浅谈DNS基本原理以及实现方法(二)

         DNS作为互联网服务的一个基础型服务,了解和掌握DNS服务的原理和配置将是每一个运维人员必备的技能,这就如同闯荡江湖的侠客不但要有的招式,还要懂的运用这些招式的心法一样,接下来我将从DNS的正反向解析、主从同步、子域授权以及Bind view这四个方面来揭开它神秘的面纱。


正反向解析:

 

         首先,任何一台服务器要想提供服务必须要有对应的服务应用程序,安装bind

yum install -y bind bind--libs bind-utils

       安装之后我们有必要认识一下bind安装之后的文件,这样有助于我们管理和配置这台服务器

       1)服务脚本:/etc/rc.d/init.d/named

       2)主配置文件:/etc/name.con

                                 /etc/named.rfc1912.zones

                                 /etc/rndc.hey

       3)解析库文件:/var/named/*.ZONE

       配置一台DNS服务器,就是通过修改配置文件以及定义我们需要的解析库来实现的,这里我先定义主服务器实现正反向解析

                 主DNS服务器:ns1.zhang.com      192.168.45.144

                 从DNS服务器:ns2.zhang.com      192.168.45.140

        定义主配置文件:/etc/named.conf

options {
        listen-on port 53 { 192.168.45.144; 127.0.0.1; };  ##定义监听端口以及监听地址
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";                      ##定义工作目录  
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;

//      dnssec-enable yes;                                 ##以下几行是DNS的安全,通常情况下关闭此功能
//      dnssec-validation yes;
//      dnssec-lookaside auto;

        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};

logging {                                                    ##主要定义日志子系统
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {                                                ##定义根区域
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";                          ##定义包含的解析区域文件
include "/etc/named.root.key";

        定义解析区域:/etc/named.rfc1912.zones

zone "zhang.com" IN {
        type master;
        file "zhang.com.zone";
        allow-update { none; };
};
zone "45.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.45.zone";
};

        创建区域解析库文件:zhang.com.zone

$TTL 86400
$ORIGIN zhang.com.
@       IN      SOA     ns1.zhang.com.  admin.zhang.com (        ##定义SOA记录        
                        201512151943                             ##序列号
                        1H                                       ##刷新时间 
                        5M                                       ##重试时间 
                        7D                                       ##过期时长     
                        1D )                                     ##否定答案的TTL值
        IN      NS      ns1                                      ##NS记录
        IN      NS      ns2
        IN      MX 10   mx1                                      ##MX记录以及优先级
        IN      MX 20   mx2
ns1     IN      A       192.168.45.144                           ##A记录
ns2     IN      A       192.168.45.140
mx1     IN      A       192.168.45.142
mx2     IN      A       192.168.45.143
www     IN      A       192.168.45.141
pop     IN      CNAME   www                                      ##别名记录
smtp    IN      CNAME   www
ftp     IN      CNAME   www
zhang.com.      IN      A       192.168.45.144
*       IN      A       192.168.45.141

       正向解析测试命令:

 dig -t A zhang.com @192.168.45.144

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A zhang.com @192.168.45.144
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54496
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;zhang.com.   IN A

;; ANSWER SECTION:
zhang.com.  86400 IN A 192.168.45.144

;; AUTHORITY SECTION:
zhang.com.  86400 IN NS ns1.zhang.com.
zhang.com.  86400 IN NS ns2.zhang.com.

;; ADDITIONAL SECTION:
ns1.zhang.com.  86400 IN A 192.168.45.144
ns2.zhang.com.  86400 IN A 192.168.45.140

        反向解析测试命令:

dig -x 192.168.45.141 @192.168.45.144

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -x 192.168.45.141 @192.168.45.144
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56229
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;141.45.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
141.45.168.192.in-addr.arpa. 86400 IN PTR www.zhang.com.

;; AUTHORITY SECTION:
45.168.192.in-addr.arpa. 86400 IN NS ns1.zhang.com.
45.168.192.in-addr.arpa. 86400 IN NS ns2.zhang.com.

;; ADDITIONAL SECTION:
ns1.zhang.com.  86400 IN A 192.168.45.144
ns2.zhang.com.  86400 IN A 192.168.45.140

        测试命令dig总结:

        dig [-t type] name [@SERVER] [query options]

        dig用于测试dns系统,因此,不会查询hosts文件进行解析;

                查询选项:
               +[no]trace:跟踪解析过程
               +[no]recurse:进行递归解析

        测试反向解析:
               dig -x IP @SERVER

主从复制:

    

       要实现主从同步,必须满足以下要求:

          1、从服务器应该为一台独立的名称服务器;
          2、主服务器的区域解析库文件中必须有一条NS记录是指向从服务器;
          3、从服务器只需要定义区域,而无须提供解析库文件;解析库文件应该放置于/var/named/slaves/目录中;
          4、主服务器必须允许从服务器作区域传送;可使用dig -t axfr  ZONE_NAME @SERVER_NAME测试主服务器是否可以做区域传送
          5、主从服务器时间应该同步,可通过ntp进行;
          6、bind程序的版本应该保持一致;否则,应该从服务器高,主服务器低;

       定义主配置文件:/etc/named.conf

options {
        listen-on port 53 { 192.168.45.140; 127.0.0.1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
//      dnssec-enable yes;
//      dnssec-validation yes;
//      dnssec-lookaside auto;
        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

      定义解析区域:/etc/named.rfc1912.zones

zone "zhang.com" IN {
        type slave;
        masters { 192.168.45.144; };
        file "slaves/zhang.com.zone";
};

      此时我们的从服务器就只需执行:

rndc reload     ##重载主配置文件和区域解析库文件

     从服务器就能从主服务器同步解析库文件;

     执行测试命令:

dig -t A zhang.com @192.168.45.140

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A zhang.com @192.168.45.140
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7672
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;zhang.com.   IN A

;; ANSWER SECTION:
zhang.com.  86400 IN A 192.168.45.144

;; AUTHORITY SECTION:
zhang.com.  86400 IN NS ns2.zhang.com.
zhang.com.  86400 IN NS ns1.zhang.com.

;; ADDITIONAL SECTION:
ns1.zhang.com.  86400 IN A 192.168.45.144
ns2.zhang.com.  86400 IN A 192.168.45.140

子域授权:

       每个域的名称服务器,都是通过上级名称服务器在解析库中进行授权,类似根域授权tld一样,那如何定义一个子域那?

       首先定义主服务器解析库文件:/var/named/zhang.com.zone

$TTL 86400
$ORIGIN zhang.com.
@       IN      SOA     ns1.zhang.com.  admin.zhang.com (
                        201512151943
                        1H
                        5M
                        7D
                        1D )
        IN      NS      ns1
        IN      NS      ns2
        IN      MX 10   mx1
        IN      MX 20   mx2
ns1     IN      A       192.168.45.144
ns2     IN      A       192.168.45.140
mx1     IN      A       192.168.45.142
mx2     IN      A       192.168.45.143
www     IN      A       192.168.45.141
pop     IN      CNAME   www
smtp    IN      CNAME   www
ftp     IN      CNAME   www
zhang.com.      IN      A       192.168.45.144
*       IN      A       192.168.45.141

ops     IN      NS      ns1.ops
ops     IN      NS      ns2.ops
ns1.ops IN      A       192.168.45.140
ns1.ops IN      A       192.168.45.142

         然后编辑子域服务器解析区域:/etc/named.rfc1912.zones

zone "ops.zhang.com" IN {
        type master;
        file "ops.zhang.com.zone";

};

         同时一定别忘记创建解析库文件:/var/named/ops.zhang.com.zone

$TTL 1D
$ORIGIN   ops.zhang.com.
@         IN            SOA     ns1.ops.zhang.com.      admin.ops.zhang.com. (
                                201515160000
                                1H
                                10M
                                3D
                                1D )
          IN            NS      ns1
          IN            NS      ns2
ns1       IN            A       192.168.45.144
ns2       IN            A       192.168.45.141
www       IN            A       192.168.45.141
www       IN            A       192.168.45.141

        同步主配置文件以及解析库文件:rndc reload

        执行测试命令:

 dig -t A www.ops.zhang.com @192.168.45.140

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A www.ops.zhang.com @192.168.45.140
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11650
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.ops.zhang.com.  IN A

;; ANSWER SECTION:
www.ops.zhang.com. 86400 IN A 192.168.45.141

;; AUTHORITY SECTION:
ops.zhang.com.  86400 IN NS ns1.ops.zhang.com.
ops.zhang.com.  86400 IN NS ns2.ops.zhang.com.

;; ADDITIONAL SECTION:
ns1.ops.zhang.com. 86400 IN A 192.168.45.144
ns2.ops.zhang.com. 86400 IN A 192.168.45.141

bind view:

     一个bind服务器可定义多个view,而这个view就相当于bind的一个子容器,这个子容器能够提供比服务器自身更灵活更小一部分配置的功能,每个view中可定义一个或多个zone;每个view用一来匹配一组客户端;多个view内可能需要对同一个区域进行解析,但使用不同的区域解析库文件;

        view定义的方法:

        view  VIEW_NAME  {

                       match-clients {};

         };

         注意:(1) 一旦启用了view,所有的zone都只能定义在view中;
               (2) 仅有必要在匹配到允许递归请求的客户所在view中定义根区域;
               (3) 客户端请求到达时,是自上而下检查每个view所服务的客户端列表;

    首先定义主配置文件/etc/named.conf;为了方便定义解析区域,我将本地地址定义到localnet这个acl中,同时由于一旦启用view功能,所有的zone都只能定义到view中,所以我将这里定义的根区域注释掉,而是定义到/etc/named.rfc1912.zone中;

options {
        listen-on port 53 { 192.168.45.144; 127.0.0.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
acl localnet {
        192.168.45.0/24;
        127.0.0.0/8;
};


};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

//zone "." IN {
//      type hint;
//      file "named.ca";
//};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";


    其次在/etc/named.rfc1912.zone中定义我们的view

view internal {
        match-clients { localnet; };
        allow-recursion { localnet; };

zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost.localdomain" IN {
        type master;
        file "named.localhost";
        allow-update { none; };
};

zone "localhost" IN {
        type master;
        file "named.localhost";
        allow-update { none; };
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
        type master;
        file "named.loopback";
        allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
        type master;
        file "named.loopback";
        allow-update { none; };
};
zone "0.in-addr.arpa" IN {
        type master;
        file "named.empty";
        allow-update { none; };
};
zone "zhang.com" IN {
        type master;
        file "zhang.com.zone";
        allow-update { none; };
};
zone "45.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.45.zone";
};

};

view external {
        match-clients { any; };
        zone "zhang.com" IN {
                type master;
                file "zhang.com.external";
                allow-update { none; };
        };
};


    最后创建我们定义的解析区域文件zhang.com.external

$TTL 86400
$ORIGIN zhang.com.
@       IN      SOA     ns1.zhang.com.  admin.zhang.com (
                        201512151943
                        1H
                        5M
                        7D
                        1D )
        IN      NS      ns1
        IN      NS      ns2
        IN      MX 10   mx1
        IN      MX 20   mx2
ns1     IN      A       192.168.45.144
ns2     IN      A       192.168.45.140
www     IN      A       2.2.2.1
*       IN      A       2.2.2.1


    重启服务后,我们就可以通过本机以及通过非本机网络使用dig命令发现,同样解析一个域名在不同的网络中解析,得到的解析地址也不一样


       以上就是bind服务器的四个基本应用,理解和使用这个网络基础服务对我们网络运维工作中有很多的好处,欢迎有兴趣的朋友一起讨论DNS服务器的其他一下应用。

   

原创文章,作者:zhang,如若转载,请注明出处:http://www.178linux.com/10102

(0)
zhangzhang
上一篇 2015-12-19
下一篇 2015-12-19

相关推荐

  • 第三周作业

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。 [root@localhost /]# who | cut -d ‘ ‘ -f 1  | sort -u root user1 或: [root@localhost /]# who | cut -d ‘ ‘ -…

    Linux干货 2017-02-24
  • php-fpm实验

    #yum install marisdb-server #vim /etc/my.cnf.d/server.cnf [mysqld]         skip_name_resolve=ON         innodb_file_per_…

    Linux干货 2017-06-08
  • N25-第二周博客作业

    第二周博客作业 1.Linux上的文件管理类命令都有哪些,其常用的使用方法和演示 2.bash的工作特性之命令执行状态返回值和命令行展开所涉及内容演示及其实例 3.请使用命令行展开功能完成以下练习;    (1)创建/tmp的目录下a_c,a_d,b_c,b_d     (2) 创建/tmp/mylinux目录下的 4…

    Linux干货 2016-12-11
  • sed工具实践解析

    此次博文介绍一下文本处理三剑客中的sed工具(点击查看grep工具http://www.178linux.com/83512) 介绍sed: sed是非交互式的编辑器。它不会修改文件,除非使用shell重定向来保存结果。默认情况下,所有的输出行都被打印到屏幕上。 运行过程: sed编辑器逐行处理文件,并将结果发送到屏幕。具体过程如下:首先sed把当前正在处理…

    Linux干货 2017-08-26
  • rsync+inotify实现数据同步——双向传输

    实验环境:<仅2台主机之间进行数据双向传输> A主机:10.1.43.102 B主机:10.1.43.103 一、数据从A推向B 配置流程 先在B主机上配置: 1.vi /etc/rsyncd.conf(用户,目录,模块,虚拟用户及密码文件) uid = root gid = root port …

    Linux干货 2016-10-27

评论列表(1条)

  • stanley
    stanley 2015-12-19 19:18

    清晰详细,坚持加油