Хант Крэйг. TCP/IP Сетевое администрирование

Подождите немного. Документ загружается.

242

Глава 7. Настройка маршрутизации

В динамической маршрутизации применяются протоколы маршрутизации,

осуществляющие выбор лучших маршрутов и обновление таблиц маршрути-

зации. Существует много различных протоколов динамической маршрутиза-

ции. В большинстве систем Unix существует протокол маршрутной информа-

ции RIP (Routing Information Protocol). Работа RIP осуществляется посредст-

вом демона routed, routed создает таблицу маршрутизации на основе инфор-

мации, полученной по сети, а также информации из файла /etc/gateway.

gated - это программный пакет, позволяющий работать с целым рядом про-

токолов маршрутизации в системах Unix, включая такие сложные протоко-

лы, как OSPF (Open Shortest Path First) и BGP (Border Gateway Protocol).

Настройка gated выполняется посредством файла /etc/gated.confКоманды

настройки gated описаны в приложении В.

Данная глава - последняя из посвященных созданию физических сетевых

соединений. После настройки маршрутизации система приобретает способ-

ность к обмену данными. В следующей главе мы начнем изучение различ-

ных приложений и служб, делающих сеть действительно полезной.

• BIND: служба имен Unix

• Настройка DNS-клиента

• Настройка демона named

• Работа с nslookup

Настройка DNS

Поздравляю! Вы установили TCP/IP на уровне ядра, настроили сетевой ин-

терфейс и маршрутизацию. Таким образом, решены все задачи настройки,

позволяющие работать с TCP/IP в системе Unix. И хотя материал, который

мы изучим далее, не является строго необходимым для работы по TCP/IP,

он позволяет сделать сеть более полезной и удобной в работе. В следующих

двух главах мы рассмотрим настройку основных сетевых служб TCP/IP. Ве-

роятно, наиболее важной из таких служб является служба имен.

Это, как и следует из названия, действительно служба - говоря точнее, сер-

вис, облегчающий конечным пользователям работу с сетью. Компьютеры

вполне могут обойтись IP-адресами, но люди предпочитают иметь дело с

именами. Значение службы имен можно оценить по объему материала, отве-

денного ей в этой книге. В главе 3 шла речь о том, для чего нужна служба

имен, в этой главе описана ее настройка, а в приложении С содержится по-

дробное описание команд настройки. Материала данной главы достаточно

для настройки пакета BIND

и работы с ним. При желании выяснить, поче-

му выполняется та или иная операция, либо получить подробные инструк-

ции, обращайтесь к главе 3 и приложению С.

В Unix система DNS реализована в виде пакета Berkeley Internet Name Do-

main (BIND). BIND - это программный пакет, работающий по модели кли-

BIND 8 - это версия пакета для работы с доменными именами, поставляемая в сос-

таве большинства вариантов Linux и Solaris 8. Доступна и более новая версия па-

кета DNS - BIND 9. Синтаксис файлов настройки BIND 8 и BIND 9, по существу,

совпадает. Приводимые примеры должны работать как в BIND 8, так и в BIND 9.

BIND: служба имен Unix

244

Глава 8. Настройка DNS

ент-сервер. Клиентская часть BIND называется DNS-клиентом (resolver).

DNS-клиент генерирует запросы информации, связанной с доменными име-

нами, и передает их серверу. Сервер DNS отвечает на эти запросы. Серверная

сторона BIND реализована в виде демона named (произносится «нэйм-ди»).

В этой главе мы изучим три основных задачи настройки BIND:

• Настройка DNS-клиента BIND

• Настройка сервера имен BIND (named)

• Создание файлов базы данных сервера имен, известных как файлы зон

Зона - это сегмент пространства доменных имен, который входит в компе-

тенцию определенного сервера имен. Зона не может содержать домен, деле-

гированный другому серверу. В данном случае мы используем термин «зо-

на» для обозначения файла базы данных DNS, а термин «домен» обозначает

более широкий контекст. В данной книге домен - часть иерархии доменов,

обозначенная именем домена. Зона - пакет информации о домене, храня-

щейся в файле базы данных DNS. Файл, содержащий информацию о домене,

называется файлом зоны.

Документ RFC 1033, Domain Administrators Operations Guide (Руководство

администратора домена), описывает базовый набор стандартных записей, из

которых состоят файлы зон. Во многих документах RFC предлагаются но-

вые записи DNS, которые не получили широкого распространения. В этой

главе и в приложении С я старался не выходить за рамки основных, часто

используемых записей ресурсов. Мы используем их для создания файлов

зон. Однако способ и сама необходимость создания файлов зон определяются

типом настройки BIND, примененным в системе.

Варианты настройки BIND

Варианты настройки BIND определяются типом службы, доступ к которой

необходимо обеспечить. Четыре уровня службы для BIND: чистый клиент,

специальный кэширующий сервер, основной сервер, подчиненный сервер.

DNS-клиент - это программный код, запрашивающий доменную информа-

цию у сервера. В системах Unix DNS-клиент реализуется в виде библиотеки, а

не самостоятельного клиентского приложения. Некоторые системы, называ-

емые чистыми DNS-клиентами, используют только DNS-клиент (resolver),

и на них не выполняется сервер имен

(named).

Такие системы очень легко на-

страивать: достаточно создать и настроить файл /etc/ resolv.conf.

Три других варианта настройки BIND требуют работы на локальной системе

программы сервера имен named. Приведем эти варианты:

Основной сервер имен (Master)

Основной сервер имен является компетентным (авторитетным, авторита-

тивным) источником любой информации о конкретной зоне. Он загружа-

В литературе могут встретиться и другие переводы термина resolver - поисковый

анализатор, распознаватель, разрешитель, resolver-библиотека. - Примеч. ред.

Настройка DNS-клиента 245

ет информацию в память из локального дискового файла, создаваемого

администратором домена. Этот файл (файл зоны) содержит наиболее ак-

туальную информацию о сегменте иерархии доменов, подчиненном дан-

ному серверу имен. Основной сервер имен является компетентным, по-

скольку он может ответить на любой запрос относительно зоны с полной

уверенностью.

Настройка основного сервера требует полного набора файлов: файлов зон

для зон прямого и обратного отображения, файла conf, файла корневых

указателей и кольцевого файла. Ни один другой вариант настройки не

требует столь обширного набора файлов.

Подчиненный сервер имен (Slave)

Подчиненный, или вторичный, сервер имен получает всю информацию

зоны от основного сервера. Данные зоны передаются основным сервером

и сохраняются подчиненным сервером в локальном файле. Такая переда-

ча называется соответственно передачей зоны. Подчиненный сервер хра-

нит полную копию всех данных зоны и может компетентно отвечать на

запросы относительно этой зоны. Таким образом, подчиненный сервер

также считается компетентным сервером.

Настройка подчиненного сервера имен не требует создания локальных

файлов зон, поскольку эти файлы копируются с основного сервера. Одна-

ко другие файлы - файл загрузки, кэширования и кольцевой - должны

обязательно присутствовать.

Специальный кэширующий сервер имен (Caching-only)

Специальный кэширующий сервер имен выполняет ту же программу, но

не хранит файлы зон. Он узнает ответы на все запросы от других серве-

ров. Получив определенный ответ, сервер кэширует его и использует впо-

следствии для ответа на идентичные запросы. В принципе, все серверы

имен использую кэшированную информацию таким образом, но только

специальный кэширующий сервер имен полностью полагается на этот

метод. Кэширующий сервер не считается компетентным, поскольку по-

лучаемая от него информация - не из первых рук. Данный вариант на-

стройки требует присутствия только загрузочного файла и файла кэши-

рования, но в большинстве случаев присутствует еще и кольцевой файл.

Данный вариант настройки является, вероятно, наиболее распространен-

ным, и после варианта чистого DNS-клиента - самым простым.

Сервер имен может действовать по любому из вариантов либо, как очень час-

то бывает, сочетать несколько вариантов одновременно. При этом на всех

системах работают DNS-клиенты, поэтому мы начнем с изучения настройки

клиентской стороны программного обеспечения DNS.

Настройка DNS-клиента

Настройка DNS-клиента производится посредством файла /etc/resolv.conf.

DNS-клиент (resolver) не является отдельным самостоятельным процессом:

246

Глава 8. Настройка DNS

это библиотека подпрограмм, которые вызываются сетевыми процессами.

Чтение файла resolv.conf происходит в момент, когда начинает работу про-

цесс, нуждающийся в DNS-клиенте, и на время жизни этого процесса коти-

руется. Если файл настройки не найден, DNS-клиент пытается подключить-

ся к серверу

named,

работающему на локальном узле. И хотя такой подход мо-

жет сработать, я не рекомендую им пользоваться. Применение настроек по

умолчанию лишает администратора контроля над DNS-клиентом и делает

его уязвимым для различий в умолчаниях, принятых в различных систе-

мах. По этим причинам следует создавать файл настройки DNS-клиента на

любой системе, работающей с BIND.

Файл настройки DNS-клиента

Файл настройки ясно документирует настройки DNS-клиента. Администра-

тор может указать до трех серверов имен, два из которых являются

резервными - на случай, если не ответит первый сервер. Кроме того, файл

содержит имя домена по умолчанию и прочие параметры работы. Файл

resolv.conf - важнейшая часть настройки службы имен.

resolv.conf - это простой файл, подходящий для чтения людьми. Существу-

ют некоторые вариации команд файла, зависящие от системы. Ниже пере-

числены записи, поддерживаемые большинством систем:

nameserver адрес

Записи nameserver указывают IP-адреса серверов, опрашиваемых DNS-

клиентом на предмет получения доменной информации. Опрос серверов

имен происходит в порядке следования записей

nameserver.

Если от серве-

ра не получен ответ, DNS-клиент посылает запрос следующему серверу

по списку, и так до тех пор, пока не будет достигнут последний из серве-

ров.

Если файл resolv.conf не существует либо в файле отсутствуют запи-

си nameserver, все запросы направляются локальному узлу. Однако если

файл resolv.conf существует и содержит записи nameserver, обращение к

локальному узлу происходит только в том случае, если присутствует со-

ответствующая запись nameserver. Указывайте официальный IP-адрес ло-

кального узла (или адрес 0.0.0.0), но не кольцевой адрес. Официальный

адрес позволяет избежать проблем, возникающих в некоторых вариантах

Unix при использовании кольцевого адреса. Вариант resolv.conf для чис-

того клиента DNS никогда не содержит записи

namerserver,

указывающей

на локальный узел.

domain имя

Запись domain определяет доменное имя по умолчанию. DNS-клиент до-

бавляет доменное имя по умолчанию к любому имени узла, не содержаще-

му точки.

Дополненное таким образом имя узла используется в запросе к

В большинстве реализаций BIND максимальное число опрашиваемых серверов - 3.

Таков наиболее распространенный способ применения доменных имен по умолча-

нию, но этот механизм поддается настройке.

Настройка DNS-клиента 247

серверу имен. Например, если DNS-клиент получает имя crab (не содер-

жащее точки), он добавляет доменное имя по умолчанию в процессе кон-

струирования запроса. Предположим, значение имени в записи domain -

wrotethebook.com, тогда DNS-клиент создает запрос для crab.wrotethebo-

ok.com. Переменная среды LOCALDOMAIN, будучи установленной, имеет

приоритет более высокий, чем запись domain, и значение переменной ис-

пользуется для дополнения имени узла.

search домен...

Запись search определяет ряд доменов, в которых производится поиск, ес-

ли имя узла не содержит точки. Предположим, файл содержит запись se-

arch essex.wrotethebook.com butler.wrotethebook.com. Запрос для узла по

имени cookbook будет преобразован сначала в запрос для имени cookbo-

ok.essex.wrotethebook.com. Если поиск для такого имени не принес поло-

жительных результатов, DNS-клиент создает запрос для cookbook.but-

ler.wrotethebook.com. Вновь получив отрицательный результат, клиент

DNS прервет процесс поиска для имени узла. Используйте запись search

либо запись domain. Предпочтение отдавайте команде search. Никогда не

используйте обе команды одновременно. Переменная среды LOCALDO-

MAIN имеет более высокий приоритет, чем запись search.

sortlist сеть[/маска сети] ...

Адреса, принадлежащие перечисленным в команде sortlist сетям, явля-

ются для DNS-клиента предпочтительными. Если DNS-клиент получает

несколько адресов в ответ на запрос по многосетевому узлу или маршру-

тизатору, адреса сортируются таким образом, что адреса сетей sortlist

предшествуют адресам всех прочих сетей. В ином случае адреса возвра-

щаются приложению в порядке их получения от сервера имен.

Команда sortlist используется редко, поскольку затрудняет работу та-

ких серверных механизмов, как распределение нагрузки. Основным ис-

ключением является ситуация, когда список сортировки настраивается

для предпочтения адресов локальной сети всем прочим адресам. В по-

следнем случае, если клиент DNS состоит в сети 172.16.0.0/16 и один из

адресов, полученных в многоадресном ответе, также принадлежит этой

сети, адрес сети 172.16.0.0 будет предшествовать всем прочим адресам.

options параметр ...

Запись options позволяет устанавливать необязательные параметры на-

стройки клиента DNS. Доступны следующие параметры:

debug

Включает отладку - печать отладочных сообщений на стандартный

вывод, debug работает только в случае, если библиотека DNS-клиента

была собрана с ключом -DDEBUG (в большинстве случаев это не так).

Приведенный перечень отражает параметры BIND 8 для системы Linux. В версии

BIND 8 для системы Solaris отсутствуют параметры rotate, no-check-names и inet6.

248 Глава 8. Настройка DNS

ndots:л

Устанавливает число точек в имени узла, наличие которого служит

критерием необходимости использования списка поиска перед отправ-

кой запроса серверу имен. По умолчанию имеет значение 1. Таким об-

разом, к имени узла с одной точкой не добавляется доменное имя пе-

ред отправкой серверу имен. Если указать параметр ndots:2, к имени

узла с одной точкой добавляется домен из списка поиска перед отправ-

кой запроса, но не к имени с двумя или более точками.

Параметр ndots может пригодиться, если одну из составляющих имени

домена можно спутать с доменом высшего уровня, и пользователи по-

стоянно усекают имена из этого домена. В таком случае запросы будут

передаваться для разрешения прежде всего корневым серверам имен

для поиска в домене верхнего уровня, прежде чем, в конечном итоге,

вернуться на локальный сервер имен. Беспокоить корневые серверы

по пустякам - очень плохой тон. Используйте ndots, чтобы обязать

DNS-клиент принудительно дополнять проблемные имена локальным

доменным именем, чтобы разрешение происходило без обращения к

корневым серверам.

Устанавливает начальный интервал ожидания ответа DNS-клиентом.

По умолчанию интервал ожидания равен 5 секундам для первого за-

проса к каждому серверу. В пакете BIND для системы Solaris 8 данный

параметр имеет синтаксис retrans: п.

Задает число повторных попыток получить ответ на запрос. По умол-

чанию имеет значение 2, то есть DNS-клиент дважды повторяет по-

пытку получить ответ для каждого из серверов в списке серверов,

прежде чем вернуть приложению сообщение об ошибке. В пакете

BIND для системы Solaris 8 данный параметр имеет синтаксис retry: л

и значение по умолчанию 4.

Включает циклический механизм «round-robin» выбора серверов имен.

В обычной ситуации DNS-клиент посылает запрос первому серверу из

списка, а следующему серверу - лишь в том случае, если первый сервер

не ответил на запрос. Параметр rotate предписывает DNS-клиенту рас-

пределить нагрузку поровну между всеми серверами имен.

Отключает проверку доменных имен на соответствие документу

RFC 952, DOD Internet Host Table Specification (Спецификация табли-

цы узлов сети Интернет Министерства обороны). По умолчанию до-

менные имена, содержащие подчеркивание (_), символы не из табли-

цы ASCII либо управляющие символы ASCII, считаются ошибочными.

Воспользуйтесь этим параметром, если существует необходимость ра-

ботать с именами, содержащими подчеркивание.

Настройка демона named 249

Данные настройки предписывают DNS-клиенту передавать все запросы узлу

crab, а если crab не ответил - узлу ога. Ни при каких обстоятельствах запро-

сы не разрешаются локально. Столь простой файл настройки - все, что тре-

буется для работы чистого DNS-клиента.

Настройка демона named

Для настройки DNS-клиента необходим всего один файл; однако настройка

демона named требует присутствия нескольких файлов. Полный набор фай-

лов настройки named выглядит следующим образом:

Пример основан на воображаемой сети, поэтому по умолчанию для доменно-

го имени указано имя wrotethebook.com. Файл взят с узла rodent, который и

обозначен в качестве первого сервера имен. В качестве резервных серверов

выступают crab и ога. Настройка не содержит параметров и списка сорти-

ровки, поскольку они применяются нечасто. Так выглядит файл настройки

обычного DNS-клиента.

Настройка чистого DNS-клиента

Настройки чистого DNS-клиента очень просты. Они идентичны настройкам

обычного клиента, но не указывают локальную систему в качестве сервера

имен. Вот пример файла resolv.conf для системы чистого DNS-клиента:

inet6

Предписывает DNS-клиенту создавать запросы адресов IPv6. В насто-

ящее время в Интернете применяется четвертая версия протокола In-

ternet (IP) - IPv4. Длина адреса в IPv4 составляет 32 бита. Длина адре-

са в IPv6 - 128 бит.

Чаще всего файл настройки resolv.conf содержит в списке поиска локальное

доменное имя, указывает локальный узел в качестве первого сервера имен, а

также один или два резервных сервера имен. Пример такой настройки:

250

Глава 8. Настройка DNS

Файл настройки

Определяет общие аспекты работы named и указывает источники данных

базы DNS, используемой этим сервером. Источниками могут служить ло-

кальные дисковые файлы либо удаленные серверы. Файл настройки

обычно называется named.conf.

Файл корневых указателей

Указывает на серверы корневых зон. Файл корневых указателей обычно

называют named.ca, db.cache, named.root или root.ca.

Кольцевой файл

Используется для локального разрешения кольцевого адреса. Обычно на-

зывается named.local.

Файл прямого отображения зоны

Файл зоны, содержащий отображения имен узлов в IP-адреса. Именно

этот файл содержит основной массив информации о зоне. Чтобы упрос-

тить обсуждение этого файла, в тексте книги он называется просто фай-

лом зоны. Файл зоны обычно имеет наглядное имя, позволяющее понять,

данные какой зоны хранятся в файле, например wrotethebook.com.hosts.

Файл обратного отображения зоны

Файл зоны, содержащий отображения IP-адресов в имена узлов. Чтобы

упростить обсуждение этого файла, в тексте книги он называется файлом

обратной зоны. Файл обратной зоны обычно имеет наглядное имя, позво-

ляющее понять, какие IP-адреса он обслуживает, например 172.16.rev.

Всем этим файлам администратор волен давать любые имена. Однако для то-

го чтобы облегчить коллегам сопровождение системы, следует использовать

наглядные имена для файлов зон, имена named.conf и named.local для загру-

зочного файла и файла кольцевого адреса и одно из широко распространен-

ных имен для файла корневых указателей. В последующих разделах мы

изучим каждый из описанных файлов, а начнем с файла named.conf.

Файл named.conf

Файл named.conf указывает демону named источники информации DNS. Не-

которые из источников представлены локальными файлами; другие - уда-

ленными серверами имен. Создавать следует только файлы, на которые ссы-

лаются операторы master и cache. Мы рассмотрим примеры создания файлов

всех типов.

Структура команд настройки файла named.conf похожа на структуру про-

грамм языка С. Оператор заканчивается точкой с запятой (;), константы за-

ключаются в кавычки (""), а родственные элементы группируются при по-

мощи фигурных скобок ({}). Комментарий может ограничиваться парами

символов /* и */, как в языке С; может начинаться парой символов //, как в

языке С++, либо символом #, как в сценариях командного интерпретатора.

В приводимых примерах использованы комментарии в стиле С++, но, разу-

меется, можно использовать любой из трех стилей - по вкусу.

Настройка демона named

251

В табл. 8.1 описаны основные операторы настройки named.conf. Приводи-

мой информации как раз достаточно, чтобы разобраться в примерах. Однако

в примерах использованы далеко не все команды настройки named.conf, и не

все команды вы будете применять в работе. Набор команд спроектирован та-

ким образом, чтобы охватить полный диапазон вариантов настройки, даже

настройки корневых серверов. Подробная информация о каждом операторе

настройки named.conf содержится в приложении С.

Таблица 8.1. Команды настройки named.conf

Команда Назначение

acl

Определяет список управления доступом, состоящий из адресов IP

include

Включает содержимое внешнего файла в файл настройки

key

Определяет ключи проверки подлинности

logging

Определяет состав журнала сообщений и способ хранения

options

Определяет глобальные параметры настройки и умолчания

server

Определяет свойства удаленного сервера

zone

Определяет зону

Содержимое файла named.conf определяет роль сервера: основной сервер зо-

ны, подчиненный сервер зоны или специальный кэширующий сервер. Луч-

ший способ разобраться с различными вариантами настройки - рассмотреть

конкретные примеры файлов named.conf. В следующих разделах описаны

все варианты настройки.

Настройка специального кэширующего сервера

Настройка специального кэширующего сервера проста. Требуются только

файлы named.conf и named.ca, хотя обычно присутствует еще и named.local.

Для специального кэширующего сервера named.conf может выглядеть так: