Привет!
А у всех DNS сильно жрет процессор ?
3845 500Мб оперативки, клиентов порядка 100 - 200
Загрузка CPU порядка 60%
Отключаю DNS - загрузка падает до 8%
Включен обычный кеширующий DNS - ip dns serverИ еще вопрос - IOS еще не научился DNS зоны трансферить?
Спасибо.
>Привет!
>А у всех DNS сильно жрет процессор ?
>3845 500Мб оперативки, клиентов порядка 100 - 200
>Загрузка CPU порядка 60%
>Отключаю DNS - загрузка падает до 8%
>Включен обычный кеширующий DNS - ip dns serverпроцы в сиська слабые, так что это нормально
>И еще вопрос - IOS еще не научился DNS зоны трансферить?
не знаю, но врят ли это откруатльно ведь она всего одну зону держит
А можно ли как-нибудь настраивать параметры DNS кэша? Ну там количество записей в кэеше или время жизни записи?
>А можно ли как-нибудь настраивать параметры DNS кэша? Ну там количество записей
>в кэеше или время жизни записи?ВОпрос.. зачем на Циске ДНС-сервер?...
>ВОпрос.. зачем на Циске ДНС-сервер?...Странный ВОпрос.
За тем же, зачем на ней DHCP или VPN или файевол или маршртуизатор.
Твой вопрос звучит как "чем циска лучше компютера"
Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины и перевел бы его на циску
потому что считаю что безопасность при этом сильно повыситься а затраты на администрирование снизится.
>>ВОпрос.. зачем на Циске ДНС-сервер?...
>
>Странный ВОпрос.
>За тем же, зачем на ней DHCP или VPN или файевол или
>маршртуизатор.
>Твой вопрос звучит как "чем циска лучше компютера"
>Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины
>и перевел бы его на циску
>потому что считаю что безопасность при этом сильно повыситься а затраты на
>администрирование снизится.На самом деле даже в самой циске никогда не приводят примеров работы dns-сервера на оборудовании циско, у них даже всегда в курсах присутствует выделенный dns-сервер.
>На самом деле даже в самой циске никогда не приводят примеров работы
>dns-сервера на оборудовании циско, у них даже всегда в курсах присутствует
>выделенный dns-сервер.И теперь мне стало понятно почему :)
>>ВОпрос.. зачем на Циске ДНС-сервер?...
>
>Странный ВОпрос.
>За тем же, зачем на ней DHCP или VPN или файевол или
>маршртуизатор.
>Твой вопрос звучит как "чем циска лучше компютера"
>Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины
>и перевел бы его на циску
>потому что считаю что безопасность при этом сильно повыситься а затраты на
>администрирование снизится.Затраты снизяться... если Вы имеете ввиду кеширующий ДНС-сервер.. то спору нет.. Но нагрузка на проц??
а кроме того... транфер зон... МХ,CNAME,PTR записи.. где на Циске будет Вам полноценный ДНСсервер? ))
>>ВОпрос.. зачем на Циске ДНС-сервер?...
>
>Странный ВОпрос.
>За тем же, зачем на ней DHCP или VPN или файевол или
>маршртуизатор.
>Твой вопрос звучит как "чем циска лучше компютера"
>Я например с удовольствием бы выкинул бы DNS сервер с UNIX машины
>и перевел бы его на циску
>потому что считаю что безопасность при этом сильно повыситься а затраты на
>администрирование снизится.Недавно столкнулся с такой же необходимостью поднять на Cisco боле-менее полноценный Split-DNS.
Источники информации:
a) How to configure Cisco Router as Authoritative DNS Server - http://www.itsyourip.com/cisco/how-to-configure-cisco-router.../
b) Split DNS - http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html
c) Собственные "прямые" руки и помощь друзейСхема:
[Офисный LAN]---eth1[Cisco]eth0---[WAN]
, в офисной сети есть почтовый и веб сервера. Соответственно нужно, чтоб внешние пользователи получали "реальные" IP адреса этих серверов, а офисные пользователи их локальные IP адреса.Решение:
1. Включаем DNS сервер
conf t
ip dns server
end2. Настраиваем Authoritative DNS сервер
conf t
ip dns primary test.com soa ns.test.com admin.test.com
ip domain name test.com
end3. Создаём таблицу хостов для локальных и внешних пользователей:
conf t
ip host test.com ns ns.test.com
ip host test.com mx 10 mail.test.com
ip host ns.test.com x.x.x.x
ip host mail.test.com x.x.x.x
ip host www.test.com x.x.x.x
ip host view LAN test.com y.y.y.1
ip host view LAN ns.test.com y.y.y.1
ip host view LAN mail.test.com y.y.y.2
ip host view LAN www.test.com y.y.y.3
end
, где х.х.х.х - IP адрес установленный на интерфейсе eth0
y.y.y.1 - IP адрес установленный на интерфейсе eth1
y.y.y.N - внутренние IP адреса серверов в офисной сети4. Создаём view для локальных и внешних пользователей:
conf t
ip dns view LAN
domain name test.com
exit
ip dns view default
domain name test.com
no dns forwarding
end
, дополнительные параметры в каждом view выставляются по необходимости (см. источники указанные выше), в данном варианте отключаются все запросы от внешних пользователей не относящихся к домену test.com5. Создаём view-list'ы:
conf t
ip dns view-list LAN-Group
view LAN 1
exit
ip dns view-list WAN-Group
view default 1
end6. Назначаем view-group интерфейсам:
conf t
int eth0
ip dns view-group WAN-Group
exit
int eth1
ip dns view-group LAN-Group
end7. Не забываем настроить редирект 25 и 80 портов на соответствующие внутренние сервера!
P.S. Никогда не понимал людей, которые вместо того, чтоб помочь ответами, засоряют форумы выражениями типа:
---
- ВОпрос.. зачем на Циске ДНС-сервер?...
...
- На самом деле даже в самой циске никогда не приводят примеров работы dns-сервера на оборудовании циско, у них даже всегда в курсах присутствует выделенный dns-сервер.
----Не показывайте свою некомпетентность или лень!!! Вас не спрашивают - ЗАЧЕМ? Вас спрашивают - КАК?
> Не показывайте свою некомпетентность или лень!!! Вас не спрашивают - ЗАЧЕМ? Вас
> спрашивают - КАК?Молоток. Респект.
>> Не показывайте свою некомпетентность или лень!!! Вас не спрашивают - ЗАЧЕМ? Вас
>> спрашивают - КАК?
> Молоток. Респект.Хорошо, что на мои вопросы по Астериску и воайпи все спешат показать свою компетентность.
Я использую в качестве первичного DNS сервера своего домена, а так же в качестве DNS-прокси cisco 1841. Вторичного авторитарного DNS сервера не делал, в качестве первого NS используется IP адрес loopback интерфейса из автономной системы, а в кажестве резервного NS - IP интерфейса стыка с основным провайдером. Загрузку ЦП можно увидеть ниже.
Конечно не айс, но в каком то приближении использовать в качестве DNS-сервера можно.
Главное преимущество - компактность сетевой инфраструктуры.
Но одну проблему я так и не разрешил. Может кто подскажет?
Проблема при использовании cisco в качестве кэширующего DNS-сервера. Понятно, да? Хосты из моей сети разрешают FQDN обращаясь к моей пограничной циске, а та к двум провайдерам подключенным с использованием BGP.
Для соответствующего DNS-представления указаны 4 DNS-форвардера, по два от каждого провайдера. Так вот, циска при разрешении каждого имени обращается к форвардерам по списку форвардеров, каждый раз начиная с первого! Что соответственно приводит к жопе, если на первое место в представлении вручную не поставить доступный DNS-форвадер.
Неужели циска не может отправить UDP DNS-запрос одновременно на несколько форвардеров или хотя бы использовать раунд-робин для форвардеров?Загрузка ЦП при использовании DNS-сервера на cisco 1841:
r1#sh proc cpu hishead-r1 03:48:53 PM Friday May 18 2012 Moscow
2222211111 11111
888333339999944444111114444422222666668888866666111113333355
100
90
80
70
60
50
40
30
20 *****
10 *** ***** ********** ******************** **
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per second (last 60 seconds)
2 92879452616266 265 618767293516452993246933579733328112917
199502969019098574658458386798377145991599311459800022711970
100 * * * ** * *
90 * * * * ** * * *
80 * * * * * * ** * *** * *
70 * *** ** * **** * * ** ** *** * * *
60 * *** * * * ** ** * **** * * ** ** *** * * *
50 * ***** * * ** ** * **** * * * * ** *** **** * * *
40 * ***** * * ** ** * **** *** *** ## *** **#* * * *
30 ****#** * **** ** * #****#** ****##*******###**** * * *
20 * #*#####******* *** **##*#*#***##**###*####*####****#* *#**
10 ################*###*#######################################
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per minute (last 60 minutes)
* = maximum CPU% # = average CPU%
999999999996956599999999999999954522232122268999999998522223222223247797
999999999996660799999999999999931098332578780999399996967277124102667995
100 *********** * *************** *** **** *
90 *********** * *************** ********* *
80 *********** * *************** ********** ****
70 ************* *************** *********** ****
60 ******************************* ************ ****
50 ******************************** * ************ *****
40 ********************************** ************ * *****
30 ************************************ * ***************** ** *******
20 ***#******************#*************************************************
10 #######**************##########***************#########***************##
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
CPU% per hour (last 72 hours)
* = maximum CPU% # = average CPU%
Не, ребята не в цисковских процах проблема, а в карявых руках админа. Проц нагружается от того, что он сам пытается всё резолвить через root сервера. Циска это может, но не должна, по скольку не расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу циску так, что бы все dns резолвились на провайдера.
а если я сам провайдер?> расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу
> циску так, что бы все dns резолвились на провайдера.
Тогда покупайте соответствующее железо. Линейка small-buizness при правильной настройке на отлично выполняет свои функции для более чем 500 компов (на данный момент). Однако, если вы региональный провайдер, я вас умоляю, не цепляйте 20 тонную фуру к запарожу, брите линейку enterprise.> а если я сам провайдер?
>> расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу
>> циску так, что бы все dns резолвились на провайдера.
> Не, ребята не в цисковских процах проблема, а в карявых руках админа.
> Проц нагружается от того, что он сам пытается всё резолвить через
> root сервера. Циска это может, но не должна, по скольку не
> расчитана на такую работу. Этим должен заниматься сервер провайдера. Настройте вашу
> циску так, что бы все dns резолвились на провайдера.Я оставил свои DNS-зоны на циске, а разрешение имен, с которыми циска не справлялась, сделал через службу dns-сервера на windows server DMZ-сегмента.
Не в тему, но эта служба windows тоже странно написана. Обход списка форвардеров для каждого разрешения начинается с первого и если первый форвардер в списке не доступен, то начинается жопа. Пришлось написать сценарий, который периодически запускается планировщиком, ранжирует форвардеров по скорости ответа и сортирует их в списке службы DNS-сервера.
Самое познавательное в этой истории что тема открыта в 2008, когда, наверное, не все здесь отписавшиеся уже знали что такое cisco ))
и спустя 5 лет ничего не изменилось я смотрю )))> Я оставил свои DNS-зоны на циске, а разрешение имен, с которыми циска
> не справлялась, сделал через службу dns-сервера на windows server DMZ-сегмента.