在 DNS 中委派 /17 子网

在 DNS 中委派 /17 子网

伙计们。我在公司 DNS 设置方面遇到了一个问题。(我在 Linux 平台上运行 BIND9,但这不是 BIND 特有的。)

我需要将 /24 反向区域委托给我无法控制的另一组 DNS 服务器,使用如下语句:

z.y.x.in-addr.arpa   IN   NS   nsa.domain.com
z.y.x.in-addr.arpa   IN   NS   nsb.domain.com

但是,我的公司已从 ARIN 获得了 /17,因此我们没有y.x.in-addr.arpa在 DNS 中加载区域,这意味着我没有地方放置重新授权声明。

我正在寻求任何遇到过此问题的人的建议。主要的难题是,如果我创建 yzin-addr.arpa 区域,该区域将覆盖整个 /16。对于使用我们 DNS 服务器的任何人,我将中断我们无法控制的 /17 块的反向查找。但是,如果我不创建该区域,我就无法重新委托 /24。

有任何想法吗?

(需要注意的是,当我写这篇文章时,我有一个想法 - 也许我可以创建 yxin-addr.arpa 区域,并简单地为那些我无法控制的八位字节生成 NS 记录。这些 NS 记录可以向上引用到 ARIN 的名称服务器。(虽然这可能会导致错误的引用消息,但它可能会起作用。)任何对此想法的想法都将不胜感激。)

先感谢您!

答案1

ARIN 很可能将您的 /17 授权添加为一大堆 /24。您应该能够通过运行dig +trace已授权的区域来验证这一点。

如果是这种情况,只需要求 ARIN 更改您想要更改的 /24 的委派。

答案2

RFC 2317定义如何执行此操作。控制 yxin-addr.arpa 的人需要将 0/17.yxin-addr.arpa 委托给您并创建大量 CNAME,以便 1.1.0/17.yxin-addr.arpa 成为 1.1.yxin-addr.arpa 的 CNAME,依此类推。然后拥有其他 /17 的人可以对 128/17.yxin-addr.arpa 执行相同操作。不可否认,对于像 /17 一样大的子网,必须创建大量 CNAME 记录。

然后,为了重新委派 /24,您可以创建 1/24.0/17.yxin-addr.arpa(或其他任何内容),然后对 CNAME 再次执行相同操作,例如对 1.1.0/17.yxin-addr.arpa 创建 1.1/24.0/17.yxin-addr.arpa。

编辑:在委托 /24 或更大的区块时,应使用适当的技术。委托方仍保留最终权力,并可随时撤销委托。

答案3

好吧...创建 128/24 个区域,委托您需要的区域

答案4

为 xyin-addr.arpa 创建一个区域,然后将 NS 记录重新添加到 in-addr.arpa。对于您无法控制的部分,这样做是可行的。请记住:

  1. 来自互联网的请求只会发送到你控制的部分,所以
  2. 从内部来看,您实际上只需要担心您不拥有的位,以保证您自己的解析器的一致性。

处理此问题的另一种方法是使用一个内部根本不使用但外部查询的名称服务器。您自己的内部解析器将连接到互联网,当它到达时你的子网,它会查询...您的名称服务器

相关内容