版權聲明：原創(chuàng)作品，謝絕轉載！否則將追究法律責任。1 DNS 原理1.1 DNS 簡介DNS （Domain Name System ）域名系統(tǒng)，在TCP/IP網絡中有非常重要的地位，能夠提供域名與I

版權聲明：原創(chuàng)作品，謝絕轉載！否則將追究法律責任。

1 DNS 原理

1.1 DNS 簡介

DNS （Domain Name System ）域名系統(tǒng)，在TCP/IP網絡中有非常重要的地位，能夠提供域名與IP 地址的解析服務。

1.2 域名空間

DNS 是一個分布式數(shù)據(jù)庫，命名系統(tǒng)采用層次的邏輯結構，如同一棵倒置的樹，這個邏輯的樹形結構稱為域名空間，由于DNS 劃分了域名空間，所以各機構可以使用自己的域名空間創(chuàng)建DNS 信息。

注：DNS 域名空間中，樹的最大深度不得超過127層，樹中每個節(jié)點最長可以存儲63個字符。

1）域和域名

DNS 樹的每個節(jié)點代表一個域，通過這些節(jié)點，對整個域名空間進行劃分，成為一個層次結構。域名空間的每個域的名字，通過域名進行表示。域名通常由一個完全正式域名（F QDN ）標識。FQDN 能準確表示出其相對于DNS 域樹根的位置，也就是節(jié)點到DNS 樹根的完整表述方式，從節(jié)點到樹根采用反向書寫，并將每個節(jié)點用“.”分隔，對于DNS 域google 來說，其完全正式域名（FQDN ）為google.com 。

一個DNS 域可以包括主機和其他域（子域），每個機構都擁有名稱空間的某一部分的授權，負責該部分名稱空間的管理和劃分，并用它來命名DNS 域和計算機。例如，google 為com 域的子域，其表示方法為google.com ，而www 為google 域中的Web ，可以使用www.google.com 表示。

注意：通常，F(xiàn)QDN 有嚴格的命名限制，長度不能超過256字節(jié)，只允許使用字符a-z, 0-9,A-Z 和減號（-）。點號（. ）只允許在域名標志之間（例如“google.com”）或者F QDN 的結尾使用。域名不區(qū)分大小。

2.Internet 域名空間

Internet 域名空間結構為一棵倒置的樹，并進行層次劃分。由樹根到樹枝，也就是從DN S 根到下面的節(jié)點，按照不同的層次，進行了統(tǒng)一的命名。域名空間最頂層，DNS 根稱為根域（root ）。根域的下一層為頂級域，又稱為一級域。其下層為二級域，再下層為二級域的子域，按照需要進行規(guī)劃，可以為多級。所以對域名空間整體進行劃分，由最頂層到下層，可以分成：根域、頂級域、二級域、子域。并且域中能夠包含主機和子域。主機w ww 的FQDN 從最下層到最頂層根域進行反寫，表示為

Internet 域名空間的最頂層是根域（root ），其記錄著Internet 的重要DNS 信息，由I nternet 域名注冊授權機構管理，該機構把域名空間各部分的管理責任分配給連接到Int ernet 的各個組織。

DNS 根域下面是頂級域，也由Internet 域名注冊授權機構管理。共有3種類型的頂級域。 組織域：采用3個字符的代號，表示DNS 域中所包含的組織的主要功能或活動。比如c om 為商業(yè)機構組織，edu 為教育機構組織，gov 為政府機構組織，mil 為軍事機構組織，net 為網絡機構組織，org 為非營利機構組織，int 為國際機構組織。

地址域：采用兩個字符的國家或地區(qū)代號。如cn 為中國，kr 為韓國，us 為美國。

反向域：這是個特殊域，名字為in-addr.arpa ，用于將IP 地址映射到名字（反向查詢）。 對于頂級域的下級域，Internet 域名注冊授權機構授權給Internet 的各種組織。當一個組織獲得了對域名空間某一部分的授權后，該組織就負責命名所分配的域及其子域，包括域中的計算機和其他設備，并管理分配的域中主機名與IP 地址的映射信息。

1.3 區(qū)(Zone)

區(qū)是DNS 名稱空間的一個連續(xù)部分，其包含了一組存儲在DNS 服務器上的資源記錄。每個區(qū)都位于一個特殊的域節(jié)點，但區(qū)并不是域。DNS 域是名稱空間的一個分支，而區(qū)一般是存儲在文件中的DNS 名稱空間的某一部分，可以包括多個域。一個域可以再分成幾部分，每個部分或區(qū)可以由一臺DNS 服務器控制。使用區(qū)的概念，DNS 服務器回答關于自己區(qū)中主機的查詢，它是哪個區(qū)的授權服務器。

1.4 主域名服務器與輔助域名服務器

DNS 服務器可以不存儲任何區(qū)的信息或者存儲一個或多個區(qū)的信息。當DNS 服務器接收到DNS 查詢時，它檢索它的本地區(qū)以定位所請求的信息。如果因為服務器不是所DNS 域的授權服務器，從而沒有所請求域的數(shù)據(jù)而使用檢索失敗，服務器就檢查它的高速緩存并與其他DNS 服務器通信以解析該請求，或者把客戶機提交給另一個可能知道答案的DNS 服務器。

DNS 服務器可以管理主區(qū)和輔助區(qū)。用戶可以把服務器配置成管理多個不同的主區(qū)和輔助區(qū)，以盡量接近實際情況，這意味著服務器可能管理一個區(qū)的主拷貝和另一個區(qū)的輔助拷貝，或只管理一個區(qū)的主拷貝和輔助拷貝。對每個區(qū)，管理其主區(qū)的計算機是該區(qū)的主服務器，管理其輔助區(qū)的服務器是該區(qū)的輔助服務器。

主區(qū)是本地更新的，在區(qū)數(shù)據(jù)改變時，例如把該區(qū)的某個部分授權給另一臺DNS 服務器，或在區(qū)中添加資源記錄，這些改動必須在該區(qū)的主DNS 服務器上進行，以便新信息能加進本地區(qū)。

相反，輔助區(qū)是從其他服務器復制的。在輔助服務器上定義區(qū)時，區(qū)配置有服務器的IP ，輔助區(qū)就是從該地址復制信息。復制區(qū)文件的服務器可以是該區(qū)的主服務器或輔助服務器，有時稱為輔助區(qū)的主控服務器。

當區(qū)的輔助服務器啟動時，它與該區(qū)的主控服務器進行連接并啟動一次區(qū)傳輸，區(qū)輔助服務器定期與區(qū)主控服務器通信，查看區(qū)數(shù)據(jù)是否改變。如果改變了，它就啟動一次區(qū)傳輸。 每個區(qū)必須有主服務器，另外每個區(qū)至少要有一臺輔助服務器，否則如果該區(qū)的主服務器崩潰了，就無法解析該區(qū)的名稱。

輔助服務器的優(yōu)點：

1）容錯能力

配置輔助服務器后，在該區(qū)主服務器崩潰的情況下，客戶機仍能解析該區(qū)的名稱。一般把區(qū)的主服務器和區(qū)的輔助服務器安裝在不同子網上，這樣如果到一個子網的連接中斷，D NS 客戶機還能直接查詢另一個子網上的名稱服務器。

2）減少廣域鏈路的通信量

如果某個區(qū)在遠程有大量客戶機，用戶就可以在遠程添加該區(qū)的輔助服務器，并把遠程的客戶機配置成先查詢這些服務器，這樣就能防止遠程客戶機通過慢速鏈路通信來進行DN S 查詢。

3）減輕主服務器的負載

輔助服務器能回答該區(qū)的查詢，從而減少該區(qū)主服務器必須回答的查詢數(shù)。

1.6 DNS 查詢原理及流程

1）DNS 相關概念

（1）DNS 服務器

運行DNS 服務器程序的計算機，儲存DNS 數(shù)據(jù)庫信息。DNS 服務器會嘗試解析客戶機的查詢請求。在解答查詢時，如果DNS 服務器能提供所請求的信息，就直接回應解析結果，如果該DNS 服務器沒有相應的域名信息，則為客戶機提供另一個能幫助解析查詢的服務器地址，如果以上兩種方法均失敗，則回應客戶機沒有所請求的信息或請求的信息不存在。

（2）DNS 緩存

DNS 服務器在解析客戶機請求時，如果本地沒有該DNS 信息，則可以會詢問其他DNS 服務器，當其他域名服務器返回查詢結果時，該DNS 服務器會將結果記錄在本地的緩存中，成為DNS 緩存。當下一次客戶機提交相同請求時，DNS 服務器能夠直接使用緩存中的DNS 信息進行解析。

（3）資源記錄

DNS 服務器的信息數(shù)據(jù)，按照分類進行存儲，能夠解析客戶端的DNS 請求。

（4）區(qū)文件

包含區(qū)資源記錄的文件，選擇DNS 服務器為授權服務器，管理該區(qū)域。在大部分DNS 實現(xiàn)中，用文本文件實現(xiàn)區(qū)。

2）遞歸查詢和迭代查詢

（1）遞歸查詢

遞歸查詢是一種DNS 服務器的查詢模式，在該模式下DNS 服務器接收到客戶機請求，必須使用一個準確的查詢結果回復客戶機。如果DNS 服務器本地沒有存儲查詢DNS 信息，那么該服務器會詢問其他服務器，并將返回的查詢結果提交給客戶機。

（2）迭代查詢

DNS 服務器另外一種查詢方式為迭代查詢，DNS 服務器會向客戶機提供其他能夠解析查詢請求的DNS 服務器地址，當客戶機發(fā)送查詢請求時，DNS 服務器并不直接回復查詢結果，而是告訴客戶機另一臺DNS 服務器地址，客戶機再向這臺DNS 服務器提交請求，依次循環(huán)直到返回查詢的結果為止。

3）DNS 查詢流程

（1）DNS 域名解析工作原理

<1> 客戶機提交域名解析請求，并將該請求發(fā)送給本地的域名服務器。

<2> 當本地的域名服務器收到請求后，就先查詢本地的緩存。如果有查詢的DNS 信息記錄，則直接返回查詢的結果。如果沒有該記錄，本地域名服務器就把請求發(fā)給根域名服務器。

<3> 根域名服務器再返回給本地域名服務器一個所查詢域的頂級域名服務器的地址。

<4> 本地服務器再向返回的域名服務器發(fā)送請求。

<5> 接收到該查詢請求的域名服務器查詢其緩存和記錄，如果有相關信息則返回客戶機查詢結果，否則通知客戶機下級的域名服務器的地址。

<6> 本地域名服務器將查詢請求發(fā)送給返回的DNS 服務器。

<7> 域名服務器返回本地服務器查詢結果（如果該域名服務器不包含查詢的DNS 信息，查詢過程將重復<6>、<7>步驟，直到返回解析信息或解析失敗的回應）。

<8> 本地域名服務器將返回的結果保存到緩存，并且將結果返回給客戶機。

（2）域名解析實例

假設客戶機使用電信ADSL 接入Internet ，電信為其分配的DNS 服務器地址為219.14

1.140.10，域名解析過程如下哈~

<1> 客戶機向本地的域名服務器219.141.140.10發(fā)送解析請求。

<2> 當本地的域名服務器收到請求后，就先查詢本地的緩存。如果有查詢的DNS 信息記錄，則直接返回查詢的結果。如果沒有該記錄，本地域名服務器就把解析www.googl

<3> 根域名服務器收到請求后，根據(jù)完全正式域名FQDN ，判斷該域名屬于com 域，查詢所有的com 域DNS 服務器的信息，并返回給本地域名服務器。

<4> 本地域名服務器219.141.140.10收到回應后，先保存返回的結果，再選擇一臺c om 域的域名服務器，向其提交解析域名

<5> com 域名服務器接收到該查詢請求后，判斷該域名屬于google.com 域，通過查詢本地的記錄，列出管理google 域的域名服務器信息，然后將查詢結果返回給本地的域名服務器219.141.140.10。

<6> 本地域名服務器219.141.140.10收到回應后，先緩存返回的結果，再向google. com 域的服務器發(fā)出請求解析域名的數(shù)據(jù)包。

<7> 域名服務器google.com 收到請求后，查詢DNS 記錄中的www 主機的信息，并將結果返回給本地服務器219.141.140.10。

<8> 本地域名服務器將返回的查詢結果保存到緩存，并且將結果返回給客戶機。

1.7 正向解析與反向解析

1）正向解析

正向解析是指域名到IP 地址的解析過程。

2）反向解析

反向解析是從IP 地址到域名的解析過程。反向解析的作用為服務器的身份驗證。

1.8 資源記錄

為了將名字解析為IP 地址，服務器查詢它們的區(qū)（又叫DNS 數(shù)據(jù)庫文件或簡單數(shù)據(jù)庫文件）。區(qū)中包含組成相關DNS 域資源信息的資源記錄（RR ）。例如，某些資源記錄把友好名字映射成IP 地址，另一些則把IP 地址映射到友好名字。

某些資源記錄不僅包括DNS 域中服務器的信息，還可以用于定義域，即指定每臺服務器授權了哪些域，這些資源記錄就是SOA 和NS 資源記錄。

1）SOA 資源記錄

每個區(qū)在區(qū)的開始處都包含了一個起始授權記錄（Start of Authority Record ）, 簡稱S OA 記錄。SOA 定義了域的全局參數(shù)，進行整個域的管理設置。一個區(qū)域文件只允許存在唯一的SOA 記錄。

2）NS 資源記錄

名稱服務器（NS ）資源記錄表示該區(qū)的授權服務器，它們表示SOA 資源記錄中指定的該區(qū)的主和輔助服務器，也表示了任何授權區(qū)的服務器。每個區(qū)在區(qū)根處至少包含一個NS 記錄。

3）A 資源記錄

地址（A ）資源記錄把FQDN 映射到IP 地址，因而解析器能查詢FQDN 對應的IP 地址。

4）PTR 資源記錄

相對于A 資源記錄，指針（PTR ）記錄把IP 地址映射到FQDN 。

5）CNAME 資源記錄

規(guī)范名字（CNAME ）資源記錄創(chuàng)建特定FQDN 的別名。用戶可以使用CNAME 記錄來隱藏用戶網絡的實現(xiàn)細節(jié)，使連接的客戶機無法知道。

6）MX 資源記錄

郵件交換（MX ）資源記錄為DNS 域名指定郵件交換服務器。郵件交換服務器是為DNS 域名處理或轉發(fā)郵件的主機。處理郵件指把郵件投遞到目的地或轉交另一不同類型的郵件傳送者。轉發(fā)郵件指把郵件發(fā)送到最終目的服務器，用簡單郵件傳輸協(xié)議SMTP 把郵件發(fā)送給離最終目的地最近的郵件交換服務器，或使郵件經過一定時間的排隊。

DNS 理論和概念了解得差不多了，下面我們開始DNS 安裝和配置哈~~~

2 安裝DNS 服務

2.1 BIND 簡介

BIND 全稱為Berkeley Internet Name Domain(伯克利因特網名稱域系統(tǒng)) 。BIND 主要有三個版本：BIND4、BIND8、BIND9。

BIND8融合了許多提高效率、穩(wěn)定性和安全性的技術，而BIND9增加了一些超前的理念：IPv6支持、公開密鑰加密、多處理器支持、線程安全操作、增量區(qū)傳送等等。

2.2 DNS 所需軟件

bind-9.3.3-10.el5.i386.rpm ：該包為DNS 服務的主程序包。服務器端必須安裝該軟件包，后面的數(shù)字為版本號。

bind-utils-9.3.3-10.el5.i386.rpm ：該包為客戶端工具，默認安裝，用于搜索域名指令。

2.3 DNS 的安裝

首先我們來看下RHEL5預裝了哪些包哈，rpm -qa | grep bind

下面我們使用rpm 命令安裝bind 主程序包

查看下效果

3 DNS 常規(guī)服務器配置

一個比較簡單的DNS 服務器設置流程主要分為以下三步哈：

1）建立主配置文件named.conf ，該文件的最主要目的是設置DNS 服務器能夠管理哪些區(qū)域（Zone ）以及這些區(qū)域所對應的區(qū)域文件名和存放路徑。

2）建立區(qū)域文件，按照named.conf 文件中指定的路徑建立區(qū)域文件，該文件主要記錄該區(qū)域內的資源記錄。例如：對應的IP 地址為211.103.156.229。

3）重新加載配置文件或重新啟動named 服務使用配置生效。

下面我們來看一個具體實例哈

~~~

1）客戶端需要獲得IP 地址，將查詢請求發(fā)送給DNS 服務器。

2）服務器接收到請求后，查詢主配置文件named.conf ，檢查是否能夠管理michael.c om 區(qū)域。而named.conf 中記錄著能夠解析michael.com 區(qū)域，并提供michael.co m 區(qū)域文件所在路徑及文件名。

3）服務器則根據(jù)named.conf 文件中提供的路徑和文件名找到michael.com 區(qū)域所對應的配置文件，并從中找到主機所對應的IP 地址。

4）將查詢結果反饋給客戶端，完成整個查詢過程。

3.1 主配置文件named.conf

named.conf 是BIND 的核心配置文件，它包含了BIND 的基本配置，但其并不包括區(qū)域數(shù)據(jù)。named.conf 文件定義了DNS 服務器的工作目錄所在位置，所有的區(qū)域數(shù)據(jù)文件都存放在該目錄中，該文件還定義了DNS 服務器能夠管理哪些區(qū)域，如果DNS 服務器可以管理某個區(qū)域，它將完成該區(qū)域內的域名解析工作。

如果沒有安裝caching-nameserver-9.3.3-10.el5.i386.rpm 包，則我們需要手動建立

named.conf 文件，為了便于管理，通常把該文件建立在/etc目錄下哈

~

當手動建立好named.conf 文件后，此文件是空白滴，和其他配置文件差不多，named. conf 配置文件分為整體和局部兩個部分。

區(qū)域名為服務器要管理區(qū)域的名稱，如果添加了一個區(qū)域，并且該區(qū)域存在相應資源記錄，那么DNS 服務器就可以解析該區(qū)域的DNS 信息。

type 字段指定區(qū)域的類型，對于區(qū)域的管理至關重要，一共分為六種：

Master ：主DNS 服務器：擁有區(qū)域數(shù)據(jù)文件，并對此區(qū)域提供管理數(shù)據(jù)

Slave ：輔助DNS 服務器：擁有主DNS 服務器的區(qū)域數(shù)據(jù)文件的副本，輔助DNS 服務器會從主DNS 服務器同步所有區(qū)域數(shù)據(jù)。

Stub ：stub 區(qū)域和slave 類似，但其只復制主DNS 服務器上的NS 記錄而不像輔助D NS 服務器會復制所有區(qū)域數(shù)據(jù)。

Forward ：一個forward zone 是每個域的配置轉發(fā)的主要部分。一個zone 語句中的type forward 可以包括一個forward 和/或forwarders 子句，它會在區(qū)域名稱給定的域中查詢。如果沒有forwarders 語句或者forwarders 是空表，那么這個域就不會有轉發(fā)，消除了options 語句中有關轉發(fā)的配置。

Hint ：根域名服務器的初始化組指定使用線索區(qū)域hint zone ，當服務器啟動時，它使用根線索來查找根域名服務器，并找到最近的根域名服務器列表。如果沒有指定class IN 的線索區(qū)域，服務器使用編譯時默認的根服務器線索。不是IN 的類別沒有內置的默認線索服務器。

Delegation-only ：用于強制區(qū)域的delegation .ly狀態(tài)。

3.2 配置正向解析區(qū)域

授權DNS 服務器管理michael.com 區(qū)域，并把該區(qū)域的區(qū)域文件命名為michael.com

1）建立主配置文件named.conf

vim /etc/named.conf

directory 路徑名：用于定義服務器的工作目錄，該目錄存放區(qū)域數(shù)據(jù)文件。配置文件中所有相對路徑的路徑名都基于此目錄。如果沒有指定，默認的是BIND 啟動的目錄。

2）建立michael.com 區(qū)域文件

vim /var/named/michael.com

3.3 配置反向解析區(qū)域

1) 添加反向解析區(qū)域

vim /etc/named.conf

2）建立反向區(qū)域文件

vim /var/named/named.0.168.192