|
在網(wǎng)絡(luò)管理中����,對于DNS服務(wù)的管理是一項(xiàng)基礎(chǔ)性的工作。隨著用戶規(guī)模的擴(kuò)大�����,頻繁地手工修改DNS的區(qū)域數(shù)據(jù)庫文件不是一件輕松的工作���。關(guān)于動態(tài)DNS(DDNS)的研究逐漸引起了人們的關(guān)注�����,不同的平臺都推出了自己的解決方案���。本文將詳細(xì)介紹Linux環(huán)境下DDNS的解決方案,即由InternetSoftwareConsortium(ISC)開發(fā)的BIND-DNS和DHCP(DynamicHostConfigureProtocol�,動態(tài)主機(jī)配置協(xié)議)協(xié)同工作,進(jìn)而共同實(shí)現(xiàn)DDNS的方法��。
在Linux下實(shí)現(xiàn)動態(tài)DNS不僅需要Bind8以上的DNS軟件����,還要有DHCPServerv3.0以上版本����,因?yàn)橹挥?.0以上的版本才完全實(shí)現(xiàn)了對DDNS的支持�����。因此����,本文的實(shí)現(xiàn)環(huán)境采用SlackwareLinux9.0作為DDNS服務(wù)器,其上同時(shí)運(yùn)行DNS和DHCP服務(wù)��,其中DNSServer采用Bind9.2.2�,DHCPServer采用DHCPServerv3.0pl2。
下面詳細(xì)介紹Linux環(huán)境下安全��、動態(tài)DNS的實(shí)現(xiàn)方法�。
創(chuàng)建密鑰
要實(shí)現(xiàn)DNS的動態(tài)更新,首先要考慮的是怎樣保證安全地實(shí)現(xiàn)DDNS�。由ISC給出的方法是創(chuàng)建進(jìn)行動態(tài)更新的密鑰,在進(jìn)行更新時(shí)通過該密鑰加以驗(yàn)證�����。為了實(shí)現(xiàn)這一功能,需要以root身份運(yùn)行以下命令:
root@slack9:/etc#dnssec-keygen-aHMAC-MD5-b128-nUSERmyddns
Kmyddns.+157+37662
上述dnssec-keygen命令的功能就是生成更新密鑰��,其中參數(shù)-aHMAC-MD5是指密鑰的生成算法采用HMAC-MD5�;參數(shù)-b128是指密鑰的位數(shù)為128位��;參數(shù)-nUSERmyddns是指密鑰的用戶為myddns��。
該命令生成的一對密鑰文件如下:
-rw——1rootroot48Jan1418:26Kmyddns.+157+37662.key
-rw——1rootroot81Jan1418:26Kmyddns.+157+37662.private
可以查看剛生成的密鑰文件內(nèi)容:
root@slack9:/etc#catKmyddns.+157+37662.key
myddns.INKEY021574gEF1Mkmn5hrlwYUeGJV3g==
root@slack9:/etc#catKmyddns.+157+37662.private
Private-key-format:v1.2
Algorithm:157(HMAC_MD5)
Key:4gEF1Mkmn5hrlwYUeGJV3g==
仔細(xì)閱讀該密鑰文件就會發(fā)現(xiàn)��,這兩個(gè)文件中包含的密鑰是一樣的���,該密鑰就是DHCP對DNS進(jìn)行安全動態(tài)更新時(shí)的憑據(jù)��。后面需要將該密鑰分別添加到DNS和DHCP的配置文件中��。
修改DNS的主配置文件
密鑰生成后就要開始對/etc/named.conf文件進(jìn)行編輯修改�����,主要目的是將密鑰信息添加到DNS的主配置文件中��。本文給出修改后的/etc/named.conf的一個(gè)實(shí)例:
options{directory"/var/named";file://指定區(qū)域數(shù)據(jù)庫文件的存放目錄};zone"."IN{typehint;file"caching-example/named.ca";};zone"localhost"IN{typemaster;file"caching-example/localhost.zone";allow-update{none;};};zone"0.0.127.in-addr.arpa"IN{typemaster;file"caching-example/named.local";allow-update{none;};};keymyddns{algorithmHMAC-MD5.SIG-ALG.REG.INT;file://指明生成密鑰的算法secret4gEF1Mkmn5hrlwYUeGJV3g==;file://指明密鑰};zone"tcbuu.cn"IN{typemaster;file"tcbuu.cn";file://正向區(qū)域文件名tcbuu.cn���,后文會用到該文件allow-update{keymyddns;};file://指明采用keymyddns作為密鑰的用戶可以動態(tài)更新該區(qū)域“tcbuu.cn”};zone"1.22.10.in-addr.arpa"IN{typemaster;file"tcbuu.cn.arpa";//反向區(qū)域文件名tcbuu.cnallow-update{keymyddns;};file://指明采用keymyddns作為密鑰的用戶可以動態(tài)更新該區(qū)域“1.22.10.in-addr.arpa”};在/etc/named.conf中可以定義多個(gè)區(qū)域�����,只要在允許動態(tài)更新的區(qū)域中增加allow-update{keymyddns;}指令����,即可實(shí)現(xiàn)動態(tài)更新�����,并且只有擁有keymyddns實(shí)體(在本文的實(shí)現(xiàn)中該實(shí)體就是擁有同樣密鑰的DHCP服務(wù)器)才能實(shí)現(xiàn)對該區(qū)域進(jìn)行安全地動態(tài)更新����。相比原來只限定IP地址的方法,該方法要安全得多���。
至此完成對DNS服務(wù)器的配置�����,可以執(zhí)行#named運(yùn)行DNS服務(wù)���。
修改DHCP的配置文件
DHCP的主要功能是為DHCP客戶動態(tài)地分配IP地址、掩碼、網(wǎng)關(guān)等內(nèi)容����。正是由于DHCP的動態(tài)特性,在實(shí)現(xiàn)DDNS時(shí)�����,DHCP成為首選方案��。
給出修改后的/etc/dhcpd.conf的一個(gè)實(shí)例:
#dhcpd.conf#SampleconfigurationfileforISCdhcpd#optiondefinitionscommontoallsupportednetworks...optiondomain-name"tcbuu.cn";optiondomain-name-servers10.22.1.123;default-lease-time600;max-lease-time800;ddns-update-styleinterim;file://指明實(shí)現(xiàn)動態(tài)DNS的方法為interimsubnet10.22.1.0netmask255.255.255.0{range10.22.1.6010.22.1.69;//地址池optionbroadcast-address10.22.1.255;optionrouters10.22.1.100;}keymyddns{//指明密鑰生成的算法及密鑰algorithmHMAC-MD5.SIG-ALG.REG.INT;secret4gEF1Mkmn5hrlwYUeGJV3g==;}zonetcbuu.cn.{primary10.22.1.123;keymyddns;//指明更新時(shí)采取的密鑰keymyddns}zone1.22.10.in-addr.arpa.{primary10.22.1.123;keymyddns;//指明更新時(shí)采取的密鑰keymyddns} 說明:
1.ddns-update-styleinterim
由ISC開發(fā)的DHCP服務(wù)器目前主要支持interim方法來進(jìn)行DNS的動態(tài)更新���,另外一種稱為ad-hoc的方法基本上已經(jīng)不再采用。因此��,實(shí)際上�����,interim方法是目前Linux環(huán)境下通過DHCP實(shí)現(xiàn)安全DDNS更新的惟一方法�。
2.keymyddns{//指明密鑰生成的算法及密鑰
algorithmHMAC-MD5.SIG-ALG.REG.INT;
secret4gEF1Mkmn5hrlwYUeGJV3g==;
}
此段內(nèi)容與/etc/named.conf中的完全一樣。需要注意的是�,在編輯/etc/dhcpd.conf時(shí),{}的末尾沒有“��;”��,這是與/etc/named.conf中不一樣的地方。
3.在/etc/dhcpd.conf中指明的區(qū)域名稱后面一定要以“.”結(jié)尾����。因此zonetcbuu.cn.中的cn和zone1.22.10.in-addr.arpa.中的arpa后面一定要有“.”。
/etc/dhcpd.conf配置完成�,可以執(zhí)行#dhcpd將DHCP服務(wù)運(yùn)行起來。
測試DDNS
經(jīng)過上述服務(wù)器的配置���,現(xiàn)在可以檢測一下DDNS的實(shí)現(xiàn)過程�����。
當(dāng)DNS配置成支持動態(tài)更新后�,在/var/named/目錄下會多出兩個(gè)以.jnl結(jié)尾的二進(jìn)制格式區(qū)域文件���。這兩個(gè)文件是當(dāng)前正在工作的區(qū)域文件的運(yùn)行時(shí)文件�����,所有動態(tài)更新的紀(jì)錄都會最先反映到這兩個(gè)文件中����,然后經(jīng)過大約15分鐘左右才將更新的內(nèi)容反映到文本形式的區(qū)域文件中,即以.jnl結(jié)尾的區(qū)域文件中是最新的內(nèi)容���。
在本文所舉實(shí)例中��,/var/named/目錄下的區(qū)域文件為:
tcbuu.cn正向區(qū)域文件�。
tcbuu.cn.arpa反向區(qū)域文件�。
tcbuu.cn.arpa.jnl臨時(shí)工作的二進(jìn)制正向區(qū)域文件(新增)。
tcbuu.cn.jnl臨時(shí)工作的二進(jìn)制反向區(qū)域文件(新增)����。
1.以Windows2000作為DHCP客戶端測試
(1)設(shè)客戶機(jī)的主機(jī)名為kill-virus,執(zhí)行ipconfig/all顯示所獲得的IP地址為10.22.1.69����。
(2)在客戶端執(zhí)行nslookup測試����。
C:\DocumentsandSettings\Administrator>nslookup
DefaultServer:slack9.tcbuu.cn
Address:10.22.1.123
>kill-virus.tcbuu.cn//測試客戶機(jī)FQDN在區(qū)域文件中是否存在
Server:slack9.tcbuu.cn
Address:10.22.1.123
Name:kill-virus.tcbuu.cn
Address:10.22.1.69//測試結(jié)果,表明該資源紀(jì)錄存在
(3)在客戶機(jī)kill-virus上執(zhí)行ipconfig/release釋放獲得的IP地址����。
(4)在客戶機(jī)kill-virus上執(zhí)行ipconfig/renew重新獲得IP地址。
(5)用nslookup顯示區(qū)域數(shù)據(jù)庫中的內(nèi)容�����。
C:\DocumentsandSettings\Administrator>nslookup
DefaultServer:slack9.tcbuu.cn
Address:10.22.1.123
>lstcbuu.cn//顯示區(qū)域數(shù)據(jù)庫中的資源紀(jì)錄
[ftp.tcbuu.cn]
tcbuu.cn.NSserver=slack9.tcbuu.cn
D2501A10.22.1.60
dellpcA10.22.1.100
kill-virusA10.22.1.61file://IP地址發(fā)生變化
slack9A10.22.1.123
以上測試說明同一臺客戶機(jī)kill-virus通過DHCP服務(wù)可以先后獲得IP地址,并與動態(tài)DNS服務(wù)器建立聯(lián)系����,使該客戶機(jī)的主機(jī)名與獲得的IP地址一同作為一條紀(jì)錄動態(tài)地更新到正向區(qū)域文件中去�?梢圆捎猛瑯拥姆椒y試反向區(qū)域的更新,不再贅述�����。
2.用LinuxDHCP客戶端測試
在LinuxDHCP客戶端進(jìn)行測試時(shí)���,需要執(zhí)行dhcpcd守護(hù)進(jìn)程�����。如果要進(jìn)行動態(tài)更新�����,還需要加上-h參數(shù)����。執(zhí)行的命令格式如下:
#dhcpcd-hMyLinux
其中-h后面跟的是本機(jī)的主機(jī)名,用來通過DHCP服務(wù)注冊到DDNS服務(wù)器的區(qū)域文件中�����,是進(jìn)行動態(tài)更新必不可少的��。
動態(tài)更新后的區(qū)域數(shù)據(jù)庫文件
通過查看正向區(qū)域數(shù)據(jù)庫文件/var/named/tcbuu.cn和反向區(qū)域數(shù)據(jù)庫文件/var/named/tcbuu.cn�����,可以了解區(qū)域數(shù)據(jù)庫文件到底更新了哪些內(nèi)容�����。
#cat/var/named/tcbuu.cn
$ORIGIN.
$TTL36000;10hours
tcbuu.cnINSOAslack9.tcbuu.cn.root.slack9.tcbuu.cn.(
2004011402;serial
3600;refresh(1hour)
1800;retry(30minutes)
36000;expire(10hours)
36000;minimum(10hours)
)
NSslack9.tcbuu.cn.
$ORIGINtcbuu.cn.
dellpcA10.22.1.100
ftpCNAMEslack9
$TTL300;5minutes
kill-virusA10.22.1.61
TXT"3156e87eb0180675cfb5e3e8ad026e78b3"
$TTL36000;10hours
slack9A10.22.1.123
wwwCNAMEslack9
以上區(qū)域文件的書寫格式與更新前相比變化較大��,說明該文件已被更新過了�。這里還要說明的是����,在動態(tài)更新的客戶端kill-virus的A紀(jì)錄下多了一條同名的TXT類型的紀(jì)錄。TXT類型紀(jì)錄是BIND-DNS和DHCP專門用來實(shí)現(xiàn)DDNS的輔助性資源紀(jì)錄����,它的值是哈希標(biāo)示符字符串�,該字符串的值還可以在/var/state/dhcp/dhcpd.leases文件中找到��。
總的來說���,在Linux下通過DHCP實(shí)現(xiàn)安全DDNS的過程可分為三步:第一����,創(chuàng)建進(jìn)行安全動態(tài)更新的密鑰����;第二,修改DNS的主配置文件/etc/named.conf�����,目的是定義采用動態(tài)更新的密鑰及指定可以動態(tài)更新的區(qū)域�����;第三�,修改DHCP的配置文件/etc/dhcpd.conf,目的是定義采用動態(tài)更新的密鑰及指定動態(tài)更新哪些區(qū)域�。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
