BIND9 VIEW功能實(shí)現(xiàn)DNS 智能解析編輯：LinuxPad 日期：2011/10/3 本人系LINUX 愛好者，關(guān)注開源、網(wǎng)絡(luò)安全、自動(dòng)化運(yùn)維BLOG:linuxpad.blog.chin

BIND9 VIEW功能實(shí)現(xiàn)DNS 智能解析

編輯：LinuxPad 日期：2011/10/3 本人系LINUX 愛好者，關(guān)注開源、網(wǎng)絡(luò)安全、自動(dòng)化運(yùn)維

BLOG:linuxpad.blog.chinaunix.net E-Mail:linuxpad.cn@gmail.com QQ 交流群：161230409 歡迎加群交流 共同探討LINUX 技術(shù)

DNS 智能解析簡單的來說就是根據(jù)DNS 服務(wù)器根據(jù)客戶端請求IP 的不同來給客戶端返回不同的服務(wù)器地址，比如說電信用戶訪問www.linuxpad.cn 的時(shí)候DNS 服務(wù)器會(huì)返回給用戶電信服務(wù)器，網(wǎng)通用戶訪問www.linuxpad.cn 的時(shí)候DNS 服務(wù)器會(huì)返回給用戶網(wǎng)通服務(wù)器，這樣就解決了南北用戶訪問過慢或電信用戶訪問網(wǎng)通服務(wù)器過慢的問題，國內(nèi)著名的DNSpod 實(shí)現(xiàn)的也是這樣的一個(gè)功能，而BIND9自帶的VIEW 視圖功能就可以完全實(shí)現(xiàn)這個(gè)功能。VIEW 視圖可以說是BIND9一個(gè)最強(qiáng)大的功能之一，他可以完全按照你要求來實(shí)現(xiàn)DNS 服務(wù)器對不同IP 、不同網(wǎng)段的智能解析工作。本文以centos5.6 i386系統(tǒng)及系統(tǒng)自帶的BIND9和Webmin 為例講述BIND9的安裝以及VIEW 視圖的配置功能。Webmin 是一個(gè)圖形化的服務(wù)器管理工具，由于DNS 配置文件比較復(fù)雜，所以建議采用這款圖形化配置工作來進(jìn)行DNS 配置。

閱讀本文你需要了解一些DNS 基礎(chǔ)，如知道為什么會(huì)有DNS ，什么是A 記錄、CNAME 記錄、DNS 的正向解析/逆向解析，本文不會(huì)涉及這些基礎(chǔ)知識(shí)。

本文采用VMware 虛擬機(jī)來模擬DNS 服務(wù)器，虛擬機(jī)須配置雙網(wǎng)卡來模擬DNS 對兩個(gè)不同的網(wǎng)段做出不同的解析，其中一塊網(wǎng)卡配置為Bridged 模式，直接連接到局域網(wǎng)內(nèi)網(wǎng)(192.168.0.0/24)上，另一塊網(wǎng)卡配置為host-only ，僅與本機(jī)進(jìn)行通信(192.168.136.0/24)。 IP 配置如下：

本地：物理網(wǎng)卡（本地連接）192.168.0.100/24，DNS 為192.168.0.101 虛擬網(wǎng)卡（VMware Network Adapter VMnet1）192.168.136.1/24，

DNS 為192.168.136.128

虛擬機(jī)：eth0(Bridged) 192.168.0.101/24

eth1(host-only)192.168.136.128/24

DNS 配置：以www.linuxpad.cn 為例，如果客戶端為192.168.0.0/24段，則將

www.linuxpad.cn 解析到192.168.0.200；如果客戶端為192.168.136.0/24段，則將www.linuxpad.cn 解析到192.168.136.200。

測試方案：先禁用本地連接，使用nslookup 工具查看www.linuxpad.cn ，返回192.168.136.128則正確；再禁用虛擬網(wǎng)卡，使用nslookup 工具查看www.linuxpad.cn ，返回192.168.0.101則正確。

1. 安裝bind

我們需要安裝以下rpm 包：

bind DNS 服務(wù)器主程序

bind-libs 程序庫

bind-utils 客戶端命令工具

bind-chroot chroot運(yùn)行模式

bind 的chroot 功能是一個(gè)很有用的安全設(shè)置，使bind 可以在一個(gè)chroot 的模式下運(yùn)行. 也就是說,bind 運(yùn)行時(shí)的/(根) 目錄, 并不是系統(tǒng)真正的/(根) 目錄, 只是系統(tǒng)中的一個(gè)子目錄而已. 這樣做的目的是為了提高安全性. 因?yàn)樵赾hroot 的模式下,bind 可以訪問的范圍僅限于這個(gè)子目錄的范圍里, 無法進(jìn)一步提升, 進(jìn)入到系統(tǒng)的其他目錄中。

使用yum install命令來安裝， [root@localhost soft]# yum install bind [root@localhost soft]# yum install bind-libs [root@localhost soft]# yum install bind-utils

[root@localhost soft]# yum install bind-chroot

使用以下命令查看rpm 包是否正確安裝 [root@localhost soft]# rpm -qa | grep bind ypbind-1.19-12.el5 kdebindings-3.5.4-6.el5 bind-chroot-9.3.6-16.P1.el5 bind-utils-9.3.6-16.P1.el5

bind-9.3.6-16.P1.el5

bind-libs-9.3.6-16.P1.el5

如果安裝正確，你會(huì)看到我們所安裝的rpm 包。

設(shè)置DNS 服務(wù)開機(jī)自啟動(dòng)

[root@localhost soft]# chkconfig named on

啟動(dòng)命令為：

[root@localhost soft]# service ntamed start

2. 安裝webmin

webmin 是一個(gè)可視化的linux 服務(wù)器管理工具，可以幫助我們實(shí)現(xiàn)很多功能，從官方網(wǎng)站http://www.webmin.com/下載webmin 的最新rpm 包，目前最新的為1.560，下載后安裝

[root@localhost soft]# rpm -ivh webmin-1.560-1.noarch.rpm

warning: webmin-1.560-1.noarch.rpm: Header V3 DSA signature: NOKEY, key ID 11f63c51 Preparing... ########################################### [100] Operating system is CentOS Linux

1:webmin ########################################### [100] Webmin install complete. You can now login to http://localhost.localdomain:10000/ as root with your root password.

安裝完成之后，默認(rèn)的訪問端口是10000，默認(rèn)用戶名位root ，密碼為系統(tǒng)root 密碼。訪問時(shí)請確認(rèn)系統(tǒng)防火墻已經(jīng)開放10000端口。啟動(dòng)命令為

[root@localhost soft]# service webmin start

訪問界面如下圖1/圖2：

圖1

圖2

更改界面語言，選擇WebMin 下的Change Language and Theme，在語言欄選擇”Simplified Chinese(ZH_CN.UTF-8)”。

3. 配置DNS

a ．啟動(dòng)DNS 服務(wù)器

打開Webmin 界面，選擇Servers 下的BIND DNS Server，點(diǎn)擊創(chuàng)建配置文件并啟動(dòng)dns 服務(wù)器，這里只是內(nèi)網(wǎng)測試，所以只選擇第一個(gè)即可，如果你的DNS 用與外網(wǎng)解析，請選擇第二個(gè)，如圖3。

圖3

啟動(dòng)成功后會(huì)自動(dòng)跳轉(zhuǎn)至DNS 配置頁面，如圖4。

圖4

圖中標(biāo)出的即是我們需要使用的功能。

創(chuàng)建新的主區(qū)域：創(chuàng)建一個(gè)新的DNS 配置文件，有正向和逆向之分，稍后介紹； 創(chuàng)建新的視圖：這就是我們實(shí)現(xiàn)DNS 智能解析的視圖功能。

b ．創(chuàng)建視圖

由于我們需要對兩個(gè)不同的IP 段來實(shí)現(xiàn)分別解析，因此我們這里需要?jiǎng)?chuàng)建兩個(gè)不同的視圖。需要注意的是，一旦創(chuàng)建了視圖，所有的域名記錄（創(chuàng)建的主區(qū)域）都必須屬于某個(gè)視圖，不允許沒有視圖的主區(qū)域存在。創(chuàng)建過程如圖5/圖6

這里創(chuàng)建兩個(gè)視圖分別為：

名稱：view_192.168.0.0 對192.168.0.0/24的客戶端請求進(jìn)行解析

名稱：view_192.168.136.0 對192.168.136.0/24的客戶端請求進(jìn)行解析

圖5

圖6

c ．創(chuàng)建正向主區(qū)域

創(chuàng)建主區(qū)域就相當(dāng)于創(chuàng)建每個(gè)域名在DNS 上的配置文件，以linuxpad.cn 為例，我們需要首先在DNS 服務(wù)器上創(chuàng)建一個(gè)將linuxpad.cn 解析到192.168.0.200的主記錄（先不考慮192.168.136.0段，只介紹主區(qū)域的創(chuàng)建方法），這個(gè)記錄我們稱之為正向記錄，即域名到IP ；然后需要再創(chuàng)建一個(gè)將192.168.0.200解析到linuxpad.cn 的主記錄，這個(gè)記錄我們稱之為逆向記錄，即IP 到域名。這樣一個(gè)域名的配置文件就成功了。

對于屬于同一段IP 的服務(wù)器來說，每個(gè)域名必須創(chuàng)建一個(gè)正向主區(qū)域，但是所有域名可以共用一個(gè)逆向主區(qū)域。

我們點(diǎn)擊圖4上的 創(chuàng)建新的主區(qū)域，創(chuàng)建過程如圖

7

圖7

區(qū)域類型選擇”正向”，域名/網(wǎng)絡(luò)填寫域名”linuxpad.cn”, 在視圖創(chuàng)建選擇此主區(qū)域所屬的視圖，這里選擇”view_192.168.0.0”,E-mail地址須寫上，否則會(huì)報(bào)錯(cuò)。

點(diǎn)擊創(chuàng)建如果沒有錯(cuò)誤即創(chuàng)建成功，會(huì)自動(dòng)跳轉(zhuǎn)到編輯主區(qū)域的界面，這里我們?yōu)椤眑inuxpad.cn”這個(gè)區(qū)域來添加A 記錄。選擇”地址”選項(xiàng)(地址選項(xiàng)就相當(dāng)于A 記錄) ，如圖8

圖8

在名稱中填寫二級域名，在地址中填寫域名所對應(yīng)的服務(wù)器地址，這里名稱填寫”@”，即表示linuxpad.cn ，沒有二級域名，當(dāng)然你也可以填寫www/ftp/mail之類的，如圖9

值得一提的是這里可以配置泛域名解析，即在名稱處填寫”*”，這樣所有在地址列表中沒有的名稱全部會(huì)匹配到名稱”*”所對應(yīng)的IP 地址，如aaa.linuxpad.cn ，aaa 這個(gè)名稱不存在于地址記錄中，則aaa.linuxpad.cn 就會(huì)匹配名稱為”*”的這個(gè)地址記錄，注意這條規(guī)則的位置，請確認(rèn)”*”規(guī)則位于最末尾，否則位于”*”之后的地址記錄將得不到解析。

圖9

d ．創(chuàng)建逆向主區(qū)域

我們在上一步創(chuàng)建了linuxpad.cn 正向解析，但是DNS 解析只有正向是不行的，還必須有逆向解析，即將IP 解析為域名，只有這樣服務(wù)器才能將數(shù)據(jù)通過對應(yīng)的域名返回給客戶端。 創(chuàng)建逆向主區(qū)域過程如圖10

圖10

區(qū)域類型選擇”逆向”，域名/網(wǎng)絡(luò)填寫”192.168.0.0”，在視圖中創(chuàng)建選擇”view_192.168.0.0”，同樣填入E-mail ，然后點(diǎn)擊創(chuàng)建，創(chuàng)建成功后會(huì)自動(dòng)跳轉(zhuǎn)到編輯主區(qū)域的界面。 接下來，選擇”逆向地址”，進(jìn)行逆向地址的創(chuàng)建，如圖11/圖12。

圖11

圖12

在地址中填寫服務(wù)IP 地址，主機(jī)名中填寫IP 所對應(yīng)的域名。

到此刻為止linuxpad.cn 的解析就完全創(chuàng)建成功了，我們的DNS 服務(wù)器就能解析linuxpad.cn 這個(gè)域名了。但是不要著急，我們來完成最后一步的配置。

e ．另一個(gè)視圖中域名解析的配置

在上面的創(chuàng)建主區(qū)域的時(shí)候，”在視圖中創(chuàng)建”這個(gè)選項(xiàng)，我們選擇的是view_192.168.0.0，這樣的話，我們所創(chuàng)建的linuxpad.cn 這個(gè)域名解析只能對192.168.0.0/24這個(gè)段內(nèi)的客戶進(jìn)行解析，如果我使用192.168.136.0段對linuxpad.cn 進(jìn)行訪問的時(shí)候DNS 就找不到服務(wù)器了，因?yàn)槲覀冞€沒有在view_192.168.136.0這個(gè)視圖中添加規(guī)則呢。

按照上一步，我們再來創(chuàng)建兩個(gè)規(guī)則，區(qū)域類型為”正向”，域名/網(wǎng)絡(luò)為linuxpad.cn ，視圖屬于”view_192.168.136.0”，在”linuxpad.cn”主區(qū)域添加地址，名稱為”@”，地址

為”192.168.136.200”，這里有人會(huì)疑惑主區(qū)域的名稱linuxpad.cn 不是與上一步的重復(fù)了，不沖突嘛，實(shí)際上是不沖突的，在不同的視圖中可以存在同名的主區(qū)域，

但是在相同的視圖中

不能存在同名的主區(qū)域。

我們再創(chuàng)建一個(gè)逆向的主區(qū)域，區(qū)域類型為逆向，域名/網(wǎng)絡(luò)為”192.168.136.0”， 視圖屬于”view_192.168.136.0”。在”192.168.136.0”主區(qū)域添加逆向地址，地址為”192.168.136.200”，主機(jī)名為”linuxpad.cn”。

這樣我們就完成了所有的DNS 配置工作。

創(chuàng)建完成之后，返回到區(qū)域列表，我們發(fā)現(xiàn)配置完成之后主界面會(huì)顯示出大概的配置信息。如圖13。

圖13

4. 測試

配置完成后，首先我們須重啟DNS 服務(wù)，你可以通過Webmin 圖像界面來應(yīng)用配置( Apply Configuraion)，如圖14，也可以通過服務(wù)器使用命令service named restart來重啟DNS 服務(wù)。

圖14