 5虚拟机及Windows真机都可作为DNS客户机执行测试。


实验实施:

1.配置子域bj.tarena.com的DNS服务器(192.168.4.6)


1)建立主配置文件named.conf

添加2个区域,其中bj.tarena.com为本DNS服务器的权威域,而tarena.com作为一个新的转发域(无需区域数据文件):


# vim /var/named/chroot/etc/named.conf


2.options {

3.directory "/var/named";

4.};

5.zone "bj.tarena.com" IN {                     //权威域bj.tarena.com

6.type master;

7.file "bj.tarena.com.zone";

8.};


9.zone "tarena.com" IN {                         //转发域tarena.com

10.type forward;                             //类型为forward

11.forwarders { 192.168.4.5; };     //若有查询请求转发到父域DNS服务器

12.};



2)为权威域bj.tarena.com建立地址数据文件


注意修改一下www等A记录的IP地址(如1.2.3.4),方便后续测试:

# vim /var/named/chroot/var/named/bj.tarena.com.zone

2.$TTL 86400

3.@ IN SOA bj.tarena.com. admin.bj.tarena.com. (

4.2013101701

5.3H

6.15M

7.1W

8.1D

9.)

10.@ IN NS svr6.bj.tarena.com.

11.IN A 192.168.4.6 //这里注意不要忘记,先给bj.tarena.com 做个正向解析

12 svr6 IN A 192.168.4.6 //为srv6 解析,svr6属于本机,所以ip地址为本机的ip

13 www  IN A 1.2.3.4

14 *    IN A 1.2.3.4


3)重启named服务,并确保向子域DNS查询子域FQDN好用


# service named restart



 向192.168.4.6查询www.bj.tarena.com,返回结果应是1.2.3.4:

1.[root@svr6 ~]# nslookup www.bj.tarena.com 192.168.4.6

2.Server: 192.168.4.6

3.Address: 192.168.4.6#53

4.

5.Name: www.bj.tarena.com

6.Address: 1.2.3.4



2.配置父域tarena.com的DNS服务器(192.168.4.5)


2.配置父域tarena.com的DNS服务器(192.168.4.5)

1)建立主配置文件named.conf

只需添加一个权威区域,即父域tarena.com。

1.[root@svr5 ~]# vim /var/named/chroot/etc/named.conf

2.options {

3.directory "/var/named";

4.};

5.zone "tarena.com" IN {

6.type master;

7.file "tarena.com.zone";

8.};


2)为权威域tarena.com建立地址数据文件

设置好子域授权,指向子域bj.tarena.com的DNS服务器地址;另外,也注意修改一下www等A记录的IP地址(如192.168.4.100),与子域有所差异,方便后面测


# vim /var/named/chroot/var/named/tarena.com.zone

2.$TTL 86400

3.@ IN SOA tarena.com. admin.tarena.com. (

4.2013101701

5.3H

6.15M

7.1W

8.1D

9.)

10.@ IN NS svr5.tarena.com.

11.bj.tarena.com. IN NS svr6.bj.tarena.com.     //子域委派

12.svr6.bj.tarena.com. IN A 192.168.4.6         //子域DNS的A记录

13.svr5 IN A 192.168.4.5

14.svr6 IN A 192.168.4.6

15.www IN A 192.168.4.100

16.* IN A 192.168.4.100


3)重启named服务,并确保向父域DNS查询父域FQDN好用


# service named restart


向192.168.4.5查询www.tarena.com,返回结果应是192.168.4.100:



# nslookup www.tarena.com

2.Server: 192.168.4.5

3.Address: 192.168.4.5#53

4.

5.Name: www.tarena.com

6.Address: 192.168.4.100



3.父域、子域DNS整体测试

1)向父域DNS查询子域的FQDN

能够获得正确结果,但会提示“Non-authoritative answer”(非权威答案):


# nslookup www.bj.tarena.com 192.168.4.5

2.Server: 192.168.4.5

3.Address: 192.168.4.5#53

4.

5.Non-authoritative answer:             //非本DNS提供的权威结果

6.Name: www.bj.tarena.com

7.Address: 1.2.3.4




实验总结:


在客户端进行子域解析时,来自bj.tarena.com下的查询,查询的是本机,我们称bj.tarena.com为自己的权威域,而有tarena.com的查询时,将请求发送到父域的DNS服务器,在客户端的tarena.com被称为转发域;需要添加一个zone,tarena.com ,把类型改为是forward,并发送请求forwards {192.168.4.5;};




      本文转自Jx战壕  51CTO博客,原文链接:http://blog.51cto.com/xujpxm/1370850,如需转载请自行联系原作者


上一篇:JDBC【PreparedStatment、批处理、处理二进制、自动主键、调用存储过程、函数】


下一篇:JavaScript 弹出子窗体并返回结果到父窗体