第章DNS服務(wù)器2022優(yōu)秀文檔

教學(xué)提示：DNS服務(wù)器是把域名解析成IP地址的域名解析系統(tǒng)，Linux下的域名服務(wù)器軟件包是BIND。本章涉及的內(nèi)容主要有域名解析系統(tǒng)原理，DNS服務(wù)器安裝與運(yùn)行控制，各種DNS服務(wù)器配置。教學(xué)要求：學(xué)習(xí)完本章后，將了解域名解析系統(tǒng)原理，能夠在UbuntuLinux系統(tǒng)安裝與運(yùn)行BIND軟件，針對(duì)實(shí)際情況配置各種類型DNS服務(wù)器。域名系統(tǒng)簡(jiǎn)介在Internet中，對(duì)主機(jī)進(jìn)行標(biāo)識(shí)的方式是使用IP地址，源主機(jī)只有知道目的主機(jī)的IP地址才有可能進(jìn)行通信。但是Internet當(dāng)中的IP地址的數(shù)量非常大，我們記住所有要訪問的主機(jī)的IP地址是很困難的，那么如何解決這個(gè)問題呢？我們可以給計(jì)算機(jī)起個(gè)“名字”，這就好比是記一個(gè)人的名字要比記住他的身份證號(hào)碼要容易得多，如果名字還遵循一定的規(guī)律那就更好記了。Internet中對(duì)主機(jī)名有一套進(jìn)行統(tǒng)一命名的方式，稱為“域名”系統(tǒng)用域名服務(wù)器進(jìn)行域名解析任何一臺(tái)主機(jī)，要想獲得Internet的域名服務(wù)，必須為自己指定一個(gè)域名服務(wù)器的IP地址。然后，當(dāng)該主機(jī)想解析域名時(shí)，就把域名解析的請(qǐng)求發(fā)送給該服務(wù)器，由該服務(wù)器完成解析過程。當(dāng)域名服務(wù)器收到查詢請(qǐng)求時(shí)，首先檢查該名字是否在自己的管理域內(nèi)，如果在，根據(jù)本地?cái)?shù)據(jù)庫(kù)中的對(duì)應(yīng)關(guān)系將結(jié)果發(fā)回給源主機(jī)。如果查詢的內(nèi)容不在自己的管理域內(nèi)，一般說來，有兩種解析方法。1．迭代查詢（interactiveresolution）該域名服務(wù)器不能提供解析的最終結(jié)果，它產(chǎn)生的回答指明了客戶機(jī)應(yīng)當(dāng)聯(lián)系的另外一臺(tái)域名服務(wù)器的地址。一般另外的服務(wù)器就是該域的上級(jí)域名服務(wù)器地址（當(dāng)然也可以是其他的服務(wù)器），這需要由管理員在該服務(wù)器中通過配置完成。student@Ubuntu:~$sudorndcstop例：區(qū)域ubuntu.//指定本機(jī)解析的權(quán)威區(qū)數(shù)據(jù)庫(kù)文件存放的位置directory"/var/cache/bind";student@Ubuntu:~$sudorcconfoptionszones.本章主要介紹了DNS的基本原理，DNS域名解析過程，DNS的配置與檢測(cè)。student@Ubuntu:~$sudoapt-getinstallbind9bind9-docbind9-hostdnsutilsINNSfeisty.INNSfeisty.通常每個(gè)區(qū)都至少有一個(gè)主域名服務(wù)器，主域名服務(wù)器在DNS服務(wù)器配置文件/etc/bind/named.//設(shè)置主服務(wù)器的NS記錄這樣做往往是因?yàn)樘厥獾男枰?，我們需要限制來自某些主機(jī)對(duì)我們的訪問，但是不知道這些主機(jī)的具體地址范圍，只知道他們的域名后綴，這個(gè)時(shí)候就可以直接使用域名了。惟高速緩存服務(wù)器（Caching-onlyServer）可以將它收到的信息存儲(chǔ)下來，并再將其提供給其它的用戶進(jìn)行查詢，直到這些信息過期。1;Serial用域名服務(wù)器進(jìn)行域名解析2．遞歸查詢（recursiveresolution）該域名服務(wù)器和能夠解析該名字的服務(wù)器聯(lián)系，直到解析完成，然后將最終解析的結(jié)果返回給客戶機(jī)。任何一臺(tái)域名服務(wù)器必須知道根域名服務(wù)器的地址，這樣就能保證在遞歸查詢中一定可以找到另外的域名服務(wù)器。DNS區(qū)域（Zone） 為了便于根據(jù)實(shí)際情況來分散域名管理工作的負(fù)荷，將DNS域名空間劃分為區(qū)域來進(jìn)行管理。區(qū)域是DNS服務(wù)器的管轄范圍，是由單個(gè)域或由具有上下隸屬關(guān)系的緊密相鄰的多個(gè)子域組成的一個(gè)管理單位。DNS服務(wù)器便是以區(qū)域?yàn)閱挝粊砉芾碛蛎臻g的，而不是以域?yàn)閱挝弧?一臺(tái)DNS服務(wù)器可以管理一個(gè)或多個(gè)區(qū)域，而一個(gè)區(qū)域也可以有多臺(tái)DNS服務(wù)器來管理。DNS允許DNS名域空間分成幾個(gè)區(qū)域（Zone），它存儲(chǔ)著有關(guān)一個(gè)或多個(gè)DNS域的名稱信息。在DNS服務(wù)器中必須先建立區(qū)域，再在區(qū)域中建立子域，以及在區(qū)域或子域中添加主機(jī)等各種記錄。DNS區(qū)域有兩種，正向區(qū)域與反向區(qū)域。反向地址解析 我們除了需要將域名翻譯成IP地址之外，有時(shí)候還需要將IP地址解析成對(duì)應(yīng)的域名，這就是所說的反向地址解析。這樣做往往是因?yàn)樘厥獾男枰纾覀冃枰拗苼碜阅承┲鳈C(jī)對(duì)我們的訪問，但是不知道這些主機(jī)的具體地址范圍，只知道他們的域名后綴，這個(gè)時(shí)候就可以直接使用域名了。當(dāng)一臺(tái)主機(jī)到來的時(shí)候，我們的主機(jī)依據(jù)其攜帶的主機(jī)地址信息通過反向地址解析查看其域名是否是在我們應(yīng)該限制的范圍，從而做出判斷。當(dāng)然，隨著時(shí)間的推移，這方面的應(yīng)用越來越少，在很多系統(tǒng)中已經(jīng)不再建立反向地址解析記錄。域名服務(wù)器分類常見的域名服務(wù)器主要有：主服務(wù)器、輔助服務(wù)器、高速緩存系統(tǒng)和轉(zhuǎn)發(fā)域名服務(wù)器。另外，依據(jù)授權(quán)性質(zhì)分為兩大類：1．權(quán)威性服務(wù)器權(quán)威性服務(wù)器是一個(gè)區(qū)域的正式代表。主域名服務(wù)器（PrimaryNameServer）是區(qū)域數(shù)據(jù)的最根本的來源，是從本地硬盤文件中讀取域的數(shù)據(jù)的，它是所有輔域名服務(wù)器進(jìn)行域傳輸?shù)脑?。主服?wù)器對(duì)域中的域名有最高授權(quán)，并因?yàn)樗鼈兪怯騾^(qū)間傳送域區(qū)數(shù)據(jù)的唯一來源，就具有向任何一個(gè)甚至全部需要其數(shù)據(jù)的服務(wù)器發(fā)布域的信息的功能，因此也叫“管理服務(wù)器”。通常每個(gè)區(qū)都至少有一個(gè)主域名服務(wù)器，主域名服務(wù)器在DNS服務(wù)器配置文件/etc/bind/named.conf中由“znoe”語句中的“typemaster”變量來定義。輔域名服務(wù)器（SecondaryNameServer）通過“區(qū)域傳輸（zonetransfer）”從主服務(wù)器復(fù)制區(qū)數(shù)據(jù)，輔域名服務(wù)器可以提供必需的冗余服務(wù)。所有的輔域名服務(wù)器都應(yīng)該寫在這個(gè)域的NS記錄中。殘根域名服務(wù)器（StubNameServer）與輔域名服務(wù)器類似，但只復(fù)制NS記錄而不復(fù)制主機(jī)數(shù)據(jù)。秘密域名服務(wù)器（StealthNameServer）并沒有列在這個(gè)域的NS記錄里，僅對(duì)于知道其IP地址的人可見。域名服務(wù)器分類2．非權(quán)威性服務(wù)器非權(quán)威性服務(wù)器用本地緩存數(shù)據(jù)應(yīng)答查詢請(qǐng)求，不知數(shù)據(jù)是否仍然有效。惟高速緩存服務(wù)器（Caching-onlyServer）可以將它收到的信息存儲(chǔ)下來，并再將其提供給其它的用戶進(jìn)行查詢，直到這些信息過期。它的配置中沒有任何本地的授權(quán)域的配置信息。其實(shí)惟高速緩存服務(wù)器從下面將解析的“根數(shù)據(jù)文件”加載一些根服務(wù)器的地址，并緩存這些由根服務(wù)器解析的結(jié)果并不斷累計(jì)。轉(zhuǎn)發(fā)服務(wù)器（ForwardingServer）代替眾多客戶執(zhí)行查詢并創(chuàng)建一個(gè)大的緩存。與緩存服務(wù)器區(qū)別是緩存服務(wù)器本身不能進(jìn)行完全的遞歸查詢，而轉(zhuǎn)發(fā)服務(wù)器能從緩存向其它的緩存服務(wù)器轉(zhuǎn)發(fā)一部分或是所有不能滿足的查詢。安裝DNS服務(wù)器 BIND的全稱是BerkeleyInternetNameDomain，是美國(guó)加利福尼亞大學(xué)伯克利分校開發(fā)的一個(gè)域名服務(wù)器軟件包，這是目前最為流行的DNS協(xié)議實(shí)現(xiàn)。Ubuntu提供了當(dāng)前最新的BIND9，使用如下命令安裝BIND及其相關(guān)工具：student@Ubuntu:~$sudoapt-getinstallbind9bind9-docbind9-hostdnsutils 其中bind9是主要的軟件包，bind9-doc是幫助文檔，bind9-host與dnsutils是DNS測(cè)試工具。DNS配置文件1．BIND主要配置文件Ubuntu中BIND9的配置文件存放在/etc/bind目錄下。root@Ubuntu:/etc/bind#lsdb.0db.255db.localnamed.confnamed.conf.optionszones.rfc1918db.127db.emptydb.rootnamed.conf.localrndc.key2．DNS服務(wù)器相關(guān)配置文件 要保證DNS服務(wù)器正常運(yùn)行，除了配置BIND相關(guān)配置文件外，還要保證本機(jī)的各項(xiàng)TCP/IP參數(shù)的設(shè)置正確，否則即使BIND配置成功，DNS服務(wù)器也可能無法正常工作。首先在保證網(wǎng)絡(luò)參數(shù)配置成功，其它相關(guān)配置文件如下。（1）/etc/resolv.conf文件。 文件/etc/resolv.conf列出了主機(jī)應(yīng)該查詢的DNS服務(wù)器。root@Ubuntu:#cat/etc/resolv.confnameserver nameserver 8domain search 文件/etc/host.conf是用來控制本地DNS解析器的設(shè)置文件。該文件告訴本地DNS解析器使用哪些服務(wù)以及按照什么順序進(jìn)行查詢。root@Ubuntu:#cat/etc/host.conforder bind hostsmulti offUbuntuDNS默認(rèn)配置1．/etc/bind/named.conf文件（1）named.conf是bind的主配置文件。root@Ubuntu:/etc/bind#catnamed.conf┆//Ifyouarejustaddingzones,pleasedothatin/etc/bind/named.conf.local//包含選項(xiàng)配置文件/etc/bind/named.conf.optionsinclude"/etc/bind/named.conf.options";//根區(qū)域聲明zone"."{typehint;file"/etc/bind/db.root";//指定根服務(wù)器數(shù)據(jù)文件};UbuntuDNS默認(rèn)配置1．/etc/bind/named.conf文件（1）named.conf是bind的主配置文件。//localhost正向區(qū)域聲明zone"localhost"{typemaster;file"/etc/bind/db.local";};//localhost反向區(qū)域聲明zone"0.127."{//IP網(wǎng)段反向排序加上是反向區(qū)域聲明固定用法typemaster;file"/etc/bind/db.127.0";};┆//包含本機(jī)解析的權(quán)威區(qū)聲明文件，初始配置此文件為空include"/etc/bind/named.conf.local";（2）zone語句 zone區(qū)域聲明是主配置文件中最重要的部分。zone語句的格式為：zone“zone-name”IN{ type “類型”; file“文件”; 其他語句； }； Ubuntu將named.conf的部分語句（主要為options語句）從主配置文件中分離放置于named.conf.options。配置named的全局參數(shù)時(shí)，可以修改此文件。root@Ubuntu:/etc/bind#cat/etc/bind/named.conf.options//options語句設(shè)立可以被整個(gè)BIND使用的全局選項(xiàng)。若沒有options語句，則每個(gè)選項(xiàng)使用缺省值。options{//指定本機(jī)解析的權(quán)威區(qū)數(shù)據(jù)庫(kù)文件存放的位置directory"/var/cache/bind";┆};3． db.local是localhost正向區(qū)數(shù)據(jù)庫(kù)文件，用于將名字localhost轉(zhuǎn)換為本地回送IP地址。root@Ubuntu:/etc/bind#cat/etc/bind/db.local┆$TTL604800@INSOAlocalhost.root.localhost.(1;Serial604800;Refresh86400;Retry2419200;Expire604800);NegativeCacheTTL;@INNSlocalhost.@INA3．（1）SOA資源記錄。 SOA（StartofAuthority）這是起始授權(quán)紀(jì)錄，表示它后面跟的配置內(nèi)容是全局有效的。格式如下：zoneINSOAHostnameContact(SerialRefreshRetryExpireMinimum)3．（2）NS資源記錄。 NS資源記錄用于標(biāo)識(shí)一個(gè)區(qū)域的權(quán)威服務(wù)器（包括主服務(wù)器和從服務(wù)器），并將子域授權(quán)賦予其他服務(wù)器，其格式如下： zone[ttl]INNShostname NS：標(biāo)識(shí)區(qū)域的域名服務(wù)器以及授權(quán)子域，其余的字段與SOA記錄類似。 例：區(qū)域的NS資源記錄。.INNS.//指定.的主服務(wù)器.INNS.//指定.的從服務(wù)器.INNS.//指定委派域.的主服務(wù)器.INNS.//指定委派域.的從服務(wù)器3．（3）A資源記錄。 ARR是DNS數(shù)據(jù)庫(kù)的核心，它提供了主機(jī)名到IP地址的映射。其格式為： hostname[ttl]INAIPAddress 例：區(qū)域的A資源記錄。

這里ubuntu與feisty采用相對(duì)域名，對(duì)區(qū)域來說實(shí)際代表的是.與.這兩臺(tái)主機(jī)，因此.的IP地址為。 db.127.0是localhost反向區(qū)數(shù)據(jù)庫(kù)文件，用于將本地回送IP地址轉(zhuǎn)換為名字localhost。root@Ubuntu:/etc/bind#cat/etc/bind/db.local┆@INNSlocalhost.1.0INPTRlocalhost.DNS服務(wù)器的運(yùn)行控制DNS服務(wù)運(yùn)行控制有兩種方式，一種直接對(duì)腳本文件/etc/init.d/bind9

控制，另一中就是采用rndc(RemoteNameDaemonControl)用于系統(tǒng)管理員控制Bind的運(yùn)行。如下：（1）啟動(dòng)服務(wù)。student@Ubuntu:~$sudo/etc/init.d/bind9

start（2）要停止服務(wù)。（3）要重新啟動(dòng)服務(wù)。（4）除此之外，還可以用下面的命令來停止DNS服務(wù)：student@Ubuntu:~$sudorndcstop（5）要重新加載配置文件，可以用：student@Ubuntu:~$sudorndcreload（6）顯示當(dāng)前運(yùn)行的named的狀態(tài)：student@Ubuntu:~$sudorndcstatus（7）如果想在Linux系統(tǒng)啟動(dòng)的時(shí)候讓DNS服務(wù)自動(dòng)啟動(dòng)，可以通過下面的設(shè)置實(shí)現(xiàn)：student@Ubuntu:~$sudorcconf在彈出的界面選擇bind9即可。如果安裝了圖形化啟動(dòng)管理工具bum，直接點(diǎn)擊“系統(tǒng)”―“系統(tǒng)工具”―“BootUp-Manger”也可設(shè)置開機(jī)啟動(dòng)bind9。配置主域名服務(wù)器 將配置域的主域名服務(wù)器，下面的配置在IP為的計(jì)算機(jī)上進(jìn)行，配置步驟如下。1．在主配置文件中添加區(qū)聲明 使用如下的命令編輯/etc/bind/named.conf.local。

添加如下的配置語句：//添加正向進(jìn)行區(qū)聲明zone""{typemaster;//指定master類型，即主域名服務(wù)器的類型file".hosts";};//添加反向進(jìn)行區(qū)聲明zone"0.168.192."{typemaster;//指定master類型，即主域名服務(wù)器的類型file"192.168.0.rev";};3Hstudent@Ubuntu:~$sudorndcstop//指定本機(jī)解析的權(quán)威區(qū)數(shù)據(jù)庫(kù)文件存放的位置student@Ubuntu:~$sudorcconffile"/etc/bind/db.使用如下的命令編輯/var/cache/bind/192.這兩臺(tái)主機(jī)，因此ubuntu.//指定委派域study.confnamed.file"/etc/bind/db.Ubuntu中BIND9的配置文件存放在/etc/bind目錄下。Ubuntu將named.使用如下的命令編輯/var/cache/bind/192.//添加如下的轉(zhuǎn)發(fā)配置ExpireRefresh3．配置反向解析數(shù)據(jù)庫(kù)文件使用如下的命令編輯/var/cache/bind/192.168.0.rev。添加如下的配置語句：//定義默認(rèn)的TTL$ttl1D//設(shè)置起始授權(quán)記錄@INSOA.(20070630003H15M1W1D)//設(shè)置域名服務(wù)記錄INNS.//設(shè)置主服務(wù)器的NS記錄INNS.//設(shè)置從服務(wù)器的NS記錄//設(shè)置反向地址指針記錄5IN PTR .6IN PTR .4．檢測(cè)配置（1）named-checkconf檢測(cè)named-c