搭建dns服務(wù)器實現(xiàn)域名解析隨堂筆記

學(xué)神IT教育：從零基礎(chǔ)到實戰(zhàn)，從入門到精通 ：本系列文檔為《學(xué)神IT教育》和教案，只允許VIP學(xué)個人使用，私自。否則將關(guān)閉其VIP資格，其，請：：學(xué)神IT:學(xué)神ITPHP學(xué)神ITLinuxDNS概實戰(zhàn)：為公司內(nèi)網(wǎng)搭建一個DNSDNS服務(wù)端 DNS客戶端 DNS述DNS（NameSystem）系統(tǒng)，在TCP/IP網(wǎng)絡(luò)中有非常重要的地位，能夠提供與IP地DNS是一個分布式數(shù)據(jù)庫，命名系統(tǒng)采用層次的邏輯結(jié)構(gòu)，如同一棵倒置的樹，這個邏輯的樹形結(jié)構(gòu)稱為空間，由于DNS劃分了空間，所以各機(jī)構(gòu)可以使用自己的空間創(chuàng)建DNS信息。空間中，樹的最大深度不得超過空間中，樹的最大深度不得超過127層，樹中每個節(jié)點(diǎn)最長可 63個字符。 注域DNS樹的每個節(jié)點(diǎn)代表一個域，通過這些節(jié)點(diǎn)，對整個空間進(jìn)行劃分，成為一個層次結(jié)構(gòu) ：通常由一個完全合格（FQDN）標(biāo)識。FQDN能準(zhǔn)確表示出其相對于DNS域樹根的位置，也域來說，其完全正式（FQDN） 注意：通常，F(xiàn)QDN有嚴(yán)格名限制，長度過256字節(jié)，只允許使用字符a-z,0-9,A- ”）或者FQDN的結(jié)尾使用 Internet空間的最頂層是根域（root），其記錄著Internet的重要DNS信息，由Internet注冊機(jī)構(gòu)管理，該機(jī)構(gòu)把空間各部分的管理責(zé)任分配給連接到Internet的各個組織。10臺在另外3臺分別在英國DNS根域下面是頂級域，也由Internet機(jī)構(gòu)管理。共有3種類型的頂級域組織域：采用3個字符的代號，表示DNS域中所包含的組織的主要功能或活動。比如com為商業(yè)機(jī)構(gòu)組織，edu為教育機(jī)構(gòu)組織， 為機(jī)構(gòu)組織，mil為軍事機(jī)構(gòu)組織，net為網(wǎng)絡(luò)機(jī)構(gòu)組織 為非營利機(jī)構(gòu)組織，int為國際機(jī)構(gòu)組織地址域：采用兩個字符的國家或地區(qū)代號。如cn為中國，kr為韓國，us為反向域：這是個特殊字為，用于將IP地址到名字（反向查詢）2、區(qū)(Zone)，資源記區(qū)是DNS名稱空間的一部分，其包含了一組在DNS服務(wù)器上的資源記錄使用區(qū)的概念，DNS服務(wù)器回答關(guān)于自己區(qū)中主機(jī)的查詢，每個區(qū)都有自己的服務(wù)器3、主服務(wù)器與輔助服務(wù)容錯能配輔服器，該主務(wù)的況，戶能析區(qū)名。般區(qū)主S配置成先查詢這些服務(wù)器，這樣就能防止客戶機(jī)通過慢速鏈路通信來進(jìn)行DNS查詢。DNS服務(wù)器運(yùn)行DNS服務(wù)器程序的計算機(jī)，DNS數(shù)據(jù)庫信息。DNS服務(wù)器會嘗試解析客戶機(jī)的查詢請求DNS緩DNS服務(wù)器在解析客戶機(jī)請求時，如果本地沒有該DNS信息，則可以會詢問其他DNS服務(wù)器，當(dāng)其他服務(wù)器返回查詢結(jié)果時，該DNS服務(wù)器會將結(jié)果記錄在本地的緩存中，成為DNS緩存。當(dāng)下一次客戶機(jī)提交相同請求時，DNS服務(wù)器能夠直接使用緩存中的DNS信息進(jìn)行解析。DNS查詢方式：遞歸查詢和迭代查詢通過個步驟的解析過程就使得客戶端可以順利這個，但實際應(yīng)用中，通常這個 遞歸查詢是一種DNS服務(wù)器的查詢模式，在該模式下DNS服務(wù)器接收到客戶機(jī)請求，必須使用一個準(zhǔn)確的查詢結(jié)果回復(fù)客戶機(jī)。如果DNS服務(wù)器本地沒有查詢DNS信息，那么該服務(wù)器會詢DNS送查詢請求時，DNS詢結(jié)果，而是告訴客戶機(jī)另一臺DNS向這臺DNS返回PC到本地DNS屬于遞歸查詢。而DNS查7正向解正向解析是指到IP地址的解析過程反向解反向解析是從IP地址到的解析過程。反向解析的作用為服務(wù)器的驗證DNSSOA資源記每個區(qū)在區(qū)的開始處都包含了一個起始記錄（StartofAuthorityRecord）,簡稱SOA記錄SOA定義了域的全局參數(shù)，進(jìn)行整個域的管理設(shè)置。一個區(qū)域文件只允許存在唯一的SOA記錄。NS資源記NS（NameServer）記錄是服務(wù)器記錄，用來指定該由哪個DNS服務(wù)器來進(jìn)行解析。每個區(qū)在區(qū)根處至少包含一個NS記錄。3）A資源記地址（A）資源記錄把FQDN到IP地址。因為有此記錄，所以DNS服務(wù)器能解析FQDN對應(yīng)的IP地址。PTR資源記相對于A資源記錄，指針（PTR）記錄把IP地址到FQDN。用于反向查詢，通過IP地址，找到CNAME資源記別名記錄（CNAME）資源記錄創(chuàng)建特定FQDN的別名。用戶可以使用CNAME記錄來隱藏用戶網(wǎng)絡(luò)的例：時，解析到了的別名服務(wù)器。有個 .的別MX資源記錄郵件交換（MX）資源記錄，為DNS指定郵件交換服務(wù)器。模式：C/S模式2、端[root@xuegod64~]#vim tcp/953udp/953 #用于DNS主從同步安裝DNS：BIND簡介BIND全稱為BerkeleyInternetName(伯克利因特網(wǎng)名稱域系統(tǒng))。BIND主要有三個版BIND8融合了許多提高效率、穩(wěn)定性和安全性的技術(shù)，而BIND9增加了一些超前的理念：IPv6支持、[root@xuegod63~]#rpm-ivh/mnt/Packages/bind-9.7.3-8.P3.el6.x86_64.rpm DNS服務(wù)的主程序包。[root@xuegod63Packages]#rpm-ivhbind-chroot-9.7.3-8.P3.el6.x86_64.rpm #提高安全#bind-chroot是bind的一個功能,使bind可以在一個chroot的模式下運(yùn)行.也就是說,bind運(yùn)行時的,并不是系統(tǒng)真正的/(根),只是系統(tǒng)中的一個子而已.這樣做的目的是為了提高安全性.因為在chroot的模式下,bind可以的范圍僅限于這個子的范圍里,無法進(jìn)一步提升,進(jìn)入到系統(tǒng)的其他目[root@xuegod63Packagesrpmivhbind-utils-9.7.3-8.P3.el6.x86_64.rpm#該包為客戶端[root@xuegod63Packages]#lsnamed.conf是BIND的配置文件，它包含了BIND的基本配置，但其并不包括區(qū)域數(shù)據(jù)3、啟動服3、啟動服//要先啟動named服務(wù)，否則/var/named/chroot/ 下的文件不會被掛載上。這個和RHEL5是不[root@xuegod63Packages]#ls/var/named/chroot/[root@xuegod63Packages]#/etc/init.d/namedrestartStop [OKStarting [OK開記named調(diào)用chroot[root@xuegod63Packages]#/etc/namedon/var/named/chroot/etc/namedtypenone/var/namedon/var/named/chroot/var/namedtypenone/etc/named.confon/var/named/chroot/etc/named.conftypenone/etc/named.rfc1912.zoneson/var/named/chroot/etc/named.rfc1912.zonestypenone/usr/lib64/bindon/var/named/chroot/usr/lib64/bindtypenone/etc/named.iscdlv.keyon/var/named/chroot/etc/named.iscdlv.keytypenone/etc/named.root.keyon/var/named/chroot/etc/named.root.keytypenone在客戶端配置好DNS在客戶端配置好DNS[root@xuegod63~catetc/resolv.conf#GeneratedbyNetworkManagernameserver51[root@xuegod63Packages]#vim/etc/sysconfig/network-scripts/ifcfg-eth0[root@xuegod63~]#vim/etc/named.conf^C[root@xuegod63~]#vim/var/named/chroot/etc/named.conf[root@xuegod63~]#vim/var/named/chroot/etc/named.conf [root@xuegod63~]#cd/var/named/chroot/[root@xuegod63chroot]#lsdevetcusroptions:對全局生效zone：針對某個區(qū)域生DNS服務(wù)器管理 [root@localhostetc]#vim[root@xuegod63~]#cat////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion dnssec-enableyes;dnssec-validationyes;dnssec-lookasideauto;/*PathtoISCDLVkeybindkeys-fileloggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilezone" "IN{typemaster;file include3、創(chuàng)建zone件root@localhostchroot]#cd[root@xuegod63namedcpr .zone要加-p注意權(quán)限$TTL1D認(rèn)為1就是1D原來的表示當(dāng)前的域 #設(shè)置SOA記錄為： #在此配置文件中寫時，都把根.也要寫上。域管理郵 ；更新序列號，用于標(biāo)示數(shù)據(jù)庫的變換，可以在10在輔助DNS數(shù)據(jù)庫，手動加1D；刷新時間，從服務(wù)器更新該地址數(shù)據(jù)庫文件的間隔時間，默認(rèn)為11H；重試延時，從服務(wù)器更新地址數(shù)據(jù)庫失敗以后，等待多長時間，默認(rèn)為為1小1W;到期，失效時間，超過該時間仍無法3H；設(shè)置無效地址解析記錄（該數(shù)據(jù)庫中不存在的地址）默認(rèn)緩存時間。設(shè)置無效記錄，最少緩存時間為3小時.重啟DNS器[root@xuegod63named]#servicenamedStopnamed:.umount:/var/named/chroot/var/named:deviceisbusy.(Insomecasesusefulinfoaboutprocessesthatusethedeviceisfoundbylsof(8)or[OKStarting [OK[root@xuegod63named]#cd[root@xuegod63~]#servicenamedrestartStopnamed: [OKStarting [OK4、修改DNS[root@localhostnamed]#vim/etc/sysconfig/network-scripts/ifcfg-eth0[root@xuegod63~]#servicenetwork[[root@xuegod63~]#(3)56(84)bytesof64bytesfrom (3):icmp_seq=1ttl=64time=0.196ms64bytes (3):icmp_seq=2ttl=64time=0.160例二、使DNS1、[root@localhostetcvimoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion #dnssec-enableyes;#dnssec-validationyes;#dnssec-lookasideauto;//但是要把這三條內(nèi)容注釋了，其它內(nèi)容不用改，這樣客戶端才能通過這個DNS進(jìn)行遞歸查詢。把[root@xuegod64~]#vim/etc/sysconfig/network-scripts/ifcfg-eth0[root@xuegod64[root@xuegod64~]#servicenetwork(05)56(84)bytesofdata.64bytesfrom05:icmp_seq=1ttl=55time=318ms64bytesfrom05:icmp_seq=3ttl=55time=147ms三、搭建DNS器。家用路由器：DNS：三、搭建DNS1、[root@localhostetcvim改optionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion #dnssec-enableyes;//注釋這三行#dnssec-validationyes;forwardonly; //僅執(zhí)行轉(zhuǎn)發(fā)操作，only:僅轉(zhuǎn)發(fā);：先查找本地zone，再轉(zhuǎn)發(fā)forwarders{;}; //指定轉(zhuǎn)發(fā)查詢請求的DNS服務(wù)器列表說明：中敲錯forwardonly; //僅執(zhí)行轉(zhuǎn)發(fā)操作，only:僅轉(zhuǎn)發(fā);：先查找本地zone，再轉(zhuǎn)發(fā)forwarders{;}; //指定轉(zhuǎn)發(fā)查詢請求的DNS服務(wù)器列表這兩行應(yīng)該寫在options。筆記中寫的是對的。[root@xuegod63~]#servicenamedrestartStopnamed: [OKStartingErrorinnamed/etc/named.conf:45:unknownoption/etc/named.conf:46:unknownoption四、搭建DNS1、搭建一個主DNS務(wù)器A。配置內(nèi)容如下：[root@localhostetc]#vimnamed.conf#dnssec-enableyes;#dnssec-validationyes;////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion#dnssec-enableyes;#dnssec-validationyes;/*PathtoISCDLVkeyloggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilezone" "IN{typemaster;file allow-transfer/24;};#指定允許哪個網(wǎng)段的從DNS務(wù)器步主服務(wù)器zone有include2、從DNS配[root@xuegod64~]#rpm-ivh/mnt/Packages/bind-9.7.3-8.P3.el6.x86_64.rpm DNS服務(wù)的主程序包。[root@xuegod64Packages]#rpm-ivhbind-chroot-9.7.3-8.P3.el6.x86_64.rpm #提高安全#bind-chroot是bind的一個功能,使bind可以在一個chroot的模式下運(yùn)行.也就是說,bind運(yùn)行時的 [root@xuegod64Packagesrpmivhbind-utils-9.7.3-8.P3.el6.x86_64.rpm#該包為客戶端[root@xuegod64Packages]#servicenamedStop [OKStarting [OK[root@localhostetc]#vim////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};#recursionno;recursionyes;#dnssec-enableyes;#dnssec-validationyes;#dnssec-lookasideauto;#forwardonly#forwarders{48;};loggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilezone" ."IN{typeslave;file masters{3;include這樣從DNS服務(wù)器就可以從主DNS服務(wù)器上獲取DNS注意slave和slavesmaster單詞的書寫，有的加s有的不加重啟從DNSvar/named/chroot/var/named/slaves文.zone.file這個文件是從DNS服務(wù)器從主DNS[root@xuegod64etc]#servicenamedStopnamed: [OKStarting [OK[root@xuegod64etc]#ls五、zone息。通過DNS編輯主DNScd/var/named/chroot/var/named[root@localhostnamed]#vim cat $TTL IN . ;serial #每修改一次，都要把此序列號加11D;refresh1H;retry1W;expire3H); #1 1 . MX 測試：當(dāng)主DNS測試從DNS同[root@xuegod64etc]#servicenamedStopnamed: [OKStarting [OK[root@xuegod64etc]#ls#發(fā)現(xiàn)此文件內(nèi)存沒有變，因為從服務(wù)器需要1D才能再次更新。[root@xuegod64etc]#rm-rf/var/named/chroot/var/named [root@xuegod64etc]#servicenamedrestart[root@xuegod64etc]#cat 1[root@localhostnamedvim/etc/ntp.conf//查看ntp[root@localhostnamed]#ntpdate0.rhel.pool.ntp.#同步時2、生成密鑰，進(jìn)行主從認(rèn)證。在主DNS[root@xuegod63chroot]#rpm-qf`whichdnssec-keygen`、dnssec-keygenahmac-md5b128nHOST名[root@xuegod63etc]#cd[root@xuegod63etc]#dnssec-keygenahmac-md5b128nHOSTabc#生成一對對稱鑰-ahmac-md5：采用hmac-md5法-b128：生成的密鑰長度為128-n密鑰類型。選擇主機(jī)類型：HOST-n<nametype>:ZONE|HOST|ENTITY|USER|OTHER(DNSKEYgenerationdefaultstoZONE)abc[root@xuegod63etc]#find等待大約2對[root@xuegod63chroot]#devetc .key .privateusr[root@xuegod63chroot]#devetc .key .privateusr[root@88slaves]#catKabc.+157 Private-key-format:v1.2Algorithm:157Key:nVk1s0B6XVB4BFfkr+vdfQ== [root@88slaves]#catKabc.+157 abc.INKEY5123157、修改主DNS置、修改主DNS置[root@xuegod63chroot]#vim////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursiondnssec-enableyes;#取原來注釋dnssec-validationyes;#取原來注釋dnssec-lookasideauto取原來注/*PathtoISCDLVkeybindkeys-fileloggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilekeyabckey{ algorithmhmac-md5;secretzone" ."IN{typemaster;file allow-transferkeyabckey; include、從DNS服務(wù)器：[root@xuegod64chroot]#vim////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptions{listen-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_st