​DNS子域授权

                               DNS子域授权

实验背景：

一、之子域解析：

当一个组织的DNS区域扩大到一定规模后，往往会增设子域以分流解析压力，比如二级父域tarena.com、三级子域bj.tarena.com，各设一台DNS服务器，主要负责本级区域的解析。但在必要的时候，来自客户机的DNS解析请求应能够传递：

1．向tarena.com域的DNS服务器也可查到属于bj.tarena.com域的FQDN。

2．向bj.tarena.com域的DNS服务器也可查到属于tarena.com域的FQDN。

实验环境：

VMware Workstation     RHEL 5.9

实验方案：

使用2台RHEL 5虚拟机，为了简化实验网络结构，提供分离解析的DNS服务器配置有2个IP地址（192.168.4.5和172.16.16.5），以便不同网段的客户机可直接访问。两台RHEL 5虚拟机及Windows真机都可作为DNS客户机执行测试。

实验实施：

1．配置子域bj.tarena.com的DNS服务器（192.168.4.6）

1）建立主配置文件named.conf

添加2个区域，其中bj.tarena.com为本DNS服务器的权威域，而tarena.com作为一个新的转发域（无需区域数据文件）：

# vim /var/named/chroot/etc/named.conf

2.options {

3.directory "/var/named";

4.};

5.zone "bj.tarena.com" IN {                     //权威域bj.tarena.com

6.type master;

7.file "bj.tarena.com.zone";

8.};

9.zone "tarena.com" IN {                         //转发域tarena.com

10.type forward;                             //类型为forward

11.forwarders { 192.168.4.5; };     //若有查询请求转发到父域DNS服务器

12.};

2）为权威域bj.tarena.com建立地址数据文件

注意修改一下www等A记录的IP地址（如1.2.3.4），方便后续测试：

# vim /var/named/chroot/var/named/bj.tarena.com.zone

2.$TTL 86400

3.@ IN SOA bj.tarena.com. admin.bj.tarena.com. (

4.2013101701

5.3H

6.15M

7.1W

8.1D

9.)

10.@ IN NS svr6.bj.tarena.com.

11.IN A 192.168.4.6 //这里注意不要忘记，先给bj.tarena.com 做个正向解析

12 svr6 IN A 192.168.4.6 //为srv6 解析，svr6属于本机，所以ip地址为本机的ip

13 www  IN A 1.2.3.4

14 *    IN A 1.2.3.4

3）重启named服务，并确保向子域DNS查询子域FQDN好用

# service named restart

 向192.168.4.6查询www.bj.tarena.com，返回结果应是1.2.3.4：

1.[root@svr6 ~]# nslookup www.bj.tarena.com 192.168.4.6

2.Server: 192.168.4.6

3.Address: 192.168.4.6#53

4.

5.Name: www.bj.tarena.com

6.Address: 1.2.3.4

2．配置父域tarena.com的DNS服务器（192.168.4.5）

2．配置父域tarena.com的DNS服务器（192.168.4.5）

1）建立主配置文件named.conf

只需添加一个权威区域，即父域tarena.com。

1.[root@svr5 ~]# vim /var/named/chroot/etc/named.conf

2.options {

3.directory "/var/named";

4.};

5.zone "tarena.com" IN {

6.type master;

7.file "tarena.com.zone";

8.};

2）为权威域tarena.com建立地址数据文件

设置好子域授权，指向子域bj.tarena.com的DNS服务器地址；另外，也注意修改一下www等A记录的IP地址（如192.168.4.100），与子域有所差异，方便后面测

# vim /var/named/chroot/var/named/tarena.com.zone

2.$TTL 86400

3.@ IN SOA tarena.com. admin.tarena.com. (

4.2013101701

5.3H

6.15M

7.1W

8.1D

9.)

10.@ IN NS svr5.tarena.com.

11.bj.tarena.com. IN NS svr6.bj.tarena.com.     //子域委派

12.svr6.bj.tarena.com. IN A 192.168.4.6         //子域DNS的A记录

13.svr5 IN A 192.168.4.5

14.svr6 IN A 192.168.4.6

15.www IN A 192.168.4.100

16.* IN A 192.168.4.100

3）重启named服务，并确保向父域DNS查询父域FQDN好用

# service named restart

向192.168.4.5查询www.tarena.com，返回结果应是192.168.4.100：

# nslookup www.tarena.com

2.Server: 192.168.4.5

3.Address: 192.168.4.5#53

4.

5.Name: www.tarena.com

6.Address: 192.168.4.100

3．父域、子域DNS整体测试

1）向父域DNS查询子域的FQDN

能够获得正确结果，但会提示“Non-authoritative answer”（非权威答案）：

# nslookup www.bj.tarena.com 192.168.4.5

2.Server: 192.168.4.5

3.Address: 192.168.4.5#53

4.

5.Non-authoritative answer:             //非本DNS提供的权威结果

6.Name: www.bj.tarena.com

7.Address: 1.2.3.4

实验总结：

在客户端进行子域解析时，来自bj.tarena.com下的查询，查询的是本机，我们称bj.tarena.com为自己的权威域，而有tarena.com的查询时，将请求发送到父域的DNS服务器，在客户端的tarena.com被称为转发域；需要添加一个zone，tarena.com ，把类型改为是forward，并发送请求forwards {192.168.4.5；}；