第14章DNS服務器課件

第14章DNS服務器14.1DNS工作原理14.2Linux下的域名服務器系統(tǒng)14.3BIND14.4BIND配置實例14.5建立子域14.6DNS14.1DNS工作原理14.1.1域名域名系統(tǒng)（DNS）是一種用于TCP/IP應用程序的分布式數(shù)據(jù)庫，它提供主機名字和IP地址之間的轉(zhuǎn)換及有關(guān)電子郵件的選路信息。這里提到的分布式是指在Internet上的單個站點不能擁有所有的信息。每個站點（如大學中的系、校園、公司或公司中的部門）保留它自己的信息數(shù)據(jù)庫，并運行一個服務器程序供Internet上的其他系統(tǒng)（客戶程序）查詢。DNS提供了允許服務器和客戶程序相互通信的協(xié)議。產(chǎn)生域名的根本動機在于管理方便14.1.2Internet域名系統(tǒng)域名系統(tǒng)為一個分布式數(shù)據(jù)庫，它使本地負責控制整個分布式數(shù)據(jù)庫的部分段，每一段中的數(shù)據(jù)通過客戶/服務器模式在整個網(wǎng)絡上均可存取，通過采用復制技術(shù)和緩存技術(shù)使得整個數(shù)據(jù)庫可靠的同時，又擁有良好的性能。域名服務器包含數(shù)據(jù)庫的部分段的信息，并可提供被稱之為解析器的客戶來訪問。DNS的數(shù)據(jù)庫結(jié)構(gòu)形成一個倒立的樹狀結(jié)構(gòu)，根的名字用空字符串“”來表示，但在文本中用“.”來書寫。樹的每一個節(jié)點都表示整個分布式數(shù)據(jù)庫中的一個分區(qū)（域），每個域可再進一步劃分成子分區(qū)（域），每個域都有一個標簽（LABEL），標明了它與父域的關(guān)系。域也有一個域名（domainname），給出它在整個分布式數(shù)據(jù)庫中的位置。在DNS中，域名全稱是一個從該域到根的標簽序列，以“.”分隔這些標簽。該標簽最多可包含63個字符。樹中每一節(jié)點的完整域名為從該節(jié)點到根之間路徑上的標簽序列。如果根域在節(jié)點的域名中出現(xiàn)，該名字看起來就像以點結(jié)尾（實際上是以點和空標簽作結(jié)尾）。這些以點結(jié)尾的域名被稱之為絕對域名（AbsoluteDomainName）。不以點結(jié)尾的域名被稱之為相對域名。域（Domains）即為樹狀域名空間中的一棵子樹，域的域名同該子樹根節(jié)點的域名一樣。也就是說，域的名字就是該域中最高層節(jié)點的名字。舉例來說，域的頂端就是名為的節(jié)點。在DNS中，每個域分別由不同的組織進行管理。每個組織都可以將它的域再分成一定數(shù)量的子域并將這些子域委托給其他組織進行管理。域既能包括主機又能包括其他域（它的子域）。域名被用做DNS數(shù)據(jù)庫中的索引。子域中任何域名都被認為是域的一部分。事實上，主機即為域，域名僅是DNS數(shù)據(jù)庫中的索引，“主機”可由指向相關(guān)主機信息的域名來索引，域包含所有其域名在該域的主機。在域名樹中，葉節(jié)點的域通常代表主機，它們的域名可指向網(wǎng)絡地址，硬件信息和郵件路由信息。在樹內(nèi)的節(jié)點，其域名既可命名一臺主機，也可指向有關(guān)該域的子孫或子域的結(jié)構(gòu)信息，在域名樹的內(nèi)部域名并不受惟一性限制，它們既可表示它們所對應的域，又可代表網(wǎng)絡中某臺特定的主機。例如，既是sun的域，又是在sun和Internet間轉(zhuǎn)發(fā)信件的郵件服務器的域名。設計域名系統(tǒng)的一個主要目的是讓管理分散化，這是通過代理來實現(xiàn)的。1.域名服務器存儲有關(guān)域名空間信息的程序被稱為域名服務器（nameserver）。通常，域名服務器擁有部分域名空間（稱之為區(qū)zone）的完整信息。域名服務器可以擁有多個區(qū)的授權(quán)。區(qū)與域的關(guān)系：區(qū)包含了域中除了代理給別處的子域外，所含有的所有域名和數(shù)據(jù)。如果域的子域沒有被代理出去，則該區(qū)包含該子域名和子域中的數(shù)據(jù)。DNS定義了兩類域名服務器：primaryMaster和secondaryMaster。PM域名服務器從它所運行的主機上的文件獲得它所負責的區(qū)的數(shù)據(jù)，SM域名服務器則是從其他的具有該區(qū)授權(quán)的域名服務器上獲得它的區(qū)的數(shù)據(jù)。SM域名服務器會定期查詢PM域名服務器以保證區(qū)數(shù)據(jù)為最新版本。一般情況下，最好設立一臺PM域名服務器和若干臺SM域名服務器。這樣可以分擔負載，以及確保區(qū)中所有主機都有比較靠近的域名服務器，以方便訪問。2.解析器運行在主機上并需要域名空間信息的程序需要解析器（Resolver），在bind中解析器僅僅是一組庫例程，并編譯進像telnet和FTP這樣的程序中，它們并非獨立的進程。解析器所做的工作為：匯集查詢、發(fā)送查詢并等待應答，未得到應答時重發(fā)查詢。3.域名解析域名技術(shù)并沒有改變互聯(lián)網(wǎng)的IP地址分配與尋址機制，它只是為用戶提供了一種更友好的標識網(wǎng)上主機的方法，換句話說，用戶可以方便地記憶和使用域名來訪問網(wǎng)絡資源，而在網(wǎng)絡上的各個主機或?qū)嶓w之間仍然使用IP地址進行相互連接與通信。因此，在域名和IP地址之間就存在著一一對應關(guān)系，當用戶以域名形式提交請求時，必須轉(zhuǎn)換成IP地址才能進行網(wǎng)絡通信，這種轉(zhuǎn)換就叫做域名解析。目前在互聯(lián)網(wǎng)上，域名解析的工作是由DNS（DomainNameSystem）服務器自動完成的，域名解析的流程如下：（1）用戶提交域名解析請求給自己所在域的域名服務器A。（2）如果域名服務器A能夠從本機的host.txt文件中查詢到用戶遞交的域名解析請求，則此域名解析完成。（3）如果域名服務器A在本機的host.txt文件中沒有查詢到所提交的域名解析請求，一種解決的辦法是：域名服務器A將用戶的請求遞交給自己的上一級（父節(jié)點）域名服務器B，繼續(xù)尋求解析。如果能夠完成解析，則域名服務器B返還結(jié)果給域名服務器A；如果不能完成解析，再由域名服務器B遞交給自己的上一級（父節(jié)點）域名服務器C，繼續(xù)尋求解析。另一種解決方法是：域名服務器A直接將請求遞交到最頂級（根節(jié)點）的域名服務器繼續(xù)尋求解析。由根域名服務器沿域名的樹狀結(jié)構(gòu)下行進行解析。當域名解析過程完成后，將查詢的結(jié)果逐級返還。4.地址到域名的映射在域名空間的數(shù)據(jù)是通過名字來進行索引的，找到一個給定域名的地址相對容易。但是要找到映射給一定地址的域名就要在樹上的每一個域名空間作窮盡搜索。如果這樣的話，效率將相當?shù)?，為了解決這個問題，創(chuàng)建一個以地址為索引的域名空間。這部分名字空間被稱為域。域中的節(jié)點以點分十進制形式表示IP地址。IP地址在名字空間以相反的方向表示，因為名字是從葉讀到根，例如：的IP地址為3，則相應的子域為64.116.202.，使IP地址中的第一個字節(jié)出現(xiàn)在樹的最高層，使管理員有能力沿著網(wǎng)絡聯(lián)接將域代理出去。例如：64.116.202.可以被代理給網(wǎng)絡64.116.202的管理員。5.緩存與生存期名字服務器在處理遞歸查詢時，可能要進行多次查詢才能得到信息，在這過程中，名字服務器可以獲得很多有關(guān)域名空間的信息，所以名字服務器將這些信息都緩存起來以加速以后的查詢。生存期（TTL）所容許的名字服務器對數(shù)據(jù)緩存的時間長度，一旦生存期到了，名字服務器必須丟棄緩存數(shù)據(jù)并從授權(quán)的名字服務器中重新獲取新的數(shù)據(jù)。這樣可以確保域數(shù)據(jù)在整個網(wǎng)絡上的一致性。14.1.3DNS消息格式DNS定義了一個用于查詢和響應的報文格式。報文由12字節(jié)長的首部和4個長度可變的字段組成，如下圖所示。14.1.4對象內(nèi)容與資源記錄內(nèi)容DNS報文中最后的三個字段（回答字段、授權(quán)字段和附加信息字段）均采用一種稱為資源記錄RR（ResourceRecord）的相同格式。域名是記錄中資源數(shù)據(jù)對應的名字。它的格式和查詢名字段格式相同。類型說明RR的類型碼。它的值和前面介紹的查詢類型值是一樣的。類通常為1，指Internet數(shù)據(jù)。生存時間字段是客戶程序保留該資源記錄的秒數(shù)。資源記錄通常的生存時間值為2天。資源數(shù)據(jù)長度說明資源數(shù)據(jù)的數(shù)量。該數(shù)據(jù)的格式依賴于類型字段的值。表14-1對于類型1（A記錄）資源數(shù)據(jù)是4字節(jié)的IP地址

TypeMeaningContentsAHostAddress32-bitIPaddressCNAMECanonicalNameCanonicaldomainnameforanaliasHINFOCPU&OSNameofCPUandOperatingSystemMINFOMaiboxInfoInformationaboutamailboxoramillistMXMailExchanger16-bitpreferenceandnameofhostthatactsasmailexchangerforthedomainNSNameServerNameofauthoritativeserverfordomainPTRPointerDomainname（likeasymboliclink）SOAStartofAuthoritMultiplefieldsthatspecifywhichpartsofthenaminghierarchyAServerimplementsTXTArbitrarytextUninterpretedstringofASCIItext14.2Linux下的域名服務器系統(tǒng)大多數(shù)Linux或者Unix的DNS實現(xiàn)使用BIND。BIND（BerkeleyInternetNameDomain柏克利因特網(wǎng)名字服務器）是一種DNS協(xié)議的實現(xiàn)，目前由ISC（）資助和維護，它提供一種開放的、可重發(fā)布的DNS系統(tǒng)。主要包括：（1）一個DNS服務器（named）。（2）一個DNS解析器庫。（3）驗證DNS服務器操作正確性的工具。BIND，即named，由于多數(shù)網(wǎng)絡應用程序使用其功能，所以在很多BIND的弱點及時被發(fā)現(xiàn)。主要分為三個版本：（1）v4，1998年多數(shù)Unix捆綁的是BIND4，已經(jīng)被多數(shù)廠商拋棄了，除了OpenBSD還在使用。OpenBSD核心認為BIND8過于復雜和不安全，所以繼續(xù)使用BIND4。這樣一來BIND8/9的很多優(yōu)點都不包括在v4中。（2）v8，就是如今使用最多最廣的版本。（3）v9，最新版本的BIND，全部重新寫過，免費（但是由商業(yè)公司資助），也添加了許多新的功能（但是安全上也可能有更多的問題）。BIND9在2000年十月份推出，現(xiàn)在穩(wěn)定版本是9.2.0。14.3BIND14.3.1BIND的安裝1.RPM安裝RPM的安裝命令相當簡單：rpm-Uhvbind-8.2.2-p5-9.i386.rpmrpm-Uhvbind-devel-8.2.2-p5-9.i386.rpmrpm-Uhvcache-nameserver-6.2-2.noarch.rpm2.源代碼發(fā)布的安裝首先，到BIND的主頁下載8.3.1bind-src.tar.gz這個軟件包。把軟件包（tar.gz）解壓縮：[root@dns/]#mkdir/var/tmp/bind[root@dns/]#cpbind-src.tar.gz/var/tmp/bind/創(chuàng)建了一個名為“bind”的目錄，用來處理tar文檔，轉(zhuǎn)到新的“bind”目錄（cd/var/tmp/bind），解壓tar文件：[root@dnsbind]#tarxzvfbind-src.tar.gz然后轉(zhuǎn)到源代碼的目錄（cdsrc），編譯BIND：[root@dnssrc]#make編譯執(zhí)行完以后，就可以安裝到相應的目錄中了：[root@dnssrc]#makeinstallBIND9的安裝跟8的安裝類似，讀者可以下載bind-9.2.0.tar.gz。解壓軟件包：[root@dns/]#tarzxvfbind-9.2.0.tar.gz轉(zhuǎn)到源代碼目錄：[root@dns/]#cdbind-9.2.0生成編譯makefile：[root@dnsbind-9.2.0]#./configure編譯：[root@dnsbind-9.2.0]#make安裝：[root@dnsbind-9.2.0]#makeinstall這樣就完成了BIND軟件的編譯和安裝14.3.2BIND的基本配置multi選項決定在“/etc/hosts”文件中出現(xiàn)的主機能不能有多個IP地址（多個網(wǎng)絡界面）。具有多個IP網(wǎng)絡接口的主機被稱為多穴主機（multihomed）。必須把這個選項設成ON。nospoof選項指明不允許IP偽裝。IP偽裝是把自己偽裝成別的計算機去欺騙其他的計算機，獲得它的信任。不管對任何類型的服務器，這個選項都要設成ON。/etc/resolv.conf該文件是解析器使用的配置文件，其指示了本地默認域名（在進行域名解析時，如果提交的域名是相對域名，如：www），則在解析時解析器會自動添加默認域名然后進行解析如：；并且包含應用程序進行域名解析時需要使用的域名服務器的IP地址信息。14.3.3named.conf的重要選項1.options語句options語句指定全局選項，對于特定區(qū)域或服務器，某些選項以后可能被覆蓋。一般格式為：options{ option; option; ….. };BIND8大約有30個選項，BIND9大概有50個Directory“path”：啟動服務器的目錄。Directory語句讓maned程序cd到指定目錄。Forwardonly選項指得是這臺服務器緩存數(shù)值，并且當查詢外部dns的時候直接按順序查詢轉(zhuǎn)發(fā)器，不和其他機器打交道。如果轉(zhuǎn)發(fā)器查詢失敗，則這次查詢失敗。Forwardfirst選項指得是這臺服務器作為一個告訴緩存服務器，并且當有外部域名需要查詢的時候首先和按順序查詢轉(zhuǎn)發(fā)器。如果轉(zhuǎn)發(fā)器查詢失敗時，它還能直接進行處理。Allow-transfer選項指得是那些dns服務器可以從這個dns服務器上面取得區(qū)域文件。2.acl語句aclacl-name{ ipaddress-list; ….. };acl是頂級語法，named.conf直都一遍，所以不能在其他選項中暗中說明它。它一般放在named.conf的最前面。3.zone語句zone是在named.conf的核心部分，它告訴了named那些是屬于自己管理的具有權(quán)威性的區(qū)域。并為每個區(qū)域設定不同的選項。zone中定義的選項可以覆蓋全局選項。區(qū)域的主服務器：zone"domain-name"{ typemster; file"path"; allow-query{ipaddr-list}; allow-trabsfer{ipaddr-lsit}; };設置區(qū)域的從服務器：zone"domain-name"{ typeslave; masters{ip-addr;ip-addr;…}; file"path"; allow-query{ip-list}; allow-transfer{ip-list};};Masters選項指定主服務器IP地址，從服務器可以利用這里指定的ip地址，從主服務器上面獲取到新的區(qū)域文件。主服務器可以有多個。設置根服務器線索：zone"."{ typehint; file"path";};14.3.4DNS和防火墻在RedHat中，如果設置了防火強，如防火墻設置為中級的時候很多服務器是默認deny的，管理員可以利用防火墻規(guī)則刷新來清除防火墻，或者可以添加一些規(guī)則，以保證這個服務的正常工作。如在中級防火墻的情況下，可以添加語句使得服務正常。14.4BIND配置實例14.4.1用redhat-config-bind配置DNS服務器在RedHat中有一個在GUI下進行配置的工具redhat-config-bind。14.4.2主域名服務器配置實例主域名服務器是指對某個區(qū)具有權(quán)威信息的域名服務器，對于該區(qū)的所有查詢，該服務器的應答都是權(quán)威的。主域名服務器對域名查詢的應答是權(quán)威的。它的回答是域名配置文件中得到的區(qū)域數(shù)據(jù)，所以主域名服務器具有對自身區(qū)數(shù)據(jù)的權(quán)威性。1.域名服務器/etc/named.conf的設置2.本地回路反向解析區(qū)文件/var/named/127.0.0127.0.0文件包括本地回路（loopback）網(wǎng)絡的設置，各種域名服務器都應該配置該區(qū)，內(nèi)容也都是一致的。3.配置“/var/named/”文件文件用于映射主機名和IP地址。在“/var/named/”中創(chuàng)建文件（touch/var/named/）并加入：4./var/named/202.116.95文件配置文件202.116.95用于實現(xiàn)從IP地址到主機域名的映射。14.4.3輔助域名服務器配置實例輔助域名服務器又叫二級域名服務器，平時可以分擔主域名服務器的負載，當主服務器不能正常工作時接管主服務器的工作。輔助域名服務器可以從網(wǎng)絡上接收主域名服務器傳來的數(shù)據(jù)（通常是主域名服務器），這個過程叫區(qū)帶轉(zhuǎn)移。建立一個二級域名服務器所需的文件包括：named.conf和127.0.0、root.ca。文件127.0.0及文件root.ca的內(nèi)容和主域名服務器的內(nèi)容并無不同，而named.conf的內(nèi)容不同，14.4.4CachingOnly域名服務器所謂CachingOnly域名服務器是指一個服務器運行有named進程，但是并不對任何域（區(qū)）的域名信息具有授權(quán)，也就是并不向外提供本域的域名匹配信息，不負責Internet上對本組織