UNIX 課程設(shè)計(jì)___DNS Server 配置DNS 服務(wù)器配置本課程設(shè)計(jì)分工明細(xì)：一、DNS 工作原理：DNS (Domain Name Service) 也稱為域名服務(wù)，它是一個(gè)Interne

UNIX 課程設(shè)計(jì)___DNS Server 配置

DNS 服務(wù)器配置

本課程設(shè)計(jì)分工明細(xì)：

一、DNS 工作原理：

DNS (Domain Name Service) 也稱為域名服務(wù)，它是一個(gè)Internet 中TCP ／IP 的服務(wù)，用于映射網(wǎng)絡(luò)地址。即Internet 域名與IP 地址之間的轉(zhuǎn)換關(guān)系。 IP地址轉(zhuǎn)化為域名稱為正向解析，把域名轉(zhuǎn)化為IP 地址稱為反向解析。

DNS 服務(wù)器分類：根DNS server 共13個(gè)標(biāo)號(hào)A-M ；頂級(jí)DNS （TLD ）server ；權(quán)威DNS server 。

DNS 涉及的參數(shù)：正向查找域forward ；反向查找域reverse ；資源記錄；轉(zhuǎn)發(fā)器。

下面簡(jiǎn)要介紹三種基本的域名服務(wù)器及在實(shí)際系統(tǒng)中應(yīng)用。

1、主域名服務(wù)器（Master ）

這種類型的DNS 本身含有域名配置文件（就是有Zone ），這個(gè)文件就是設(shè)置正解或反解的“數(shù)據(jù)庫(kù)”，所以它本身具有提供Internet 查詢所需的數(shù)據(jù)。

2、輔助域名服務(wù)器（Slave ）

假設(shè)DNS 服務(wù)器共管理50臺(tái)主機(jī)的IP 與主機(jī)名稱的對(duì)應(yīng)，并且你只有一臺(tái)DNS 服務(wù)器，那么萬(wàn)一由于網(wǎng)絡(luò)問(wèn)題或者是主機(jī)的軟、硬件問(wèn)題，導(dǎo)致這個(gè)服務(wù)終止了，則那50臺(tái)主機(jī)的主機(jī)的主機(jī)名與IP 的對(duì)應(yīng)就找不到了，所以，一般來(lái)說(shuō)，DNS 系統(tǒng)會(huì)建議你至少要有兩臺(tái)主機(jī)提供DNS 的服務(wù)。

不過(guò)，如果有4臺(tái)DNS 主機(jī)提供這樣的名稱解析服務(wù)，而且這4臺(tái)主機(jī)是互為備援的，也就是說(shuō)，這4臺(tái)主機(jī)的內(nèi)容其實(shí)是一模一樣的，如果要更改一個(gè)名稱與IP 地址的對(duì)應(yīng)，都需要手動(dòng)去修改4臺(tái)主機(jī)的內(nèi)容，這將很麻煩。

這個(gè)時(shí)候Slave 類型的DNS 主機(jī)就出現(xiàn)了。不過(guò)，shave 主機(jī)需要與Master 主機(jī)相互搭配。

用以上案例來(lái)說(shuō)明，如果我需要有4臺(tái)主機(jī)提供DNS 服務(wù)，且4臺(tái)主機(jī)的內(nèi)容相同，那么只要指定一臺(tái)主機(jī)為Master ，其它3臺(tái)為該Master 的Slave 主機(jī)，當(dāng)修改一個(gè)IP 與名稱的對(duì)應(yīng)時(shí)，只要手動(dòng)修改Msater 那臺(tái)主機(jī)上的配置文件然后重啟BIND 服務(wù)，其他三臺(tái)Slave 就會(huì)自動(dòng)被通知更新了。這樣依賴就解決了維護(hù)管理工作量大的問(wèn)題。

3、Cache-Only

Cache-Only 這種類型的DNS 主機(jī)沒有自己的數(shù)據(jù)庫(kù)，僅用于幫助Client 端向外部DNS 主機(jī)請(qǐng)求數(shù)據(jù)。簡(jiǎn)單來(lái)說(shuō)，可以把它看著一個(gè)代理人，通常設(shè)置在防火墻上。

下面是DNS 的查找過(guò)程（簡(jiǎn)述）：

DNS 的結(jié)構(gòu)是一個(gè)樹狀結(jié)構(gòu)，稱為域名空間 。

針對(duì)如下圖示：

網(wǎng)絡(luò)20072___DNS Server 1

UNIX 課程設(shè)計(jì)___DNS Server 配置

當(dāng)A 主機(jī)要訪問(wèn)www.lupaworld.com （B 主機(jī)）時(shí)，先查看DNS 服務(wù)器（.edu.cn ），有則返回結(jié)果給A 主機(jī)，沒有則向ROOT DNS服務(wù)器查詢。root 會(huì)返回管理.com 服務(wù)器的地址，DNS 服務(wù)器再去管理.com 的服務(wù)器查詢，得到管理.lupaworld.com 的服務(wù)器地址。然后到管理.lupaworld.com 的服務(wù)器查詢，當(dāng)查到www.lupaworld.com 的主機(jī)時(shí)，就把此主機(jī)的IP 地址返回給主機(jī)A ，并存入本地緩存中。

二、課程設(shè)計(jì)內(nèi)容

本課程設(shè)計(jì)環(huán)境假設(shè)

1、拓?fù)淙缦?/p>

網(wǎng)絡(luò)20072___DNS Server 2

UNIX 課程設(shè)計(jì)___DNS Server 配置

2、問(wèn)題描述：

本企業(yè)中在企業(yè)網(wǎng)邊界FIREWALL （具備NAT 功能）連接至Internet. 向ISP 申請(qǐng)了一個(gè)ip 地址（ISP 提供申請(qǐng)的ip 地址的同時(shí)，還提供了本ip 地址掩碼，ISP 的DNS 服務(wù)器地址—該地址用做本企業(yè)的上級(jí)DNS 地址）。圖中也曾提及，邊界的FIREWALL 可根據(jù)企業(yè)需求及經(jīng)費(fèi)選擇使用UNIX 主機(jī)代理上網(wǎng)，在UNIX 主機(jī)上做IPTABLES 防火墻和NAT 。

在DMZ 區(qū)域中，有本企業(yè)網(wǎng)內(nèi)部的服務(wù)器集群（這里以WWW,FTP,MAIL,DNS 為例）。 在內(nèi)部網(wǎng)中則是企業(yè)內(nèi)網(wǎng)。

3、現(xiàn)在知道：

ISP 提供的

Ip ：9.9.9.9

MASK ：255.255.255.0

ISP 的DNS 服務(wù)器地址：8.8.8.8（可能還涉及輔助DNS ，域名，域名搜索列表） 本企業(yè)網(wǎng)內(nèi)部IP 規(guī)劃：

DMZ 區(qū)域：10.0.0.0/8

企業(yè)內(nèi)網(wǎng)：10.1.0.0/8

在DMZ 區(qū)域中：

WWW 服務(wù)器：10.0.0.6/8 域名：www.wangluo20072.com

FTP 服務(wù)器：10.0.0.7/8 域名：www.ftp.wangluo20072.com

MAIL 服務(wù)器：10.0.0.8/8 域名：www.mail.wangluo20072.com

DNS 服務(wù)器：10.0.0.9/8

輔助DNS 服務(wù)器：10.0.0.10/8

以上服務(wù)器的默認(rèn)網(wǎng)關(guān)均為：10.0.0.1

注：不能在同一臺(tái)計(jì)算機(jī)上同時(shí)配置同一個(gè)域的主域名服務(wù)器和輔助域名服務(wù)器。

Ip 地址均粗略估計(jì)，未做詳細(xì)規(guī)劃；

網(wǎng)絡(luò)20072___DNS Server

3

UNIX 課程設(shè)計(jì)___DNS Server 配置

4、以下是對(duì)DMZ 區(qū)域的區(qū)域DNS 服務(wù)器的詳細(xì)配置：

a 、在欲作DNS 服務(wù)的服務(wù)器上安裝相應(yīng)的UNIX 操作系統(tǒng)并裝好BIND 服務(wù)軟件；為其配置靜態(tài)IP 地址，地址為10.0.0.9；mask 255.0.0.0；默認(rèn)網(wǎng)關(guān)：10.0.0.1. 同時(shí)設(shè)置其主DNS 地址 為10.0.0.9。

b 、重啟網(wǎng)絡(luò)服務(wù)，并設(shè)置安全級(jí)別為無(wú)防火墻。

c 、驗(yàn)證BIND 服務(wù)軟件是否裝好且是否為所需要的版本；

使用命令：rpm –qa | grep bind

如果出現(xiàn)版本號(hào)，則說(shuō)明DNS 服務(wù)軟件已安裝好；

d 、配置主域名服務(wù)器

⑴、對(duì)主配置文件named.conf 進(jìn)行配置：

vi /etc/named.conf

其中options 主要是管理整體服務(wù)器環(huán)境和相應(yīng)的權(quán)限

網(wǎng)絡(luò)20072___DNS Server 4

UNIX 課程設(shè)計(jì)___DNS Server 配置

添加正向進(jìn)行區(qū)聲明、指定 master 類型，即主域名服務(wù)器的類型、指定存放數(shù)據(jù)的文件、允許動(dòng)態(tài)更新wangluo20072.com 數(shù)據(jù)的客戶機(jī)。

添加反向進(jìn)行區(qū)聲明、反向解析的域名，它的名字必須以“.in-addr.arpa ”結(jié)尾、指定 master 類型，即主域名服務(wù)器的類型、指定存放數(shù)據(jù)的文件、允許動(dòng)態(tài)更新wangluo20072.com 數(shù)據(jù)的客戶機(jī)。

網(wǎng)絡(luò)20072___DNS Server

5

UNIX 課程設(shè)計(jì)___DNS Server 配置

上圖（圖一、二、三）中關(guān)鍵詞解析：

（1）type master| hint |slave,指出服務(wù)器的類型。

（2）master:此服務(wù)器為主DNS 服務(wù)器。

（3）hint:此服務(wù)器作啟動(dòng)時(shí)初始化為高速緩存DNS 服務(wù)器。

（4）slave:此服務(wù)器作為輔助DNS 服務(wù)器。

（5）file ：存放該zone 數(shù)據(jù)的文件名。

（6）allow-update:允許動(dòng)態(tài)更新該zone 數(shù)據(jù)的客戶機(jī)。

（7）反向解析的域名，它的名字必須.in-addr.arpa 來(lái)結(jié)尾。

（2）、復(fù)制/var/named/localhost.zone 模板文件到/var/named/目錄下，并把文件命名為wangluo20072.com.zone 。具體命令為：cp /var/named/localhost.zone /var/named/wangluo20072.com.zone注意：localhost.zone 用來(lái)配置正向解析的模板文件。

vi /var/named/wangluo20072.com.zone

(3)、復(fù)制/var/named/named.local 模板文件到/var/named/目錄下，并把文件命名為0.0.10.local 。具體命令為：[root@localhost root]#cp /var/named/named.local /var/named/0.0.10.local

vi /var/named/0.0.10.local

網(wǎng)絡(luò)20072___DNS Server 6

UNIX 課程設(shè)計(jì)___DNS Server 配置

Zone 文件local 文件

(1)$TTL：這個(gè)域的保留時(shí)間。

(2)$ORIGIN localhost.：默認(rèn)的域。

(3)NS：指定域名服務(wù)器，每一個(gè)主域名服務(wù)器和從域名服

務(wù)器都應(yīng)該用有一條NS 記錄，以防止主服務(wù)器在出現(xiàn)故

障后，從服務(wù)器不能及時(shí)提供服務(wù)。

(4)A：將一個(gè)域名解析成其后的IP 。

(5)CNAME：將一個(gè)域名設(shè)置為另一個(gè)域名的別名。

(6)PTR：將一個(gè)IP 地址指向一個(gè)域名。

(7)MX：指定域名服務(wù)器，一般用于定義某一個(gè)域里負(fù)責(zé)的郵件服務(wù)器, 并且每 一條MX 記錄前都需要指定優(yōu)先級(jí)別。

(8)SOA（Start of Authority）:起始授權(quán)（每個(gè)域文件中都應(yīng)該有一個(gè)SOA 段）。

serial 表示序列號(hào)

refresh 表示刷新

retry 表示重試

expiry 表示過(guò)期minimum 表示生存期

序列號(hào)：用于DNS 數(shù)據(jù)庫(kù)文件的版本控制。每當(dāng)數(shù)據(jù)被改變，這個(gè)序列號(hào)就應(yīng)該被增加。 刷新：從服務(wù)器向主服務(wù)器查詢最新數(shù)據(jù)的間隔周期。每一次檢查時(shí)從服務(wù)器的數(shù)據(jù)是否需要更改，則根據(jù)序列號(hào)來(lái)判別。

重試：一旦從服務(wù)器嘗試連接主服務(wù)器失敗，下一次查詢主服務(wù)器的延遲時(shí)間。

過(guò)期：如果從服務(wù)器無(wú)法連通主服務(wù)器，則在經(jīng)過(guò)此時(shí)間后，宣告其數(shù)據(jù)過(guò)期。

生存期：服務(wù)器回答“無(wú)此域名”的間隔時(shí)間。

（4）編輯resolv.conf 文件（可選、如果需要配置從服務(wù)器時(shí)需要使用此項(xiàng)） resolv.conf 文件在目錄/etc/resolv.conf 默認(rèn)文件空

該文件存放了上一級(jí)的DNS 服務(wù)器IP 。當(dāng)本地的DNS 服務(wù)器無(wú)法解析時(shí)將交給上一層DNS 服務(wù)器執(zhí)行；

如果是PPPOE 方式上網(wǎng)，即ISP 采用DHCP 方式分配所需信息（包括IP ，MASK,DNS_IP等等）。 此時(shí)DHCP 會(huì)自動(dòng)的在resolv.conf 文件里加入DNS 服務(wù)器地址以及其他相關(guān)信息（這需要ISP 在DHCP 服務(wù)器中進(jìn)行相應(yīng)配置）；

在本企業(yè)網(wǎng)中，業(yè)主從ISP 申請(qǐng)的是靜態(tài)的IP ；需要對(duì)上一級(jí)DNS 服務(wù)器地址文件進(jìn)行編輯，以指示當(dāng)本地?zé)o法查詢時(shí)，遞交給上一級(jí)DNS 查詢；

vi /etc/resolv.conf

nameserver 8.8.8.8 //該配置文件中最重要命令，沒有它或者錯(cuò)誤配置將無(wú)法執(zhí)行上一級(jí)查詢。瀏覽部分網(wǎng)頁(yè)時(shí)將報(bào)錯(cuò)。

還可以配置

ISP 提供的輔助DNS

ISP 提供的域名

ISP 提供的search 域名（域名的搜索列表）

等等。。。

網(wǎng)絡(luò)20072___DNS Server 7

UNIX 課程設(shè)計(jì)___DNS Server 配置

（5）、編輯host.conf 文件

"/etc/host.conf"說(shuō)明了如何解析地址，Linux 通過(guò)解析器庫(kù)來(lái)獲得主機(jī)名對(duì)應(yīng)的IP 地址；

host.conf 文件默認(rèn)內(nèi)容

order hosts，bind

//"order " 指定主機(jī)名查詢順序，其參數(shù)為用逗號(hào)隔開的查找方法，支持的查找方法為bind 、hosts 和nis ，分別代表DNS 、/etc/hosts和NIS ，這里規(guī)定先查詢"/etc/hosts"文件然后再使用DNS 來(lái)解析域名。

可附加的參數(shù)有：

//"trim" 表明當(dāng)通過(guò)DNS 進(jìn)行地址到主機(jī)名的轉(zhuǎn)換時(shí)，域名將從主機(jī)名中被裁剪掉，trim 可以被多個(gè)域包含多次，對(duì)/etc/hosts和NIS 查詢方法不起作用，注意在/etc/hosts和NIS 表中主機(jī)名是被適當(dāng)?shù)?有或沒有全域名) 列出的。

//"multi" 指定是否"/etc/hosts"文件中指定的主機(jī)可以有多個(gè)地址，值為on 表示允許，擁有多個(gè)IP 地址的主機(jī)一般稱為具有多個(gè)網(wǎng)絡(luò)界面。

//"nospoof " 指是否允許對(duì)該服務(wù)器進(jìn)行IP 地址欺騙，值為on 表示不允許，IP 欺騙是一種攻擊系統(tǒng)安全的手段，通過(guò)把IP 地址偽裝成別的計(jì)算機(jī)，來(lái)取得其它計(jì)算機(jī)的信任。 //"alert" 當(dāng)nospoof 指令為on 時(shí)，alert 控制欺騙的企圖是否用syslog 工具進(jìn)行記錄，值為on 表示使用，缺省值為off 。

//"rccorder" 如果被設(shè)置為on ，所有的查詢將被重新排序，所以在同一子網(wǎng)中的主機(jī)將首選被返回，缺省值為off 。

三、驗(yàn)證DNS 配置

啟動(dòng)服務(wù)

a、killall named

功能：殺死進(jìn)程，保證BIND 能正常啟動(dòng)

b、service named start

或service

restart named

網(wǎng)絡(luò)20072___DNS Server 8

UNIX 課程設(shè)計(jì)___DNS Server 配置

（當(dāng)服務(wù)啟動(dòng)后使用命令netstat –ntlu 可以查看tcp53狀態(tài)）

DNS 工作情況日志信息存放在：/var/log/messages 使用命令tail –n 15 /var/log/messages | grep named 查看

網(wǎng)絡(luò)20072___DNS Server

9

UNIX 課程設(shè)計(jì)___DNS Server 配置

測(cè)試DNS 服務(wù)

使用nslookup 命令

在DHCP 服務(wù)器上

在其余測(cè)試主機(jī)（非UNIX 操作系統(tǒng)）上、 DHCP 獲得主機(jī)信息：

網(wǎng)絡(luò)20072___DNS Server

10