DNS （Domain Name System，域名系統(tǒng)）。8.2.1 DNS概述DNS 包含域名服務器和解析器兩個部分。域名服務器：存儲和管理授權(quán)區(qū)域內(nèi)的域名數(shù)據(jù)，提供接口供客戶機檢索數(shù)據(jù)；解析器：

DNS （Domain Name System，域名系統(tǒng)）。

8.2.1 DNS概述

DNS 包含域名服務器和解析器兩個部分。

域名服務器：存儲和管理授權(quán)區(qū)域內(nèi)的域名數(shù)據(jù)，提供接口供客戶機檢索數(shù)據(jù)；

解析器：即客戶機，向域名服務器遞交查詢請求，翻譯域名服務器返回的結(jié)果并遞交給高層應用程序。

1．DNS 域名空間的分層結(jié)構(gòu)

Internet 上的頂級域名有兩種：機構(gòu)域和地理域。

（1）機構(gòu)域

一種是將域名空間按功能分成幾大類，分別表示不同的組織，稱為機構(gòu)域，比如：com （商業(yè)組織）、edu （教育機構(gòu)）、org （政府機構(gòu)）、net （網(wǎng)絡提供者）、int （國際實體）、mil （軍事機構(gòu)）、org （其他組織）等。

（2）地理域

另一種象cn （中國）這樣的按照地理位置劃分的國別代碼，通常用兩個字符表示，稱為地理域。

圖8-5 Internet 域名的層次

2．域名解析過程

DNS 的工作原理及過程分為下面幾個步驟：

（1）客戶機提出域名解析請求，并將該請求發(fā)送給本地的DNS 服務器。

（2）當本地的DNS 服務器收到請求后，就先查詢本地的緩存，如果有該記錄項，則本地的域名服務器就直接把查詢的結(jié)果返回。

（3）如果本地的緩存中沒有該記錄，則本地域名服務器就直接把請求發(fā)給根域名服務器，然后根域名服務器再返回給本地DNS 服務器一個所查詢域（根的子域）的主域名服務器的IP 地址。

（4）本地DNS 服務器再向上一步返回的域名服務器發(fā)送請求，然后接受請求的DNS 服務器查詢自己的緩存，如果沒有該記錄，則返回相關的下級DNS 服務器的IP 地址。

（5）重復（4），直到找到正確的記錄。

（6）本地DNS 服務器把返回的結(jié)果保存到緩存，以備下一次使用，同時將結(jié)果返回給

DNS 客戶機。

8.2.2 實例—設置DNS 服務器

實例8-3 通過GUI 設置DNS 服務器

下面介紹在桌面環(huán)境下對DNS 的配置過程：

第1步：復制named.root 文件

# cp /usr/share/doc/bind-9.3.3/sample/var/named/named.root /var/named/chroot/var/named/named.root named.root 文件的內(nèi)容如圖8-6所示。在DNS 數(shù)據(jù)庫中，named.root 文件列出了所有根DNS 服務器的地址。當一個DNS 的請求不在該DNS 服務器所管理的域時，DNS 服務器會將該請求發(fā)送給一個根DNS 服務器。

實例8-4 通過創(chuàng)建和修改（配置）文件來設置DNS 服務器

下面介紹通過編輯文件的方式對DNS 服務器進行配置的過程：

第1步：復制named.root 文件

# cp /usr/share/doc/bind-9.3.3/sample/var/named/named.root /var/named/chroot/var/named/named.root named.root 文件的內(nèi)容如圖8-6所示。

注意：

在/usr/share/doc/bind-9.3.3/sample下面有named.conf 文件和正向/逆向解析區(qū)文件的范例文件，讀者可以將他們分別復制到相應的目錄，然后根據(jù)實際需求進行修改即可。

第2步：修改named.conf 文件 修改主DNS 服務器的/var/named/chroot/etc/named.conf文件，內(nèi)容如下：

options {

};

view "internal" {

zone "0.168.192.in-addr.arpa." IN { type master; //定義逆向解析區(qū)聲明，in-addr.arpa 是固定寫法 match-clients { any; }; match-destinations { any; }; recursion yes; //對內(nèi)網(wǎng)用戶開啟DNS 的遞歸查詢 directory "/var/named"; //定義服務器區(qū)配置文件存放的目錄，由于使用了chroot 功能， //區(qū)配置文件存放的實際目錄是/var/named/chroot/var/named dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; //注意：書寫反向地址解析時，與通常書寫的ip 地址順序相反，如：0.168.192

}; }; file "192.168.0.db"; //逆向解析區(qū)文件名，名稱可以任意取 zone "test.edu.cn." IN { }; type master; //定義正向解析區(qū)聲明, 如果不寫IN ，那么默認就是IN 類 file "test.edu.cn.db"; //正向解析區(qū)文件名，名稱可以任意取 zone "." IN { }; //定義根區(qū)聲明 //選擇type 為hint （"." 專用） //默認文件名named.root ，有時也可能是named.ca //在DNS

數(shù)據(jù)庫中，named.root 文件列出了所有根DNS 服務器的地址 type hint; file "named.root"; zone "localhost." IN { }; type master; file "localhost.zone"; //定義localhost 的正向解析區(qū)聲明 allow-update { none; }; zone "0.0.127.in-addr.arpa." IN { }; type master; file "named.local"; allow-update { none; }; //定義localhost 的逆向解析區(qū)聲明 //定義localhost 的逆向解析區(qū)聲明（IPv6） zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." IN { type master; file "named.ip6.local"; allow-update { none; }; };

include "/etc/rndc.key"; //包含/etc/rndc.key文件

下面對主配置文件named.conf 的語法進行介紹。

1）配置語句

named.conf 的配置語句及其功能見表8-3。

表8-3 named.conf 的配置語句及其功能

2）options 語句

named.conf 文件中全局配置語句的語法為：

options(

配置子句;

配置子句;

);

常用的全局配置子句及其功能見表8-4。

表8-4 全局配置子句及其功

3）區(qū)聲明

named.conf 文件中最重要的部分是區(qū)聲明，zone 語句的語法為：

zone “zone-name” IN(

type 子句;

file 子句;

其他子句;

);

常用的區(qū)聲明子句及其功能見表8-5。

表8-5 區(qū)聲明子句及其功能

4）view 指令

在實際的網(wǎng)絡應用中，有時希望能夠根據(jù)來自不同IP 地址的請求，對同一個域名解析到不同的IP 地址，比如：一所高校的校園網(wǎng)有兩個出口：教育網(wǎng)和公網(wǎng)（網(wǎng)通、電信等），希望來自教育網(wǎng)的用戶通過教育網(wǎng)接口訪問，來自公網(wǎng)的用戶通過公網(wǎng)接口訪問，另外，還要對校內(nèi)用戶提供域名解析服務。此時可以通過BIND9提供的view 指令實現(xiàn)該功能（BIND8沒有view 指令），加快用戶的訪問速度。

view 可以看成zone 的集合，如果在配置文件named.conf 中一個view 都沒有，那么所有的zone 默認屬于一個view 。

（1）修改配置文件named.conf ，主要內(nèi)容如下： acl "jiaoyuwang_ip_range"{ //創(chuàng)建一個訪問控制列表

127.0.0.1; 211.68.0.0/16; 211.84.0.0/16;

//127.0.0.1是本機，211.68.0.0/16和211.84.0.0/16表示教育網(wǎng)，注意：在此僅僅是示例，

//如果實際應用，讀者要獲得教育網(wǎng)地址列表

};

acl "lan_ip_range"{

127.0.0.1; 192.168.0.0/24; 10.10.0.0/16;

//127.0.0.1是本機，211.68.0.0/16和218.68.0.0/16表示校園內(nèi)網(wǎng)，讀者要根據(jù)自己的

//網(wǎng)絡環(huán)境獲得校園網(wǎng)地址列表

};

view "jiaoyuwang" {

match-clients { "jiaoyuwang_ip_range"; };

recursion no;

zone "." IN {

type hint;

file "name.root";

};

zone "xinx.edu.cn" {

type master;

file "jiaoyuwang/xinx.edu.cn.db"; //針對教育網(wǎng)用戶的正向解析區(qū)文件

};

};

view "inside" {

match-clients { "lan_ip_range"; };

recursion yes;

zone "." IN {

type hint;

file "name.root";

};

zone "0.168.192.in-addr.arpa" IN {

type master;

file "0.168.192.in-addr.arpa.db"; //針對內(nèi)網(wǎng)用戶的逆向解析區(qū)文件 //此視圖對內(nèi)網(wǎng)用戶提供視圖內(nèi)定義的DNS 服務 //此視圖對教育網(wǎng)用戶提供視圖內(nèi)定義的DNS 服務 //把遞歸關掉，這臺DNS 服務器忽略外來用戶的非本地域名請求 //對內(nèi)網(wǎng)用戶開啟DNS 的遞歸查詢

};

zone "xinx.edu.cn" {

type master;

file "xinx.edu.cn.db";

};

};

view "gongwangqita" {

match-clients { any; };

//地址列表也可以用any 、none 、localnets 和localhost 。any 是指任何主機，

//none不匹配任何主機，localnets 是指本地網(wǎng)絡的所有主機，localhost 是指本地主機。

//將此視圖放在jiaoyuwang 和inside 視圖之后，對除了教育網(wǎng)用戶和內(nèi)網(wǎng)用戶以外的

//所有用戶提供視圖內(nèi)定義的DNS 服務

recursion no;

zone "." IN {

type hint;

file "name.root";

};

zone "xinx.edu.cn " {

type master;

file "gongwangqita/db.caterpillar.com.outside";

//針對除了教育網(wǎng)用戶和內(nèi)網(wǎng)用戶以外的所有用戶的正向解析區(qū)文件

};

}; //把遞歸關掉，這臺DNS 服務器忽略外來用戶的非本地域名請求 //針對內(nèi)網(wǎng)用戶的正向解析區(qū)文件

（2）創(chuàng)建文件/var/named/chroot/var/named/jiaoyuwang/xinx.edu.cn.db

jiaoyuwang/xinx.edu.cn.db正向解析區(qū)文件對教育網(wǎng)用戶提供DNS 服務，內(nèi)容如下： $TTL 1H

@

SOA dns.xinx.edu.cn. root.xinx.edu.cn. ( IN

IN

www 2 ; Serial 3H ; Refresh 1H ; Retry 1W ; Expire 1H ) ; Minimum ; NS（Name Server）后面的主機管理整個“xinx.edu.cn. ”域 NS dns.xinx.edu.cn. A 192.168.0.5 IN A dns 211.68.58.22 ; 與教育網(wǎng)相連的網(wǎng)絡接口的公共IP 地址

（3）創(chuàng)建文件/var/named/chroot/var/named/xinx.edu.cn.db

xinx.edu.cn.db 正向解析區(qū)文件對內(nèi)網(wǎng)用戶提供DNS 服務，內(nèi)容如下：

$TTL 1H

@

SOA dns.xinx.edu.cn. root.xinx.edu.cn. ( IN IN

IN 2 ; Serial 3H ; Refresh 1H ; Retry 1W ; Expire 1H ) ; Minimum ; NS（Name Server）后面的主機管理整個“xinx.edu.cn. ”域 NS dns.xinx.edu.cn. MX 10 A dns.test.edu.cn. ; MX（Mail eXchanger）指定郵件轉(zhuǎn)發(fā)服務器，接收 ; 從Internet 上來的郵件，然后再轉(zhuǎn)發(fā)給相應的主機 dns 192.168.0.5

IN A 192.168.0.22 ; 與內(nèi)網(wǎng)相連的網(wǎng)絡接口的IP 地址 www

（4）創(chuàng)建文件/var/named/chroot/var/named/gongwangqita/xinx.edu.cn.db

gongwangqita/xinx.edu.cn.db正向解析區(qū)文件對除了教育網(wǎng)用戶和內(nèi)網(wǎng)用戶以外的所有用戶提供DNS 服務，內(nèi)容如下：

$TTL 1H

@

SOA dns.xinx.edu.cn. root.xinx.edu.cn. ( IN

IN

www 2 ; Serial 3H ; Refresh 1H ; Retry 1W ; Expire 1H ) ; Minimum ; NS（Name Server）后面的主機管理整個“xinx.edu.cn. ”域 NS dns.xinx.edu.cn. A 192.168.0.5 IN A 58.32.5.78 dns ; 與電信網(wǎng)相連的網(wǎng)絡接口的公共IP 地址

以上示例僅用來幫助讀者理解view 指令的使用。

第3步：創(chuàng)建正向/逆向解析區(qū)文件

在主DNS 服務器/var/named/chroot/var/named/目錄創(chuàng)建正向解析區(qū)文件test.edu.cn.db ，文件內(nèi)容如下，正向解析文件主要由一系列A 資源記錄（RR ，Resource Record ）組成，使得DNS 服務器能夠?qū)⒂蛎馕龀蒊P 地址。

$TTL 1H

@

SOA dns.test.edu.cn. root.test.edu.cn. ( IN 2 ; Serial 3H ; Refresh 1H ; Retry 1W ; Expire 1H ) ; Minimum ; NS（Name Server）后面的主機管理整個“test.edu.cn. ”域 NS dns.test.edu.cn.

IN

IN

IN

IN MX 10 A A A dns.test.edu.cn. ; MX（Mail eXchanger）指定郵件轉(zhuǎn)發(fā)服務器，接收 ; 從Internet 上來的郵件，然后再轉(zhuǎn)發(fā)給相應的主機 dns www 192.168.0.5 192.168.0.10 192.168.0.20

dns2 IN ; www有兩個IP 地址 CNAME dns ; 指定主機別名

在主DNS 服務器/var/named/chroot/var/named/目錄創(chuàng)建逆向解析區(qū)文件192.168.0.db ， 文件內(nèi)容如下，逆向解析文件由一系列PTR 資源記錄（RR ，Resource Record）組成，使得DNS 服務器能夠?qū)P 地址反向解析成域名。

$TTL 1H

@

5

10

20 SOA dns.test.edu.cn. root.test.edu.cn. ( 2 ; Serial 3H ; Refresh 1H ; Retry 1W ; Expire 1H ) ; Minimum NS dns.test.edu.cn. PTR dns.test.edu.cn. PTR www.test.edu.cn. PTR www.test.edu.cn.

注意：

對DNS

服務器的配置其實就是對named.conf 文件、正向解析文件、逆向解析文件的修改。

下面對正向/逆向解析區(qū)文件的語法進行介紹。

每個區(qū)文件都是由區(qū)文件指令和若干條資源記錄（RR ，Resource Record）組成。

1）區(qū)文件指令

在區(qū)文件中使用的區(qū)文件指令及其功能見表8-6。

表8-6 區(qū)文件指令及其功能

2）SOA 記錄

SOA （Start of Authority）記錄表示一個授權(quán)區(qū)的開始，其格式如下：

zone （或@）

[IN] SOA Hostname Contact ( Serial Refresh Retry Expire Minimum )

@表示在named.conf 文件中由zone 定義的區(qū)的名稱，比如：zone "test.edu.cn." IN {}，在test.edu.cn.db 文件中的@就表示“test.edu.cn. ”。

在SOA 后面有兩個部分：Hostname 和Contact 。Hostname 是主機名稱（dns.test.edu.cn. ），Contact 是管理員的電子郵箱地址，因為@在資源記錄中有特殊的意義，所以用點“. ”代替這個符號。root@test.edu.cn.應寫為root.test.edu.cn. ，注意后面的“. ”。

小刮號中有五個數(shù)字，除了Minimum 與TTL 有關之外，其他四個的都跟主/從DNS 服務器的同步有關。SOA 記錄中的數(shù)據(jù)字段及其功能見表8-7。

表8-7 SOA 記錄中的數(shù)據(jù)字段及其功能

3）標準資源記錄（RR ，Resource Record）

DNS 標準資源記錄的格式是：[domain] [ttl] [class] type rdate

各個字段之間用空格或制表符分隔，這些字段的含義見表8-8。可以包含一些特殊字符：“@”表示當前域、“()”允許數(shù)據(jù)跨行，通常用于SOA 記錄、“; ”引出注釋、 “*”僅用于domain 字段的通配符，domain 字段說明資源記錄引用的對象名，可以是一臺單獨的主機也可以是個域名。

表8-8 資源記錄中各字段的含義

表8-9 資源記錄類型

在正向/逆向解析區(qū)文件中，資源記錄的書寫順序是：SOA RR 應該放在最前面，通常NS RR緊跟在SOA RR之后，其他記錄的順序無關緊要。

第4步：檢查配置文件的語法

執(zhí)行named-checkconf 命令，可以檢查/etc/named.conf文件是否有語法錯誤，如果執(zhí)行named-checkconf 命令后沒有任何輸出，說明/etc/named.conf文件沒有語法錯誤。

[root@localhost ~]# named-checkconf

none:0: open: /etc/named.conf: file not found

此時可以建立對/var/named/chroot/etc/named.conf文件的符號鏈接/etc/named.conf。

[root@localhost ~]# ln -s /var/named/chroot/etc/named.conf /etc/named.conf

[root@localhost ~]# ls -l /etc/named.conf

lrwxrwxrwx 1 root root 32 05-18 12:46 /etc/named.conf -> /var/named/chroot/etc/named.conf

[root@localhost ~]# named-checkconf

[root@localhost ~]#

第5步：測試

修改/etc/resolv.conf文件，將nameserver 行改寫為nameserver 192.168.0.5。

執(zhí)行#service named restart命令重啟DNS 服務器，或者執(zhí)行#rndc reload命令，重新加載配置文件。

執(zhí)行#nslookup www.test.edu.cn命令測試DNS 的正向解析功能。

執(zhí)行#nslookup 192.168.0.10命令測試DNS 的反向解析功能。

將第2步的named.conf 文件中的match-clients { any; };修改為match-clients { none; };，執(zhí)行#nslookup www.test.edu.cn命令，結(jié)果如圖8-22所示，讀者分析這是為什么？

8.2.3 實例—設置DNS 客戶機

在Linux 系統(tǒng)中，需要配置兩個文件：/etc/host.conf和/etc/resolv.conf。