3 способа убрать «Translating Domain Server» в Cisco IOS
Эта статья направлена на сохранение нервных клеток и времени наших читателей. Дело в том, что по умолчанию, разрешение имен (domain lookup) включено на каждом маршрутизаторе. Тем самым, роутер, интерпретирует каждую команду как имя хоста для подключения по Telnet и пытается разрешить этот хостнейм в IP – адрес, обращаясь к DNS серверу – но, само собой, безуспешно, так как обычно, это команда Cisco IOS, в которой просто допущена ошибка синтаксиса.
В статье мы покажем 3 способа, как можно избавиться от этого безобразия.
Router>en Router#wiki.meironet.ru Translating "wiki.meironet.ru". domain server (255.255.255.255) % Unknown command or computer name, or unable to find computer address
Способ №1: выключаем разрешение имен
Если вашему маршрутизатору не нужно разрешать доменные имена, то почему бы просто не отключить лукап? Делается это предельно просто:
Router>en Router#conf t Router(config)#no ip domain lookup Router(config)#exit
Посмотрите на скриншот – мы отключили лукап и трансляция сразу перестала забирать наше время:
Способ №2: отключаем исходящие Telnet подключения
Если вам все – таки требуется оставить разрешение доменных имен на роутере, то можно пойти другим путем – отключить исходящие Telnet соединения с маршрутизатора, ведь как мы сказали в начале статьи, именно они являются причиной трансляций.
Router>en Router#conf t Router(config)#ip domain lookup Router(config)#line con 0 Router(config-line)#transport output none Router(config-line)#exit Router(config)#exit
Вот что мы имеем на выходе:
Способ №3: регулируем тайм – аут подключения
Итак, финальный способ, это конфигурация таймаута подключения. По умолчанию, Cisco IOS пуляет коннекции с паузой в 30 секунд. Если способ №1 и способ №2 вам не подошли, то этот метод для вас. Сделаем тайм – аут 5 секунд, например:
Router>en Router#conf t Router(config)# ip tcp synwait-time 5 Setting syn time to 5 seconds Router(config)#exit
Настройка DNS сервера в CISCO Дневник Максим Боголепов
Все настройки, приведенные ниже, будут касаться исключительно dns-сервера. Разграничение доступа и безопасность в данной статье не рассматривается. Сперва войдем в cisco и настроим ее внутренний сетевой интерфейс. Попутно отключим преобразование сетевых имен в адреса (чтобы cisco не пыталась каждый раз резолвить неправильно набранную команду); глобально запретим использование протокола CDP (Cisco Discovery Protocol), т.к. подразумевается, что наш маршрутизатор – “пограничный” в сети; так же запретим маршрутизацию от источника:
Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#no cdp run Router(config)#no ip source-route
Произведем настройку нашего внутреннего сетевого интерфейса. Пусть это будет FastEthernet0/1. Обозначим два vlan’а с ip из наших внутренних подсетей 192.168.100.0/24 (vlan 1 – нативный) и 172.16.0.0/24 (vlan 172 – гостевой) соответственно:
Router(config)#interface FastEthernet0/1.1 Router(config-subif)#description LOCALNET Router(config-subif)#encapsulation dot1Q 1 native Router(config-subif)#ip address 192.168.100.1 255.255.255.0 Router(config-subif)#ip virtual-reassembly Router(config-subif)#no cdp enable Router(config-subif)#exit Router(config)#interface FastEthernet0/1.2 Router(config-subif)#description TESTNET Router(config-subif)#encapsulation dot1Q 172 Router(config-subif)#ip address 172.16.0.1 255.255.255.0 Router(config-subif)#ip virtual-reassembly Router(config-subif)#no cdp enable Router(config-subif)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#
Теперь начнем настраивать непосредственно сам сервер: включаем обычный кеширующий DNS ; обозначаем view по-умолчанию, который будет обслуживать подсеть 192.168.100.0/24 (доменная сеть с собственными dns-серверами) на интерфейсе FastEthernet0/1.1; отключаем dns forwarding:
Router(config)#ip dns server Router(config)#ip dns view default Router(cfg-dns-view)#domain name company.ru Router(cfg-dns-view)#domain name-server 192.168.100.2 Router(cfg-dns-view)#domain name-server 192.168.100.3 Router(cfg-dns-view)#domain name-server interface FastEthernet0/1.1 Router(cfg-dns-view)#no dns forwarding Router(cfg-dns-view)#exit
Настроим view для гостевой подсети 172.16.0.0/24 (назовем его TESTNET .RU): включаем логирование; указываем доменное имя; dns сервер (это мы); указываем, на каком интерфейсе обрабатывать запросы для этого view; укажем вспомогательный адрес внешнего dns сервера (8.8.8.8 – google-public-dns-a.google.com):
Router(config)#ip dns view TESTNET.RU Router(cfg-dns-view)#logging Router(cfg-dns-view)#domain name testnet.ru Router(cfg-dns-view)#domain name-server 172.16.0.1 Router(cfg-dns-view)#domain resolver source-interface FastEthernet0/1.2 Router(cfg-dns-view)#domain name-server interface FastEthernet0/1.2 Router(cfg-dns-view)#dns forwarder 8.8.8.8 Router(cfg-dns-view)#dns forwarding source-interface FastEthernet0/1.2 Router(cfg-dns-view)#exit
Нам осталось задать view-list для гостевой подсети TESTNET .RU. Дадим ему соответствующее имя testnet, присвоим этому view порядковый номер:
Router(config)#ip dns view-list testnet Router(cfg-dns-view-list)#view TESTNET.RU 1 Router(cfg-dns-view-list-member)#exit Router(cfg-dns-view-list)#exit
Теперь настроим, кто имеет право доступа к нашему dns серверу и на каком сетевом интерфейсе:
Router(config)#ip dns name-list 1 permit .*\.TESTNET\.RU Router(config)#interface FastEthernet0/1.2 Router(config-subif)#ip dns view-group testnet Router(config-subif)#exit Router(config)#do write Building configuration. [OK] Router(config)#
Вот и все… Проверить работу нашего dns сервера можно следующими командами:
— показать правила доступа к name-list:
Router#sh ip dns name-list ip dns name-list 1 permit .*\.TESTNET\.RU
— показать настроенные view (привожу данные с боевого маршрутизатора):
Router#sh ip dns view DNS View TESTNET.RU parameters: Logging is on (view used 232062 times) DNS Resolver settings: Domain lookup is enabled Default domain name: testnet.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 172.16.0.1 Resolver source interface: FastEthernet0/1.2 DNS Server settings: Forwarding of queries is enabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses: 8.8.8.8 Forwarder source interface: FastEthernet0/1.2 DNS View default parameters: Logging is off DNS Resolver settings: Domain lookup is disabled Default domain name: company.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 192.168.100.2 192.168.100.3 DNS Server settings: Forwarding of queries is disabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses:
— показать настроенные view-list:
Router#sh ip dns view-list View-list testnet: View TESTNET.RU: Evaluation order: 1
— показать статистику использования нашего dns-сервера (привожу данные с боевого маршрутизатора):
main-router#sh ip dns statistics DNS requests received = 446927 ( 446922 + 5 ) DNS requests dropped = 0 ( 0 + 0 ) DNS responses replied = 18270 ( 18265 + 5 ) Forwarder queue statistics: Current size = 0 Maximum size = 29 Drops = 0
Ну, и напоследок – листинг проделанной нами работы:
Router#sh run Building configuration. Current configuration : 1721 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! logging message-counter syslog no logging console ! no aaa new-model ! dot11 syslog no ip source-route ! ip cef ! no ip domain lookup no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 ! archive log config hidekeys ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.1 description LOCALNET encapsulation dot1Q 1 native ip address 192.168.100.1 255.255.255.0 ip virtual-reassembly no cdp enable ! interface FastEthernet0/1.2 description TESTNET encapsulation dot1Q 172 ip address 172.16.0.1 255.255.255.0 ip dns view-group testnet ip virtual-reassembly no cdp enable ! ip forward-protocol nd no ip http server no ip http secure-server ! ip dns view TESTNET.RU logging domain name testnet.ru domain name-server 172.16.0.1 domain resolver source-interface FastEthernet0/1.2 domain name-server interface FastEthernet0/1.2 dns forwarder 8.8.8.8 dns forwarding source-interface FastEthernet0/1.2 ip dns view default domain name company.ru domain name-server 192.168.100.2 domain name-server 192.168.100.3 domain name-server interface FastEthernet0/1.1 no dns forwarding ip dns view-list testnet view TESTNET.RU 1 ip dns name-list 1 permit .*\.TESTNET\.RU ip dns server ! no cdp run ! control-plane ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end Router#
Для тех, кто думает, что dns сервер на cisco требует много ресурсов – данные с Cisco 851, c850-advsecurityk9-m, Version 12.4(15)T17:
cisco-hren#sh proc cpu sort CPU utilization for five seconds: 8%/4%; one minute: 7%; five minutes: 6% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 36 17758272 11593651 1531 1.14% 0.85% 0.71% 0 COLLECT STAT COU 164 10366698 4254215 2436 0.98% 0.68% 0.57% 0 DNS Server 166 4744822 1863907 2545 0.65% 0.33% 0.25% 0 DNS Server Input 4 16165356 904402 17874 0.65% 0.69% 0.64% 0 Check heaps 68 19303331 20922608 922 0.40% 0.51% 0.47% 0 IP Input 65 264 134 1970 0.16% 0.12% 0.06% 2 SSH Process 150 8 8 1000 0.08% 0.00% 0.00% 0 DNS Resolver
cisco-hren#sh ip dns statistics DNS requests received = 2199209 ( 2199205 + 4 ) DNS requests dropped = 0 ( 0 + 0 ) DNS responses replied = 302911 ( 302907 + 4 )Forwarder queue statistics: Current size = 0 Maximum size = 120 Drops = 0 Director queue statistics: Current size = 0 Maximum size = 0 Drops = 0
cisco-hren#sh ip dns view DNS View hrenovskaya.ru parameters: Logging is on (view used 1249505 times) DNS Resolver settings: Domain lookup is enabled Default domain name: hrenovskaya.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 192.168.6.1 Resolver source interface: Vlan1 DNS Server settings: Forwarding of queries is enabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses: 80.82.33.65 80.82.32.9 Forwarder source interface: Vlan1 DNS View default parameters: Logging is off DNS Resolver settings: Domain lookup is disabled Default domain name: hrenovskaya.ru Domain search list: Lookup timeout: 3 seconds Lookup retries: 2 Domain name-servers: 80.82.33.65 80.82.32.9 192.168.6.1 DNS Server settings: Forwarding of queries is disabled Forwarder timeout: 3 seconds Forwarder retries: 2 Forwarder addresses:
Поделиться
Просмотров статьи: 63255 Раздел: Администрирование
Rating: 4.1/5(11 votes cast)
Cisco router в качестве DNS server
Cisco router можно настроить в качестве кеширующего DNS сервера. Это удобно в небольших офисах, где нет серверов Windows и AD.
Общий вид команд выглядит следующим образом:
ip domain lookup ip domain timeout 2 ip domain name office.local ip host name1 192.168.0.11 ip host name2 192.168.0.12 ip name-server 192.168.2.3 ip name-server 178.23.144.5 ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip dns server
ip domain lookup — включает трансляцию имён в ip адреса основанную на dns. Этот параметр включен по умолчанию. Часто его выключают чтобы маршрутизатор не «зависал» при вводе ошибочной команды, но для нашей цели его необходимо включить.
ip name-server — этот параметр задаёт адрес одного или нескольких серверов имён (dns). Приоритет определяется сверху вниз.
ip domain name — задаёт имя домена по умолчанию для пользователей Cisco IOS software для разрешения «неопознаных» доменных имён (имена без суффикса.
ip dns server — включаем собственно кеширующий DNS сервер на циске
Конструкция ip host name1 192.168.0.11 работает подобно файлу hosts в windows.
Проверка:
show ip dns view
DNS server для своих
Предыдущий конфиг приводит к тому, что роутер будет отвечать на все запросы DNS: как изнутри так и снаружи.
Для того, чтобы DNS сервер отвечал только на внутренние запросы у нас есть два пути:
DNS server для своих: ACL
Приведём здесь стандартный ACL, который в том числе запрещает доступ к нашему DNS через внешний интерфейс, и при этом разрешает DNS-запросы наружу:
ip access-list extended outside_acl_in remark --- Add anti-spoofing entries. !--- Deny special-use address sources. !--- Refer to RFC 3330 for add deny ip 127.0.0.0 0.255.255.255 any deny ip 192.0.2.0 0.0.0.255 any deny ip 224.0.0.0 31.255.255.255 any deny ip host 255.255.255.255 any remark --- The deny statement should not be configured !--- on Dynamic Host Configuration Protocol (DHCP) r deny ip host 0.0.0.0 any remark --- Filter RFC 1918 space. deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any remark --- Explicitly permit return traffic. !--- Allow specific ICMP types. permit icmp any any echo permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any time-exceeded deny icmp any any remark --- These are outgoing DNS queries. permit udp any eq domain any gt 1023 remark --- Permit older DNS queries and replies to primary DNS server. permit udp any eq domain any eq domain remark --- Permit legitimate business traffic. permit tcp any any established permit udp any range 1 1023 any gt 1023 remark --- Deny all other DNS traffic. deny udp any any eq domain deny tcp any any eq domain remark --- Allow IPSec VPN traffic. permit udp any any eq isakmp permit udp any any eq non500-isakmp permit esp any any permit ahp any any permit gre any any remark --- These are Internet-sourced connections to !--- publicly accessible servers. permit tcp any any eq 22 remark --- Explicitly deny all other traffic. deny ip any any interface Port-channel1.81 ip access-group outside_acl_in in
DNS server для своих: Split DNS
В данном случае мы можем использовать функционал Split DNS:
ip domain lookup ip domain timeout 2 ip domain name office.local ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip dns server ip dns view no_dns_service_view no domain lookup no dns forwarding ip dns view default domain timeout 2 dns forwarder 8.8.8.8 ip dns view-list no_dns_service_list view no_dns_service_view 1 interface Port-channel1.81 ip dns view-group no_dns_service_list
Просмотр и удаление кеша DNS (DNS cache)
show hosts
clear host all *
How to Disable DNS Lookup in Cisco
When a Cisco router is initially configured, the router’s DNS lookup function is enabled by default. This function is only useful if the router utilizes a DNS server on the network; otherwise, it will cause delays to users. When an erroneous URL is typed, the DNS lookup function will attempt to find the URL on the DNS server. If no DNS server is available, the user’s computer will hang while the lookup is performed. To decrease user delays if no DNS server is configured, disable the DNS lookup function on the Cisco router.