DNS子域授权
实验背景:
一、之子域解析:
当一个组织的DNS区域扩大到一定规模后,往往会增设子域以分流解析压力,比如二级父域tarena.com、三级子域bj.tarena.com,各设一台DNS服务器,主要负责本级区域的解析。但在必要的时候,来自客户机的DNS解析请求应能够传递:
1.向tarena.com域的DNS服务器也可查到属于bj.tarena.com域的FQDN。
2.向bj.tarena.com域的DNS服务器也可查到属于tarena.com域的FQDN。
实验环境:
VMware Workstation RHEL 5.9
实验方案:
使用2台RHEL 5虚拟机,为了简化实验网络结构,提供分离解析的DNS服务器配置有2个IP地址(192.168.4.5和172.16.16.5),以便不同网段的客户机可直接访问。两台RHEL 5虚拟机及Windows真机都可作为DNS客户机执行测试。
实验实施:
1.配置子域bj.tarena.com的DNS服务器(192.168.4.6)
1)建立主配置文件named.conf
添加2个区域,其中bj.tarena.com为本DNS服务器的权威域,而tarena.com作为一个新的转发域(无需区域数据文件):
# vim /var/named/chroot/etc/named.conf
2.options {
3.directory "/var/named";
4.};
5.zone "bj.tarena.com" IN { //权威域bj.tarena.com
6.type master;
7.file "bj.tarena.com.zone";
8.};
9.zone "tarena.com" IN { //转发域tarena.com
10.type forward; //类型为forward
11.forwarders { 192.168.4.5; }; //若有查询请求转发到父域DNS服务器
12.};
2)为权威域bj.tarena.com建立地址数据文件
注意修改一下www等A记录的IP地址(如1.2.3.4),方便后续测试:
# vim /var/named/chroot/var/named/bj.tarena.com.zone
2.$TTL 86400
3.@ IN SOA bj.tarena.com. admin.bj.tarena.com. (
4.2013101701
5.3H
6.15M
7.1W
8.1D
9.)
10.@ IN NS svr6.bj.tarena.com.
11.IN A 192.168.4.6 //这里注意不要忘记,先给bj.tarena.com 做个正向解析
12 svr6 IN A 192.168.4.6 //为srv6 解析,svr6属于本机,所以ip地址为本机的ip
13 www IN A 1.2.3.4
14 * IN A 1.2.3.4
3)重启named服务,并确保向子域DNS查询子域FQDN好用
# service named restart
向192.168.4.6查询www.bj.tarena.com,返回结果应是1.2.3.4:
1.[root@svr6 ~]# nslookup www.bj.tarena.com 192.168.4.6
2.Server: 192.168.4.6
3.Address: 192.168.4.6#53
4.
5.Name: www.bj.tarena.com
6.Address: 1.2.3.4
2.配置父域tarena.com的DNS服务器(192.168.4.5)
2.配置父域tarena.com的DNS服务器(192.168.4.5)
1)建立主配置文件named.conf
只需添加一个权威区域,即父域tarena.com。
1.[root@svr5 ~]# vim /var/named/chroot/etc/named.conf
2.options {
3.directory "/var/named";
4.};
5.zone "tarena.com" IN {
6.type master;
7.file "tarena.com.zone";
8.};
2)为权威域tarena.com建立地址数据文件
设置好子域授权,指向子域bj.tarena.com的DNS服务器地址;另外,也注意修改一下www等A记录的IP地址(如192.168.4.100),与子域有所差异,方便后面测
# vim /var/named/chroot/var/named/tarena.com.zone
2.$TTL 86400
3.@ IN SOA tarena.com. admin.tarena.com. (
4.2013101701
5.3H
6.15M
7.1W
8.1D
9.)
10.@ IN NS svr5.tarena.com.
11.bj.tarena.com. IN NS svr6.bj.tarena.com. //子域委派
12.svr6.bj.tarena.com. IN A 192.168.4.6 //子域DNS的A记录
13.svr5 IN A 192.168.4.5
14.svr6 IN A 192.168.4.6
15.www IN A 192.168.4.100
16.* IN A 192.168.4.100
3)重启named服务,并确保向父域DNS查询父域FQDN好用
# service named restart
向192.168.4.5查询www.tarena.com,返回结果应是192.168.4.100:
# nslookup www.tarena.com
2.Server: 192.168.4.5
3.Address: 192.168.4.5#53
4.
5.Name: www.tarena.com
6.Address: 192.168.4.100
3.父域、子域DNS整体测试
1)向父域DNS查询子域的FQDN
能够获得正确结果,但会提示“Non-authoritative answer”(非权威答案):
# nslookup www.bj.tarena.com 192.168.4.5
2.Server: 192.168.4.5
3.Address: 192.168.4.5#53
4.
5.Non-authoritative answer: //非本DNS提供的权威结果
6.Name: www.bj.tarena.com
7.Address: 1.2.3.4
实验总结:
在客户端进行子域解析时,来自bj.tarena.com下的查询,查询的是本机,我们称bj.tarena.com为自己的权威域,而有tarena.com的查询时,将请求发送到父域的DNS服务器,在客户端的tarena.com被称为转发域;需要添加一个zone,tarena.com ,把类型改为是forward,并发送请求forwards {192.168.4.5;};
本文转自Jx战壕 51CTO博客,原文链接:http://blog.51cto.com/xujpxm/1370850,如需转载请自行联系原作者