Linux網(wǎng)絡(luò)操作系統(tǒng)項目教程（歐拉-麒麟）課件 （含思政）項目12 配置與管理DNS服務(wù)器

項目12

配置與管理DNS服務(wù)器《Linux網(wǎng)絡(luò)操作系統(tǒng)項目教程（歐拉/麒麟）（微課版）（第5版）》“十四五”職業(yè)教育國家規(guī)劃教材能力要求CAPACITY理解DNS的域名空間結(jié)構(gòu)。0103掌握DNS查詢模式。02掌握常規(guī)DNS服務(wù)器的安裝與配置方法。04掌握DNS域名解析過程。項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內(nèi)容導(dǎo)航CONTENTS一、項目知識準(zhǔn)備認(rèn)識域名空間DNS（DomainNameService，域名服務(wù)）是Internet/Intranet中最基礎(chǔ)也是非常重要的一項服務(wù)，它提供了網(wǎng)絡(luò)訪問中域名和IP地址的相互轉(zhuǎn)換。DNS命名系統(tǒng)采用層次的邏輯結(jié)構(gòu)，如同一棵倒置的樹。一、項目知識準(zhǔn)備DNS服務(wù)器的分類、根域服務(wù)器DNS服務(wù)器分為主DNS服務(wù)器、從DNS服務(wù)器、轉(zhuǎn)發(fā)DNS服務(wù)器和惟緩存DNS服務(wù)器4類。根服務(wù)器主要用來管理互聯(lián)網(wǎng)的主目錄，最早是IPV4，全球只有13臺（這13臺IPv4根域名服務(wù)器名字分別為“A”至“M”），1個為主根服務(wù)器在美國。其余12個均為輔根服務(wù)器，其中9個在美國，歐洲2個，位于英國和瑞典，亞洲1個位于日本。一、項目知識準(zhǔn)備掌握域名解析過程1．DNS域名解析的工作原理DNS域名解析的工作過程如圖所示。假設(shè)客戶機(jī)使用電信ADSL（AsymmetricDigitalSubscriberLine，非對稱數(shù)字用戶線路）接入Internet，電信為其分配的DNS服務(wù)器地址為0，域名解析過程如下:①客戶端向本地DNS服務(wù)器0直接查詢的域名。②本地DNS無法解析此域名，它先向根域服務(wù)器發(fā)出請求，查詢.com的DNS地址。③根域DNS管理.com、.net、.org等頂級域名的地址解析，它收到請求后，把解析結(jié)果返回給本地的DNS。④本地DNS服務(wù)器0得到查詢結(jié)果后，接著向管理.com域的DNS服務(wù)器發(fā)出進(jìn)一步的查詢請求，要求得到163.com的DNS地址。一、項目知識準(zhǔn)備掌握域名解析過程1．DNS域名解析的工作原理⑤.com域把解析結(jié)果返回給本地DNS服務(wù)器0。⑥本地DNS服務(wù)器0得到查詢結(jié)果后，接著向管理163.com域的DNS服務(wù)器發(fā)出查詢具體主機(jī)IP地址的請求（www），要求得到滿足要求的主機(jī)IP地址。⑦163.com把解析結(jié)果返回給本地DNS服務(wù)器0。⑧本地DNS服務(wù)器得到了最終的查詢結(jié)果，它把這個結(jié)果返回給客戶端，從而使客戶端能夠和遠(yuǎn)程主機(jī)通信。一、項目知識準(zhǔn)備掌握域名解析過程2．正向解析與反向解析（1）正向解析。正向解析是指域名到IP地址的解析過程。（2）反向解析。反向解析是從IP地址到域名的解析過程。反向解析的作用為服務(wù)器的身份驗證。項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內(nèi)容導(dǎo)航CONTENTS二、項目設(shè)計與準(zhǔn)備項目需求準(zhǔn)備一共4臺計算機(jī)，其中3臺是Linux計算機(jī)，1臺是Windows10計算機(jī)，如表所示。主

機(jī)

名操作系統(tǒng)IP地址角色及網(wǎng)絡(luò)連接模式DNS服務(wù)器：Server01EulerOS22.03LTS/24主DNS服務(wù)器；VMnet1DNS服務(wù)器：Server02EulerOS22.03LTS/24從DNS、緩存DNS、轉(zhuǎn)發(fā)DNS等；VMnet1Linux客戶端：Client1EulerOS22.03LTS0/24Linux客戶端；VMnet1Windows客戶端：Client3Windows100/24Windows客戶端；VMnet1項目知識準(zhǔn)備項目設(shè)計與準(zhǔn)備項目實施項目實錄：Linux系統(tǒng)安裝與基本配置內(nèi)容導(dǎo)航CONTENTS三、項目實施任務(wù)12-1安裝與啟動DNSBIND是一款實現(xiàn)DNS服務(wù)器的開放源碼軟件。BIND能夠運(yùn)行在當(dāng)前大多數(shù)的操作系統(tǒng)平臺之上。目前，BIND軟件由Internet軟件聯(lián)合會（InternetSoftwareConsortium，ISC）這個非營利性機(jī)構(gòu)負(fù)責(zé)開發(fā)和維護(hù)。2．安裝BIND軟件包使用yum命令安裝BIND服務(wù)[root@Server01～]#yumcleanall //安裝前先清除緩存[root@Server01～]#yuminstallbindbind-chroot-y三、項目實施任務(wù)12-1安裝與啟動DNS3.DNS服務(wù)的啟動、停止與重啟，加入開機(jī)自啟動[root@Server01～]#systemctlstartnamed;systemctlstopnamed[root@Server01～]#systemctlrestartnamed;systemctlenablenamed三、項目實施任務(wù)12-2掌握BIND配置文件一般的DNS配置文件分為全局配置文件、主配置文件和正反向解析區(qū)域聲明文件。1.認(rèn)識全局配置文件全局配置文件位于/etc目錄下，使用命令cat命令查看，注意“-n”是顯示行號。[root@Server01～]#cat/etc/named.conf-n…… 略options{ listen-onport53{;}; //指定BIND偵聽的DNS查詢請求的本

//機(jī)IP地址及端口

listen-on-v6port53{::1;}; //限于IPv6directory"/var/named"; //指定區(qū)域配置文件所在的路徑

dump-file "/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt";allow-query{localhost;}; //指定接收DNS查詢請求的客戶端recursionyes;dnssec-enableyes;dnssec-validationyes; //改為no可以忽略SELinux影響dnssec-lookasideauto;……};三、項目實施任務(wù)12-2掌握BIND配置文件//以下用于指定BIND服務(wù)的日志參數(shù)logging{channeldefault_debug{file"data/named.run";severitydynamic;};};zone"."IN{ //用于指定根服務(wù)器的配置信息，一般不能改動

typehint;file"named.ca";};include"/etc/named.zones";//指定主配置文件，一定根據(jù)實際修改include"/etc/named.root.key";三、項目實施任務(wù)12-2掌握BIND配置文件//以下用于指定BIND服務(wù)的日志參數(shù)logging{channeldefault_debug{file"data/named.run";severitydynamic;};};zone"."IN{ //用于指定根服務(wù)器的配置信息，一般不能改動

typehint;file"named.ca";};include"/etc/named.zones";//指定主配置文件，一定根據(jù)實際修改include"/etc/named.root.key";options配置段屬于全局性的設(shè)置，常用的配置項命令及功能如下。①directory：用于指定named守護(hù)進(jìn)程的工作目錄，各區(qū)域正反向搜索解析文件和DNS根服務(wù)器地址列表文件（named.ca）應(yīng)放在該配置項指定的目錄中。②allow-query{}：與allow-query{localhost;}功能相同。另外，還可使用地址匹配符來表達(dá)允許的主機(jī)。③listen-on：設(shè)置named守護(hù)進(jìn)程監(jiān)聽的IP地址和端口。④forwarders{}：用于定義DNS轉(zhuǎn)發(fā)器。在設(shè)置了轉(zhuǎn)發(fā)器后，所有非本域的和在緩存中無法找到的域名查詢，可由指定的DNS轉(zhuǎn)發(fā)器來完成解析工作并做緩存。三、項目實施任務(wù)12-2掌握BIND配置文件2.認(rèn)識主配置文件主配置文件位于/etc目錄下，可將named.rfc1912.zones復(fù)制為全局配置文件中指定的主配置文件，本書中是/etc/named.zones。[root@Server01~]#cp-p/etc/named.rfc1912.zones/etc/named.zones[root@Server01~]#cat/etc/named.rfc1912.zoneszone"localhost.localdomain"IN{ typemaster; //主要區(qū)域

file"named.localhost"; //指定正向查詢區(qū)域配置文件

allow-update{none;};};…… //略zone"27."IN{ //反向解析區(qū)域

typemaster;file"named.loopback"; //指定反向解析區(qū)域配置文件

allow-update{none;};};三、項目實施任務(wù)12-2掌握BIND配置文件（1）Zone區(qū)域聲明①主域名服務(wù)器的正向解析區(qū)域聲明格式為（樣本文件為named.localhost）zone"區(qū)域名稱"IN{typemaster;file"實現(xiàn)正向解析的區(qū)域文件名";allow-update{none;};};②從域名服務(wù)器的正向解析區(qū)域聲明格式為zone"區(qū)域名稱"IN{typeslave;file"實現(xiàn)正向解析的區(qū)域文件名";masters{主域名服務(wù)器的IP地址;};};三、項目實施任務(wù)12-2掌握BIND配置文件反向解析區(qū)域的聲明格式與正向相同，只是file所指定的要讀的文件不同，另外就是區(qū)域的名稱不同。若要反向解析x.y.z網(wǎng)段的主機(jī)，則反向解析的區(qū)域名稱應(yīng)設(shè)置為。（反向解析區(qū)域樣本文件為named.loopback）三、項目實施任務(wù)12-2掌握BIND配置文件（2）根區(qū)域文件/var/named/named．ca/var/named/named.ca是一個非常重要的文件，其包含了Internet的頂級域名服務(wù)器的名字和地址。利用該文件可以讓DNS服務(wù)器找到根DNS服務(wù)器，并初始化DNS的緩沖區(qū)。當(dāng)DNS服務(wù)器接到客戶端主機(jī)的查詢請求時，如果在Cache中找不到相應(yīng)的數(shù)據(jù)，就會通過根服務(wù)器進(jìn)行逐級查詢。/var/named/named.ca文件的主要內(nèi)容如圖所示：（一）案例環(huán)境及需求某校園網(wǎng)要架設(shè)一臺DNS服務(wù)器負(fù)責(zé)域的域名解析工作。DNS服務(wù)器的FQDN為，IP地址為。要求為以下域名實現(xiàn)正反向域名解析服務(wù)。

MX記錄

另外，為設(shè)置別名為。三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例（二）配置過程配置過程包括全局配置文件、主配置文件和正反向區(qū)域解析文件的配置。1.編輯全局配置文件/etc/named．conf文件該文件在/etc目錄下。把options選項中的偵聽IP（）改成any，把dnssec-validationyes改為no；把允許查詢網(wǎng)段allow-query后面的localhost改成any。在“include”語句中指定主配置文件為named.zones。三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例修改后相關(guān)內(nèi)容如下：[root@Server01~]#vim/etc/named.conf listen-onport53{any;}; listen-on-v6port53{::1;}; directory"/var/named"; dump-file"/var/named/data/cache_dump.db"; statistics-file"/var/named/data/named_stats.txt"; memstatistics-file"/var/named/data/named_mem_stats.txt"; allow-query{any;}; recursionyes; dnssec-enableyes; dnssec-validationno; dnssec-lookasideauto;……include"/etc/named.zones"; //必須更改！！include"/etc/named.root.key";三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例2．配置主配置文件named.zones使用vim/etc/named.zones編輯增加以下內(nèi)容(在任務(wù)12-2中已將/etc/named.rfc1912.zones復(fù)制為全局配置文件中指定的主配置文件/etc/named.zones)。[root@Server01~]#vim/etc/named.zoneszone""IN{typemaster;file".zone";allow-update{none;};};

zone"10.168.192."IN{typemaster;file"192.168.10.zone";allow-update{none;};};三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例3．修改bind的區(qū)域配置文件（1）創(chuàng)建.zone正向區(qū)域文件正向區(qū)域文件位于/var/named目錄下，為編輯方便可先將樣本文件named.localhost復(fù)制到.zone（加“p”參數(shù)的目的是保持文件屬性），再對.zone編輯修改。[root@Server01~]#cd/var/named[root@Server01named]#cp-pnamed.localhost.zone[root@Server01named]#vim/var/named/.zone$TTL1D@INSOA@.(1997022700;serial //該文件的版本號三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例續(xù)上

28800;refresh //更新時間間隔

14400;retry //重試時間間隔

3600000;expiry //過期時間

86400);minimum //最小時間間隔，單位是秒@ IN NS .@ IN MX 10 .dns IN A mail IN A slave IN A www IN A ftp IN A web IN CNAME .①正反向區(qū)域文件的名稱一定要與/etc/named.zones文件中zone區(qū)域聲明中指定的文件名一致。②正反向區(qū)域文件的所有記錄行都要頂頭寫，前面不要留有空格，否則會導(dǎo)致DNS服務(wù)器不能正常工作三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例說明如下：①第一個有效行為SOA資源記錄。該記錄的格式如下：@INSOAorigin.contact.（）;②@是該域的替代符，例如，.zone文件中的@代表。③origin表示該域的主域名服務(wù)器的FQDN，用“.”結(jié)尾表示這是個絕對名稱。例如，.zone文件中的origin為.。④contact表示該域的管理員的電子郵件地址。它是正常E-mail地址的變通，將@變?yōu)椤?”。例如，.zone文件中的contact為.。所以上面例子中SOA有效行（@INSOA@.）可以改為（@INSOA..）。

三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例說明如下：⑤行“@INNS.”說明該域的域名服務(wù)器，至少應(yīng)該定義一個。⑥行“@INMX10.”用于定義郵件交換器，其中10表示優(yōu)先級別，數(shù)字越小，優(yōu)先級別越高。（2）創(chuàng)建192.168.10.zone反向區(qū)域文件反向區(qū)域文件位于/var/named目錄下，為方便編輯，可先將樣本文件/etc/named/named.loopback復(fù)制到192.168.10.zone，再對192.168.10.zone編輯修改。4．設(shè)置防火墻放行，設(shè)置主配置文件和區(qū)域文件的屬組為named（前面如果加“-p”參數(shù)拷貝的，此步驟可省略）[root@Server01named]#firewall-cmd--permanent--add-service=dns[root@Server01named]#firewall-cmd--reload[root@Server01named]#chgrpnamed/etc/named.conf/etc/named.zones[root@Server01named]#chgrpnamed.zone192.168.10.zone5．重新啟動DNS服務(wù)，添加開機(jī)自啟動功能。[root@Server01named]#systemctlrestartnamed;systemctlenablenamed三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例說明如下：6．在Client2（Windows10）上測試（詳見任務(wù)6）①將Client2的TCP/IP屬性中的DNS設(shè)置，如圖所示。②打開命令提示符，使用nslookup來測試，如圖所示。三、項目實施任務(wù)12-3配置主DNS服務(wù)器實例下面是公司內(nèi)部只作緩存使用的域名服務(wù)器（惟緩存DNS服務(wù)器），對外部到達(dá)的網(wǎng)絡(luò)請求一概拒絕，只需要在Server02上配置好/etc/named.conf文件中的以下項就可以，其他內(nèi)容參看任務(wù)12-3相關(guān)內(nèi)容。①在Server02上安裝DNS服務(wù)器。②配置/etc/named.conf,配置完成后使用“cat/etc/named.conf-n”命令顯示，其中參數(shù)“-n”在顯示時自動加上行號。③設(shè)置防火墻放行，重新啟動DNS服務(wù)，添加開機(jī)自啟動功能。④將將Client2的首選DNS服務(wù)器設(shè)置為進(jìn)行測試。這樣，一個簡單的緩存域名服務(wù)器就架設(shè)成功了。一般緩存域名服務(wù)器都是ISP（InternetServiceProvider，因特網(wǎng)服務(wù)提供商）或者大公司才會使用。三、項目實施任務(wù)12-4配置緩存DNS服務(wù)器BIND軟件包提供了3個DNS測試工具：nslookup、dig和host。其中dig和host是命令行工具，而nslookup命令既可以使用命令行模式也可以使用交互模式。下面在客戶端Client1（）上進(jìn)行測試，前提是必須保證與RHEL8-1服務(wù)器的通信暢通。1．nslookup命令[root@Client1~]#vim/etc/resolv.confnameservernameserversearch[root@client1~]#nslookup //運(yùn)行nslookup命令>serverDefaultserver:Address:#53> //正向查詢，查詢域名所對應(yīng)的IP地址Server: Address: #53Name: Address:三、項目實施任務(wù)12-5測試DNS的常用命令及常見錯誤續(xù)上> //反向查詢，查詢IP地址所對應(yīng)的域名Server: Address: #5392. name=.>setall //顯示當(dāng)前設(shè)置的所有值Defaultserver:Address:#53Setoptions:novc nodebug nod2search recursetimeout=0 retry=3 port=53querytype=A class=INsrchlist=三、項目實施任務(wù)12-5測試DNS的常用命令及常見錯誤續(xù)上//查詢域的NS資源記錄配置>settype=NS//此行中type的取值還可以為SOA、MX、CNAME、A、PTR及any等>Server: Address: #53 nameserver=.>exit[root@client1~]#三、項目實施任務(wù)12-5測試DNS的常用命令及常見錯誤2．dig命令dig（domaininformationgroper）是一個靈活的命令行方式的域名查詢工具，常用于從域名服務(wù)器獲取特定的信息。例如，通過dig命令查看域名的信息。[root@Client1~]#dig;<<>>DiG9.9.4-RedHat-9.9.4-50.el7<<>>;;globaloptions:+cmd;;Gotanswer:三、項目實施任務(wù)12-5測試DNS的常用命令及常見錯誤3．host命令host命令用來做簡單的主機(jī)名的信息查詢。在默認(rèn)情況下，host只在主機(jī)名和IP地址之間進(jìn)行轉(zhuǎn)換。下面是一些常見的host命令的使用方法。//正向查詢主機(jī)地址[root@Client1~]#host//反向查詢IP地址對應(yīng)的域名[root@Client1~]