BIND 9.3 下使用 TSIG key 简化 view 的设置

gaochong

我正在修改。。。。

但为什么 view telcom 和 view cnc 的 zone transfer 没有问题呢？

在多个view的情况，用TSIG你这种方法和dns server的ip（所属网通、铁通或者电信）有没有关系呢？

请ailms兄 指点迷津！

gaochong

请问 ailms兄 ，你的master/slave 是3个或者更多个view吗？
可以把你的实际配置文件贴出来吗？
或者发站内短信给我可以吗？
谢谢！

網中人

那先別急著設多個 view，
先分一個 internet 跟 intranet 的，也就是外網跟内網。
等這個 ok 了，再繼續增加。

有時，心急吃不了熱湯丸。

gaochong

谢谢網中人 斑竹 指点。。。。
view和zone transfer的原理我还不是特别清楚，要仔细看看书了。
希望 網中人 斑竹 也可以贴一篇 view 和 zone transfer 相关的文章。
现在先设internal和external2个view，如果有问题再麻烦 網中人 斑竹了。。。
谢谢

gaochong

还不懂。。。。網中人 斑竹。

看了ISC.ORG的FAQ，如下：

Q:  How can I make a server a slave for both an internal and an external view at the same time? When I tried, both views on the slave were transferred from the same view on the master.

A: BIND 9.3 and later: Use TSIG to select the appropriate view.

Master 10.0.1.1:
        key "external" {
                algorithm hmac-md5;
                secret "xxxxxxxx";
        };
        view "internal" {
                match-clients { !key external; 10.0.1/24; };
                ...
        };
        view "external" {
                match-clients { key external; any; };
                server 10.0.1.2 { keys external; };
                recursion no;
                ...
        };

Slave 10.0.1.2:
        key "external" {
                algorithm hmac-md5;
                secret "xxxxxxxx";
        };
        view "internal" {
                match-clients { !key external; 10.0.1/24; };
                ...
        };
        view "external" {
                match-clients { key external; any; };
                server 10.0.1.1 { keys external; };
                recursion no;
                ...
        };

但我现在的master和slave都是公网IP，而且分别属于网通、铁通运营商。
这种情况下的internal、external 的 view 改如何实现呢？

gaochong

五、过程分解        

关键就是   match-clients 和 server 语句 ，下面我就针对 “前言”部分提出的问题对具体问题进行一步步的分解 ：

1）你修改并 reload 了 telecom view 的  bob.com. 这个 zone 。注意！正确的命令是 rndc reload bob.com. IN telecom ，记得加上后面的 "IN telecom‘ 。

2）主服务器将向从服务器发送一个 notify 消息，这个消息是用 telecomkey 标识过的。

    （主→从 ：notify）

3）当从服务器收到这个 notify 消息时，会根据消息尾部的 TSIG 部分找出 key 的名称 ：telecomkey 。

4）从服务器对比每个 view 的 match-clients ，发现匹配 telcom 这个 view 的设定

第4个过程我不是很理解，ailms 可以解释详细一点吗？？谢谢

ailms

是的，我有3个 view（telecom、unicom、local），而且同步都正常

既然现在不行，那我们不烦一步步来，通常我会这样做

1）是不是 key 不对？用 ethereal 抓包，看 additional 部分

2）是 address list 有问题吗？

3）view 的排列顺序有问题吗？因为 BIND 实际上不一定比较所有的 view 的 match-clients ，而是先匹配那个 match-clients ，就

   返回那个 view 的数据。

先从这三方面入手，不行再慢慢找

[ 本帖最后由 ailms 于 2006-12-17 17:26 编辑 ]

ailms

原帖由 gaochong 于 2006-12-17 11:07 发表


第4个过程我不是很理解，ailms 可以解释详细一点吗？？谢谢

BIND 会根据 view 的出现顺序，将请求的源地址和 match-clients 一个个做比较，

那个先匹配，就使用该 view 。所以 view 的排列也是很重要的。

gaochong

谢谢 ailms 兄，真的感谢无私奉献的人们。。。
我修改后的配置文件如下：

slave中view crc配置如下：
view "crc" {

match-clients { key "crc-key"; !60.12.226.8; crc; };

allow-transfer { none; };

server 60.12.226.8 { keys "crc-key"; };

zone "." IN {
        type hint;
        file "named.ca";
};

zone "goupper.com" IN {
        type slave;
        masters { 60.12.226.8; };
        file "goupper.com.zone.crc";
};

};

但我的配置文件中有6个view，所以其他的view 也要花费不少时间来研究一下下view排列顺序了。

[ 本帖最后由 gaochong 于 2006-12-17 21:08 编辑 ]

網中人

原帖由 gaochong 于 2006-12-17 08:51 发表

但我现在的master和slave都是公网IP，而且分别属于网通、铁通运营商。
这种情况下的internal、external 的 view 改如何实现呢？

我之前有寫過，不過有點舊了。我相信用 key 的方式是更好的方法。
既然已經有 ailms 兄的文章，我認為已經很足夠了。

雖然我沒弄過 key 的方法，但“由簡而繁”，是我一向的設定方針。給你參考一下。