Bind+DLZ构建企业智能DNS(2)

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 <<>>
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25148
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14

;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                      408518  IN      NS      f.root-servers.net.
.                      408518  IN      NS      g.root-servers.net.
.                      408518  IN      NS      h.root-servers.net.
.                      408518  IN      NS      i.root-servers.net.
.                      408518  IN      NS      j.root-servers.net.
.                      408518  IN      NS      k.root-servers.net.
.                      408518  IN      NS      l.root-servers.net.
.                      408518  IN      NS      m.root-servers.net.
.                      408518  IN      NS      a.root-servers.net.
.                      408518  IN      NS      b.root-servers.net.
.                      408518  IN      NS      c.root-servers.net.
.                      408518  IN      NS      d.root-servers.net.
.                      408518  IN      NS      e.root-servers.net.

;; ADDITIONAL SECTION:
a.root-servers.net.    585058  IN      A      198.41.0.4
a.root-servers.net.    153174  IN      AAAA    2001:503:ba3e::2:30
b.root-servers.net.    15676  IN      A      192.228.79.201
c.root-servers.net.    20756  IN      A      192.33.4.12
d.root-servers.net.    494933  IN      A      128.8.10.90
d.root-servers.net.    153058  IN      AAAA    2001:500:2d::d
e.root-servers.net.    21330  IN      A      192.203.230.10
f.root-servers.net.    325589  IN      A      192.5.5.241
f.root-servers.net.    325589  IN      AAAA    2001:500:2f::f
g.root-servers.net.    249133  IN      A      192.112.36.4
h.root-servers.net.    494933  IN      A      128.63.2.53
h.root-servers.net.    494933  IN      AAAA    2001:500:1::803f:235
i.root-servers.net.    325589  IN      A      192.36.148.17
i.root-servers.net.    325589  IN      AAAA    2001:7fe::53

;; Query time: 5 msec
;; SERVER: 211.157.97.1#53(211.157.97.1)
;; WHEN: Thu Jun  9 15:58:52 2011
;; MSG SIZE  rcvd: 512

4、配置DNSTSIG:
用dnssec-keygen产生加密密钥,一个为public key,另一个为private key

#./dnssec-keygen -a hmac-md5 -b 128 -n HOST cnc #./dnssec-keygen -a hmac-md5 -b 128 -n HOST ct #./dnssec-keygen -a hmac-md5 -b 128 -n HOST edu #./dnssec-keygen -a hmac-md5 -b 128 -n HOST cmcc #./dnssec-keygen -a hmac-md5 -b 128 -n HOST any

named.conf内容如下：

key "rndc-key" { algorithm hmac-md5; secret "s6nZpVLBaIor85SFx4hvog=="; }; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; logging { channel query_log { file "/var/log/named.log" versions 3 size 20m; severity info; print-time yes; print-category yes; print-severity yes; }; category queries {query_log;}; category lame-servers { null; }; }; options { directory "/usr/local/bind/etc"; pid-file "named.pid"; allow-query { any; }; #allow-recursion { none; }; recursion no; listen-on port 53 { 192.168.1.60;127.0.0.1;}; listen-on-v6 port 53 { any;}; }; #TSIG-key key "cnc" { algorithm hmac-md5; secret "R9S1fBP2sZFpPilKfjyg==";}; key "ct" { algorithm hmac-md5; secret "B770VaC6LdwDgt3Sy59Vlw==";}; key "edu" { algorithm hmac-md5; secret "DFsPQkIPB/HXsV7vToKatw==";}; key "cmcc" { algorithm hmac-md5; secret "APpxsffFQLFyYZ0sIIKbrw==";}; key "any" { algorithm hmac-md5; secret "UUADyQriCDB8U6cZVVcprr==";}; acl "dns-ip-list"{ 192.168.1.60; #master DNS IP 192.168.1.61; #slave DNS IP }; include "/usr/local/bind/etc/ip_base/cnc.txt"; include "/usr/local/bind/etc/ip_base/ct.txt"; include "/usr/local/bind/etc/ip_base/cmcc.txt"; include "/usr/local/bind/etc/ip_base/edu.txt"; include "/usr/local/bind/etc/view.conf";