フォワーダの使用
転送を行うドメインを指定できます。フォワーダは、IP アドレスとオプションのポート番号のリストまたはサーバーの名前のリスト、あるいはその両方で定義されます。通常、フォワーダはインターネットまたは外部の DNS リソースにアクセスできる他の DNS キャッシングサーバーです。
(注) |
ホスト名ではなく IP アドレスを使用することを強く推奨します。 |
フォワーダを使用すると、キャッシング DNS サーバーは、転送ドメインに一致するユーザークエリを別のキャッシング DNS サーバーに転送して解決を実行します。これは、ローカルキャッシング DNS サーバーにインターネットアクセスがない(つまり、ファイアウォールの内側にある)場合に便利です。このような状況では、ローカルゾーンに対して例外を設定し、その後で、すべての外部クエリに対してルート(.)フォワーダを作成するのが一般的です。フォワーダ名は、転送するドメインに対応します。たとえば、example.com クエリを転送する場合、フォワーダの名前は example.com になります。
(注) |
IPv4 アドレスまたは IPv6 アドレス、あるいはその両方を指定できます。変更を有効にするには、キャッシング DNS サーバーをリロードする必要があります。 |
ヒント |
キャッシング DNS サーバーがすべてのクエリを 1 つ以上の DNS フォワーダに転送するように強制するには、DNS ルート(.)をフォワーダ名として使用します。 |
(注) |
デフォルトでは、キャッシング DNS は AS112 および RFC1918 の逆引きゾーンへのアクセスを許可しません。これらは ローカル使用のためだけに予約されている IP アドレス範囲の逆引きゾーンです。これらのゾーンにアクセスするには、ローカルに定義されている逆引きゾーンの例外またはフォワーダを定義します。 |
Cisco Prime Network Registrar 11.0 では、個々のフォワーダオブジェクトレベルで TLS を有効にできます。これを行うには、有効化オプションを選択して tls 属性を有効にします。これを有効にする場合は、tls-cert-bundle を設定し、CA 証明書をロードする必要があります。そのようにしないと、接続を認証できません。認証局バンドルに公開キーを追加するには、フォワーダサーバーの public.pem をキャッシング DNS サーバーにコピーし、次のコマンドを使用して tls-upstream-cert-bundle を更新します。
scp -r public.pem @client-ip:/etc/pki/ca-trust/source/anchors/
# update-ca-trust
tls-auth-name は、フォワーダサーバーの認証名を示します。TLS が有効になっている場合、キャッシング DNS サーバーは、フォワーダサーバーから送信された名前の TLS 認証証明書をチェックします。
ローカルおよびリージョン Web UI
次の手順でフォワーダを定義します。
手順
ステップ 1 |
[設計(Design)] メニューで、Cache DNS サブメニュー から [Forwarders ] を選択します。[フォワーダのリスト表示/追加(List/Add Forwarders)] ページが開きます。 |
||
ステップ 2 |
[フォワーダ(Forwarders)] ペインの [フォワーダの追加(Add Forwarders)] アイコンをクリックすると、[フォワーダの追加(Add Forwarder)] ダイアログボックスが開きます。 |
||
ステップ 3 |
名前として転送するゾーンの名前を入力し、[フォワーダの追加(Add Forwarder )] をクリックします。
|
||
ステップ 4 |
[フォワーダの編集( Edit Forwarders)] ページで、ホスト名を入力して [ホストの追加(Add Host )] をクリックするか、フォワーダの IP アドレスを入力して [アドレスの追加(Add Address)] をクリックします。 |
||
ステップ 5 |
[保存(Save)] をクリックします。 |
CLI コマンド
-
フォワーダを使用するためにネームサーバーのアドレス(またはスペースで区切ったアドレス)を指定するには、cdns addForwarder domain [tls=on | off] [tls-auth-name=name] addr を使用します。
tls フラグがオンの場合、サーバーは TLS を使用してネームサーバーに接続します。tls-auth-name が指定されている場合、サーバーはネームサーバーから提供された TLS 証明書でこの名前を確認します。
cdns-forwarder name create attribute=value を使用して、キャッシング DNS フォワーダオブジェクトを作成することもできます。
-
現在のフォワーダのリストを表示するには、cdns listForwarders または cdns-forwarder list を使用します。
-
フォワーダオブジェクトを変更するには、cdns-forwarder name set attribute=value を使用します。
-
フォワーダまたはフォワーダのリストを削除するには、cdns removeForwarder domain [addr ...] または cdns-forwarder name deleteを使用します。
(注) |
フォワーダの TLS 関連する変更を有効にするには、キャッシング DNS サーバーを再起動する必要があります。 |