Linux應(yīng)用基礎(chǔ)教程（基于CentOS 7）課件 第11章 DHCP和DNS服務(wù)

第11章

DHCP和DNS服務(wù)本章內(nèi)容要點(diǎn)DHCP協(xié)議DHCP服務(wù)DNS的相關(guān)概念DNS服務(wù)工作原理BIND的安裝和啟動(dòng)BIND的配置語法配置常用的域名服務(wù)器BIND的測(cè)試及工具

DNS客戶端的配置2024年5月29日2CreativeCommonsLicense（BY-NC-SA）本章學(xué)習(xí)目標(biāo)熟悉DHCP協(xié)議、掌握DHCP工作過程學(xué)會(huì)配置DHCP服務(wù)器及中繼代理了解大型網(wǎng)絡(luò)中DHCP服務(wù)部署理解DNS的相關(guān)概念和工作原理熟悉DNS查詢方式和域名解析過程掌握BIND的安裝、啟動(dòng)和配置語法掌握常用域名服務(wù)配置掌握BIND的測(cè)試工具的使用2024年5月29日3CreativeCommonsLicense（BY-NC-SA）DHCP服務(wù)2024年5月29日4CreativeCommonsLicense（BY-NC-SA）DHCP的概念和工作過程為主機(jī)或設(shè)備分配IP地址的方法DHCP協(xié)議簡(jiǎn)介DHCP的運(yùn)行機(jī)制DHCP的相關(guān)概念DHCP的工作過程2024年5月29日CreativeCommonsLicense（BY-NC-SA）5DHCP簡(jiǎn)介DHCP（DynamicHostConfigurationProtocol）動(dòng)態(tài)主機(jī)配置協(xié)議是TCP／IP協(xié)議簇中的一種DHCP是由因特網(wǎng)工程任務(wù)組（IETF）設(shè)計(jì)的，詳盡的協(xié)議內(nèi)容參考RFC2131

和RFC1541DHCP協(xié)議主要是用來自動(dòng)為局域網(wǎng)中的客戶機(jī)器分配TCP/IP信息的網(wǎng)絡(luò)協(xié)議，并完成每臺(tái)客戶機(jī)的TCP/IP協(xié)議配置TCP/IP信息包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，以及DNS服務(wù)器等。DHCP的前身是BOOTP（引導(dǎo)協(xié)議），DHCP可以說是BOOTP的增強(qiáng)版本2024年5月29日CreativeCommonsLicense（BY-NC-SA）6使用DHCP的優(yōu)點(diǎn)減少管理員的工作量避免IP沖突減少收入錯(cuò)誤的可能能方便地更改網(wǎng)絡(luò)的IP網(wǎng)段移動(dòng)計(jì)算機(jī)后不用重新配置網(wǎng)絡(luò)信息提高IP地址的利用率2024年5月29日CreativeCommonsLicense（BY-NC-SA）7DHCP的運(yùn)行機(jī)制2024年5月29日CreativeCommonsLicense（BY-NC-SA）8IP地址1IP地址2IP地址3DHCP

數(shù)據(jù)庫IP地址2IP地址1DHCP客戶機(jī)

通過DHCP服務(wù)器動(dòng)態(tài)配置IP地址DHCP

服務(wù)器非DHCP客戶機(jī)

配置靜態(tài)IP地址DHCP客戶機(jī)通過DHCP服務(wù)器動(dòng)態(tài)配置IP地址DHCP的相關(guān)概念（1）DHCP客戶是指一臺(tái)通過DHCP服務(wù)器來獲得網(wǎng)絡(luò)配置參數(shù)的主機(jī)，通常是不同的客戶機(jī)或工作站。DHCP服務(wù)器是指提供網(wǎng)絡(luò)配置參數(shù)給DHCP客戶的主機(jī)。DHCP中繼代理是指在DHCP服務(wù)器和DHCP客戶之間轉(zhuǎn)發(fā)DHCP消息的主機(jī)或路由器。若要使用DHCP服務(wù)器支持跨越多重路由的子網(wǎng)，則路由器可能需要硬件升級(jí)。路由器必須支持RFC1533、RFC1534、RFC1541和RFC1542。2024年5月29日CreativeCommonsLicense（BY-NC-SA）9DHCP的相關(guān)概念（2）作用域是指一個(gè)網(wǎng)絡(luò)中的所有可分配的IP地址的連續(xù)范圍。作用域主要用來定義網(wǎng)絡(luò)中單一的物理子網(wǎng)的IP地址范圍。作用域是服務(wù)器用來管理分配給網(wǎng)絡(luò)客戶的IP地址的主要手段。超級(jí)作用域是指一組作用域的集合，它用來實(shí)現(xiàn)同一個(gè)物理子網(wǎng)中包含多個(gè)邏輯IP子網(wǎng)的情況。在超級(jí)作用域中只包含一個(gè)成員作用域或子作用域的列表。然而超級(jí)作用域并不用于設(shè)置具體的范圍。子作用域的各種屬性需要單獨(dú)設(shè)置。2024年5月29日CreativeCommonsLicense（BY-NC-SA）10DHCP的相關(guān)概念（3）排除范圍是指作用域內(nèi)從DHCP服務(wù)中排除的有限IP地址序列。排除范圍確保在這些范圍內(nèi)的任何地址都不由DHCP服務(wù)器分配給DHCP客戶機(jī)。地址池定義DHCP作用域并應(yīng)用排除范圍之后，剩余的地址在作用域內(nèi)形成可用地址池。地址池內(nèi)的地址由DHCP服務(wù)器在網(wǎng)絡(luò)上動(dòng)態(tài)指派給DHCP客戶機(jī)。保留指通過DHCP服務(wù)器的永久地址租約指派。保留確保了子網(wǎng)上指定的硬件設(shè)備始終可使用相同的IP地址。2024年5月29日CreativeCommonsLicense（BY-NC-SA）11DHCP的相關(guān)概念（4）租用是指DHCP客戶從DHCP服務(wù)器上獲得并臨時(shí)占用某IP地址的過程。租約是指客戶機(jī)可使用的被DHCP服務(wù)器指派的IP地址的時(shí)間長度，在這個(gè)時(shí)間范圍內(nèi)客戶機(jī)可以使用所獲得的IP地址。當(dāng)客戶機(jī)獲得IP地址時(shí)租約被激活。在租約過期之前，客戶機(jī)一般需要通過服務(wù)器更新其地址租約。當(dāng)租約期滿或在服務(wù)器上刪除時(shí)租約停止。租約期限決定租約何時(shí)期滿以及客戶需要用服務(wù)器更新它的次數(shù)。2024年5月29日CreativeCommonsLicense（BY-NC-SA）12DHCP的工作過程

——DHCP客戶端首次登錄網(wǎng)絡(luò)2024年5月29日CreativeCommonsLicense（BY-NC-SA）13IP租用請(qǐng)求和提供2024年5月29日CreativeCommonsLicense（BY-NC-SA）14IP選擇和確認(rèn)2024年5月29日CreativeCommonsLicense（BY-NC-SA）15DHCP的工作過程

——DHCP租約的更新過程2024年5月29日CreativeCommonsLicense（BY-NC-SA）16DHCP的續(xù)約確認(rèn)2024年5月29日CreativeCommonsLicense（BY-NC-SA）17DHCPREQUESTSourceIPAddress=7Dest.IPAddress=08RequestedIPAddress=7HardwareAddress=08004....DHCPACKSourceIPAddress=08Dest.IPAddress=7OfferedIPAddress=7ClientHardwareAddress=08004...SubnetMask=LengthofLease=8daysServerIdentifier=08DHCPOption:Router=DHCPClientDHCPServerDHCP租約的更新自動(dòng)更新租約客戶租約期限已過去50%，自動(dòng)嘗試更新租約當(dāng)期限過去87.5%發(fā)出廣播再次更新租約若租約已經(jīng)到期(100%)，客戶機(jī)必須立即停止使用當(dāng)前的IP地址。然后DHCP客戶機(jī)開始新的DHCP租約過程，嘗試租用新的IP地址手工更新租約Windows：ipconfig/renew和

/releaseLinux：dhclient-r<interface>2024年5月29日CreativeCommonsLicense（BY-NC-SA）18CentOS7下的DHCP服務(wù)安裝和啟動(dòng)配置文件語法DHCP服務(wù)配置舉例大型網(wǎng)絡(luò)的DHCP部署2024年5月29日CreativeCommonsLicense（BY-NC-SA）19DHCP服務(wù)概覽軟件包：dhcp服務(wù)類型：由Systemd啟動(dòng)的守護(hù)進(jìn)程配置單元：/usr/lib/systemd/system/dhcpd.service守護(hù)進(jìn)程：/usr/sbin/dhcpd端口：67（bootps）、68（bootpc）配置文件：/etc/dhcpd.conf、/var/lib/dhcpd/dhcpd.leases相關(guān)軟件包：dhclient2024年5月29日CreativeCommonsLicense（BY-NC-SA）20DHCP的安裝和啟動(dòng)安裝#yuminstalldhcp配置文件/etc/dhcpd.conf（默認(rèn)不存在）/usr/share/doc/dhcp-*/dhcpd.conf.example（模板）檢查語法#dhcpd-t啟動(dòng)#systemctlenabledhcpd.service#systemctlstartdhcpd.service2024年5月29日CreativeCommonsLicense（BY-NC-SA）21DHCP服務(wù)的配置文件語法DHCP服務(wù)的配置文件中的三類陳述聲明：描述網(wǎng)絡(luò)的布局，描述客戶，提供客戶的地址，或把一組參數(shù)應(yīng)用到一組聲明中。參數(shù)：表明如何執(zhí)行任務(wù)，是否要執(zhí)行任務(wù)，或?qū)⒛男┚W(wǎng)絡(luò)配置選項(xiàng)發(fā)送給客戶。選項(xiàng)：配置DHCP的可選參數(shù)，以option關(guān)鍵字開頭。2024年5月29日CreativeCommonsLicense（BY-NC-SA）22DHCP配置文件中的聲明shared-network：用于告知DHCP服務(wù)器某些IP子網(wǎng)其實(shí)是共享同一個(gè)物理網(wǎng)絡(luò)。subnet：用于提供足夠的信息來闡明一個(gè)IP地址是否屬于該子網(wǎng)。range：對(duì)于任何一個(gè)需要?jiǎng)討B(tài)分配IP地址的subnet語句里，至少要有一個(gè)range語句，用于說明要分配的IP地址范圍。host：為特定的DHCP客戶機(jī)提供IP網(wǎng)絡(luò)參數(shù)。group：為一組參數(shù)提供聲明。2024年5月29日CreativeCommonsLicense（BY-NC-SA）23DHCP配置文件中的參數(shù)ddns-update-style：配置DHCP-DNS互動(dòng)更新模式default-lease-time：指定默認(rèn)地址租期max-lease-time：指定最長的地址租期hardware：指定硬件接口類型及硬件地址fixed-address：為DHCP客戶指定IP地址filename：指定啟動(dòng)時(shí)載入的初始啟動(dòng)文件next-server：指定初始啟動(dòng)文件存放的主機(jī)2024年5月29日CreativeCommonsLicense（BY-NC-SA）24DHCP配置文件中的選項(xiàng)domain-name：為客戶指明DNS名字domain-name-servers：為客戶指明DNS服務(wù)器的IP地址host-name：為客戶指定主機(jī)名time-offset：為客戶設(shè)置與格林威治時(shí)間的偏移時(shí)間（秒）ntp-servers：為客戶設(shè)置網(wǎng)絡(luò)時(shí)間服務(wù)器的IP地址routers：為客戶設(shè)置默認(rèn)網(wǎng)關(guān)subnet-mask：為客戶設(shè)置子網(wǎng)掩碼broadcast-address：為客戶設(shè)置廣播地址2024年5月29日CreativeCommonsLicense（BY-NC-SA）25基本DHCP服務(wù)器配置舉例

——/etc/dhcpd.conf2024年5月29日CreativeCommonsLicense（BY-NC-SA）26ddns-update-stylenone;ignoreclient-updates;default-lease-time18000;max-lease-time36000;subnetnetmask{optionrouters;optionsubnet-mask;optiondomain-name"ls-al.me";optiondomain-name-servers52,;range0000;class"pxeclients"{matchifsubstring(optionvendor-class-identifier,0,9)="PXEClient";next-server52;filename"linux-install/pxelinux.0";}hostcentos2{hardwareethernet00:A0:78:8E:9E:AA;fixed-address50;}}大型網(wǎng)絡(luò)的DHCP部署在有多個(gè)網(wǎng)絡(luò)接口的服務(wù)器上實(shí)現(xiàn)DHCP多作用域管理使用DHCP超級(jí)作用域?qū)崿F(xiàn)多作用域管理設(shè)置DHCP中繼代理2024年5月29日CreativeCommonsLicense（BY-NC-SA）27設(shè)置DHCP中繼代理（1）在中繼代理上安裝包含dhcrelay的dhcp軟件包#yuminstalldhcp開啟內(nèi)核路由轉(zhuǎn)發(fā)#echo"net.ipv4.ip_forward=1">>/etc/sysctl.conf#sysctl-p2024年5月29日CreativeCommonsLicense（BY-NC-SA）28設(shè)置DHCP中繼代理（2）配置自定義的dhcrealy.service單元配置文件#cp/usr/lib/systemd/system/dhcrelay.service/etc/systemd/system/#vi/etc/systemd/system/dhcrelay.service將配置行ExecStart=/usr/sbin/dhcrelay-d--no-pid修改為如下行（指定網(wǎng)絡(luò)接口和上游DHCP服務(wù)器）ExecStart=/usr/sbin/dhcrelay-d--no-pid–ieno1677773654#systemctldaemon-reload啟動(dòng)DHCP中繼代理#systemctlenabledhcrealy.service#systemctlstartdhcrealy.service2024年5月29日CreativeCommonsLicense（BY-NC-SA）29DHCP客戶端配置Windows的DHCP客戶端配置Linux的DHCP客戶端配置2024年5月29日CreativeCommonsLicense（BY-NC-SA）30DNS相關(guān)概念2024年5月29日31CreativeCommonsLicense（BY-NC-SA）IP地址和主機(jī)名轉(zhuǎn)換的方法Host表是簡(jiǎn)單的文本文件（/etc/hosts文件），其中存放了主機(jī)名和IP地址的映射表，它通過在該文件中搜索來匹配主機(jī)名和IP地址。NIS（NetworkInformationSystem）是由SunMicrosystems開發(fā)的，它將主機(jī)表用作NIS主機(jī)數(shù)據(jù)庫，從它這里，客戶機(jī)可以得到他們所需的主機(jī)表信息。DNS（DomainNameServer）是一種新的主機(jī)名和IP地址的轉(zhuǎn)換機(jī)制，它使用一種分層的分布式數(shù)據(jù)庫來處理Internet上的成千上萬個(gè)主機(jī)和IP地址的轉(zhuǎn)換。2024年5月29日CreativeCommonsLicense（BY-NC-SA）32DNS簡(jiǎn)介DNS（DomainNameService，域名系統(tǒng)）是一個(gè)分布式數(shù)據(jù)庫系統(tǒng)，其作用將域名解析成IP地址。域名系統(tǒng)允許用戶使用友好的名字而不是難以記憶的數(shù)字——IP地址來訪問Internet上的主機(jī)。DNS是基于客戶／服務(wù)器模型設(shè)計(jì)的。DNS協(xié)議RFC1034—DNS概念和工具RFC1035—DNS實(shí)現(xiàn)及其DNS的基本協(xié)議2024年5月29日CreativeCommonsLicense（BY-NC-SA）33DNS系統(tǒng)的組成域名空間標(biāo)識(shí)一組主機(jī)并提供它們的有關(guān)信息的樹結(jié)構(gòu)的詳細(xì)說明域名服務(wù)器保持和維護(hù)域名空間中數(shù)據(jù)的程序Stub解析器解析器是簡(jiǎn)單的程序或子程序庫，它從服務(wù)器中提取信息以響應(yīng)對(duì)域名空間中主機(jī)的查詢，用于DNS客戶2024年5月29日CreativeCommonsLicense（BY-NC-SA）34域名空間的分層結(jié)構(gòu)（正向）根域RootDomain頂級(jí)域top-leveldomain，TLD各級(jí)子域Subdomain2024年5月29日CreativeCommonsLicense（BY-NC-SA）35域名空間的分層結(jié)構(gòu)（反向）反向域（）2024年5月29日CreativeCommonsLicense（BY-NC-SA）36DNS服務(wù)器類型

——權(quán)威性服務(wù)器主域名服務(wù)器（PrimaryNameServer）是區(qū)數(shù)據(jù)的最根本的來源，是從本地硬盤文件中讀取域的數(shù)據(jù)的，它是所有輔域名服務(wù)器進(jìn)行域傳輸?shù)脑础］o域名服務(wù)器（SecondaryNameServer）通過“區(qū)傳輸（zonetransfer）”從主服務(wù)器復(fù)制區(qū)數(shù)據(jù)，輔域名服務(wù)器可以提供必需的冗余服務(wù)。所有的輔域名服務(wù)器都應(yīng)該寫在這個(gè)域的NS記錄中。殘根域名服務(wù)器（StubNameServer）與輔域名服務(wù)器類似，但只復(fù)制NS記錄而不復(fù)制主機(jī)數(shù)據(jù)。秘密域名服務(wù)器（StealthNameServer）并沒有列在這個(gè)域的NS記錄里，僅對(duì)于知道其IP地址的人可見。2024年5月29日CreativeCommonsLicense（BY-NC-SA）37DNS服務(wù)器類型

——非權(quán)威性服務(wù)器惟高速緩存服務(wù)器（Caching-onlyServer）從一個(gè)“根線索文件”加載一些根服務(wù)器的地址，并緩存這些由根服務(wù)器解析的結(jié)果并不斷累計(jì)?？梢詫⑺盏降男畔⒋鎯?chǔ)下來，并再將其提供給其它的用戶進(jìn)行查詢，直到這些信息過期。配置中沒有任何本地的授權(quán)域的配置信息。轉(zhuǎn)發(fā)服務(wù)器（ForwardingServer）代替眾多客戶執(zhí)行查詢并創(chuàng)建一個(gè)大的緩存。2024年5月29日CreativeCommonsLicense（BY-NC-SA）38使用多種類型的

DNS域名服務(wù)器所有的服務(wù)器均設(shè)置高速緩沖服務(wù)器來提供名字的解答一些域的主服務(wù)器可以是另外一些域的輔助域名服務(wù)器一個(gè)域只能創(chuàng)建一個(gè)主域名服務(wù)器，另外至少應(yīng)該創(chuàng)建二個(gè)輔助域名服務(wù)器在網(wǎng)絡(luò)上設(shè)置高速緩沖服務(wù)器可以減少主服務(wù)器和輔助域名服務(wù)器的裝載量，以此來減少網(wǎng)絡(luò)傳輸轉(zhuǎn)發(fā)服務(wù)器一般用于用戶不希望站點(diǎn)內(nèi)的服務(wù)器直接和外部服務(wù)器通訊的情況2024年5月29日CreativeCommonsLicense（BY-NC-SA）39DNS區(qū)域（Zone）為了便于根據(jù)實(shí)際情況來分散域名管理工作的負(fù)荷，將DNS域名空間劃分為區(qū)域來進(jìn)行管理。區(qū)域是DNS服務(wù)器的管轄范圍，是由單個(gè)域或由具有上下隸屬關(guān)系的緊密相鄰的多個(gè)子域組成的一個(gè)管理單位。DNS服務(wù)器便是以區(qū)域?yàn)閱挝粊砉芾碛蛎臻g的，而不是以域?yàn)閱挝?。一臺(tái)DNS服務(wù)器可以管理一個(gè)或多個(gè)區(qū)域，而一個(gè)區(qū)域也可以有多臺(tái)DNS服務(wù)器來管理。DNS允許DNS名域空間分成幾個(gè)區(qū)域（Zone），它存儲(chǔ)著有關(guān)一個(gè)或多個(gè)DNS域的名稱信息。在DNS服務(wù)器中必須先建立區(qū)域，再在區(qū)域中建立子域，以及在區(qū)域或子域中添加主機(jī)等各種記錄。2024年5月29日CreativeCommonsLicense（BY-NC-SA）40域的委托管理DNS服務(wù)的管理不是集中的，它的層次結(jié)構(gòu)允許將整個(gè)管理任務(wù)分成多份，分別由每個(gè)子域自行進(jìn)行管理，也就是說，DNS允許將子域授權(quán)給其他組織進(jìn)行管理。采用委托管理的優(yōu)越性，主要表現(xiàn)在：工作負(fù)載分散。將DNS數(shù)據(jù)庫分配到各個(gè)子域的域名服務(wù)器上，大幅度降低了上級(jí)或頂級(jí)域名服務(wù)器進(jìn)行名字查詢的負(fù)載。提高了域名服務(wù)器的響應(yīng)速度。負(fù)擔(dān)共享使得查詢的時(shí)間大幅度縮減。提高了網(wǎng)絡(luò)帶寬的利用率。由于數(shù)據(jù)庫的分散性使得服務(wù)器與本地接近，減小了帶寬資源的浪費(fèi)。2024年5月29日CreativeCommonsLicense（BY-NC-SA）41域名注冊(cè)當(dāng)我們的子網(wǎng)需要連接Internet并且需要由自己管理這個(gè)域時(shí)，就需要進(jìn)行域名注冊(cè)選擇域名時(shí)必須符合RCF1123中的規(guī)定獲得域名和域名注冊(cè)的信息并進(jìn)行域名注冊(cè)互聯(lián)網(wǎng)絡(luò)信息中心（NIC）：/中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）：/域名傳播DNS服務(wù)器周期性地和其他DNS服務(wù)器上的各種數(shù)據(jù)庫同步，并檢查其他服務(wù)器上的新表項(xiàng)域名注冊(cè)過程不是瞬時(shí)完成的，但是一個(gè)新域名大約會(huì)在3～4天內(nèi)完成傳播，能在世界各地獲得相關(guān)信息2024年5月29日CreativeCommonsLicense（BY-NC-SA）42DNS查詢模式遞歸查詢（RecursiveQuery）（給出最終結(jié)果）當(dāng)收到DNS工作站的查詢請(qǐng)求后，本地DNS服務(wù)器只會(huì)向DNS工作站返回兩種信息：要么是在該DNS服務(wù)器上查到的結(jié)果、要么是查詢失敗。當(dāng)本地名字服務(wù)器中找不到名字時(shí)，該DNS服務(wù)器絕對(duì)不會(huì)主動(dòng)地告訴DNS工作站另外的DNS服務(wù)器的地址，而是由域名服務(wù)器系統(tǒng)自行完成名字和IP地址轉(zhuǎn)換，即利用服務(wù)器上的軟件來請(qǐng)求下一個(gè)服務(wù)器。如果其他名字服務(wù)器解析該查詢失敗，就由告知客戶查詢失敗。

疊代查詢（IterativeQuery）（給出最佳結(jié)果）

當(dāng)收到DNS工作站的查詢請(qǐng)求后，如果在DNS服務(wù)器中沒有查到所需數(shù)據(jù)，該DNS服務(wù)器便會(huì)告訴DNS工作站另外一臺(tái)DNS服務(wù)器的IP地址，然后，再由DNS工作站自行向此DNS服務(wù)器查詢，依次類推一直到查到所需數(shù)據(jù)為止。如果到最后一臺(tái)DNS服務(wù)器都沒有查到所需數(shù)據(jù)，則通知DNS工作站查詢失敗。2024年5月29日CreativeCommonsLicense（BY-NC-SA）43域名解析過程2024年5月29日CreativeCommonsLicense（BY-NC-SA）44一般而言，域名解析分為本域解析和跨域解析兩種，當(dāng)實(shí)施跨域解析時(shí)，一般本地的域名服務(wù)器會(huì)直接向根域名服務(wù)器發(fā)出查詢，這樣的操作流程會(huì)保證比較高的查詢效率。Stub解析器所有程序都可使用的通用解析程序庫由gethostbyname()和其它glibc功能提供不具備更高性能的訪問控制能力，例如簽發(fā)或加密數(shù)據(jù)包可以查詢由glibc支持的任何名稱服務(wù)讀取/etc/nsswitch.conf來決定查詢名稱服務(wù)的順序默認(rèn)配置：hosts:filesdnsNIS域名和DNS域名通常有所不同，這樣會(huì)簡(jiǎn)化故障排除，避免名稱沖突2024年5月29日CreativeCommonsLicense（BY-NC-SA）45客戶端解析程序（測(cè)試工具）DNS特有的解析程序dighostnslookup讀取的配置文件控制文件/etc/host.conf配置文件

/etc/resolv.conf2024年5月29日CreativeCommonsLicense（BY-NC-SA）46/etc/host.conf常用選項(xiàng)Order

指定使用不同的名字解析機(jī)制的順序hosts：試圖通過查找本地/etc/hosts文件來解析名字bind：使用DNS服務(wù)器來解析名字nis：使用NIS服務(wù)來解析主機(jī)名字Alert：以off和on為參數(shù)。若為on，則任何試圖騙取IP地址的行為都通過syslog工具進(jìn)行記錄Nospoof

：若在反向解析找出與指定的地址匹配的主機(jī)名，則對(duì)返回的地址進(jìn)行解析以確認(rèn)它確實(shí)與您的查詢地址相匹配。為了防止“騙取”IP地址，通過指定nospoofon來允許此功能2024年5月29日CreativeCommonsLicense（BY-NC-SA）47/etc/host.conf舉例說明order選項(xiàng)指明先使用DNS再使用Host表解析主機(jī)名Nospoof選項(xiàng)表明要檢查IP欺騙Alert選項(xiàng)表明若檢測(cè)出IP欺騙，則將警告信息進(jìn)行記錄2024年5月29日CreativeCommonsLicense（BY-NC-SA）48order bind hostsnospoofonalerton/etc/resolv.conf常用選項(xiàng)nameserver：列出域名服務(wù)器的IP地址最多可以出現(xiàn)三個(gè)nameserver指令domain

：定義默認(rèn)的域名(主機(jī)的本地域名)options

rotate

：打開客戶端輪詢查詢選項(xiàng)。當(dāng)nameserver中定義多個(gè)域名服務(wù)器時(shí)，進(jìn)行輪詢查詢。nochecknames：當(dāng)需要使用帶有下劃線“_”的域名時(shí)，需設(shè)置該項(xiàng)。2024年5月29日CreativeCommonsLicense（BY-NC-SA）49/etc/resolv.conf舉例說明首先使用nameserver參數(shù)定義了三個(gè)名稱服務(wù)器Domain參數(shù)定義了缺省域Options參數(shù)定義了不執(zhí)行RFC952名字檢測(cè)且執(zhí)行查詢輪詢2024年5月29日CreativeCommonsLicense（BY-NC-SA）50nameservernameservernameserver54domain optionsnochecknamesrotateCentOS7下的DNS服務(wù)2024年5月29日51CreativeCommonsLicense（BY-NC-SA）BIND簡(jiǎn)介Linux下架設(shè)DNS服務(wù)器通常是使用BIND（BerkeleyInternetNameDomainService）程序來實(shí)現(xiàn)，是一款實(shí)現(xiàn)DNS服務(wù)器的開放源碼軟件在一個(gè)穩(wěn)定可靠的體系上建構(gòu)域名和IP地址關(guān)聯(lián)對(duì)DNSRFC標(biāo)準(zhǔn)的參數(shù)實(shí)現(xiàn)可以在chroot環(huán)境下運(yùn)行BIND是互聯(lián)網(wǎng)上使用最廣泛的DNS服務(wù)器主頁：/software/bind2024年5月29日CreativeCommonsLicense（BY-NC-SA）52DNS服務(wù)概覽軟件包：bind、bind-utils、bind-chroot服務(wù)類型：由Systemd啟動(dòng)的守護(hù)進(jìn)程配置單元：

/usr/lib/systemd/system/named.service守護(hù)進(jìn)程：/usr/sbin/named,/usr/sbin/rndc端口：53(domain),953(rndc)配置文件：(chroot目錄：/var/named/chroot/)/etc/named.conf/etc/rndc.key/var/named/*2024年5月29日CreativeCommonsLicense（BY-NC-SA）53與DNS服務(wù)相關(guān)的軟件包bind：DNS服務(wù)器軟件包。bind-utils：DNS測(cè)試工具，包括dig，host與nslookup等。bind-chroot：使BIND運(yùn)行在指定的目錄中的安全增強(qiáng)工具。2024年5月29日CreativeCommonsLicense（BY-NC-SA）54BIND的安裝和啟動(dòng)安裝#yuminstallbindbind-utils啟動(dòng)#systemctlstartnamed#systemctlenablenamed查看域名服務(wù)器的運(yùn)行狀態(tài)#rndcstatus2024年5月29日CreativeCommonsLicense（BY-NC-SA）55CentOS7中

BIND的默認(rèn)配置默認(rèn)提供一個(gè)惟高速緩存服務(wù)器的配置2024年5月29日CreativeCommonsLicense（BY-NC-SA）56分類文件說明配置文件/etc/named.conf主配置文件/etc/named.rfc1912.zones被主配置文件包含的符合rfc1912區(qū)聲明文件密鑰文件/etc/rndc.key被rndc使用的key文件。若沒有rndc.conf文件（默認(rèn)沒有），rndc命令將使用此文件中的key/etc/named.root.key包含根區(qū)的DNSSECkey/etc/named.iscdlv.key包含ISCDLV（）的DNSSECkey區(qū)數(shù)據(jù)庫文件/var/named/named.ca根服務(wù)器線索文件/var/named/named.localhostlocaldomain正向區(qū)數(shù)據(jù)庫文件，用于將名字localhost.localdomain轉(zhuǎn)換為本地回送IPV4地址

/var/named/named.loopback反向區(qū)數(shù)據(jù)庫文件，用于將本地回送IPV4地址

轉(zhuǎn)換為名字localhost/var/named/named.empty廣播地址的反向區(qū)數(shù)據(jù)庫文件BIND的配置語法2024年5月29日57CreativeCommonsLicense（BY-NC-SA）/etc/named.conf中常用的

配置語句定義客戶端匹配列表名稱——acl有四個(gè)無需定義即可使用的默認(rèn)匹配列表名稱any（所有主機(jī)）none（不匹配任何主機(jī)）localhost（本地主機(jī)）localnets（本地網(wǎng)絡(luò)上的所有主機(jī)）定義全局配置選項(xiàng)——options定義區(qū)聲明——zone包含其他文件到本文件——include2024年5月29日CreativeCommonsLicense（BY-NC-SA）58/etc/named.conf

——全局配置選項(xiàng)（options）常用的配置子句定義服務(wù)器區(qū)配置文件的工作目錄（directory）定義查詢和傳輸?shù)脑L問控制迭代:allow-query{match-list;};遞歸:allow-recursion{match-list;};傳輸:allow-transfer{match-list;};2024年5月29日CreativeCommonsLicense（BY-NC-SA）59options(

配置子句； 配置子句；);/etc/named.conf

——定義區(qū)聲明（zone）常用的配置子句說明一個(gè)區(qū)的類型：

typemaster|hint|slave

說明本區(qū)的數(shù)據(jù)庫文件位置：

file“filename”2024年5月29日CreativeCommonsLicense（BY-NC-SA）60zone“zone-name”IN( type 子句; file 子句;

其他子句;);區(qū)數(shù)據(jù)庫文件概述區(qū)數(shù)文件通常也稱（域名|區(qū)）數(shù)據(jù)庫文件區(qū)文件定義了一個(gè)區(qū)的所有域名信息區(qū)文件的組成資源記錄（ResourceRecords，RR）每個(gè)區(qū)文件都是由SOA

RR開始，隨后應(yīng)該包含NSRR對(duì)于正向解析文件還包括ARR,MXRR,CNAMERR等而對(duì)于反向解析文件還包括PTRRR等區(qū)文件指令簡(jiǎn)化區(qū)文件結(jié)構(gòu)（

$INCLUDE、$GENERATE）聲明資源記錄中使用的值（

$ORIGIN、$TTL）2024年5月29日CreativeCommonsLicense（BY-NC-SA）61區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式name字段.

：根域@：默認(rèn)域在/etc/named.conf的zone聲明中指定可以在文件中使用$ORIGINdomain來說明默認(rèn)域標(biāo)準(zhǔn)域名或是以“.”結(jié)束的完全域名或是一個(gè)相對(duì)域名空：使用前一個(gè)RR記錄中的name字段值2024年5月29日CreativeCommonsLicense（BY-NC-SA）62[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式（續(xù)）ttl字段RR的壽命字段定義該資源記錄中的信息存放在高速緩存中的時(shí)間長度若本RR省略此字段使用由$TTL區(qū)文件指令的生存周期值使用本區(qū)文件的SOARR中的最小ttl值通常為了減少錄入量，將$TTL86400放在區(qū)塊文件的第一行，可以省略每個(gè)RR的TTL2024年5月29日CreativeCommonsLicense（BY-NC-SA）63[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式（續(xù)2）type字段SOA(StartOfAuthority)A(Address)CNAME(CanonicalNAME)MX(MaileXchanger)NS(NameServer)PTR(domainnamePoinTeR)HINFO(HostINFOrmation)2024年5月29日CreativeCommonsLicense（BY-NC-SA）64[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——資源記錄（RR）格式（續(xù)3）rdata字段指定與這個(gè)資源記錄有關(guān)的數(shù)據(jù)數(shù)據(jù)字段的內(nèi)容取決于類型字段以括號(hào)（）包含的多個(gè)值的rdata可以分寫成多行，如SOARR2024年5月29日CreativeCommonsLicense（BY-NC-SA）65[name] [ttl] IN <type> <rdata>區(qū)數(shù)據(jù)庫文件

——SOARR的格式與說明Hostname：存放本資料的主機(jī)名字Contact：管理域的管理員的郵件地址，因?yàn)椤癅”在文件中有特殊含義，所以郵件地址abc@寫為

2024年5月29日CreativeCommonsLicense（BY-NC-SA）66[name][ttl]IN SOA Hostname Contact (

Serial；本區(qū)信息文件的版本號(hào)

Refresh；輔助域名服務(wù)器多長時(shí)間更新數(shù)據(jù)庫

Retry；若輔助域名服務(wù)器更新數(shù)據(jù)失敗，多長時(shí)間再試

Expire；若輔助域名服務(wù)器無法從主服務(wù)器上更新數(shù)據(jù)，原有的數(shù)據(jù)何時(shí)失效

Minimum；若資源記錄欄未設(shè)定ttl，則以這里提供的時(shí)間為準(zhǔn)

)區(qū)數(shù)據(jù)庫文件注意事項(xiàng)應(yīng)該為區(qū)文件選擇一個(gè)能夠反映管轄域的文件名如：管轄域的文件為.zone一般無需從空文件開始創(chuàng)建區(qū)文件可以復(fù)制bind軟件包安裝的現(xiàn)有區(qū)文件或案例模板，然后修改注釋使用匯編語言模式（;）若沒有使用“點(diǎn)（.）”來終止域名，BIND會(huì)在這個(gè)名稱后補(bǔ)充管轄域（即認(rèn)為相對(duì)域名）修改了區(qū)文件后，不要忘記遞增SOARR的序列號(hào)碼并重載named服務(wù)2024年5月29日CreativeCommonsLicense（BY-NC-SA）67域名服務(wù)器的配置舉例2024年5月29日68CreativeCommonsLicense（BY-NC-SA）配置主域名服務(wù)器編輯主配置文件/etc/named.conf配置全局選項(xiàng)使用include包含配置文件include"/etc/named.rfc1912.zones";include"/etc/named.conf.zones";編輯配置文件/etc/named.conf.zones添加區(qū)聲明配置正向解析數(shù)據(jù)庫文件配置反向解析數(shù)據(jù)庫文件2024年5月29日CreativeCommonsLicense（BY-NC-SA）69參見教材的配置步驟主域名服務(wù)器配置技巧簡(jiǎn)單負(fù)載均衡為同一個(gè)主機(jī)名設(shè)置多個(gè)IP地址泛域名的解析將一個(gè)域名下的所有主機(jī)、子域都被解析到同一個(gè)IP地址上加入一條以“*”為name字段的A資源記錄直接解析域名為域名本身設(shè)置A資源記錄使

的訪問成為可能2024年5月29日CreativeCommonsLicense（BY-NC-SA）70配置輔助域名服務(wù)器不能在同一臺(tái)計(jì)算機(jī)上同時(shí)配置同一個(gè)域的主域名服務(wù)器和輔助域名服務(wù)器。主配置文件與主域名服務(wù)器的配置一致修改/etc/named.conf.zones添加區(qū)聲明typeslave;file"slaves/.hosts"masters{52;};2024年5月29日CreativeCommonsLicense（BY-NC-SA）71參見教材的配置步驟域名轉(zhuǎn)發(fā)器配置選項(xiàng)forwarders指定要把查詢請(qǐng)求轉(zhuǎn)發(fā)到的遠(yuǎn)程域名服務(wù)器的IPforwarders{ip_addr[portip_port];[ip_addr[portip_port];...]}例如forwarders{15;0;};forward設(shè)置域名轉(zhuǎn)發(fā)的工作方法forwardonly：使用forwardersDNS服務(wù)器做域名解析，如果查詢不到則返回DNS客戶端查詢失敗forwardfirst：優(yōu)先使用forwardersDNS服務(wù)器做域名解析，如果查詢不到再使用本地DNS服務(wù)器做域名解析2024年5月29日CreativeCommonsLicense（BY-NC-SA）72域名轉(zhuǎn)發(fā)器種類全局轉(zhuǎn)發(fā)器options{recursionyes;forwarder{15;0;};forwardonly;......};區(qū)轉(zhuǎn)發(fā)器zone“”IN{typeforward;forwarders{;};......};2024年5月29日CreativeCommonsLicense（BY-NC-SA）73配置區(qū)域委派

配置步驟在父服務(wù)器中，添加一個(gè)NS記錄在父服務(wù)器中，添加一個(gè)A記錄來完成授權(quán)在子服務(wù)器中，創(chuàng)建包含子域數(shù)據(jù)的區(qū)塊文件粘合記錄如果子服務(wù)器的規(guī)范名稱位于它管理的子域中，A記錄就被稱為“粘合（glue）”記錄2024年5月29日CreativeCommonsLicense（BY-NC-SA）74DNS測(cè)試及工具2024年5月29日75CreativeCommonsLicense（BY-NC-SA）DNS測(cè)試準(zhǔn)備配置好客戶配置文件

/etc/resolv.conf啟動(dòng)服務(wù)：servicenamedrestart工具熟練地使用dig、host或nslookup中的任意一個(gè)校驗(yàn)DNS服務(wù)器配置在另外一個(gè)shell中運(yùn)行tail-f/var/log/messages排錯(cuò)在編輯了配置文件后總是應(yīng)該運(yùn)行#servicenamedconfigtestconfigtest會(huì)運(yùn)行兩個(gè)語法檢查工具2024年5月29日CreativeCommonsLicense（BY-NC-SA）76單獨(dú)運(yùn)行兩個(gè)語法檢查工具主配置文件檢查named-checkconf-tROOTDIR/path/to/named.conf默認(rèn)檢查/etc/named.conf文件示例：named-checkconfnamed-checkconf-t/var/named/chroot區(qū)文件檢查named-checkzoneorigin/path/to/zonefile示例：named-checkzonels-al.me/var/named/ls-al.me.zonenamed-checkzonels-al.me/var/named/chroot/var/named/ls-al.me.zone2024年5月29日CreativeCommonsLicense（BY-NC-SA）77域名測(cè)試程序——dig正向查詢：dig反向查詢：dig-x62SOA查詢：dig-tsoa郵件交換器查詢：

dig-tmx查詢一切：

dig-taxfrls.me.@52跟蹤DNS查詢：dig+trace2024年5月29日CreativeCommonsLicense（BY-NC-SA）78域名測(cè)試程序——host正向查詢：host反向查詢：host62SOA查詢：host-tsoaMX查詢：host-tmxNS迭代查詢：host-rtnsNS查詢：host-tnsls-al.me查詢一切：host-als-al.me2024年5月29日CreativeCommonsLicense（BY-NC-SA）79配置訪問控制2024年5月29日80CreativeCommonsLicense（BY-NC-SA）地址匹配列表（match-list）使用分號(hào)間隔的IP地址列表可以與基于主機(jī)的訪問控制安全性指令共同使用格式IP地址：網(wǎng)絡(luò)地址：192.168.0.CIDR：192.168.0/24使用嘆號(hào)（?。﹣泶硐喾吹慕Y(jié)果按順序檢查匹配列表，找到第一個(gè)匹配后就停止示例：

{;192.168.0.;!/24;};2024年5月29日CreativeCommonsLicense（BY-NC-SA）81訪問控制列表（ACL）訪問控制列表（ACL）就是一個(gè)被命名的地址匹配列表一般可以用來代替匹配列表（允許嵌套！）使用訪問控制列表可以使配置簡(jiǎn)單而清晰，一次定義之后可以在多處使用定義ACL的最好位置

/etc/named.conf文件的開始處，include"/etc/named.conf.acls";使用用戶自己定義的訪問控制列表必須在使用之前定義acl是named.conf中的頂級(jí)語句，不能將其嵌入其他的語句2024年5月29日CreativeCommonsLicense（BY-NC-SA）82Acl語句舉例2024年5月29日CreativeCommonsLicense（BY-NC-SA）83acl"trusted"{1;};acl"classroom"{/24;trusted;