Linux基礎與應用實踐 課件 任務八 DNS服務器配置

Linux基礎與項目實踐任務八DNS服務器配置0203DNS服務安裝與配置DNS工作原理01DNS簡介04配置企業(yè)自己的DNS服務器DNS簡介PART01DNS系統(tǒng)的組成3DNS（DomainNameSystem，域名系統(tǒng)）是基于客戶/服務器模型設計的。從本質(zhì)上看，整個域名系統(tǒng)是以一個大的分布式數(shù)據(jù)庫的方式工作的。大多數(shù)Internet連接的組織都有一個域名服務器，每個服務器包含指向其他域名服務器的信息，結(jié)果是這些服務器形成一個大的協(xié)調(diào)工作的域名數(shù)據(jù)庫。每當一個應用需要將域名解析為IP地址時，這個應用便成為域名系統(tǒng)的一個客戶。這個客戶將待解析的域免放在一個DNS請求信息中，并將這個請求發(fā)給域名服務器。服務器從請求中取出域名，將它解析為對應的IP地址，然后在一個回答信息中將結(jié)果地址返回給應用。因此，可以將DNS系統(tǒng)分為三個部分。1）域名2）域名服務器3）解析器DNS域名4

在域名系統(tǒng)中，每臺計算機的域名由一系列用點分開的字母數(shù)字段組成。例如，某臺計算機的FQDN（FullQualifiedDomainName）為，采用的是一種層次化結(jié)構。FQDN的格式格式通常包括4個部分，分別是主機名.企業(yè)名.機構類型.地理域。以這個域名為例，.cn表示的是地理域，即中國，.edu表示網(wǎng)絡機構類型是教育網(wǎng)，tjtc是進行注冊時的企業(yè)（單位）名稱，要求是唯一的，以前有企業(yè)進行域名搶注，主要指的就搶注的就是這個，tjtc是天津職業(yè)大學在進行域名注冊時選擇的名稱。www是指的這個企業(yè)（單位）中的一臺主機，www即worldwideweb，通常是Web服務器所部署的主機。DNS域名5機構類型地理域域用途域用途域說明域說明com商業(yè)組織cc商業(yè)公司CN中國US美國edu教育組織biz商業(yè)CA加拿大UK英國net網(wǎng)絡組織coop企業(yè)FA法國JP日本mil軍事機構info信息服務IT意大利KR韓國gov政府機構name個人DE德國AU澳大利亞org非商業(yè)機構pro會計、律師CH瑞士RU俄羅斯int國際組織tv寬頻服務SG新加坡TW臺灣省museum博物館arpaIP地址樹ES西班牙QA卡塔爾常見機構類型和地理域信息DNS服務器類型6DNS服務器是一個分布式數(shù)據(jù)庫系統(tǒng)，理論上來說，全世界所有DNS數(shù)據(jù)庫應該是一致的。DNS服務器的類型主要有三種，分別是主域服務器、輔域服務器和Cachingonly域名服務器。1．主域服務器每個DNS域都一定要有一個主域服務器。主域服務器包含了本域內(nèi)所有主機名與其對應的IP地址、別名等信息。2．輔域服務器為了提高查詢速度以及提供信息冗余，通常會在一定的范圍或機構內(nèi)部署輔域服務器，輔域服務器通常不能配置域名，它的數(shù)據(jù)庫信息是與主域服務器同步獲取的。3．Cachingonly域名服務器Cachingonly服務器不提供任何關于區(qū)的權威信息，當用戶向它發(fā)出詢問時，僅僅轉(zhuǎn)發(fā)給其它的域名服務器，直到得到答案，并把答案在自己的Cache中保存一段時間，如果客戶發(fā)出同樣的詢問時，它直接用Cache中的信息來回答，無需詢問轉(zhuǎn)發(fā)給其它的域名服務器。Cachingonly域名服務器通常是為了減少DNS的傳輸量而建立。DNS工作原理PART02DNS工作機制8DNS服務的管理不是集中的，它的層次結(jié)構允許將整個管理任務分成多份，分別由每個子域自行管理，也就是說，DNS允許將子域授權給其他組織進行管理。這樣，被委托的子域必有自己的域名服務器，該子域的域名服務器維護屬于該子域的所有主機信息，并負責回答所有的相關查詢。采用委托管理的優(yōu)越性主要有以下優(yōu)點。l工作負載均衡。將DNS數(shù)據(jù)庫分配到各個子域的域名服務器上，大幅度降低了上級或頂級域名服務器進行名字查詢的負載。l提高了域名服務器的響應速度。負載均衡使得查詢的時間大幅度縮減。l提高了網(wǎng)絡帶寬的利用率。由于數(shù)據(jù)庫的分散性使得服務器與本地接近，減小了帶寬資源的浪費。DNS工作機制9DNS區(qū)域（Zone）

為了便于根據(jù)實際情況分散域名管理工作的負載，可將DNS域名劃分為區(qū)域來進行管理。區(qū)域是DNS服務器的管轄范圍，是由單個域或具有上下隸屬關系的緊密相鄰的多個子域組成一個管理單位。DNS服務器便是以區(qū)域為單位來管理域名的，而不是以域為單位。

一臺DNS服務器可以管理一個或多個區(qū)域，而一個區(qū)域也可以有多臺DNS服務器來管理。DNS允許DNS域名分成幾個區(qū)域（Zone），它存儲著有關一個或多個DNS域的名稱信息。在DNS服務器中必須先建立區(qū)域，再在區(qū)域中建立子域，以及在區(qū)域或子域中添加主機等各種記錄。DNS查詢模式10DNS的查詢模式主要有兩種，分別是遞歸查詢和迭代查詢。1．遞歸查詢（RecursiveQuery）DNS查詢模式11遞歸查詢流程描述如下：（1）客戶端向本機配置的本地域名服務器發(fā)起DNS域名查詢請求；（2）本地域名服務器收到請求后，會先查詢本地緩存，如果有記錄值會直接返回給客戶端；如果沒有記錄，則本地域名服務器會向根域名服務器發(fā)起請求；（3）根域名服務器收到請求后，會根據(jù)所要查詢域名中的后綴將所對應的域名服務器（如.com、.cn等）返回給本地域名服務器；（4）本地域名服務器根據(jù)返回結(jié)果向所對應的域名服務器發(fā)起查詢請求；（5）對應的域名服務器在收到DNS查詢請求后，也是先查詢自己的緩存，如果有所請求域名的解析記錄，則會直接將記錄返回給本地域名服務器，然后本地域名服務器再將記錄返回給客戶端，完成整個DNS解析過程。（6）如果本級域名服務器沒有記錄值，就會下一級域名對應的服務器地址返回給本地域名服務器，本地域名服務器再次對下一級域名服務器發(fā)起請求，如此類推，直到最終對應區(qū)域的權威域名服務器返回結(jié)果給本地域名服務器。然后本地域名服務器將記錄值返回給DNS客戶端，同時緩存本地查詢記錄，以便在TTL值內(nèi)用戶再次查詢時直接將記錄返回給客戶端。DNS查詢模式122．迭代查詢（IterativeQuery）DNS解析過程13

為了將一個域名解析成一個IP地址，客戶應用程序調(diào)用一個解析器的庫程序，將名字作為參數(shù)傳遞給它，形成DNS客戶，然后DNS客戶發(fā)送查詢請求給本地域名服務器，服務器首先在其管轄區(qū)域內(nèi)查找名字，名字找到后，把對應的IP地址返回給客戶。DNS服務安裝與配置PART03BIND簡介15BIND的全稱是BerkeleyInternetNameDomain，是美國加利福尼亞大學伯克利分校開發(fā)的一個域名服務器軟件包，Linux使用這個軟件來提供域名服務。BIND的服務端軟件是被稱作named的守護進程。BIND的主頁是。BIND的組成包括：1．named守護進程BIND的服務端軟件稱為named守護進程，其主要功能如下：l若查詢的主機名與本地區(qū)域信息中相應的資源記錄匹配，則使用該信息來解析主機名并為客戶機做出應答（UDP：53）。l若本地區(qū)域信息中沒有要查詢的主機名，默認會以遞歸方式查詢其他DNS服務器并將其響應結(jié)果緩存于本地。l執(zhí)行“區(qū)傳輸（zonetransfer）”，在服務器之間復制zone數(shù)據(jù)（TCP:53）。2．解析器庫程序解析器庫程序負責聯(lián)系DNS服務器實現(xiàn)域名的解析。3．命令執(zhí)行接口常用的DNS命令行執(zhí)行接口包括nslookup、host和dig等。BIND安裝16CentOS9系統(tǒng)默認并沒有安裝BIND組件，在系統(tǒng)安裝光盤中提供了相應的RPM包，在系統(tǒng)光盤的Packages目錄下使用ls命令查詢BIND組件，顯示結(jié)果如下：[root@officePackages]#lsbind*-l-r--r--r--.1rootroot5170044月292022bind-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot228454月292022bind-chroot-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot490654月292022bind-dnssec-doc-9.16.23-3.el9.noarch.rpm-r--r--r--.1rootroot1212674月292022bind-dnssec-utils-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot10982612月82021bind-dyndb-ldap-11.9-7.el9.x86_64.rpm-r--r--r--.1rootroot13009564月292022bind-libs-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot158214月292022bind-license-9.16.23-3.el9.noarch.rpm-r--r--r--.1rootroot2141604月292022bind-utils-9.16.23-3.el9.x86_64.rpmBIND安裝17與DNS服務相關的文件分類文件說明守護進程/usr/sbin/namedDNS服務守護進程管理工具/usr/sbin/rndcBIND的控制工具/usr/sbin/named-checkconf配置文件語法檢查工具/usr/sbin/named-checkzone區(qū)文件檢查工具systemd的服務配置單元/usr/lib/systemd/system/named.servicenamed服務單元配置文件/usr/lib/systemd/system/named-setup-mdc.service生成rndc所需要密鑰的單元配置文件配置文件/etc/named.conf主配置文件/var/named區(qū)數(shù)據(jù)庫文件存儲目錄文檔/usr/share/doc/bind/sample配置文件模板目錄域名服務器配置語法18主配置文件named.conf主配置文件named.conf可以使用以下3種風格的注釋。l/*C語言風格的注釋*/l//C++語言風格的注釋l#Shell語言風格的注釋主配置文件named.conf的配置語句配置語句說明acl定義IP地址的訪問控制列表controls定義RNDC命令使用的控制通道include將其他文件包含到本配置文件中key定義授權的安全密鑰logging定義日志的記錄規(guī)范options定義全局配置選項server定義遠程服務器的特征trusted-keys為服務器定義DNSSEC加密密鑰zone定義一個區(qū)聲明域名服務器配置語法19主配置文件named.conf常用的全局配置子句子句說明listen-on指定服務監(jiān)聽的IPv4網(wǎng)絡接口，默認監(jiān)聽本機所有IPv4網(wǎng)絡接口listen-on-v6指定服務監(jiān)聽的IPv6網(wǎng)絡接口，默認監(jiān)聽本機所有IPv6網(wǎng)絡接口recursionyes|no是否使用遞歸式DNS服務器，默認為yesdnssec-enableyes|no是否返回DNSSEC相關的資源記錄dnssec-validationyes|no指定確保資源記錄是經(jīng)過DNSSEC驗證為可信的，默認為yesmax-cache-size指定服務器緩存可以使用的最大內(nèi)存，默認值為32MBdirectory“path”定義服務器區(qū)配置文件的工作目錄，默認為/var/namedforwarders{IPaddr}定義轉(zhuǎn)發(fā)器，指定上游DNS服務器列表forwardonly|first指定如何使用轉(zhuǎn)發(fā)器，first表示優(yōu)先使用forwarders指定的DNS服務器做域名解析，如果查詢不到再使用本地DNS服務器做域名解析；only表示只使用forwarders指定的DNS服務器做域名解析，如果查詢不到則返回DNS客戶端查詢失敗域名服務器配置語法20主配置文件named.conf常用的區(qū)聲明子句子句說明typemaster|hint|slave說明一個區(qū)的類型：master說明一個區(qū)為主域名服務器hint說明一個區(qū)為啟動時初始化高速緩存的域名服務器slave說明一個區(qū)為輔助域名服務器file“filename”說明一個區(qū)域的信息源數(shù)據(jù)庫的文件名masters對于slave服務器，指定master服務器的地址域名服務器配置語法21訪問控制列表（ACL）就是一個被命名的地址匹配列表。使用訪問控制列表可以使配置簡單而清晰，一次定義之后可以在多處使用，不會使配置文件因為大最的IP地址而變得混亂。要定義訪問控制列表，可以傅acl語句來實現(xiàn)。acl語句的語法如下：aclacl_name{address-match_list;//用分號間隔的IP地址或CIDR}；acl語句在使用時要注意以下幾點：lacl是named.conf中的頂級語句，不能將其嵌入其他語句。l要使用用戶自定義的訪問控制列表，必須在使用之前定義。因為不可以在options語句里使用訪問控制列表，所以定義訪問控制列表的acl語句應該位于options語句之前。l為了便于維護管理員定義的訪問控制列表，可以將所有定義acl的語句存放在單獨的文件/etc/named/named.acls中，然后在主配置文件/etc/named.conf的開始處添加include“/etc/named/named.acls”配置行。域名服務器配置語法22可以使用ACL的配置語句語句適用范圍說明allow-queryoptions,zone指定哪些主機或網(wǎng)絡可以查詢本服務器上權威資源記錄，默認允許所有主機查詢allow-query-cacheoptions,zone指定哪些主機或網(wǎng)絡可以查詢本服務器上的非權威資源記錄（經(jīng)過遞歸查詢獲取的資源記錄），默認允許localhost和localnets查詢allow-transferoptions,zone指安哪些主機允許和本地服務器進行域傳輸，默認值是允許和所有主機進行域傳輸allow-updatezone指定哪些主機允許為主域名服務器提交動態(tài)DNS更新。默認為拒絕任何主機進行更新blackholeoptions指定不接收來自哪些主機的查詢請求和地址解析。默認值是none域名服務器配置語法23區(qū)文件定義了一個區(qū)的域名信息，通常也稱域名數(shù)據(jù)庫文件。區(qū)文件保存在BIND的工作目錄/var/named中。表中列出了/var/named目錄布局。目錄說明/var/namednamed服務的工作目錄。存放本地服務器的權威區(qū)數(shù)據(jù)庫文件。在named運行期間不能寫此目錄/var/named/slaves存放由主服務器傳輸而來的輔助服務器的區(qū)數(shù)據(jù)庫文件。在named運行期間能寫此目錄/var/named/dynamic存放動態(tài)數(shù)據(jù)，如動態(tài)DNS區(qū)文件或DNSSEC密鑰文件。在named運行期間能寫此目錄/var/named/data存放各種狀態(tài)文件和調(diào)試文件。在named運行期間能寫此目錄/var/named/chrootBIND的chrootjail環(huán)境根目錄域名服務器配置語法24標準資源記錄中的字段字段說明name資源記錄引用的域?qū)ο竺梢允且慌_單獨的主機也可以是整個域取值說明.根域@默認域，可以在文件中使用￥ORIGINdomain來說明默認域標準域名全域名必須以“.”結(jié)束，或是針對默認域@的相對域名空該記錄使用最后一個帶有名字的域?qū)ο髏tl(timetolive)生命字段。它以秒為單位定義該資源記錄中的信息存放在高速緩存中的時間長度，省略此字段的話表示使用$TTL指令指定的值IN將該記錄標識為一個InternetDNS資源記錄type指定資源記錄類型rdata指定與這個資源記錄有關的數(shù)據(jù)，數(shù)據(jù)字段的內(nèi)容取決于類型字段域名服務器配置語法25常見的標準資源記錄類型

類型說明區(qū)記錄SOA（StartofAuthority）SOA記錄標示一個授權區(qū)定義的開始SOA記錄后的所有信息是控制這個區(qū)的NS（NameServer）標識區(qū)的域名服務器以及授權子域基本記錄A（Address）用于將主機名轉(zhuǎn)換為IPv4地址AAAA（AddressIPv6）用于將主機名轉(zhuǎn)換為IPv6地址PRT（PointTeR）將IP地址轉(zhuǎn)換為主機名MX（MaileXchanger）郵件交換記錄。控制郵件的路由安全記錄KEY（PublicKey）儲存一個關于DNS名稱的公鑰NXT（Next）與DNSSEC一起使用，用于指出一個特定名稱不在域中SIG（Signatrue）指出帶簽名和身份認證的區(qū)信息可選記錄CNAME（CanonicalNAME）給定主機的別名，主機規(guī)范名在A記錄中給出SRV（Services）描述知名網(wǎng)絡服務的信息TXT（Text）注釋或非關鍵的信息配置企業(yè)自己的DNS服務器PART0427實驗目標?了解DNS服務器的作用?了解DNS服務器的類型?掌握DNS服務器的安裝?掌握DNS服務器的配置實驗任務描述任務七的實驗中，公司搭建了一個內(nèi)部使用的Web服務器，但是只能使用IP地址進行訪問，這樣不方便記錄，也與使用互聯(lián)網(wǎng)的方式不一樣。可以通過搭建一臺自己的DNS服務器，為公司內(nèi)部進行域名解析，使用域名訪問公司內(nèi)部的服務器。實驗環(huán)境要求?Windows桌面操作系統(tǒng)（建議使用Win10）?CentOS9操作系統(tǒng)實驗步驟28第一步：域名規(guī)劃。任務七的實驗中搭建的公司W(wǎng)eb服務器的地址為00。現(xiàn)在需要為公司規(guī)劃一個域名。因為是在公司內(nèi)部使用，所以可以自己來設置域名。為了便于實驗和理解，這里除了解析Web站點外，還添加了一些測試域名。域名配置如表所示。主機域名IP地址別名Web服務器00FTP服務器01

郵件服務器00

打印服務器10實驗步驟29第二步：安裝bind服務。前面課程里已經(jīng)講解了bind的安裝，可以查看一下當前系統(tǒng)中是否已完成bind軟件包的安裝，如圖所示。實驗步驟30第三步：啟動named服務，如圖所示。實驗步驟31第四步：配置named.conf文件，修改listen-on的參數(shù)為“any”，allow-query的參數(shù)為“any”，如圖所示。[root@office~]#vi/etc/named.conf

實驗步驟32第五步：定義解析區(qū)域。早期bind版本是直接在named.conf文件中進行區(qū)域的設置，這個版本是通過include文件加載相應區(qū)域文件，查看named.conf中的配置文件可以看到，如圖所示。實驗步驟33第六步：編輯named.rfc1912.zones文件，根據(jù)規(guī)劃，添加和兩個區(qū)域配置內(nèi)容，如圖所示。[root@office~]#vi/etc/named.rfc1912.zones實驗步驟34第七步：在/var/named/目錄下創(chuàng)建正向解析文件.zone和mymailnet.zone。因為當前沒有這兩個區(qū)的的配置文件，需要重新寫。也可以使用系統(tǒng)中提供的模板，簡化編寫操作。[root@office~]#cd/var/named[root@officenamed]#lsdatadynamicnamed.canamed.emptynamed.localhostnamed.loopbackslaves[root@officenamed]#cpnamed.localhost.zone[root@officenamed]#cpnamed.localhost.zone實驗步驟35第八步：修改.zone文件。[root@officenamed]#vi.zone文件內(nèi)容如圖所示。實驗步驟36第九步：修改.zone文件。[root@officenamed]#vimymail.net