Chinaunix首页 | 论坛 | 博客
  • 博客访问: 8233
  • 博文数量: 2
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 30
  • 用 户 组: 普通用户
  • 注册时间: 2016-10-21 11:12
文章分类
文章存档

2016年(2)

我的朋友
最近访客

分类: 系统运维

2016-10-26 17:43:14

目录

  • DNS简介

  • DNS域名结构介绍

  • 顶级域名

  • DNS工作原理

  • 工作模式和端口

  • 资源记录

  • 安装bind(详细)

  • 实战:配置一个正反向解析

  • 实战:配置DNS转发

  • 实战:配置DNS主从

  • 实战:子域授权

  • 实战:配置智能DNS

  • 根域架构拓扑图

DNS域名解析服务配置与管理详解

DNS简介

DNS服务可以为用户提供域名和IP地址之间的自动转换,通过DNS用户只需要输入机器的域名即可访问相关的服务,无需使用那些难以记忆的IP地址

DNS域名结构介绍

DNS域名又称DNS命名空间,它是以层次树状结构进行管理的,其顶层是根域,根域在整个DNS命名空间是唯一的,而根域下可以分为多个子域,每个子域又可以有多个子域

wKiom1fyOEPDtxs7AAF3u543gys436.png

一个完整的域名是由顶级域以及各子域的名称所组成,各部分之间用圆点,“.”来分割,其中最后一个点是顶级域,最后一个“.”左边部分称为二级域名,二级域左边称为三级域名,以此类推

www.sina.com.cn 

cn是一级域名,com是二级域名,sina是三级域名

顶级域名

域名 代表含义 域名 代表含义
.com 表示商业机构  .cn 中国 
.net 表示网络服务机构 .hk 中国香港 
.org 表示非营利性组织 .tw 中国台湾
.gov 表示政府机构  .us 美国 
.edu 表示教育机构  .jp 日本
.mil 表示军事机构 

DNS工作原理

随着计算机网络的快速发展,网络中的计算机数量也是随之快速增长,以前依靠hosts文件来实现主机名和IP地址之间的通信已经无法满足现状,DNS的出现提供了一个完整的解决方案

DNS服务采用C/S方式,域名和IP地址的维护工作全部在DNS服务端进行,用户无需再在本地手动维护hosts文件 
下面是通过DNS解析域名的工作过程

1、当需要DNS解析的时候,系统会向本地DNS服务器发出DNS解析请求,由本地DNS服务器进行域名和IP地址的解析工作 2、本地DNS服务器收到用户请求后,则会在自身的DNS数据库中进行查找匹配域名和IP对应的记录,如果找到则把结果返回给客户端,如果查不到,则把请求转发给根DNS服务器 3、根DNS服务器查到域名对应的顶级域,再由顶级域查找二级域,由二级域查找三级域,以此类推,直到找打需要解析的域名和IP地址,并把结果返回给本地DNS服务器 4、最终由本地DNS服务器把结果返回给客户端 5、如果经过查找依然无法查找到,则有本地DNS服务器返回给客户端解析错误信息


案例:访问的dns解析过程

wKioL1fyOJHwU3MrAACPfbdhIu8744.png

1、客户端需要解析com,客户端向本地DNS服务器发送解析请求 2、本地DNS发现无法解析,转发给根域服务器, 3、根域服务器根据请求域名对应的顶级的com,返回com的服务器地址, 4、本地DNS服务器向com域dns服务器发出解析请求 5com域服务器返回qq.com域服务器的地址 6、以此类推,本地DNS服务器向qq.com域dns服务器发出解析请求,直到在qq.com域dns服务器上面找到com所对应的IP地址 7、qq.com把查找到的域名对应IP地址信息返回给本地DNS服务器 8、最终再由本地DNS服务器把结果返回给客户端计算机

工作模式和端口

端口:TCP/53,UDP/53      //用户客户端查询,递归查询     TCP/953,UDP/953    //DNS主从同步 工作模式:C/S模式

资源记录

1、SOA:起始授权记录,Start of Authority Record
    每个区的开始处都包含,SOA定义了域的全局参数,进行整个域的管理,一个区有且仅有一个SOA记录
2、NS:Name Server 域名服务记录
    指定该域名由那个DNS服务器来解析,每个区在区根处至少包含一条NS记录
3、A:address记录,吧FQDN映射到IP地址,因为有此记录,所以DNS服务器能够解析FQDN域名对应的IP地址
4、PTR:反A记录,指针PRT记录把IP映射到FQDN,用于反向查询,通过IP地址,找到域名
5、CNAME:别名记录,记录创建特定FQDN的别名,用户可以使用CNAME记录来隐藏网络用户的实现细节
6、MX:邮件交换记录,为DNS指定邮件交换服务器

DNS服务器的安装

Bind是一款开放的源代码DNS服务器软件,是目前使用最广泛的DNS服务器软件

[root@localhost ~]# yum install -y bind bind-utils
用脚本在每台服务器上面安装Bind软件,并且初始化主配置文件
#!/bin/bash ##安装Bind服务 if [ ! -e /etc/init.d/named ];then        rpm -e --nodeps bind-utils &>/dev/null
        rpm -e --nodeps bind-libs &>/dev/null
        rpm -e --nodeps bind &>/dev/null
        rpm -e --nodeps bind-chroot &>/dev/null
        yum -y install bind bind-utils &>/dev/null && echo "Bind已安装成功,请稍等,初始化Bind主配置文件。。。" else        echo -------------------------------------------------
        echo "此台服务器Bind已安装,请退出........." sleep 1 fi ##初始化Bind配置文件 cd /etc/
sed -i -e 's/localhost;/any;/g' -e '/port/s/127.0.0.1/any/g' named.conf echo -------------------------------------------------
sleep 2 echo "初始化Bind配置文件已完成........."

关键文件

/etc/named.conf    #bind主配置文件
/etc/named.rfc1912.zones    #定义zone的文件
/etc/rc.d/init.d/named    #bind脚本文件
/etc/rndc.conf    #rndc配置文件
/usr/sbin/named-checkconf    #检测/etc/named.conf文件语法
/usr/sbin/named-checkzone    #检测zone和对应zone文件的语法
/usr/sbin/rndc    #远程dns管理工具
/usr/sbin/rndc-confgen    #生成rndc密钥
/var/named/named.ca    #根解析库
/var/named/named.localhost    #本地主机解析库
/var/named/slaves    #从文件夹 

named.conf配置文件

bind的主要配置文件包括named.conf和相应的区域文件,bind中各种配置都是更改这个文件来完成的,修改完成后重启生效

named.conf是bind的主要配置文件,里面存储了大量的bind自身的设置信息,bind启动时候会去检测该文件,读取文件的内容,如果文件不存在,或者里面语法错误,会导致启动失败

named.conf配置文件是有配置语句和注释组成,每条配置语句以分好“;”作为结束符,多条配置语句组成一个语句块;注释使用两个//作为注释符

named.conf配置文件所支持的所有配置语句

acl         定义一个主机匹配列表,用户访问控制权限
controls    定义rndc工具与bind服务进程的通信 include     把其他文件的内容包含进来
key         定义加密秘钥
logging     定义系统日志信息
lwres       把named配置为轻量级解析器
masters     定义主域列表
options     设置全局选项
server      定义服务器属性
trusted-keys定义信任的dnssec秘钥
view        定义视图
zone        定义区域

实战:配置一个正反向解析

1、核心配置文件的修改

[root@localhost ~]# vim /etc/named.conf  
options {
        listen-on port 53 { any; };   //修改成any        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };    //修改成any,谁都可以查询        recursion yes; 

2、正向解析配置zone文件指定

[root@localhost ~]# vim /etc/named.rfc1912.zones // 添加正向,反向解析zone指定 zone "qq.com" IN {      //域名        type master;    //type类型,master(主)        file "qq.com.zone";  //区域文件保存位置.zone文件位置,用实例来说明买个字段的意思        allow-update { none; };  //是否允许动态更新(DNS和DHCP结合是使用) };

zone "252.1.10.in-addr.arpa" IN {
        type master;
        file "252.1.10.rev";
        allow-update { none; };
}; 

3、建立zone文件记录文件

[root@localhost named]# cat qq.com.zone  $TTL 600 @   IN  SOA    qq.com.  root.qq.com. ( //@代表区域名,这里就是代表xuegod.cn,可以改写为xuegod.cn //IN Internet Name //SOA 权威结构,后面的dns.就是其实授权记录,有且仅有一条SOA //主机名,DNS名称 //代表DNS管理员的邮箱地址,有什么问题通知谁,@用.代替@有其他含义                20160321;    //序列号,手工改,同步用                1H;          //1天更新,多长时间请求更新                5M;          //一天联系上,过5个小时再试                1W;          //1周时间过期,一直联系不上时                10M )        //最短的有效期,10小时,不需要更新        IN      NS      qq.com.    //最好和上面同步,如果要写完整,可以写qq.com.后面的.一定要带上        IN      A       127.0.0.1  //主机头,这里填写主机头,注意要对我们上面的NS记录做一条主机记录        IN      MX 10   mail1
mail1   IN      A       10.1.252.96 www     IN      A       10.1.252.96 cname   IN      CNAME   www
*       IN      A       10.1.252.96 [root@localhost named]# cat 252.1.10.rev  $ttl   1D
@   IN  SOA qq.com. root.qq.com.    (
        20160321;
                1H;
                5M;
                1W;
                10M )
    IN  NS  qq.com. 96  IN  PTR com.      //PTR指针,反向解析记录

4、重启DNS服务

[root@localhost named]# service named restart
Stopping named:                                            [  OK  ]
Starting named:                                            [  OK  ] 

5、在客户端设置DNS服务器后测试

[root@localhost named]# nslookup  > com
Server:     10.1.252.97 Address:    10.1.252.97#53 Name:   com
Address: 10.1.252.96 > 10.1.252.96 Server:     10.1.252.97 Address:    10.1.252.97#53 96.252.1.10.in-addr.arpa    name = com.
> 

实战:配置DNS转发

wKioL1fyOYOiei13AABeuQv1WEg635.png

1)当本地DNS服务器(也是转发器)收到查询时,它会尝试使用它主持和缓存的主要和辅助区域解析该查询;
(2)如果不能使用本地数据解析查询,此时它作为客户端,会将查询转发给外网DNS服务器;
(3)本地DNS(转发器)收到客户端的请求后会等待一段很短的时间,等待来自外网DNS的应答;
(4)对于外网DNS来说,它接收到的查询请求是递归查询,此时,它自己需要向外层层迭代找到最终答案返回给转发器(此时转发器作为DNS客户端)
(5)转发器将外网DNS返回的查询结果送到客户端(非权威答案),完成解析过程。


注:转发的前提——接收转发请求的服务器(这里是外网DNS)必须能够为请求者(这里是本地DNS,也是转发器)做递归查询;

转发的类型:

(1)无条件转发:转发所有针对非本机负责解析的区域的请求; 
在主配置文件/etc/named.conf的全局选项中添加如下内容:

options {    
    forwarders { ip; };    #指明转发器是谁    forward only|first;    #only表示仅转发 ;first表示先进行转发,如果没查询到结果,那么它自己还会根据根提示向外迭代查询  }; 

(2)条件转发:仅转发对特定区域的请求(即转发域); 
在区域置文件/etc/named.rfc1912.zone中定义转发域:

zone "区域名称" IN {
    type forward;          #区域的类型为转发    forwarders {  ip; };   #指明转发器是谁     forward only|first;    #only表示仅转发 ;first表示先进行转发,如果没查询到结果,那么它自己还会根据根提示向外迭代查询 };

实例:配置转发服务器

我们按照上图当用户访问oa.qq.com,crm.qq.com在本地进行查询,当需要解析com就转发的外网

[root@localhost ]# yum install -y bind bind-utils [root@localhost ]# vim /etc/named.conf options {
        listen-on port 53 { any; };         #修改        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };           #修改        recursion yes;
        
        idnssec-enable no;                //改成no不检查来源头部        dnssec-validation no;        dnssec-lookaside auto;        forward first;          #only,仅仅转发,first,先查找再转发,实验效果,仅仅转发                forwarders { 192.168.211.128; };
……

wKioL1fyOknynmTkAAHzGKTjf1E535.jpg

实战:配置DNS主从

wKiom1fyOniTHoqSAACKozdvPDA223.png

上面我们已经讲过,一个域内的DNS服务器一般都需要两个,我们这里就进行主从配置和区域传送

从服务器配置文件

[root@localhost ]# vim /etc/named.conf options {
        listen-on port 53 { any; };         #修改监控地址        listen-on-v6 port 53 { any; };      #修改监控地址        ● ● ● ● ● ●
        allow-query     { any; };           #允许所有来查询        recursion yes;
        ● ● ● ● ● ●
        #dnssec-enable no;                  //改成no不检查来源头部        #dnssec-validation no;        #dnssec-lookaside auto;        ● ● ● ● ● ● 

时间同步主从都做

[root@localhost ~]# ntpdate 0.rhel.pool.ntp.org [root@localhost ~]# ntpdate 0.rhel.pool.ntp.org 

主配置

root@localhost ~]# vim /etc/named.rfc1912.zones
//主配置文件区域参数
zone "taobao.com" IN {
    type master;    file "taobao.com.zone";    allow-update { none; };    notify yes;        also-notify{ 192.168.211.136; }; }; 

从配置

[root@localhost ~]# vim /etc/named.rfc1912.zones //从配置文件区域参数 zone "taobao.com" IN {
        type slave;
        file "slaves/taobao.com.zone";
    masters { 192.168.211.128; };
}; 

wKioL1fyOsCRiu5wAABbdi3fH4s876.png

重启服务,查看目录下的文件

[root@localhost named]# ll /var/named/slaves/ total 4 -rw-r--r-- 1 named named 377 Oct  2 11:42 taobao.com.zone

实战:子域授权

二级域是我们的三级域就可以随意定义,联系公司各个部门,都应该有自己的服务器,因为公司上万人让一台DNS服务器去解析压力会很大,分成部门每个部门一台子域DNS解析服务器,就轻松很多,过程就是在父DNS服务器中定义区域解析条目


例: 
.<–根域 
.com <–顶级域(一级域) 
taobao.com <–二级域<–子域 
ops.taobao.com <–主机名<–子域<–子域

正向解析区域授权子域的方法

父域配置

在父主机上面的区域配置文件里面添加NS记录
[root@localhost ~]# vim /var/named/taobao.com.zone
$TTL    1D
@       IN      SOA     ns1.taobao.com.     ops.taobao.com. (
                        20161015;                        1H;                        5M;                        3D;                        12H;                        )
        IN      NS      ns1
Ns1     IN      A       127.0.0.1 oa      IN      A       192.168.211.136 //添如下内容
     IN      NS         ops     //添加一条NS记录将ops.taobao.com. 域授权ops管理
ops     IN      A       192.168.211.136  //对应上条的NS记录A记录 

子域配置(授权域)

在从服务器添加ops的子域区域
[root@localhost named]# vim /etc/named.rfc1912.zones //添加ops.taobao.com区域
zone "ops.taobao.com" 
阅读(1045) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:详解DHCP服务安装与管理

给主人留下些什么吧!~~