UNIX 課程設(shè)計___DNS Server 配置DNS 服務(wù)器配置本課程設(shè)計分工明細(xì)：一、DNS 工作原理：DNS (Domain Name Service) 也稱為域名服務(wù)，它是一個Interne

UNIX 課程設(shè)計___DNS Server 配置

DNS 服務(wù)器配置

本課程設(shè)計分工明細(xì)：

一、DNS 工作原理：

DNS (Domain Name Service) 也稱為域名服務(wù)，它是一個Internet 中TCP ／IP 的服務(wù)，用于映射網(wǎng)絡(luò)地址。即Internet 域名與IP 地址之間的轉(zhuǎn)換關(guān)系。 IP地址轉(zhuǎn)化為域名稱為正向解析，把域名轉(zhuǎn)化為IP 地址稱為反向解析。

DNS 服務(wù)器分類：根DNS server 共13個標(biāo)號A-M ；頂級DNS （TLD ）server ；權(quán)威DNS server 。

DNS 涉及的參數(shù)：正向查找域forward ；反向查找域reverse ；資源記錄；轉(zhuǎn)發(fā)器。

下面簡要介紹三種基本的域名服務(wù)器及在實際系統(tǒng)中應(yīng)用。

1、主域名服務(wù)器（Master ）

這種類型的DNS 本身含有域名配置文件（就是有Zone ），這個文件就是設(shè)置正解或反解的“數(shù)據(jù)庫”，所以它本身具有提供Internet 查詢所需的數(shù)據(jù)。

2、輔助域名服務(wù)器（Slave ）

假設(shè)DNS 服務(wù)器共管理50臺主機(jī)的IP 與主機(jī)名稱的對應(yīng)，并且你只有一臺DNS 服務(wù)器，那么萬一由于網(wǎng)絡(luò)問題或者是主機(jī)的軟、硬件問題，導(dǎo)致這個服務(wù)終止了，則那50臺主機(jī)的主機(jī)的主機(jī)名與IP 的對應(yīng)就找不到了，所以，一般來說，DNS 系統(tǒng)會建議你至少要有兩臺主機(jī)提供DNS 的服務(wù)。

不過，如果有4臺DNS 主機(jī)提供這樣的名稱解析服務(wù)，而且這4臺主機(jī)是互為備援的，也就是說，這4臺主機(jī)的內(nèi)容其實是一模一樣的，如果要更改一個名稱與IP 地址的對應(yīng)，都需要手動去修改4臺主機(jī)的內(nèi)容，這將很麻煩。

這個時候Slave 類型的DNS 主機(jī)就出現(xiàn)了。不過，shave 主機(jī)需要與Master 主機(jī)相互搭配。

用以上案例來說明，如果我需要有4臺主機(jī)提供DNS 服務(wù)，且4臺主機(jī)的內(nèi)容相同，那么只要指定一臺主機(jī)為Master ，其它3臺為該Master 的Slave 主機(jī)，當(dāng)修改一個IP 與名稱的對應(yīng)時，只要手動修改Msater 那臺主機(jī)上的配置文件然后重啟BIND 服務(wù)，其他三臺Slave 就會自動被通知更新了。這樣依賴就解決了維護(hù)管理工作量大的問題。

3、Cache-Only

Cache-Only 這種類型的DNS 主機(jī)沒有自己的數(shù)據(jù)庫，僅用于幫助Client 端向外部DNS 主機(jī)請求數(shù)據(jù)。簡單來說，可以把它看著一個代理人，通常設(shè)置在防火墻上。

下面是DNS 的查找過程（簡述）：

DNS 的結(jié)構(gòu)是一個樹狀結(jié)構(gòu)，稱為域名空間 。

針對如下圖示：

網(wǎng)絡(luò)20072___DNS Server 1

UNIX 課程設(shè)計___DNS Server 配置

當(dāng)A 主機(jī)要訪問www.lupaworld.com （B 主機(jī)）時，先查看DNS 服務(wù)器（.edu.cn ），有則返回結(jié)果給A 主機(jī)，沒有則向ROOT DNS服務(wù)器查詢。root 會返回管理.com 服務(wù)器的地址，DNS 服務(wù)器再去管理.com 的服務(wù)器查詢，得到管理.lupaworld.com 的服務(wù)器地址。然后到管理.lupaworld.com 的服務(wù)器查詢，當(dāng)查到www.lupaworld.com 的主機(jī)時，就把此主機(jī)的IP 地址返回給主機(jī)A ，并存入本地緩存中。

二、課程設(shè)計內(nèi)容

本課程設(shè)計環(huán)境假設(shè)

1、拓?fù)淙缦?/p>

網(wǎng)絡(luò)20072___DNS Server 2

UNIX 課程設(shè)計___DNS Server 配置

2、問題描述：

本企業(yè)中在企業(yè)網(wǎng)邊界FIREWALL （具備NAT 功能）連接至Internet. 向ISP 申請了一個ip 地址（ISP 提供申請的ip 地址的同時，還提供了本ip 地址掩碼，ISP 的DNS 服務(wù)器地址—該地址用做本企業(yè)的上級DNS 地址）。圖中也曾提及，邊界的FIREWALL 可根據(jù)企業(yè)需求及經(jīng)費選擇使用UNIX 主機(jī)代理上網(wǎng)，在UNIX 主機(jī)上做IPTABLES 防火墻和NAT 。

在DMZ 區(qū)域中，有本企業(yè)網(wǎng)內(nèi)部的服務(wù)器集群（這里以WWW,FTP,MAIL,DNS 為例）。 在內(nèi)部網(wǎng)中則是企業(yè)內(nèi)網(wǎng)。

3、現(xiàn)在知道：

ISP 提供的

Ip ：9.9.9.9

MASK ：255.255.255.0

ISP 的DNS 服務(wù)器地址：8.8.8.8（可能還涉及輔助DNS ，域名，域名搜索列表） 本企業(yè)網(wǎng)內(nèi)部IP 規(guī)劃：

DMZ 區(qū)域：10.0.0.0/8

企業(yè)內(nèi)網(wǎng)：10.1.0.0/8

在DMZ 區(qū)域中：

WWW 服務(wù)器：10.0.0.6/8 域名：www.wangluo20072.com

FTP 服務(wù)器：10.0.0.7/8 域名：www.ftp.wangluo20072.com

MAIL 服務(wù)器：10.0.0.8/8 域名：www.mail.wangluo20072.com

DNS 服務(wù)器：10.0.0.9/8

輔助DNS 服務(wù)器：10.0.0.10/8

以上服務(wù)器的默認(rèn)網(wǎng)關(guān)均為：10.0.0.1

注：不能在同一臺計算機(jī)上同時配置同一個域的主域名服務(wù)器和輔助域名服務(wù)器。

Ip 地址均粗略估計，未做詳細(xì)規(guī)劃；

網(wǎng)絡(luò)20072___DNS Server

3

UNIX 課程設(shè)計___DNS Server 配置

4、以下是對DMZ 區(qū)域的區(qū)域DNS 服務(wù)器的詳細(xì)配置：

a 、在欲作DNS 服務(wù)的服務(wù)器上安裝相應(yīng)的UNIX 操作系統(tǒng)并裝好BIND 服務(wù)軟件；為其配置靜態(tài)IP 地址，地址為10.0.0.9；mask 255.0.0.0；默認(rèn)網(wǎng)關(guān)：10.0.0.1. 同時設(shè)置其主DNS 地址 為10.0.0.9。

b 、重啟網(wǎng)絡(luò)服務(wù)，并設(shè)置安全級別為無防火墻。

c 、驗證BIND 服務(wù)軟件是否裝好且是否為所需要的版本；

使用命令：rpm –qa | grep bind

如果出現(xiàn)版本號，則說明DNS 服務(wù)軟件已安裝好；

d 、配置主域名服務(wù)器

⑴、對主配置文件named.conf 進(jìn)行配置：

vi /etc/named.conf

其中options 主要是管理整體服務(wù)器環(huán)境和相應(yīng)的權(quán)限

網(wǎng)絡(luò)20072___DNS Server 4

UNIX 課程設(shè)計___DNS Server 配置

添加正向進(jìn)行區(qū)聲明、指定 master 類型，即主域名服務(wù)器的類型、指定存放數(shù)據(jù)的文件、允許動態(tài)更新wangluo20072.com 數(shù)據(jù)的客戶機(jī)。

添加反向進(jìn)行區(qū)聲明、反向解析的域名，它的名字必須以“.in-addr.arpa ”結(jié)尾、指定 master 類型，即主域名服務(wù)器的類型、指定存放數(shù)據(jù)的文件、允許動態(tài)更新wangluo20072.com 數(shù)據(jù)的客戶機(jī)。

網(wǎng)絡(luò)20072___DNS Server

5

UNIX 課程設(shè)計___DNS Server 配置

上圖（圖一、二、三）中關(guān)鍵詞解析：

（1）type master| hint |slave,指出服務(wù)器的類型。

（2）master:此服務(wù)器為主DNS 服務(wù)器。

（3）hint:此服務(wù)器作啟動時初始化為高速緩存DNS 服務(wù)器。

（4）slave:此服務(wù)器作為輔助DNS 服務(wù)器。

（5）file ：存放該zone 數(shù)據(jù)的文件名。

（6）allow-update:允許動態(tài)更新該zone 數(shù)據(jù)的客戶機(jī)。

（7）反向解析的域名，它的名字必須.in-addr.arpa 來結(jié)尾。

（2）、復(fù)制/var/named/localhost.zone 模板文件到/var/named/目錄下，并把文件命名為wangluo20072.com.zone 。具體命令為：cp /var/named/localhost.zone /var/named/wangluo20072.com.zone注意：localhost.zone 用來配置正向解析的模板文件。

vi /var/named/wangluo20072.com.zone

(3)、復(fù)制/var/named/named.local 模板文件到/var/named/目錄下，并把文件命名為0.0.10.local 。具體命令為：[root@localhost root]#cp /var/named/named.local /var/named/0.0.10.local

vi /var/named/0.0.10.local

網(wǎng)絡(luò)20072___DNS Server 6

UNIX 課程設(shè)計___DNS Server 配置

Zone 文件local 文件

(1)$TTL：這個域的保留時間。

(2)$ORIGIN localhost.：默認(rèn)的域。

(3)NS：指定域名服務(wù)器，每一個主域名服務(wù)器和從域名服

務(wù)器都應(yīng)該用有一條NS 記錄，以防止主服務(wù)器在出現(xiàn)故

障后，從服務(wù)器不能及時提供服務(wù)。

(4)A：將一個域名解析成其后的IP 。

(5)CNAME：將一個域名設(shè)置為另一個域名的別名。

(6)PTR：將一個IP 地址指向一個域名。

(7)MX：指定域名服務(wù)器，一般用于定義某一個域里負(fù)責(zé)的郵件服務(wù)器, 并且每 一條MX 記錄前都需要指定優(yōu)先級別。

(8)SOA（Start of Authority）:起始授權(quán)（每個域文件中都應(yīng)該有一個SOA 段）。

serial 表示序列號

refresh 表示刷新

retry 表示重試

expiry 表示過期minimum 表示生存期

序列號：用于DNS 數(shù)據(jù)庫文件的版本控制。每當(dāng)數(shù)據(jù)被改變，這個序列號就應(yīng)該被增加。 刷新：從服務(wù)器向主服務(wù)器查詢最新數(shù)據(jù)的間隔周期。每一次檢查時從服務(wù)器的數(shù)據(jù)是否需要更改，則根據(jù)序列號來判別。

重試：一旦從服務(wù)器嘗試連接主服務(wù)器失敗，下一次查詢主服務(wù)器的延遲時間。

過期：如果從服務(wù)器無法連通主服務(wù)器，則在經(jīng)過此時間后，宣告其數(shù)據(jù)過期。

生存期：服務(wù)器回答“無此域名”的間隔時間。

（4）編輯resolv.conf 文件（可選、如果需要配置從服務(wù)器時需要使用此項） resolv.conf 文件在目錄/etc/resolv.conf 默認(rèn)文件空

該文件存放了上一級的DNS 服務(wù)器IP 。當(dāng)本地的DNS 服務(wù)器無法解析時將交給上一層DNS 服務(wù)器執(zhí)行；

如果是PPPOE 方式上網(wǎng)，即ISP 采用DHCP 方式分配所需信息（包括IP ，MASK,DNS_IP等等）。 此時DHCP 會自動的在resolv.conf 文件里加入DNS 服務(wù)器地址以及其他相關(guān)信息（這需要ISP 在DHCP 服務(wù)器中進(jìn)行相應(yīng)配置）；

在本企業(yè)網(wǎng)中，業(yè)主從ISP 申請的是靜態(tài)的IP ；需要對上一級DNS 服務(wù)器地址文件進(jìn)行編輯，以指示當(dāng)本地?zé)o法查詢時，遞交給上一級DNS 查詢；

vi /etc/resolv.conf

nameserver 8.8.8.8 //該配置文件中最重要命令，沒有它或者錯誤配置將無法執(zhí)行上一級查詢。瀏覽部分網(wǎng)頁時將報錯。

還可以配置

ISP 提供的輔助DNS

ISP 提供的域名

ISP 提供的search 域名（域名的搜索列表）

等等。。。

網(wǎng)絡(luò)20072___DNS Server 7

UNIX 課程設(shè)計___DNS Server 配置

（5）、編輯host.conf 文件

"/etc/host.conf"說明了如何解析地址，Linux 通過解析器庫來獲得主機(jī)名對應(yīng)的IP 地址；

host.conf 文件默認(rèn)內(nèi)容

order hosts，bind

//"order " 指定主機(jī)名查詢順序，其參數(shù)為用逗號隔開的查找方法，支持的查找方法為bind 、hosts 和nis ，分別代表DNS 、/etc/hosts和NIS ，這里規(guī)定先查詢"/etc/hosts"文件然后再使用DNS 來解析域名。

可附加的參數(shù)有：

//"trim" 表明當(dāng)通過DNS 進(jìn)行地址到主機(jī)名的轉(zhuǎn)換時，域名將從主機(jī)名中被裁剪掉，trim 可以被多個域包含多次，對/etc/hosts和NIS 查詢方法不起作用，注意在/etc/hosts和NIS 表中主機(jī)名是被適當(dāng)?shù)?有或沒有全域名) 列出的。

//"multi" 指定是否"/etc/hosts"文件中指定的主機(jī)可以有多個地址，值為on 表示允許，擁有多個IP 地址的主機(jī)一般稱為具有多個網(wǎng)絡(luò)界面。

//"nospoof " 指是否允許對該服務(wù)器進(jìn)行IP 地址欺騙，值為on 表示不允許，IP 欺騙是一種攻擊系統(tǒng)安全的手段，通過把IP 地址偽裝成別的計算機(jī)，來取得其它計算機(jī)的信任。 //"alert" 當(dāng)nospoof 指令為on 時，alert 控制欺騙的企圖是否用syslog 工具進(jìn)行記錄，值為on 表示使用，缺省值為off 。

//"rccorder" 如果被設(shè)置為on ，所有的查詢將被重新排序，所以在同一子網(wǎng)中的主機(jī)將首選被返回，缺省值為off 。

三、驗證DNS 配置

啟動服務(wù)

a、killall named

功能：殺死進(jìn)程，保證BIND 能正常啟動

b、service named start

或service

restart named

網(wǎng)絡(luò)20072___DNS Server 8

UNIX 課程設(shè)計___DNS Server 配置

（當(dāng)服務(wù)啟動后使用命令netstat –ntlu 可以查看tcp53狀態(tài)）

DNS 工作情況日志信息存放在：/var/log/messages 使用命令tail –n 15 /var/log/messages | grep named 查看

網(wǎng)絡(luò)20072___DNS Server

9

UNIX 課程設(shè)計___DNS Server 配置

測試DNS 服務(wù)

使用nslookup 命令

在DHCP 服務(wù)器上

在其余測試主機(jī)（非UNIX 操作系統(tǒng)）上、 DHCP 獲得主機(jī)信息：

網(wǎng)絡(luò)20072___DNS Server

10