泉州移動(dòng)DNS 維護(hù)手冊(cè)Create Date：2010-4-30Modify date：2010-6-11Modify date：2010-7-22Writer ：zhuanh yue peiVer

泉州移動(dòng)DNS 維護(hù)手冊(cè)

Create Date：2010-4-30

Modify date：2010-6-11

Modify date：2010-7-22

Writer ：zhuanh yue pei

Version:1.2

目錄

泉州移動(dòng)DNS 維護(hù)手冊(cè) . ................................................................................................................ 1

目錄........................................................................................................................................... 1

1 專(zhuān)業(yè)術(shù)語(yǔ)介紹 . .......................................................................................................... 2

1.1 DNS 當(dāng)前拓?fù)浣榻B . ................................................................................ 2

1.2 Dns 作用 .................................................................................................. 2

1.3 DNS 類(lèi)型 . ................................................................................................ 2

1.4 資源記錄 . ................................................................................................ 3

1.5 DNS 部分配置文件介紹 . ........................................................................ 4

1.6 解析類(lèi)型 . ................................................................................................ 5

1.7 Acl 和view 的概念 ................................................................................. 5

2 DNS 配置文件介紹 . ................................................................................................. 6

2.1 named.conf 主配置文件 .......................................................................... 6

2.2 zone 區(qū)域信息配置 ................................................................................. 9

2.3 區(qū)域數(shù)據(jù)文件 . ...................................................................................... 12

2.4 Inclued 文件 . .......................................................................................... 12

3 日常作業(yè)規(guī)范 . ........................................................................................................ 13

3.1 DNS 服務(wù)啟動(dòng)、關(guān)閉 . .......................................................................... 13

3.2 named.conf 主配置文件維護(hù) ................................................................ 13

3.3 zone 區(qū)域文件維護(hù) ............................................................................... 15

3.3.1 區(qū)域數(shù)據(jù)文件常見(jiàn)任務(wù) . ................................................................... 16

3.4 委派授權(quán)解析 . ...................................................................................... 16

3.5 轉(zhuǎn)發(fā)域 . .................................................................................................. 17

4 常用命令集 . ............................................................................................................ 17

4.1 診斷方法 . .............................................................................................. 17

4.2 Dig 診斷工具 . ........................................................................................ 19

4.3 Nslookup 診斷工具 ............................................................................... 20

5 應(yīng)急方案 . ................................................................................................................ 21

6 DNS Debug介紹 . ................................................................................................... 21

7 其他—tcpdump 抓包工具介紹 ............................................................................ 23

1 專(zhuān)業(yè)術(shù)語(yǔ)介紹

1.1 DNS 當(dāng)前拓?fù)浣榻B

1.2 Dns 作用

DNS(Domain Name System)叫做域名解析服務(wù)器，域名系統(tǒng)是分級(jí)的分布式的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)存放著域名所對(duì)應(yīng)的IP 地址，郵件路由信息和網(wǎng)絡(luò)應(yīng)用方面的數(shù)據(jù)，數(shù)據(jù)庫(kù)以文件形式或是應(yīng)用數(shù)據(jù)庫(kù)形式存在。DNS 負(fù)責(zé)將用戶(hù)請(qǐng)求信息解析成相應(yīng)的信息，比如，將域名解析成所對(duì)應(yīng)的IP 地址，或是將IP 地址解析成所對(duì)應(yīng)的域名，或是回答某個(gè)域名的郵件服務(wù)器的ip 地址等。

1.3 DNS 類(lèi)型

一個(gè) DNS 服務(wù)器可以同時(shí)作為多個(gè)域的主域名服務(wù)器和輔域名服務(wù)器，也可以只作為主，或只作為輔，或者做任何域的授權(quán)服務(wù)器而只使用自己的 cache 來(lái)提供查詢(xún)解析。Master 服務(wù)器也經(jīng)常叫做 primary ，slave 服務(wù)器也經(jīng)常叫做 secondary 。不論是 master/primary/主/一級(jí)域名服務(wù)器，還是 slave/secondary/輔/二級(jí)域名服務(wù)器，都是這個(gè)域的授權(quán)服務(wù)器。

所有的服務(wù)器都會(huì)將數(shù)據(jù)保存在緩存（cache ）中，直到針對(duì)這些數(shù)據(jù)的 TTL

（Time To Live）值過(guò)期。

1.3.1 主域名服務(wù)器

primary master server是一個(gè) domain 信息的最根本的來(lái)源。它是所有輔域名服務(wù)器進(jìn)行域傳輸?shù)脑础Ｖ饔蛎?wù)器是從本地硬盤(pán)文件中讀起域的數(shù)據(jù)。

1.3.2 輔域名服務(wù)器

就是 slave server ，或叫作 secondary server 。次級(jí)服務(wù)器使用一個(gè)叫做域轉(zhuǎn)輸?shù)膹?fù)制過(guò)程，調(diào)入其它服務(wù)器中域的內(nèi)容。通常情況下，數(shù)據(jù)是直接從主服務(wù)器上傳輸過(guò)來(lái)的，但也可能是從本 地磁盤(pán)上的cache 中讀到的。輔域名服務(wù)器可以提供必需的冗余服務(wù)。所有的輔域名服務(wù)器都應(yīng)該寫(xiě)在這個(gè)域的 NS 記錄中。

1.3.3 隱藏服務(wù)器

stealth server 可以針對(duì)一個(gè)域的查詢(xún)返回授權(quán)的記錄，但是它并沒(méi)有列在這個(gè)域的 NS 記錄里。Stealth 服務(wù)器可以用來(lái)針對(duì)一個(gè)域進(jìn)行集中分發(fā)，這樣可以不用在遠(yuǎn)程服務(wù)器上手工編輯這個(gè)域的信息了。在這種方式中，一個(gè)域的 master 文件在 stealth server 上存儲(chǔ)的位置，經(jīng)常叫做“hidden primary ”配置。Stealth 服務(wù)器也可以將域文件在本地做一個(gè)拷貝，從而可以在所有官方的域名服務(wù)器都不能訪問(wèn)的情況下，也能更快地讀取域的記錄。

1.3.4 高速緩存域名服務(wù)器

緩存服務(wù)器可以將它收到的信息存儲(chǔ)下來(lái)，并再將其提供給其它的用戶(hù)進(jìn)行查詢(xún)，直到這些信息過(guò)期。它的配置中沒(méi)有任何本地的授權(quán)域的配置信息。它可以相應(yīng)用戶(hù)的請(qǐng)求，并詢(xún)問(wèn)其它授權(quán)的域名服務(wù)器，從而得到回答用戶(hù)請(qǐng)求的信息。

1.3.5 轉(zhuǎn)發(fā)服務(wù)器

1.4 資源記錄

DNS 服務(wù)器的信息數(shù)據(jù)，按照分類(lèi)進(jìn)行存儲(chǔ)，比如將域名解析成IP ，這樣信息存貯成A 記錄，而將IP 地址解析成域名，這樣的信息則存貯成PTR 記錄。還有MX 、CNAME 等資源記錄。不同的資源記錄是為了不同的資源解析而設(shè)的。

1.4.1 NS 資源記錄

名稱(chēng)服務(wù)器（NS ）資源記錄表示該區(qū)的授權(quán)服務(wù)器，用于說(shuō)明該區(qū)域有哪些dns 服務(wù)器負(fù)責(zé)解析，NS 資源指的就是授權(quán)服務(wù)器。

1.4.2 SOA 資源記錄

可能有多臺(tái)服務(wù)器負(fù)責(zé)一個(gè)域的DNS 解析，比如163.com 這個(gè)域，負(fù)責(zé)解析有臺(tái)服務(wù)器：ns1.163.com 和ns2.163.com 。那么SOA 記錄就是指定這兩臺(tái)服務(wù)器中的哪一臺(tái)為主服務(wù)器，而另外一臺(tái)為輔助服務(wù)器。因?yàn)樵谝粋€(gè)授權(quán)域中，只能有一臺(tái)負(fù)責(zé)解析。

1.4.3 A 資源記錄

地址（A ）資源記錄把FQDN 映射到IP 地址，因而解析器能查詢(xún)FQDN 對(duì)應(yīng)的IP 地址。

1.4.4 PTR 資源記錄

相對(duì)于A 資源記錄，指針（PTR ）記錄把IP 地址映射到FQDN 。

1.4.5 CNAME 資源記錄

規(guī)范名字（CNAME ）資源記錄創(chuàng)建特定FQDN 的別名。用戶(hù)可以使用CNAME 記錄來(lái)隱藏用戶(hù)網(wǎng)絡(luò)的實(shí)現(xiàn)細(xì)節(jié)，使連接的客戶(hù)機(jī)無(wú)法知道。

1.4.6 MX 資源記錄

指明某個(gè)域中那臺(tái)服務(wù)器是郵件服務(wù)器?？梢酝瑫r(shí)配置多個(gè)MX 資源，DNS 服務(wù)器會(huì)根據(jù)每個(gè)MX 配置的權(quán)重的不同來(lái)決定輪詢(xún)的次數(shù)。

比如

1.5 DNS 部分配置文件介紹

泉州移動(dòng)DNS 服務(wù)器是使用bind 軟件進(jìn)行安裝服務(wù)的，當(dāng)前版本是9.3

Bind 的主要配置文件是named.conf ，該文件通常是位于/etc/named.conf，但是如果安裝了bind-chroot 安全包后，named.conf 文件移到會(huì)在chroot 目錄下，在/etc/目錄下的named.conf 是一個(gè)符號(hào)連接到chroot 目錄下的named.conf.

注意：使用了chroot 后，由于Bind 程序的虛擬根目錄是/var/named/chroot/，因此下文提到所有的DNS 服務(wù)器配置文件、區(qū)域數(shù)據(jù)文件和配置文件內(nèi)的語(yǔ)句，都是相對(duì)這個(gè)虛擬根目錄而言的。如下文提到的/etc/named.conf，其真正的路徑是/var/named/chroot/etc/ named.conf；如目錄/var/named/，其真正的路徑是/var/named/chroot/var/named/。

1.5.1 Named.conf 主配置文件

該文件是DNS 服務(wù)器的主要配置文件，該文件位于/var/named/chroot/etc/ named.conf 。DNS 后臺(tái)進(jìn)程named 在53端口監(jiān)聽(tīng)用戶(hù)的請(qǐng)求，在收到解析請(qǐng)求后，會(huì)首先是查找named.conf 文件，然后從named.conf 文件中再定位所要查找的區(qū)域數(shù)據(jù)文件的位置，最后讀取數(shù)據(jù)返回給客戶(hù)。所以當(dāng)named.conf 文件丟失，或是格式錯(cuò)誤都會(huì)導(dǎo)致服務(wù)啟動(dòng)失敗。

一般在對(duì)named.conf 文件修改后，要驗(yàn)證下其格式是不是正確

Named.conf 包括了全局的參數(shù)配置、區(qū)域配置、DNS 日志配置、還有一些區(qū)域配置相關(guān)的配置如acl 、view 等

1.5.2 區(qū)域數(shù)據(jù)庫(kù)文件

詳細(xì)的解析信息是存放在區(qū)域數(shù)據(jù)文件，比如A 、PRT 、NS 、MX 等解析信息都是存放在區(qū)域數(shù)據(jù)文件中。而區(qū)域數(shù)據(jù)文件的存放的位置是在named.conf 的options 的directory 參數(shù)定義的，比如通常是定義成：directory ―/var/named‖;

1.6 解析類(lèi)型

1.6.1 正向解析

正向解析是指域名到IP 地址的解析過(guò)程。

1.6.2 反向解析

反向解析是從IP 地址到域名的解析過(guò)程。反向解析的作用為服務(wù)器的身份驗(yàn)證。

1.7 Acl 和view 的概念

1.7.1 ACL

ACL 就是一個(gè)IP 過(guò)濾器，默認(rèn)是不允許所有的ip 訪問(wèn)，只有在列表中的IP 才可以訪問(wèn)DNS 中的資源。

ACL 的格式：

1.7.2 View

View 是bing9才有的一個(gè)的功能，可以根據(jù)用戶(hù)的不同ip 來(lái)提供不同的服務(wù)，最常用的就是智能分流了—也叫做雙線或是多線接入，根據(jù)用戶(hù)IP 的不同，訪問(wèn)統(tǒng)一個(gè)網(wǎng)站的域名解析成不同的IP 地址。

在泉州移動(dòng)的DNS 中，因?yàn)檫B接著不同IP 提供商的網(wǎng)段，本地授權(quán)域名較少，大多是做轉(zhuǎn)發(fā)，所以還有一個(gè)應(yīng)用就是將不同用戶(hù)段的IP ，轉(zhuǎn)到相應(yīng)的IP 提供商的DNS 服務(wù)器來(lái)解析，比如鐵通IP 段，則轉(zhuǎn)發(fā)到鐵通的專(zhuān)門(mén)的DNS 服務(wù)器來(lái)做解析。

所以本地的DNS 是做轉(zhuǎn)發(fā)服務(wù)器，也叫緩存服務(wù)器。

2 DNS 配置文件介紹

2.1 named.conf 主配置文件 [root@ns1 ~]# cat /etc/named.conf

options {

listen-on port 53 { 192.168.0.40;};

directory "/var/named";

dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt"; query-source port 53;

datasize 300m;

recursion yes;

recursive-clients 2000;

version "[^_^]";

};

logging {

channel default_debug {

file "data/named.run" versions 10 size 2m; severity dynamic;

print-time yes;

print-severity yes;

print-category yes;

};

channel all_log {

file "data/all_log.run" versions 5 size 10m; severity debug 3;

print-time yes;

print-severity yes;

print-category yes;

};

category general { all_log; };

category client { all_log; };

category queries { all_log; };

};

view localhost_resolver {

match-clients { localhost; };

match-destinations { localhost; };

recursion yes;

include "/etc/named.rfc1912.zones";

};

//min_hui temporary acl

include "/etc/acl_temp";

//jin_qiao acl

acl "cmnet" {

180.178.192.0/20;

180.188.16.0/22;

180.188.20.0/23;

180.188.22.0/24;

180.188.28.0/22;

180.188.64.0/20;

180.188.70.0/24;

180.188.71.0/24;

180.188.80.0/22;

180.188.84.0/23;

180.188.87.0/24;

180.188.88.0/21;

113.18.64.0/19;

113.18.104.0/21;

113.18.144.0/21; };

view "cm_qzgov" IN {

match-clients { cmnet;acl_temp; };

match-destinations { any; };

recursion yes;

forwarders { 123.125.9.211;123.125.9.212; }; forward first;

additional-from-auth yes;

additional-from-cache yes;

include "/etc/named.rfc1912.zones";

};

//min_hui acl

acl "cm_min_hui" { 122.48.176.0/20; };

view "cm_min_hui_view" IN {

match-clients { cm_min_hui; };

match-destinations { any; };

recursion yes;

forwarders { 219.141.136.10;211.138.151.161; }; forward first;

additional-from-auth yes;

additional-from-cache yes;

include "/etc/named.rfc1912.zones";

};

//tie_tong

acl "tie_tong" { 122.91.8.0/21;

122.91.16.0/21;

110.125.192.0/19;

110.125.224.0/20;

111.142.64.0/21; };

view "tie_tong_view" IN {

match-clients { tie_tong; };

match-destinations { any; };

recursion yes;

forwarders { 222.47.29.93;222.47.62.142; }; forward first;

additional-from-auth yes;

additional-from-cache yes;

include "/etc/named.rfc1912.zones";

};

//cmnet_self acl

acl "cmnet_self" { 211.143.144.0/20;

211.138.136.0/21;

211.138.144.0/20;

211.138.132.0/22;

211.143.160.0/19;

211.143.192.0/19;

211.148.224.0/19;

218.207.96.0/19;

218.207.128.0/18;

218.207.192.0/19;

112.5.16.0/20;

112.5.32.0/19;

180.188.23.0/22;

180.188.27.0/23; };

view "cmnet_self_view" IN {

match-clients { cmnet_self; };

match-destinations { any; };

recursion yes;

forwarders { 211.138.151.161;211.138.156.66; }; forward first;

2.2 zone 區(qū)域信息配置

區(qū)域信息默認(rèn)是放在named.conf 主配置文件中，但是因?yàn)閦one 信息可能會(huì)不斷的增加，造成named.conf 配置文件變成很大，不便管理和閱讀。對(duì)以便以管理，特別將zone 隔離出來(lái)，信息存放在一個(gè)單獨(dú)的文件中，

用include 關(guān)鍵字來(lái)引用。 下面是對(duì)include 所引用的區(qū)域信息文件的部分內(nèi)容做下解析

(named.rfc1912.zones 配置文件沒(méi)有完全貼出來(lái)，重復(fù)的部分省去)

};

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

zone "0.168.192.in-addr.arpa" IN {

type master;

file "0.168.192.zone";

allow-update { none; };

};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master;

file "named.ip6.local";

allow-update { none; };

};

zone "255.in-addr.arpa" IN {

type master;

file "named.broadcast";

allow-update { none; };

};

zone "0.in-addr.arpa" IN {

type master;

file "named.zero";

allow-update { none; };

};

zone "testqzmobile.com" IN {

type master;

file "qzmobile.com.zone";

allow-update { none; };

};

zone "137.207.218.in-addr.arpa" IN {

type master;

file "137.207.218.zone";

allow-update { none; };

};