學(xué)習(xí)情境四 DNS 服務(wù)器安裝、配置與管理 知識(shí)目標(biāo)：1. 掌握Windows Server 2008下DNS 服務(wù)的基本配置方法2. 掌握Linux 下DNS 服務(wù)的基本配置方法3. 了解DNS 域

學(xué)習(xí)情境四 DNS 服務(wù)器安裝、配置與管理 知識(shí)目標(biāo)：

1. 掌握Windows Server 2008下DNS 服務(wù)的基本配置方法

2. 掌握Linux 下DNS 服務(wù)的基本配置方法

3. 了解DNS 域名解析原理和有關(guān)術(shù)語

4. 掌握利用Bind 組件實(shí)現(xiàn)多線路動(dòng)態(tài)智能DNS 解析的方法

能力目標(biāo)：

1. 能根據(jù)企業(yè)實(shí)際情況，在Windows 和Linux 服務(wù)器上配置DNS 服務(wù)，并進(jìn)行DNS 解析服務(wù)測(cè)試

2. 能根據(jù)多線路單服務(wù)器的網(wǎng)絡(luò)情況，配置智能DNS 服務(wù)器

3. 能利用RouterOS 模擬多線路環(huán)境和進(jìn)行服務(wù)器IP 地址映射，測(cè)試動(dòng)態(tài)智能DNS 解析功能是否正確

情景再現(xiàn)與任務(wù)分析：

目前我國(guó)存在著較多的ISP （互聯(lián)網(wǎng)服務(wù)提供商），如北方地區(qū)的中國(guó)聯(lián)通，南方地區(qū)的中國(guó)電信，以及覆蓋全國(guó)大中專院校和科研機(jī)構(gòu)的中國(guó)教育網(wǎng)CERNET 。這些ISP 可以為用戶提供個(gè)性化的接入服務(wù)。

由于之前學(xué)校網(wǎng)絡(luò)使用電信單線接入方式，DNS 設(shè)備也僅是簡(jiǎn)單的將網(wǎng)絡(luò)服務(wù)（如Web 、E-mail 、OA 等）的域名解析為固定的IP 地址，用戶訪問域名時(shí)解析到的IP 地址始終不變。此時(shí)當(dāng)用戶訪問學(xué)校主頁時(shí)，無論他來自中國(guó)聯(lián)通還是中國(guó)教育網(wǎng)甚至是國(guó)外的用戶，最終都要通過電信的網(wǎng)絡(luò)，才能到達(dá)域名對(duì)應(yīng)的IP 地址。由于不同ISP 之間或多或少都存在一些網(wǎng)間瓶頸問題，而且在網(wǎng)間通信負(fù)荷稍高時(shí)，非電信的網(wǎng)絡(luò)用戶甚至無法正常訪問該網(wǎng)站。為了解決這類問題，且隨著網(wǎng)絡(luò)應(yīng)用技術(shù)的發(fā)展和高校師生隊(duì)伍的壯大，學(xué)?？紤]到網(wǎng)絡(luò)的健壯性，決定同時(shí)接入多個(gè)ISP 的網(wǎng)絡(luò)，以提高訪問不同ISP 網(wǎng)絡(luò)的速度，即在原有網(wǎng)絡(luò)環(huán)境中布設(shè)2個(gè)網(wǎng)絡(luò)出口，一個(gè)是電信，另一個(gè)是教育網(wǎng)。

假設(shè)如果純粹為了提高不同ISP 網(wǎng)絡(luò)用戶訪問學(xué)校Web 服務(wù)器的速度，可以分別在2個(gè)出口部署2臺(tái)Web 服務(wù)器，配置2個(gè)IP 地址和申請(qǐng)2個(gè)域名進(jìn)行解析，不同的ISP 網(wǎng)絡(luò)用戶訪問不同的域名。但這不僅提高了學(xué)校建設(shè)和網(wǎng)絡(luò)管理成本，也不便于用戶訪問學(xué)校服務(wù)器。利用智能DNS 技術(shù)和路由器映射技術(shù)，可以實(shí)現(xiàn)1臺(tái)Web 服務(wù)器、1個(gè)域名同時(shí)為多個(gè)ISP 網(wǎng)絡(luò)提供服務(wù)。

以學(xué)校網(wǎng)站為例，處于校園網(wǎng)內(nèi)網(wǎng)的1臺(tái)Web 服務(wù)器，IP 地址為192.168.200.10，通過路由器映射到外網(wǎng)2個(gè)出口的2個(gè)不同IP 地址：59.77.158.10（限教育網(wǎng)用戶）和59.56.178.51（電信用戶及其他）；該Web 服務(wù)器只申請(qǐng)一個(gè)域名：www.fjcc.edu.cn ，當(dāng)用戶訪問該域名時(shí)，智能DNS 服務(wù)器會(huì)先檢查該用戶發(fā)送數(shù)據(jù)包的源IP 地址，再根據(jù)其內(nèi)部的ISP-IP 地址池映射表判斷用戶是來自哪一個(gè)ISP ，如果是教育網(wǎng)用戶就解析為59.77.158.10，電信用戶或其他ISP 網(wǎng)絡(luò)用戶就解析為59.56.178.51。實(shí)現(xiàn)不同ISP 網(wǎng)絡(luò)用戶不需要跨ISP 網(wǎng)絡(luò)訪問學(xué)校Web 服務(wù)器。

２nnWindows 與 Linux 網(wǎng)絡(luò)管理與維護(hù)nn同樣地，智能 DNS 服務(wù)器也可以為校園網(wǎng)內(nèi)網(wǎng)的用戶，將 www.fjcc.edu.cn 解析為 192.168.200.10，使得內(nèi)網(wǎng)用戶不需要經(jīng)路由器出口轉(zhuǎn)一圈后，再回來訪問內(nèi)網(wǎng)服務(wù)器，提 高內(nèi)網(wǎng)用戶訪問效率。具體的網(wǎng)絡(luò)拓?fù)鋱D見圖 4-1。nnCERNET 路由器 ……nn防火墻 智能 DNS 服務(wù)器 校園網(wǎng)nn電信或 其他 ISP ……nn…… Web 服務(wù)器 圖 4-1 校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋘nDNS 服務(wù)器對(duì)來自校園內(nèi)部局域網(wǎng)、 外部電信網(wǎng)絡(luò)和教育網(wǎng)等不同網(wǎng)絡(luò)的用戶需要實(shí) 現(xiàn)域名解析任務(wù)，參見下表所示。n表 4-1 域名 dns.fjcc.edu.cn www.fjcc.edu.cn mail.fjcc.edu.cn oa.fjcc.edu.cn ftp.fjcc.edu.cn 域名解析對(duì)照表 電信 IP 地址 無， 僅在教育網(wǎng)注冊(cè) 59.56.178.51 59.56.178.50 無，僅供內(nèi)網(wǎng)訪問 無，僅供內(nèi)網(wǎng)訪問 教育網(wǎng) IP 地址 59.77.158.1 59.77.158.10 59.77.158.12 無，僅供內(nèi)網(wǎng)訪問 無，僅供內(nèi)網(wǎng)訪問 局域網(wǎng) IP 地址 192.168.200.1 192.168.200.10 192.168.200.12 192.168.200.15 192.168.200.250nn

學(xué)習(xí)情境四 DNS 服務(wù)器安裝、配置與管理

３

學(xué)習(xí)情境教學(xué)場(chǎng)景設(shè)計(jì)： 學(xué)習(xí)領(lǐng)域

學(xué)習(xí)情境

行動(dòng)環(huán)境

1. 企業(yè)現(xiàn)場(chǎng)

2. 校內(nèi)實(shí)訓(xùn)

基地 Windows 與Linux 網(wǎng)絡(luò)管理與維護(hù) DNS 服務(wù)器安裝、配置與管理 場(chǎng)景設(shè)計(jì) 工具、設(shè)備、教件 1. 投影儀或多媒體網(wǎng)絡(luò)廣播軟件； 1. 分組（每組2人）； 2. 教師講解實(shí)際企業(yè)工作中為什么需2. 多媒體課件、操作過程屏幕視頻要架設(shè)智能DNS 服務(wù)器；DNS 域名錄像；

解析原理；架設(shè)智能DNS 需要的軟3. 安裝有雙網(wǎng)卡（其中一塊可以是

無線網(wǎng)卡）的服務(wù)器或PC 機(jī)； 件和技術(shù)；

3. 學(xué)生提出架設(shè)DNS 服務(wù)器方案設(shè)4. 網(wǎng)絡(luò)互聯(lián)設(shè)備；

5. 能模擬跨網(wǎng)段訪問的物理交換想；

機(jī)環(huán)境或虛擬網(wǎng)絡(luò)環(huán)境。

4. 討論形成方案；

5. 方案評(píng)估；

6. 提交文檔。

任務(wù)一：CentOS 6域名服務(wù)系統(tǒng)DNS 配置與管理

知識(shí)準(zhǔn)備

1.什么是DNS

DNS （Domain Name System，域名服務(wù)系統(tǒng)）的作用是復(fù)雜難記的IP 地址轉(zhuǎn)換成簡(jiǎn)明易記的域名，實(shí)現(xiàn)名稱與IP 地址的轉(zhuǎn)換，在TCP/IP網(wǎng)絡(luò)中有非常重要的地位。DNS 存儲(chǔ)域名和IP 地址映射關(guān)系的方式是采用一個(gè)分布式數(shù)據(jù)庫，其命名系統(tǒng)采用層次的邏輯結(jié)構(gòu)，如圖一棵倒置的樹，如圖4-2所示。這個(gè)邏輯樹結(jié)構(gòu)稱為域名空間，該空間中的每個(gè)節(jié)點(diǎn)或域都有一個(gè)唯一的名字。DNS 協(xié)議使用UDP 的53號(hào)端口進(jìn)行通信。

根(root)

oa …… www

圖4-2 域名空間

４ Windows 與Linux 網(wǎng)絡(luò)管理與維護(hù)

2.DNS 解析原理及流程

由于DNS 服務(wù)利用類似樹狀目錄的方式，將主機(jī)名稱的管理分配在不同層次的DNS 服務(wù)器中，通過分層管理，每臺(tái)主機(jī)記憶的信息都不會(huì)太多，而且相當(dāng)容易修改。而且每一臺(tái)DNS 主機(jī)僅管理下一層DNS 主機(jī)的名稱解析，至于下層的下層，則授權(quán)給下層的DNS 主機(jī)來管理。下面通過實(shí)際的例子來說明DNS 的域名解析過程。假設(shè)客戶機(jī)通過福州電信的寬帶接入Internet ，福州電信為其分配的主DNS 服務(wù)器地址為218.85.157.99，當(dāng)用戶在瀏覽器的地址欄輸入www.fjcc.edu.cn 網(wǎng)址時(shí)，其域名解析過程如圖4-3所示。

（2）www.fjcc.edu.cn

（4）www.fjcc.edu.cn

讀取

保存

（5）edu域DNS 服務(wù)器地址 （6）www.fjcc.edu.cn （7）fjcc域DNS （1）

（10）

本地DNS 服務(wù)器 218.85.157.99

（8）www.fjcc.edu.cn

客戶機(jī)

edu 域服務(wù)器 cn 域服務(wù)器

（3）cn域DNS 服務(wù)器地址

根域服務(wù)器

（9）www.fjcc.edu.cn對(duì)應(yīng)的

IP 為59.56.178.51

圖4-3 域名解析過程

fjcc 域服務(wù)器

（1）用戶向福州電信DNS 服務(wù)器發(fā)送解析www.fjcc.edu.cn 的請(qǐng)求； （2）當(dāng)本地DNS 服務(wù)器收到請(qǐng)求后，先查詢本地的緩存，如果有記錄項(xiàng)，則本地DNS 服務(wù)器就直接把查詢結(jié)果返回給客戶機(jī)，如果沒有，則本地DNS 服務(wù)器就直接把請(qǐng)求發(fā)送給根域服務(wù)器； （3）根域服務(wù)器再返回給本地DNS 服務(wù)器一個(gè)查詢域（根域的子域，即cn 域）的主域名服務(wù)器地址； （4）～（8）本地DNS 服務(wù)器逐個(gè)向edu.cn 域和fjcc.edu.cn 域發(fā)送域名解析請(qǐng)求，并保存自己的緩存； （9）域名服務(wù)器fjcc.edu.cn 收到請(qǐng)求后，查詢DNS 記錄中的www 主機(jī)的信息，并將結(jié)果返回給218.85.157.99域名服務(wù)器； （10）本地DNS 服務(wù)器把返回的結(jié)果保存到緩存中，以備下一次使用，同時(shí)將結(jié)果返

學(xué)習(xí)情境四 DNS 服務(wù)器安裝、配置與管理

５

回給客戶機(jī)。這樣就完成了一次域名解析過程。

3.正向解析與反向解析

正向解析是指從域名到IP 地址的解析過程，反向解析是指從IP 地址到域名的解析過程。正向解析是Internet 中客戶端訪問互聯(lián)網(wǎng)域名時(shí)使用率最高的請(qǐng)求。

反向解析的作用在于對(duì)服務(wù)器的身份進(jìn)行驗(yàn)證。對(duì)于互聯(lián)網(wǎng)上的多數(shù)服務(wù)器，都會(huì)對(duì)接收數(shù)據(jù)的源地址進(jìn)行反向查詢，以驗(yàn)證該信息是否來自注冊(cè)合法的地址。如在電子郵件系統(tǒng)中，郵件服務(wù)器在接受郵件時(shí)，如果對(duì)郵件源地址無法進(jìn)行反向解析，表明發(fā)送郵件服務(wù)器為非法站點(diǎn)，很可能是垃圾郵件，導(dǎo)致郵件被退回或屏蔽。

4.DNS 區(qū)域和DNS 區(qū)域資源記錄

為了便于根據(jù)實(shí)際情況來分散DNS 名稱管理工作的負(fù)荷，將DNS 名稱空間劃分為區(qū)域（Zone ）來進(jìn)行管理。Zone 是DNS 服務(wù)器的管轄范圍，是由各種資源記錄（Resource Records ，簡(jiǎn)稱RRs ）構(gòu)成的。DNS 區(qū)域資源記錄的種類決定了該資源記錄對(duì)應(yīng)的計(jì)算機(jī)功能。打比方說，如果建立了主機(jī)記錄，就表明計(jì)算機(jī)是主機(jī)（用于提供Web 服務(wù)、FTP 服務(wù)等），如果建立的是郵件服務(wù)器記錄，就表明計(jì)算機(jī)是郵件服務(wù)器。常見的資源記錄類型包括以下幾種：

（1）主機(jī)記錄（A ）：將DNS 域名映射到一個(gè)單一的IP 地址。并非所有計(jì)算機(jī)都需要主機(jī)記錄，但是在網(wǎng)絡(luò)上共享資源的計(jì)算機(jī)需要該記錄，如服務(wù)器、其他DNS 服務(wù)器、郵件服務(wù)器等，都需要在DNS 服務(wù)器上建立主機(jī)記錄。

（2）別名記錄（CNAME ）：為主機(jī)指定別名，即允許使用多個(gè)名稱指向單個(gè)主機(jī)，使得某些任務(wù)更容易執(zhí)行。例如，在一臺(tái)主機(jī)上同時(shí)運(yùn)行FTP 服務(wù)和Web 服務(wù)，那么通過ftp.fjcc.edu.cn 和www.fjcc.edu.cn 提供服務(wù)的時(shí)候就需要為該主機(jī)建立別名資源記錄。

（3）郵件交換器記錄（MX ）：用于將DNS 域名映射為交換或轉(zhuǎn)發(fā)郵件的計(jì)算機(jī)名稱，說明哪臺(tái)服務(wù)器是當(dāng)前區(qū)域的郵件服務(wù)器。該記錄由電子郵件服務(wù)器程序使用，用來根據(jù)MX 資源記錄為電子郵件客戶機(jī)定位郵件服務(wù)器。

（4）指針記錄（PTR ）：指針記錄將計(jì)算機(jī)的IP 地址轉(zhuǎn)換成反向的DNS 域名。PTR 是A 的逆向記錄。

（5）服務(wù)位置記錄（SRV ）：用來說明一個(gè)服務(wù)器能夠提供什么樣的服務(wù)，SRV 記錄在微軟的Active Directory中有著重要地位。從Windows Server 2000開始，要安裝域控制器必須事先安裝DNS 服務(wù)器，因?yàn)橛騼?nèi)的計(jì)算機(jī)需要依賴DNS 的SRV 記錄來定位域控制器。

5.智能DNS 解析

智能DNS 解析的最基本功能是用戶訪問網(wǎng)站時(shí)，能根據(jù)其不同的網(wǎng)絡(luò)線路把網(wǎng)站域名解析成不同的IP 地址。例如，DNS 服務(wù)器把同樣的域名記錄分別設(shè)置指向電信和教育網(wǎng)IP ，當(dāng)電信用戶訪問該域名時(shí)，智能DNS 會(huì)自動(dòng)判斷訪問者的線路，并把域名對(duì)應(yīng)的電信IP 地址解析給用戶；而當(dāng)教育網(wǎng)用戶訪問時(shí)會(huì)自動(dòng)解析返回其對(duì)應(yīng)的教育網(wǎng)IP 地址。 需要架設(shè)智能DNS 服務(wù)器的網(wǎng)絡(luò)環(huán)境大多是以下兩種情況：

（1）多線路機(jī)房：服務(wù)器本身有多個(gè)IP ，一個(gè)電信IP ，一個(gè)教育網(wǎng)IP 或者其他線

６ Windows 與Linux 網(wǎng)絡(luò)管理與維護(hù)

路。

（2）網(wǎng)站訪問者大量來自電信，教育網(wǎng)等，對(duì)網(wǎng)站的訪問速度要求較高。

任務(wù)實(shí)施

1.檢查DNS 服務(wù)組件是否安裝

在Linux 系統(tǒng)中，提供DNS 服務(wù)的組件是柏克萊大學(xué)發(fā)展出來的BIND （Berkeley Internet Name Domain）軟件。由于在安裝CentOS 6時(shí)，在“可選軟件包”選擇界面上已經(jīng)勾選了“bind-9.7.0”選項(xiàng)，所以該服務(wù)組件應(yīng)該已經(jīng)安裝到CentOS 6中。查詢BIND 服務(wù)組件是否已經(jīng)安裝，可通過在終端命令行窗口中執(zhí)行“rpm -qa bind ”命令。 [root@Linux6 ~]# rpm -qa bind

bind-9.7.0-5.P2.el6.i686

[root@Linux6 ~]#

2.修改DNS 服務(wù)器的主機(jī)名

在創(chuàng)建和閱讀DNS 配置文件時(shí)，為了方便理解，建議修改DNS 服務(wù)器的主機(jī)名稱。在安裝時(shí)設(shè)置的主機(jī)名稱為L(zhǎng)inux6，臨時(shí)修改主機(jī)名稱可以使用“hostname <主機(jī)名>”命令（系統(tǒng)重啟后失效）。要永久修改主機(jī)名稱，需要修改“/etc/sysconfig/network”配置文件中的HOSTNAME 字段值，然后重啟系統(tǒng)。修改后顯示主機(jī)名和配置文件內(nèi)容應(yīng)按如下所示。

[root@dns ~]# hostname # 查看當(dāng)前主機(jī)名

dns

[root@dns ~]# cat /etc/sysconfig/network # 顯示配置文件內(nèi)容 NETWORKING=yes

HOSTNAME=dns

3.修改DNS 服務(wù)器本機(jī)域名

“/etc/hosts”配置文件是本機(jī)域名解析的數(shù)據(jù)文件，是DNS 早期的數(shù)據(jù)存放方式。即使本機(jī)并設(shè)置其它的DNS 服務(wù)器地址，系統(tǒng)在進(jìn)行域名解析時(shí)，事先也是先匹配該文件中的內(nèi)容。為了使本機(jī)也能識(shí)別dns.fjcc.edu.cn 域名，需要在該文件中增加一個(gè)本機(jī)名稱的別名。默認(rèn)的“/etc/hosts”文件內(nèi)容為：

[root@dns ~]# cat /etc/hosts

192.168.200.1 dns # Added by NetworkManager

127.0.0.1 localhost.localdomain localhost

::1 dns localhost6.localdomain6 localhost6

只需要修改第一行為“192.168.200.1 dns.fjcc.edu.cn dns ”即可。

4.修改DNS 服務(wù)組件的主配置文件

配置一臺(tái)DNS 服務(wù)器需要一組配置文件，如表4-2所示。CentOS 6中DNS 服務(wù)器的默認(rèn)主配置文件為“/etc/named.conf”，named 系統(tǒng)守護(hù)進(jìn)程運(yùn)行時(shí)，先從該文件中獲取其它配置文件的信息，然后按照各區(qū)域文件的設(shè)置提供域名解析服務(wù)。

表4-2 域名解析配置文件對(duì)照表 文件

主配置文件

緩沖文件

文件名稱 /etc/named.conf /var/named/named.ca 作用說明 設(shè)置全局參數(shù)、工作目錄、指定區(qū)域類型等參數(shù) 緩存服務(wù)器配置文件，通常不需要手工修改

學(xué)習(xí)情境四 DNS 服務(wù)器安裝、配置與管理 正向區(qū)域數(shù)據(jù)庫文件

反向區(qū)域數(shù)據(jù)庫文件

本機(jī)正向區(qū)域文件

本機(jī)反向區(qū)域文件 由named.conf 文件指定 由named.conf 文件指定 /var/named/named.localhost /var/named/named.loopback ７用于區(qū)域內(nèi)主機(jī)名到IP 地址的正向解析 用于區(qū)域內(nèi)IP 地址到主機(jī)名的反向解析 將本機(jī)名localhost 解析為127.0.0.1，無需修改 將本機(jī)回送IP 地址127.0.0.1解析為localhost 建議先備份“/etc/named.conf”主配置文件后再任務(wù)要求進(jìn)行修改，或在樣本文件“/usr/share/doc/bind-9.7.0/sample/etc/named.conf”的基礎(chǔ)上進(jìn)行修改。配置文件named.conf 的語法格式類似C 語言，注釋是“//”和“/*...*/”，每行結(jié)束用分號(hào)，其內(nèi)容主要由下面幾部分組成。 （1）DNS 服務(wù)器的全局配置參數(shù)

// 全局參數(shù)設(shè)置

options {

directory "/var/named"; // 指定服務(wù)器的工作目錄，即區(qū)域數(shù)據(jù)庫文件存放目錄 dump-file "/var/named/data/cache_dump.db"; // 服務(wù)器的緩存數(shù)據(jù)轉(zhuǎn)存文件

statistics-file "/var/named/data/named_stats.txt"; // 統(tǒng)計(jì)數(shù)據(jù)文件存放位置及文件名 recursion yes; // 允許遞歸查詢

allow-query { any; }; // 允許哪些客戶端查詢，any表示任何來源 // 當(dāng)本地DNS 服務(wù)器無法進(jìn)行域名解析時(shí)，把請(qǐng)求轉(zhuǎn)發(fā)到指定DNS 服務(wù)器進(jìn)行處理

// 此任務(wù)中，先轉(zhuǎn)發(fā)到福州電信DNS，后轉(zhuǎn)發(fā)到教育網(wǎng)福州大學(xué)DNS

forwarders {218.85.157.99;218.85.152.99;210.34.48.34;};

};

include "/etc/rndc.key"; // 將加密用的key 文件包含進(jìn)來

// 以下定義DNS 策略訪問控制需要的IP 列表，F(xiàn)JCC為校園網(wǎng)內(nèi)網(wǎng)，EDU為教育網(wǎng)

// 不屬于FJCC 和EDU 的IP 用戶，默認(rèn)為電信用戶

// 因篇幅有限，在此只定義教育網(wǎng)的部分網(wǎng)段地址，讀者可以自行通過網(wǎng)絡(luò)搜索相關(guān)資料進(jìn)行補(bǔ)充 // 如果網(wǎng)段地址列表太長(zhǎng)，可以將其放到另外一個(gè)文件中，用include 指令包含進(jìn)來

acl "EDU" { 59.76.0.0/16; 59.77.0.0/16; 59.78.0.0/16; };

acl "FJCC" { 192.168.0.0/16;};

（2）配置DNS 服務(wù)器域名解析日志

日志記錄了系統(tǒng)每天發(fā)生的各種各樣的事件，對(duì)于解決計(jì)算機(jī)系統(tǒng)故障和保證系統(tǒng)安全來說非常重要。用戶可以通過日志來了解系統(tǒng)運(yùn)行的狀態(tài)，檢查各種錯(cuò)誤發(fā)生的原因，或者尋找攻擊者留下的痕跡。除了系統(tǒng)和服務(wù)錯(cuò)誤日志“/var/log/messages”外，多數(shù)服務(wù)組件都有自己的日志文件，DNS 服務(wù)也不例外。

雖然大多數(shù)應(yīng)用通過使用到日志用來跟蹤程序運(yùn)行時(shí)的一些關(guān)鍵事件或者異常，給系統(tǒng)維護(hù)帶來了很大的方便，但有時(shí)也會(huì)帶來一些麻煩，比如日志文件太多、太大導(dǎo)致占用了太多的硬盤空間，單個(gè)日志文件長(zhǎng)度太大導(dǎo)致不方便打開閱讀等。解決此問題的方法是采用“日志分割和輪換”。比如：設(shè)置DNS 的查詢?nèi)罩疚募麨椤癲ns_logs.txt”、文件長(zhǎng)度超過10MB 后進(jìn)行分割、總共20個(gè)文件進(jìn)行輪換。這樣，當(dāng)dns_logs.txt的日志文件增長(zhǎng)到10MB 后，系統(tǒng)會(huì)創(chuàng)建一個(gè)新的日志文件，而把舊的日志文件改名為“dns_logs.txt.0”；當(dāng)新的日志文件又增長(zhǎng)到10MB 后，系統(tǒng)又會(huì)創(chuàng)建一個(gè)新的日志文件，而把舊的日志文件改名為“dns_logs.txt.0”和“dns_logs.txt.1”，直到創(chuàng)建了20個(gè)日志文件后不再新建，而是覆蓋創(chuàng)建日期最早的日志文件。此DNS 服務(wù)器的日志文件配置參數(shù)如下。

８ Windows 與Linux 網(wǎng)絡(luò)管理與維護(hù) logging { // 日志文件及記錄方式定義

channel warning { // 警告日志

// 定義日志文件名和存放位置，每個(gè)文件1024KB，10文件進(jìn)行輪換

file "/var/named/log/dns_warnings.txt" versions 10 size 1024k;

severity warning; // 記錄日志的程度級(jí)別為警告

print-category yes; // 輸出目錄

print-severity yes; // 輸出日志程度級(jí)別

print-time yes; // 輸出日志時(shí)間

};

category default { warning; }; // 按默認(rèn)分類

channel query_log { // 查詢?nèi)罩?/p>

// 定義日志文件名和存放位置，每個(gè)文件10MB，20文件進(jìn)行輪換

file "/var/named/log/dns_logs.txt" versions 20 size 10m;

severity info; // 記錄日志的程度級(jí)別為信息

print-category yes;

print-severity yes;

print-time yes;

};

category queries { query_log; }; // 按查詢分類

}; （3）針對(duì)來自不同網(wǎng)絡(luò)的訪問用戶，進(jìn)行相應(yīng)的域名解析處理 // 匹配教育網(wǎng)網(wǎng)址view

view "view_edu" {

match-clients { EDU; };

include "local.root"; // 包含公共域名解析處理配置文件/var/named/local.root zone "fjcc.edu.cn" IN { // 定義對(duì)域名"fjcc.edu.cn的正向解析

type master;

file "fjcc.edu.cn.edu"; // 指定該區(qū)域的數(shù)據(jù)庫文件為fjcc.edu.cn.edu allow-update { none; };

};

zone "158.77.59.in-addr.arpa" IN { // 定義對(duì)IP 地址段59.77.158.0的反向解析 type master;

file "named.59.77.158"; // 指定該區(qū)域的數(shù)據(jù)庫文件為named.59.77.158 allow-update { none; };

};

};

//----------------------------------------------------------------------------------- // 匹配校園網(wǎng)內(nèi)網(wǎng)網(wǎng)址view // 匹配電信或其他網(wǎng)絡(luò)網(wǎng)址view

view "view_fjcc" { view "view_any" {

match-clients { FJCC; }; match-clients { any; };

include "local.root"; include "local.root";

zone "fjcc.edu.cn" IN { zone "fjcc.edu.cn" IN {

type master; type master;

file "fjcc.edu.cn.fjcc"; file "fjcc.edu.cn.any";

allow-update { none; }; allow-update { none; };

}; };

zone "200.168.192.in-addr.arpa" IN { zone "178.59.56.in-addr.arpa" IN { type master; type master;

file "named.192.168.200"; file "named.59.56.178";

學(xué)習(xí)情境四 DNS 服務(wù)器安裝、配置與管理 allow-update { none; };

};

}; allow-update { none; }; }; }; ９

5.創(chuàng)建針對(duì)所有區(qū)域公共域名解析處理配置文件/var/named/local.root

由于本DNS 服務(wù)器要根據(jù)不同區(qū)域進(jìn)行不同解析處理，使用了view 語句進(jìn)行控制，系統(tǒng)要求所有的zone 語句都必須放到view 語句體中，否則會(huì)出現(xiàn)“when using 'view' statements, all zones must be in views”錯(cuò)誤提示。為了減少配置文件的長(zhǎng)度，將公共域名解析處理設(shè)置部分（主要是處理根區(qū)域和本機(jī)解析），單獨(dú)形成一個(gè)配置文件，利用include 語句包含到各個(gè)view 語句中。 // 公共配置文件/var/named/local.root

zone "." IN { // 定義“.”根區(qū)域

type hint; // 定義區(qū)域類型為提示類型

file "named.ca"; // 指定該區(qū)域的數(shù)據(jù)庫文件為named.ca

};

zone "localhost" IN { // 定義一個(gè)名為localhost 的正向區(qū)域

type master; // 定義區(qū)域類型為主要類型

file "named.localhost"; // 指定該區(qū)域的數(shù)據(jù)庫文件為named.localhost

allow-update { none; }; // 不允許更新

};

zone "0.0.127.in-addr.arpa" IN { // 定義IP 地址為127.0.0.X 的本機(jī)反向區(qū)域

type master;

file "named.loopback";

allow-update { none; };

};

6.創(chuàng)建不同區(qū)域的正向和反向解析數(shù)據(jù)庫文件

（1）教育網(wǎng)正向解析文件：/var/named/fjcc.edu.cn.edu（分號(hào)后為注釋） $TTL 1D ; 最小生存時(shí)間為1天

;下面一行為SOA（Start of Authority，授權(quán)記錄開始），@表示named.conf 中zone 語句定義的域名 ;SOA 的格式為：域名 IN SOA DNS主機(jī)名 管理員郵件地址

@ IN SOA dns.fjcc.edu.cn. root.dns.fjcc.edu.cn. (

2012030201 ;序列號(hào)，一般用修改日期來標(biāo)識(shí)

4H ;更新時(shí)間間隔4小時(shí)，指定向主DNS 服務(wù)器更新區(qū)域數(shù)據(jù)庫文件的時(shí)間間隔 1H ;重試時(shí)間間隔1小時(shí)，表示更新失敗后，多長(zhǎng)時(shí)間進(jìn)行重試更新

1W ;過期時(shí)間間隔為1星期，當(dāng)無法更新時(shí)，多長(zhǎng)時(shí)間后失效

1H ;最小默認(rèn)TTL，指定資源記錄信息存放在緩存的時(shí)間

)

@ IN NS dns.fjcc.edu.cn. ;NS記錄用于標(biāo)識(shí)區(qū)域的DNS 服務(wù)器

@ IN MX 10 mail.fjcc.edu.cn. ;MX為郵件交換器記錄，標(biāo)識(shí)郵件服務(wù)器

dns IN A 59.77.158.1 ;DNS服務(wù)器在教育網(wǎng)的IP 地址，此地址應(yīng)事先在教育網(wǎng)注冊(cè)過 www IN A 59.77.158.10 ;Web服務(wù)器在教育網(wǎng)的IP 地址

mail IN A 59.77.158.12 ;郵件服務(wù)器在教育網(wǎng)的IP 地址

（2）教育網(wǎng)反向解析文件：/var/named/named.59.77.158

$TTL 1D

@ IN SOA dns.fjcc.edu.cn. root.dns.fjcc.edu.cn. (

１０Windows 與Linux 網(wǎng)絡(luò)管理與維護(hù) 2012030201 ;serial

4H ;refresh

1H ;retry

1W ;expiry

1H ;minimum

)

@ IN NS dns.fjcc.edu.cn.

1 IN PTR dns.fjcc.edu.cn. ;PTR記錄為反向解析記錄，1表示IP 地址為59.77.158.1的主機(jī) 10 IN PTR www.fjcc.edu.cn.

12 IN PTR mail.fjcc.edu.cn.

（3）校園網(wǎng)內(nèi)網(wǎng)正向解析文件：/var/named/fjcc.edu.cn.fjcc $TTL 1D

@ IN SOA dns.fjcc.edu.cn. root.dns.fjcc.edu.cn. (

2012030201 ;serial

4H ;refresh

1H ;retry

1W ;expiry

1H ;minimum

)

@ IN NS dns.fjcc.edu.cn.

@ IN MX 10 mail.fjcc.edu.cn.

dns IN A 192.168.200.1 ;內(nèi)部網(wǎng)絡(luò)，都解析為局域網(wǎng)私網(wǎng)地址

www IN A 192.168.200.10

mail IN A 192.168.200.12

oa IN A 192.168.200.15

ftp IN A 192.168.200.250

（4）校園網(wǎng)內(nèi)網(wǎng)反向解析文件：/var/named/named.192.168.200

$TTL 1D

@ IN SOA dns.fjcc.edu.cn. root.dns.fjcc.edu.cn. (

2012030201 ;serial 4H ;refresh

1H ;retry

1W ;expiry

1H ;minimum

)

@ IN NS dns.fjcc.edu.cn.

1 IN PTR dns.fjcc.edu.cn.

10 IN PTR www.fjcc.edu.cn.

12 IN PTR mail.fjcc.edu.cn.

15 IN PTR oa.fjcc.edu.cn.

250 IN PTR ftp.fjcc.edu.cn.

（5）電信及其他網(wǎng)絡(luò)正向解析文件：/var/named/fjcc.edu.cn.any

$TTL 1D

@ IN SOA dns.fjcc.edu.cn. root.dns.fjcc.edu.cn. (

2012030201 ;serial