Das DNS-Design ist ein wesentlicher Bestandteil der Netzwerkinfrastruktur, besonders wenn es darum geht, interne und externe Auflösungen zu verwalten. In einem Split-DNS-Szenario verwenden Unternehmen getrennte DNS-Server für die interne und externe Namensauflösung. Dieser Artikel zeigt, wie man ein solches Szenario im Lab aufbaut und konfiguriert, um die getrennte Auflösung von internen und externen Ressourcen zu simulieren und Fehler zu vermeiden.
1. Was ist Split-DNS?
Split-DNS ist ein Design, bei dem unterschiedliche DNS-Server für die interne und externe Namensauflösung verwendet werden. Der Hauptvorteil dieses Designs liegt in der Sicherheit und der Kontrolle über den DNS-Verkehr. Während interne DNS-Anfragen in der Regel von einem internen DNS-Server beantwortet werden, sorgt der externe DNS-Server für die Namensauflösung für die Clients im Internet.
Vorteile von Split-DNS:
- Verbesserte Sicherheit, da interne Informationen nicht für das Internet sichtbar sind.
- Reduzierung von DNS-Anfragen für die interne Infrastruktur, indem nur interne Daten verfügbar gemacht werden.
- Optimierung der Netzwerkressourcen durch Trennung der Namensauflösung.
2. Szenario: Split-DNS im Lab
In einem typischen Split-DNS-Szenario haben wir zwei DNS-Server: einen internen und einen externen. Der interne DNS-Server ist für die Auflösung von internen Hostnamen zuständig, während der externe DNS-Server nur die öffentliche DNS-Auflösung übernimmt. Beide DNS-Server müssen ordnungsgemäß konfiguriert und miteinander verknüpft werden, um eine fehlerfreie Namensauflösung zu gewährleisten.
Netzwerkaufbau:
- Interner DNS-Server: Verantwortlich für die Auflösung von internen Namen (z.B. intranet.local).
- Externer DNS-Server: Verantwortlich für die Auflösung von öffentlichen Namen (z.B. www.example.com).
- Firewall/Router: Stellt sicher, dass Anfragen von internen Clients an den richtigen DNS-Server weitergeleitet werden.
- Clients: Geräte im internen Netzwerk, die DNS-Anfragen an den internen DNS-Server stellen, und Geräte im Internet, die den externen DNS-Server nutzen.
3. Konfiguration des internen DNS-Servers
Der interne DNS-Server sollte für die Auflösung von internen Hostnamen und Diensten wie “intranet.local” konfiguriert werden. Die Konfiguration erfolgt in der Regel über ein DNS-Management-Tool oder über die Kommandozeile.
CLI-Befehl zur Konfiguration eines internen DNS-Servers:
Router# configure terminal
Router(config)# ip domain name intranet.local
Router(config)# ip name-server 192.168.1.10 (IP-Adresse des internen DNS-Servers)
Router(config)# ip dns server
In diesem Beispiel konfigurieren wir den Router, der als interner DNS-Server fungiert. Wir stellen sicher, dass der DNS-Server für die Auflösung von “intranet.local” zuständig ist.
4. Konfiguration des externen DNS-Servers
Der externe DNS-Server ist dafür verantwortlich, DNS-Anfragen für öffentliche Domains wie “example.com” zu beantworten. Auch hier erfolgt die Konfiguration über ein DNS-Management-Tool oder die Kommandozeile, um sicherzustellen, dass öffentliche Domänen korrekt aufgelöst werden.
CLI-Befehl zur Konfiguration eines externen DNS-Servers:
Router# configure terminal
Router(config)# ip domain name example.com
Router(config)# ip name-server 8.8.8.8 (Google DNS als externen DNS-Server verwenden)
Router(config)# ip dns server
Hier verwenden wir den Google DNS-Server (8.8.8.8) für öffentliche Namensauflösungen. Der externe DNS-Server sollte nur für die Domain “example.com” verantwortlich sein, während andere Domains möglicherweise an verschiedene externe DNS-Server weitergeleitet werden können.
5. Konfiguration der Firewall oder des Routers
Die Firewall oder der Router muss so konfiguriert werden, dass Anfragen von internen Clients zum internen DNS-Server und Anfragen von externen Clients zum externen DNS-Server weitergeleitet werden. Dies erfordert Routing und Filterregeln, um die Trennung der beiden DNS-Auflösungen zu gewährleisten.
CLI-Befehl zur Konfiguration der Weiterleitung:
Router# configure terminal
Router(config)# ip forward-protocol udp 53 (Weiterleitung von DNS-Anfragen)
Router(config)# ip helper-address 192.168.1.10 (Weiterleitung von DHCP und DNS an den internen DNS-Server)
6. Troubleshooting
Es können verschiedene Probleme auftreten, wenn die Split-DNS-Konfiguration nicht korrekt eingerichtet ist:
Fehlerursachen:
- Falsche IP-Adresse des DNS-Servers im Router oder Client konfiguriert.
- Fehlende DNS-Weiterleitungen auf der Firewall oder dem Router.
- Fehlerhafte Zonenkonfigurationen auf dem internen oder externen DNS-Server.
Fehlersuche:
- Überprüfen Sie die DNS-Server-Konfiguration mit
show ip dnsund stellen Sie sicher, dass die DNS-Weiterleitungen aktiv sind. - Testen Sie die Namensauflösung mit
nslookupfür interne und externe Domains. - Verwenden Sie
debug ip packet, um den DNS-Verkehr zu überwachen und etwaige Weiterleitungsfehler zu diagnostizieren.
CLI-Befehl zur Fehlersuche:
Router# show ip dns
Router# nslookup example.com
Router# debug ip packet
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.