項(xiàng)目 6 配置與管理DNS 服務(wù)器項(xiàng)目描述：某高校組建了學(xué)校的校園網(wǎng)，為了使校園網(wǎng)中的計(jì)算機(jī)簡(jiǎn)單快捷地訪問(wèn)本地網(wǎng)絡(luò)及Internet 上資源，需要在校園網(wǎng)中架設(shè)DNS 服務(wù)器，用來(lái)提供域名轉(zhuǎn)換成IP

項(xiàng)目 6 配置與管理DNS 服務(wù)器

項(xiàng)目描述：

某高校組建了學(xué)校的校園網(wǎng)，為了使校園網(wǎng)中的計(jì)算機(jī)簡(jiǎn)單快捷地訪問(wèn)本地網(wǎng)絡(luò)及Internet 上資源，需要在校園網(wǎng)中架設(shè)DNS 服務(wù)器，用來(lái)提供域名轉(zhuǎn)換成IP 地址的功能。

在完成該項(xiàng)目之前，首先應(yīng)當(dāng)確定網(wǎng)絡(luò)中DNS 服務(wù)器的部署環(huán)境，明確DNS 服務(wù)器的各種角色及其作用。

項(xiàng)目目標(biāo)：

●

●

●

●

●

●

● 了解DNS 服務(wù)器的作用及其在網(wǎng)絡(luò)中的重要性 理解DNS 的域名空間結(jié)構(gòu)及其工作過(guò)程 理解并掌握緩存DNS 服務(wù)器的配置 理解并掌握主DNS 服務(wù)器的配置 理解并掌握輔助DNS 服務(wù)器的配置 理解并掌握DNS 客戶機(jī)的配置 掌握DNS 服務(wù)的測(cè)試

6.1 相關(guān)知識(shí)

DNS （Domain Name Service ，域名服務(wù)）是Internet/Intranet中最基礎(chǔ)也是非常重要的一項(xiàng)服務(wù)，它提供了網(wǎng)絡(luò)訪問(wèn)中域名和IP 地址的相互轉(zhuǎn)換。

6.1.1 DNS 概述

在TCP/IP網(wǎng)絡(luò)中，每臺(tái)主機(jī)必須有一個(gè)唯一的IP 地址，當(dāng)某臺(tái)主機(jī)要訪問(wèn)另外一臺(tái)主機(jī)上的資源時(shí)，必須指定另一臺(tái)主機(jī)的IP 地址，通過(guò)IP 地址找到這臺(tái)主機(jī)后才能訪問(wèn)這臺(tái)主機(jī)。但是，當(dāng)網(wǎng)絡(luò)的規(guī)模較大時(shí)，使用IP 地址就不太方便了，所以，便出現(xiàn)了主機(jī)名（Host Name）與IP 地址之間的一種對(duì)應(yīng)解決方案，可以通過(guò)使用形象易記的主機(jī)名而非IP 地址進(jìn)行網(wǎng)絡(luò)的訪問(wèn)，這比單純使用IP 地址要方便得多。其實(shí)，在這種解決方案中使用了解析的概念和原理，單獨(dú)通過(guò)主機(jī)名是無(wú)法建立網(wǎng)絡(luò)連接的，只有通過(guò)解析的過(guò)程，在主機(jī)名和IP 地址之間建立了映射關(guān)系后，才可以通過(guò)主機(jī)名間接地通過(guò)IP 地址建立網(wǎng)絡(luò)連接。

主機(jī)名與IP 地址之間的映射關(guān)系，在小型網(wǎng)絡(luò)中多使用hosts 文件來(lái)完成，后來(lái)，隨著網(wǎng)絡(luò)規(guī)模的增大，為了滿足不同組織的要求，以實(shí)現(xiàn)一個(gè)可伸縮、可自定義的命名方案的需要，InterNIC 制定了一套稱為域名系統(tǒng)（DNS ）的分層名字解析方案，當(dāng)DNS 用戶提出IP 地址查

項(xiàng)目6 配置與管理DNS 服務(wù)器

139

詢請(qǐng)求時(shí)，可以由DNS 服務(wù)器中的數(shù)據(jù)庫(kù)提供所需的數(shù)據(jù)，完成域名和IP 地址的相互轉(zhuǎn)換。DNS 技術(shù)目前已廣泛應(yīng)用于Internet 中。

組成DNS 系統(tǒng)的核心是DNS 服務(wù)器，它是回答域名服務(wù)查詢的計(jì)算機(jī)，它為連接Intranet 和Internet 的用戶提供并管理DNS 服務(wù)，維護(hù)DNS 名字?jǐn)?shù)據(jù)并處理DNS 客戶端主機(jī)名的查詢。DNS 服務(wù)器保存了包含主機(jī)名和相應(yīng)IP 地址的數(shù)據(jù)庫(kù)。

DNS 服務(wù)器分為三類：

（1）主DNS 服務(wù)器（Master 或Primary ）。主DNS 服務(wù)器負(fù)責(zé)維護(hù)所管轄域的域名服務(wù)信息。它從域管理員構(gòu)造的本地磁盤(pán)文件中加載域信息，該文件（區(qū)文件）包含著該服務(wù)器具有管理權(quán)的一部分域結(jié)構(gòu)的最精確信息。配置主DNS 服務(wù)器需要一整套的配置文件，包括主配置文件（/etc/named.conf）、正向域的區(qū)文件、反向域的區(qū)文件、高速緩存初始化文件（/var/named/named.ca）和回送文件（/var/named/named.local）。

（2）輔助DNS 服務(wù)器（Slave 或Secondary ）。輔助DNS 服務(wù)器用于分擔(dān)主DNS 服務(wù)器的查詢負(fù)載。區(qū)文件是從主服務(wù)器中轉(zhuǎn)移出來(lái)的，并作為本地磁盤(pán)文件存儲(chǔ)在輔助服務(wù)器中。這種轉(zhuǎn)移稱為“區(qū)文件轉(zhuǎn)移”。在輔助DNS 服務(wù)器中有一個(gè)所有域信息的完整復(fù)制，可以權(quán)威地回答對(duì)該域的查詢請(qǐng)求。配置輔助DNS 服務(wù)器不需要生成本地區(qū)文件，因?yàn)榭梢詮闹鞣?wù)器下載該區(qū)文件。因而只需配置主配置文件、高速緩存文件和回送文件就可以了。

（3）唯高速緩存DNS 服務(wù)器（Caching-only DNS server）。供本地網(wǎng)絡(luò)上的客戶機(jī)用來(lái)進(jìn)行域名轉(zhuǎn)換。它通過(guò)查詢其他DNS 服務(wù)器并將獲得的信息存放在它的高速緩存中，為客戶機(jī)查詢信息提供服務(wù)。唯高速緩存DNS 服務(wù)器不是權(quán)威性的服務(wù)器，因?yàn)樗峁┑乃行畔⒍际情g接信息。

6.1.2 DNS 查詢模式

按照DNS 搜索區(qū)域的類型，DNS 的區(qū)域分為正向搜索區(qū)域和反向搜索區(qū)域。正向搜索是DNS 服務(wù)的主要功能，它根據(jù)計(jì)算機(jī)的DNS 名稱（域名），解析出相應(yīng)的IP 地址；而反向搜索是根據(jù)計(jì)算機(jī)的IP 地址解析出它的DNS 名稱（域名）。

1．正向查詢

正向查詢就是根據(jù)域名，搜索出對(duì)應(yīng)的IP 地址。其查詢方法為：當(dāng)DNS 客戶機(jī)（也可以是DNS 服務(wù)器）向首選DNS 服務(wù)器發(fā)出查詢請(qǐng)求后，如果首選DNS 服務(wù)器數(shù)據(jù)庫(kù)中沒(méi)有與查詢請(qǐng)求所對(duì)應(yīng)的數(shù)據(jù)，則會(huì)將查詢請(qǐng)求轉(zhuǎn)發(fā)給另一臺(tái)DNS 服務(wù)器，依此類推，直到找到與查詢請(qǐng)求對(duì)應(yīng)的數(shù)據(jù)為止，如果最后一臺(tái)DNS 服務(wù)器中也沒(méi)有所需的數(shù)據(jù)，則通知DNS 客戶機(jī)查詢失敗。

2．反向查詢

反向查詢與正向查詢正好相反，它是利用IP 地址查詢出對(duì)應(yīng)的域名。

6.1.3 DNS 域名空間結(jié)構(gòu)

在域名系統(tǒng)中，每臺(tái)計(jì)算機(jī)的域名由一系列用點(diǎn)分開(kāi)的字母數(shù)字段組成。例如，某臺(tái)計(jì)算

140 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程

機(jī)的FQDN （Full Qualified Domain Name）為computer.jnrp.cn ，其具有的域名為jnrp.cn ；另一臺(tái)計(jì)算機(jī)的FQDN 為www.computer.jnrp.cn ，其具有的域名為computer.jnrp.cn 。域名是有層次的，域名中最重要的部分位于右邊。FQDN 中最左邊的部分是單臺(tái)計(jì)算機(jī)的主機(jī)名或主機(jī)別名。

DNS 域名空間的分層結(jié)構(gòu)如圖6-1所示。

圖6-1 DNS 域名空間結(jié)構(gòu)

整個(gè)DNS 域名空間結(jié)構(gòu)如同一棵倒掛的樹(shù)，層次結(jié)構(gòu)非常清晰。如圖6-1所示，根域位于頂部，緊接在根域下面的是頂級(jí)域，每個(gè)頂級(jí)域又可以進(jìn)一步劃分為不同的二級(jí)域，二級(jí)域再劃分出子域，子域下面可以是主機(jī)也可以再劃分子域，直到最后的主機(jī)。在Internet 中的域是由InterNIC 負(fù)責(zé)管理的，域名的服務(wù)則由DNS 來(lái)實(shí)現(xiàn)。

6.1.4 DNS 域名解析過(guò)程

DNS 解析過(guò)程如圖6-2所示。

圖6-2 DNS 域名解析過(guò)程

項(xiàng)目6 配置與管理DNS 服務(wù)器

141

（1）客戶機(jī)提出域名解析請(qǐng)求，并將該請(qǐng)求發(fā)送給本地的域名服務(wù)器。

（2）當(dāng)本地的域名服務(wù)器收到請(qǐng)求后，就先查詢本地的緩存，如果有該記錄項(xiàng)，則本地的域名服務(wù)器就直接把查詢的結(jié)果返回。

（3）如果本地的緩存中沒(méi)有該記錄，則本地域名服務(wù)器就直接把請(qǐng)求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個(gè)所查詢域（根的子域）的主域名服務(wù)器的地址。

（4）本地服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請(qǐng)求，然后接受請(qǐng)求的服務(wù)器查詢自己的緩存，如果沒(méi)有該記錄，則返回相關(guān)的下級(jí)域名服務(wù)器的地址。

（5）重復(fù)步驟（4），直到找到正確的記錄。

（6）本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時(shí)還將結(jié)果返回給客戶機(jī)。

6.1.5 DNS 常見(jiàn)資源記錄

從DNS 服務(wù)器返回的查詢結(jié)果可以分為兩類：權(quán)威的（authoritative ）和非權(quán)威的（non-authoritative ）。所謂權(quán)威的查詢結(jié)果，是指該查詢結(jié)果是從被授權(quán)管理該區(qū)域的域名服務(wù)器的數(shù)據(jù)庫(kù)中查詢而來(lái)的。所謂非權(quán)威的查詢結(jié)果，是指該查詢結(jié)果來(lái)源于非授權(quán)的域名服務(wù)器，是該域名服務(wù)器通過(guò)查詢其他域名服務(wù)器而不是本地?cái)?shù)據(jù)庫(kù)得來(lái)的。

在能夠返回權(quán)威查詢結(jié)果的域名服務(wù)器中存在一個(gè)本地?cái)?shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存儲(chǔ)與域名解析相關(guān)的條目，這些條目稱為DNS 資源記錄。 資源記錄的內(nèi)容通常包括5項(xiàng)，基本格式如下：

Domain TTL Class Record Type Record Data

各項(xiàng)的含義如表6-1所示。

表6-1 資源記錄條目中各項(xiàng)含義 項(xiàng)目

域名（Domain ）

存活期（TTL ）

類別（Class ） 擁有該資源記錄的DNS 域名 該記錄的有效時(shí)間長(zhǎng)度 說(shuō)明網(wǎng)絡(luò)類型，目前大部分資源記錄采用“IN ”，表示Internet 含義

記錄類型（Record Type） 說(shuō)明該資源記錄的類型，常見(jiàn)資源記錄類型如表6-2所示

記錄數(shù)據(jù)（Record Data） 說(shuō)明和該資源記錄有關(guān)的信息，通常是解析結(jié)果，該數(shù)據(jù)格式和記錄類型有關(guān)

表6-2 DNS 資源記錄類型

資源記錄類型

A

CNAME

SOA

NS

PTR

MX

HINFO 說(shuō)明 主機(jī)資源記錄，建立域名到IP 地址的映射 別名資源記錄，為其他資源記錄指定名稱的替補(bǔ) 起始授權(quán)機(jī)構(gòu) 名稱服務(wù)器，指定授權(quán)的名稱服務(wù)器 指針資源記錄，用來(lái)實(shí)現(xiàn)反向查詢，建立IP 地址到域名的映射 郵件交換記錄，指定用來(lái)交換或者轉(zhuǎn)發(fā)郵件信息的服務(wù)器 主機(jī)信息記錄，指明CPU 與OS

142 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程

例如為了能夠解析www.jnrp.cn 這個(gè)域名對(duì)應(yīng)的IP 地址，需要在jnrp.cn 所在的域名服務(wù)器中添加如下條目：

www.jnrp.cn. IN A 192.168.0.1 或者：

www IN A 192.168.0.1

6.1.6 /etc/hosts文件

hosts 文件是Linux 系統(tǒng)中一個(gè)負(fù)責(zé)IP 地址與域名快速解析的文件，以ASCII 格式保存在/etc目錄下，文件名為“hosts ”。hosts 文件包含了IP 地址和主機(jī)名之間的映射，還包括主機(jī)名的別名。在沒(méi)有域名服務(wù)器的情況下，系統(tǒng)上的所有網(wǎng)絡(luò)程序都通過(guò)查詢?cè)撐募?lái)解析對(duì)應(yīng)于某個(gè)主機(jī)名的IP 地址，否則就需要使用DNS 服務(wù)程序來(lái)解決。通?？梢詫⒊Ｓ玫挠蛎虸P 地址映射加入到hosts 文件中，以實(shí)現(xiàn)快速方便的訪問(wèn)。hosts 文件的格式如下：

IP 地址 主機(jī)名/域名

【例6-1】假設(shè)要添加域名為www.jnrp.cn ，IP 地址為192.168.0.1；域名為computer.jnrp.cn ，IP 地址為192.168.21.1。則可在hosts 文件中添加如下記錄。

www.jnrp.cn 192.168.0.1

computer.jnrp.cn 192.168.21.1

6.1.7 DNS 規(guī)劃與域名申請(qǐng)

在建立DNS 服務(wù)之前，進(jìn)行DNS 規(guī)劃是非常必要的。

1．DNS 的域名空間規(guī)劃

決定如何使用DNS 命名，以及通過(guò)使用DNS 要達(dá)到什么目的。要在Internet 上使用自己的DNS ，公司必須先向一個(gè)授權(quán)的DNS 域名注冊(cè)頒發(fā)機(jī)構(gòu)申請(qǐng)并注冊(cè)一個(gè)二級(jí)域名，注冊(cè)并獲得至少一個(gè)可在Internet 上有效使用的IP 地址。這項(xiàng)業(yè)務(wù)通?？捎蒊SP 代理。

2．DNS 服務(wù)器的規(guī)劃

確定網(wǎng)絡(luò)中需要的DNS 服務(wù)器的數(shù)量及其各自的作用，根據(jù)通信負(fù)載、復(fù)制和容錯(cuò)問(wèn)題，確定在網(wǎng)絡(luò)上放置DNS 服務(wù)器的位置。對(duì)于大多數(shù)安裝配置來(lái)說(shuō)，為了實(shí)現(xiàn)容錯(cuò)，至少應(yīng)該對(duì)每個(gè)DNS 區(qū)域使用兩臺(tái)服務(wù)器。DNS 被設(shè)計(jì)成每個(gè)區(qū)域有兩臺(tái)服務(wù)器，一個(gè)是主服務(wù)器，另一個(gè)是備份或輔助服務(wù)器。在單個(gè)子網(wǎng)環(huán)境中的小型局域網(wǎng)上僅使用一臺(tái)服務(wù)器時(shí)，可以配置該服務(wù)器扮演區(qū)域的主服務(wù)器和輔助服務(wù)器兩種角色。

3．申請(qǐng)域名

同時(shí)，為了將企業(yè)網(wǎng)絡(luò)與Internet 很好地整合在一起，實(shí)現(xiàn)局域網(wǎng)與Internet 的相互通信，建議向域名服務(wù)商（如萬(wàn)網(wǎng)http://www.net.cn和新網(wǎng)http://www.xinnet.com）申請(qǐng)合法的域名。然后設(shè)置相應(yīng)的域名解析。

提示：若要實(shí)現(xiàn)其他網(wǎng)絡(luò)服務(wù)（如Web 服務(wù)、E-mail 服務(wù)等），DNS 服務(wù)是必不可少的。

項(xiàng)目6 配置與管理DNS 服務(wù)器

143

沒(méi)有DNS 服務(wù)，就無(wú)法將域名解析為IP 地址，客戶端也就無(wú)法享受相應(yīng)的網(wǎng)絡(luò)服務(wù)。若要實(shí)現(xiàn)服務(wù)器的Internet 發(fā)布，就必須申請(qǐng)合法的DNS 域名。

6.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備

6.2.1 項(xiàng)目設(shè)計(jì)

為了保證校園網(wǎng)中的計(jì)算機(jī)能夠安全可靠地通過(guò)域名訪問(wèn)本地網(wǎng)絡(luò)以及Internet 資源，需要在網(wǎng)絡(luò)中部署主DNS 服務(wù)器、輔助DNS 服務(wù)器、緩存DNS 服務(wù)器。

6.2.2 項(xiàng)目準(zhǔn)備

（1）安裝Linux 企業(yè)服務(wù)器版，用作DHCP 服務(wù)器。

（2）安裝有Windows XP操作系統(tǒng)的計(jì)算機(jī)1臺(tái)，用來(lái)部署DNS 客戶端。

（3）安裝有Linux 操作系統(tǒng)的計(jì)算機(jī)1臺(tái)，用來(lái)部署DNS 客戶端。

（4）確定每臺(tái)計(jì)算機(jī)的角色，并規(guī)劃每臺(tái)計(jì)算機(jī)的IP 地址及計(jì)算機(jī)名。

（5）或者用VMware 虛擬機(jī)軟件部署實(shí)驗(yàn)環(huán)境。

DNS 服務(wù)器的IP 地址必須是靜態(tài)的。

6.3 項(xiàng)目實(shí)施

6.3.1 任務(wù)1：安裝DNS 服務(wù)

Linux 下架設(shè)DNS 服務(wù)器通常使用BIND （Berkeley Internet Name Domain Service）程序來(lái)實(shí)現(xiàn)，其守護(hù)進(jìn)程是named 。

1．認(rèn)識(shí)BIND

BIND 是一款實(shí)現(xiàn)DNS 服務(wù)器的開(kāi)放源碼軟件。BIND 原本是美國(guó)DARPA 資助伯克利大學(xué)（Berkeley ）開(kāi)設(shè)的一個(gè)研究生課題，后來(lái)經(jīng)過(guò)多年的變化發(fā)展，已經(jīng)成為世界上使用最為廣泛的DNS 服務(wù)器軟件，目前Internet 上絕大多數(shù)的DNS 服務(wù)器都是用BIND 來(lái)架設(shè)的。

BIND 經(jīng)歷了第4版、第8版和最新的第9版，第9版修正了以前版本的許多錯(cuò)誤，并提升了執(zhí)行時(shí)的效能，BIND 能夠運(yùn)行在當(dāng)前大多數(shù)的操作系統(tǒng)平臺(tái)之上。目前BIND 軟件由因特網(wǎng)軟件聯(lián)臺(tái)會(huì)（Internet Software Consortium ，ISC ）這個(gè)非贏利性機(jī)構(gòu)負(fù)責(zé)開(kāi)發(fā)和維護(hù)。

144 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程

2．安裝BIND 軟件包

BIND 包含以下幾個(gè)軟件包：

● bind ：DNS 服務(wù)器軟件包。

● bind-utils ：DNS 測(cè)試工具，包括dig 、host 與nslookup 等。

● bind-chroot ：使BIND 運(yùn)行在指定的目錄中的安全增強(qiáng)工具。

● caching-nameserver ：高速緩存DNS 服務(wù)器的基本配置文件，建議一定安裝。

要安裝DNS 服務(wù)，可將Red Hat Enterprise Linux 4.0第4張安裝盤(pán)放入光驅(qū)，加載光驅(qū)后使用命令“rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm”可以安裝bind 軟件包。其命令執(zhí)行結(jié)果如下：

[root@RHEL4 RPMS]# rpm -ivh /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm

warning: /media/cdrom/RedHat/RPMS/bind-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY, key ID db42a60e Preparing... ########################################### [100]

package bind-9.2.4-2 is already installed

3．安裝chroot 軟件包

chroot 是Change Root的縮寫(xiě)，它可以改變程序運(yùn)行時(shí)所參考的“／”根目錄位置，即將某個(gè)特定的子目錄作為程序的虛擬“／”根目錄。chroot 對(duì)程序運(yùn)行時(shí)可以使用的系統(tǒng)資源、用戶權(quán)限和所在目錄進(jìn)行嚴(yán)格控制，程序只在這個(gè)虛擬的根目錄具有權(quán)限，一旦跳出該目錄就無(wú)任何權(quán)限了。舉個(gè)簡(jiǎn)單的例子，使用過(guò)FTP 的讀者都知道，用戶登錄到FTP 服務(wù)器時(shí)，看到的根目錄并不是服務(wù)器上真正的根目錄，而是它的主目錄。用戶不能訪問(wèn)除主目錄外的任何資源，用戶的任何操作僅對(duì)自己的主目錄有效，不會(huì)影響系統(tǒng)和其他用戶的文件，chroot 的作用也是類似的。

對(duì)于網(wǎng)絡(luò)管理員而言，可以使用chroot 技術(shù)增強(qiáng)DNS 服務(wù)的安全性。將Red Hat Enterprise Linux 4.0第4張安裝盤(pán)放入光驅(qū)，加載光驅(qū)后使用命令“rpm -ivh /media/cdrom/RedHat/RPMS/ bind-chroot-9.2.4-2.i386.rpm ”可以安裝chroot 軟件包。其命令執(zhí)行結(jié)果如下：

[root@RHEL4 RPMS]# rpm -ivh /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm

warning: /media/cdrom/RedHat/RPMS/bind-chroot-9.2.4-2.i386.rpm: V3 DSA signature: NOKEY , key ID db42a60e

Preparing... ########################################### [100]

package bind-chroot-9.2.4-2 is already installed

使用了chroot 后，由于BIND 程序的虛擬目錄是/var/named/chroot，所以DNS

服務(wù)器的配置文件、區(qū)域數(shù)據(jù)文件和配置文件內(nèi)的語(yǔ)句，都是相對(duì)這個(gè)虛擬目

錄而言的。如/etc/named.conf文件的真正路徑是

/var/named/chroot/etc/named.conf，

/var/named目錄的真正路徑是/var/named/chroot/var/named。

4．配置BIND 配置文件

建立DNS 服務(wù)器過(guò)程中，通常用到以下BIND 配置文件，如表6-3所示。

（1）/etc/named.conf。BIND 默認(rèn)主配置文件是/etc/named.conf。該文件的每一行都以分號(hào)作為結(jié)束符，行注釋可使用“#”或者“//”。對(duì)多行文字的注釋采用/*…..*/。該文件的主要

項(xiàng)目6 配置與管理DNS 服務(wù)器

145

內(nèi)容如下：

表6-3 BIND 配置文件 配置文件

/etc/named.conf

/var/named/named.ca

/var/named/localhost.zone

/var/named/named.local

/var/named/domainname.zone BIND 的主配置文件 指向根域名服務(wù)器的指示文件 用于localhost 到本地回環(huán)地址的解析 用于本地回環(huán)地址到localhost 的解析 用戶自己建立的DNS 區(qū)域的數(shù)據(jù)庫(kù)文件

[root@RHEL4 ~]# cat /etc/named.conf

//定義全局配置語(yǔ)句

options {

//定義服務(wù)器區(qū)域配置文件的存放目錄

directory "/var/named";

};

// 以下內(nèi)容聲明一個(gè)控制通道，用于rndc 實(shí)用程序控制named 守護(hù)進(jìn)程

controls {

inet 127.0.0.1 allow { localhost; } keys { rndckey; };

};

//zone用于聲明一個(gè)區(qū)，以下部分定義根域的區(qū)聲明

zone "." IN {

type hint;

file "named.ca";

};

//定義本地回環(huán)地址的正向解析區(qū)聲明

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};

//定義本地回環(huán)地址的反向解析區(qū)聲明

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

//定義包含文件，即將/etc/rndc.key文件包含進(jìn)當(dāng)前配置文件

include "/etc/rndc.key"; 說(shuō)明

說(shuō)明：

① options 配置段。該配置段屬于全局性的設(shè)置，常用配置項(xiàng)命令及功能如下： directory ：用于指定named 守護(hù)進(jìn)程的工作目錄，各區(qū)域正反向搜索解析文件和DNS

146 Linux 網(wǎng)絡(luò)服務(wù)器配置管理項(xiàng)目實(shí)訓(xùn)教程

根服務(wù)器地址列表文件（named.ca ）應(yīng)放在該配置項(xiàng)指定的目錄中。

pid-file ：指定創(chuàng)建用于保存named 守護(hù)進(jìn)程號(hào)的文件名及路徑。守護(hù)進(jìn)程號(hào)文件一般保存在/var/run目錄中，BIND 軟件包安裝時(shí)在/var/run目錄下創(chuàng)建了一個(gè)named 目錄，因此，可將進(jìn)程號(hào)文件保存在該目錄中，相應(yīng)的配置命令為：“pid-file "/ var / run / named / named.pid";”。

statistics-file ：用于指定記錄狀態(tài)信息的文件的位置。若將其保存在與進(jìn)程號(hào)文件相同的位置，相應(yīng)的配置命令為“statistics-file "/var/ run/ named/ named.stats";”。 allow-recursion{}：指定允許查詢?cè)揇NS 服務(wù)器的IP 地址或網(wǎng)絡(luò)。在{}中可指定允許查詢的IP 地址或網(wǎng)絡(luò)地址列表，地址間用分號(hào)分隔。若不配置該項(xiàng)，則默認(rèn)所有主機(jī)均可以查詢。allow-query{}與此功能相同。另外，還可使用地址匹配符來(lái)表達(dá)允許的主機(jī)。比如，any 可匹配所有的IP 地址，none 不匹配任何IP 地址，localhost 匹配本地主機(jī)使用的所有IP 地址，localnets 匹配同本地主機(jī)相連的網(wǎng)絡(luò)中的所有主機(jī)。比如若僅允許127.0.0.1和192.168.1.0/24網(wǎng)段的主機(jī)查詢?cè)揇NS 服務(wù)器，則命令為：allow-recursion{127.0.0.1;192.168.1.0/24;}或表達(dá)式為：allow-query{127.0.0.1;192. 168.1.0/24;}。

transfer-format ：用于控制在發(fā)送的每個(gè)信息中包含一個(gè)資源記錄，還是包含多個(gè)資源記錄。若每個(gè)信息包中包含多個(gè)資源記錄，則效率更高，但只有8.1或以上版本的BIND 域名服務(wù)器才支持，默認(rèn)為one-answer 。

每個(gè)信息包含多個(gè)資源記錄的配置命令為“transfer-format many-answers; ”。 每個(gè)信息包含一個(gè)資源記錄的配置命令為“transfer-format one-answer; ”。

listen-on ：設(shè)置named 守護(hù)進(jìn)程監(jiān)聽(tīng)的IP 地址和端口。若未指定，默認(rèn)監(jiān)聽(tīng)DNS 服務(wù)器的所有IP 地址的53號(hào)端口。當(dāng)服務(wù)器安裝有多塊網(wǎng)卡，有多個(gè)IP 地址時(shí)，可通過(guò)該配置命令指定所要監(jiān)聽(tīng)的IP 地址。對(duì)于只有一個(gè)地址的服務(wù)器，不必設(shè)置。若要設(shè)置DNS 服務(wù)器監(jiān)聽(tīng)192.168.1.2這個(gè)IP 地址，端口使用標(biāo)準(zhǔn)的5353號(hào)，則配置命令為“l(fā)isten-on 5353{192.168.1.2;};”。

forwarders{}：用于定義DNS 轉(zhuǎn)發(fā)器。當(dāng)設(shè)置了轉(zhuǎn)發(fā)器后，所有非本域的和在緩存中無(wú)法找到的域名查詢，可由指定的DNS 轉(zhuǎn)發(fā)器來(lái)完成解析工作并做緩存。forward 用于指定轉(zhuǎn)發(fā)方式，僅在forwarders 轉(zhuǎn)發(fā)器列表不為空時(shí)有效，其用法為：“forward first | only ; ”。forward first為默認(rèn)方式，DNS 服務(wù)器會(huì)將用戶的域名查詢請(qǐng)求，先轉(zhuǎn)發(fā)給forwarders 設(shè)置的轉(zhuǎn)發(fā)器，由轉(zhuǎn)發(fā)器來(lái)完成域名的解析工作，若指定的轉(zhuǎn)發(fā)器無(wú)法完成解析或無(wú)響應(yīng)，則再由DNS 服務(wù)器自身來(lái)完成域名的解析。若設(shè)置為“forward only;”，則DNS 服務(wù)器僅將用戶的域名查詢請(qǐng)求，轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器，若指定的轉(zhuǎn)發(fā)器無(wú)法完成域名解析或無(wú)響應(yīng)，DNS 服務(wù)器自身也不會(huì)試著對(duì)其進(jìn)行域名解析。例如，某地區(qū)的DNS 服務(wù)器為 61.128.192.68 和 61.128.128.68，若要將其設(shè)置為DNS 服務(wù)器的轉(zhuǎn)發(fā)器，則配置命令為： ● ● ● ● ● ●

options{

forwarders {61.128.192.68;61.128.128.68;};

forward first;

};

② controls 聲明段。BIND 軟件包提供了一個(gè)rndc 工具。通過(guò)該工具，使用命令行參數(shù)可

項(xiàng)目6 配置與管理DNS 服務(wù)器

147

實(shí)現(xiàn)本地或遠(yuǎn)程管理named 守護(hù)進(jìn)程，為了使rndc 能夠連接named 守護(hù)進(jìn)程，在named.conf 配置文件中必須添加controls 聲明段，用于指定控制通道，以允許管理員在本地執(zhí)行rndc 命令，實(shí)現(xiàn)named 進(jìn)程的管理。在進(jìn)行身份驗(yàn)證時(shí)所需的密鑰信息，默認(rèn)存放在/etc/rndc.key文件中，因此在named.conf 配置文件的末尾，使用“include "/etc/rndc.key";”語(yǔ)句將其包含了進(jìn)來(lái)。

③ Zone 區(qū)域聲明： ● 主域名服務(wù)器的正向解析區(qū)域聲明格式為：

zone " 區(qū)域名稱" IN {

type master ;

file " 實(shí)現(xiàn)正向解析的區(qū)域文件名";

allow-update {none;};

}; ● 從域名服務(wù)器的正向解析區(qū)域聲明格式為：

zone " 區(qū)域名稱" IN {

type slave ;

file " 實(shí)現(xiàn)正向解析的區(qū)域文件名";

masters {主域名服務(wù)器的IP 地址;};

};

反向解析區(qū)域的聲明格式與正向相同，只是file 所指定要讀的文件不同，另外就是區(qū)域的名稱不同。若要反向解析x.y.z 網(wǎng)段的主機(jī)，則反向解析的區(qū)域名稱應(yīng)設(shè)置為：z.y.x.in-addr.arpa 。

（2）根區(qū)域文件/var/named/named.ca。/var/named/named.ca是一個(gè)非常重要的文件，該文件包含了Internet 的頂級(jí)域名服務(wù)器的名字和地址。利用該文件可以讓DNS 服務(wù)器找到根DNS 服務(wù)器，并初始化DNS 的緩沖區(qū)。當(dāng)DNS 服務(wù)器接到客戶端主機(jī)的查詢請(qǐng)求時(shí)，如果在Cache 中找不到相應(yīng)的數(shù)據(jù)，就會(huì)通過(guò)根服務(wù)器進(jìn)行逐級(jí)查詢。/var/named/named.ca文件的主要內(nèi)容如下：

[root@RHEL4 ~]# cat /var/named/named.ca

; formerly NS.INTERNIC.NET

;

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

;

; formerly NS1.ISI.EDU

;

. 3600000 NS B.ROOT-SERVERS.NET.

B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201

;

; formerly C.PSI.NET

;

. 3600000 NS C.ROOT-SERVERS.NET.

C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12

;

; formerly TERP.UMD.EDU

;

. 3600000 NS D.ROOT-SERVERS.NET.

D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90

;