项目9BIND域名解析服务器的搭建.ppt

Linux网络操作系统配置与管理 Linux网络操作系统配置与管理 教材配套的光盘为师生双方提供了丰富的教学资源 主要包括 课程标准 教学大纲 教学设计方案 教案 PPT课件 项目习作参考答案 配套软件清单及下载地址 模拟试卷及评分标准和参考答案 4套 网络管理员职责 相关认证考试介绍与往年试卷 知识拓展资料 网络工程案例与解决方案 教材主编 夏笠芹出版社 项目9BIND域名解析服务器的搭建 职业知识目标 了解 域名解析 域名空间的概念 DNS的类型熟悉 DNS服务的工作过程 DNS客户机更新租约的过程掌握 安装 配置DNS服务器的方法步骤 配置 测试DNS客户机的方法步骤 职业能力目标 会安装BIND软件包能配置主DNS 辅助DNS 唯缓存DNS和转发器会配置DNS客户机能测试DNS服务器的运行效果 9 2项目知识准备 9 2 1DNS服务及域名空间 9 2项目知识准备 9 2 1DNS服务及域名空间 9 2项目知识准备 9 2 2DNS域名解析的过程 对域名的查询是分层次进行的 对域名域名的解析需要依次经过 客户机向本地DNS发送解析请求 当本地DNS收到请求后 就先查询本地的缓存 如果有查询的DNS信息记录 则直接返回查询的结果 如果没有该记录 本地DNS就把解析请求发给根域名服务器 根域名服务器收到请求后 根据完全正式域名FQDN 判断该域名属于com域 查询所有的com域DNS服务器的信息 并返回给本地DNS本地DNS收到回应后 先保存返回的结果 再选择一台com域的域名服务器 向其提交解析域名的请求 com域名服务器接收到该查询请求后 判断该域名属于域 通过查询本地的记录 列出管理google域的域名服务器信息 然后将查询结果返回给本地DNS 本地DNS收到回应后 先缓存返回的结果 再向域的服务器发出请求解析域名的数据包 域名服务器收到请求后 查询DNS记录中的www主机的信息 并将结果返回给本地DNS 本地DNS将返回的查询结果保存到缓存 并且将结果返回给客户机 9 2项目知识准备 DNS的查询模式按照DNS搜索区域的类型 DNS的区域分为 正向搜索 是DNS服务器实现的主要功能 它根据域名解析出对应的IP地址 反向搜索 是根据IP地址解析出对应的域名 9 2项目知识准备 9 2 3DNS服务器的类型与hosts文件主域名服务器Master是特定域所有信息的权威性信息源 对于某个指定域 主域名服务器是惟一存在的 主域名服务器中保存了指定域的区域文件辅助域名服务器slave不进行特定域信息 区域文件 的权威设置 而是从该域的主域名服务器中获取相应的文件并进行保存 当启动辅助域名服务器时 它会与它建立联系的所有主要域名服务器建立联系 并从中复制信息 在辅助域名服务器工作 它会定期地更改原有的信息 以尽可能地保证副本与正本数据的一致性 辅助域名服务器主要有提供容错能力 加快查询速度和分担主域名服务器的负担等优点 缓存域名服务器或称为 惟高速缓存服务器 主要功能是提供域名解析的缓存转发DNS服务器凡是可以向其他DNS服务器转发解析请求的DNS服务器都称为转发DNS服务器 9 2项目知识准备 9 3项目实施 任务9 1DNS服务的安装与运行1 获得bind软件包Bind是一款开放源码的DNS服务器软件 Bind由美国加州大学Berkeley分校开发和维护的 全名为BerkeleyInternetNameDomain它是目前世界上使用最为广泛的DNS服务器软件 支持各种Linux平台和windows平台 bind软件包的安装方式有两种利用rpm格式的安装包直接安装利用源代码编译安装 RHEL5 5自带有版本号为9 3 6的BINDbind 9 3 6 4 P1 el5 4 2 i386 rpm DNS的主程序包caching nameserver 9 3 6 4 P1 el5 4 2 i386 rpm 高速缓冲DNS服务器的基本配置文件 建议安装它提供了RHEL5 0下初始化文件的方法bind chroot 9 3 6 4 P1 el5 4 2 i386 rpm 为bind提供一个伪装的根目录以增强安全性工具 bind utils 9 3 6 4 P1 el5 4 2 i386 rpm 提供了对DNS服务器的测试工具程序 包括dig host与nslookup等 系统默认安装 bind libs 9 3 6 4 P1 el5 4 2 i386 rpm 进行域名解析必备的库文件 系统默认安装 注意 bind chroot软件包最好最后一个安装 否则会报错 任务9 1DNS服务的安装与运行 2 检查是否已安装BIND软件包 rpm qabind bind libs 9 3 6 4 P1 el5 4 2bind utils 9 3 6 4 P1 el5 4 23 安装前查询了解软件包的安装位置查询方法是使用带 qpl 参数的rpm命令来查询 4 安装BIND软件包 RPM软件包安装 以RHEL5下自带的BIND为例 mount dev cdrom mnt rpm ivh mnt Server bind 9 3 6 4 P1 el5 4 2 i386 rpm rpm ivh mnt Server caching nameserver 9 3 6 4 P1 el5 4 2 i386 rpm rpm ivh mnt Server bind chroot 9 3 6 4 P1 el5 4 2 i386 rpm 若只输出此2行 说明未安装 任务9 1DNS服务的安装与运行 5 DNS服务的运行管理BIND软件包安装完毕以后 提供的主程序默认位于 usr sbin named 系统中会自动增加一个名为named的系统服务 通过脚本文件 etc init d named 或service命令都可以控制域名服务的运行 下面是常用的关于DNS服务的命令 servicenamedstart stop restart status启动 停止 重启 查询DNS服务 任务9 1DNS服务的安装与运行 BIND配置文件 注意 rhel5以前的版本的 etc named conf被named caching nameserver conf和named rfc1912 zones这两个文件代替了 这些文件的属性一定要设置成root named 任务9 2认识BIND的配置文件 例9 1 为德雅职业学校校园网搭建一台主DNS服务器 使得校园网内的用户能够通过域名访问校园网内的所有服务器 并通过DNS服务器的转发也能使用域名访问互联网中的服务器 DNS转发器设置为61 128 192 68 校园网内的服务器如下 任务9 3配置主DNS服务 配置步骤 步骤1 配置DNS服务器网卡的IP地址为10 10 0 2 主机名为dns1 dyzx edu步骤2 全局配置文件 var named chroot etc named caching nameserver conf cd var named chroot etc cp pnamed caching nameserver confnamed conf vinamed conf修改其中4个地方 见下页红色下划线处 任务9 3配置主DNS服务 修改为本机IP地址 任务9 3配置主DNS服务 options配置段常用配置项 用来说明全局属性 listen onport53 10 10 0 1 设置named守护进程绑定的IP和监听的端口 若未指定 默认监听DNS服务器的所有IP地址的53号端口 listen on v6port53 1 设定监听进入服务器的ipv6请求的端口 directory var named 指主配置文件的相对路径 其绝对路径为 var named chroot var named dump file var named data cache dump db 指定域名缓存文件的保存位置和文件名 statistics file var named data named stats txt 当使用rndcstats命令的时候 服务器会将统计信息追加到的文件路径名 如果没有指定 默认为named stats在服务器程序的当前目录中memstatistics file var named data named mem stats txt 服务器输出的内存使用统计文件的路径名如果没有指定 默认值为named memstats 注意 还没有在BIND9中实现 任务9 3配置主DNS服务 query sourceport53 客户端在进行DNS查询时必须使用53做为源端口query source v6port53 allow query localhost 或allow recursion 指定允许查询该DNS服务器的客户端IP地址或网络 在 中可指定允许查询的客户机IP地址或网络地址列表 地址间用分号分隔 若不配置该项 则默认所有主机均可以查询 可使用地址匹配符来表达允许的主机 any匹配所有IP地址none不匹配任何IP地址localhost匹配本地主机localnets匹配本地网络 比如 若仅允许127 0 0 1和192 168 168 0 24网段的主机查询该DNS服务器 则配置命令为 allow recursion 127 0 0 1 192 168 168 0 24 或表达为 allow query 127 0 0 1 192 168 168 0 24 若地址列表较多 通常可在options段之前 用acl定义一个访问控制列表 然后再在allow query 中引用该访问控制列表 其用法示例如下 aclmylan 127 0 0 1 192 168 168 0 24 options allow query mylan 任务9 3配置主DNS服务 Logging配置段 为域名服务器配置日志选项channeldefault debug file data named run severitydynamic channel短语对应于输出方式 格式选项和分类级别写入工作目录下的named run文件 按照服务器当前的debug级别记录日志 任务9 3配置主DNS服务 view配置段view是bind9提出的新概念 可以根据域名查询请求的不同来源IP地址或目的IP地址 给客户提供不同的域名解析 从而实现策略 智能 DNS服务 view用于定义一个view配置段 视区 对区域的定义 必须放在view视区中 match clients localhost 客户端的源IP match destinations localhost 解析出的目标IP 中的参数中所有指定地址范围可以以下写法 单个IP 192 168 0 1 网段 192 168 0 0 24 或192 168 0 指定多个IP 192 168 0 1 192 168 0 2 none 不匹配所有any 匹配所有localhost DNS主机localnet 与DNS主机同网段 任务9 3配置主DNS服务 recursionyes no 是否允许为客户机进行递归查询 如果客户端提交的FQDN本服务器没有 那么服务器会帮助客户端去查询view视区中的该项配置 将覆盖options中的该项全局设置 include etc named rfc1912 zones 定义将指定的区域配置文件包含进当前文件 任务9 3配置主DNS服务 步骤3 配置区域文件 named rfc1912 zones var named chroot etc和 etc下各有一个 后者是被链接的文件 vimnamed rfc1912 zones 任务9 3配置主DNS服务 在文件named rfc1912 zones尾部增加以下部分 DNS服务器的IP是 10 10 0 11zone dyzx edu IN 指明要增加的DNS域的名称typemaster 指明增加的为DNS的主要区域file dyzx edu zone 设置该主要区域的区域配置文件 名 该文件用于实现正向域名解析allow update none 设置该DNS不允许动态更新 zone 0 10 10 in addr arpa IN 指明该区域为反向查找区域typemaster 指明该反向查找区域为主要区域file dyzx edu zero 设置该反向查找区域的区域配置文件名allow update none 设置该DNS不允许动态更新 任务9 3配置主DNS服务 步骤4 编辑正向解析数据库文件 zone cd var named chroot var named cp plocaldomain zonedyzx edu zone vidyzx edu zone TTL86400 INSOAdns dyzx edu root dyzx edu 表示当前的DNS域42 serial d adams 序列号 要小于10位 一般定义为日期3H refresh 更新时间 单位为秒15M retry 更新失败重试时间1W expiry 过期时间1D minimum 设置记录的缓存时间 INNSdns dyzx edu 注意FQDN末尾的 dnsINA172 16 102 209wwwINA172 16 102 210 第一条主机记录ftpINA172 16 102 211 第二条主机记录mailINCNAMEwww dyzx edu 别名记录 INMX5mail dyzx edu 邮件记录 任务9 3配置主DNS服务 正向解析文件的格式和各部分的含义 数据库文件的每一行都由一条资源记录组成 每个资源记录通常包含五项 大多数情况下用ASCII文本显示 每条记录一行 格式如下 DomainTimetoliveRecordtypeClassRecorddata各项的含义如下 域名 Domain 该项给出要定义的资源记录的域名 该域通常用来作为域名查询时的关键字 存活期 Timetolive 在该存活期过后 该记录不再有效 类别 Class 该项说明网络类型 目前大部分的资源记录都采用 IN 表明Internet 该域的缺省值为 IN 记录数据 Recorddata 说明和该资源记录相关的信息 通常由资源记录类型来决定 记录类型 Recordtype 该项说明资源记录的类型 常用的资源记录类型如下表所示 任务9 3配置主DNS服务 各行的含义 TTL86400从BIND8 2开始 需要在区域文件的最前面加一条 TTL语句 用来设置域的默认生存时间TTL TimeToLive 时间单位为秒 86400秒即为1天 也可等价表达为 TTL1D 1DINSOA root 代表当前的域 也就是1D 代表1天 day 3H代表3小时 hour 15M代表15分钟 minute 1W代表1周 week IN 代表地址类别 SOA 是授权起始 StartOfAuthority 的缩写 是主域名服务器区域文件中一定要设置的 用于开始权威的域名信息记录 宣布该服务器具有权威性的名字空间 SOA之后应填写该域的名称 并且要在名称的最后附加上一个小数点 域名之后 应填写域名服务器管理员的E mail地址 E mail地址中的 符号在此处用小数点代替 在E mail地址的最后 也要附加一个小数点 在该区域文件中 由于在前面使用了 ORIGIN语句进行定义 因此 此处的域名和域管理员E mail就简约表达为了 root root名字不是以点结尾 系统会用 ORIGIN定义的域结尾 扩展后就变成了root localhost 任务9 3配置主DNS服务 接下来的括号中的值 其含义是 分号为注释符 serial行前面的值 代表该区域文件的版本号或序列号 用于辅域名服务器判断主域名服务的masterfile是否更新 所以如果有辅域名服务器 在每次修改masterfile后就应该修改这个序列号 以便辅域名服务器更新这个域的masterfile refresh行前面的值 代表更新的时间周期 此处设置为3Hretry行前面的值 代表在更新出现通信故障时的重试时间 此处设置为15M 即15分钟 expire行前面的值 代表重新执行更新动作后仍然无法完成更新任务而终止更新的时间 生存时间 指定当域名服务器询问某个域名和其IP地址后 在域名服务器上放置的时间 minimum行前面的值 代表客户域名查询的记录 在域名服务器上放置的时间 即设置记录的缓存时间 定义这个域在其他域名服务器的cache里的有效期 过了这个时间其他的域名服务器就会到这里来重新查询相关的信息 任务9 3配置主DNS服务 常用的资源记录类型 任务9 3配置主DNS服务 编辑好后 存盘退出vi 其中语句 INMX10mail dyzx edu 用于为dyzx edu域定义一条邮件地址交换记录 MX 10代表优先级 数字越小 优先级越高 当定义了两个或多个MX记录时 优先级高的服务器 将首先获得发来的邮件 只有定义了域的MX记录后 邮件服务器才能收到该域的邮件 以后域名mail hnwy edu就可作为邮件服务器的SMTP和POP3服务器的地址来使用 任务9 3配置主DNS服务 1DINNS 用于添加一条NS 名称服务器 记录 用于指定权威的名称服务器 即该语句用于指定域名服务器 NS之后应放置当前域名服务器的名称 1DINA127 0 0 1用于添加一条A Address 记录 即地址记录 用于指定一个名称所对应的IP地址 该条记录的含义就是将localhost解析为127 0 0 1 任务9 3配置主DNS服务 named checkconf此命令可以发现 var named conf文件中的语法错误 命令如下 named checkconf如果有任何语法错误 会有消息告诉用户问题出在哪里 以及错误是什么等 否则没有任何输出显示 named checkzone此命令用于检查创建的区域文件是否配置正确 过程如下 named 任务9 3配置主DNS服务 digdig是另外一个功能强大的工具 作用和nslookup类似 使用方法如下 DiG9 2 1 globaloptions printcmd Gotanswer HEADER opcode QUERY status NOERROR id 53208 flags qraardra QUERY 1 ANSWER 1 AUTHORITY 1 ADDITIONAL 0 QUESTIONSECTION INA ANSWERSECTION 86400INA218 57 137 77 AUTHORITYSECTION 86400INNSsdedns Querytime 1msec SERVER 202 194 224 3 53 202 194 224 3 WHEN TueMar2117 46 442006 MSGSIZErcvd 68更加详细的命令 大家可以通过使用man命令查看 例如 mandig按q键即可退出 任务9 3配置主DNS服务 步骤5 编辑反向解析数据库文件 zero cd var named chroot var named cp pnamed localdyzx edu zero vidyzx edu zero TTL86400 INSOA102 16 172 in 1997022700 Serial28800 Refresh14400 Retry3600000 Expire86400 Minimum INNSdns dyzx edu 209INPTRdns dyzx edu 210INPTRwww dyzx edu 211INPTRftp dyzx edu 说明 最后三句前面的209 210 211是指IP 172 16 102 209 172 16 102 210 172 16 102 211的最后一个数 任务9 3配置主DNS服务 步骤6 防火墙配置 不配置这个的话就不会让别人访问你的DNS服务器 setup在弹出的对话框中选择 防火墙配置 选择 定制 在弹出的对话框的 其它端口 里输入 53 tcp53 udp步骤7 启动named守护进程 开始域名解析服务 servicenamedstart 任务9 3配置主DNS服务 步骤8 Linux客户端测试 修改 etc resolv conf 只有修改了这个文件才可以用自己的的机器进行域名解析 vi etc resolv conf只要加上一句 nameserver10 10 0 11在客户端修改 etc resolv conf文件 将DNS服务器指向域名服务器的IP地址 使用nslookup命令验证DNS查询结果 Windows客户端测试DNS是一个复杂的系统 为了确保用户的DNS配置文件的正确 下面几个命令可以方便的确定各类语法错误和配置错误 任务9 3配置主DNS服务 nslookup此命令用于检查配置的各条记录是否能够被正确解析 过程如下 nslookup然后输入要检查的记录 如果配置正确 将显示如上所示的内容 此时记录类型默认为A类型 Server 202 194 224 3Address 202 194 224 3 53Name Address 218 57 137 77如果要查询的类型为其他类型 可以使用settype命令来改变 例如 settype soa exit 任务9 3配置主DNS服务 任务9 4配置辅助DNS服务器 基本配置步骤 步骤1 按任务9 3的步骤完成主DNS服务器的搭建 步骤2 在主DNS服务器上编辑named conf文件 在options选项中 添加设置允许进行区域传输的配置项allow transfer root dns2 vimnamed confoptions listen onport53 10 10 0 12 directory var named dump file var named data cache dump db statistics file var named data named stats txt allow query any allow transfer 10 10 0 12 指定允许传输给IP地址的 任务9 4配置辅助DNS服务器 步骤3 按任务9 2的步骤在IP地址为10 10 0 13的服务器上安装BIND软件包 步骤4 在named conf配置文件中添加 dyzx deu 辅助区域 root ns2 vi var named chroot etc named conf zone dyzx edu IN typeslave masters 10 10 0 11 file slaves dyzx edu zone zone 0 10 10 in addr arpa IN typeslave masters 10 10 0 11 file slaves 10 10 0 arpa 指定主域名服务器的IP地址 步骤5 启动从服务器中的named服务程序步骤6 验证从域名服务器在客户机中将DNS服务器设为从域名服务器使用nslookup测试域名解析是否正常 步骤1 在IP地址为10 10 0 15的服务器上安装BIND软件包 步骤2 创建纯缓存DNS服务器的主配置文件named conf 任务9 5配置纯缓存DNS服务器 root dns3 vim var named chroot etc named confoptions listen onport53 10 10 0 15 directory var named dump file var named data cache dump db 设置域名缓存数据库文件位置statistics file var named data named stats txt 设置状态统计文件位置memstatistics file var named data named mem stats txt query sourceport53 allow query any recursionyes forwarders 10 10 0 11 设置将DNS请求转发到主DNS服务器的IP地址 步骤3 启动named服务servicenamedstart步骤4 在纯缓存DNS服务器上配置防火墙 开启53端口 步骤5 验证纯缓存DNS服务器 将客户机的DNS服务器的IP地址设为纯缓存DNS服务器的IP地址 然后使用nslookup命令测试正向解析和反向解析的效果 任务9 5配置纯缓存DNS服务器 任务9 6配置DNS服务的转发器 例如 若要将任务9 5中的纯缓存DNS服务器的解析请求转发给由ISP提供的IP地址为61 134 1 4和202 106 148 1的两个DNS服务器 则只要对named conf作以下修改便可 root dns3 vim var named chroot etc named confoptions listen onport53 10 10 0 15 directory var named dump file var named data cache dump db statistics file var named data named stats txt memstatistics file var named data named mem stats txt query sourceport53 allow query any recursionyes forwarders 61 134 1 4 202 106 148 1 forwardonly 本项目小结 项目知识准备DNS服务及域名空间DNS域名解析的过程DNS服务器的类型与hosts文件项目实施任务9 1DNS服务器的安装任务9 2认识BIND的配置文件任务9 3配置主DNS服务器任务9 4配置辅助DNS服务器任务9 5配置纯缓存DNS服务器任务9 6配置DNS服务的转发器