浅谈DNS基本原理以及实现方法(二)

         DNS作为互联网服务的一个基础型服务,了解和掌握DNS服务的原理和配置将是每一个运维人员必备的技能,这就如同闯荡江湖的侠客不但要有的招式,还要懂的运用这些招式的心法一样,接下来我将从DNS的正反向解析、主从同步、子域授权以及Bind view这四个方面来揭开它神秘的面纱。


正反向解析:

 

         首先,任何一台服务器要想提供服务必须要有对应的服务应用程序,安装bind

yum install -y bind bind--libs bind-utils

       安装之后我们有必要认识一下bind安装之后的文件,这样有助于我们管理和配置这台服务器

       1)服务脚本:/etc/rc.d/init.d/named

       2)主配置文件:/etc/name.con

                                 /etc/named.rfc1912.zones

                                 /etc/rndc.hey

       3)解析库文件:/var/named/*.ZONE

       配置一台DNS服务器,就是通过修改配置文件以及定义我们需要的解析库来实现的,这里我先定义主服务器实现正反向解析

                 主DNS服务器:ns1.zhang.com      192.168.45.144

                 从DNS服务器:ns2.zhang.com      192.168.45.140

        定义主配置文件:/etc/named.conf

options {
        listen-on port 53 { 192.168.45.144; 127.0.0.1; };  ##定义监听端口以及监听地址
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";                      ##定义工作目录  
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;

//      dnssec-enable yes;                                 ##以下几行是DNS的安全,通常情况下关闭此功能
//      dnssec-validation yes;
//      dnssec-lookaside auto;

        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};

logging {                                                    ##主要定义日志子系统
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {                                                ##定义根区域
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";                          ##定义包含的解析区域文件
include "/etc/named.root.key";

        定义解析区域:/etc/named.rfc1912.zones

zone "zhang.com" IN {
        type master;
        file "zhang.com.zone";
        allow-update { none; };
};
zone "45.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.45.zone";
};

        创建区域解析库文件:zhang.com.zone

$TTL 86400
$ORIGIN zhang.com.
@       IN      SOA     ns1.zhang.com.  admin.zhang.com (        ##定义SOA记录        
                        201512151943                             ##序列号
                        1H                                       ##刷新时间 
                        5M                                       ##重试时间 
                        7D                                       ##过期时长     
                        1D )                                     ##否定答案的TTL值
        IN      NS      ns1                                      ##NS记录
        IN      NS      ns2
        IN      MX 10   mx1                                      ##MX记录以及优先级
        IN      MX 20   mx2
ns1     IN      A       192.168.45.144                           ##A记录
ns2     IN      A       192.168.45.140
mx1     IN      A       192.168.45.142
mx2     IN      A       192.168.45.143
www     IN      A       192.168.45.141
pop     IN      CNAME   www                                      ##别名记录
smtp    IN      CNAME   www
ftp     IN      CNAME   www
zhang.com.      IN      A       192.168.45.144
*       IN      A       192.168.45.141

       正向解析测试命令:

 dig -t A zhang.com @192.168.45.144

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A zhang.com @192.168.45.144
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54496
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;zhang.com.   IN A

;; ANSWER SECTION:
zhang.com.  86400 IN A 192.168.45.144

;; AUTHORITY SECTION:
zhang.com.  86400 IN NS ns1.zhang.com.
zhang.com.  86400 IN NS ns2.zhang.com.

;; ADDITIONAL SECTION:
ns1.zhang.com.  86400 IN A 192.168.45.144
ns2.zhang.com.  86400 IN A 192.168.45.140

        反向解析测试命令:

dig -x 192.168.45.141 @192.168.45.144

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -x 192.168.45.141 @192.168.45.144
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56229
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;141.45.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
141.45.168.192.in-addr.arpa. 86400 IN PTR www.zhang.com.

;; AUTHORITY SECTION:
45.168.192.in-addr.arpa. 86400 IN NS ns1.zhang.com.
45.168.192.in-addr.arpa. 86400 IN NS ns2.zhang.com.

;; ADDITIONAL SECTION:
ns1.zhang.com.  86400 IN A 192.168.45.144
ns2.zhang.com.  86400 IN A 192.168.45.140

        测试命令dig总结:

        dig [-t type] name [@SERVER] [query options]

        dig用于测试dns系统,因此,不会查询hosts文件进行解析;

                查询选项:
               +[no]trace:跟踪解析过程
               +[no]recurse:进行递归解析

        测试反向解析:
               dig -x IP @SERVER

主从复制:

    

       要实现主从同步,必须满足以下要求:

          1、从服务器应该为一台独立的名称服务器;
          2、主服务器的区域解析库文件中必须有一条NS记录是指向从服务器;
          3、从服务器只需要定义区域,而无须提供解析库文件;解析库文件应该放置于/var/named/slaves/目录中;
          4、主服务器必须允许从服务器作区域传送;可使用dig -t axfr  ZONE_NAME @SERVER_NAME测试主服务器是否可以做区域传送
          5、主从服务器时间应该同步,可通过ntp进行;
          6、bind程序的版本应该保持一致;否则,应该从服务器高,主服务器低;

       定义主配置文件:/etc/named.conf

options {
        listen-on port 53 { 192.168.45.140; 127.0.0.1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
//      dnssec-enable yes;
//      dnssec-validation yes;
//      dnssec-lookaside auto;
        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};
zone "." IN {
        type hint;
        file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

      定义解析区域:/etc/named.rfc1912.zones

zone "zhang.com" IN {
        type slave;
        masters { 192.168.45.144; };
        file "slaves/zhang.com.zone";
};

      此时我们的从服务器就只需执行:

rndc reload     ##重载主配置文件和区域解析库文件

     从服务器就能从主服务器同步解析库文件;

     执行测试命令:

dig -t A zhang.com @192.168.45.140

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A zhang.com @192.168.45.140
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7672
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;zhang.com.   IN A

;; ANSWER SECTION:
zhang.com.  86400 IN A 192.168.45.144

;; AUTHORITY SECTION:
zhang.com.  86400 IN NS ns2.zhang.com.
zhang.com.  86400 IN NS ns1.zhang.com.

;; ADDITIONAL SECTION:
ns1.zhang.com.  86400 IN A 192.168.45.144
ns2.zhang.com.  86400 IN A 192.168.45.140

子域授权:

       每个域的名称服务器,都是通过上级名称服务器在解析库中进行授权,类似根域授权tld一样,那如何定义一个子域那?

       首先定义主服务器解析库文件:/var/named/zhang.com.zone

$TTL 86400
$ORIGIN zhang.com.
@       IN      SOA     ns1.zhang.com.  admin.zhang.com (
                        201512151943
                        1H
                        5M
                        7D
                        1D )
        IN      NS      ns1
        IN      NS      ns2
        IN      MX 10   mx1
        IN      MX 20   mx2
ns1     IN      A       192.168.45.144
ns2     IN      A       192.168.45.140
mx1     IN      A       192.168.45.142
mx2     IN      A       192.168.45.143
www     IN      A       192.168.45.141
pop     IN      CNAME   www
smtp    IN      CNAME   www
ftp     IN      CNAME   www
zhang.com.      IN      A       192.168.45.144
*       IN      A       192.168.45.141

ops     IN      NS      ns1.ops
ops     IN      NS      ns2.ops
ns1.ops IN      A       192.168.45.140
ns1.ops IN      A       192.168.45.142

         然后编辑子域服务器解析区域:/etc/named.rfc1912.zones

zone "ops.zhang.com" IN {
        type master;
        file "ops.zhang.com.zone";

};

         同时一定别忘记创建解析库文件:/var/named/ops.zhang.com.zone

$TTL 1D
$ORIGIN   ops.zhang.com.
@         IN            SOA     ns1.ops.zhang.com.      admin.ops.zhang.com. (
                                201515160000
                                1H
                                10M
                                3D
                                1D )
          IN            NS      ns1
          IN            NS      ns2
ns1       IN            A       192.168.45.144
ns2       IN            A       192.168.45.141
www       IN            A       192.168.45.141
www       IN            A       192.168.45.141

        同步主配置文件以及解析库文件:rndc reload

        执行测试命令:

 dig -t A www.ops.zhang.com @192.168.45.140

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.4 <<>> -t A www.ops.zhang.com @192.168.45.140
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11650
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.ops.zhang.com.  IN A

;; ANSWER SECTION:
www.ops.zhang.com. 86400 IN A 192.168.45.141

;; AUTHORITY SECTION:
ops.zhang.com.  86400 IN NS ns1.ops.zhang.com.
ops.zhang.com.  86400 IN NS ns2.ops.zhang.com.

;; ADDITIONAL SECTION:
ns1.ops.zhang.com. 86400 IN A 192.168.45.144
ns2.ops.zhang.com. 86400 IN A 192.168.45.141

bind view:

     一个bind服务器可定义多个view,而这个view就相当于bind的一个子容器,这个子容器能够提供比服务器自身更灵活更小一部分配置的功能,每个view中可定义一个或多个zone;每个view用一来匹配一组客户端;多个view内可能需要对同一个区域进行解析,但使用不同的区域解析库文件;

        view定义的方法:

        view  VIEW_NAME  {

                       match-clients {};

         };

         注意:(1) 一旦启用了view,所有的zone都只能定义在view中;
               (2) 仅有必要在匹配到允许递归请求的客户所在view中定义根区域;
               (3) 客户端请求到达时,是自上而下检查每个view所服务的客户端列表;

    首先定义主配置文件/etc/named.conf;为了方便定义解析区域,我将本地地址定义到localnet这个acl中,同时由于一旦启用view功能,所有的zone都只能定义到view中,所以我将这里定义的根区域注释掉,而是定义到/etc/named.rfc1912.zone中;

options {
        listen-on port 53 { 192.168.45.144; 127.0.0.1; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
acl localnet {
        192.168.45.0/24;
        127.0.0.0/8;
};


};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

//zone "." IN {
//      type hint;
//      file "named.ca";
//};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";


    其次在/etc/named.rfc1912.zone中定义我们的view

view internal {
        match-clients { localnet; };
        allow-recursion { localnet; };

zone "." IN {
        type hint;
        file "named.ca";
};

zone "localhost.localdomain" IN {
        type master;
        file "named.localhost";
        allow-update { none; };
};

zone "localhost" IN {
        type master;
        file "named.localhost";
        allow-update { none; };
};

zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {
        type master;
        file "named.loopback";
        allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
        type master;
        file "named.loopback";
        allow-update { none; };
};
zone "0.in-addr.arpa" IN {
        type master;
        file "named.empty";
        allow-update { none; };
};
zone "zhang.com" IN {
        type master;
        file "zhang.com.zone";
        allow-update { none; };
};
zone "45.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.45.zone";
};

};

view external {
        match-clients { any; };
        zone "zhang.com" IN {
                type master;
                file "zhang.com.external";
                allow-update { none; };
        };
};


    最后创建我们定义的解析区域文件zhang.com.external

$TTL 86400
$ORIGIN zhang.com.
@       IN      SOA     ns1.zhang.com.  admin.zhang.com (
                        201512151943
                        1H
                        5M
                        7D
                        1D )
        IN      NS      ns1
        IN      NS      ns2
        IN      MX 10   mx1
        IN      MX 20   mx2
ns1     IN      A       192.168.45.144
ns2     IN      A       192.168.45.140
www     IN      A       2.2.2.1
*       IN      A       2.2.2.1


    重启服务后,我们就可以通过本机以及通过非本机网络使用dig命令发现,同样解析一个域名在不同的网络中解析,得到的解析地址也不一样


       以上就是bind服务器的四个基本应用,理解和使用这个网络基础服务对我们网络运维工作中有很多的好处,欢迎有兴趣的朋友一起讨论DNS服务器的其他一下应用。

   

原创文章,作者:zhang,如若转载,请注明出处:http://www.178linux.com/10102

评论列表(1条)

  • stanley
    stanley 2015-12-19 19:18

    清晰详细,坚持加油