DNS子域授权及view(三)
一、DNS子域授權(quán)
1、創(chuàng)建子域的原因
? 當(dāng)一個組織獲得一個域后,比如:magelinux.com,但是由于組織規(guī)模擴(kuò)大,需要分配出幾個部門,例如技術(shù)部、財務(wù)部和銷售部等。如果都使用magelinux.com域的DNS服務(wù)器,性能會降低,那么就需要把magelinux.com域分割成幾個區(qū)域,我們稱從原區(qū)域分區(qū)的域為子域,原區(qū)域為父域。而且子域中有它自己的DNS服務(wù)器和www,ftp,mail等主機(jī),下面演示添加子域tech.magelinux.com的過程。
2、BIND子域授權(quán)的實現(xiàn)前題
? 在父域的區(qū)域數(shù)據(jù)文件中添加如下條目:
? (1)授權(quán)的子區(qū)域名稱:tech.magelinux.com
? (2)子區(qū)域的名稱服務(wù)器:dns.tech.magelinux.com
? (3)子區(qū)域的名稱服務(wù)器的IP地:192.168.1.104
3、子域授權(quán)的實現(xiàn)
? (1)修改父域區(qū)域數(shù)據(jù)文件
| [root@www ~]# vim /var/named/magelinux.com.zone? $TTL 600 @ ? ? ? IN ? ? ?SOA ? ? dns.magelinux.com. admin.magelinux.com. ( ? ? ? ? ? ? ? ? ? ? ?2015092914 ? ? ? ? ? ? ? ? ? ? ?2H ? ? ? ? ? ? ? ? ? ? ?10M ? ? ? ? ? ? ? ? ? ? ?7D ? ? ? ? ? ? ? ? ? ? ?1D ? ? ? ? ? ? ? ? ? ? ?) @ ? ? ? ? ? ? ?IN ? ? ?NS ? ? ?dns @ ? ? ? ? ? ? ?IN ? ? ?NS ? ? ?dns2 @ ? ? ? ? ? ? ?IN ? ? ?MX ?10 ? mail dns ? ? ? ? ? ? IN ? ? ?A ? ? ? 192.168.1.112 dns2 ? ? ? ? ? ?IN ? ? ?A ? ? ? 192.168.1.106 mail ? ? ? ? ? ?IN ? ? ?A ? ? ? 192.168.1.107 www ? ? ? ? ? ? IN ? ? ?A ? ? ? 192.168.1.108 pop ? ? ? ? ? ? IN ? ? ?CNAME ? ?mail ftp ? ? ? ? ? ? IN ? ? ?CNAME ? ?www tech ? ? ? ? ? ?IN ? ? ?NS ? ? ?dns.tech dns.tech ? ? ? ??? ?IN ? ? ?A ? ? ? 192.168.1.104 |
? (2)在子域的DNS服務(wù)器上安裝BIND
| [root@www slaves]# yum install bind |
? (3)修改子域配置文件
[root@localhost ~]# cat /etc/named.conf // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { // ? ?listen-on port 53 { 127.0.0.1; }; // ? ?listen-on-v6 port 53 { ::1; }; ? ? ?directory "/var/named"; ? ? ?dump-file "/var/named/data/cache_dump.db"; ? ? ?statistics-file "/var/named/data/named_stats.txt"; ? ? ?memstatistics-file "/var/named/data/named_mem_stats.txt"; // ? ?allow-query ? ? { localhost; }; ? ? ?recursion yes; // ? ?dnssec-enable yes; // ? ?dnssec-validation yes; // ? ?dnssec-lookaside auto; ? ? ?/* Path to ISC DLV key */ // ? ?bindkeys-file "/etc/named.iscdlv.key"; // ? ?managed-keys-directory "/var/named/dynamic"; }; logging { ? ? ?channel default_debug { ? ? ? ? ? ?file "data/named.run"; ? ? ? ? ? ?severity dynamic; ? ? ? ? }; }; zone "." IN { ? ? ?type hint; ? ? ?file "named.ca"; }; include "/etc/named.rfc1912.zones"; //include "/etc/named.root.key"; |
[root@localhost ~]# vim /etc/named.rfc1912.zones ? ? ? ? file "named.localhost"; ? ? ? ? allow-update { none; }; }; zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { ? ? ? ? type master; ? ? ? ? file "named.loopback"; ? ? ? ? allow-update { none; }; }; zone "1.0.0.127.in-addr.arpa" IN { ? ? ? ? type master; ? ? ? ? file "named.loopback"; ? ? ? ? allow-update { none; }; }; zone "0.in-addr.arpa" IN { ? ? ? ? type master; ? ? ? ? file "named.empty"; ? ? ? ? allow-update { none; }; }; zone "tech.magelinux.com." IN { ? ? ? ? type master; ? ? ? ? file "tech.magelinux.com.zone"; }; |
? (4)創(chuàng)建子域數(shù)據(jù)文件
| [root@localhost named]# vim tech.magelinux.com.zone $TTL 600 @ ? ? IN ? SOA ?dns.tech.magelinux.com. ?dnsadmin.tech.magelinux.com. ( ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 2015100101 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 1H ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 5M ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 3D ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 1D ) ? ? ? ? ? ? ? ? ? IN ? ? ?NS ? ? ?dns ? ? ?? ?IN ? ? ?MX ?10 ? mail dns ? ? IN ? ? ?A ? ? ? 192.168.1.104 mail ? ?IN ? ? ?A ? ? ? 192.168.1.120 www ? ? IN ? ? ?A ? ? ? 192.168.1.121 |
? (5)修改子域數(shù)據(jù)文件屬性
[root@localhost named]# chown root:named tech.magelinux.com.zone? [root@localhost named]# chmod 640 tech.magelinux.com.zone? [root@localhost named]# ls -l tech.magelinux.com.zone? -rw-r----- 1 root named 223 Aug 14 18:00 tech.magelinux.com.zone [root@localhost named]# rndc reload server reload successful |
? (6)使用dig命令測試子域
[root@localhost named]# dig -t A www.tech.magelinux.com @192.168.1.104 ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A www.tech.magelinux.com @192.168.1.104 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46551 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; QUESTION SECTION: ;www.tech.magelinux.com. ? ? ? ?IN ? A ;; ANSWER SECTION: www.tech.magelinux.com. ?600 ?IN ?A ? 192.168.1.121 ;; AUTHORITY SECTION: tech.magelinux.com. ? ? 600 ?IN ?NS ?dns.tech.magelinux.com. ;; ADDITIONAL SECTION: dns.tech.magelinux.com. ?600 ?IN ?A ? 192.168.1.104 ;; Query time: 1 msec ;; SERVER: 192.168.1.104#53(192.168.1.104) ;; WHEN: Fri Aug 14 18:11:04 2015 ;; MSG SIZE ?rcvd: 90 |
二、DNS的訪問控制列表及view功能
1、view功能介紹
??view是視圖的意思,實現(xiàn)將DNS服務(wù)器一切為N片,當(dāng)來自不同的IP時就用不同的DNS服務(wù)器去解析,速度肯定會更快,當(dāng)然用戶體檢就更好了,這就叫做DNS智能解析。舉個例子來說,中國大陸的網(wǎng)絡(luò)一直就有北聯(lián)通,南電信這么一說,造成這一結(jié)果的根本原因就是因為兩個網(wǎng)絡(luò)之間的帶寬太小了,這就避免不了網(wǎng)絡(luò)之間的擁堵。比如人一家游戲公司,你用的是電信的網(wǎng),而它的服務(wù)器是聯(lián)通的,當(dāng)你進(jìn)入這個區(qū)玩兒游戲的時候,不卡死才怪,這么糟糕的用戶體驗,如果能留住用戶,不得不說是一個奇跡,這也就是為什么游戲一般都有網(wǎng)通區(qū)、電信區(qū)的原因。而我們今天要做的就是定義這么一個view,讓它根據(jù)用戶IP自動去選擇,如果是聯(lián)通的IP,就走聯(lián)通的服務(wù)器,如果是電信用戶就去訪問電信的服務(wù)器,讓其實現(xiàn)智能DNS解析。
2、acl
? 如果想實現(xiàn)DNS的智能解析,這個必須先介紹清楚了
? acl:access control list,顧名思義就是訪問抑制列表的意思,定義訪問控制列表就是為了能夠讓其根據(jù)IP進(jìn)行控制,哪些IP可以訪問,哪些IP不可以訪問,聯(lián)通的用戶走哪條路,電信的用戶走哪條路。下面就開始介紹實現(xiàn)這高大上的DNS智能解析功能。
3、view功能配置詳解
? 只要在DNS服務(wù)器中使用view功能,那么所有的域都必須放到view中,那么/etc/named.conf中的"."域也必須給它剪切過來,放到view中,否則會報錯的。這里定義兩個訪問控制列表:telecom及unicom,假設(shè)聯(lián)通的IP是192.16段的,電信的IP是172.16段的,這里只是模擬,如果在真實環(huán)境中,就需要自己去統(tǒng)計這些聯(lián)通和電信的IP了。然后定義三個view:telecom,unicom,default,定義default的意義就在于,你統(tǒng)計時肯定會有漏掉的IP,那就讓它走這個默認(rèn)的。
? 定義telecom這個域,把/etc/named.rfc1912.zones中原來的zones都放在這個view中吧。對于view來說,它是有執(zhí)行順序的,如果你是聯(lián)通的用戶多,那就把unicom放到上面,如果是電信的多,那就把telecom放到上面,這里假設(shè)電信的多。
更新中……
轉(zhuǎn)載于:https://blog.51cto.com/zhaibo/1699657
總結(jié)
以上是生活随笔為你收集整理的DNS子域授权及view(三)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux 随机启动 Mysql
- 下一篇: Property #39;sqlSess