DNSTSIG实现CDN+GSLB.doc

DNS TSIG实现CDN+GSLB/blogs/longrujun/archive/2006/10/26/DNS-TSIG_9E5BB073_CDN_2B00_GSLB.aspxNote1、 本文只涉及User-Server-User过程Request及Response请参考上图2、 有关站点加速及Cache请参考：/tags/SQUID/default.aspx3、 有关大规模站点体系规划及性能优化请参考下图，不深入探讨Server 1:MasterIPADDR=6NETMASK=GATEWAY=Server 2: SlaveIPADDR=9NETMASK=GATEWAY=Master ServerPart I Config Master Dns ServerStep 1、下载并安装Cd /softwarewget /isc/bind9/9.3.2-P1/bind-9.3.2-P1.tar.gztar zxvf bind-9.3.2-P1.tar.gzcd bind-9.3.2-P1./configure -prefix=/Data/apps/named -enable-threadsMakeMake installStep 2、配置1、 基本配置Cd /Data/apps/namedrootlinux named# mkdir etc生成rndc控制命令的key文件rootlinux named# sbin/rndc-confgen etc/rndc.conf从rndc.conf文件中提取named.conf用的keyrootlinux named# cd etc自动在/Data/apps/named/etc生成named.conf文件rootlinux etc# tail -10 rndc.conf | head -9 | sed s/# /g named.conf2、 建立Zone文件目录rootlinux etc# mkdir /Data/named进入/Data/named目录rootlinux etc# cd /Data/namedA、 建立localhost.zonerootlinux named#vi localhost.zone$TTL 86400$ORIGIN localhost. 1D IN SOA root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum 1D IN NS 1D IN A B、 建立named.localrootlinux named#vi named.local$TTL 86400 IN SOA localhost. root.localhost. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS localhost.1 IN PTR localhost.C、 生成named.rootrootlinux named#dig named.rootD、 修改named.confCd /Data/apps/named/etc配置named.conf文件，在后面加入以下代码rootlinux etc# vi named.confoptions directory /Data/named; pid-file named.pid; ; controls inet allow localhost; keys rndckey; ;zone . IN type hint; file named.root;zone localhost IN type master; file localhost.zone; allow-update none; ;zone 0.0.127. IN type master; file named.local; allow-update none; ;E、 测试启动bind/Data/apps/named/sbin/named -c /Data/apps/named/etc/named.conf &Step 3、使用TSIG技术加固DNS服务器3、 下面/为例进行配置使用TSIG技术，执行 dnssec-keygen function 产生加密金钥，一个为 public key 文件，另一个为 private key 文件，产生加密金钥。首先在master上生成两对key，用于教育网和其他部分的IP段,进入named安装的sbin目录cd /usr/local/named/sbin/#用于教育网的view,我们用certnet作为参数./dnssec-keygen -a hmac-md5 -b 128 -n HOST certnet#用于其他部分IP的view,我们用othernet作为参数./dnssec-keygen -a hmac-md5 -b 128 -n HOST othernet加入private keyKey: 1ks7MJQvWmisPMWbRnYYjg=至named.conf文件中在Master建立config及zone文件1、修改named.conf文件加入private key至named.conf文件中，同时删除zone . IN、zone localhost IN及zone 0.0.127. IN配置文件完整的named.conf如下debian:/Data/apps/named/etc# cat named.conf key rndc-key algorithm hmac-md5; secret Ngvc7XGzxmBizws8minZmg=;controls inet port 953 allow ; keys rndc-key; ;options directory /Data/named; pid-file named.pid; ; key certnet algorithm hmac-md5; secret 1ks7MJQvWmisPMWbRnYYjg=;key othernet algorithm hmac-md5; secret CC3eLL3okKM5pBHM1HSMNA=;include acl.conf;2、建立acl.confrootredhatas4 etc# cd /Data/named/rootredhatas4 named# vi acl.conf acl dns-ip-list 6; #主dns服务器IP9; #辅dns服务器IP; acl CNC /16;/17;/17;/16;/16;/16;/16;/15;/15;/15;/15;/15;/13;/13;/15;/16;/16;/16;/18;/17;/15;/13;/14;/16;/16;/13;/15;/15;/14;/13;/17;/19;/17;/16;/17;/17;/18;/18;/15;/16;/18;/18;/17;/16;/16;/16;/16;/16;/16;/16;/16;/17;/16;/13;/18;/21;/21;/18;/21;/20;/21;/21;/19;/21;/19;/21;/21;/20;/20;/21;/21;/20;/21;/21;/21;/16;/17;/16;/17;/18;/24;/18;/17;/19;/19;/19;/19;/18;/16;/17;/17;/17;/19;/19;/15;/14;/16;/17;/14;/14;/15;/17;/15;/14;/15;/15;/17;/17;/18;/16;/15;/16;/17;/17;/16;/17;/17;/16;/19;/19;/19;/19;/15;/16;/17;/18;/19;/17;/18;/18;/19;/19;/17;/15;/15;/16;/16;/15;/16;/19;/20;/18;/20;/14;/15;/16;/18;/18;/17;/14;/16;/16;/13;/14;/14;/13;/15;/16;/19;/19;/18;/17;/教育网IPacl CERT /16;/16;/16;/15;/17;/21;/25;28/32;/15;/14;/13;/15;/12;/15;/13;/12;/17;/16;/19;/12;/17;/11;/16;/28;6/27;28/28;44/30;/24;/16;/20;/13;/10;34/31;36/31;42/31;44/31;50/31;7/32;/14;/15;/14;/24;07/32;08/31;13/32;14/32;16/32;/24;/24;/23;/24;6/32;/24;/24;8/32;/24;/24;7/32;/24;/24;/18;/20;/23;/24;6/32;7/32;/24;/19;/15;7/32;/24;6/32;/23;6/32;58/32;90/32;/24;/20;36/31;10/31;12/30;16/30;20/32;1/32;/19;7/32;/24;2/27;/19;/19;7/32;7/32;7/32;7/32;7/32;/24;7/32;7/32;7/32;/19;/20;/24;7/32;7/32;7/32;/22;15/32;/22;/19;7/32;/15;/15;/14;/14;/24;/15;/14;/13;/16;/15;/14;/12;/16;/15;/16;/17;/20;/13;/24;/24;/24;93/32;37/32;38/32;40/32;43/32;44/30;48/32;54/32;58/32;30/32;30/32;30/32;30/32;30/32;30/32;8/32;/24;/24;1/32;0/32;60/32;/32;/16;/24;/24;/24;/16;/24;86/32;/16;/24;/24;/23;/16;/16;/24;/16;/16;/16;/16;/16;/16;7/32;7/32;/16;/23;/24;/24;7/32;/16;/23;/16;/24;/16;/24;/22;/21;/24;/24;/24;/24;/24;/24;/24;/24;/24;9/32;/32;/32;/24;/32;53/32;/24;/23;/24;/24;/24;7/32;/24;/32;/24;/23;/24;/24;/19;/24;/16;/23;/24;/19;/23;/19;/20;/19;/23;/20;/22;/19;/12;/13;/15;/20;/24;/18;/18;/17;/19;/19;/20;30/32;52/31;58/31;60/31;66/31;/20;/20;/21;/22;7/32;/20;/19;/12;/20;/19;/19;/21;/16;/21;9/32;/23;7/32;/19;7/32;/19;/18;/19;/18;/17;/19;/19;/20;7/32;7/32;9/32;0/32;5/32;13/32;/24;2/32;5/32;0/32;/24;7/32;/32;0/32;/22;/24;7/32;1/32;6/32;/24;7/32;/24;/16;/24;35/32;/25;92/27;2/32;2/32;7/32;03/32;1/32;10/31;12/30;16/30;20/32;/24;/24;7/32;7/32;7/32;/17;/32;10/31;/24;/24;/19;/15;/19;/19;/18;/17;/18;/16;/16;/17;/18;/15;/14;/12;/16;/15;6/32;/14;/15;/16;/19;/15;/18;/24;/19;5/32;/13;/12;/13;/13;/12;/13;34/31;36/31;42/31;44/31;50/31;52/31;58/31;60/31;66/31;72/31;03/32;07/32;14/32;16/32;18/32;/24;6/32;2/27;/24;36/32;/24;/24;/24;/22;/23;6/32;/23;2/32;/19;/24;00/30;04/32;2/29;44/28;63/32;/24;7/32;/19;43/32;44/31;49/32;50/32;8/31;0/32;9/32;7/32;/11;/13;/11;/14;/14;/15;/12;/13;28/25;4/26;28/26;/16;/16;/11;/13;/12;/15;/14;/24;7/32;/11;/12;10/32;/16;/14;/16;/12;/15;/16;/14;/13;/14;/15;/14;/16;/24;/15;/13;/12;/12;/11;/11;/16;/14;/13;/14;/13;/12;/12;/13;/15;/16;/15;/13;/15;view cncnet match-clients !key certnet;!key othernet; dns-ip-list; CNC; recursion yes; zone type master; file c; #网通解析文件 allow-query any; ; allow-update none; ; allow-transfer dns-ip-list; ; #允许slave dns服务器进行zone传输 ; zone type master; file c; #网通解析文件 allow-query any; ; allow-update none; ; allow-transfer dns-ip-list; ; #允许slave dns服务器进行zone传输 ; zone . IN type hint; file named.root; ; zone localhost IN type master; file localhost.zone; allow-update none; ; ; zone 0.0.127. IN type master; file named.local; allow-update none; ; ;view certnet match-clients key certnet;CERT; ; server 9 keys certnet; ;#同步到辅dns recursion yes; zone type master; file longrujun.cert;#教育网解析文件 allow-query any; ; allow-update none; ; allow-transfer dns-ip-list; ;#允许slave dns服务器进行zone传输 ; zone type master; file test.cert;#教育网解析文件 allow-query any; ; allow-update none; ; allow-transfer dns-ip-list; ;#允许slave dns服务器进行zone传输 ; zone . IN type hint; file named.root; ;