Отключить поиск dns cisco

Обновлено: 04.07.2024

Исторически сложилось так, что пакетные маршрутизаторы разрабатывались для маршрутизации всего трафика. В некоторой степени такая особенность сохраняется и в принятой по умолчанию конфигурации современных пакетных маршрутизаторов. Но чаще всего эти устройства используются в качестве шлюза для доступа к Internet. В стандартной конфигурации многие из них уязвимы с точки зрения безопасности, особенно это касается атак по типу «отказ в обслуживании» (Denial of Service, DoS). В этой статье рассматриваются конфигурационные команды и концепция настройки фильтрации, применение которых позволяет повысить уровень безопасности стандартной конфигурации маршрутизатора Cisco. Многие сервисы можно отключить либо модифицировать без снижения его функциональности. Кроме того, обсуждаются базовая операционная система IOS и интегрированные функции брандмауэра маршрутизаторов Cisco.

РАЗМЕЩЕНИЕ МАРШРУТИЗАТОРА НА ПЕРИМЕТРЕ СЕТИ

Доступ организации к Internet обычно осуществляется путем подключения специального устройства (это может быть маршрутизатор) к глобальной сети через так называемую «точку присутствия» провайдера Internet.

Многие современные методы подключений — кабельное (сетевой доступ с помощью широкополосной линии связи), DSL (Digital Subscriber Line, высокоскоростная передача данных по медному проводу) — заканчиваются на клиентской стороне портом Ethernet (кабельный модем/маршрутизатор или модем/маршрутизатор DSL). Маршрутизатор может быть использован в точке подключения по протоколу Ethernet для обеспечения дополнительных сетевых сервисов, таких, как преобразование сетевых адресов (Network Address Translation, NAT) или динамического предоставления IP-адресов клиентам (Dynamic Host Configuration Protocol, DHCP). Многие кабельные и DSL-модемы обладают встроенными функциями маршрутизации и могут обеспечивать соединение с провайдером Internet, предоставляя дополнительные функции наподобие NAT.

На Рисунке 1 представлены две схемы. На первой показано применение маршрутизатора в качестве оконечного устройства в точке подключения к глобальной сети. Он может находиться перед одним или несколькими другими маршрутизаторами, брандмауэрами либо иными сетевыми устройствами. На второй схеме маршрутизатор располагается в точке подключения сети малого или домашнего офиса (Small Office/Home Office, SOHO) к предоставляемому провайдером Internet кабельному или DSL-соединению.

ПАРАМЕТРЫ ГЛОБАЛЬНОЙ КОНФИГУРАЦИИ

В маршрутизаторах Cisco используются два типа параметров конфигурации: общие и интерфейсные. Общие параметры действительны для всего устройства, а интерфейсные касаются только конкретного сетевого интерфейса. В этом разделе дается определение ряда общих команд, имеющихся в большинстве версий Cisco IOS, применение которых позволит повысить общий уровень безопасности.

no ip source routе — четвертая версия IP имеет средства для включения информации о маршруте в пакет. Эта технология известна как маршрутизация от источника. Она никогда широко не применялась и уже удалена из новой версии протокола TCP/IP. Взломщики часто обращаются к ее возможностям, чтобы обойти таблицы маршрутизации устройств, и таким образом скрыть источник трафика. Данная команда заставляет маршрутизатор игнорировать пакеты с таким заголовком.

no service finger — процесс finger (указатель на детальную информацию об интересующем объекте) в маршрутизаторе подобен процессу finger в системе UNIX. Он может предоставить потенциальным взломщикам информацию, которую им не следует знать. Данная команда его отключает.

no service tcp-small-servers и no service udp-small-servers — в последних версиях IOS она применяется по умолчанию. Устройства Cisco поддерживают такие «малые» службы IP, как echo, chagren и discard. Ими легко воспользоваться, однако ввиду нечастого применения их лучше отключить.

no cdp run — протокол обнаружения Cisco (Cisco Discovery Protocol, CDP) является собственным информационным протоколом Cisco второго уровня. Предоставляемая им информация не нужна для работы маршрутизатора но может быть использована взломщиками. Однако если протокол CDP используется в вашей сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.

no ntp enable — синхронизирующий сетевой протокол (Network Time Protocol, NTP) может оказаться ненужным для пограничного маршрутизатора и должен быть отключен. При этом маршрутизатор не может быть ни источником, ни конечным пунктом маршрута для трафика NTP. Однако если протокол NTP все же используется в сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.

no ip domain-lookup — oтключает в маршрутизаторе функции поиска по DNS, которые в большинстве случаев не требуются для выполнения стандартных операций.

service password-encryption — определяет шифрование паролей, хранящихся на локальном маршрутизаторе, и обеспечивает необходимый уровень безопасности, если имеется брешь в системе защиты либо пароли скомпрометированы.

enable secret — определяет шифрование паролей в привилегированном режиме, в отличие от команды enable password, которая разрешает передачу пароля в виде нешифрованного текста.

banner motd text — эта команда аналогична команде motd в операционной системе UNIX, которая выводит на экран окно с предупреждением для взломщиков о том, что они вошли в частную систему. Стандартный текст находится в действующей по умолчанию конфигурации маршрутизатора. Данная команда не обеспечивает какую-либо защиту, но может быть полезна в случае судебных разбирательств в связи со взломом сети, поэтому при создании такого баннера было бы целесообразно проконсультироваться с юридическим отделом вашей компании.

ip tcp intercept mode intercept access-list 102 permit tcp any 172.30.0.0.0.0.255.255 ip tcp intercept list 102 ip tcp intercept max-incomplite high 200

Функция перехвата протокола TCP предоставляет возможность программной защиты серверов TCP от атак SYN flooding. Эта разновидность атак по типу «отказ в обслуживании» приводит к тому, что сервер оказывается заблокирован многочисленными запросами. Список доступа (дополнительную информацию см. далее в разделе «Списки доступа») определяет серверы и сети, от которых принимаются входящие соединения TCP. Параметр high 200 определяет максимально допустимое число открытых соединений TCP на хост. Команда может содержать много конфигурационных параметров, и ее следует применять, только если вы хорошо понимаете, какого типа трафик и соединения типичны для вашей сети.

ПАРАМЕТРЫ КОНФИГУРАЦИИ ИНТЕРФЕЙСА

Как уже говорилось в предыдущем разделе, эти параметры применяются непосредственно к сетевому интерфейсу для изменения его функции. Если не указано иное, большинство подобных команд должно применяться к внешнему по отношению к вашей сети интерфейсу маршрутизатора.

no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.

no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.

ntp disable — отключает NTP на уровне интерфейса. Это позволяет выполнять протокол NTP на маршрутизаторе, но делает его «невидимым» снаружи.

no cdp enable — отключает протокол CDP на уровне интерфейса, что очень полезно, если протокол CDP применяется только во внутренней локальной сети.

no ip directed broadcast — действует по умолчанию в IOS Version 12 и выше. Команда блокирует прямую широковещательную рассылку в конкретную сеть или ее подсеть. Появление широковещательного трафика в сети часто является признаком такой разновидности атак по типу «отказ в обслуживании», как Smurf. Этот режим хорошо бы установить на всех сетевых маршрутизаторах компании, естественно, если отсутствуют конкретные приложения, которым необходима широковещательная рассылка.

mac-address 00550.04FE.7F9C — изменяет MAC-адрес интерфейса (Burned In Address, BIA) в программном обеспечении. Это позволяет слегка повысить уровень безопасности путем введения в заблуждение злоумышленника. С помощью указанной команды можно переопределить MAC-адрес интерфейса. Так как производители сетевого оборудования назначают MAC-адреса при изготовлении устройств, изменение данного параметра поможет скрыть тип устройства, например тип вашего маршрутизатора. Обычно я беру MAC-адрес сетевого адаптера 3COM со своего компьютера. Подобная операция может запутать потенциального взломщика, а также окажется весьма полезной, если ваш поставщик услуг связи (кабельного или DSL-соединения) неодобрительно относится к использованию маршрутизаторов в его сети.

СПИСКИ ДОСТУПА
Стандартный список доступа
access-list 10 deny 224.0.0.0 31.255.255.255 ! групповые адреса не принимаются. Отмените их. ! 224.0.0.0 является началом диапазона многоадресной ! рассылки, а 31.255.255 указывает оставшийся ! диапазон адресов access-list 10 permit any ! подразумевается, что каждый список доступа ! заканчивается deny any («запрещено все, что не ! разрешено»), поэтому если это нежелательный результат, ! добавьте permit any («разрешено все, что не запрещено»)
Расширенный список доступа
access-list 111 deny ip 224.0.0.0 31.255.255.255 any ! здесь необходимо указать протокол. (ip означает любой ! протокол ip) и конец каждого маршрута access-list 111 permit ip any any

Интерфейсная команда ip access group активизирует эти списки доступа на соответствующем интерфейсе. IOS позволяет задавать только по одному фильтру на каждом направлении (на входе или на выходе пакета). Если вы включили фильтрацию с использованием списков доступа IP, как минимум, убедитесь, что этот фильтр выполняет следующие операции фильтрации.

  • Исходные адреса из диапазона частных адресов в соответствии с RFC 1918.
  • Недействительные исходные адреса, например широковещательные.
  • Адрес источника из внешней сети совпадает с одним из внутренних адресов.

Выполнение хотя бы минимальной фильтрации может быть полезно, даже если у вас есть брандмауэр между маршрутизатором на границе сети и внутренней сетью. Для пропуска только трафика, необходимого для работы вашей сети, могут быть разработаны более строгие фильтры. Пакетная фильтрация способна стать мощным средством безопасности. Однако пакетная фильтрация такого рода «не помнит» промежуточные состояния, поэтому маршрутизатор не «знает» о потоках, соединениях и обратном трафике. Например, если политика доступа разрабатывалась в предположении, что из вашей сети будет исходить только конкретный вид трафика, то природа пакетной фильтрации «без сохранения состояния» требует, чтобы вы проверяли и обратный трафик. Некоторые типы соединений предполагают, что пользователь устанавливает соединение вовне, а в ответ сервер инициирует соединение с пользователем (режим порта ftp, потоковое мультимедиа). Это потребует открытия «высоких» портов (больше чем 1023), а также контроля за битами TCP SYN и ACK, которые легко фальсифицировать.

Списки доступа следующего поколения — это возвратные списки доступа и контекстно-зависимые списки доступа (Context Based Access Control, CBAC). Они позволяют учитывать протоколы и функции более высокого уровня. Возвратные списки называют также фильтрацией сеанса IP, поскольку они строят динамический обратный путь на основе информации о сеансе. Возвратные списки доступа являются частью базового набора функций Cisco IOS, начиная с версии 12.0.

возвратные списки
ip access-list extended internet-out ! используется на исходящем направлении, проверяет ! внешний трафик для построения таблицы состояний permit ip any any reflect dynamic-path ! dynamic-path означает список доступа с возвращаемой ! информацией ip access-list extended internet-in ! используется на входящем направлении, может также ! содержать нединамические открытия; ! например SMTP mail to 1.2.3.4 permit tcp any host 1.2.3.4 eq smtp ! открывает на время дыры evaluate dynamic-path interface Serial 0/0 ! применяет ваш возвратный список ! к внешнему интерфейсу description Access to the Internet via this interface ip access-group internet-in in ip access-group internet-out out
Использование списков доступа для фильтрации входящих коммуникаций с маршрутизатором

В системе IOS списки доступа могут служить для фильтрации как входящих, так и исходящих соединений маршрутизатора. Два вида таких соединений, telnet и SNMP, направлены к маршрутизатору. Список доступа может применяться непосредственно к процессам telnet и snmp для ограничения трафика.

Пример для входящего трафика telnet:

access-list 10 permit 172.30.0.0 0.0.255.255 ! определение списка доступа для разрешения доступа ! внутрь сети line vty 0 4 ! конфигурирование виртуальных терминалов telnet access-class 10 in ! применение списка доступа к входящим процессам telnet

Пример для трафика SNMP:

!использовать список доступа 10 для доступа SNMP snmp-server community my-community RW 10

ВСТРОЕННЫЕ ФУНКЦИИ IOS ДЛЯ ВЫЯВЛЕНИЯ ВТОРЖЕНИЙ

Контекстно-зависимые списки доступа — не единственный компонент интегрированной системы безопасности. Она также включает систему выявления вторжений (Intrusion Detection System, IDS). Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7x00). Процесс проверки контекстно-зависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Буфер протоколирования системных событий можно просмотреть с помощью команды show log. К данному буферу следует обращаться в том случае, когда внешнее протоколирование невозможно. IDS может оказаться не в состоянии проверять весь трафик — все зависит от доступных ресурсов маршрутизатора и объема трафика. Она способна реально обеспечить дополнительный уровень защиты. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.

КОММЕНТАРИЙ К РАБОЧЕЙ КОНФИГУРАЦИИ МАРШРУТИЗАТОРА

Приведенная рабочая конфигурация в настоящее время используется на маршрутизаторе в домашнем офисе, подключенном к Internet по кабельному модему. Маршрутизатор Cisco2621 работает под управлением IOS версии 12.1(3)T (C2600-JO3S56I-M). В качестве внешнего интерфейса используется Fast Ethernet 0/0. Он подключается к кабельному модему с помощью переходного кабеля Ethernet. Внутренний интерфейс — Ethernet 0/1 — подсоединен к коммутатору Ethernet домашнего офиса. Внешний интерфейс имеет собственный MAC-адрес, как у сетевой платы компьютера, и получает адрес от провайдера по протоколу DHCP. Внутренний интерфейс использует сервер DHCP для предоставления информации об адресах оборудования домашнего офиса. Частный адрес (RFC 1918) применяется внутри. Маршрутизатор выполняет динамическое преобразование сетевых адресов NAT с использованием адреса внешнего интерфейса в качестве адреса отправителя. Безопасность обеспечивается за счет применения контекстно-зависимых списков доступа и системы выявления вторжений. Маршрутизатор использует также процесс учета, авторизации и идентификации (Accounting, Autho-rization, Authentication, AAA) для обеспечения безопасности консоли, вспомогательного последовательного порта и telnet. Процесс AAA обеспечивает большую безопасность, чем использование паролей отдельно для каждой линии, так как предоставляет унифицированный метод регистрации.

ЗАКЛЮЧЕНИЕ

Хотя в малых и домашних офисах уже широко используются брандмауэры, а также высокоскоростные линии связи, проблема безопасности внешнего периметра сети часто игнорируется. Маршрутизаторы Cisco при соответствующем конфигурировании могут обеспечить необходимый уровень безопасности любой сети.

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.

Предварительные условия

Требования

Интерфейс командной строки (CLI) Cisco IOS®

Общая модель поведения DNS

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Маршрутизаторы Cisco серии 2500

ПО Cisco IOS 12.2(24a)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Настройка маршрутизатора на использование поиска DNS

Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:

Примечание. Если список доменов отсутствует, используется доменное имя, заданное с помощью команды глобальной кофигурации ip domain name.

Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:

Устранение неисправностей

Довольно редко можно увидеть одну из следующих ошибок:

Для того чтобы устранить эту проблему, выполните следующие шаги:

Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.

Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:

Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:

Используйте команду debug ip packet 101.

Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.

Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.

Веб-сервер отвечает на эхо-запросы, но HTML-страницы не отображаются

Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.

Программа dig дает более детальную информацию о DNS пакетах:

Маршрутизатор запрашивает несколько серверов преобразования имен

В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:

Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.

Функция поиска DNS помогает только пользователям, имеющим маршрутизатор cisco который использует DNS-сервер. Так что это не так. Обычно это вызывает задержки, и это может быть вредно для пользователя. Например, если вы ввели неверный URL.

Функция запроса DNS сначала попытается найти этот URL-адрес на DNS-сервере. Если результатов нет, это обычно приводит к зависанию машины, если DNS-сервер не настроен. Это основная причина, по которой пользователи отключают функцию поиска DNS на своих маршрутизаторах cisco.

Если у вас есть маршрутизатор, у которого функция запроса DNS включена по умолчанию. Чтобы узнать, как отключить поиск DNS для DNS-клиента маршрутизатора. Кроме того, вы изучите DNS-серверы спектра. Как это работает и какие онлайн-инструменты используются для запроса DNS.

Чтобы вы могли понять, как работает этот процесс, я, наконец, объясню, что Ddns не разрешает имена серверов Xbox. Поиск на cox серверах. Его поддерживают все эти серверы, такие как Blue Host, iPage, HostGator, InMotion и Hostinger. StableHost, SiteGround, GreenGeeks, A2Hosting, Webhosting Hub.

Зачем нужно отключать DNS-поиск

Зачем отключать поиск DNS, потому что DNS-запрос - это аббревиатура для доменных имен System. Он также упоминается как Сервер доменных имен или Система доменных номеров. Его можно определить как сложный иерархический протокол для перевода слов.

Или адресную строку, которую вы вводите в свой URL-адрес в виде цифр и интернет протокол (Айпи адрес. Это набор чисел, который помогает компьютеру понимать вводимые вами команды (слово, которое вы вводите в адресной строке).

disable dns lookup

Проще говоря, DNS переводит человеческий язык на компьютерный. Это также упрощает пользователям использование компьютеров, поскольку мы можем вводить слова вместо набора чисел, которые может быть сложно запоминать каждый раз, когда они хотят посетить определенный веб-сайт.

И наоборот, серверы могут работать быстрее и эффективнее. Поскольку, переведя адрес в IP, сервер теперь может понимать этот компьютерный язык. Теперь, надеюсь, вы понимаете, зачем нужно отключать поиск по DNS.

Как отключить поиск DNS на маршрутизаторе Cisco

Сначала откройте приложение HyperTerminal, введите команду и пароль. Затем выполните настройку терминала и выйдите. Теперь подробнее о том, как отключить DNS-поиск на маршрутизатор cisco ниже.

disable dns lookup

Если у вас есть какие-либо вопросы об отключении dns lookup cisco, не стесняйтесь спрашивать в разделе комментариев.

Как проверить маршрутизатор Отключить поиск DNS

Как отключить поиск DNS в MYSQL

  • Сначала запустите установленное программное обеспечение сервера поиска DNS MySQL. Вы также обнаружите необходимость убедиться, что опция пропуска имени-разрешения включена.
  • Следующий шаг требует некоторых знаний, и я cisco name даст вам некоторое представление о том, к чему это относится. Вы должны знать, что поиск DNS на сервере поиска mysql dns регулируется «HostnameLookups», Которая может быть в cisco отключить сервер Apache поиска DNS. В большинстве случаев сервер поиска mysql dns будет иметь разрешенный dns по умолчанию dns, что означает, что он включен, и все, что вам нужно сделать в этом случае, - это изменить этот параметр и выключить его. После того, как вы измените настройку по умолчанию с «ВКЛ» на «ВЫКЛ», поиск DNS на сервере MySQL изменится с «Включено» на «Отключено».
  • Вы также можете снова изменить настройки, чтобы включить DNS, используя ту же команду, то есть «Имя хоста»И изменив настройку с« выкл. »На« вкл. ». С отключением поиска DNS cisco, теперь он у вас есть, и вы можете приступить к настройке параметров по своему усмотрению.

Что такое IP-адрес Charter Spectrum DNS-серверов

В настоящее время я позвонил в техподдержку, чтобы получить IP-адреса для DNS-серверов чартерного спектра. Человек, который пользуется телефоном, сказал, что не смог предоставить информацию. Spectrum не предлагает статические IP-адреса для домашних, личных или некоммерческих аккаунтов. IP-адрес DNS-серверов с определенным спектром будет изменяться в зависимости от региона.

Предположим, вы живете на DNS-серверах спектра во Флориде и не хотите ехать в Калифорнию через те же DNS-серверы диапазона. Ниже IP-адрес в качестве примера. Это не будет совпадать, потому что они предоставляют другой IP-адрес для другой области.

Если вы измените IP-адрес DNS, перезагрузите модем или беспроводное устройство.

DNS не разрешает имена серверов Xbox (исправление)

Теперь я буду обсуждать, что DNS не разрешает имена серверов Xbox. Когда вы столкнетесь с проблемой, то ваш Xbox. Я покажу вам лучшее решение этой проблемы. DNS не разрешает имена серверов Xbox.

DNS Isn

Эту проблему можно увидеть, когда люди используют новый маршрутизатор и новые интернет-соединения. Пожалуйста, отключайте устройство, когда оно не использовалось, потому что это не мой совет. Это совет Microsoft.

Пошаговое руководство: как решить, что коммутатор не может выполнить разрешение DNS-имен

Nintendo Switch DNS Error

Многие люди не знают, что это проблема службы доменных имен (DNS). DNS - это то, что позволяет нам получить доступ к веб-сайту без необходимости запоминать IP-адрес.

  • Вы просто переводите Nintendo в спящий режим, когда не пользуетесь ею.
  • Перейдите к параметру питания Nintendo Switch, нажав кнопку питания в верхнем левом углу устройства. Нажмите на нее на несколько секунд, это даст вам возможность. Вы выбираете выключить устройство Nintendo Switch.
  • Подождите 10 или 15 секунд, затем включите устройство.
  • Когда вы включаете свое устройство, я надеюсь, что вы решите ошибку DNS переключателя Nintendo.

Пройдя эти учебные пособия, вы научитесь трем важным вещам. Ожидается, что вы отключили поиск DNS, Nintendo-switch не смог выполнить решение для разрешения имен DNS.

Now if you have any confusion about spectrum DNS servers or DNS isn’t resolving Xbox server names. Please feel free to ask in the comment section.

Система распределения доменных имен DNS и протокол динамической настройки узла DHCP являются очень важными для сетей, особенно для сети Интернет, так как позволяют настроить доступ к интернету, сконфигурировать браузер и т.д. На предыдущих уроках мы уже рассматривали настройку DHCP-сервера, так что не будем терять время и приступим к уроку.
Сегодня мы рассмотрим три темы: работу DNS, настройку DNS и проблемы, которые могут встретиться при использовании этой системы, а также настройку и проблемы DHCP. Перед тем, как двинуться дальше, мы должны рассмотреть несколько вещей. Они не являются частью тематики курса CCNA, но нужны для понимания базовых понятий того, как осуществляется хостинг нового веб-сайта. Если вас интересует создание сайтов, вы хотите узнать о HTML, CSS, PHP, Java-script, хочу сказать, что я собираюсь сделать новую серию видеоуроков о том, как создавать сайты. Однако учитывая, что я занимаюсь этим в свободное от основной работы время, эта серия выйдет ещё не скоро. Пока же я хочу рассказать о некоторых основах сайтостроительства, касающихся не столько разработки сайтов, сколько хостинга и сетевого обеспечения работы веб-страниц.





Существует два типа DNS-серверов: приватный, или внутренний, и публичный, или внешний. В первом случае у нас может быть сеть из 100 компьютеров, которые нуждаются в локальном доменном имени. Например, для использования файлового сервера компании, который расположен на хосте с неким IP-адресом, вам не нужно будет набирать и помнить этот адрес, если вы будете пользоваться простым доменным именем fileserver. При этом администратор сети может поменять IP-адрес файлового сервера в любое время, и это никак не отразится на пользователях локальной сети.




Существует очень популярный публичный резольвер, которым пользуются все – это Google DNS, который имеет IP-адрес 8.8.8.8. Google имеет множество резольверов, которые хранят в своих кешах огромное количество адресов самых разных ресурсов, поэтому обращение к Google и получение ответа происходит намного быстрее. А теперь давайте перейдем к рассмотрению DHCP.


Если вы помните, мы уже говорили об этом протоколе в одном из первых видеоуроков. DHCP организует процесс получения устройством IP-адреса и других параметров, которые нужны для работы в сети по протоколам TCP/IP. Устройства Cisco используют сервер DHCP, параметры которого настраиваются в режиме глобальной конфигурации роутера. Для этого используется команда ip dhcp pool <имя>, с помощью которой на роутере настраивается DHCP-пул, затем команда network <сеть> <маска подсети>, указывающая, для какой именно подсети он настраивается. В качестве идентификатора сети используется IP-адрес сети /24 и маска подсети 255.255.255.0. Слеш 24 указывает на то, что в сети может быть 254 возможных адресов, приписанные к данному DHCP-пулу.

Далее необходимо указать default router, который представляет собой IP-адрес шлюза по умолчанию, и указать сам DNS –сервер, обозначив его IP-адрес. Например, если в качестве DNS-сервера указать адрес 8.8.8.8, то DHCP сообщит этот адрес всем клиентам пула.

Предположим, в вашей сети 192.168.1.0 имеется DHSP-сервер, файловый сервер и веб-сервер. Тогда эти устройства будут иметь последний октет IP-адреса соответственно .1, .2 и .3. Допустим, у вас появился новый клиент, который обращается к DHCP-серверу с запросом на получение IP-адреса. При этом сервер не должен присвоить ему адреса .2 и .3, потому что они уже заняты другими устройствами. В данном случае нужен запрет на те адреса, которые нельзя присваивать новым устройствам, входящим в сеть.


Приведу пример, как можно реализовать данный запрет. В этом случае задается диапазон IP-адресов, которые DHCP-сервер не должен присваивать клиентам. Я покажу вам этот процесс в программе Packet Tracer. Вы видите топологию сети, в которой первый роутер играет роль DHCP-сервера.


Таким образом, нам нужен механизм, позволяющий создавать несколько пулов для работы с устройствами, расположенными в разных подсетях. Для организации работы DHCP-сервера с несколькими подсетями нужно зайти в настройки роутера и присвоить его интерфейсам IP-адреса, которые я обозначил на схеме.

Сначала я вхожу в глобальный режим настроек и ввожу команду hostname DHCP_server, после чего присваиваю интерфейсу f0/0 IP-адрес командой ip address 192.168.1.1 255.255.255.0 и добавляю команду no shutdown. Интерфейсу f0/1 присваивается адрес 192.168.2.1.

Теперь создадим пул IP-адресов. Для этого используется команда ip dhcp pool, в которой нужно указать название пула, чтобы затем перейти в режим подкоманд созданного пула, указать диапазон свободных IP-адресов пула и пассивный сервер DHCP-relay.

Итак, я создаю пул под названием NET1 с помощью команды ip dhcp pool NET1, нажимаю «Ввод» и перехожу к подкомандам. Система выдает подсказку, какие параметры можно настроить.


Можно указать роутер по умолчанию default-router, имя DNS-сервера dns-server, команда exit позволяет выйти из настроек DHCP-пула, параметр network позволяет указать номер сети и маску, команда no отменяет все изменения и сбрасывает к настройкам по умолчанию, а option позволяет указать функции Raw DHCP.

Начнем с того, что укажем роутер по умолчанию, то есть укажем IP-адрес 192.168.1.1. Это означает, что если компьютер PC0 или PC1 захочет получить IP-адрес, он должен будет обратиться к шлюзу, который имеет этот адрес. Этот параметр вводится командой default-router 192.168.1.1. Далее нужно указать, для какой сети настроен данный пул. Для этого используется команда network 192.168.1.0 255.255.255.0.

Теперь нужно указать DNS-сервер, который на нашей схеме имеет IP-адрес 192.168.1.2. Для этого я ввожу команду dns-server 192.168.1.2 без указания маски подсети.

Закончив настройку DHCP-сервера, перейдем к настройке DNS-сервера. Для этого я щелкаю по иконке этого устройства и захожу на вкладку IP configuration. В данном случае используется статический IP-адрес 192.168.1.2, адрес шлюза по умолчанию 192.168.1.1, а в качестве DNS-сервера устройство указывает само себя, то есть IP-адрес 192.168.1.2.


Теперь можно перейти к настройкам веб-сервера. Я точно также захожу в настройки IP и ввожу нужные параметры.



Теперь я перейду к компьютеру PC0 и настрою DHCP. Для этого я отправлю запрос, и как видите, DHCP тут же автоматически ответит компьютеру, заполнив строки информацией. Таким образом PC0 получит свой IP-адрес 192.168.1.4


Данный адрес с последним октетом .4 был автоматически сконфигурирован с учетом того, что в сети уже присутствуют устройства с адресами .1, .2 и .3. Однако если вы вручную присвоите IP-адрес какому-либо устройству в этой сети, может возникнуть IP-конфликт, потому что DHCP-сервер не будет знать, что вы уже присвоили компьютеру, например, адрес 192.168.1.3, и может автоматически присвоить этот же адрес другому устройству.


Перейдем к компьютеру PC1 и проделаем то же самое. Мы видим, что сервер присвоил ему следующий доступный IP-адрес 192.168.1.12, шлюз по умолчанию имеет адрес 192.168.1.1, а DNS-сервер — 192.168.1.2.


Я проделаю то же самое с PC1, и как видите, нажатие на кнопку Go не приводит ни к какому результату. Позвольте мне снова подключить DNS-сервер к свитчу и еще раз запустить браузер компьютера PC0. Технически, если информация о сайте сохранилась в кеше браузера, вам не нужна связь с DNS-сервером, чтобы получить доступ к этому сайту, потому что компьютер автоматически обратится напрямую к веб-серверу.

Обратимся снова к нашему DHCP-серверу и организуем пул для второй сети, в которой находится компьютер PC2, я назову эту сеть NET2. Для этого я последовательно ввожу команды ip dhcp pool NET2 и network 192.168.3.0 255.255.255.0. Затем я ввожу IP-адрес DNS-сервера, общий для обеих сетей — 192.168.1.2 и назначаю роутер по умолчанию. Поскольку дело касается сети 3.0, в качестве default router я указываю второй роутер Router1 с IP-адресом 192.168.3.2.


В данном случае APIPA назначила компьютеру случайный IP-адрес 169.254.133.157. Это нормально и мы знаем, почему так произошло. Однако нам нужно, чтобы Router1, получив запрос на IP-адрес, отправил его по сети дальше к DHCP-серверу, то есть нам нужно, чтобы этот роутер выполнял роль пассивного сервера DHCP-relay. Перед тем, как заняться его настройкой, вернемся к первому роутеру DHCP-server и включим функцию RIP-маршрутизации.


Затем перейдем ко второму роутеру Router1 и выполним аналогичные настройки, чтобы оба эти устройства могли связываться по протоколу RIP.


Теперь нужно настроить внешний интерфейс f0/1, указав для него вспомогательный адрес helper-address. Команда helper-address служит для пересылки широковещательного DHCP-запроса на указанный адрес, в нашем случае это 192.168.2.1.


Теперь любой DHCP-запрос компьютера PC2 будет автоматически пересылаться DHCP-серверу. Попробуем еще раз включить DHCP, и непонятно почему, но наш компьютер снова использует APIPA – запрос с DHCP-серверу остался без ответа.

Попробуем разобраться с проблемой, для этого я захожу в настройки Router1 и ввожу команду ping 192.168.2.1. Пинг не проходит, поэтому я по-быстрому проверю интерфейсы DHCP-сервера, используя команду show ip int brief, и обнаруживаю ошибку. Да, я бы не сдал экзамен с такими знаниями! Поэтому, ребята, нужно практиковаться, чтобы не делать подобных ошибок. Сейчас я её исправлю.

Я забыл использовать в настройках DHCP-сервера важную команду, и сейчас введу её для интерфейса f0/1: ip add 192.168.2.1 255.255.255.0. Это просто досадная ошибка, которую я исправил. Теперь снова заходим в настройки PC2 и включаем DHCP. Что, опять? Запрос снова не проходит!

Я снова проверяю настройки Router1. C таблицей маршрутизации все в порядке, все нужные записи присутствуют, в чем же проблема? Вспомогательный адрес тоже назначен правильно. Ну ничего, в конце концов я найду причину.

Я снова возвращаюсь к настройкам DHCP-сервера и ввожу команду show ip route. Выясняется, что маршрута не существует, потому что я не указал версию протокола. Я исправляю эту ошибку, и теперь все должно заработать.

Я возвращаюсь к PC2 и снова включаю DHCP – теперь все нормально, компьютер получает IP-адрес 192.168.3.6, присвоенный ему DHCP-сервером. Из-за своей невнимательности я допустил ошибку и потратил время на её поиск, так что прошу меня простить.


Вот таким образом работает пассивный сервер DHCP-relay, который использует helper-address. Как видите, все очень просто и понимание изложенной темы не должно представлять для вас особых сложностей. Владение основами DNS и DHCP очень важно для подключения ваших компьютеров к сети.

Как я уже говорил, мы приближаемся к концу тематики, необходимой для сдачи первого экзамена CCNA, нам осталось еще несколько важных видеоуроков, в частности, ASL, NAT и PAT. Прошу не беспокоиться по поводу несовместимости видеоуроков старой и новой версий CCNA – я своевременно добавляю новые серии и удаляю не нужные, так что вы будете изучать только актуальные темы.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

DNS (Domain Name Service) - Служба доменных имен используется для преобразования доменных имен в IP адреса и наоборот.

Где это используется?

DNS запрос

Сервер вернет компьютеру запрошенный адрес:

DNS ответ

Схема работы довольно проста, однако здесь имеются некоторые особенности, которые мы рассмотрим ниже.

Служба доменных имен имеет иерархическую структуру и подразделяется на домены первого, второго, третьего и др. уровней.

Выглядит иерархия DNS так:

Иерархия доменных имен

Для преобразования доменных имен в адреса используются специальные серверы DNS. Все серверы объединяются в иерархическую сеть. То есть имеются главные серверы (master) и ведомые (slave).

Для чего это нужно?

Все DNS серверы делятся на рекурсивные и нерекурсивные.

В чем же их отличия?

Выше мы описали принцип работы иерархической структуры сети DNS серверов. Если компьютер отправит запрос на сервер и сервер не имеет информацию по данному запросу, то сервер в качестве ответа вернет компьютеру (хосту) IP адрес другого сервера, который возможно имеет некую информацию. Компьютеру придется делать запрос на другой сервер и так до тех пор, пока не получит требуемую информацию.. Причем все запросы осуществляет сам компьютер. То есть DNS сервер получает запрос и сразу же отвечает и его не волнует, что компьютер (хост) получил неполную информацию. Такой сервер называется нерекурсивным.

На рисунке представлена схема работы такой сервера:

Работа нерекурсивного DNS

Теперь рассмотрим другую ситуацию. Компьютер отправил запрос на ближайший DNS сервер. Этот сервер сам опросит при необходимости нужные сервера и компьютеру вернет полную информацию. Компьютеру остается только ждать. Такой сервер называется рекурсивным:

Работа рекурсивного DNS

Подобные серверы установлены в локальных сетях и у некоторых провайдерах. Все остальные серверы нерекурсивные.

Все локальные DNS серверы являются кэширующими, то есть запоминают все запросы в своей памяти на определенное время. Делается этого для снижения трафика на общедоступные серверы доменных имен.

Теперь рассмотрим какие записи содержит сам сервер. Для этого выполним следующую команду

Типы записей DNS

Данная команда работает на Linux и позволяет получить информацию о DNS записях.

В нашем случае имеем следующее:

NS запись - IP адрес авторитативного DNS сервера, который отвечает за данный домен.

Вместо команды dig можно воспользоваться командой попроще:

Типы записей DNS

Вывод команды будет более понятным:

Настройка кэширующего сервера DNS

Если локальная сеть небольшая, то обычно в качестве DNS сервера выступает сам маршрутизатор. Попробуем настроить такой маршрутизатор.

Включаем режим сервера

Включаем трансляцию имен в IP адреса

Далее добавляем DNS сервера, к которым будет обращаться наш маршрутизатор. Всего можно настроить до 6 серверов

Теперь на компьютерах этой сети достаточно в качестве DNS сервера указать адрес маршрутизатора. Это можно сделать с помощью DHCP.

А не проще ли на компьютерах сразу указать адрес DNS сервера одного из вышестоящий уровней?

Если локальная сеть довольно большая, то устанавливают отдельный DNS сервер, который также содержит записи о внутренних хостах и ресурсах, так как в локальной сети могут быть свои серверы.

Для настройки локального DNS сервера в маленькой сети достаточно выполнить команду

Теперь можно обращаться к хосту по его имени и не нужно запоминать адрес.

Читайте также: