The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"DNS сервер на cisco"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"DNS сервер на cisco"  +/
Сообщение от Mike email(??) on 19-Май-08, 21:49 
Привет!
А у всех DNS сильно жрет процессор ?
3845 500Мб оперативки, клиентов порядка 100 - 200
Загрузка CPU порядка 60%
Отключаю DNS - загрузка падает до 8%
Включен обычный кеширующий DNS - ip dns server

И еще вопрос - IOS еще не научился DNS зоны трансферить?
Спасибо.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "DNS сервер на cisco"  +/
Сообщение от Vaso_Petrovich on 19-Май-08, 22:26 
>Привет!
>А у всех DNS сильно жрет процессор ?
>3845 500Мб оперативки, клиентов порядка 100 - 200
>Загрузка CPU порядка 60%
>Отключаю DNS - загрузка падает до 8%
>Включен обычный кеширующий DNS - ip dns server

процы в сиська слабые, так что это нормально

>И еще вопрос - IOS еще не научился DNS зоны трансферить?

не знаю, но врят ли это откруатльно ведь она всего одну зону держит


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DNS сервер на cisco"  +/
Сообщение от Mike email(??) on 20-Май-08, 10:48 
А можно ли как-нибудь настраивать параметры DNS кэша? Ну там количество записей в кэеше или время жизни записи?


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "DNS сервер на cisco"  +/
Сообщение от TrEK email(ok) on 21-Май-08, 19:41 
>А можно ли как-нибудь настраивать параметры DNS кэша? Ну там количество записей
>в кэеше или время жизни записи?

ВОпрос.. зачем на Циске ДНС-сервер?...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "DNS сервер на cisco"  +/
Сообщение от Mike email(??) on 21-Май-08, 22:50 
>ВОпрос.. зачем на Циске ДНС-сервер?...

Странный ВОпрос.
За тем же, зачем на ней DHCP или VPN или файевол или маршртуизатор.
Твой вопрос звучит как "чем циска лучше компютера"
Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины и перевел бы его на циску
потому что считаю что безопасность при этом сильно повыситься а затраты на администрирование снизится.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "DNS сервер на cisco"  +/
Сообщение от Алексей (??) on 21-Май-08, 23:54 
>>ВОпрос.. зачем на Циске ДНС-сервер?...
>
>Странный ВОпрос.
>За тем же, зачем на ней DHCP или VPN или файевол или
>маршртуизатор.
>Твой вопрос звучит как "чем циска лучше компютера"
>Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины
>и перевел бы его на циску
>потому что считаю что безопасность при этом сильно повыситься а затраты на
>администрирование снизится.

На самом деле даже в самой циске никогда не приводят примеров работы dns-сервера на оборудовании циско, у них даже всегда в курсах присутствует выделенный dns-сервер.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "DNS сервер на cisco"  +/
Сообщение от Mike email(??) on 22-Май-08, 07:33 
>На самом деле даже в самой циске никогда не приводят примеров работы
>dns-сервера на оборудовании циско, у них даже всегда в курсах присутствует
>выделенный dns-сервер.

И теперь мне стало понятно почему :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "DNS сервер на cisco"  +/
Сообщение от TrEK email(ok) on 22-Май-08, 00:24 
>>ВОпрос.. зачем на Циске ДНС-сервер?...
>
>Странный ВОпрос.
>За тем же, зачем на ней DHCP или VPN или файевол или
>маршртуизатор.
>Твой вопрос звучит как "чем циска лучше компютера"
>Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины
>и перевел бы его на циску
>потому что считаю что безопасность при этом сильно повыситься а затраты на
>администрирование снизится.

Затраты снизяться... если Вы имеете ввиду кеширующий ДНС-сервер.. то спору нет.. Но нагрузка на проц??
а кроме того... транфер зон... МХ,CNAME,PTR записи.. где на Циске будет Вам полноценный ДНСсервер? ))

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "DNS сервер на cisco"  +4 +/
Сообщение от vvagin on 05-Авг-10, 10:27 
>>ВОпрос.. зачем на Циске ДНС-сервер?...
>
>Странный ВОпрос.
>За тем же, зачем на ней DHCP или VPN или файевол или
>маршртуизатор.
>Твой вопрос звучит как "чем циска лучше компютера"
>Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины
>и перевел бы его на циску
>потому что считаю что безопасность при этом сильно повыситься а затраты на
>администрирование снизится.

Недавно столкнулся с такой же необходимостью поднять на Cisco боле-менее полноценный Split-DNS.
Источники информации:
a) How to configure Cisco Router as Authoritative DNS Server - http://www.itsyourip.com/cisco/how-to-configure-cisco-router.../
b) Split DNS - http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html
c) Собственные "прямые" руки и помощь друзей

Схема:
[Офисный LAN]---eth1[Cisco]eth0---[WAN]
, в офисной сети есть почтовый и веб сервера. Соответственно нужно, чтоб внешние пользователи получали "реальные" IP адреса этих серверов, а офисные пользователи их локальные IP адреса.

Решение:
1. Включаем DNS сервер
conf t
ip dns server
end

2. Настраиваем Authoritative DNS сервер
conf t
ip dns primary test.com soa ns.test.com admin.test.com
ip domain name test.com
end

3. Создаём таблицу хостов для локальных и внешних пользователей:
conf t
ip host test.com ns ns.test.com
ip host test.com mx 10 mail.test.com
ip host ns.test.com x.x.x.x
ip host mail.test.com x.x.x.x
ip host www.test.com x.x.x.x
ip host view LAN test.com y.y.y.1
ip host view LAN ns.test.com y.y.y.1
ip host view LAN mail.test.com y.y.y.2
ip host view LAN www.test.com y.y.y.3
end
, где х.х.х.х - IP адрес установленный на интерфейсе eth0
      y.y.y.1 - IP адрес установленный на интерфейсе eth1
      y.y.y.N - внутренние IP адреса серверов в офисной сети

4. Создаём view для локальных и внешних пользователей:
conf t
ip dns view LAN
domain name test.com
exit
ip dns view default
domain name test.com
no dns forwarding
end
, дополнительные параметры в каждом view выставляются по необходимости (см. источники указанные выше), в данном варианте отключаются все запросы от внешних пользователей не относящихся к домену test.com

5. Создаём view-list'ы:
conf t
ip dns view-list LAN-Group
view LAN 1
exit
ip dns view-list WAN-Group
view default 1
end

6. Назначаем view-group интерфейсам:
conf t
int eth0
ip dns view-group WAN-Group
exit
int eth1
ip dns view-group LAN-Group
end

7. Не забываем настроить редирект 25 и 80 портов на соответствующие внутренние сервера!

P.S. Никогда не понимал людей, которые вместо того, чтоб помочь ответами, засоряют форумы выражениями типа:
---
- ВОпрос.. зачем на Циске ДНС-сервер?...
...
- На самом деле даже в самой циске никогда не приводят примеров работы dns-сервера на оборудовании циско, у них даже всегда в курсах присутствует выделенный dns-сервер.
----

Не показывайте свою некомпетентность или лень!!! Вас не спрашивают - ЗАЧЕМ? Вас спрашивают - КАК?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "DNS сервер на cisco"  +/
Сообщение от Орлов Денис Валентинович email on 06-Май-12, 10:22 
> Не показывайте свою некомпетентность или лень!!! Вас не спрашивают - ЗАЧЕМ? Вас
> спрашивают - КАК?

Молоток. Респект.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "DNS сервер на cisco"  +/
Сообщение от TrEK email(ok) on 06-Май-12, 13:17 
>> Не показывайте свою некомпетентность или лень!!! Вас не спрашивают - ЗАЧЕМ? Вас
>> спрашивают - КАК?
> Молоток. Респект.

Хорошо, что на мои вопросы по Астериску и воайпи все спешат показать свою компетентность.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "DNS сервер на cisco"  +/
Сообщение от bony599 on 18-Май-12, 16:04 
Я использую в качестве первичного DNS сервера своего домена, а так же в качестве DNS-прокси cisco 1841. Вторичного авторитарного DNS сервера не делал, в качестве первого NS используется IP адрес loopback интерфейса из автономной системы, а в кажестве резервного NS - IP интерфейса стыка с основным провайдером. Загрузку ЦП можно увидеть ниже.
Конечно не айс, но в каком то приближении использовать в качестве DNS-сервера можно.
Главное преимущество - компактность сетевой инфраструктуры.
Но одну проблему я так и не разрешил. Может кто подскажет?
Проблема при использовании cisco в качестве кэширующего DNS-сервера. Понятно, да? Хосты из моей сети разрешают FQDN обращаясь к моей пограничной циске, а та к двум провайдерам подключенным с использованием BGP.
Для соответствующего DNS-представления указаны 4 DNS-форвардера, по два от каждого провайдера. Так вот, циска при разрешении каждого имени обращается к форвардерам по списку форвардеров, каждый раз начиная с первого! Что соответственно приводит к жопе, если на первое место в представлении вручную не поставить доступный DNS-форвадер.
Неужели циска не может отправить UDP DNS-запрос одновременно на несколько форвардеров или хотя бы использовать раунд-робин для форвардеров?

Загрузка ЦП при использовании DNS-сервера на cisco 1841:
r1#sh proc cpu his

head-r1   03:48:53 PM Friday May 18 2012 Moscow


                      2222211111                    11111
    888333339999944444111114444422222666668888866666111113333355
100
90
80
70
60
50
40
30
20                   *****
10 ***     *****     **********     ********************     **
   0....5....1....1....2....2....3....3....4....4....5....5....6
             0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)


    2 92879452616266 265 618767293516452993246933579733328112917
    199502969019098574658458386798377145991599311459800022711970
100   *   *                     *       **         *         *
90   *   *                *    *       **    *    *         *
80   * * *                *  * *       **    *   ***    *   *
70   * ***       **  *    **** *   *   **   **   ***    *   * *
60   * *** * * * **  ** * **** *   *   **   **   ***    *   * *
50   * ***** * * **  ** * **** * * * * **  ***  ****    *   * *
40   * ***** * * **  ** * **** *** *** ##  ***  **#*    *   * *
30   ****#** * ****  ** * #****#** ****##*******###**** *   * *
20 * #*#####******* *** **##*#*#***##**###*####*####****#* *#**
10 ################*###*#######################################
   0....5....1....1....2....2....3....3....4....4....5....5....6
             0    5    0    5    0    5    0    5    0    5    0
               CPU% per minute (last 60 minutes)
              * = maximum CPU%   # = average CPU%


    999999999996956599999999999999954522232122268999999998522223222223247797
    999999999996660799999999999999931098332578780999399996967277124102667995
100 *********** *   ***************              *** ****                 *
90 *********** *   ***************              *********                *
80 *********** *   ***************             **********              ****
70 *************   ***************            ***********              ****
60 *******************************            ************             ****
50 ******************************** *         ************            *****
40 **********************************         ************    *       *****
30 ************************************ *  ***************** **     *******
20 ***#******************#*************************************************
10 #######**************##########***************#########***************##
   0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
             0    5    0    5    0    5    0    5    0    5    0    5    0
                   CPU% per hour (last 72 hours)
                  * = maximum CPU%   # = average CPU%

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "DNS сервер на cisco"  +/
Сообщение от Max Korsak email on 21-Окт-13, 14:53 
Не, ребята не в цисковских процах проблема, а в карявых руках админа. Проц нагружается от того, что он сам пытается всё резолвить через root сервера. Циска это может, но не должна, по скольку не расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу циску так, что бы все dns резолвились на провайдера.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "DNS сервер на cisco"  +/
Сообщение от Mike (??) on 29-Окт-13, 09:37 
а если я сам провайдер?

> расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу
> циску так, что бы все dns резолвились на провайдера.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "DNS сервер на cisco"  +/
Сообщение от Max Korsak email on 29-Окт-13, 18:18 
Тогда покупайте соответствующее железо. Линейка small-buizness при правильной настройке на отлично выполняет свои функции для более чем 500 компов (на данный момент). Однако, если вы региональный провайдер, я вас умоляю, не цепляйте 20 тонную фуру к запарожу, брите линейку enterprise.

> а если я сам провайдер?
>> расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу
>> циску так, что бы все dns резолвились на провайдера.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "DNS сервер на cisco"  +/
Сообщение от bony599 on 29-Окт-13, 11:05 
> Не, ребята не в цисковских процах проблема, а в карявых руках админа.
> Проц нагружается от того, что он сам пытается всё резолвить через
> root сервера. Циска это может, но не должна, по скольку не
> расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу
> циску так, что бы все dns резолвились на провайдера.

Я оставил свои DNS-зоны на циске, а разрешение имен, с которыми циска не справлялась,  сделал через службу dns-сервера на windows server DMZ-сегмента.
Не в тему, но эта служба windows тоже странно написана. Обход списка форвардеров для каждого разрешения начинается с первого и если первый форвардер в списке не доступен, то начинается жопа. Пришлось написать сценарий, который периодически запускается планировщиком, ранжирует форвардеров по скорости ответа и сортирует их в списке службы DNS-сервера.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "DNS сервер на cisco"  +/
Сообщение от Mike (??) on 06-Ноя-13, 09:02 
Самое познавательное в этой истории что тема открыта в 2008, когда, наверное, не все здесь отписавшиеся уже знали что такое cisco  ))
и спустя 5 лет ничего не изменилось я смотрю )))

> Я оставил свои DNS-зоны на циске, а разрешение имен, с которыми циска
> не справлялась,  сделал через службу dns-сервера на windows server DMZ-сегмента.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру