Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Кеширующий сервер (Cache server)




Общие сведения о вариантах настройки BIND версий 8 и 9

Сокращение имен

Если в качестве ответов возвращается несколько записей, может возникнуть дублирование текстовых данных. Такая ситуация возникает, например, при возвращении двух записей типа NS — «ns1.isp.net» и «ns2.isp.net». Эффективнее было бы просто возвращать ответ ns1 и ns2 в домене «isp.net». Для уменьшения размера пакета во время DNS-запроса в протоколе DNS реализован метод сокращения передаваемой информации по вышеописанному принципу. Этот метод был разработан для устранения дублирования доменной информации. Для отслеживания дублированной информации была разработана система указателей. Как уже отмечалось ранее, первым в разделе имени является байт, определяющий длину доменного имени. Для сокращения имён значения двух старших бит в нём были изменены. Если эти биты оба равны 0, то байт длины по-прежнему отвечает только за длину доменного имени. Если же оба этих бита равны 1, то значение байта становится указателем смещения в разделе имён, которое указывает на остаток доменного имени, подсоединяемый к имени хоста.

Файл Named из пакета BIND 8-й или 9-й версий конфигурации носит название named.conf и располагается по-умолчанию либо в /etc (версия 9), либо в /etc/namedb (версия 8). У named отсутствует хранимый на диске cache, описание корневой зоны вынесено в отдельный файл, и его нужно прописывать в настройках named. Возможно дистанционное управление named.

При запуске программа named читает файл named.conf и таким образом настраивается.

Рассматриваемые версии named, обладают повышенной устойчивостью сервера к атакам, что и отразилось в настройках. Администратор сервера имеет возможность управлять копированием зон, обслуживанием запросов на разрешение имен ip-адресами (в данном случае слово «разрешение»[13] употребляется в смысле «установка соответствия», а не в смысле «разрешить что-то делать»).

Синтаксис файла настройки версий 8.х и 9.х C-подобный.

Рассмотрим наиболее часто встречающиеся варианты конструкций в файле настройки named.conf. При этом опустим многие вопросы, связанные с безопасностью, динамическим обновлением и другими возможностями.

Как любая прикладная программа, named позволяет переопределить местоположение своего файла настройки при помощи флага b или c в командной строке при своем запуске:

> named -c /var/named.conf

 

Кеширующий сервер - это сервер, который не отвечает ни за одну из зон, но используется для исполнения запросов resolver’ов. Он выполняет функции локального сервера доменных имен, т.е. выполняет рекурсивные запросы от прикладных программ к системе DNS. При этом в его кэш накапливается информация о соответствиях между доменными именами и IP-адресами, что позволяет существенно повысить скорость обработки запросов и разгрузить другие серверы доменных имен.

В соответствии со своими функциями кэширующий сервер будет иметь всего три файла настройки:

- файл named.conf,

- файл с описанием серверов обслуживающих корневую зону

- файл описания обратной зоны для зоны 0.0.127.in-addr.arpa.

Согласно руководству по администрированию BIND версии 9 файл конфигурации named.conf имеет следующий вид:

 

// Two corporate subnets we wish to allow queries from.

acl «corpnets» {192.168.4.0/24; 192.168.7.0/24 };

options {

directory «/var/named»; // Working directory

pid-file «named.pid»; // Put pid file in working

allow-query {«corpnets»;};

};

// Root server hints

zone «.» {

type hint;

file «root.hint»;

};

// Provide a reverse mapping for the loopback address 127.0.0.1

zone «0.0.127.in-addr.arpa» {

type master;

file «0.0.127.in-addr.arpa»;

notify no;

};

В данном примере описана настройка кэширующего сервера для двух подсетей. Они перечислены в access control list (директива acl) и названы как «corpnet». Теперь в любом месте файла настройки можно ссылаться на этот список просто как на «corpnet», что, собственно и сделано в директиве «options».

В директиве «options» вначале указан рабочий каталог named (опция «directory»). В нём располагаются все файлы, которые программа использует при своей работе, в том числе и файлы описания зон. Эта опция аналогична команде «directory» из файла настроек «bind» версий 4.х.

Затем опция «pid-file» указывает имя файла, в который будет помещён идентификатор процесса «named». Этот файл будет расположен в рабочем каталоге named (т.е. /etc/namedb)

Последняя опция директивы «options» – «allow-query». Она определяет список IP-адресов, для которых разрешено обращаться с запросами к серверу. Другие хосты обслуживаться данным сервером доменных имён не будут. Ещё раз обращаем внимание на то, что любые другие хосты с любыми запросами не будут обслуживаться, т.е. не будут обслуживаться как рекурсивные, так и не рекурсивные запросы.

Директива «zone» позволяет описать местоположение и опции для обслуживания зоны. Две зоны обычно всегда описывают. Это зона «.» (корневая зона) и обратная зона для адреса «127.0.0.1».

Описание зоны «.» (корня дерева доменных имен) необходимо для того, чтобы сервер мог обращаться к «корневым» серверам, с запросами на получение справки о том, где искать «ответственного» за зону, из которой клиент хочет получить информацию (IP-адрес или доменное имя). По этой причине тип зоны определен как «hint»[14].

Само описание «корневых» серверов находится в файле «root.hint»[15]. Файл поставляется вместе с дистрибутивом, но администратор должен следить за обновлениями этого файла.

Описание обратной зоны для «127.0.0.1» необходимо для того, чтобы можно было локально разрешать (получать соответствие между IP-адресом и именем) при обращениях с реверсивными запросами к зоне «0.0.127.in-addr.arpa». Описать данную зону нужно в целях соблюдения единообразия, отладки и аккуратной работы сервиса DNS.

Для зоны «0.0.127.in-addr.arpa» сервер будет первичным (primary), поэтому его тип опцией «type» будет определен как «master». Адрес «127.0.0.1» за пределы хоста не маршрутизируется, поэтому у других серверов будет своя зона «0.0.127.in-addr.arpa».

Следует обратить внимание, что речь идёт о кэширующем сервере, а определяется он как «master» для одной из зон. В данном случае термин «кэширующий» говорит о том, что сервер не поддерживает ни одну из реально существующих зон, т.е. ему не делегировано прав на такое обслуживание.

Описание обратной зоны для «0.0.127.in-addr.arpa» находится в файле «0.0.127.in-addr.arpa». Этот файл может иметь любое имя, которое допускается файловой системой. На самом деле в документации по BIND 9.x для описания зоны используется имя «localhost.rev». Изменить имя в примере было нужно для того, чтобы отразить часто встречающуюся практику именования файлов описания зон именами самих зон.

Последняя опция «notify» позволяет реализовать режим оповещения об изменениях другие сервера, которые поддерживают данную зону, обычно, вторичные (резервные, secondary, slave). Для обратной зоны это в принципе не нужно, поэтому опция установлена в значение «no». Если же говорить вообще, то не все серверы поддерживают этот режим. Общая практика заключается в том, что обновления «расползаются» по сети в соответствии с параметрами записи SOA из описания зоны.




Поделиться с друзьями:


Дата добавления: 2014-01-15; Просмотров: 1069; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.008 сек.