收藏
下载资源

两种方法实现dns主从服务器数据同步

上传人:第*** 文档编号:32820211 上传时间:2018-02-12 格式:DOCX 页数:6 大小:20.22KB
返回 下载 相关 举报
两种方法实现dns主从服务器数据同步_第1页
第1页 / 共6页
两种方法实现dns主从服务器数据同步_第2页
第2页 / 共6页
两种方法实现dns主从服务器数据同步_第3页
第3页 / 共6页
两种方法实现dns主从服务器数据同步_第4页
第4页 / 共6页
两种方法实现dns主从服务器数据同步_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《两种方法实现dns主从服务器数据同步》由会员分享,可在线阅读,更多相关《两种方法实现dns主从服务器数据同步(6页珍藏版)》请在金锄头文库上搜索。

1、两种方法实现 DNS 主从服务器数据同步为了保证更好地进行域名解析服务,一般在网络中设置主、从两台 DNS 服务器。由于当前各 ISP 间的桥接存在带宽瓶颈,为了使不同 ISP 的用户快速访问高校内部网站,很多学校在配置域名服务器时都采用了 BIND 9 的 VIEW 功能。其实现原理如下:对于发出域名解析请求的不同源 IP 地址,针对同一域名解析到不同的目的 IP 地址,即用户通过最短路径到达欲访问的网站。举例来说,对于校内同一台服务器,教育网用户发出的访问请求解析到的域名 IP 地址是位于教育网上的服务器地址,网通用户解析到的域名 IP 地址是网通上的服务器地址,这样使用户能够访问到最快的

2、服务器。 主域名服务器使用的 VIEW 分界,按照不同查询来源地址来回应不同的答案,这对于一般的查询工作是非常高效的。但是当从服务器进行 SOA 查询或者做 Transfer 时,如果主服务器看到客户端请求,只能回应该客户端所在的 VIEW,而不能顺利完成其他 VIEW的同步。保证主从域名服务器的数据同步,就是为域名服务正常工作提供保障。因此,如何保证域名系统的主从服务器的数据同步性,就显得极为重要。本文分别利用 BIND 9 的TRANSFER-SOURCE 功能和 TSIGKEY 功能,阐述了这一问题的两种不同的解决方案。 触发同步的过程 首先介绍主从服务器的同步过程。触发同步过程的原因有

3、 4 种:1.从域名服务器刚刚启动;2.主域名服务器的 Serial 值增大;3. 执行了 rndc reload 命令;4.到了主从服务器的同步更新时间。 主从域名服务器开始同步(见图 1): 1. 主服务器向从服务器发送 notify 消息 2. 从服务器收到主服务器发送 notify 消息,向主服务器返回一个 notify response 消息。3. 从服务器向主服务器发送 SOA query 消息。 4. 主服务器向从服务器返回 SOA response 消息。 5. 从服务器收到 SOA response 消息后,比对自身的 Serial 值,如果发现主服务器的Serial 值大于

4、自身的 Serial 值,那么就发送 Zone transfer request 消息。 6. 主服务器返回 Zone transfer response 消息。 7. 主服务器执行 Zone transfer。 两种主从服务器的数据同步法 根据主从服务器的同步步骤,要解决域名服务器的同步问题,主要问题是如何标识主服务器的 notify 消息,即 notify 消息隶属于哪个 VIEW、从服务器如何识别 notify 消息。同样,notify response 消息、SOA query、SOA response 消息、Zone transfer request 消息、Zone transfer

5、 response 消息、Zone transfer 的数据也存在类似的问题。Bind 9 提供了两种标识此类信息的方法:1.利用 TRANSFER-SOURCE 功能,从服务器需要设置和 VIEW一一对应的 IP 地址;2. 利用 TSIGKEY 功能对消息进行加密。 利用 TRANSFER-SOURCE 功能 环境假定:授权 domain 是 ; 主 DNS 的 IP 地址是 210.44.112.66(DNS 包含 Internet 和 Cernet 两个 VIEW); 从 DNS 的 IP 地址是 210.44.112.67(对应 Cernet View)和 210.44.112.68

6、(对应Internet View)。 1. 对主 DNS 的配置 include “/etc/cernet.cfg”; /指定教育网地址文件, 可以根据自己的配置来进行灵活配置。view “cernet” /定义了一个 Cernet view match-clients !210.44.112.68;cernet; ; /cernet 是 cernet.cfg 定义的教育网 ACL zone . IN type hint; file named.root; ; zone “” type master; file “cernet.zone” ; allow-transfer 210.44.112

7、.67; ;/使用 210.44.112.67 作 Cernet zone transfer ; ; view internet match-clients !210.44.112.67; any; ; recursion no; zone . IN type hint; file named.root; ; zone IN type master; file internet.zone; allow-transfer 210.44.112.68; ; /使用 210.44.112.68 作 Internet zone transfer ; ; 2.对从服务器的配置 include “/et

8、c/cernet.cfg”; /指定教育网地址文件, 可以根据自己的配置来进行灵活配置。view “cernet” match-clients cernet; ; /cernet 是 cernet.cfg 定义的教育网 ACL zone . IN type hint; file named.root; ; zone “” type slave; file “slave.cernet.zone” ; masters 210.44.112.66; ; allow-source 210.44.112.67; ;/和主 DNS 配置对应 ; ; view internet match-clients

9、any; ; recursion no; zone . IN type hint; file named.root; ; zone IN type slave; file slave.internet.zone; masters 210.44.112.66; ; allow-source 210.44.112.68; ; /和主 DNS 配置对应 ; ; 3.配置分析 在主服务器端配置 VIEW 中的 match-client 和 allow-transfer 标示信息,在从服务器端配置 VIEW 中的 masters 和 allow-source 标识信息,这样做可以解决主从服务器同步问题

10、。利用 TSIGKEY 功能 环境假定:授权域 domain 是 ; 主 DNS 的 IP 地址是 210.44.112.66(DNS 包含 Internet 和 Cernet 两个 VIEW); 从 DNS 的 IP 地址是 210.44.112.67。 1.对主服务器的配置 include “/etc/cernet.cfg”; /指定教育网地址文件, 可以根据自己的配置来进行灵活配置。view “cernet” /定义了一个 Cernet view match-clients key cernetkey; cernet; ; /范围是匹配这些用 cernetkey 加密 的以及 cerne

11、t 地址(?) allow-transfer key cernetkey; ; /只允许用 cernetkey 加密过的 zone transfer 请求 server 210.44.112.67 keys cernetkey; ; / 向从服务器发送消息时,用 cernetkey 加密 zone . IN type hint; file named.root; ; zone “” type master; file “cernet.zone” ; ; ; view internet match-clients key internetkey; any; ; recursion no; all

12、ow-transfer key internetkey; ; / 只允许用 internetkey 加密过的 zone transfer 请求 server 210.44.112.67 keys internetkey; ; / 向从服务器发送消息时,用 internetkey 加密 zone . IN type hint; file named.root; ; zone IN type master; file internet.zone; ; ; 2.对从服务器的配置 include “/etc/cernet.cfg”; /指定教育网地址文件, 可以根据自己的配置来进行灵活配置。view

13、 “cernet” /定义了一个 Cernet view match-clients key cernetkey ;cernet; ; /范围是匹配这些用 cernetkey 加密的,以及 cernet 地址 allow-transfer none ; / 禁止任何 zone transfer 请求 server 210.44.112.66 keys cernetkey; ; / 向主服务器发送消息时,用 cernetkey 加密 zone . IN type hint; file named.root; ; zone “” type slave; masters 210.44.112.66;

14、 file “cernet.zone” ; ; ; view internet match-clients key internetkey; any; ; recursion no; allow-transfer none; / 禁止任何 zone transfer 请求 server 210.44.112.66 keys internetkey; ; / 向主服务器发送消息时,用 internetkey 加密 zone . IN type hint; file named.root; ; zone IN type slave; masters 210.44.112.66; file int

15、ernet.zone; ; ; 使用 dnssec-keygen 命令生成 TSIG key。具体命令如下: /usr/sbin/dnssec-keygen -a alg -b bits -n type options name 3.配置分析 使用 TSIG 对主从 DNS 配置,VIEW 和 KEY 一一对应,从而解决了主从服务器间的消息标示问题。 两方法的优缺点 两种方法比较而言,使用 TRANSFER-SOURCE 功能,需要多设置几个 IP 地址,配置相对简单,原理容易理解,但是造成一定的 IP 地址浪费。使用 TSIG KEY 方法,要准备 KEY 文件,并且 KEY 文件和 VIEW 要一一对应,做起来比较繁琐。 配置技巧 配置过程中的技巧及常见问题: 1.在配置文件中使用 incl

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 工程造价

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号