项目6DNS服务器的配置与使用.ppt

Linux网络技术 主讲 邓志龙Email jenod 项目6DNS服务器的配置与使用 项目背景 要使用百度查找信息 一般在浏览器中输入 回车进入百度公司搜索主页 另外一种方法是在浏览器中输入http 220 181 37 55 也可以进入百度搜索首页 后一种是采用IP地址方式直接访问网站 很明显 两者方式结果是一样的 但我们不能只满足结果 更深入的是寻求达到这种结果的过程如何 这也是本项目要求 DNS服务器的配置与使用 图所示是局域网络内存在DNS服务器的网络环境拓扑图 本项目主要围绕此网络环境中的DNS服务器进行构建 项目6DNS服务器的配置与使用 项目分解 基本任务 1 安装BIND9软件包 2 认识BIND9配置文件 3 惟高速缓存服务器 4 配置DNS主域名服务器 拓展任务 1 配置全局转发器 2 配置DNS辅助域名服务器 3 配置一个综合的DNS域名服务器 任务1认识BIND BIND BerkeleyInternetNameDomain 是美国加利福尼亚大学伯克利分校开发的一个域名服务器软件包 这是目前最为流行的DNS协议实现 目前最新版本是BIND9软件包 1 安装BIND9软件包 在Linux安装如下BIND9软件包过程如下 其中 bind9是主要的软件包 bind9 doc是帮助文档 bind9 host与dnsutils是DNS测试工具 2 BIND主要配置文件 Ubuntu中BIND9的配置文件存放在 etc bind目录下 各个配置文件说明如下 named conf 主配置文件 named conf options 被主配置文件包含的options配置 named conf local 被主配置文件包含的本机解析的权威区域声明配置 db root 根服务器数据文件 rndc key 被rndc使用的key文件 若没有rndc conf文件 默认没有 rndc命令将使用此文件中的key db local localhost正向区数据库文件 用于将名字localhost转换为本地回送IP地址127 0 0 1 db 127 localhost反向区数据库文件 用于将本地回送IP地址127 0 0 1转换为名字localhost db 0和db 255 广播地址的反向区数据库文件 zones rfc1918 所有私有地址域的反向Zone声明文件 用于服务器没有使用私有地址的情况 db empty 所有私有地址域的反向区数据库文件 将私有地址域解析到localhost 其中named conf local和named conf options这两个文件在其他的Unix Linux系统里默认是没有的 Ubuntu系统这样把各个部分都分开管理 其余的部分都是默认生成的几个数据文件方便了用户的使用 此外 默认的本地区数据库文件存放在 etc cache bind目录下 任务2惟高速缓存服务器 Caching onlyServer Ubuntu下named的默认配置是一个惟高速缓存服务器 若只想运行一个惟高速缓存服务器 则无需配置 默认启动bind即可 惟高速缓存服务器能从一个 根服务器数据文件 加载一些根服务器的地址 并缓存这些由根服务器解析的结果并不断累计 本任务的惟高速缓存服务器在IP为192 168 0 5的计算机上进行 1 重新启动DNS服务器 2 查看服务是否启动 显示PID Programname栏有named显示表示启动成功 3 测试 在另一台计算机上配置DNS地址为刚刚配置好全局转发器IP地址192 168 0 5 然后在浏览器中输入域名 如进行测试 看看能否连接网易主页 任务3配置DNS主域名服务器 惟高速缓存服务器使用简单 但只是缓存这些由根服务器解析的结果 不能根据自己需要设置域名 DNS主域名服务器是DNS数据的最根本的来源 是从本地硬盘文件中读取域的数据的 将配置域的主域名服务器 下面的配置在IP为192 168 0 5的计算机上进行 配置步骤如下 1 在主配置文件中添加区声明使用熟悉的编辑器编辑 etc bind named conf local 添加如下的配置语句 添加正向进行区声明 添加反向进行区声明 2 配置正向解析数据库文件 1 创建新文 var cache bind hosts 2 使用熟悉的编辑器编辑 var cache bind hosts 添加如下的配置语句 3 配置反向解析数据库文件 1 创建新文件 var cache bind 192 168 0 rev 2 使用熟悉的编辑器编辑 var cache bind 192 168 0 rev 添加如下的配置语句 4 检测配置 1 named checkconf检测named checkconf检查named conf local文件的语法如果没有输出表示named conf local文件语法正确 2 named checkzone检测named checkzone程序检查区域数据文件的合法性 如果没有输出表示区域数据文件语法正确 4 重新加载bind配置文件加载bind后主域名服务器就基本配置成功 剩下的就是检测配置结果 5 测试在另一台Windows客户端上配置DNS地址为刚刚配置好DNS主域名服务器IP地址192 168 0 5 然后在命令窗口中输入域名 如 或者等进行测试 看看能否ping通 并注意显示的IP地址是否正确 相关知识 域名系统简介在Internet中 对主机进行标识的方式是使用IP地址 源主机只有知道目的主机的IP地址才有可能进行通信 但是Internet当中的IP地址的数量非常大 我们记住所有要访问的主机的IP地址是很困难的 那么如何解决这个问题呢 我们可以给计算机起个 名字 这就好比是记一个人的名字要比记住他的身份证号码要容易得多 如果名字还遵循一定的规律那就更好记了 Internet中对主机名有一套进行统一命名的方式 称为 域名 系统 因此需要计算机域名和它的IP地址之间建立一定的映射关系 让这个映射的解析过程由计算机系统自动完成 我们把在Internet中对计算机进行标识的 名字 称为计算机 域名 负责解析计算机域名的系统称为 域名系统DNS domainnamesystem 它的工作原理可用图所示示意图来简单表示 当然域名系统DNS也有一个发展过程的 在早期的网络世界 每台计算机都用IP地址表示 很快用户就发现这样很难记忆 一些Unix的管理者就建立一个Hosts对应表 将IP地址与主机名对应起来 只要输入一个主机的名字 而计算机的系统就会自动的将这个名字转成计算机了解的IP 这也是计算机上 etc hosts这个文件的由来 目前 etc hosts通常起备份作用 即在DNS系统出现问题或尚未运行时才使用Host表 随着Internet规模的不断扩大 在计算机上保存所有的IP地址与主机名对应信息显然是不可行的 为了解决这个问题 在1983年 Internet开始域名系统DNS 1 Internet域名层次结构 由于Internet当中主机数量巨大 全世界采用一台域名服务器进行解析是不现实的 因此 Internet中的域名系统采用一种层次结构 域名就是 唯一的层次结构的名字 这里所说的 域 是指层次化名字空间中的一个可被管理的区域 例如 Ubuntu中文 的域名就是 这里的 cn 表示的是 中国内地地区 com 表示的是商业机构 ubuntu 是Ubuntu官方自己注册的域名 www 则是这个域当中的一台主机 全球的域名系统组成一颗倒立的树型结构 如图所示 2 用域名服务器进行域名解析 任何一台主机 要想获得Internet的域名服务 必须为自己指定一个域名服务器的IP地址 然后 当该主机想解析域名时 就把域名解析的请求发送给该服务器 由该服务器完成解析过程 当域名服务器收到查询请求时 首先检查该名字是否在自己的管理域内 如果在 根据本地数据库中的对应关系将结果发回给源主机 如果查询的内容不在自己的管理域内 一般说来 有两种解析方法 1 迭代查询 interactiveresolution 该域名服务器不能提供解析的最终结果 它产生的回答指明了客户机应当联系的另外一台域名服务器的地址 一般另外的服务器就是该域的上级域名服务器地址 当然也可以是其他的服务器 这需要由管理员在该服务器中通过配置完成 2 递归查询 recursiveresolution 该域名服务器和能够解析该名字的服务器联系 直到解析完成 然后将最终解析的结果返回给客户机 任何一台域名服务器必须知道根域名服务器的地址 这样就能保证在递归查询中一定可以找到另外的域名服务器 例6 1 域名解析过程 假设客户机要访问 Ubuntu英文 站点 图是域名解析过程示意图 过程如下 3 DNS区域 Zone 为了便于根据实际情况来分散域名管理工作的负荷 将DNS域名空间划分为区域来进行管理 区域是DNS服务器的管辖范围 是由单个域或由具有上下隶属关系的紧密相邻的多个子域组成的一个管理单位 DNS服务器便是以区域为单位来管理域名空间的 而不是以域为单位 一台DNS服务器可以管理一个或多个区域 而一个区域也可以有多台DNS服务器来管理 DNS允许DNS名域空间分成几个区域 Zone 它存储着有关一个或多个DNS域的名称信息 在DNS服务器中必须先建立区域 再在区域中建立子域 以及在区域或子域中添加主机等各种记录 DNS区域有两种 正向区域与反向区域 4 反向地址解析 我们除了需要将域名翻译成IP地址之外 有时候还需要将IP地址解析成对应的域名 这就是所说的反向地址解析 这样做往往是因为特殊的需要 例如 我们需要限制来自某些主机对我们的访问 但是不知道这些主机的具体地址范围 只知道他们的域名后缀 这个时候就可以直接使用域名了 当一台主机到来的时候 我们的主机依据其携带的主机地址信息通过反向地址解析查看其域名是否是在我们应该限制的范围 从而做出判断 当然 随着时间的推移 这方面的应用越来越少 在很多系统中已经不再建立反向地址解析记录 域名服务器分类 常见的域名服务器主要有 主服务器 辅助服务器 高速缓存系统和转发域名服务器 另外 依据授权性质分为两大类 1 权威性服务器权威性服务器是一个区域的正式代表 2 非权威性服务器非权威性服务器用本地缓存数据应答查询请求 不知数据是否仍然有效 DNS服务器的安装与相关配置 1 安装DNS服务器BIND的全称是BerkeleyInternetNameDomain 是美国加利福尼亚大学伯克利分校开发的一个域名服务器软件包 这是目前最为流行的DNS协议实现 Ubuntu提供了当前最新的BIND9 使用如下命令安装BIND及其相关工具 2 DNS配置文件 Ubuntu中BIND9的配置文件存放在 etc bind目录下 3 DNS服务器相关配置文件 要保证DNS服务器正常运行 除了配置BIND相关配置文件外 还要保证本机的各项TCP IP参数的设置正确 否则即使BIND配置成功 DNS服务器也可能无法正常工作 首先在保证网络参数配置成功 其它相关配置文件如下 1 etc resolv conf文件 文件 etc resolv conf列出了主机应该查询的DNS服务器 2 etc host conf文件 文件 etc host conf是用来控制本地DNS解析器的设置文件 该文件告诉本地DNS解析器使用哪些服务以及按照什么顺序进行查询 4 DNS服务器的运行控制 DNS服务运行控制有两种方式 一种直接对脚本文件 etc init d bind9控制 另一中就是采用rndc RemoteNameDaemonControl 用于系统管理员控制Bind的运行 UbuntuDNS默认配置文件 etc bind named conf文件1 named conf是bind的主配置文件 named conf中常用配置语句说明 Include 将其他文件包含到本配置文件当中 logging 定义日志的记录规范 acl 定义访问控制列表 options 定义全局配置选项 Ubuntu已经将options语句分离放置于 etc bind named conf options文件中 zone 定义一个区域声明 2 zone语句 zone区域声明是主配置文件中最重要的部分 zone语句的格式为 其中各项说明如下 zone name代表区域名 type说明一个区的类型 类型常用类型如下 master 说明一个区域为主域名服务器 slave 说明一个区域为辅助域名服务器 hint 说明一个区域为根服务器 forward 说明一个区域为转发区 file filename 说明一个区域的域信息源数据库信息文件名 2 etc bind named conf options文件 Ubuntu将named conf的部分语句 主要为options语句 从主配置文件中分离放置于named conf options 配置named的全局参数时 可以修改此文件 下面列出一些常用的全局配置options子句如下 directory path 定义服务器区数据库文件的工作目录 配置文件中所有使用的相对路径 指的都是在这里配置的目录下 Ubuntu默认为 var cache bind 如上示配置文件 forwarders IPaddrs 设置全局转发器 列出要用作转发器的服务器IP地址 例如forwarders 202 103 224 68 forwardonly first 若值为only 则服务器缓存数据并查询转发器 但从不查询其他的任何服务器 若转发器不能响应查询则查询失败 若值为first 则在转发查询失败或没有查到结果时 会在本地发起正常查询 默认为first 3 etc bind db local文件 db local是localhost正向区数据库文件 用于将名字localhost转换为本地回送IP地址127 0 0 1 在DNS数据库文件中 表示引出注释 表示当前域 可以允许数据跨行 通常用于SOA记录 在分析分析db local文件前先了解数据库常用的资源记录 1 SOA资源记录 SOA StartofAuthority 这是起始授权纪录 表示它后面跟的配置内容是全局有效的 格式如下 SOA记录的字段说明 zone 区域名 可以使用 表示当前域 IN 表示网络的地址类型是 TCP IP Hostname 存放本Zone的域名服务器的主机名 这里要区别相对域名和全域名的区别 举例来说 在域中 相对域名study与全域名 等效 而由于没有以 结尾 被认为是一个相对域名 与其等效的全域名为 因此在数据库文件中书写对象名时要特别小心 Contact 管理域的管理员的邮件地址 SerialNumber 本区配置数据的序列号 用于从服务器判断何时获取最新的区数据 Refresh 辅助域名服务器多长时间更新数据库 Retry 若辅助域名服务器更新数据失败 多长时间再试 Expire 若辅助域名服务器无法从主服务器上更新数据 原有的数据何时失效 Minimum 设置被缓存的否定回答的存活时间 2 NS资源记录 NS资源记录用于标识一个区域的权威服务器 包括主服务器和从服务器 并将子域授权赋予其他服务器 其格式如下 NS 标识区域的域名服务器以及授权子域 其余的字段与SOA记录类似 例6 2 区域的NS资源记录 3 A资源记录 ARR是DNS数据库的核心 它提供了主机名到IP地址的映射 其格式为 例6 3 区域的A资源记录 这里ubuntu与feisty采用相对域名 对区域来说实际代表的是 与 这两台主机 因此 的IP地址为192 168 0 6 4 CNAME资源记录 CNAMERR用于设置主机的别名 其格式为 例6 4 区域的CNAME资源记录 是 主机的别名 两者表示用一台主机 对几个常用的资源记录说明后 相信能够轻松了解db local文件含义 4 etc bind db 127 文件 db 127是localhost反向区数据库文件 用于将本地回送IP地址127 0 0 1转换为名字localhost 文件db 127结构与文件db local 关键要了解类似PTR资源记录 PTR资源记录提供了IP地址到主机名的映射 其格式为 注意到db 127是反向区域0 127 in addr arpa的数据库文件 因此 1 0INPTRlocalhost 表示IP地址127 0 0 1对应的域名为 localhost 在PTR资源记录中hostname应该使用全域名Ubuntu下named的默认配置是一个惟高速缓存服务器 若只想运行一个惟高速缓存服务器 则无需配置 默认启动bind即可 一个惟高速缓存服务器应该具有上面的配置 DNS服务器诊断工具 DNS服务器配置完后要进行诊断 DNS服务器主要的诊断工具有nslookup dig和host三种 在Ubuntu中 nslookup和dig是由dnsutils包所安装的程序 host是由bind9 host包所安装的程序 1 nslookup工具用于检查配置文件的各条记录是否能够被正确解析 nslookup有两种运行模式 交互式和非交互式 交互式允许向名服务器查询多个主机和域 或者打印出一个域中的主机列表 非交互式模式仅仅用来显示一个关于主机或域名的名字和被请求的信息 1 使用非交互模式 查询记录信息 nslookup默认使用resolv conf中指定的域名服务器查询 如果就在本机的DSN服务器查询 用户应该把本机的DSN服务器IP地址添加到resolv conf文件使用指定的服务器查询 2 使用交互模式 不使用任何参数 将进入交互模式 退出交互模式可以使用exit命令 显示记录类型默认为A类型 在查询时可以设置记录的查询类型 使用settype xxx命令 其中xxx是记录的类型 例如SOA A CNAME NS等 还可以是ANY 表示所有记录类型 使用指定的服务器进入交互模式查询 dig工具 域信息搜索器dig DomainInformationGroper 是一种用于从域名系统服务器那里收集信息的命令行工具 3 host工具 host是一个相对较新且简单的DNS查询工具 默认状态下 host命令只将对主机名和IP地址进行转换 但是此项功能可以通过选项的使用得到拓展 拓展提高 任务1辅域名服务器配置任务2全局转发器配置任务3配置一个综合的DNS域名服务器