Máy chủ DNS nào tốt hơn để đăng ký khi máy chủ DNS tiêu chuẩn không hoạt động. Tự cấu hình tùy chọn DDNS

SERGEY SUPRUNOV, kỹ sư viễn thông có hồ sơ CNTT rộng. Trong thời gian rảnh rỗi, anh ấy nghiên cứu FreeBSD và Python và cố gắng hiểu sự không thích của mình đối với KDE

Cấu hình máy chủ DHCP
và định cấu hình cập nhật DNS động

Tất nhiên, khách hàng luôn đúng. Nhưng chỉ trong phạm vi máy chủ cho phép anh ta làm.

Cài đặt và cấu hình máy chủ ISC DHCP

Việc triển khai máy chủ DHCP phổ biến nhất trên các hệ thống giống UNIX là sự phát triển dhcpd của Hiệp hội Hệ thống Internet (ISC). Theo mặc định, FreeBSD không bao gồm chương trình này. Việc cài đặt khá dễ dàng từ bộ sưu tập “Ports”:

# cd /usr/ports/net/isc-dhcp30-server/

# thực hiện cài đặt

Nhưng thật không may, tại thời điểm viết bài, phiên bản duy nhất có thể được cài đặt mà không gặp vấn đề gì - 3.0.7 - đã rất lỗi thời (sự hỗ trợ của nó đã chính thức ngừng hỗ trợ vào tháng 3 năm 2009).

Do đó, người ta đã quyết định cài đặt ISC DHCP phiên bản 4.1.0 từ nguồn (lệnh “./configure --help” sau khi giải nén sẽ cho phép bạn xem các tùy chọn cấu hình có sẵn; bạn có thể muốn sử dụng một số trong số chúng) :

# tìm nạp http://ftp.isc.org/isc/dhcp/dhcp-4.1.0.tar.gz

dhcp-4.1.0.tar.gz 100% của 1061 kB 174 kBps

# tar xzvf dhcp-4.1.0.tar.gz

# cd dhcp-4.1.0

# ./configure

# làm

# thực hiện cài đặt

Sau khi cài đặt, bạn sẽ phải chuẩn bị thủ công một tập lệnh tự động chạy. Bạn có thể sử dụng một trong những thứ có sẵn trong /usr/local/etc/rc.d hoặc /etc/rc.d làm cơ sở. Ở đây tôi đã gian lận một chút và sử dụng tập lệnh từ cổng máy chủ isc-dhcp-30:

# cd /usr/ports/net/isc-dhcp30-server

#mkdirwork

# lập danh sách ứng tuyển

# cp work/isc-dhcpd /usr/local/etc/rc.d/

Vì tên daemon và hầu hết các khóa khởi động đều giống nhau nên việc thay thế như vậy sẽ không gây ra vấn đề gì.

Có một điểm quan trọng - để máy chủ DHCP hoạt động, nhân hệ thống phải được lắp ráp với sự hỗ trợ cho thiết bị giả bpf (bộ lọc gói Berkeley; được sử dụng để nhận dữ liệu “thô” từ giao diện, bao gồm cả các gói quảng bá). Hạt nhân GENERIC luôn bao gồm sự hỗ trợ này, vì vậy trừ khi bạn loại trừ nó một cách rõ ràng, việc xây dựng lại hạt nhân sẽ không cần thiết.

Bạn có thể kiểm tra xem thiết bị này có được đưa vào kernel của mình hay không bằng cách này:

$ grep bpf /usr/src/sys/`uname -p`/conf/`uname -i`

# Thiết bị `bpf" kích hoạt Bộ lọc gói Berkeley.

# Lưu ý rằng "bpf" là bắt buộc đối với DHCP.

thiết bị bpf # Bộ lọc gói Berkeley

Bây giờ, hãy thêm một vài dòng vào /etc/rc.conf (tuy nhiên, điều này sẽ chỉ hoạt động nếu việc xử lý biến được cung cấp trong tập lệnh tự khởi động; isc-dhcpd, mà chúng tôi “tách ra” khỏi các cổng, cung cấp nó):

dhcpd_enable="CÓ"

dhcpd_ifaces="nfe0"

Các tham số cơ bản được thiết lập trong tệp /usr/local/etc/dhcpd.conf (một tệp ví dụ sẽ được cài đặt trong quá trình cài đặt).

Hãy xem một ví dụ về cấu hình không phức tạp nhưng khá khả thi:

# Tên miền. Tên máy chủ của khách hàng sẽ được mở rộng sang FQHN

tùy chọn tên miền "example.org";

# Máy chủ DNS sẽ được cung cấp cho khách hàng.

# Bạn cũng có thể sử dụng địa chỉ IP của họ

tùy chọn máy chủ tên miền ns1.example.org, ns2.example.org;

# “Mặc định” và thời gian thuê địa chỉ tối đa tính bằng giây

thời gian thuê mặc định 3600;

thời gian thuê tối đa 86400;

có thẩm quyền;

# Một phương pháp cập nhật động DNS.

# Chúng ta sẽ nói chuyện nhiều hơn sau, bây giờ chúng ta sẽ tắt nó đi

ddns-update-style không có;

# Nguồn thông báo để ghi nhật ký qua syslogd

cơ sở đăng nhập local7;

#Khai báo mạng con

phạm vi 192.168.1.200 192.168.1.249;

Bộ định tuyến tùy chọn 192.168.1.1;

Ở phần đầu của tệp, các tham số chung được đặt, nếu cần, có thể được xác định lại thêm trong các “khai báo” riêng biệt về mạng con và phạm vi. Thông thường, tên miền, danh sách các máy chủ DNS (nếu sử dụng cùng một máy chủ cho hầu hết các mạng được hỗ trợ) và các giá trị cho thời gian thuê được chỉ định ở đây (theo mặc định là mức tối đa; nếu cần, bạn có thể đặt mức tối thiểu).

Tham số có thẩm quyền cho phép bạn khai báo máy chủ có thẩm quyền (chịu trách nhiệm) trong mạng được phục vụ. Sự khác biệt giữa máy chủ có thẩm quyền và máy chủ “thông thường” là máy chủ “thông thường” bỏ qua mọi yêu cầu đối với các địa chỉ không được mô tả trong cấu hình của nó, trong khi máy chủ có thẩm quyền gửi DHCPNAK để đáp ứng các yêu cầu đó. Nhờ hành vi này, máy khách được chuyển từ mạng con khác sẽ có thể nhận được địa chỉ mới nhanh hơn (để đáp lại DHCPREQUEST có địa chỉ từ mạng con trước đó, nó sẽ ngay lập tức nhận được DHCPNAK và bắt đầu lấy địa chỉ mới; nếu không, DHCPDISCOVER sẽ chỉ được gửi sau khi câu trả lời hết thời gian chờ). Đồng thời, các máy chủ DHCP “ngẫu nhiên” (ví dụ: được khởi chạy nhầm với cài đặt từ tệp ví dụ) ít có khả năng can thiệp vào mạng hơn, vì không có thẩm quyền, chúng sẽ chỉ bỏ qua các yêu cầu DHCPREQUEST của “người khác”.

Để giữ các bản ghi (và chúng sẽ không bao giờ thừa), ngoài việc khai báo nguồn (cơ sở) trong cấu hình dhcpd, bạn sẽ cần thực hiện thêm hai việc nữa: tạo một tệp nhật ký (ví dụ: bằng lệnh “touch /var /log/dhcpd.log”) và thêm dòng này vào /etc/syslog.conf:

local7.* /var/log/dhcpd.log

Sau đó syslogd cần được khởi động lại:

/etc/rc.d/syslogd khởi động lại

Chà, đừng quên định cấu hình xoay vòng tệp nhật ký này trong /etc/newsyslog.conf.

Hãy quay lại cấu hình dhcpd. Tất cả những điều thú vị nhất đều có trong phần mô tả của mạng con. Trong ví dụ của chúng tôi, mọi thứ đều đơn giản - với dòng phạm vi, chúng tôi chỉ định phạm vi địa chỉ mà dhcpd có thể “thuê” cho máy khách, tùy chọn bộ định tuyến chỉ định danh sách các tuyến mặc định. Một cài đặt khác cần thiết để làm việc trên mạng—địa chỉ máy chủ DNS—sẽ được lấy từ máy chủ tên miền tùy chọn chung.

Xin lưu ý rằng dựa trên mô tả của mạng con, máy chủ có thẩm quyền sẽ phân biệt giữa địa chỉ “hợp lệ” và “không hợp lệ”. Do đó, một máy chủ chạy với cấu hình trên sẽ trả về DHCPNAK để đáp ứng yêu cầu (DHCPREQUEST) cho địa chỉ 192.168.0.22 (vì địa chỉ được yêu cầu không rơi vào mạng con mà nó biết), nhưng sẽ giữ im lặng khi yêu cầu địa chỉ 192.168.1.22 (vì đây là địa chỉ, mặc dù không được bao gồm trong bất kỳ phạm vi nào, nhưng vẫn chính xác cho mạng con này và có thể được phục vụ bởi máy chủ DHCP thứ hai; chúng ta sẽ nói về điều này chi tiết hơn ở phần sau).

Ngoài phạm vi địa chỉ và cổng, bạn có thể chỉ định một số lượng lớn các tùy chọn bổ sung trong phần mô tả mạng con. Bạn có thể tìm thấy danh sách đầy đủ các tùy chọn được hỗ trợ trong trợ giúp: man dhcp-options(5).

Nếu có thể truy cập nhiều mạng con thông qua một giao diện thì các khai báo mạng con của chúng phải được lồng trong một khai báo mạng chia sẻ:

mạng chia sẻ rl0-net (

Mạng con 192.168.1.0 mặt nạ mạng 255.255.255.0 (

Phạm vi 192.168.1.100 192.168.1.199;

Bộ định tuyến tùy chọn 192.168.1.1;

Mạng con 192.168.2.0 mặt nạ mạng 255.255.255.0 (

Phạm vi 192.168.2.100 192.168.2.199;

Bộ định tuyến tùy chọn 192.168.2.1;

Các tùy chọn chung cho tất cả các mạng con có thể được đặt trực tiếp trong phần khai báo mạng chia sẻ - trong trường hợp này chúng sẽ ảnh hưởng đến tất cả các phần khai báo mạng con.

Bể bơi và lớp học

Đôi khi cần phải phân chia khách hàng theo tiêu chí này hay tiêu chí khác và cung cấp cho họ những lựa chọn khác nhau. Ví dụ: chúng tôi muốn phân phối địa chỉ từ phạm vi 10.0.0.10 - 10.0.0.19 cho các máy khách có tên máy chủ bắt đầu bằng "a" (ví dụ: "acer") và cho tất cả các địa chỉ khác từ 10.0.0.20 - 10.0.0.99. Để làm điều này, bạn có thể sử dụng một khai báo lớp và hai cái gọi là nhóm:

lớp "a-khách hàng" (

Khớp nếu chuỗi con (tùy chọn tên máy chủ, 0, 1) = "a";

mạng con 10.0.0.0 mặt nạ mạng 255.255.255.0 (

Hồ bơi (

Cho phép thành viên của "a-client";

Phạm vi 10.0.0.10 10.0.0.19;

Hồ bơi (

Từ chối thành viên của "a-clients";

Phạm vi 10.0.0.20 10.0.0.99;

Nghĩa là, chúng tôi đã chỉ định các máy khách cho lớp a-client theo biểu thức trên, sau đó tạo hai nhóm, trong đó một nhóm chúng tôi cho phép phục vụ các thành viên của lớp tương ứng, nhóm còn lại thì ngược lại, chúng tôi cấm chúng. Tương tự, bạn có thể xây dựng biểu thức dựa trên địa chỉ MAC (biến phần cứng) và các tùy chọn khác. Thông tin thêm về cú pháp của các biểu thức được phép trong cấu hình dhcpd có thể được tìm thấy trên trang man dhcp-eval(5).

Ngoài việc chỉ ra tư cách thành viên trong một lớp cụ thể, các lệnh cho phép/từ chối còn hỗ trợ các biểu thức máy khách không xác định (máy khách không truyền tên máy chủ của chúng), máy khách đã biết (những máy đã truyền) và tất cả máy khách (bất kỳ máy khách nào). Xem các tài liệu hướng dẫn để biết chi tiết.

Địa chỉ cố định

Đôi khi cần phải kiểm soát rõ ràng hơn việc nhận địa chỉ của một số máy chủ nhất định. Ví dụ: chỉ một số máy tính trên mạng cục bộ yêu cầu quyền truy cập Internet, trong khi quyền truy cập trên máy chủ proxy được quy định bởi địa chỉ IP. Bạn có thể gán địa chỉ theo cách thủ công cho các máy chủ “đã chọn” không nằm trong khoảng thời gian được máy chủ phục vụ. Hoặc bạn có thể sử dụng cơ chế gán địa chỉ cố định mà dhcpd cung cấp:

máy chủ Acer (

Ethernet phần cứng 00:1b:38:22:8c:17;

Địa chỉ cố định 10.161.193.177;

Nếu bạn thêm đoạn này vào tệp cấu hình (và nhớ khởi động lại dhcpd), thì máy chủ này sẽ luôn nhận được địa chỉ IP được chỉ định. Việc nhận dạng máy chủ sẽ được thực hiện bằng địa chỉ MAC. Địa chỉ IP được gán cho các máy chủ cụ thể theo cách này không được nằm trong bất kỳ phạm vi nào.

Nếu bạn cần mô tả một số máy chủ có nhiều tùy chọn giống nhau, chúng có thể được kết hợp thành một nhóm:

nhóm(

Tùy chọn chung...

Máy chủ Acer ( ...tùy chọn dành riêng cho máy chủ...)

Máy chủ fuji (...tùy chọn dành riêng cho máy chủ...)

Trong trường hợp này, các tùy chọn chung được đưa vào khai báo nhóm, trong khi các tùy chọn riêng lẻ vẫn nằm trong khai báo máy chủ.

Đặc điểm của việc sử dụng nhiều máy chủ DHCP

Trong các mạng tương đối lớn, vì lý do độ tin cậy và cân bằng tải, một số máy chủ DHCP thường được sử dụng. Rõ ràng, cần tránh tình trạng “chồng chéo” không gian địa chỉ khi cùng một địa chỉ IP có thể được cấp bởi các máy chủ khác nhau. Nếu không, có thể xảy ra xung đột - xét cho cùng, nếu máy chủ “A” cung cấp cho khách hàng một địa chỉ nhất định, thì máy chủ “B” vẫn sẽ coi đó là miễn phí và có thể cung cấp địa chỉ đó cho khách hàng khác (khách hàng, trước khi chấp nhận địa chỉ IP, phải sử dụng yêu cầu ARP- để đảm bảo rằng anh ta được tự do; điều này phần nào làm giảm khả năng xảy ra xung đột, nhưng vẫn không loại bỏ hoàn toàn).

Khuyến nghị cổ điển, được gọi là “quy tắc 80/20”, như sau: một máy chủ (chính) sẽ phục vụ 80% địa chỉ của nhóm và máy chủ thứ hai (phụ) sẽ phục vụ 20% còn lại. Điều này sẽ cho phép mạng “cầm cự” một thời gian trên một máy chủ phụ trong trường hợp xảy ra sự cố với máy chủ chính, miễn là không phải tất cả khách hàng đều bắt đầu yêu cầu địa chỉ cùng một lúc. Đúng, khi áp dụng quy tắc này trong mạng của bạn, bạn nên đảm bảo rằng máy chủ chính là máy chủ nhanh hơn - nếu không, máy chủ phụ sẽ ngay lập tức phân phối nhóm của nó cho khách hàng và nếu xảy ra tình huống khẩn cấp, đơn giản là nó sẽ không có gì để làm. Cung cấp cho họ. (Trong cài đặt máy chủ ISC, bạn có thể đặt tham số phút-giây, chỉ định độ trễ tính bằng giây trước khi đưa ra phản hồi cho máy khách. Sử dụng tham số này trên máy chủ phụ sẽ tăng khả năng máy chủ chính sẽ phản hồi trước.)

Câu hỏi đặt ra: liệu hai máy chủ DHCP có thẩm quyền có can thiệp lẫn nhau không? Nếu chúng có cùng khai báo mạng con (nhưng khác nhau, các khoảng địa chỉ không trùng lặp được mô tả trong phạm vi), thì yêu cầu địa chỉ từ mạng con đó, ngay cả khi không nằm trong phạm vi được phục vụ bởi một máy chủ cụ thể, sẽ không được coi là “nước ngoài”. ” - máy chủ sẽ không phản hồi , do đó cho phép máy chủ khác xử lý yêu cầu này. Nếu “máy chủ khác” này không khả dụng thì máy khách, không cần đợi phản hồi đến DHCPREQUEST, sẽ gửi yêu cầu DHCPDISCOVER và sẽ được máy chủ còn lại phục vụ một cách an toàn.

Một số máy chủ (đặc biệt là ISC) hỗ trợ cái gọi là cơ chế DHC-FAILOVER (việc chuẩn bị tiêu chuẩn tương ứng dừng ở tài liệu http://tools.ietf.org/html/draft-ietf-dhc-failover-12) , cung cấp cho hai máy chủ cơ hội chia sẻ một nhóm địa chỉ IP chung, đồng bộ hóa thông tin về các địa chỉ được cấp và cho phép chúng tự động thay thế nhau nếu cần.

Thuốc nổ DNS

Như vậy, chúng ta đã giải quyết được vấn đề máy tính mạng tự động nhận cài đặt. Nhưng vẫn còn một câu hỏi nữa - tích hợp với máy chủ DNS. Tất nhiên, trong hầu hết các mạng, bạn có thể thực hiện mà không cần điều này - thường chỉ cần truy cập theo tên đối với các máy chủ, do đó hầu như luôn được định cấu hình thủ công và do đó DNS tĩnh là khá đủ. Nhưng đôi khi vẫn thuận tiện khi mỗi máy khách có thể truy cập được trên mạng dưới tên riêng của nó (đặc biệt nếu bạn không thể dựa vào tính cố định của địa chỉ IP), vì vậy hãy xem cách định cấu hình cập nhật động các bản ghi DNS (giả sử rằng ISC được sử dụng làm máy chủ DNS BIND).

Trước hết, bạn cần bật cập nhật tự động trong cài đặt máy chủ DNS của mình:

# Chúng ta khai báo access key (có thể đặt ở từng vùng nhưng sẽ tiện hơn)

khóa DHCP_KEY (

Thuật toán hmac-md5;

# Vùng “Trực tiếp”

vùng "test.inr" (

Loại chủ;

Tập tin "master/test.inr";

# Vùng "Đảo ngược"

vùng "0.0.10.in-addr.arpa" (

Loại chủ;

Cho phép cập nhật (khóa DHCP_KEY; );

Tệp "master/0.0.10.in-addr.arpa";

Tức là, chúng tôi khai báo DHCP_KEY (tên có thể là bất kỳ tên nào) và sau đó chỉ định nó làm điều kiện cho phép cập nhật vùng (trong phần mô tả về tất cả các vùng sẽ được cập nhật tự động). Để tạo khóa (trong dòng bí mật), bạn có thể sử dụng tiện ích mmencode:

$ echo "Chìa khóa siêu bí mật" | mã mm

U3VwZXIgc2VjcmV0IGtleQo=

Tiện ích md5 hoạt động tốt:

$ echo "Chìa khóa siêu bí mật" | md5

Mặc dù cách tạo khóa “chính xác” hơn là sử dụng tiện ích dhssec-keygen:

$ dnssec-keygen -a HMAC-MD5 -b 128 -n HOST test.inr

Ktest.inr.+157+41531

$ ls -l Ktest.inr.+157+41531.*

Rw------- 1 giờ sáng và 52 11 19 tháng 8:08 Ktest.inr.+157+41531.key

Rw------- 1 giờ sáng và 92 11 19 tháng 8:08 Ktest.inr.+157+41531.private

Ở đây, chúng tôi tạo khóa “máy chủ” dài 128 bit bằng thuật toán HMAC-MD5, có tên là test.inr. Kết quả là hai tệp được hình thành - khóa có thể được trích xuất từ ​​một trong hai tệp.

Chà, để tăng tính bảo mật (vì tất cả người dùng thường có thể đọc được tệp có tên.conf), câu lệnh khóa được đặt trong một tệp riêng biệt, chỉ người dùng root mới có thể đọc được và trong tên.conf, nó được bao gồm bằng câu lệnh include:

bao gồm "key.conf";

Thay vì cho phép cập nhật, bạn có thể sử dụng chính sách cập nhật phần “mạnh mẽ” hơn (chúng tôi cũng sẽ giới hạn loại bài đăng và tên miền phụ):

vùng "test.inr" (

Loại chủ;

Chính sách cập nhật (

Cấp tên miền phụ DHCP_KEY test.inr A TXT;

Tập tin "master/test.inr";

Bây giờ vẫn còn phải thực hiện một số thay đổi đối với cấu hình DHCP:

# Chỉ định phương thức cập nhật (cũng có ad-hoc, nhưng không nên dùng)

ddns-update-kiểu tạm thời;

# Chúng tôi mô tả cùng một khóa (bạn có thể chỉ cần sao chép nó từ tên.conf - cú pháp giống nhau)

# Nếu câu lệnh khóa được đặt trong một tệp riêng biệt, bạn có thể, như trong tên.conf, sử dụng câu lệnh include:

### bao gồm "key.conf";

khóa DHCP_KEY (

Thuật toán hmac-md5;

Bí mật "c20f9433f5f5ecf1f245a6112d7dd651";

# Vùng "Trực tiếp" để cập nhật

vùng test.inr (

Tiểu học 10.0.0.220;

Khóa DHCP_KEY;

# Vùng "Đảo ngược" cần cập nhật

vùng 0.0.10.in-addr.arpa (

Tiểu học 10.0.0.220;

Khóa DHCP_KEY;

Khi mô tả các vùng, tham số chính chỉ định địa chỉ của máy chủ DNS chính phục vụ vùng đó (nghĩa là địa chỉ sẽ gửi các bản cập nhật).

Bây giờ chúng ta cần đảm bảo rằng người dùng có tên mà quy trình được đặt tên đang chạy (trên FreeBSD, đây thường là liên kết) có quyền tạo tệp trong thư mục /var/named/etc/namedb/master.

Nếu mọi thứ được thực hiện chính xác, thì lần tiếp theo khách hàng yêu cầu một địa chỉ, các tệp tương ứng với các tệp vùng có phần mở rộng jnl sẽ xuất hiện trong thư mục chính. Đây là nhật ký cập nhật được máy chủ sử dụng để khôi phục thông tin liên quan sau khi khởi động lại. Đây là nơi các bản ghi tài nguyên tương ứng sẽ được lưu trữ (ở định dạng nhị phân, vì vậy việc đọc chúng sẽ không mang lại cho bạn điều gì hữu ích).

Trong trường hợp có vấn đề, hãy tham khảo các tệp nhật ký. Dưới đây là hai tin nhắn từ /var/log/messages mà bạn gặp thường xuyên nhất:

Ngày 4 tháng 5 17:23:14 dhcpd miễn phí nhất: nếu Acer.example.org IN Một rrset không tồn tại, hãy thêm Acer.example.org 300 IN A 10.0.0.180: đã hết thời gian chờ.

Ngày 4 tháng 5 17:27:23 tên tự do nhất: master/test.inr.jnl: create: quyền bị từ chối

Mục nhập đầu tiên trong trường hợp này là do sự không nhất quán của tên miền - miền "mặc định" example.org đã được chỉ định trong cấu hình DHCP, không được máy chủ DNS của chúng tôi phục vụ. Thật không may, đây không phải là lý do duy nhất gây ra thời gian chờ - bạn cũng nên xem xét quyền truy cập vào các tệp tương ứng, quy tắc lọc gói (nếu DHCP và DNS đang chạy trên các máy khác nhau) và tính chính xác của việc chỉ định địa chỉ máy chủ DNS.

Thứ hai chỉ ra rằng quy trình được đặt tên không thể tạo tệp jnl trong thư mục chính. Rõ ràng vấn đề là vấn đề về quyền - hãy đảm bảo quy trình được đặt tên có thể tạo tệp trong thư mục chính và vấn đề sẽ biến mất.

Như bạn có thể thấy, DHCP là một giao thức khá mạnh mẽ cho phép bạn tự động hóa một phần rất quan trọng của quá trình thiết lập mạng. Thật không may, do một số “thô thiển” về tiêu chuẩn hóa và một số vấn đề bảo mật nhất định, nên vẫn chưa thể nói về tự động hóa 100%. Nhưng điều này không ngăn cản bạn sử dụng nó ngay bây giờ.

Ứng dụng

DHCP RỘNG

Phải nói rằng ISC DHCP không phải là lựa chọn duy nhất. Trong bộ sưu tập các cổng, bạn có thể tìm thấy một máy chủ DHCP khác - DHCP RỘNG. Đúng, dự án này khó có thể được gọi là “hoạt động” - phiên bản hiện tại trong “Ports” (1.4.0.6_2) thực tế chưa được cập nhật kể từ năm 2003, trang dự án (http://www.sfc.wide.ad.jp /~tomy/dhcp /index-e.html) bị hủy bỏ. Tuy nhiên, nó đối phó với nhiệm vụ chính khá tốt.

Việc cài đặt từ bộ sưu tập cổng sẽ yêu cầu công việc bổ sung. Sự khởi đầu là truyền thống:

# cd /usr/ports/net-mgmt/wide-dhcp

# thực hiện cài đặt

Kết quả là một tệp dhcps sẽ xuất hiện trong /usr/local/sbin, một tập lệnh tự động chạy sẽ được tạo và các trang man tương ứng sẽ được thêm vào.

Sau đó, bạn cần chỉnh sửa tập lệnh tự động chạy /usr/local/etc/rc.d/wide-dhcps.sh.sample (và đổi tên nó thành wide-dhcps.sh). Nó không chỉ ở định dạng “cũ” (tức là chưa được chuẩn bị cho tiện ích rcorder) mà còn chưa hoàn thiện. Tôi phải nhập thủ công biến PREFIX và thêm các tùy chọn vào dòng khởi động dhcps để chỉ định vị trí của các tệp cấu hình và cơ sở dữ liệu. Trong cùng một dòng, bạn cần chỉ định các giao diện mà dhcps sẽ hoạt động.

Tiếp theo, các tệp dhcpdb.pool và dhcpdb.relay sẽ cần được tạo thủ công (theo mặc định trong /etc, tôi đã thay đổi thư mục thành /usr/local/etc, như thường lệ trong FreeBSD). Có thể tìm thấy các ví dụ trong thư mục db_sample của bản phân phối. Cái thứ hai trong số chúng được sử dụng để chỉ ra các bộ định tuyến mà qua đó các mạng con khác được phục vụ bởi máy chủ DHCP này có thể truy cập được và trong trường hợp cấu trúc mạng “tuyến tính”, nó có thể để trống (nhưng bản thân tệp phải tồn tại). Đầu tiên là tập tin cấu hình chính. Hãy để tôi cho bạn một ví dụ đơn giản:

# Tạo một mạng con (chúng tôi thêm các tham số chung ở đây:

# mặt nạ, cổng và địa chỉ quảng bá)

mạng con:snmk=255.255.255.0:rout=10.0.0.1:brda=10.0.0.255:

# (trường đầu tiên chỉ là ID bài đăng,

# và cũng kết nối cấu hình mạng con được xác định ở trên)

ip198: :ipad=10.0.0.198:dfll=3600:maxl=7200:tblc=mạng con:

ip199: :ipad=10.0.0.199:dfll=3600:maxl=7200:tblc=mạng con:

Như bạn có thể thấy, đối với mỗi địa chỉ nhóm, bạn cần viết dòng riêng của mình, nhưng bạn cũng có thể cung cấp cho mỗi địa chỉ các tham số riêng. Định dạng tệp tương tự được sử dụng như đối với cơ sở dữ liệu hệ thống termcap, printcap, v.v.; Danh sách các tham số có sẵn khá phong phú (bạn có thể tìm thấy nó trong trang man dhcpdb.pool(5)).

Sau tất cả những đau khổ này, máy chủ có thể được khởi động và nó sẽ hoạt động bình thường. Tuy nhiên, với cú pháp cấu hình khó hiểu, tôi không tìm thấy lý do nào khiến việc triển khai này có thể được sử dụng thay vì ISC. Nhưng biết về sự tồn tại của nó là hữu ích trong mọi trường hợp.

Câu hỏi bảo mật

Thật không may, tính bảo mật của giao thức DHCP vẫn còn nhiều điều chưa được mong đợi. Các nhóm làm việc của IETF đã đề xuất nhiều phương pháp khác nhau để cải thiện điều này (ví dụ: xác thực ứng dụng khách, xem RFC 3118), nhưng hầu hết chúng vẫn chưa được triển khai ở bất kỳ đâu.

Chuyển tiếp DHCP

Như đã đề cập trong phần đầu của bài viết, giao thức DHCP tích cực sử dụng các yêu cầu quảng bá, hầu như luôn bị các bộ định tuyến loại bỏ. Nghĩa là, việc phân phối của chúng thường bị giới hạn ở một phân đoạn của mạng cục bộ.

Tuy nhiên, việc cài đặt một máy chủ DHCP riêng biệt trên mỗi phân đoạn thường là không thực tế. Trong trường hợp này, khả năng hoạt động ở chế độ DHCP Relay của hầu hết các bộ định tuyến sẽ được giải cứu bằng cách “ném” các yêu cầu và phản hồi giữa các mạng con riêng biệt. Nguyên lý hoạt động của một “máy chủ proxy” như sau: sau khi nhận được yêu cầu DHCP quảng bá trên một trong các giao diện được phục vụ, nó sẽ chuyển hướng yêu cầu đó (trong một gói unicast thông thường) đến các máy chủ DHCP được xác định trong cấu hình của nó. Phản hồi nhận được sẽ được phát (nếu cần) dưới dạng gói đến mạng con nơi yêu cầu ban đầu được gửi đến.

Hầu hết các bộ định tuyến phần cứng đều hỗ trợ chức năng DHCP Relay. Nếu FreeBSD hoặc Linux đóng vai trò bộ định tuyến giữa các mạng con của bạn, bạn có thể cài đặt chương trình dhcrelay, một phần của gói DHCP ISC hoặc một máy chủ riêng biệt từ bộ sưu tập cổng - /usr/ports/net/dhcprelay. Cấu hình trong cả hai trường hợp đều tập trung vào việc khởi chạy chương trình này với các tùy chọn xác định danh sách giao diện cần nghe và danh sách máy chủ DHCP mà yêu cầu cần được chuyển tiếp. Trên FreeBSD, trong trường hợp chương trình dhcprelay, để tự khởi động nó, chỉ cần thêm ba dòng vào /etc/rc.conf:

dhcprelay_enable="CÓ"

dhcprelay_server="10.0.0.220"

dhcprelay_ifaces="ed0

Nhân tiện, chức năng DHCP Relay theo một cách nào đó làm tăng khả năng quản lý mạng, vì nó cho phép bạn chỉ định rõ ràng danh sách các máy chủ DHCP sẽ hoạt động.

tiện ích nsupdate

Bản phân phối ISC BIND bao gồm một tiện ích cho phép bạn gửi các bản cập nhật DNS động. Nó có thể hữu ích cho cả việc khắc phục sự cố (ví dụ: nếu khi máy chủ DHCP cấp địa chỉ cho máy khách, việc cập nhật vùng không xảy ra, nhưng thông qua nsupdate, các vùng được cập nhật bình thường, rõ ràng là bạn nên xử lý cấu hình dhcpd ) và để cập nhật các vùng “thủ công”.

Hãy xem một ví dụ điển hình về công việc:

$ nsupdate -v

> máy chủ 10.0.0.220

> khóa DHCP_KEY

> cập nhật thêm new.test.inr 300 A 10.1.1.15

> hiển thị

Truy vấn cập nhật đi:

;; ->>TIÊU ĐỀ<<- opcode: UPDATE, status: NOERROR, id: 0

;; cờ: ; VÙNG: 0, PREREQ: 0, CẬP NHẬT: 0, BỔ SUNG: 0

;; PHẦN CẬP NHẬT:

mới.test.inr. 300 TRONG 10.1.1.15

> gửi

> bỏ cuộc

Nghĩa là, chúng tôi khai báo máy chủ DNS và khóa bí mật, sau đó chúng tôi sử dụng lệnh cập nhật thêm để đặt lệnh thêm bản ghi tương ứng vào “hàng đợi” (300 trong ví dụ này là thời gian tồn tại của bản ghi). Với lệnh show, bạn có thể xem trạng thái hiện tại của “hàng đợi”; gửi gói tin này đến máy chủ. Nếu mọi thứ đều ổn (và vì không có thông báo lỗi nào được hiển thị nên điều này là bình thường), thì khi bạn hỏi máy chủ DNS về địa chỉ của new.test.inr, bạn sẽ nhận được 10.1.1.15. (Có, địa chỉ này không hợp lệ đối với mạng con của chúng tôi, nhưng máy chủ DNS không đi sâu vào những “sự tinh tế” này - nó chỉ thực hiện công việc của mình.)

Ngoài chế độ tương tác, nsupdate cho phép bạn thực thi các lệnh từ một tệp, điều này có thể hữu ích cho việc tự động thực hiện cập nhật. Xem man nsupdate(8) để biết chi tiết.

1. Trang web chính thức của ISC DHCP – https://www.isc.org/software/dhcp.
2. Kolisnichenko D. Định cấu hình DHCP. //Quản trị viên hệ thống, số 5, 2003 – trang 12-14 (http://www.algoint.ru/?MenuItem=tech_dhcp2).
3. Ivanov P. DHCP: nghệ thuật quản lý địa chỉ IP. – http://www.citforum.ru/internet/tifamily/dhcp.shtml.
4. Bog BOS: Giao thức BOOTP/DHCP – http://www.bog.pp.ru/work/bootp.html.
5. RFC 2131. Giao thức cấu hình máy chủ động –http://tools.ietf.org/html/rfc2131 .
6. http://www.ietf.org/rfc/rfc2136.txt.

Trong số những người dùng bình thường, chưa ai từng nghĩ về cách thức hoạt động của Internet. Việc lướt web diễn ra như thế nào trên World Wide Web, tại sao trình duyệt lại truy cập chính xác các trang bạn yêu cầu. Đây là nơi máy chủ DNS (Hệ thống tên miền) phát huy tác dụng. Hệ thống này là cần thiết để theo dõi chính xác các tuyến đường giữa các địa chỉ Internet, từ PC đến các trang web được yêu cầu.

Khi nào và tại sao cần phải thay đổi máy chủ DNS?

Theo mặc định, máy chủ DNS được chỉ định bởi ISP của bạn, nhưng có trường hợp quá tải khi có quá nhiều khách hàng truy cập vào một dịch vụ cụ thể. Vì điều này, tốc độ tải xuống và truyền gói dữ liệu có thể giảm đáng kể. Ngoài ra, một số máy chủ DNS có những hạn chế do luật pháp của tiểu bang nơi chúng hoạt động. Điều xảy ra là các chính phủ thậm chí còn chặn các mạng xã hội toàn cầu và các ứng dụng nhắn tin tức thời. Trong một số trường hợp, việc thay đổi DNS có thể cho phép truy cập vào các tài nguyên bị chặn cũng như tăng tốc độ tải xuống tệp và nội dung.

Nguyên lý hoạt động của DNS server là hướng người dùng đến đúng địa chỉ Internet

Cách tìm địa chỉ máy chủ DNS đã đăng ký và cách thay đổi địa chỉ đó

Hiện nay, xu hướng toàn cầu đối với các nhà cung cấp là tự động xác định máy chủ DNS, tức là ban đầu không cần thiết. Nhưng vẫn khá dễ dàng để nhận ra nó, chỉ cần vài cú click chuột.

các cửa sổ

Bạn có thể tìm ra máy chủ DNS của mình và thay đổi nó trong cột tương ứng của “Bảng điều khiển”.

1. Nhấn tổ hợp phím Win+R, nhập điều khiển vào trường “Run” và khởi chạy lệnh bằng nút OK hoặc Enter trên bàn phím.

   Khởi chạy “Bảng điều khiển” thông qua chương trình thực thi

2. Thay đổi chế độ xem từ “Danh mục” thành “Biểu tượng” và nhấp vào mục “Trung tâm mạng và chia sẻ”.

   Chọn mục “Trung tâm mạng và chia sẻ”

3. Một cửa sổ có các mạng đang hoạt động (đang hoạt động, được kết nối) sẽ mở ra. Nhấp vào liên kết đối diện với liên kết có quyền truy cập Internet.

   Chúng tôi xem danh sách các mạng đang hoạt động trong “Trung tâm mạng và chia sẻ”

4. Cửa sổ trạng thái mạng sẽ mở ra. Nhấp vào nút “Chi tiết…”.

   Trong cửa sổ “Trạng thái”, nhấp vào nút “Chi tiết”

5. Một cửa sổ khác sẽ xuất hiện với tất cả dữ liệu của mạng được kết nối. Trong cột “Máy chủ DNS IPv4”, chúng ta làm quen với địa chỉ hiện tại của các dịch vụ mà kết nối hiện đang sử dụng.

   Xem các máy chủ DNS được kết nối

Việc thay đổi máy chủ DNS cũng dễ dàng. Đầu tiên, hãy quay lại cửa sổ "Trạng thái".

Kết quả là chúng tôi có quyền truy cập vào dịch vụ chuyển đổi tên miền được chỉ định.

Ubuntu

Để thay đổi cài đặt DNS trên hệ điều hành Ubuntu, bạn có thể sử dụng các phương pháp khác nhau. Đơn giản nhất là sử dụng giao diện.

1. Ở góc trên bên phải có menu thả xuống mạng. Nhấp vào biểu tượng tương ứng và chọn “Thay đổi kết nối…”.

   Mở menu thả xuống mạng và nhấp vào “Thay đổi kết nối…”

2. Chọn một kết nối Internet đang hoạt động và nhấp vào “Thay đổi”.

   Chọn kết nối Internet và nhấp vào nút “Thay đổi”

3. Chuyển đến tab “Cài đặt IPv4”.

   Chuyển đến tab “Cài đặt IPv4”

4. Thay đổi bộ lọc “Phương thức cấu hình” thành “Tự động (DHCP, chỉ địa chỉ)”.

   Thay đổi bộ lọc “Phương thức cấu hình” thành “Tự động (DHCP, chỉ địa chỉ)”

5. Trong cột “Máy chủ DNS”, nhập các địa chỉ bắt buộc, phân tách bằng dấu phẩy. Sau đó nhấp vào nút "Lưu" và đóng cửa sổ.

   Trong trường “Máy chủ DNS”, chúng tôi nhập địa chỉ tương ứng

Để tìm ra máy chủ DNS hiện tại trong hệ điều hành Ubuntu, bạn cần nhập lệnh $ cat /etc/resolv.conf trong terminal. Điều này sẽ hiển thị tất cả thông tin trên mạng: cột máy chủ tên chứa địa chỉ tên miền.

Trên bộ định tuyến

Điều đáng lưu ý ngay là không phải tất cả các kiểu bộ định tuyến đều cho phép bạn thay đổi địa chỉ máy chủ DNS trong cài đặt của chúng. Một số thiết bị cho phép bạn thay thế chúng bằng các dịch vụ nổi tiếng, chẳng hạn như Yandex-DNS hoặc Google DNS.

1. Đầu tiên, bạn cần vào trang quản lý bộ định tuyến. Để thực hiện việc này, hãy nhập 192.168.1.1 vào thanh địa chỉ của bất kỳ trình duyệt nào và nhấn phím Enter.
2. Tùy thuộc vào thương hiệu của bộ định tuyến, các hướng dẫn thêm sẽ có các tùy chọn. Trong một số trường hợp, cài đặt và thông tin bổ sung có thể đã có trên trang chính. Nhưng thông thường bạn cần nhấn một nút nhất định để vào menu đi kèm. Nút này có thể được gọi là Nâng cao, Cài đặt, “Cài đặt”, v.v. Bấm vào nút này để đi đến menu bổ sung.

   

3. Có một số tùy chọn để thay đổi dịch vụ:
   

Các lỗi có thể xảy ra khi sử dụng DNS

Người dùng hiếm khi gặp phải các lỗi liên quan đến máy chủ DNS, nhưng chúng có xảy ra và được chia thành hai loại: bên trong và bên ngoài. Khi nói đến bên ngoài, chúng tôi muốn nói đến các vấn đề với chính dịch vụ mà trình duyệt truy cập. Vấn đề này rất dễ giải quyết: bạn cần đặt lựa chọn DNS tự động hoặc thay đổi dịch vụ thành một dịch vụ đáng tin cậy hơn, như trong các ví dụ trên.

Nếu việc thay đổi phương thức không giải quyết được vấn đề thì vấn đề có liên quan đến dịch vụ “DNS client”. Nó có thể bị vô hiệu hóa hoặc bị hư hỏng do virus.

Nếu sự cố không biến mất sau khi khởi động lại, điều đó có nghĩa là các tệp dịch vụ bị hỏng và bạn cần chạy quét hệ thống để tìm vi-rút và khôi phục các tệp hệ điều hành. Tốt hơn là sử dụng hai hoặc ba chương trình chống vi-rút.

Video: Cách sửa lỗi máy chủ DNS

Thay đổi máy chủ DNS thật dễ dàng. Nếu cần, bạn có thể dễ dàng khôi phục tốc độ của các trang web yêu thích của mình. Hãy làm theo hướng dẫn ở trên và bạn sẽ không gặp bất kỳ vấn đề gì khi lướt Internet.

Từ mạng cục bộ của bộ định tuyến gia đình, bạn không chỉ có thể cung cấp quyền truy cập vào Internet mà còn có thể truy cập vào các tài nguyên của chính bộ định tuyến.

Chúng ta có thể nói về một máy chủ FTP trong đó ổ USB được sử dụng làm ổ đĩa, v.v. Đồng thời, có thể làm cho tất cả các tài nguyên này có thể truy cập được từ mạng “bên ngoài”. Với mục đích này, dịch vụ “DNS động” thường được sử dụng. Chúng tôi sẽ xem cách thiết lập DDNS trên bộ định tuyến của bạn.

Mạng cục bộ và mạng “bên ngoài”

Trước tiên, hãy thử giải thích cách sử dụng DDNS. Từ mạng cục bộ, bản thân bộ định tuyến có thể truy cập được tại cùng một địa chỉ (ví dụ: 192.168.10.1). Trong mạng “bên ngoài”, cổng WAN được gán một địa chỉ IP cụ thể, trong hầu hết các trường hợp có thể thay đổi được. Việc nhớ nó là vô ích vì giá trị có thể thay đổi bất cứ lúc nào. Nhưng có thể truy cập bộ định tuyến mà không cần sử dụng IP “rõ ràng”. Chỉ cần đăng ký một lần với dịch vụ thích hợp và định cấu hình tùy chọn DDNS trong bộ định tuyến là đủ.

Sau khi thiết lập DDNS, việc truy cập vào bộ định tuyến được thực hiện bằng tên miền (ngoài ra, người dùng có thể nghĩ ra). Điều này thuận tiện nhưng chỉ khi mọi thứ được cấu hình đúng.

Làm thế nào để đăng ký dịch vụ DDNS?

Dịch vụ trả phí và miễn phí

Dưới đây là danh sách địa chỉ các trang web cung cấp dịch vụ DDNS:

• no-ip.com
• 3322.org
• dyndns.org
• dhs.org
• cập nhật.ods.org
• dyns.cx

Nổi tiếng nhất trong số đó là Dyndns. Theo quy định, tất cả các ví dụ về cấu hình đều được đưa ra “dành cho nó”. Nhưng dịch vụ này gần đây đã được trả tiền. Vì vậy, bạn cần tìm kiếm một dịch vụ miễn phí (từ những dịch vụ được hỗ trợ trong bộ định tuyến).

Điều quan trọng cần biết là bộ định tuyến của một kiểu máy nhất định chỉ có thể hỗ trợ một số dịch vụ DDNS.

Hãy xem một ví dụ về thiết bị TP-Link:

Tab DNS động

Như bạn có thể thấy, trong các bộ định tuyến của thương hiệu này, bạn có thể sử dụng 1 trong 3 dịch vụ khác nhau (nhưng không còn nữa). Danh sách của họ có sẵn trên tab cài đặt DDNS. Điều này đúng với các bộ định tuyến thuộc các kiểu máy khác nhau.

Đăng ký dịch vụ

Trước khi thiết lập bộ định tuyến, bạn cần đăng ký dịch vụ DDNS. Bạn cần có một tên miền (dịch vụ sẽ kiểm tra tính duy nhất của nó) và chỉ khi đó tên này mới cần được chỉ định trong cài đặt.

Một email là cần thiết để đăng ký. Thẻ người dùng mới – thường chứa thông tin: tên, họ, khu vực, email. Nếu bạn yêu cầu mã zip, bạn có thể để trống trường này.

Kết quả là người dùng sẽ có một tên miền duy nhất theo ý mình. Ví dụ: “1234router.no-ip.biz”. Ngoài ra, một tài khoản được tạo để quản lý thẻ tài khoản của bạn (bạn cần nhớ thông tin đăng nhập và mật khẩu).

Làm cách nào để thiết lập DDNS trên bộ định tuyến?

Tab cài đặt DDNS

Tùy chọn DDNS trong hầu hết các bộ định tuyến là dễ cấu hình nhất. Giao diện web phải có một tab chứa tất cả các tham số bắt buộc: tên miền, đăng nhập bằng mật khẩu, danh sách dịch vụ.

Thuật toán cài đặt:

1. Chuyển đến tab được yêu cầu (thường là “DDNS” hoặc “Dynamic DNS” trong phần “Cài đặt nâng cao”)
2. Chọn dịch vụ (dịch vụ bạn đã đăng ký)
3. Điền vào tất cả các trường trống
4. Nếu có hộp kiểm “Bật”, hãy chọn hộp kiểm đó và nhớ lưu cài đặt:

Thiết lập DDNS trong bộ định tuyến TP-Link

Người dùng phải kết nối bộ định tuyến với dịch vụ DDNS bằng cách mở giao diện và nhấp vào nút “Đăng nhập” (trên tab đã thảo luận ở trên). Kết nối sẽ vẫn có hiệu lực cho đến khi bộ định tuyến được khởi động lại.

Nghiên cứu trường hợp DDNS và các vấn đề đã biết

Giả sử mọi thứ đã được thực hiện chính xác và ngoài ra, máy chủ ftp đã được bật trên bộ định tuyến. Sau đó, từ mọi nơi trên thế giới, máy chủ này có thể truy cập được theo địa chỉ sau: ftp://1234router.no-ip.biz:80. Tất nhiên, ví dụ này là đúng nếu có được tên miền "1234router.no-ip.biz".

Đôi khi xảy ra trường hợp tên miền vẫn khiến bộ định tuyến không hoạt động. Trong trường hợp này, chỉ cần truy cập trang web của dịch vụ, mở tài khoản (hoặc chỉ định tên miền) - và IP của bộ định tuyến sẽ xuất hiện trong cửa sổ trên trang. Vấn đề là sau một thời gian IP này có thể thay đổi.

Tuy nhiên, về nguyên tắc, phương pháp này cũng phù hợp: thay vì “1234router…”, địa chỉ IP được chỉ định (địa chỉ này thực sự được gán cho cổng WAN). Khả năng xem giá trị IP được cung cấp bởi bất kỳ dịch vụ nào và không gặp bất kỳ sự cố nào.

Ngoài ra, chúng tôi lưu ý sự khác biệt chính giữa DDNS và 2IP.ru và những thứ tương tự: bạn có thể tìm ra IP của bộ định tuyến bằng DDNS từ bất kỳ thiết bị nào được kết nối với Internet (từ mọi nơi trên thế giới). Tiếp theo, IP này được sử dụng để truy cập vào bộ định tuyến.

Ví dụ về thiết lập bộ định tuyến D-Link cho DynDSN

Đôi khi cần phải đăng ký DNS cho máy tính có địa chỉ IP động. Một cách đơn giản để thực hiện việc này là các dịch vụ như dyndns, được mô tả trong một chủ đề gần đây. Đôi khi cách tiếp cận này hoạt động khá kém.

Ví dụ, trong trường hợp của tôi, nhà cung cấp Thỉnh thoảng thay đổi địa chỉ IP công cộng của tôi. Điều này đôi khi xảy ra thường vài tháng một lần. Ngoài ra, máy tính ở nhà của tôi hiếm khi khởi động lại. Trong thời gian này, dịch vụ dyndns mà tôi đã sử dụng trước đây đã vài lần gửi cho tôi thông báo không hoạt động để vô hiệu hóa tài khoản “không sử dụng”. Cũng không thể chuyển sang vùng DNS được đăng ký thủ công, vì đôi khi địa chỉ vẫn thay đổi. Hơn nữa, bạn thường phát hiện ra điều này khi bạn cần truy cập vào máy tính ở nhà của mình ngay lập tức.

Để triển khai phương pháp được mô tả, bạn sẽ cần một máy chủ trên Internet có liên kết máy chủ DNS trên đó. Cũng như một vùng miền, tên miền phụ mà chúng tôi sẽ phân bổ cho máy tính của mình. Một tùy chọn được mô tả để kết nối máy tính Linux với máy chủ Linux. Để sử dụng các hệ điều hành khác, bạn cần đọc hướng dẫn sử dụng và sửa đổi một số bước.

Vì thế:
1. Chúng tôi đã cài đặt máy chủ bind9 với tên miền server.org
2. Tạo vùng client.server.org.zone:

$XUẤT XỨ.
$TTL 10 ; 10 giây
client.server.net TRONG SOA ns1.server.net. Hostmaster.server.net. (
18 ; nối tiếp
10800; làm mới (3 giờ)
3600 ; thử lại (1 giờ)
604800; hết hạn (1 tuần)
10 ; tối thiểu (10 giây)
$TTL 3600 ; 1 giờ
NS ns1.server.net.
NS ns2.server.net.
MX 10 client.server.net.

Ở đây các máy chủ ns1.server.net và ns2.server.net là các máy chủ DNS cho vùng của chúng tôi, client.server.net là địa chỉ máy tính ở nhà của chúng tôi

3. tạo khóa trên máy khách:
client# cd /etc/namedb/keys
client# dnssec-keygen -b 512 -a HMAC-MD5 -v 2 -n HOST client.server.net.

4. Tạo file có key trên server:
máy chủ# cd /var/named/chroot/etc
máy chủ # vim key.conf:

Khóa client.server.net. (
thuật toán "HMAC-MD5";
bí mật "omr5O5so/tZB5XeGuBBf42rrRJRQZB8I9f+uIIxxei8qm7AVgNBprxtcU+FQMzBvU/Y+nyM2xbs/C8kF3eJQUA==";
};

Trong trường hợp này, khóa đối xứng được sử dụng, điều này không an toàn: nếu ai đó có quyền truy cập vào tệp khóa trên máy chủ của bạn, họ có thể sử dụng khóa của bạn để thay đổi dữ liệu vùng của bạn. Trong trường hợp này, bạn có thể sử dụng khóa bất đối xứng.

Đặt quyền truy cập vào tệp bằng các phím:
máy chủ # chmod 640 key.conf
máy chủ# chown root: có tên key.conf

5. thêm vùng của chúng tôi vào tên.conf:
bao gồm "/etc/keys.conf"
vùng "client.server.net" (
gõ chủ;
tập tin "khu/client.server.net";
cho phép cập nhật(
khóa client.server.net;
};
};

Đây là một tham số cho phép bạn cập nhật dữ liệu vùng. Nói chung, sau khi đọc hướng dẫn sử dụng, bạn có thể tìm thấy các tùy chọn cho tham số này cho phép bạn chỉ cập nhật một mục trong vùng cho một khóa nhất định. Nghĩa là, bạn có thể có một vùng với các tên miền phụ client1, client2, v.v. được đăng ký trong đó. sẽ được ủy quyền bằng các khóa key1, key2, v.v.

6. Khởi động lại máy chủ DNS:
máy chủ# /etc/init.d/named tải lại

7. Tạo tập lệnh trên máy khách sẽ cập nhật dữ liệu vùng:
#!/bin/bash
IFACE="wlan0"
TTL=3600
MÁY CHỦ=ns1.example.com
HOSTNAME=foo.example.com
ZONE=example.com
KEYFILE=/root/ddns-keys/Kfoo.example.com.+157+12345.private

New_ip_address=`ifconfig $IFACE | grep "inet addr:" | awk "(in $2)" | awk -F => "(print $2)"`
new_ip_address=$(new_ip_address/ /)

Nsupdate -v -k $KEYFILE<< EOF
máy chủ$SERVER
vùng $ZONE
cập nhật xóa $HOSTNAME A
cập nhật thêm $HOSTNAME $TTL Một $new_ip_address
gửi
EOF

Ở đầu tập lệnh, các tham số tương ứng được mô tả: giao diện, tên máy chủ và vùng, vị trí của tệp bằng khóa.

8. Tất cả những gì còn lại là cấu hình tự động khởi động/thay đổi địa chỉ tự động khi thay đổi DNS.
Chúng tôi sẽ thực hiện việc này bằng cách sử dụng tập lệnh cho NetworkManager:
tạo một tệp /etc/NetworkManager/dispatcher.d/20-dyndns.sh:
#!/bin/sh

Mặt nạ=$1
tiểu bang=$2

Nếu [ "x$state" == "xup" ] ; sau đó
/etc/namedb/ddns-update
elif [ "x$state" == "xdown" ]; sau đó
ĐÚNG VẬY
fi

Hãy làm cho nó có thể thực thi được và được sở hữu bởi người dùng root.

Hãy khởi động, kiểm tra và sử dụng.

Cập nhật: Nếu nó không hoạt động, hãy kiểm tra (đặt) trên máy chủ quyền ghi vào thư mục chứa tệp client.server.org.zone
được đặt tên sẽ tạo tệp client.server.org.zone.jnl ở đó

Các vật liệu sau đây đã được sử dụng.

Ngày nay hầu như không còn dịch vụ DDNS miễn phí nào cho phép bạn giả mạo địa chỉ IP động trên Internet tại tên miền tĩnh cấp độ thứ ba và nhờ đó nhận được quyền truy cập từ xa trực tiếp vào bộ định tuyến từ Internet. Do đó, nhiều nhà sản xuất thiết bị mạng giới thiệu thiết bị riêng của họ, chẳng hạn như TP-Link ID, cho khách hàng của họ. Tôi nghĩ điều này không có ý nghĩa gì đối với hầu hết mọi người, vì vậy chúng ta sẽ tìm ra cách tạo địa chỉ IP tĩnh từ địa chỉ IP động và từ đó thiết lập quyền truy cập từ xa vào bộ định tuyến.

Hãy nhớ cách bộ định tuyến gia đình của bạn hoạt động khi được kích hoạt? Bạn cung cấp cho nó một dải (nhóm) địa chỉ IP cục bộ.

Khi một máy tính kết nối với bộ định tuyến, bộ định tuyến sẽ chọn cho nó một trong những địa chỉ IP miễn phí trong phạm vi này, từ đó xác định máy tính của bạn trên mạng cục bộ. Và điều này xảy ra với mọi thiết bị, dù là máy tính, laptop hay điện thoại.

Cũng có thể biến địa chỉ IP động thành địa chỉ IP tĩnh, nghĩa là vĩnh viễn, chỉ được gắn với một thiết bị - trong cài đặt bộ định tuyến hoặc trên chính máy tính, điện thoại thông minh, TV, camera IP, v.v.

Điều này rất thuận tiện nếu bạn đang thiết lập một số loại mối quan hệ lâu dài giữa các thiết bị trong mạng cục bộ của mình, chẳng hạn như để xem ảnh hoặc phát phim - để không phải thay đổi cài đặt trong chương trình mỗi lần, chúng tôi cung cấp cho mỗi thiết bị một địa chỉ cố định riêng.

Nhà cung cấp của bạn hoạt động gần như giống hệt nhau. Vùng lân cận của bạn, được kết nối với thiết bị của nhà cung cấp, không gì khác hơn là một mạng cục bộ rộng lớn. Khi bạn kết nối Internet, máy chủ (máy tính hoặc bộ định tuyến) của bạn là một phần của một mạng cục bộ lớn có nhiều bộ định tuyến. Thiết bị của nhà cung cấp có máy chủ DHCP và mỗi khi máy tính hoặc bộ định tuyến của bạn kết nối với Internet, nó sẽ nhận được địa chỉ IP của chính nó trong mạng lớn này, địa chỉ này sẽ được thiết bị mạng tự động gán cho nó. Trong trường hợp này, địa chỉ này có thể có ba loại:

1. Tĩnh- khi căn hộ của bạn được gán một IP bên ngoài màu trắng không bao giờ thay đổi. Nghĩa là, nó luôn tồn tại vĩnh viễn và bằng cách truy cập trực tiếp từ Internet, bạn sẽ được đưa đến máy tính hoặc bộ định tuyến của mình. Vì những địa chỉ như vậy rất hiếm nên bạn cần phải trả tiền riêng cho chúng ngoài giá cước.
2. Năng động- cũng là địa chỉ IP màu trắng nhưng thay đổi định kỳ. Ví dụ: sau khi khởi động lại bộ định tuyến hoặc trong một khoảng thời gian nhất định. Đây là trường hợp phổ biến hơn và đây chính xác là công nghệ thay thế IP động bằng IP tĩnh, được gọi là DDNS, sẽ hoạt động.
3. Xám- đây là trường hợp phổ biến nhất khi một địa chỉ IP bên ngoài được cấp cho toàn bộ ngôi nhà hoặc vùng lân cận, thuộc về bộ định tuyến của nhà cung cấp và đến lượt nó, địa chỉ này sẽ phân phối địa chỉ nội bộ của nó cho người dùng. Ví dụ: tôi có thể cung cấp nhiều modem và bộ định tuyến khác nhau từ các nhà khai thác di động - họ cung cấp Internet bằng công nghệ này và với nó, ngay cả với DDNS, chúng tôi không có gì để nắm bắt - để truy cập bộ định tuyến hoặc thiết bị được kết nối của bạn với nó từ Internet, bạn cần cài đặt kết nối VPN.

Tôi đã viết thêm về địa chỉ IP và cách xác định xem địa chỉ IP của bạn có màu xám hay trắng.

Để khi lên mạng, bạn luôn có cùng một địa chỉ IP, bạn cần hỏi nhà cung cấp của mình về điều đó, tức là khi dịch sang tiếng Nga, hãy trả thêm tiền cho anh ta hàng tháng. Tuy nhiên, không phải ai cũng có đủ khả năng chi trả nên đã xuất hiện các dịch vụ giải quyết vấn đề này.

DDNS là gì và tại sao nó lại cần thiết trong bộ định tuyến?

DDNS(hoặc Dynamic DNS, DynDNS) là công nghệ cho phép bạn theo dõi những thay đổi trong địa chỉ IP bên ngoài và chuyển đổi nó thành tên miền tĩnh. Nó sẽ luôn giống nhau và có thể truy cập được từ Internet tại cùng một địa chỉ web. Hỗ trợ các dịch vụ DDNS trong bộ định tuyến cho phép bạn tạo địa chỉ IP tĩnh từ địa chỉ IP động và tổ chức quyền truy cập từ xa vào bộ định tuyến và các tài nguyên trong mạng cục bộ của bạn từ Internet.

Cần những gì để sử dụng DDNS?

Tôi hy vọng bây giờ mọi thứ đã rõ ràng hơn. Tóm lại, để tổ chức quyền truy cập từ xa vào hệ thống giám sát video, máy chủ tệp FTP và các tài nguyên khác trên mạng cục bộ của bạn từ Internet, cần có một trong những điều có thể:

• Địa chỉ IP tĩnh màu trắng trên Internet, có thể được cung cấp bởi nhà cung cấp của bạn
• Tạo địa chỉ IP tĩnh từ địa chỉ động màu trắng bằng dịch vụ DDNS
• Sử dụng dịch vụ đám mây
• Việc sử dụng giao thức đánh địa chỉ TCP/IP v.6 là vấn đề của tương lai gần, vì hầu như chưa có nhà cung cấp nào hỗ trợ tiêu chuẩn này, nên vẫn chưa có ích gì khi nói về nó.

“Thủ thuật” chính trong việc sử dụng dịch vụ DDNS là truy cập trực tiếp vào bộ định tuyến và các tài nguyên được tạo trên cơ sở của nó, chẳng hạn như không chỉ khi kết nối với nó qua wifi mà còn từ mọi nơi trên hành tinh thông qua Internet. Nhưng nó chỉ hoạt động nếu bạn có địa chỉ IP TRẮNG bên ngoài (động hoặc tĩnh)

Cách tạo địa chỉ IP tĩnh từ địa chỉ IP động bằng dịch vụ DDNS No-IP.Com

Tùy chọn dễ tiếp cận và miễn phí nhất là sử dụng dịch vụ NO-IP. Để rõ ràng, tôi sẽ mô tả thứ tự hoạt động của nó.

1. Tài nguyên mạng cục bộ của bạn, chẳng hạn như camera IP gia đình, nhận địa chỉ IP từ bộ định tuyến của bạn
2. Router được cấu hình để cho phép truy cập vào camera IP thông qua cổng IP+ của router
3. Bộ định tuyến của bạn nhận được IP màu trắng từ nhà cung cấp của bạn và kết nối với Internet bằng IP đó. Địa chỉ này thay đổi định kỳ, bởi vì... nó năng động.
4. Dịch vụ DDNS giám sát các thay đổi trong IP bên ngoài của bạn và thay thế nó bằng tên miền cấp 3 tương tự mà bạn đã đăng ký
5. Từ một máy tính khác qua Internet, chẳng hạn như từ cơ quan, truy cập tên miền này hoặc tên miền + cổng bộ định tuyến mà camera được định cấu hình
6. Và bạn vào giao diện camera để xem hình ảnh

Để tổ chức chương trình này, hãy truy cập trang web no-ip.com và tạo một tài khoản. Đây là dịch vụ DynDNS biến địa chỉ IP động bên ngoài của bạn thành miền cấp 2 hoặc 3. Nhấp vào nút “Đăng ký”, nhập tất cả dữ liệu của bạn và xác nhận email của bạn bằng thư được gửi đến hộp thư đến của bạn.

Tiếp theo, đăng nhập vào tài khoản của bạn bằng thông tin đăng nhập và mật khẩu đã đăng ký, nhấp vào nút “Thêm máy chủ” và điền các thông số được gạch chân trên màn hình. Chính xác hơn, tất cả chúng sẽ theo mặc định, ngoại trừ Tên máy chủ mà bạn chỉ cần nghĩ ra và chọn một miền.

Cũng lưu ý rằng trong cài đặt “Loại máy chủ”, “Chuyển hướng cổng 80” phải được bật và trong trường nhập số cổng, chính xác chương trình hoặc dịch vụ trên mạng cục bộ đang chạy mà chúng tôi muốn truy cập bằng tên miền này phải được chỉ định.

Lưu cài đặt và đi tới bảng quản trị của bộ định tuyến. Ở đây chúng tôi tìm thấy một phần trong đó kết nối với DNS động (DDNS) được định cấu hình.

DDNS động trên bộ định tuyến TP-Link

Bộ định tuyến TP-LINK có khả năng chọn từ một số dịch vụ DDNS phổ biến trong phần menu cùng tên “ Thuốc nổ DNS«.

Chọn “NO-IP” từ danh sách và nhập tên miền chúng tôi đã tạo, đồng thời cho biết thông tin đăng nhập và mật khẩu để ủy quyền trên trang web no-ip.com. Sau đó chọn hộp kiểm “Bật DDNS” và áp dụng cài đặt để khởi động lại bộ định tuyến. Vậy là xong, bây giờ khi truy cập vào địa chỉ web đã đăng ký, chúng ta sẽ được đưa đến đúng dịch vụ sử dụng cổng mà chúng ta đã chỉ định trong tài khoản dịch vụ DDNS.

Trong các mô hình ngân sách mới, phần “ DDNS" ẩn trong " Cài đặt thêm»

Đối với các mẫu đắt tiền hơn, mọi thứ thậm chí còn thú vị hơn - gần đây nhất TP-Link đã giới thiệu công nghệ đám mây mà bạn có thể thay thế DDNS - giờ đây mọi thứ thậm chí còn được thiết lập dễ dàng hơn. Chuyển đến tab “Cài đặt nâng cao”, phần “Mạng - DDNS”. Tại đây bạn cũng có thể sử dụng tài khoản hiện tại của mình tại no-ip.com

Nhưng sẽ thuận tiện hơn nhiều khi chọn hộp kiểm “Nhà cung cấp dịch vụ” trên “TP-LINK”. Để mọi thứ hoạt động, bạn cần đăng nhập bằng tên miền .

Nếu bạn chưa đăng ký thì đừng lãng phí thời gian và hãy thực hiện ngay bây giờ - nó hoàn toàn miễn phí cho người dùng bộ định tuyến TP-Link. Nhưng sau đó, thông qua công nghệ đám mây, bạn sẽ có thể điều khiển từ xa bộ định tuyến từ tài khoản của mình mà không cần bất kỳ cài đặt DDNS phức tạp nào, địa chỉ IP tĩnh và các tiện ích khác mà người dùng bình thường không dễ hiểu.