使用bind构建高可用智能DNS服务器Word格式.docx
- 文档编号:18969631
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:13
- 大小:80.58KB
使用bind构建高可用智能DNS服务器Word格式.docx
《使用bind构建高可用智能DNS服务器Word格式.docx》由会员分享,可在线阅读,更多相关《使用bind构建高可用智能DNS服务器Word格式.docx(13页珍藏版)》请在冰豆网上搜索。
&
makeinstall
2、生成rndc配置文件rndc.conf
#/usr/local/named/sbin/rndc-confgen>
/usr/local/named/etc/rndc.conf
3、生成主配置文件named.conf
#cd/usr/local/named/etc/
#tail-n10rndc.conf|head-n9|sed-es/#\//g>
named.conf
4、生成key,用于主从view同步验证
每个视图使用一个key,用于主从直接数据传输的认证、数据加密
#/usr/local/named/sbin/dnssec-keygen-ahmac-md5-b128-nHOSTliantong
#/usr/local/named/sbin/dnssec-keygen-ahmac-md5-b128-nHOSTdianxin
#/usr/local/named/sbin/dnssec-keygen-ahmac-md5-b128-nHOSTany
查看一下key的具体内容,其中红色部分是需要添加到bind的主配置文件
#moreKliantong.+157+35810.private
Private-key-format:
v1.2
Algorithm:
157(HMAC_MD5)
Key:
3ZVlHsAwi8ZRoyHt/g+F+Q==
Bits:
AAA=
5、新建acl
收集全国联通、电信IP地址,然后新建ACL,将搜集到IP放到对应的ACL中
#mkdir/usr/local/named/var/named
#vi/usr/local/named/var/named/liantong.acl//联通用户访问时使用的ACL,可加多个联通IP地址
aclliantong{
202.102.152.3;
};
#vi/usr/local/named/var/named/dianxin.acl//电信用户访问使用的ACL,可加多个电信IP地址
acldianxin{
202.96.209.133;
注:
全国各地的IP地址请自行收集,然后放到对应得acl中即可
6、设置主配置文件named.conf
我们共新建了三个view,分别是liantong、dianxin、any。
其中liantong负责为联通用户处理查询请求,dianxin负责为电信用户处理查询请求,any负责处理既不是联通用也不是电信用户的查询请求
#vi/usr/local/named/etc/named.conf
key"
rndc-key"
{
algorithmhmac-md5;
secret"
dbR9UvR6CCFl18mf5IDgMQ=="
;
};
controls{
inet127.0.0.1port953
allow{127.0.0.1;
}keys{"
options{
directory"
/usr/local/named/var/named"
logging{
channelwarning{
file"
warning.log"
versions3size2048k;
severitywarning;
print-categoryyes;
print-severityyes;
print-timeyes;
channelquery{
query.log"
severityinfo;
categorydefault{warning;
categoryqueries{query;
keyliantong-key{
algorithmhmac-md5;
secret"
3ZVlHsAwi8ZRoyHt/g+F+Q=="
keydianxin-key{
7aMK+a85Tcqm7snAd99Vaw=="
keyany-key{
cX66/6wxsGl7xBKW4rFVKg=="
include"
/usr/local/named/var/named/liantong.acl"
/usr/local/named/var/named/dianxin.acl"
view"
liantong"
match-clients{!
keydianxin-key;
!
keyany-key;
keyliantong-key;
liantong;
recursionyes;
allow-transfer{keyliantong-key;
server192.168.0.252{keysliantong-key;
zone"
."
IN{
typehint;
named.root"
"
typemaster;
.zone"
dianxin"
keyliantong-key;
keydianxin-key;
dianxin;
allow-transfer{keydianxin-key;
any"
keyany-key;
any;
allow-transfer{keyany-key;
关于配置文件中key的书写语法我们根据自带的rndc的key语法书写去写就行,然后把key的名字改为对应名字,key内容改成我们刚才所生成key的红色部分;
配置文件中include指定的是acl;
7、生成根区域配置文件
#/usr/local/named/bin/dig-tNS.>
/usr/local/named/var/named/named.root
8、撰写联通、电信、any的区域文件
#vi/usr/local/named/var/named/.zone
@3600INSOA..(
5
3600
900
1209600
3600)
3600INNS.
INA192.168.0.100
blogINA192.168.0.251
blogINA192.168.0.252
blogINA192.168.0.250
9、启动bind
#/usr/local/named/sbin/named-c/usr/local/named/etc/named.conf
#echo"
/usr/local/named/sbin/named-c/usr/local/named/etc/named.conf"
>
>
/etc/rc.local
//加入开机自动启动
二、DNS-slave安装及配置
4、将DNS-master服务器上的/usr/local/named/var/named整个目录拷贝到DNS-slave服务器的/usr/local/named/var目录下
5、设置主配置文件named.conf
4CO5ZyB2818qOYVawk8plQ=="
server192.168.0.251{keysliantong-key;
typeslave;
masters{192.168.0.251;
6、启动bind
三、测试
1、故障转移测试
在同一时间,两台DNS断掉任何一台都可以提供解析
2、view功能测试
找全国各地用户,然后去ping域名,看联通用户得到的解析结果是否是192.168.0.251,看电信用户得到是否是192.168.0.252
3、主从同步测试
在主服务器上添加/删除A记录,然后增大serai值,然后执行/usr/local/named/sbin/rndcreload,看从服务器是否能得到同步
4、性能压力测试
使用bind自带工具queryperf进行性能测试(在源安装目录bind-9.6.2/contrib/queryperf下)
#moretest
A
[root@DNS-masterqueryperf]#./queryperf-dtest-s192.168.0.251
DNSQueryPerformanceTestingTool
Version:
$Id:
queryperf.c,v1.122007/09/0507:
36:
04markaExp$
[Status]Processinginputdata
[Status]Sendingqueries(beginningwith192.168.0.251)
[Status]Testingcomplete
Statistics:
Parseinputfile:
once
Endeddueto:
reachingendoffile
Queriessent:
1queries
Queriescompleted:
Querieslost:
0queries
Queriesdelayed(?
):
RTTmax:
0.000567sec
RTTmin:
0.000024sec
RTTaverage:
0.000298sec
RTTstddeviation:
0.000206sec
RTToutofrange:
Percentagecompleted:
100.00%
Percentagelost:
0.00%
Startedat:
ThuDec918:
06:
502010
Finishedat:
Ranfor:
0.000795seconds
Queriespersecond:
3773.584906qps
可以看出,DNS服务器每秒可处理3773次查询请求
四、总结
1、确保两台DNS服务器时钟同步,如两台服务器时间相差5分钟则无法实现同步
2、虽然通过bind-view功能实现智能DNS,但在用户访问时会面临如下情况
杭州电信用户杭州电信DNS联通DNS->
------智能DNS,将用户请求解析到联通IP上
。
那么这种情况是我们不可控制的
3、IP地址收集困难,如想更详细的做智能DNS或者CDN,需要像第三方买IP数据(比如这类公司)
4、要定时清空DNS缓存,以免当缓存中毒时被他人恶意利用
5、防火墙要开启TCP/53、UDP/53,TCP/53用于主从DNS间的数据传输,UDP/53用于用户到DNS服务器之间的查询
五、鸣谢
在做智能DNS时遇到很多问题,在此再次感谢刘宇、洪峰二位兄弟及师父sery的帮助。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 使用 bind 构建 可用 智能 DNS 服务器