Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
スプリット DNS
スプリット DNS
発行日;2012/02/02 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

スプリット DNS

機能情報の入手方法

この章の構成

スプリット DNS の前提条件

スプリット DNS の制約事項

スプリット DNS について

スプリット DNS 機能の概要

スプリット DNS による DNS クエリーへの応答:利点

スプリット DNS の動作

DNS ビュー

ビューの使用を関連付けられた VRF からのクエリーに限定

内部生成された DNS クエリーの解決するためのパラメータ

着信する DNS クエリーを転送するパラメータ

DNS ビュー リスト

DNS 名グループ

DNS ビュー グループ

スプリット DNS 環境での DNS クエリーに対するルータの応答

選択した DNS ビューの転送パラメータごとに処理する着信 DNS クエリーへの応答

デフォルト グローバル DNS ビューの解決パラメータごとに処理する内部生成 DNS クエリーへの応答

スプリット DNS の設定方法

スプリット DNS のデバッグ出力をイネーブルにする

DNS 名リストの定義

DNS ビューの定義

DNS ビューに対するホスト名キャッシュ中でのスタティック エントリの定義

DNS ビュー リストの定義

DNS ビュー リストの変更

すでに使用中の DNS ビュー リストへのメンバーの追加

すでに使用中の DNS ビュー リスト メンバーの順序変更

ルータの DNS サーバに対するデフォルト DNS ビュー リストの指定

ルータ インターフェイスに対する DNS ビュー リストの指定

DNS クエリー転送時の送信元インターフェイスの指定

スプリット DNS の設定例

特定の VRF からのクエリーに対するスプリット DNS ビューの限定:例

ダイナミック ネーム サーバによるスプリット DNS ビューの設定:例

ホスト名キャッシュ エントリによるスプリット DNS ビューのスタティックな設定:例

ホスト名キャッシュ エントリのラウンドロビン ローテーションによるスプリット DNS ビューの設定:例

DNS ビューの使用を制限できる ACL によるスプリット DNS の設定:例

異なるビュー 使用制限によるスプリット DNS ビュー リストの設定:例

デフォルトおよびインターフェイス固有のビュー リストによるスプリット DNS の設定:例

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

スプリット DNS の機能情報

用語集

スプリット DNS

スプリット DNS 機能により Cisco ルータでは、クエリーに関する何らかの特性に基づいて選択した具体的な設定と関連するホスト テーブル キャッシュを使用して、Domain Name System(DNS; ドメイン ネーム システム)のクエリーに対応できるようになります。スプリット DNS 環境では、ルータ上に複数の DNS データベースを設定できます。またルータが、クエリーの転送や解決によって DNS クエリーへの応答を求められた場合、必要に応じていつでも、各 DNS ネーム サーバのいずれかを選択できるように Cisco IOS ソフトウェアを設定できます。

機能情報の入手方法

ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「スプリット DNS の機能情報」 を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

スプリット DNS の前提条件

スプリット DNS 機能を使用する場合に、特別な装置やソフトウェアは必要ありません。着信する DNS クエリーについて、スプリット DNS を使用して転送する場合は、DNS クエリーを発行するクライアントのほか、スプリット DNS 機能を設定する DNS キャッシング ネーム サーバ、およびバックエンド DNS ネーム サーバが必要になります。両方の DNS ネーム サーバに伴う各コンポーネントはいずれも、Cisco IOS DNS サブシステム ソフトウェアを実行した Cisco ルータ上に常駐します。図 1 に、この基本的なトポロジの例を示します。

スプリット DNS の制約事項

データ リンク レイヤのリダイレクション

スプリット DNS には、Cisco IOS ソフトウェアの DNS サーバ サブシステムに対する DNS 転送機能が組み込まれています。この機能は、DNS キャッシング ネーム サーバとして動作するルータのいずれかの IP アドレスを宛先とする DNS パケットに限って適用されます。スプリット DNS では、データ リンク レイヤ(レイヤ 2)で捕捉され、DNS キャッシング ネーム サーバにリダイレクトされるパケットの処理はサポートされません。

スプリット DNS について

スプリット DNS 機能を設定するには、次の概念を理解しておく必要があります。

「スプリット DNS 機能の概要」

「DNS ビュー」

「DNS ビュー リスト」

「DNS 名グループ」

「DNS ビュー グループ」

「スプリット DNS 環境での DNS クエリーに対するルータの応答」

スプリット DNS 機能の概要

スプリット DNS 機能により Cisco ルータでは、選択した仮想 DNS ネーム サーバで指定した内部 DNS ホスト名キャッシュを使用して DNS クエリーに応答できるようになります。また、ホスト名キャッシュ中の情報では対応できないクエリーについては、特定のバックエンド DNS サーバに転送できます。仮想 DNS ネーム サーバは、各クエリーに伴う特性に基づいて選択します。スプリット DNS コマンドを使用して、ホストから送られたクエリーに対する DNS サーバおよびフォワーダ、またはルータ自体で生成されたクエリーに対する DNS サーバおよびリゾルバとして動作する Customer Premise Equipment(CPE; 顧客宅内機器)ルータを設定します。

ここでは、スプリット DNS の次の機能について要約を示します。

「スプリット DNS による DNS クエリーへの応答:利点」

「スプリット DNS の動作」

スプリット DNS による DNS クエリーへの応答:利点

ここでは、スプリット DNS の次の主な機能について説明します。

「仮想 DNS キャッシング ネーム サーバ設定の選択」

「社内 DNS サーバからインターネット トラフィックをオフロード」

「NAT と PAT の互換性」

仮想 DNS キャッシング ネーム サーバ設定の選択

スプリット DNS 環境を設定するには、まずルータ上に DNS データベースをいくつか設定します。次に、ルータが DNS クエリーに応答する必要が生じた時点で、DNS クエリーの検索や転送によって、随時いずれかの仮想 DNS サーバが選択できるようにルータを設定します。DNS フォワーダまたはリゾルバとして使用するルータは、何種類かの仮想 DNS キャッシング ネーム サーバとして設定し、個々のサーバには、それぞれ対応するネーム サーバで処理できる DNS クエリーの種類に対する制約を適用するようにします。ルータは、次の基準を任意に組み合わせることにより、クエリーの転送用、または解決用仮想 DNS サーバを選択するように設定できます。

クエリーの送信元ポート

クエリーの送信元インターフェイスにおける Virtual Private Network(VPN; バーチャル プライベート ネットワーク)Routing/Forwarding(VRF; バーチャル プライベート ネットワーク ルーティング/転送)インスタンス

クエリーの送信元認証

クエリーの送信元 IP アドレス

クエリーのホスト名

ルータで、あるクエリーに対して応答する必要が生じると、Cisco IOS ソフトウェアは、クエリーの特徴と、ネーム サーバ、およびそれぞれ設定されている制約のリストを照合することにより、DNS ネーム サーバを選択します。該当するネーム サーバが選択されると、ルータは、関連付けられたホスト テーブル キャッシュ、または該当する仮想ネーム サーバに定義された転送パラメータを使用して、クエリーに対応します。

社内 DNS サーバからインターネット トラフィックをオフロード

セントラル サイトに対するインターネット VPN アクセス機能を備えたリモート ホストをいくつもサポートした企業ネットワークに Cisco IOS ソフトウェアのスプリット DNS 機能を展開することにより、ルータは、インターネットから受け取ったクエリーを Internet Service Provider(ISP; インターネット サービス プロバイダー)のネットワークに転送するように設定できます。これにより、社内 DNS サーバに対する負荷が軽減されます。

NAT と PAT の互換性

スプリット DNS は、Network Address Translation(NAT; ネットワーク アドレス変換)と Cisco IOS Port Address Translation(PAT; ポート アドレス変換)の各アップストリーム インターフェイスと互換性があります。CPE ルータ上で NAT または PAT がイネーブルになっていると、DNS クエリーが、ISP DNS サーバや社内 DNS サーバの対応する宛先アドレスに変換(アドレス変換、またはポート変換により)されます。スプリット トンネリングを使用している場合、リモート ルータは、インターネットに送るトラフィックについて、暗号化トンネルを介した転送を使わずに、直接ルーティングを行います。スプリット トンネリングを使用したリモート クライアントの場合、トンネルがアップ状態であれば、ルータは社内 DNS サーバ宛ての DNS クエリーを、セントラル サイトからプッシュされた DNS サーバ リストに向けて転送できます。また、トンネルがダウン状態であれば、ISP DNS サーバ宛ての DNS クエリーを、外部のパブリック インターフェイス アドレスに転送できます。


) スプリット トンネリングでは、リモート サイトのセキュリティを保証するために、セキュリティとファイアウォールの追加的な設定が必要になります。


スプリット DNS の動作

図 1 に、スプリット DNS を使用した基本的なネットワーク トポロジを示します。このネットワークの図では、1 台の CPE ルータが、ISP DNS ネーム サーバと社内 DNS ネーム サーバの両方に接続されています。また、ルータにアクセスする CPE クライアント マシンが 3 台あります。

図 1 スプリット DNS の基本ネットワーク トポロジ

ここでは、基本的なスプリット DNS 環境で行われるネットワーク アクティビティの概要を示します。

「CPE ルータ設定」

「CPE クライアント発行の DNS クエリー」

「仮想 DNS ネーム サーバの選択」

「クライアント発行の DNS クエリーに対する応答」

CPE ルータ設定

CPE ルータの設定は、DNS キャッシング ネーム サーバ設定の定義、および特定の DNS クエリーに適用するいずれかの設定を選択するときのルール セットの定義から構成されます。

DNS キャッシング ネーム サーバを定義するごとに、内部 DNS ホスト名キャッシュ、DNS 転送パラメータ、および DNS 解決パラメータを個々に指定します。

設定選択の各ルール セットは、ネーム サーバ設定のリストと、リスト中の各設定に対応する使用制限で構成されます。ルータは、デフォルトの選択ルール セットを使用して設定できるほか、任意のルータ インターフェイスを設定して、必要な選択ルール セットを使用することもできます。

CPE クライアント発行の DNS クエリー

CPE クライアントでは、インターネットや社内サイトへのアクセスを要求する DNS クエリーを発行できます。図 1 の基本ネットワーク トポロジは、NAT によってイネーブルになったインターフェイスを介して、3 つのクライアントから送られる DNS クエリーを受け取る CPE ルータを示しています。3 台のクライアント マシンは、社内ネットワークの次のような標準的なユーザに対応するものです。

非社内のインターネット サイトにアクセスするリモート テレワーカーの PC

在宅テレワーカーの家族が使用する自宅の PC

社内サイトで従業員が使用する PC

クライアントは、社内 VPN ゲートウェイを始点とし、CPE ルータを終点とする VPN トンネルを介して社内ネットワークにアクセスします。


) 社内アクセス システムから CPE ルータまでの間の VPN トンネルを設定する場合(エンドポイントのクライアント システムを使用せずに)の利点は、ホーム LAN 上のその他のコンピュータがすべて同じトンネルを共有できるため、システムごとに個別のトンネルをいくつも設定する必要がなくなる点にあります。また、クライアント システムのエンド ユーザは、毎回トンネルを明示的にアップ状態にしたりダウン状態にしたりすることなく、トンネルを介して社内システムにアクセスできるようになります。


仮想 DNS ネーム サーバの選択

DNS クエリーが送られてくると、Cisco IOS ソフトウェアは、クエリーが到着したインターフェイスの種類に応じて、デフォルトの選択ルール、またはインターフェイス固有の選択ルールに従い、リストから DNS ネーム サーバの設定を 1 つ選択します。Cisco IOS ソフトウェアは、クエリーの特徴と使用制限を照合して、リストに記載された各 DNS ネーム サーバの設定を選択します。選択された設定により、ホスト テーブル キャッシュと転送パラメータを指定します。ルータはこの情報に基づいてクエリーを処理します。

クライアント発行の DNS クエリーに対する応答

ルータは、選択した DNS ネーム サーバ設定で指定されたパラメータを使用して、DNS クエリーを処理します。

1. クエリーについて、選択した仮想 DNS ネーム サーバで指定された内部 DNS ホスト名キャッシュにある情報で対応できる場合、ルータはこのクエリーに応答します。

2. ホスト名キャッシュ中の情報ではクエリーへの対応ができない場合でも、選択した仮想 DNS ネーム サーバに対する DNS 転送がイネーブルになるため、ルータからは設定済みの各 DNS フォワーダに向けてクエリーが送信されます。

3. 選択した設定について DNS フォワーダが指定されていない場合、ルータは、仮想 DNS ネーム サーバに設定されたネーム サーバを使用してクエリーを転送します。インターネット アクセス、または社内サイトへのアクセスを要求する 3 台のクライアント マシン(図 1)の場合、CPE ルータは、次の手順に従って対応する DNS サーバに各 DNS クエリーを転送できます。

リモート テレワーカーの PC から送られるインターネット アクセス要求は、ISP DNS ネーム サーバに転送されます。

同様に、在宅テレワーカーの家族が使用する PC からのインターネット アクセス要求も ISP DNS ネーム サーバに転送されます。

ただし、社内サイトの従業員から送られる DNS アクセス要求は、社内 DNS ネーム サーバに転送されます。

4. 仮想 DNS ネーム サーバにいずれのドメイン ネーム サーバも設定されていない場合、ルータは、制限付きブロードキャスト アドレス(255.255.255.255)にクエリーを転送するため、クエリーはローカル ネットワーク セグメントにあるすべてのホストで受信されます。ただし、ルータによる転送は行われません。

DNS ビュー

DNS ビューは、DNS クエリーをどのように処理するかを指定する一連のパラメータです。DNS ビューにより、次の情報を定義します。

VRF への関連付け

ビューを使用するたびにシステム メッセージ ロギング(syslog)の出力に書き込むオプション

内部生成された DNS クエリーの解決するためのパラメータ

着信する DNS クエリーを転送するパラメータ

クエリーへの応答、または DNS 応答のキャッシングに使用する内部ホスト テーブル


) サポートされる DNS ビューとビュー リストの最大数は特に制限されず、 Cisco ルータのメモリ容量に依存します。DNS ビューおよびビュー リストに大きい値を設定するとルータ メモリの消費量が増えます。またビュー リスト中のビュー数に大きい値を設定すると、ルータのプロセッサ時間が長くなります。最適のパフォーマンスが得られるように、スプリット DNS クエリーの転送やクエリー解決のニーズをサポートするにあたって必要な数を超えるビューやビュー リスト メンバーを設定しないようにしてください。


ここでは、DNS ビューについて詳しく説明します。

ビューの使用を関連付けられた VRF からのクエリーに限定

DNS ビューは、グローバル VRF(名前がヌル ストリングになっている VRF)、または名前付き VRF にかかわらず、常に VRF に関連付けられます。この関連付けの目的は、ビューの使用を、特定の VRF に一致した着信インターフェイスに到着する DNS クエリーの処理に制限することにあります。

グローバル VRF は、プロバイダー ネットワークのグローバル IP アドレス空間に関するルーティング情報が格納されたデフォルトの VRF です。したがって、グローバル VRF に関連付けられた DNS ビューは、グローバル アドレス空間にある特定の着信インターフェイスに到着した DNS クエリーを処理する場合に限って使用できます。

名前付き VRF には、プロバイダー ネットワーク上のルータにある VPN インスタンスに関するルーティング情報が格納されています。名前付き VRF に関連付けられた DNS ビューは、ビューに対応する VRF に一致した着信インターフェイスに到着する DNS クエリーを処理する場合に限り使用できます。


) ビューを定義した後、さらに別の制約(「DNS ビュー リスト」を参照)を適用することもできます。また、個別のケースごとに異なる制約を追加することにより、1 つのビューを何度も参照することができます。ただし、DNS ビューと VRF との関連付けは、DNS ビューの定義で指定されるため、VRF 固有のビュー使用制限は、DNS ビューの定義自体の特性を表すものです。したがって、この制限をビューから切り離すことはできません。


内部生成された DNS クエリーの解決するためのパラメータ

次のパラメータにより、内部生成された DNS クエリーを解決する方法を定義します。

ドメイン ルックアップ:内部生成されたクエリーのホスト名を解決する場合の DNS ルックアップのイネーブルまたはディセーブル

デフォルト ドメイン名:ドットのないホスト名に追加するデフォルト ドメイン

ドメイン検索リスト:ドットのないホスト名を探すときのドメイン名のリスト

マルチキャスト ルックアップのドメイン名:マルチキャスト アドレス ルックアップに使用する IP アドレス

ルックアップ タイムアウト:クエリーを送信、または転送した後、DNS の応答を待機する時間(秒単位)

ルックアップの再試行:クエリーを送信、または転送するときの再試行の回数

ドメイン ネーム サーバ:内部生成されたクエリーのドメイン名を解決するときに使用するネーム サーバ リスト

リゾルバ送信元インターフェイス:内部生成されたクエリーのドメイン名を解決するときに使用する送信元インターフェイス

IP アドレスのラウンドロビン ローテーション:ホスト名のルックアップ時に毎回、キャッシュ中のドメイン名に関連付けられた別の IP アドレス使用イネーブルまたはディセーブル

着信する DNS クエリーを転送するパラメータ

次のパラメータにより、着信 DNS クエリーを転送する方法を定義します。

クエリーの転送:着信 DNS クエリー転送のイネーブルまたはディセーブル

フォワーダ アドレス:着信 DNS クエリーを転送するときに使用する IP アドレス リスト

フォワーダ送信元インターフェイス:着信 DNS クエリーを転送するときに使用する送信元インターフェイス

場合によってルータでは、スプリット DNS 機能によって DNS クエリーの転送に使用する送信元インターフェイスを設定したときに、DNS クエリーが、設定したインターフェイスでは転送されないことがあります。この場合は、送信元インターフェイスによって DNS クエリーを転送し、次の点について検討してください。

転送送信元インターフェイスが設定され、DNS フォワーダが設定されていない場合、DNS クエリーはブロードキャスト アドレスに転送されます。

転送されたクエリーの送信元 IP アドレスは、 dns forwarding source-interface interface コマンドを使用して、設定されたインターフェイスのプライマリ IP アドレスに設定する必要があります。このような設定が存在しない場合は、転送された DNS クエリーの送信元 IP アドレスが発信インターフェイスのプライマリ IP アドレスになります。DNS の転送は、DNS 転送に設定された送信元インターフェイスがアクティブ状態の場合に限り、実行されます。

DNS リゾルバ機能に対する DNS クエリーの送信元 IP アドレスは、 domain resolver source-interface interface-type number コマンドを使用して設定します。DNS アドレスが設定されていない場合、クエリーは、定義済みの送信元インターフェイスにブロードキャストされます。DNS の解決は、DNS 解決に設定された送信元インターフェイスがアクティブ状態の場合に限り、実行されます。設定手順については、「DNS クエリー転送時の送信元インターフェイスの指定」を参照してください。

DNS ビュー リスト

DNS ビュー リストは、リスト中の個別のメンバーに対し、追加的な使用制限を指定できる DNS ビューの順序付きリストです。オプションの使用制限の範囲は、特定の DNS ビュー リストに含まれる個別のメンバーだけに制限されます。ルータが、ある DNS クエリーに応答しなければならない場合、Cisco IOS ソフトウェアは、DNS ビュー リストを使用して、DNS クエリーの処理に使用する DNS ビューを選択します。


) サポートされる DNS ビューとビュー リストの最大数は特に制限されず、 Cisco ルータのメモリ容量に依存します。DNS ビューおよびビュー リストに大きい値を設定するとルータ メモリの消費量が増えます。またビュー リスト中のビュー数に大きい値を設定すると、ルータのプロセッサ時間が長くなります。最適のパフォーマンスが得られるように、スプリット DNS クエリーの転送やクエリー解決のニーズをサポートするにあたって必要な数を超えるビューやビュー リスト メンバーを設定しないようにしてください。


DNS ビュー リストのメンバーをチェックする順序

DNS ビュー リストを使用して、特定の DNS クエリーを処理する DNS ビューを選択すると、Cisco IOS ソフトウェアは、ビュー リストの各メンバーを、リストで指定された順序に従ってチェックします。さらに処理すべきクエリーでのビューの使用を許可する制限のうち、最初のビュー リスト メンバーを選択します。

ビュー リストの DNS ビューに定義された使用制限

DNS ビュー リスト メンバーは、Access Control List(ACL; アクセス コントロール リスト)で定義した使用制限とともに設定できます。ACL では、クエリー ホスト名またはクエリーの送信元ホスト IP アドレスに基づいて、対応するビュー リスト メンバーの選択に使用するルールを指定します。スプリット DNS ビュー リストの定義では、2 種類の ACL がサポートされます。これらの ACL については、「DNS 名グループ」で説明します。


) 複数の DNS ビュー リストを定義できます。たとえば、各リストにある個別の使用制限に特定の DNS ビューを関連付けることができます。また、個々の DNS ビュー リストに個別の DNS ビューを組み込むこともできます。


DNS ビュー リストの選択

DNS キャッシング ネーム サーバとして動作しているルータで、ある DNS クエリーへの応答が必要になると、Cisco IOS ソフトウェアは、DNS ビュー リストを使用して、クエリーの処理に使用できる DNS ビューを特定します。

DNS ビュー リストが設定されているインターフェイスに到着する着信クエリーに対して、ルータが応答している場合は、この インターフェイス固有の DNS ビュー リスト が使用されます。

特定の DNS ビュー リストが設定されていないインターフェイスに到着する着信クエリーに対して、ルータが応答している場合は、 デフォルトの DNS ビュー リスト が使用されます。

内部生成されたクエリーに対して、ルータが応答している場合、ビューの選択には DNS ビュー リストを使用せず、 グローバル DNS ビュー リスト を使用して、クエリーを処理します。

DNS ビュー リストのデフォルト設定、またはインターフェイスへの割り当てについては、「DNS ビュー グループ」で説明しています。

DNS ビュー リスト メンバーの選択

ビュー リストのメンバーは、ルータが応答している DNS クエリーの特性に対して、1 つずつ順番に比較されます。

1. クエリーがビュー以外の VRF から送られてきた場合、このビューでクエリーを処理することはできないため、ビュー選択プロセスは、ビュー リストの次のメンバーに移ります。

2. 追加のビュー使用制限は、任意のビュー リスト メンバーに対するオプションの設定として指定します。

クエリー リストで、追加のビュー使用制限が 指定されていない 場合は、このビューを使用してクエリーを処理するため、ビュー選択プロセスは終了します。

ビュー リストで、追加のビュー使用制限が 指定されている 場合は、クエリーが個々の使用制限に比較されます。

クエリーの特性が、いずれかのビュー使用制限に該当する場合は、このビューでクエリーを処理することはできないため、ビュー選択プロセスは、ビュー リストの次のメンバーに移ります。

クエリー特性がビュー使用制限をすべてクリアしている場合は、このビューを使用してクエリーを処理します。ビュー選択プロセスが終了します。

3. ビュー選択プロセスが、クエリーを処理できるビュー リスト メンバーを検出できないまま、選択された DNS ビュー リストの最後まで到達すると、ルータはこのクエリーを廃棄します。

クエリーの処理には、使用制限がクエリー特性に適合する最初の DNS ビュー リスト メンバーが使用されます。

DNS 名グループ

スプリット DNS 機能では、DNS ビューの使用を制限するときに適用する 2 種類 ACL がサポートされます。ビュー定義自体に含まれる VRF 固有の使用制限に加え、DNS 名リスト、または標準 IP ACL(あるいはその両方)を DNS ビュー リスト メンバーに適用して、ビュー使用制限を指定します。


) この文脈で「グループ」という語は、ビュー リスト メンバーに対する使用制限として DNS 名リストまたは標準 IP ACL の指定を表すものとします。


クエリー ホスト名に基づく DNS のビュー使用制限

DNS 名リストとは、ホスト名のパターンマッチング ルールの名前付きセットのほか、クエリーのホスト名が、ルール中のテキスト ストリング パターンに一致した場合に実行するアクションのタイプを指定する各ルールを加えたリストのことです。クエリーのホスト名が名前リストに一致する条件として、ホスト名は、マッチング パターンを明示的に許可するルールに一致していなければなりませんが、マッチング パターンを明示的に拒否するいずれのルールにも一致していてはなりません。

クエリー送信元 IP アドレスに基づく DNS のビュー使用制限

標準 IP ACL とは、ホスト IP アドレス マッチング ルールの名番号付きまたは名前付きセットのほか、IP アドレスが、ルール中のテキスト ストリング パターンに一致した場合に実行するアクションのタイプを指定する各ルールを加えたリストのことです。スプリット DNS 機能により、クエリーの送信元 IP アドレスに基づいて標準 ACL をビュー使用制限として使用できるようになります。送信元 IP アドレスが名前リストに一致する条件として、IP アドレスは、マッチング パターンを明示的に許可するルールに一致していなければなりませんが、マッチング パターンを明示的に拒否するいずれのルールにも一致していてはなりません。

DNS ビュー グループ

スプリット DNS 機能では、2 つの方法によって、Cisco IOS ソフトウェアが、着信 DNS クエリーの処理に使用する DNS ビューを選択するときの DNS ビュー リストを指定できます。特定の DNS ビュー リストを使用するように設定されたインターフェイスにクエリーが到着した場合は、インターフェイス固有の DNS ビュー リストを使用します。これ以外の場合は、デフォルト DNS ビュー リストを使用します。


) この文脈で「グループ」という語は、インターフェイス固有の DNS ビュー リストとして示した DNS ビュー リスト、またはルータに対するデフォルト ビュー リストの指定を表すものとします。


インターフェイス固有のビュー リスト

ルータ インターフェイスには、DNS ビュー リストを対応付けることができます。このインターフェイスに着信 DNS クエリーが到着すると、Cisco IOS ソフトウェアは、該当するビュー リストを使用して、クエリーの処理に使用する DNS ビューを選択します。

デフォルト DNS ビュー リスト

DNS ビュー リストは、ルータに対するデフォルトの DNS ビュー リストとして設定できます。特定の DNS ビュー リストを使用するように設定されていないインターフェイスに着信 DNS クエリーが到着した場合、Cisco IOS ソフトウェアは、デフォルトのビュー リストにより、クエリーの処理に使用する DNS ビューを選択します。

スプリット DNS 環境での DNS クエリーに対するルータの応答

スプリット DNS 機能では、DNS ビューのサポート機能(およびルータが、特定の DNS クエリーに対応するビューのリストから選択できるように設定する機能)を導入することにより、サーバ自身の DNS キャッシュや独立した DNS キャッシュに加え、DNS フォワーダおよびリゾルバとして動作する単一のルータからアクセス可能な DNS キャッシュをそれぞれ使用して、各種のホストやサブシステムからさまざまな仮想 DNS キャッシング ネーム サーバを使用できるようになります。これにより、個々の DNS ビューでは単一のルータ上で各種の DNS データベースを定義できるようになります。またスプリット DNS 機能により、DNS クエリーの転送パラメータと解決パラメータの設定がそれぞれ分離されるため、ルータでは、外部クライアントから送られるクエリーへの応答を制限しながら、同時に内部クライアントからのクエリーには制限なく応答できるようにする設定も簡単に行えます。

ルータがブロードキャスト以外のクエリーを受け取ると、このクエリーは、次の状況に応じてインターフェイス ビューでの定義に従い、VRF 下のブロードキャストとして転送されます。

デバイスがフォワーダとして動作している場合

1 つ以上のグローバル ネーム サーバが設定されている場合

当該のクエリーへの対応に使用するビューに次のいずれのコマンドも含まれていない場合:

dns forwarder [ vrf vrf-name ] forwarder-ip-address

dns forwarding source-interface interface

domain name-server name-server-ip-address

domain resolver source-interface interface-type number

特定のルータ インターフェイスについて DNS ビュー リストを指定する場合は、「ルータ インターフェイスに対する DNS ビュー リストの指定」を参照してください。

ここでは、スプリット DNS 環境でルータが DNS クエリーに応答する方法について詳しく説明します。

選択した DNS ビューの転送パラメータごとに処理する着信 DNS クエリーへの応答

着信 DNS クエリーが到着すると、Cisco IOS ソフトウェアは該当するインターフェイスに設定された DNS ビュー リストを使用して、クエリーの処理に使用する DNS ビュー リストを選択します。インターフェイスにビュー リストが設定されていない場合は、デフォルトの DNS ビュー リストが使用されます。

ルータ ソフトウェアは、設定されたビュー リスト、またはデフォルトのビュー リストを使用して、クエリーと同じ VRF に関連付けられた最初のビュー リスト メンバーで、しかも使用制限がクエリーの特性に適合しているものを選択します。DNS ビューを選択した後、ルータは、選択したビューに設定されたパラメータに従ってクエリーを処理します。

1. ルータは、DNS クエリーが到着したインターフェイスに対して指定されている DNS ビュー リストを使用します。

a. インターフェイスに DNS ビュー リストが対応付けされている場合は、指定の DNS ビュー リストを使用します。

b. インターフェイスに対応付けられた DNS ビュー リストがない場合は、デフォルトの DNS ビュー リストを使用します。

2. ルータは、DNS ビュー リストを使用して、クエリーの処理に使用する DNS ビューを選択します。次の手順に従って、ビュー リストに定義された順番で各ビュー リスト メンバーをチェックします。

a. ビュー リスト メンバーが、解決の必要な DNS クエリーで使用する着信インターフェイスの VRF とは別の VRF に関連付けられている場合、ビュー選択プロセスは、ビュー リストの次のメンバーに移ります。

b. ビュー リスト メンバーのすべての使用制限が、解決すべき DNS クエリーのその他の特性に適合している場合は、このビューを選択して、クエリーを処理します。

これ以外の場合、ビュー選択プロセスは、ビュー リストの次のメンバーに移ります。

デフォルトの DNS ビュー リスト中に、クエリーの処理を許可できるメンバーが存在しない場合、ルータはクエリーについてこれ以上の処理は行いません。

3. ルータは、選択した DNS ビューで指定されたパラメータを使用して、クエリーへの応答を試みます。

a. Cisco IOS ソフトウェアは、ビューに関連付けられたホスト名キャッシュを調べます。この情報によってクエリーへの対応が可能な場合、ルータはクエリーに応答します。

b. クエリーへの応答がホスト名キャッシュではできない場合、Cisco IOS ソフトウェアは、ビューでクエリーの DNS 転送がイネーブルになっているかどうかを確認します。DNS 転送がイネーブルになっている場合、ルータは、設定されている各 DNS フォワーダにクエリーを送信します。

c. ビューに対して DNS フォワーダが設定されていない場合、ルータは、設定されているドメイン ネーム サーバを使用してクエリーを転送します。

d. ビューにいずれのドメイン ネーム サーバも設定されていない場合、ルータは、制限付きブロードキャスト アドレス(255.255.255.255)に着信 DNS クエリーを転送するため、クエリーはローカル ネットワーク セグメントにあるすべてのホストで受信されます。ただし、ルータによる転送は行われません。

デフォルト グローバル DNS ビューの解決パラメータごとに処理する内部生成 DNS クエリーへの応答

解決すべき DNS クエリーが内部生成されると、Cisco IOS ソフトウェアは、デフォルトの DNS ビューを使用してクエリーを処理します。

VRF が指定されていないクエリーについてホスト名の解決が必要な場合、ルータはグローバル VRF(プロバイダー ネットワークのグローバル IP アドレス空間に対するルーティング情報を格納したデフォルトの VRF)に関連付けられた名前なしの DNS ビューを使用します。

必要な VRF を指定する Cisco IOS コマンドについて、ホスト名を解決する必要がある場合、ルータは、その VRF に関連付けられた名前なしの DNS ビューを使用します。

ルータは、そのビューで指定された DNS 解決パラメータを使用して、クエリーへの応答を試みます。

1. クエリーで修飾されていないホスト名が指定されていると、Cisco IOS ソフトウェアは、ドメイン名リスト、またはビューで指定されたデフォルト ドメインを使用してホスト名を補います。

2. Cisco IOS ソフトウェアは、ビューに関連付けられたホスト名キャッシュを調べます。この情報によってクエリーへの対応が可能な場合、ルータはクエリーに応答します。

3. これ以外の場合は、ホスト名キャッシュを使用したクエリーへの応答ができなくなるため、Cisco IOS ソフトウェアは、ビューでクエリーの DNS 転送がイネーブルになっているかどうかを確認します。イネーブルになっている場合、ルータは、ビューに指定されたタイムアウト時間と再試行回数を使用して、設定された各ネーム サーバにクエリーを送信します。

4. これ以外の場合は、クエリーへの応答は行いません。

スプリット DNS の設定方法

ここでは、次の作業について説明します。

「スプリット DNS のデバッグ出力をイネーブルにする」(任意)

「DNS 名リストの定義」(任意)

「DNS ビューの定義」(必須)

「DNS ビューに対するホスト名キャッシュ中でのスタティック エントリの定義」(任意)

「DNS ビュー リストの定義」(必須)

「DNS ビュー リストの変更」(任意)

「すでに使用中の DNS ビュー リストへのメンバーの追加」(任意)

「すでに使用中の DNS ビュー リスト メンバーの順序変更」(任意)

「ルータの DNS サーバに対するデフォルト DNS ビュー リストの指定」(必須)

「ルータ インターフェイスに対する DNS ビュー リストの指定」(任意)

「DNS クエリー転送時の送信元インターフェイスの指定」(任意)

スプリット DNS のデバッグ出力をイネーブルにする

スプリット DNS の debug コマンドをイネーブルにすると、DNS 名リストイベント、DNS ビュー イベント、または DNS ビュー リスト イベントが発生するごとに出力が書き込まれます。ルータは、対応する no debug コマンドが入力されるまで、出力の生成を続けます。スプリット DNS の debug コマンドによる出力を使用して、スプリット DNS 動作に関連するインターネットワーキングの問題を診断したり、解決したりできます。


) ネットワーク サーバは、デフォルトにより、debug コマンドの出力をコンソールに送信します。出力を端末(仮想コンソール)に送信すると、コンソールに送信する場合に比べ、オーバーヘッドが軽減されます。terminal monitor 特権 EXEC コマンドを使用して、出力を端末に送信します。debug コマンド出力のリダイレクトについては、『Cisco IOS Debug Command Reference』の「Using Debug Commands」の章を参照してください。


DNS 名リストのイベントは、次のいずれかになります。

DNS 名リスト エントリ(特定のパターンに一致するホスト名への着信 DNS クエリーを対象に実行するホスト名パターンおよびアクション)の追加または削除

DNS 名リストの削除

DNS ビューのイベントは、次のいずれかになります。

DNS ビュー定義の追加または削除

DNS ビューを設定する DNS 転送ネーム サーバの追加または削除

DNS ビューを設定する DNS リゾルバの追加または削除

DNS ビューを使用するごとに生成する Syslog メッセージ ロギングのイネーブルまたはディセーブル

DNS ビューのリストには、次のいずれかが記載されます。

DNS ビュー リスト定義の追加または削除

DNS ビュー リストを対象とした DNS ビュー リスト メンバー(DNS ビュー、およびビュー リストのチェック時に従う相対的順序)の追加または削除

ルータに対するデフォルト ビュー リストとしての、またはルータ上の特定のインターフェイスに対する DNS ビュー リスト割り当ての設定またはクリア

DNS 名リスト イベント、ビュー イベント、またはビュー リスト イベントに関する Syslog 出力に対し、イベント メッセージの書き込みをイネーブルにする場合は、次のオプションの作業を実行します。

手順の概要

1. enable

2. debug ip dns name-list

3. debug ip dns view

4. debug ip dns view-list

5. show debugging

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug ip dns name-list

 

Router# debug ip dns name-list

(任意)DNS 名リストに関するイベント メッセージの書き込みをイネーブルにします。

DNS 名リストのデバッグ出力はデフォルトによりディセーブルになります。

DNS 名リスト イベントのデバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

ステップ 3

debug ip dns view

 

Router# debug ip dns view

(任意)DNS ビューに関するイベント メッセージの書き込みをイネーブルにします。

DNS ビューのデバッグ出力はデフォルトによりディセーブルになります。

DNS ビュー イベントのデバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

ステップ 4

debug ip dns view-list

 

Router# debug ip dns view-list

(任意)DNS ビュー リストに関するイベント メッセージの書き込みをイネーブルにします。

DNS ビュー リストのデバッグ出力はデフォルトによりディセーブルになります。

DNS ビュー リスト イベントのデバッグ出力をディセーブルにするには、このコマンドの no 形式を使用します。

ステップ 5

show debugging

 

Router# show debugging

各デバッグ オプションのステートを表示します。

DNS 名リストの定義

DNS 名リストを定義する必要がある場合は、次の任意の作業を実行します。DNS 名リストとは、DNS ビュー リスト メンバーに対するオプションの使用制限として使用できるホスト名のパターンマッチング ルールを記載したリストのことです。

手順の概要

1. enable

2. configure terminal

3. no ip dns name-list name-list-number [{ deny | permit } pattern ]

4. ip dns name-list name-list-number { deny | permit } pattern

5. exit

6. show ip dns name-list [ name-list-number ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

no ip dns name-list name-list-number
[{ deny | permit } pattern ]

 

Router(config)# no ip dns name-list 500

(任意)定義されている DNS 名リストをすべてクリアします。

リスト中のエントリを 1 つだけクリアする場合は、 deny 句、または permit 句を指定します。

リスト全体をクリアする場合は、句の指定をすべて省略します。

ステップ 4

ip dns name-list name-list-number
{ deny | permit } pattern

 

Router(config)# ip dns name-list 500 deny
.*.example.com

指定された DNS 名リストに新規のエントリを作成します。

pattern 引数により、クエリー ホスト名と照合する正規表現を指定します。正規表現、および正規表現のパターンマッチング文字の詳細については、『 Cisco IOS Terminal Services Configuration Guide 』の「Regular Expressions」というタイトルの付録を参照してください。

キーワード deny は、指定したパターンに一致する名前があったら即座に、名前リストのマッチングを否定結果とともに終了することを指定します。キーワード permit は、指定したパターンに一致する名前があったら即座に、名前リストのマッチングを肯定結果とともに終了することを指定します。

必要に応じてこのコマンドを何度か入力して、deny 句と permit 句を組み合わせることができます。

DNS 名リストを DNS ビュー リスト メンバーに適用するには、 restrict name-group コマンドを使用します。

ステップ 5

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 6

show ip dns name-list [ name-list-number ]

 

show ip dns name-list

特定の DNS 名リスト、または設定されている名前リストをすべて表示します。

DNS ビューの定義

DNS ビューを定義するには、次の作業を実行します。DNS ビュー定義を使用することにより、着信 DNS クエリー、または内部生成された DNS クエリーのいずれにも応答できます。

手順の概要

1. enable

2. configure terminal

3. ip dns view [ vrf vrf-name ] { default | view-name }

4. [ no ] logging

5. [ no ] domain lookup

6. domain name domain-name
または
domain list domain-name

7. domain name-server name-server-ip-address
または
domain name-server interface interface

8. domain multicast domain-name

9. domain retry number

10. domain timeout seconds

11. [ no ] dns forwarding

12. dns forwarder [ vrf vrf-name ] forwarder-ip-address

13. dns forwarding source-interface interface

14. end

15. show ip dns view [ vrf vrf-name ] [ default | view-name ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dns view [ vrf vrf-name ]
{ default | view-name }

 

Router(config)# ip dns view vrf vpn101
user3

DNS ビューを定義し、DNS ビュー コンフィギュレーション モードを開始します。

ステップ 4

[ no ] logging

 

Router(cfg-dns-view)# logging

(任意)DNS ビューを使用するたびに Syslog メッセージのロギングをイネーブルまたはディセーブルにします。

(注) ビュー固有のイベント ロギングはデフォルトによりディセーブルになります。

ステップ 5

[ no ] domain lookup

 

Router(cfg-dns-view)# domain lookup

(任意)DNS ビューを使用して処理された内部生成の DNS クエリーについて DNS ベースのホスト名/アドレス変換をイネーブルまたはディセーブルにします。

(注) ドメイン ルックアップ機能はデフォルトによりイネーブルになります。

ステップ 6

domain name domain-name

または

domain list domain- name

 

Router(cfg-dns-view)# domain name example.com

または

 

Router(cfg-dns-view)# domain list example1.com

(任意)DNS クエリーの対応時に修飾されていないホスト名を補完するために、この DNS ビューが使用するデフォルトのドメイン名を定義します。

または

(任意)DNS クエリーの対応時に修飾されていないホスト名を補完するために、この DNS ビューが使用するドメイン名のリストを定義します。

ルータは、選択した DNS ビューで指定されたパラメータを使用して、クエリーへの応答を試みます。Cisco IOS ソフトウェアはまず、ビューに関連付けられたホスト名キャッシュを調べます。この情報によってクエリーへの対応が可能な場合、ルータはクエリーに応答します。これ以外の場合は、ホスト名キャッシュを使用したクエリーへの応答ができなくなるため、ルータは、設定されたドメイン ネーム サーバを使用してクエリーを転送します。

ルータがこのビューを使用して修飾されていないホスト名に対する DNS クエリーを処理している場合、ビューのドメイン ルックアップがイネーブルになっていると、Cisco IOS ソフトウェアは、ドメイン名(ドメイン名リストにあるドメイン名、またはデフォルトのドメイン名)を付加して、次のアクティビティのいずれかを実行します。

ネーム サーバ キャッシュにあるホスト名のルックアップ

別のネーム サーバへのクエリーの転送(選択したビューで DNS フォワーダとして指定されたホスト、または制限付きブロードキャスト アドレスへの転送)

単一のデフォルト ドメイン名、またはドメイン名の順序付きリスト、あるいはその両方を指定できます。ただし、デフォルトドメイン名はドメイン リストが空の場合に限り使用します。

ステップ 7

domain name-server name-server-ip-address

または

domain name-server interface interface

 

Router(cfg-dns-view)# domain name-server
192.168.2.124

または

 

Router(cfg-dns-view)# domain name-server
interface FastEthernet0/1

(任意)内部生成された DNS クエリーをこの DNS ビューが解決するときに使用するネーム サーバのリストを定義します。

または

(任意)内部生成された DNS クエリーをこの DNS ビューが解決する際に使用する DNS ネーム サーバのリストに対し、追加する DNS サーバの IP アドレスを取得(インターフェイスにおける DHCP または PPP のやり取りを介して)するときのインターフェイスを定義します。

これらのコマンドが両方設定されている場合、インターフェイス上に DHCP または PPP のやり取りが生じると、別の IP アドレスがリストに追加されます。

ステップ 8

domain multicast domain-name

 

Router(cfg-dns-view)# domain multicast
www.example8.com

(任意)DNS ビューによるマルチキャスト ルックアップの際に使用する IP アドレスを指定します。

ステップ 9

domain retry number

 

Router(cfg-dns-view)# domain retry 4

(任意)この DNS ビューを使用して DNS クエリーの送信または転送を行う場合に、実行する再試行の回数を定義します。

(注) デフォルトの再試行回数は 2 回です。

ステップ 10

domain timeout seconds

 

Router(cfg-dns-view)# domain timeout 5

(任意)この DNS ビューを使用して送信または転送された DNS クエリーへの応答を待機する秒数を定義します。

(注) デフォルトの待機時間は 3 秒です。

ステップ 11

[ no ] dns forwarding

 

Router(cfg-dns-view)# dns forwarding

(任意)DNS ビューを使用して処理された着信 DNS クエリーの転送をイネーブルまたはディセーブルにします。

(注) クエリーの転送機能はデフォルトによりイネーブルになります。

ステップ 12

dns forwarder [ vrf vrf-name ]
forwarder-ip-address

 

Router(cfg-dns-view)# dns forwarder 192.168.3.240

この DNS ビューが着信 DNS クエリーを転送するときに使用するネーム サーバのリストを定義します。

転送するネーム サーバが定義されていない場合は、設定されているドメイン ネーム サーバのリストが使用されます。

ネーム サーバがいずれも設定されていない場合は、制限付きブロードキャスト アドレスにクエリーが転送されます。

ステップ 13

dns forwarding source-interface interface

 

Router(cfg-dns-view)# dns forwarding
source-interface FastEthernet0/0

この DNS ビューでクエリーを転送するときのインターフェイスを定義します。

ステップ 14

end

 

Router(cfg-dns-view)# end

特権 EXEC モードに戻ります。

ステップ 15

show ip dns view [ vrf vrf-name ]
[ default | view-name ]

 

Router# show ip dns view vrf vpn101 user3

特定の DNS ビュー、ビュー グループ(名前が共通するビュー、または同じ VRF に関連付けられたビュー)、または設定されたすべての DNS ビューに関する情報を表示します。

DNS ビューに対するホスト名キャッシュ中でのスタティック エントリの定義

ネットワーク デバイスを参照するときは、数値アドレスよりもシンボリック名を使用する方がわかりやすくなります(Telnet といったサービスではホスト名、またはアドレスを使用します)。ホスト名および IP アドレスは、スタティックまたはダイナミックな手段によって、相互に関連付けできます。ダイナミック マッピングが使用できない場合は、ホスト名/アドレスを手動でマッピングする方法が便利です。

DNS ビューについて DNS ホスト名キャッシュ中でスタティック エントリを定義する場合は、次の任意の作業を実行します。

手順の概要

1. enable

2. clear ho st [ view view-name | vrf vrf-name | all ] { hostname | * }

3. configure terminal

4. ip host [ vrf vrf-name ] [ view view-name ] hostname
{ ip-address1 [ ip-address2 ... ip-address8 ] | additional ip-address9 [ ip-address10 ... ip-addressn ]}

5. exit

6. show hosts [ vrf vrf-name ] [ view view-name ] [ all | hostname ] [ summary ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear ho st [ view view-name | vrf vrf-name |
all ] { hostname | * }

 

Router# clear host all *

(任意)指定された DNS ビュー、または設定されたすべてのビューについてホスト名キャッシュからホスト名/アドレスのスタティック マッピングを削除します。

view キーワードと view-name 引数を使用して、ホスト名キャッシュをクリアする DNS ビューを指定します。デフォルトとして、指定された VRF、またはグローバル VRF に関連付けられたデフォルト DNS ビューが使用されます。

vrf キーワードと vrf-name 引数を使用して、ホスト名キャッシュをクリアする DNS ビューに関連付けられた VRF を指定します。デフォルトとして、指定された DNS ビュー、またはデフォルトの DNS ビューに関連付けられたグローバル VRF(つまり名前がヌル ストリングになっている VRF)が使用されます。

all キーワードは、設定されているすべての DNS ビューのホスト名キャッシュから削除するホスト名/アドレスのマッピングを指定する場合に使用します。

hostname 引数は、指定したホスト名キャッシュからホスト名/アドレス マッピングを削除するホストの名前を指定する場合に使用します。

* キーワードは、指定したホスト名キャッシュからすべてのホスト名/アドレス マッピングを削除する場合に使用します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

ip host [ vrf vrf-name ] [ view view-name ]
hostname { ip-address1
[ ip-address2 ... ip-address8 ] | additional
ip-address9 [ ip-address10 ... ip-addressn ]}

 

Router(config)# ip host vrf vpn101 view user3
www.example.com 192.168.2.111 192.168.2.112

DNS ビューについて DNS ホスト名キャッシュでホスト名/アドレスのスタティック マッピングを定義します。

1 つの VRF に複数の DNS ビューを関連付けことができます。DNS ビューを一意に識別するには、ビュー名とこれが関連付けられた VRF を両方指定します。

hostname 引数は、指定したホスト名キャッシュにホスト名/アドレス マッピングを追加するホストの名前を指定する場合に使用します。

ホスト名に 8 個を超えるアドレスをバインドする場合は、再度 ip host コマンドを使用し、キーワード additional を指定します。

ステップ 5

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 6

show hosts [ vrf vrf-name ] [ view view-name ]
[ all | hostname ] [ summary ]

 

Router# show hosts vrf vpn101 view user3
www.example.com

(任意)デフォルト ドメイン名、名前ルックアップ サービスの形式、ネーム サーバ ホストのリスト、および特定の DNS ビューまたは設定済みの全 DNS ビューに固有のホスト名/アドレスを記載したキャッシュ リストを表示します。

1 つの VRF に複数の DNS ビューを関連付けことができます。DNS ビューを一意に識別するには、ビュー名とこれが関連付けられた VRF を両方指定します。

all キーワードは、設定されているすべての DNS ビューについて、指定のホスト名キャッシュ情報を表示する場合に使用します。

hostname 引数は、表示する指定のホスト名キャッシュ情報を特定のホスト名に対するエントリに限定する場合に使用します。

DNS ビュー リストの定義

DNS ビューの順序付きリストについて、個々のビュー リスト メンバーごとにオプションの使用制限を追加して定義する場合は、次の作業を実行します。ルータは、DNS ビュー リストを使用して、DNS クエリーの処理に使用する DNS ビューを選択します。

手順の概要

1. enable

2. configure terminal

3. ip dns view-list view-list-name

4. view [ vrf vrf-name ] { default | view-name } order-number

5. restrict name-group name-list-number

6. restrict source access-group acl-number

7. exit

8. end

9. show ip dns view-list view-list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dns view-list view-list-name

 

Router(config)# ip dns view-list userlist5

DNS ビュー リストを定義し、DNS ビュー リスト コンフィギュレーション モードを開始します。

ステップ 4

view [ vrf vrf-name ] { default | view-name }
order-number

 

Router(cfg-dns-view-list)# view vrf vpn101
user5 10

DNS ビュー リスト メンバーを定義し、DNS ビュー リスト メンバー コンフィギュレーション モードを開始します。

ステップ 5

restrict name-group name-list-number

 

Router(cfg-dns-view-list-member)# restrict
name-group 500

(任意)この DNS ビュー リスト メンバーが、クエリー ホスト名が、指定の DNS 名リスト中の permit 句に一致する場合、またいずれの deny 句に一致しない場合に限って DNS クエリーへの応答に使用できることを指定します。

DNS 名リストのエントリを定義するには、 ip dns name-list コマンドを使用します。

ステップ 6

restrict source access-group acl-number

 

Router(cfg-dns-view-list-member)# restrict
access-group 99

(任意)この DNS ビュー リスト メンバーは、DNS クエリーの送信元 IP アドレスが、指定の標準 ACL に一致する場合に限って DNS クエリーの処理に使用できることを指定します。

標準 ACL のエントリを定義するには、 access-list コマンドを使用します。

ステップ 7

exit

 

Router(cfg-dns-view-list-member)# exit

DNS ビュー リスト メンバー コンフィギュレーションモードを終了します。

リストに別のビュー リスト メンバーを追加する場合は、ステップ 4 に戻ってください。

ステップ 8

end

 

Router(cfg-dns-view-list)# end

特権 EXEC モードに戻ります。

ステップ 9

show ip dns view-list view-list-name

 

Router# show ip dns view-list userlist5

特定の DNS ビュー リスト、または設定されたすべての DNS ビュー リストに関する情報を表示します。

DNS ビュー リストの変更

ビュー リスト中の各メンバーの順序を効率的に管理するために、個々のビュー リスト メンバー定義には、リスト中の該当するメンバーの位置が指定されています。つまり、ビュー リスト中の各メンバーの順序が、それぞれリストに追加された順番ではなく、個々の位置の値を表す明示的な指定によって定義されるということです。これにより、すべてのビュー リスト メンバーを削除しなくても、次のいずれの作業も実行できるようになります。さらにビュー リスト メンバーシップも必要な順序に従って再定義できるようになります。

「すでに使用中の DNS ビュー リストへのメンバーの追加」

「すでに使用中の DNS ビュー リスト メンバーの順序変更」

すでに使用中の DNS ビュー リストへのメンバーの追加

すでに使用されている DNS ビュー リストに別のメンバーを追加するには、次の任意の作業を実行します。

たとえば、userlist5 という DNS ビュー リストがすでに定義され、デフォルトのビュー リスト、またはインターフェイス固有のビュー リストとして使用されているものとします。ビュー リストは、次のメンバーで構成されていることを前提とします。

DNS ビュー user1、位置番号 10

DNS ビュー user2、位置番号 20

DNS ビュー user3、位置番号 30

リストの 2 つ目のメンバーとして DNS ビュー user4 を追加する場合、リストにこのビューを追加し、位置番号として 11 ~ 19 の値を割り当てます。一度、3 つの既存メンバーを削除して、新たに 4 つの全メンバーを必要な順序でリストに追加し直す必要はありません。

手順の概要

1. enable

2. show ip dns view-list view-list-name

3. configure terminal

4. ip dns view-list view-list-name

5. view [ vrf vrf-name ] { default | view-name } order-number

6. end

7. show ip dns view-list view-list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip dns view-list view-list-name

 

Router# show ip dns view-list userlist5

特定の DNS ビュー リスト、または設定されたすべての DNS ビュー リストに関する情報を表示します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

ip dns view-list view-list-name

 

Router(config)# ip dns view-list userlist5

DNS ビュー リストを定義し、DNS ビュー リスト コンフィギュレーション モードを開始します。

ステップ 5

view [ vrf vrf-name ] { default | view-name }
order-number

 

Router(cfg-dns-view-list)# view user4 15

DNS ビュー リスト メンバーを定義し、DNS ビュー リスト メンバー コンフィギュレーション モードを開始します。

ステップ 6

end

 

Router(cfg-dns-view-list-member)# end

特権 EXEC モードに戻ります。

ステップ 7

show ip dns view-list view-list-name

 

Router# show ip dns view-list userlist5

特定の DNS ビュー リスト、または設定されたすべての DNS ビュー リストに関する情報を表示します。

すでに使用中の DNS ビュー リスト メンバーの順序変更

すでに使用されている DNS ビュー リストのメンバーについて順序を変更するには、次の任意の作業を実行します。

たとえば、userlist5 という DNS ビュー リストがすでに定義され、デフォルトのビュー リスト、またはインターフェイス固有のビュー リストとして使用されているものとします。ビュー リストは、次のメンバーで構成されていることを前提とします。

DNS ビュー user1、位置番号 10

DNS ビュー user2、位置番号 20

DNS ビュー user3、位置番号 30

DNS ビュー user1 をリストの最後に移動する場合は、まずこのビューをリストから削除します。次に、再びこのビューをリストに追加し、位置番号として 30 より大きい値を割り当てます。一度、3 つの既存メンバーを削除して、新たに全メンバーを必要な順序でリストに追加し直す必要はありません。

手順の概要

1. enable

2. show ip dns view-list view-list-name

3. configure terminal

4. ip dns view-list view-list-name

5. no view [ vrf vrf-name ] { default | view-name } order-number

6. view [ vrf vrf-name ] { default | view-name } order-number

7. end

8. show ip dns view-list view-list-name

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip dns view-list view-list-name

 

Router# show ip dns view-list userlist5

特定の DNS ビュー リスト、または設定されたすべての DNS ビュー リストに関する情報を表示します。

ステップ 3

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 4

ip dns view-list view-list-name

 

Router(config)# ip dns view-list userlist5

DNS ビュー リストを定義し、DNS ビュー リスト コンフィギュレーション モードを開始します。

ステップ 5

no view [ vrf vrf-name ] { default | view-name }
order-number

 

Router(cfg-dns-view-list)# no view user1 10

リストから DNS ビュー リスト メンバーを削除します。

ステップ 6

view [ vrf vrf-name ] { default | view-name }
order-number

 

Router(cfg-dns-view-list)# view user1 40

DNS ビュー リスト メンバーを定義し、DNS ビュー リスト メンバー コンフィギュレーション モードを開始します。

ステップ 7

end

 

Router(cfg-dns-view-list-member)# end

特権 EXEC モードに戻ります。

ステップ 8

show ip dns view-list view-list-name

 

Router# show ip dns view-list userlist5

特定の DNS ビュー リスト、または設定されたすべての DNS ビュー リストに関する情報を表示します。

ルータの DNS サーバに対するデフォルト DNS ビュー リストの指定

ルータの DNS サーバに対し、デフォルトの DNS ビュー リストを指定するには、次の作業を実行します。ルータは、デフォルトの DNS ビュー リストを使用して、インターフェイス固有の DNS ビュー リストが定義されていないインターフェイスに到着する着信 DNS クエリーの処理に使用する DNS ビューを選択します。

手順の概要

1. enable

2. configure terminal

3. ip dns server view-group view-list-name

4. exit

5. show running-config

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dns server view-group name-list-number

 

Router(config)# ip dns server view-group 500

ルータの DNS サーバに対するデフォルトの DNS ビュー リストを設定します。

ステップ 4

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

show running-config

 

Router# show running-config

DNS ビュー リストをどのように適用するかに関する情報を表示します。デフォルトの DNS ビュー リストが設定されている場合は、 ip dns server view-group コマンドの引数として、デフォルトの DNS ビュー情報にこのリストが表示されます。

ルータ インターフェイスに対する DNS ビュー リストの指定

特定のルータ インターフェイスに対して DNS ビュー リストを指定するには、次の任意の作業を実行します。ルータはこのビュー リストを使用して、当該のインターフェイスに到着する DNS クエリーの処理に使用する DNS ビューを選択します。

手順の概要

1. enable

2. configure terminal

3. interface interface

4. ip dns view-group view-list-name

5. end

6. show running-config

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface interface

 

Router(config)# interface ATM2/0

インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。これにより、特定のインターフェイスを設定できます。

ステップ 4

ip dns view-group view-list-name

 

Router(config-if)# ip dns view-group userlist5

ルータで、このインターフェイスに対する DNS ビュー リストを設定します。

ステップ 5

end

 

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 6

show running-config

 

Router# show running-config

DNS ビュー リストをどのように適用するかに関する情報を表示します。個々のインターフェイスに対する情報には、 ip dns view-group コマンドの引数として、インターフェイスに対応付けられたすべての DNS ビュー リストが表示されます。

DNS クエリー転送時の送信元インターフェイスの指定

DNS クエリーを転送する送信元インターフェイスを指定するには、次の任意の作業を実行します。

手順の概要

1. enable

2. configure terminal

3. ip dns view [ vrf vrf-name ] { default | view-name }

4. domain resolver source-interface interface-type number

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip dns view [ vrf vrf-name ] { default | view-name }

 

Router(config)# ip dns view vrf vpn32 user3

指定した VRF インスタンスに関連付けられた指定の名前の DNS ビューを作成し、DNS ビュー コンフィギュレーション モードを開始します。

ステップ 4

domain resolver source-interface interface-type number

 

Router(cfg-dns-view)# domain resolver source-interface fastethernet 0/0

DNS リゾルバ機能に対する DNS クエリーの送信元 IP アドレスを設定します。

ステップ 5

end

 

Router(config-if)# end

(任意)特権 EXEC モードに戻ります。

スプリット DNS の設定例

ここでは、次の設定例について説明します。

「特定の VRF からのクエリーに対するスプリット DNS ビューの限定:例」

「ダイナミック ネーム サーバによるスプリット DNS ビューの設定:例」

「ホスト名キャッシュ エントリによるスプリット DNS ビューのスタティックな設定:例」

「ホスト名キャッシュ エントリのラウンドロビン ローテーションによるスプリット DNS ビューの設定:例」

「DNS ビューの使用を制限できる ACL によるスプリット DNS の設定:例」

「異なるビュー 使用制限によるスプリット DNS ビュー リストの設定:例」

「デフォルトおよびインターフェイス固有のビュー リストによるスプリット DNS の設定:例」

特定の VRF からのクエリーに対するスプリット DNS ビューの限定:例

次に、2 つの異なる VRF を定義し、各 VRF に対応する個別の DNS ビューを 2 つ定義する例を示します。

ip vrf vpn101
description VRF vpn101 for example purposes
rd 10:112
exit
!
ip vrf vpn102
description VRF vpn102 for example purposes
rd 10:128
exit
!
ip dns view vrf vpn101
.
.
.
exit
!
ip dns view vrf vpn102 user1
.
.
.
exit
 

2 つの DNS ビューはいずれも user1 という名前ですが、それぞれが異なる VRF に関連付けられます。

VRF vpn101 に関連付けられるデフォルトの DNS ビューは、VRF vpn101 から送られる DNS クエリーの処理だけに限定されます。このビューは、VRF を指定(たとえば、 ping vrf vpn101 www.example.com )するコマンドについて、リゾルバが使用します。

VRF vpn102 に関連付けられる DNS ビュー user1 は、VRF vpn102 から送られる DNS クエリーの処理だけに限定されます。このビューは、DNS サーバがグローバルな範囲で、または特定のインターフェイスに適用するように設定された DNS ビュー リスト内で指定されている場合に限り使用されます。

この例の 2 つの DNS ビューは、同じ DNS 解決および転送パラメータを使用しても、異なる DNS 解決および転送パラメータを使用して設定できます。

ダイナミック ネーム サーバによるスプリット DNS ビューの設定:例

次に、グローバル ネーム スペースにあるデフォルト DNS ビューの解決ネーム サーバ リストに、スタティックに定義された 3 つの IP アドレスを入力する例を示します。またここでは、ルータが FastEthernet のスロット 0、ポート 1 上で行う DHCP または PPP のやり取りを通じ、該当するビューに対する解決ネーム サーバのリストに追加するネーム サーバの IP アドレスをダイナミックに取得できるようにする設定例も示します。

ip dns view default
domain lookup
domain name-server 192.168.2.204
domain name-server 192.168.2.205
domain name-server 192.168.2.206
domain name-server interface FastEthernet0/0

ホスト名キャッシュ エントリによるスプリット DNS ビューのスタティックな設定:例

次に、VRF vpn101 に関連付けられた DNS ビュー user5 について、DNS ホスト名キャッシュ中にあるホスト www.example.com に対する 3 つのホスト名/アドレス マッピングをスタティックに追加する例を示します。

clear host all *
ip host vrf vpn101 view user5 www.example.com 192.168.2.10 192.168.2.20 192.168.2.30
exit
show hosts vrf vpn101 view user5

) VRF vpn101 が定義されているかどうかは、問題ではありません。この DNS ビューに対するホスト名キャッシュが自動的に作成され、このキャッシュにホスト名が追加されます。


ホスト名キャッシュ エントリのラウンドロビン ローテーションによるスプリット DNS ビューの設定:例

ホスト名キャッシュ中に複数の IP アドレスに関連付けられたホスト名が存在する DNS ビューによって DNS クエリーの解決を図る場合、ルータは、ホスト名キャッシュ中で最初に関連付けのある IP アドレスに各クエリーを送信します。ホスト名キャッシュ中で関連付けのあるその他のアドレスは、デフォルトにより、ホストの失敗時に限り使用されます。

ホスト名キャッシュ エントリのラウンドロビン ローテーションでは、内部キャッシュ中のホスト名にアクセスするごとに、このホスト名に関連付けられた IP アドレスのリストを回転させて、リスト中の 2 番目の IP アドレスを 1 番目に、また先頭にあった IP アドレスをリストの最後にそれぞれ移動するように指定します。ラウンドロビン機能の詳細については、『 Cisco IOS IP Addressing Services Command Reference 』の ip domain round-robin コマンドの説明を参照してください。

次に、3 つの IP アドレスによってホスト名 www.example.com を定義し、グローバル VRF に関連付けられたデフォルト DNS ビューに対しラウンドロビン ローテーションをイネーブルにする例を示します。ホスト名による内部参照があるたびに、またはこのシステム上の Cisco IOS DNS サーバにクエリーを送信する DNS クライアントによる照会があるたびに、ホスト www.example.com に関連付けられた IP アドレスの順序が変更されます。クライアント アプリケーションはほとんどの場合、ホスト名に関連付けられた最初の IP アドレスだけを参照するため、各クライアントではそれぞれ異なるアドレスを使用することになります。このため、3 つの異なる IP アドレスの間で負荷が分散されます。

ip host view www.example.com 192.168.2.10 192.168.2.20 192.168.2.30
!
ip dns view default
domain lookup
domain round-robin

DNS ビューの使用を制限できる ACL によるスプリット DNS の設定:例

次に、DNS 名リストと標準 IP ACL を 1 つずつ設定する例を示します。

DNS 名リストとは、DNS ビュー リスト メンバーに対するオプションの使用を制限する場合に適用できるホスト名のパターンマッチング ルールを記載したリストのことです。

標準 IP ACL とは、DNS ビュー リスト メンバーの使用を制限するときに適用できる IP アドレスを記載したリストのことです。

いずれのリストも、DNS ビューに対して処理を許可する DNS クエリーの種類を制限する場合に利用できます。

! Define a DNS name-list
!
ip dns name-list 151 deny .*.example1.net
! (Note: The view fails this list if the query hostname matches this)
!
ip dns name-list 151 permit .*.example1.com
ip dns name-list 151 permit www.example1.org
! (Note: All other access implicitly denied)
!
! Define a standard IP ACL
!
access-list 71 deny 192.168.2.64 0.0.0.63
! (Note: The view fails this list if the query source IP matches this)
!
access-list 71 permit 192.168.2.128 0.0.0.63
! (Note: All other access implicitly denied)
 

この設定例では、DNS ビュー リストの最初のメンバーが DNS 名リスト 151 を使用制限として使用することとします。さらに、ルータで DNS ビュー リストから、特定の DNS クエリーの処理に使用する DNS ビューを選択する場合、ビュー選択手順は次のようになります。

1. DNS クエリーがストリング *.example1.net に一致するホスト名を求めるものである場合、最初の DNS ビュー リスト メンバーは即座に拒否され、ビュー選択プロセスは DNS ビュー リストの 2 番目のメンバーに移ります。

2. また、DNS クエリーがストリング *.example1.com に一致するホスト名を求めるものの場合は、最初の DNS ビュー リスト メンバーが選択され、クエリーの処理を行います。

3. DNS クエリーがストリング www.example1.org に一致するホスト名を求めるものの場合は、最初の DNS ビュー リスト メンバーが選択され、クエリーの処理を行います。これ以外の場合、最初の DNS ビュー リスト メンバーは拒否され、ビュー選択プロセスは DNS ビュー リストの 2 番目のメンバーに移ります。

以降、この設定例を使用するにあたって、この DNS ビュー リスト メンバーは使用制限として標準 IP ACL 71 を使用するように設定することとします。また、 クエリー ホスト名が DNS 名リスト 151 に一致した場合でも、 クエリーの送信元 IP アドレス がまず、標準 IP ACL 71 に一致してからでないと、このビューを選択し、クエリーを処理することはできません。この 2 番目の使用制限を検証するために、DNS ビューの選択手順は次のように実行されます。

1. DNS クエリーの送信元 IP アドレスが 192.168.2.64 の場合、最初の DNS ビュー リスト メンバーが選択され、クエリーを処理します。

2. DNS クエリーの送信元 IP アドレスが 192.168.2.128 の場合、最初の DNS ビュー リスト メンバーが選択され、クエリーを処理します。これ以外の場合、最初の DNS ビュー リスト メンバーは拒否され、ビュー選択プロセスは DNS ビュー リストの 2 番目のメンバーに移ります。

異なるビュー 使用制限によるスプリット DNS ビュー リストの設定:例

次に、2 つの DNS ビュー リスト、userlist1 および userlist2 を定義する例を示します。いずれのビュー リストも次の 3 つの共通する DNS ビューで構成されるものとします。

DNS ビュー user1、usergroup10 VRF に関連付ける

DNS ビュー user2、usergroup20 VRF に関連付ける

DNS ビュー user3、usergroup30 VRF に関連付ける

いずれのビュー リストにも、同じ順序で指定された同じ DNS ビューが含まれます。

ip dns view-list userlist15
view vrf usergroup100 user1 10
restrict name-group 121
exit
view vrf usergroup200 user2 20
restrict name-group 122
exit
view vrf usergroup300 user3 30
restrict name-group 123
exit
!
exit
ip dns view-list userlist16
view vrf usergroup100 user1 10
restrict name-group 121
restrict source access-group 71
exit
view vrf usergroup200 user2 20
restrict name-group 122
restrict source access-group 72
exit
view vrf usergroup300 user3 30
restrict name-group 123
restrict source access-group 73
exit
exit
 

ただし、この 2 つの DNS ビュー リストで、それぞれのビュー リスト メンバーに適用する使用制限が異なります。DNS ビュー リスト userlist15 では、そのメンバーに対してクエリー ホスト名の制限だけが適用されます。一方、ビュー リスト userlist16 では、クエリーのホスト名と送信元 IP アドレスに基づいて各メンバーが制限されます。

userlist15 のメンバーは、クエリーが発信された VRF だけを基準として制限されるため、userlist15 は、内部クライアントから送られた DNS 要求を処理するときの DNS ビューを選択する場合に、標準的なビュー リストとして利用できます。

userlist16 のメンバーは、クエリーの VRF とホスト名だけでなく、クエリーの送信元 IP アドレスにも制限されるため、userlist16 は、外部クライアントから送られた DNS 要求を処理するときの DNS ビューの選択時に、標準的なビュー リストとして利用できます。

デフォルトおよびインターフェイス固有のビュー リストによるスプリット DNS の設定:例

次に、デフォルトの DNS ビュー リストと 2 つのインターフェイス固有のビュー リストを設定する例を示します。

ip dns server view-group userlist1
!
interface FastEthernet 0/0
ip dns view-group userlist2
exit
!
interface FastEthernet 0/1
ip dns view-group userlist3
exit
 

Cisco IOS ソフトウェアは、特定のビュー リストを使用するように設定されていないルータ インターフェイスに到着する着信クエリーについては、userlist1 という DNS ビュー リストから DNS ビューを選択して対応します。ビュー リスト userlist1 は、ルータに対するデフォルトの DNS ビュー リストとして設定されます。

また Cisco IOS ソフトウェアは、スロット 0 に設置された FastEthernet カードのポート 0 に到着する着信クエリーについては、userlist2 という DNS ビュー リストから DNS ビューを選択します。

さらに、スロット 0 に設置された FastEthernet カードのポート 1 に到着する着信クエリーには、userlist3 という DNS ビュー リストから DNS ビューを選択します。

その他の関連資料

ここでは、スプリット DNS 機能の関連資料について説明します。

関連資料

関連項目
参照先

VRF 対応の DNS 設定作業:VRF 対応 DNS のイネーブル、VRF 固有のホスト名から IP アドレスへのマッピング、VRF 固有のホスト名キャッシュ中のスタティック エントリの設定、VRF テーブル中のホスト名キャッシュ エントリの確認

VRF-Aware DNS 」モジュール

DNS の設定作業

Configuring DNS 」モジュール

DNS コマンド:すべてのコマンド構文、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

『Cisco IOS IP Addressing Services Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、資料やツールなど幅広いオンライン リソースが用意されており、シスコの製品およびテクノロジーに関するトラブルシューティングや技術的な問題の解決などに役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

スプリット DNS の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 スプリット DNS の機能情報

機能名
リリース
機能情報

スプリット DNS

12.4(9)T

スプリット DNS 機能を使用して、1 台のルータに複数の DNS データベースを設定することにより、このルータが処理する DNS クエリーの特性に基づいて、各 DNS サーバの設定からいずれか 1 つを選択できるようになります。Cisco ルータは、選択した仮想 DNS ネーム サーバで指定された内部 DNS ホスト名キャッシュを使用して、DNS クエリーへの応答を試みます。DNS クエリーが、ホスト名キャッシュ中の情報では応答できない場合、ルータは特定のバックエンド DNS サーバにクエリーを転送します。

用語集

AAA :Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。

ACL :Access Control List(アクセス コントロール リスト)。さまざまなサービスについてルータを出入りするアクセスを制御する(たとえば、特定の IP アドレスを持ったパケットがルータ上の特定のインターフェイスから送出されないようにする)ためにルータが保持するリスト。

C ネットワーク :顧客(企業またはサービス プロバイダー)ネットワーク。

C ルータ :顧客ルータ。C ネットワーク上のルータ。

CE ルータ :Customer Edge(CE; カスタマー エッジ)ルータ。C ネットワーク上のエッジ ルータで、P ルータに直接接続された C ルータとして定義されます。

CPE :Customer Premises Equipment(CPE; 顧客宅内機器)。

DDR :Dial-on-Demand Routing(DDR; ダイヤルオンデマンド ルーティング)。ルータが、送信ステーションの要求に応じて回線交換セッションを自動的に開始したり、終了したりできる手法。ルータは、エンド ステーションがセッションをアクティブとして処理できるように、キープアライブをスプーフィングします。DDR により、外部 ISDN ターミナル アダプタまたはモデムを使用して ISDN または電話回線を介したルーティングが可能になります。

DHCP :Dynamic Host Configuration Protocol。ホストで IP アドレスが不要になったときにその IP アドレスを再利用できるようにダイナミックに割り当てるためのメカニズムを提供します。

DNS :Domain Name System(ドメイン ネーム システム)。ネットワーク ノードの名前をアドレスに変換するときにインターネット上で使用するシステム。

DNS view group :DNS ビュー リストとルータ インターフェイスとの関連付け。Cisco IOS ソフトウェアは、このビュー リストを使用して、当該のインターフェイスに到着する着信 DNS クエリーの解決処理に使用する DNS ビューを特定します。「DNS サーバ ビュー グループ」 も参照してください

DNS サーバ ビュー グループ :ルータに対するデフォルト DNS ビュー リストとして設定された DNS ビュー リスト。Cisco IOS ソフトウェアは、デフォルトの DNS ビュー リストを使用して、DNS ビュー リストで設定されていないインターフェイスに到着する着信 DNS クエリーの解決処理に使用する DNS ビューを特定します。「DNS ビュー グループ」 も参照してください

DNS スプーフィング :ルータが、プロキシ DNS サーバとして動作し、 ip dns spoofing コマンドで設定された IP アドレス、またはクエリーに対する着信インターフェイスの IP アドレスを使用して、いずれかの DNS クエリーに対する応答を「スプーフィング」する際に使用する方式。この機能は、ISP に対するインターフェイスがアップしていないデバイスに利用できます。ISP へのインターフェイスが作動するとすぐに、ルータが DNS クエリーを実際の DNS サーバに転送します。

ルータは、自身のホスト名以外のいずれかホスト名が要求されると、設定されている IP アドレスの DNS クエリーに応答します。ただし、ルータ独自のホスト名が要求されると、着信インターフェイスの IP アドレスを持つ DNS クエリーに応答します。

DNS クエリーで使用するホスト名は、デフォルト ドメインを付加せずに実行する hostname コマンドが指定するルータの設定済みホスト名としてそのまま定義されます。

DNS 送信元アクセス グループ :DNS ビュー リスト メンバーと、送信元 IP アドレスが標準アクセス コントロール リスト(ACL)に一致する DNS クエリーの処理だけにビューを限定する制限の関連付け。「DNS 名グループ」 も参照してください

DNS 名グループ :DNS ビュー リスト メンバーと、クエリーのドメイン名が DNS 名リストに一致する DNS クエリーの処理だけにビューを限定する制限の関連付け。「DNS 送信元アクセス グループ」 も参照してください

DNS 名リスト :ドメイン名のパターンマッチング ルールをまとめた名前付きのセット。ここに含まれる各ルールにより、クエリーのドメイン名がテキスト ストリング パターンに一致した場合に DNS クエリーに実行するアクションのタイプを指定します。

DNS ビュー :仮想 DNS サーバの名前付きセット。各 DNS ビューは、個々の VRF にそれぞれ関連付けられ、DNS リゾルバおよびフォワーダの各パラメータを使用して設定されます。

DNS ビュー リスト :ビュー リスト メンバーのチェック順序を指定し、各ビュー リスト メンバーに対する使用制限を指定する DNS ビューの名前付きセット。

DNS ビュー リスト メンバー :ビュー リスト メンバーのチェック順序を指定し、各ビュー リスト メンバーに対する使用制限を指定する DNS ビューの名前付きセット。

DNS プロキシ :DNS サーバの IP アドレスを要求する各デバイスに対し、ルータ自身の LAN アドレスを送信し、WAN 接続が確立された後、実際の DNS サーバに DNS クエリーを転送することによって、ルータが、LAN 上のデバイスに代わるプロキシとして動作できるようにするための機能。

ISP :Internet Service Provider(インターネット サービス プロバイダー)。会社や個人に向けインターネット アクセスを提供する企業。

LAN :Local Area Network(LAN; ローカル エリア ネットワーク)。比較的限られた地理的エリア(最大数千 m)を範囲とする高速でエラー率の低いデータ ネットワーク。LAN により、ワークステーション、周辺装置、端末、または 1 つのビルや地理的に制限されたエリアの内部にあるその他のデバイスを接続します。LAN 標準は、OSI モデルの物理レイヤとデータ リンク レイヤ上でケーブル配線とシグナリングを指定します。LAN テクノロジーとしてイーサネット、FDDI、およびトークンリングが幅広く利用されています。「MAN」および「WAN」の定義と 比較してください

MAN :Metropolitan Area Network(MAN; メトロポリタン エリア ネットワーク)。大都市地域に広がるネットワーク。MAN は一般に、LAN よりも広く、WAN よりも狭い地理的エリアをカバーします。「LAN」および「WAN」の定義と 比較してください

MPLS :Multiprotocol Label Switching(マルチプロトコル ラベル スイッチング)。ラベルを使用して IP トラフィックを転送するスイッチング方式。このラベルによって、ネットワーク内のルータおよびスイッチが、事前に確立された IP ルーティング情報に基づくパケットの転送先を指示されます。

P ネットワーク :MPLS 対応サービス プロバイダーのコア ネットワーク。P ルータは、MPLS を実行します。

P ルータ :プロバイダー ルータ。P ネットワークのルータです。

PE ルータ :Provider Edge(プロバイダー エッジ)ルータ。P ネットワーク上のエッジ ルータで、C ルータに直接接続された P ルータとして定義されます。

SSM :Source Specific Multicast(SSM)。1 対多数のアプリケーション(ブロードキャスト アプリケーションともいう)を最も効果的にサポートするデータグラム送達モデル。SSM は、オーディオおよびビデオ ブロードキャスト アプリケーション環境に向けた IP Multicast Lite ソリューション スイートをシスコが実装したコア ネットワーク テクノロジーです。

VPN :Virtual Private Network(バーチャル プライベート ネットワーク)。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。VPN は、IP レベルですべてのデータを対象にトンネリングと暗号化を行うプロトコルを使用して、着信および発信ネットワーク トラフィックを保護します。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。ネットワーク間のトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN では、「トンネリング」が使用され、すべての情報が IP レベルで暗号化されます。

VRF :VPN Routing and Forwarding(VPN ルーティング/転送)インスタンス。VRF は、IP ルーティング テーブル、取得された転送テーブル、その転送テーブルを使用する一連のインターフェイス、転送テーブルに登録されるものを決定する一連のルールおよびルーティング プロトコルで構成されています。一般に、VRF には、PE ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。PE ルータでインスタンス化された各 VPN には固有の VRF があります。

WAN :Wide Area Network(WAN; ワイド エリア ネットワーク)。地理的に広域にわたるユーザに向けてサービスを提供するデータ通信ネットワーク。場合によってコモン キャリアが提供する転送デバイスを使用することもあります。WAN の例としてフレーム リレー、SMDS、および X.25 があります。「LAN」 および 「MAN」の定義と 比較してください

アクセス コントロール リスト :「ACL」 を参照してください

アドレス解決 :通常、コンピュータのアドレッシング方式間の違いを解決するための方法。アドレス解決は通常、ネットワーク レイヤ(レイヤ 3)のアドレスをデータ リンク レイヤ(レイヤ 2)のアドレスにマッピングする方法を指定します。

企業ネットワーク :会社や組織に置かれた主な拠点を接続する大規模、かつ多様性の高いネットワーク。私的に所有され、保守される点で WAN とは異なります。

クライアント :コンフィギュレーション パラメータを要求する任意のホスト。

ゲートウェイ :IP の分野でルーティング デバイスを指す旧式の用語。今日、この機能を実行するノードのことを「ルータ」といいます。ゲートウェイは、あるプロトコル スタックから別のプロトコル スタックにアプリケーション レイヤで情報を変換する特殊なデバイスのことを指します。「ルータ」の定義と 比較してください

サーバ :コンフィギュレーション パラメータを提供する任意のホスト。

スプーフィング :ホストに対し、インターフェイスがあたかもホストがアップ状態にあり、セッションをサポートしているものと解釈させるためにルータが使用する手法。ルータは、ホストからのキープアライブ メッセージに対してなりすましの応答を返して、ホストに対し、このセッションが依然として存在するものと解釈させます。スプーフィングは、トール チャージを保存する目的で、回線交換リンクを介して送信するトラフィックが存在しないと、該当するリンクがダウンする DDR のようなルーティング環境で役立ちます。

ドメイン :インターネットで、組織の種類や地域に基づいてネットワークの全般的な分類を名前で表した階層構造の部分。

ドメイン名 :識別子の形式は、大文字と小文字を区別しない ASCII ラベルで構成し、それぞれをドットで区切った一連の文字列で表します。インターネット ドメイン ネーム システム(R1034)のサブツリーで定義し、たとえば、ホスト名、メールボックス名、および URL といった各種インターネットの識別子の中で使用します。

トンネル :2 つのピア(たとえば、2 つのルータ)の間に設定するセキュアな通信パス。

名前解決 :一般に、名前とネットワークの場所を関連付けるプロセス。

認証 :セキュリティの文脈で人またはプロセスの身元を検証すること。

ネーム キャッシュ :ルータが、今後のパケット転送時に迅速なアクセスができるように、リモートで検出されたホスト名を格納しておく方式。

ネーム サーバ :ネットワーク名をネットワーク アドレスに解決するときに接続されるサーバ。

ネーム スペース :共通に配布される名前のセットのことで、この空間ではすべての名前が一意になります。

ブリッジ :同じ通信プロトコルを使用した 2 つのネットワーク セグメントを接続し、この間でパケットを送受信するデバイス。ブリッジは、OSI 参照モデルのデータ リンク レイヤ(レイヤ 2)で動作します。通常、ブリッジは、着信フレームの MAC アドレスに基づいてフィルタをフィルタ、転送、またはフラッディングします。「リレー」 も参照してください

ブロードキャスト アドレス :すべてのステーションにメッセージを送信するために予約された特別なアドレス。

マルチキャスト アドレス :複数のネットワーク デバイスを参照する単一のアドレス。「グループ アドレス」と 同義 です。

リレー :2 つ以上のネットワーク、またはネットワーク システムを接続するデバイスに使用する OSI テクノロジー。データ リンク レイヤ(レイヤ 2)のリレーをブリッジ、ネットワーク レイヤ(レイヤ 3)のリレーをルータといいます。「ブリッジ」 および 「ルータ」 も参照してください

ルータ :ネットワーク トラフィックの転送時に、1 つ以上のメトリックを使用して、最適のパスを特定するためのネットワーク レイヤ デバイス。ルータは、ネットワーク レイヤの情報に従ってネットワーク間でパケットを転送します。場合によって、ゲートウェイと呼ばれることもあります(ただしゲートウェイという用語は陳腐化されつつあります)。「ゲートウェイ」の定義と 比較してください 。「リレー」 も参照してください

 

CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco Ironport, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco Nurse Connect, Cisco Stackpower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flip Video, Flip Video (Design), Flipshare (Design), Flip Ultra, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Store, and Flip Gift Card are service marks; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.