DNS的基本概念

在日常生活中人們習慣使用域名訪問服務器，但機器間互相只識別IP地址，域名與IP地址之間是多對一的關系，一個IP地址不一定只對應一個域名，且一個域名可以對應一個IP，它們之間的轉換作業稱為域名決議，域名決議需要由專門的域名決議服務器來完成，整個程序是自動進行的

DNS的定義

• DNS是“域名系統”的英文縮寫，它作為將域名和IP地址相互映射的一個分布式資料庫，能夠使人更方便的訪問互聯網
• DNS服務使用TCP和UDP的53號埠，TCP的53號埠用于連接DNS服務器，UDP的53埠用于決議NDS
• 每以及域名長度的限制是63個字符，域名總長度則不能超過253個字符

DNS域名結構

• 正向決議：根據域名查找對應的IP地址
• 反向決議：根據IP地址查找對應的域名
• DNS系統的分布式資料結構
  http://www.sina.com.cn./
  htto://主機名.子域.二級域.頂級域.根域/
  
• 樹狀結構最頂層稱為根域，用"."表示，相應服務器稱為根服務器，整個域名空間決議權都歸根服務器所有，但根服務器無法承擔龐大的負載，采用"委派"機制，在根域下設定了一些頂級域，然后將不同頂級域決議權分別委派給相應的頂級域服務器，如果將com域的決議權委派給com域服務器，以后但凡根服務器收到以com結尾的域名決議請求，都會轉發給com域服務器，同樣道理，為了減輕頂級域的壓力，又下設了若干二級域，二級域下又設三級域或主機
• 根域
  • 位于域名空間最頂層，一般用一個"."表示
• 頂級域
  • 一般代表一種型別的組織機構或國家地區
  • 如 .net（網路供應商）、 .com（工商企業）、 .org（團體組織、 .edu（教育機構）、 .gov（政府部門）、 .cn（中國國家域名）、 .uk（英國國家域名）
• 二級域
  • 用來標明頂級域內的一個特定的組織，國家頂級域下面的二級域名由國家網路部門統一管理
  • 如 .cn頂級域名下面設定的二級域名： .com.cn 、 .net.cn 、 .edu.cn
• 子域
  • 二級域下所創建的各級域統稱為子域，各個組織或用戶可以自由申請注冊自己的域名
• 主機
  • 主機位于域名空間最下層，就是一臺具體的計算機
  • 如www、mail 都是具體的計算機名字，可用www.sina.com.cn. 、mail.sina.com.cn. 來表示，這種表示方式稱為FQDN（完全合格域名），也是這臺主機在域名中的全名

DNS服務器型別

• 主域名服務器：負責維護一個區域的所有域名資訊，是特定的所有資訊的全網資訊源，資料可以修改，構建主域名服務器時，需要自行建立所負責區域的地址資料檔案
• 從域名服務器：當主域名服務器出現故障、關倍訓負載過重時，從域名服務器作為備份服務提供域名決議服務，從域名服務器提供的決議結果不是由自己決定的，而是來自于主域名服務器，構建從域名服務器時，需要指定主域名服務器的位置，以便服務器能自動同步區域的地址資料庫
• 快取域名服務器：只提供域名決議結果的快取功能，目的在于提高查詢速度和效率，但沒有域名資料庫，它從某個遠程服務器取得每次域名服務器查詢的結果，并將它放在高速快取中，以后查詢相同的資訊時用它予以回應，快取域名服務器不是全新服務器，因為提供的所有資訊都是間接資訊，構建快取域名服務器時，必須設定根域或這頂其他NDS服務器作為解釋來源
• 轉發域名服務器：負責所有非本地域名的本地查詢，轉發域名服務器接到查詢請求后，在其快取中查找，如找不到就將請求依次轉發到指定的域名服務器，直到查找到結果為止，否則回傳無法映射的結果

DNS服務

BIND軟體

• BIND
  • BIDN是應用最廣泛的DNS服務程式
  • 官方站點：https://www/isc.org
• 相關軟體包
  • bind-9.9.4-37.el7.x86_64.rpm
  • bind-utils-9.9.4-37.el7.x86_64.rpm
• BIND服務器端程式
  • 主要執行程式：/usr/sbin/named
  • 默認監聽埠：53
  • 主組態檔
    • /etc/named.conf
  • 保存DNS決議記錄的資料檔案位于
    • /var/named/
• BIND服務控制
• systemctl [status | start | stop | restart] named
  • status:查看服務狀態
  • start：啟動服務
  • stop：停止服務
  • restart：重啟服務

DNS正向決議服務配置

安裝bind軟體

• yun install -y bind
• rpm -qc bind #查看檔案路徑
  
• 順便關閉防火墻
  systemctl stop firewalld
  setenforce 0

修改組態檔/etc/named.conf

• vim /etc/named.conf
  options {
  listen-on port 53 { any; };
  #listen-on-v6 port 53 { ::1; };
  directory “/var/named”;
  dump-file “/var/named/data/cache_dump.db”;
  statistics-file “/var/named/data/named_stats.txt”;
  memstatistics-file “/var/named/data/named_mem_stats.txt”;
  recursing-file “/var/named/data/named.recursing”;
  secroots-file “/var/named/data/named.secroots”;
  allow-query { any; };
  …
  }
  

修改組態檔/etc/named.rfc1912.zones

• vim /etc/named.rfc1912.zones
  zone “chen.com.” IN {
  type master;
  file “chen.com.zone”;
  allow-update { none; };
  };
  

修改組態檔/var/named里的組態檔

• cp -p named.localhost chen.com.zone
  

• vim chen.com.zone
  

修改本機DNS指向服務器配置的DNS

• vim /etc/resolv.conf
  
• 或者直接從網卡組態檔修改
• /etc/sysconfig/network-scripts/ifcfg-ens33

重啟服務或啟動服務

systemctl restart named
systemctl start named

host或nslookup測驗結果

• 測驗
  
• 使用別的主機測驗
  

服務啟動失敗解決方法

• 如果服務啟動失敗，可查看日志檔案來排查錯誤
  tail -f /var/log/messages
• 如果服務啟動卡住，可以執行下面命令解決
  rndc-confgen -r /dev/urandom -a

DNS反向域名決議配置

準備步驟

• yun install -y bind #安裝服務
• 順便關閉防火墻
  systemctl stop firewalld
  setenforce 0
• vim /etc/named.conf #修改組態檔與正向相同

配置/etc/named.rfc1912.zones

• vim /etc/named.rfc1912.zones
  zone “150.168.192.in-addr.arpa” IN {
  type master;
  file “chen.com.zone.local”;
  allow-update { none; };
  };
  

配置/var/named的檔案

• cd /var/named
• cp -p named.localhost chen.com.zone.local
• vim chen.com.zone.local #進行修改配置
  

重啟服務驗證配置

• netstat -natup | grep 53 #查看埠是否開啟
  
• 配置完重啟服務 systemctl restart named
• host 192.168.150.20
• host 192.168.150.30
  

構建主從域名服務器

配置主域名服務器

• yum install -y bind #安裝軟體
• 關閉防火墻
  systemctl stop firewalld
  setenforce 0
• vim /etc/named.conf #配置和正反決議的一樣
• 正反決議要做好

配置/etc/named.rfc1912.zones

• vim /etc/named.rfc1912.zone #在正反決議上稍微修改

配置從域名服務器

• yum install -y bind #安裝軟體
• 關閉防火墻
  systemctl stop firewalld
  setenforce 0
• vim /etc/named.conf #和正反決議的一樣配置
  

配置/etc/named.rfc1912.zones

• vim /etc/named.rfc1912.zone
  

重啟服務查看結果

• 重啟服務 systemctl restart named
• cd /var/named/slaves
  ll
  這時候目錄中就下載到兩個在主域名服務器中配置的區域資料檔案
  
• 用別的主機DNS指向192.168.150.10就可以使用host來驗證

分離決議

• 分離決議的域名服務器實際也是主域名服務器，這里主要是指根據不同的客戶端提供不同的域名決議記錄，比如來自內網和外網的不同網段地址區域的客戶機請求決議同一域名時，為其提供不同的決議結果，得到不同的IP地址
• 配置網關服務器搭建NDS分離決議，使局域網主機決議www.chen.com 為192.168.150.25，外網主機決議 www.chen.com為12.0.0.100
  

為網關服務器配置雙網卡

• 在關機狀態下添加一塊網卡，重啟系統
  

• 配置第二塊網卡ens36

• ifconfig ens36 12.0.0.1/24

• cp ifcfg-ens33 ifcfg-ens36 #復制一個ens33的組態檔進行修改
  
  

• 配置完成后重啟網卡systemctl restart network
  

• 把ens33作為內網網卡，ens36作為外網網卡

• 內網主機的網卡保持在與主域名服務器同一個VMnet中
  
  配置內網的網關
  systemctl restart network記得重啟
  

• 外網主機的網卡設為VMnet2
  
  配置外網主機的網關和ip地址

安裝

• yum install -y bind

修改主組態檔

• vim /etc/named.conf
  options {
  listen-on port 53 { any; };
  #listen-on-v6 port 53 { ::1; };
  directory “/var/named”;
  dump-file “/var/named/data/cache_dump.db”;
  statistics-file “/var/named/data/named_stats.txt”;
  memstatistics-file “/var/named/data/named_mem_stats.txt”;
  recursing-file “/var/named/data/named.recursing”;
  secroots-file “/var/named/data/named.secroots”;
  allow-query { any; };
  …
  }
  

修改區域組態檔

• vim /etc/named.rfc1912.zone
  view “lan” {
  match-clients { 192.168.150.0/24; };
  zone “chen.com” IN {
  type master;
  file “chen.com.zone.lan”;
  };
  zone “.” IN {
  type hint;
  file “named.ca”;
  };
  };
  view “wan” {
  match-clients { any; };
  zone “chen.com” IN {
  type master;
  file “chen.com.zone.wan”;
  };
  };
  
• 注：一旦啟用view，所有的zone必須都在view下，所以要把系統默認的自檢用的zone也放在view下或者洗掉

配置區域資料檔案

• cd /var/named
• cp -p named.localhost chengu.com.lan
• vim chengu.com.lan
  
• cp -p named.localhost chengu.com.wan
• vim chengu.com.wan
  

驗證結果

• systemctl restart named #重啟服務
• systemctl stop firewalld #關閉防火墻
• setenforce 0
• 內網主機測驗
• vim /etc/resolv.conf
  
• nslookup www.chen.com #驗證結果為決議成內網地址
  
• 外網主機測驗
  
• nslookup www.chen.com #驗證結果為決議成外網地址