IP : Domain Name System (DNS)

Configurando DNS em Cisco Routers

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A finalidade deste documento é reunir determinados pontos sobre o uso do Domain Name System (DNS) pelos roteadores Cisco.

Pré-requisitos

Requisitos

Os leitores deste documento devem estar cientes destes tópicos:

  • Comando line interface(cli) do½ do¿Â do Cisco IOSïÂ

  • Comportamento geral do DNS

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2500 Series Routers

  • Cisco IOS Software 12.2(24a)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurando um roteador para usar pesquisas de DNS

O roteador pode ser configurado para utilizar consultas de DNS se você desejar utilizar os comandos ping ou traceroute com um nome de host em vez de um endereço IP. Use estes comandos para fazê-lo:

Comando Descrição
ip domain lookup Habilita a tradução de nome em endereço do host baseada em DNS. Esse comando está habilitado por padrão.
nome do servidor ip Especifica o endereço de um ou mais servidores de nome.
ip domain list Define uma lista de domínios, cada um a ser tentado de cada vez.

Nota: Se não há nenhuma lista de domínios, o nome de domínio que você especificou com o comando ip domain-name global configuration é utilizado.

Se há uma lista de domínios, o nome de domínio padrão não é utilizado.
ip domain name Define um nome de domínio padrão que o Cisco IOS Software utilizar para completar nomes de host não qualificados (nomes sem um nome de domínio na notação decimal separada por pontos). Não inclua o ponto inicial que separa um nome não qualificado do nome do domínio.
ip ospf name-lookup Configura o Shortest Path First (OSPF) para procurar nomes de DNS para uso em todas as exibições do comando show EXEC do OSPF. Esse recurso facilita a identificação de um roteador, pois ele é exibido pelo nome em vez de ser exibido por sua identificação de roteador ou identificação de vizinho.

Este exemplo mostra uma configuração de exemplo em um roteador configurado para uma pesquisa de DNS básica:

Amostra de Configuração de Pesquisa Básica de DNS
 

Router# show running-config
Building configuration... 
Current configuration : 470 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
ip name-server 192.168.1.100

!--- Configures the IP address of the name server. 
!--- Domain lookup is enabled by default.
 
!
!
interface Ethernet0
 ip address 192.168.1.1 255.255.255.0
!
!  

!--- Output Suppressed.

 end

Router# ping www.cisco.com
Translating "www.cisco.com"...domain server (192.168.1.100) [OK]
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.133.219.25, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 224/228/236 ms

Troubleshooting

Em condições raras, você pode observar uma destas condições de erro:

Router# debug ip udp
UDP packet debugging is on
Router# ping www.yahoo.com 
Translating "www.yahoo.com"...domain server (129.250.35.250) 
*Mar  8 06:26:41.732: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
*Mar  8 06:26:44.740: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
*Mar  8 06:26:47.744: UDP: sent src=209.69.16.66(5476), dst=129.250.35.250(53), length=59 
% Unrecognized host or address, or protocol not running. 
Router#undebug allAll possible debugging has been turned off

Router# ping www.yahoo.co.kr 
Translating "www.yahoo.co.kr"...domain server (169.140.249.4) �� 
Not process 
 
Router# ping www.novell.com 
Translating "www.novell.com"...domain server (255.255.255.255) 
% Unrecognized host or address, or protocol not running.

Conclua estes passos para fazer o troubleshooting deste problema:

  1. Certifique-se de que o roteador possa alcançar o servidor DNS. Faça ping no servidor DNS do roteador que usa seu endereço IP e certifique-se de que o comando ip name-server seja utilizado configurar o endereço IP do servidor DNS no roteador.

  2. Use estas etapas para assegurar que o roteador encaminhe as solicitações de pesquisa:

    1. Defina uma lista de controle de acesso (ACL) que corresponda aos pacotes de DNS:

      access-list 101 permit udp any any eq domain 
      access-list 101 permit udp any eq domain any
      
    2. Use o comando debug ip packet 101.

      Nota: Certifique-se de especificar a ACL. Se você habilitar o comando debug ip packet sem uma ACL, poderá produzir uma grande quantidade de saída para o console e fazer com que o roteador reinicie.

  3. Certifique-se de que o comando ip domain-lookup esteja habilitado no roteador.

Você pode fazer ping para um servidor da Web, mas não pode exibir as páginas HTML

Em casos raros, você pode não conseguir acessar sites específicos pelo nome. Normalmente, este problema é resultante de sites inacessíveis executarem uma busca DNS inversa no endereço IP de origem para verificar se o endereço não está sendo falsificado. Se uma entrada incorreta ou nenhuma entrada é retornada (ou seja, não há nenhum nome associado para o intervalo IP), a solicitação HTTP é bloqueada.

Ao obter seu nome de domínio de Internet, você também deve solicitar um domínio inaddr.arpa. Esse domínio especial é chamado às vezes de domínio reverso. O domínio reverso mapeia endereços de IP numéricos em nomes de domínio. Se seu ISP fornece seu servidor de nome ou seu ISP atribuiu a você um endereço de um bloco de seus próprios endereços, você não pode precisar solicitar um domínio in-addr.arpa por conta própria. Consulte seu ISP.

Vejamos um exemplo que usa www.cisco.com. O resultado a seguir foi capturado a partir de uma estação de trabalho UNIX. Nós usamos os programas nslookup e dig. Observe as diferenças na saída:

sj-cse-280% nslookup www.cisco.com 
Note:  nslookup is deprecated and may be removed from future releases. 
Consider using the 'dig' or 'host' programs instead.  Run nslookup with 
the '-sil[ent]' option to prevent this message from appearing. 
Server:         171.68.226.120 
Address:        171.68.226.120#53 
Name:   www.cisco.com 
Address: 198.133.219.25

sj-cse-280% nslookup 198.133.219.25 
Note:  nslookup is deprecated and may be removed from future releases. 
Consider using the 'dig' or 'host' programs instead.  Run nslookup with 
the '-sil[ent]' option to prevent this message from appearing. 
Server:         171.68.226.120 
Address:        171.68.226.120#53 
25.219.133.198.in-addr.arpa     name = www.cisco.com.

O comando dig program imprime informações mais detalhadas a partir de pacotes DNS:

sj-cse-280% dig 198.133.219.25 
 
; <<>> DiG 9.0.1 <<>> 198.133.219.25 
;; global options:  printcmd 
;; Got answer: 
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5231 
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 
 
;; QUESTION SECTION: 
;198.133.219.25.                        IN      A 
 
;; AUTHORITY SECTION: 
.                       86400   IN      SOA     
A.ROOT-SERVERS.NET. nstld.verisign-grs.com. 
( 2002031800 1800 900 604800 86400 ) 

;; Query time: 135 msec 
;; SERVER: 171.68.226.120#53(171.68.226.120) 
;; WHEN: Mon Mar 18 09:42:20 2002 
;; MSG SIZE  rcvd: 107

O roteador consulta vários servidores de nomes

Dependendo do nível de atividade da rede, o roteador pode consultar vários servidores de nome relacionados na configuração. Este é um exemplo:

router> test002 
Translating ?test002?...domain server (172.16.33.18) (171.70.10.78) 
(171.100.20.78) 
(172.16.33.18) (171.70.10.78) (171.10.20.78)
Translating ?test002?...domain server (172.16.33.18) [OK] 
Trying test002.rtr.abc.com (171.68.23.130)... Open

Esse comportamento é esperado e ocorre quando o roteador precisa criar uma entrada de ARP para o servidor DNS. Por padrão, um roteador mantém uma entrada de ARP por quatro horas. Nos períodos de baixa atividade, o roteador precisa completar a entrada ARP e, em seguida, executar a consulta de DNS. Se a entrada de ARP para o servidor DNS não estiver na tabela ARP do roteador, você poderá receber uma falha se enviar somente uma consulta de DNS. Assim, duas consultas são enviadas, uma para obter a entrada de ARP, se necessária, e a segunda para consultar de fato o DNS. Esse comportamento é comum com aplicativos TCP/IP.


Informações Relacionadas


Document ID: 24182