- Настройка DNS сервера в CISCO Дневник Максим Боголепов
- Настройка DNS сервера в CISCO
- Урок 41. Настройка DNS сервера в Cisco маршрутизаторе
- Настройка DNS на маршрутизаторах Cisco
- Параметры загрузки
- Об этом переводе
- Содержание
- Введение
- Предварительные условия
- Требования
- Используемые компоненты
- Условные обозначения
- Настройка маршрутизатора на использование поиска DNS
- Устранение неисправностей
- Веб-сервер отвечает на эхо-запросы, но HTML-страницы не отображаются
- Маршрутизатор запрашивает несколько серверов преобразования имен
Настройка DNS сервера в CISCO Дневник Максим Боголепов
Настройка DNS сервера в CISCO
 | Приведу пример простейшей настройки сервера DNS на оборудовании Cisco 2811 с активным IOS c2800nm-adventerprisek9-m Version 12.4(24)T7. Задача заключается в следующем: настроить dns для обработки соответствующих запросов в гостевой подсети 172.16.0.0/24 и перенаправить все запросы с подсети 192.168.100.0/24 на внутренний dns организации. Подсети находятся в разных vlan’ах. В примере не настраивается публичный dns сервер. |
Все настройки, приведенные ниже, будут касаться исключительно dns-сервера. Разграничение доступа и безопасность в данной статье не рассматривается. Сперва войдем в cisco и настроим ее внутренний сетевой интерфейс. Попутно отключим преобразование сетевых имен в адреса (чтобы cisco не пыталась каждый раз резолвить неправильно набранную команду); глобально запретим использование протокола CDP (Cisco Discovery Protocol), т.к. подразумевается, что наш маршрутизатор – “пограничный” в сети; так же запретим маршрутизацию от источника:
Произведем настройку нашего внутреннего сетевого интерфейса. Пусть это будет FastEthernet0/1. Обозначим два vlan’а с ip из наших внутренних подсетей 192.168.100.0/24 (vlan 1 – нативный) и 172.16.0.0/24 (vlan 172 – гостевой) соответственно:
Теперь начнем настраивать непосредственно сам сервер: включаем обычный кеширующий DNS ; обозначаем view по-умолчанию, который будет обслуживать подсеть 192.168.100.0/24 (доменная сеть с собственными dns-серверами) на интерфейсе FastEthernet0/1.1; отключаем dns forwarding:
Настроим view для гостевой подсети 172.16.0.0/24 (назовем его TESTNET .RU): включаем логирование; указываем доменное имя; dns сервер (это мы); указываем, на каком интерфейсе обрабатывать запросы для этого view; укажем вспомогательный адрес внешнего dns сервера (8.8.8.8 – google-public-dns-a.google.com):
Нам осталось задать view-list для гостевой подсети TESTNET .RU. Дадим ему соответствующее имя testnet, присвоим этому view порядковый номер:
Теперь настроим, кто имеет право доступа к нашему dns серверу и на каком сетевом интерфейсе:
Вот и все… Проверить работу нашего dns сервера можно следующими командами:
— показать правила доступа к name-list:
— показать настроенные view (привожу данные с боевого маршрутизатора):
— показать настроенные view-list:
— показать статистику использования нашего dns-сервера (привожу данные с боевого маршрутизатора):
Ну, и напоследок – листинг проделанной нами работы:
Для тех, кто думает, что dns сервер на cisco требует много ресурсов – данные с Cisco 851, c850-advsecurityk9-m, Version 12.4(15)T17:
Rating: 4.1/5(11 votes cast)
Источник
Урок 41. Настройка DNS сервера в Cisco маршрутизаторе
Краткие сведения о работе протокола DNS
DNS (Domain Name Service) — Служба доменных имен используется для преобразования доменных имен в IP адреса и наоборот.
Где это используется?
Например, требуется войти на сервер Google. В браузере (Chrome, Firefox или другой) достаточно лишь ввести IP адрес того самого сервера. Однако довольно сложно запоминать IP адреса серверов. Проще всего запомнить имя сервера, которое и называется доменное имя. Теперь вместо IP адреса в браузере можно ввести лишь доменное имя, например, google.com , mail.ru и так далее. После ввода имени компьютер обратится к ближайшему DNS серверу с запросом получить адрес конкретного домена. Запрос отправляет по протоколу UDP на порт 53:
Сервер вернет компьютеру запрошенный адрес:
Схема работы довольно проста, однако здесь имеются некоторые особенности, которые мы рассмотрим ниже.
Служба доменных имен имеет иерархическую структуру и подразделяется на домены первого, второго, третьего и др. уровней.
Например, site.network.com — это домен третьего уровня. Читается слева направо, то есть от низшего домена к высшему, где com. — это домен 1-го уровня, network.com — домен 2-го уровня, site.network.com — домен 3-го уровня.
Выглядит иерархия DNS так:
Для преобразования доменных имен в адреса используются специальные серверы DNS. Все серверы объединяются в иерархическую сеть. То есть имеются главные серверы (master) и ведомые (slave).
Для чего это нужно?
Это необходимо по 2-м причинам. Например, в браузере ты вводишь mail.google.com. Твой компьютер обращается к ближайшему DNS серверу. Однако сервер может и не знать о существовании такого домена. Поэтому обратится к вышестоящему корневому серверу, который знает только домен com. и перешлет запрос на нижестоящий сервер, который может знать домен google.com. И так далее по цепочке могут быть опрошены несколько серверов. Поэтому и нужна иерархическая структура сети. Не все сервера знают обо всех доменах, однако они знают у кого спросить.
Другая причина в том, что с помощью такой структуры легко избежать дубликатов в доменных именах. Например, Вася решил купить имя money.ru для своего сайта. Однако оно уже занято и давно используется. Сервер, отвечающий за зону ru сразу определит, что домен занят и не позволит Васе его занять.
Все DNS серверы делятся на рекурсивные и нерекурсивные.
В чем же их отличия?
Выше мы описали принцип работы иерархической структуры сети DNS серверов. Если компьютер отправит запрос на сервер и сервер не имеет информацию по данному запросу, то сервер в качестве ответа вернет компьютеру (хосту) IP адрес другого сервера, который возможно имеет некую информацию. Компьютеру придется делать запрос на другой сервер и так до тех пор, пока не получит требуемую информацию.. Причем все запросы осуществляет сам компьютер. То есть DNS сервер получает запрос и сразу же отвечает и его не волнует, что компьютер (хост) получил неполную информацию. Такой сервер называется нерекурсивным.
На рисунке представлена схема работы такой сервера:
Теперь рассмотрим другую ситуацию. Компьютер отправил запрос на ближайший DNS сервер. Этот сервер сам опросит при необходимости нужные сервера и компьютеру вернет полную информацию. Компьютеру остается только ждать. Такой сервер называется рекурсивным:
Подобные серверы установлены в локальных сетях и у некоторых провайдерах. Все остальные серверы нерекурсивные.
Все локальные DNS серверы являются кэширующими, то есть запоминают все запросы в своей памяти на определенное время. Делается этого для снижения трафика на общедоступные серверы доменных имен.
Теперь рассмотрим какие записи содержит сам сервер. Для этого выполним следующую команду
dig easy-network.ru ANY +noall +answer
Данная команда работает на Linux и позволяет получить информацию о DNS записях.
В нашем случае имеем следующее:
А запись — IP адрес запрашиваемого домена. То есть, введя в браузере домен easy-network.ru вы отправите запрос на сервер, который вернет вам IP адрес, то есть А запись.
MX запись — IP адрес почтового сервера. Отправляя электронную почту мы вводим в почтовом клиенте адрес вида Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. . Отправляя сообщение серверу-получателю сервер-отправитель извлекает имя домена из адреса (в нашем случае easy-network.ru) и посылает запрос на DNS сервер, чтобы получить MX запись, то есть IP адрес почтового сервера-получателя.
NS запись — IP адрес авторитативного DNS сервера, который отвечает за данный домен.
Вместо команды dig можно воспользоваться командой попроще:
Вывод команды будет более понятным: 
Настройка кэширующего сервера DNS
Если локальная сеть небольшая, то обычно в качестве DNS сервера выступает сам маршрутизатор. Попробуем настроить такой маршрутизатор.
Включаем режим сервера
Router(config)# ip dns server
Включаем трансляцию имен в IP адреса
Router(config)# ip domain-lookup
Далее добавляем DNS сервера, к которым будет обращаться наш маршрутизатор. Всего можно настроить до 6 серверов
Router(config)# ip name-server IP адрес сервера
Теперь на компьютерах этой сети достаточно в качестве DNS сервера указать адрес маршрутизатора. Это можно сделать с помощью DHCP.
А не проще ли на компьютерах сразу указать адрес DNS сервера одного из вышестоящий уровней?
Сделать это можно, но это может привести увеличению трафика в сети. Например, один хост обращается на facebook.com. Вслед за ним обращаются к DNS серверу еще 100 хостов. Трафик увеличивается. Однако, если эти функции возложены на маршрутизатор, то маршрутизатор кэширует все запросы и выдает информацию гораздо быстрее, не нагружая при этом сеть.
Если локальная сеть довольно большая, то устанавливают отдельный DNS сервер, который также содержит записи о внутренних хостах и ресурсах, так как в локальной сети могут быть свои серверы.
Для настройки локального DNS сервера в маленькой сети достаточно выполнить команду
Router(config)# ip host имя_хоста IP_адрес
Теперь можно обращаться к хосту по его имени и не нужно запоминать адрес.
Источник
Настройка DNS на маршрутизаторах Cisco
Параметры загрузки
Об этом переводе
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
Содержание
Введение
Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.
Предварительные условия
Требования
Читатели данного документа должны обладать знаниями по следующим темам:
Интерфейс командной строки (CLI) Cisco IOS®
Общая модель поведения DNS
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
Маршрутизаторы Cisco серии 2500
ПО Cisco IOS 12.2(24a)
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Условные обозначения
Настройка маршрутизатора на использование поиска DNS
Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:
| Команда | Описание |
|---|---|
| команда ip domain lookup | Включает преобразование имени хоста в адрес на основе DNS. Эта команда включена по умолчанию. |
| ip name-server | Задает адрес одного или более сервера доменных имен. |
| ip domain list | Задает список доменов, для каждого из которых выполняется попытка использования. Примечание. Если список доменов отсутствует, используется доменное имя, заданное с помощью команды глобальной кофигурации ip domain name. При наличии списка доменов доменное имя по умолчанию не используется. |
| ip domain name | Задает доменное имя по умолчанию, которое используется ПО Cisco IOS для дополнения неполных имен хоста (имен без доменных имен в виде десятичного представления с точкой). Не включайте первую точку, которая отделяет неполное имя от доменного имени. |
| ip ospf name-lookup | Настраивает протокол OSPF для поиска имен DNS, которые необходимо использовать во всех выводах команды OSPF show EXEC. Эта функция упрощает идентификацию маршрутизатора, потому что маршрутизатор называется по имени, а не по идентификатору маршрутизатора или соседа. |
Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:
| Пример основной конфигурации поиска в DNS |
|---|
Устранение неисправностей
Довольно редко можно увидеть одну из следующих ошибок:
Для того чтобы устранить эту проблему, выполните следующие шаги:
Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.
Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:
Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:
Используйте команду debug ip packet 101.
Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.
Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.
Веб-сервер отвечает на эхо-запросы, но HTML-страницы не отображаются
В редких случаях доступ к определенным веб-сайтам по имени невозможен. Обычно проблема возникает из-за недоступных сайтов, выполняющих обратный поиск DNS на исходном IP адресе с целью проверки того, что адрес не имитируется. При возврате неверной записи или отсутствии записей (иными словами, при отсутствии cвязанного названия для диапазона IP-адресов) запрос HTTP будет заблокирован.
Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.
Давайте Давайте Рассмотрим пример, в котором используется www.cisco.com. Приведенные ниже выходные данные были получены от рабочей станции UNIX. Использовались программы nslookup и dig. Обратите внимание на различия в выходных данных:
Программа dig дает более детальную информацию о DNS пакетах:
Маршрутизатор запрашивает несколько серверов преобразования имен
В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:
Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.
Источник
