信創(chuàng)Linux操作系統(tǒng)管理（統(tǒng)信UOS版）項(xiàng)目八 DNS服務(wù)器搭建

項(xiàng)目八DNS服務(wù)器搭建【項(xiàng)目場(chǎng)景】小明在某公司擔(dān)任網(wǎng)絡(luò)管理員，需要DNS服務(wù)器來對(duì)公司網(wǎng)絡(luò)進(jìn)行域名解析工作，需要小明掌握在統(tǒng)信系統(tǒng)上配置DNS服務(wù)器?！卷?xiàng)目目標(biāo)】知識(shí)目標(biāo)

知道DNS的原理

掌握DNS服務(wù)器的配置要點(diǎn)

學(xué)會(huì)DNS服務(wù)器配置操作技能目標(biāo)

會(huì)配置正反向DNS

會(huì)配置DNS訪問控制

會(huì)配置防火墻素質(zhì)目標(biāo)

具備較強(qiáng)的知識(shí)技術(shù)更新能力

具備自主學(xué)習(xí)新知識(shí)、新技術(shù)的能力

具有良好的心理素質(zhì)和克服困難的能力

具有較強(qiáng)的團(tuán)隊(duì)協(xié)作能力

培養(yǎng)精益求精、密益求密的工作態(tài)度

培養(yǎng)認(rèn)真負(fù)責(zé)、善于思考總結(jié)的工作作風(fēng)任務(wù)一DNS服務(wù)器配置一、DNSDNS：域名系統(tǒng)（DomainNameSystem），是互聯(lián)網(wǎng)的一項(xiàng)服務(wù)。它作為將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使用戶更方便地訪問互聯(lián)網(wǎng)。DNS服務(wù)器（DomainNameSystem或DomainNameService），稱為域名系統(tǒng)或者域名服務(wù),域名系統(tǒng)為Internet上的主機(jī)分配域名地址和IP地址。域名服務(wù)是運(yùn)行域名系統(tǒng)的Internet工具。執(zhí)行域名服務(wù)的服務(wù)器稱之為DNS服務(wù)器。DNS服務(wù)器可以實(shí)現(xiàn)將域名解析為IP地址，客戶端向DNS服務(wù)器（DNS服務(wù)器有自己的IP地址）發(fā)送域名查詢請(qǐng)求，告知客戶機(jī)Web服務(wù)器的IP地址，客戶機(jī)與Web服務(wù)器通信等功能。1.DNS服務(wù)器的分類1）按照服務(wù)器的作用分類由于互聯(lián)網(wǎng)中的域名采用層次樹狀結(jié)構(gòu)的命名方法，因此與之對(duì)應(yīng)的DNS服務(wù)器也采用層次樹狀結(jié)構(gòu)。每一個(gè)DNS服務(wù)都只對(duì)域名體系中的某一域進(jìn)行管轄。根據(jù)DNS服務(wù)器所起的作用，可以分為以下幾種類型：（1）根域名服務(wù)器是最高層次的域名服務(wù)器，它知道所有頂級(jí)服務(wù)器的域名和IP地址，當(dāng)本地域名服務(wù)器無法對(duì)域名進(jìn)行解析時(shí)，首先對(duì)根域名服務(wù)器發(fā)起請(qǐng)求。（2）頂級(jí)域名服務(wù)器負(fù)責(zé)管理該服務(wù)器下的所有二級(jí)域名，當(dāng)收到DNS查詢請(qǐng)求時(shí)，就會(huì)給權(quán)威域名服務(wù)器相應(yīng)的回答。（3）權(quán)威域名服務(wù)器是前面所說的負(fù)責(zé)某一個(gè)區(qū)的域名服務(wù)器。當(dāng)一個(gè)頂級(jí)域名服務(wù)器還不能給出最后查詢回答時(shí)，就會(huì)告知下一步應(yīng)當(dāng)請(qǐng)求的權(quán)威域名服務(wù)器。（4）本地域名服務(wù)器：當(dāng)一個(gè)主機(jī)發(fā)出DNS查詢請(qǐng)求時(shí)，這個(gè)查詢請(qǐng)求報(bào)文就發(fā)送給本地域名服務(wù)器。每一個(gè)互聯(lián)網(wǎng)服務(wù)提供者ISP都可以擁有一個(gè)本地域名服務(wù)器。當(dāng)本地域名服務(wù)器無法給出應(yīng)答時(shí)，就會(huì)請(qǐng)求最高級(jí)的根域名服務(wù)器。通過根域名服務(wù)器，依次請(qǐng)求頂級(jí)域名服務(wù)器和權(quán)威域名服務(wù)器，最終獲取對(duì)應(yīng)IP地址，并將該結(jié)果保存在本地域名服務(wù)器，以待下次DNS請(qǐng)求使用。當(dāng)用戶再次對(duì)同一域名發(fā)起訪問時(shí)，可以直接從本地域名服務(wù)器獲得結(jié)果，無需再次發(fā)起全球遞歸查詢。2）按照服務(wù)器的類型分類（1）主域名服務(wù)器負(fù)責(zé)維護(hù)一個(gè)區(qū)域的所有域名信息，是特定的所有信息的權(quán)威信息源，數(shù)據(jù)可以修改。（2）輔助域名服務(wù)器。當(dāng)主域名服務(wù)器出現(xiàn)故障、關(guān)閉或負(fù)載過重時(shí)，輔助域名服務(wù)器作為主域名服務(wù)器的備份提供域名解析服務(wù)。輔助域名服務(wù)器中的區(qū)域文件中的數(shù)據(jù)是從另外的一臺(tái)主域名服務(wù)器中復(fù)制過來的，是不可以修改的。（3）緩存域名服務(wù)器。從某個(gè)遠(yuǎn)程服務(wù)器取得每次域名服務(wù)器的查詢回答，一旦取得一個(gè)答案就將它放在高速緩存中，以后查詢相同的信息就用高速緩存中的數(shù)據(jù)回答，緩存域名服務(wù)器不是權(quán)威的域名服務(wù)器，因?yàn)樗峁┑男畔⒍际情g接信息。（4）轉(zhuǎn)發(fā)域名服務(wù)器負(fù)責(zé)所有非本地域名的本地查詢。轉(zhuǎn)發(fā)域名服務(wù)器接到查詢請(qǐng)求后，在其緩存中查找，如找不到就將請(qǐng)求依次轉(zhuǎn)發(fā)到指定的域名服務(wù)器，直到查找到結(jié)果為止，否則返回?zé)o法映射的結(jié)果。2.DNS查詢DNS查詢包括遞歸查詢、迭代查詢、反向查詢。（1）遞歸查詢：在該查詢模式下DNS服務(wù)器接收到客戶機(jī)請(qǐng)求，必須使用一個(gè)準(zhǔn)確的查詢結(jié)果回復(fù)客戶機(jī)。如果DNS服務(wù)器本地沒有存儲(chǔ)查詢DNS信息，那么該服務(wù)器會(huì)詢問其他服務(wù)器，并將返回的查詢結(jié)果提交給客戶機(jī)?？蛻魴C(jī)和服務(wù)器之間的查詢就是遞歸查詢。（2）迭代查詢：DNS服務(wù)器之間的查詢一般屬于迭代查詢，即當(dāng)DNS1服務(wù)器向DNS2服務(wù)器發(fā)出查詢請(qǐng)求后，DNS2無法解析，會(huì)告訴DNS1服務(wù)器DNS3的IP地址，讓DNS1詢問DNS3，以此類推。（3）反向查詢：反向DNS（或rDNS）是一種將IP地址解析為域名的方法。二、DNS服務(wù)器軟件現(xiàn)在使用最為廣泛的DNS服務(wù)器軟件是BIND（BerkeleyInternetNameDomain），最早由伯克利大學(xué)的一名學(xué)生編寫，現(xiàn)在最新的版本是9，有ISC（InternetSystemsConsortium）編寫和維護(hù)。BIND支持大多數(shù)的操作系統(tǒng)（Linux、UNIX、Mac、Windows），服務(wù)的名稱為named。DNS默認(rèn)使用UDP、TCP協(xié)議，使用端口為53（domain）、953（mdc，遠(yuǎn)程控制使用）。三、DNS的配置文件bind9安裝完成后，在配置文件目錄/etc/bind內(nèi)包含named.conf、named.conf.local、named.conf.options，named.conf.default-zones、bind.keys、zones.rfc1918、rndc.key、db.root、db.local、db.empty等文件。其中，named.conf為主配置文件，其他文件會(huì)以某種方式包含到主配置文件中。bind9的工作目錄為/var/cache/bind，配置文件如表所示。

Bind被安裝后，會(huì)在默認(rèn)目錄下生成一個(gè)默認(rèn)的主配置文件named.conf，這是一個(gè)唯一緩存服務(wù)器配置文件。以這個(gè)配置文件運(yùn)行DNS服務(wù)器時(shí)，會(huì)成為一臺(tái)緩存服務(wù)器。1.主配置文件named.conf//ThisistheprimaryconfigurationfilefortheBINDDNSservernamed.////Pleaseread/usr/share/doc/bind9/README.Debian.gzforinformationonthe//structureofBINDconfigurationfilesinDebian,*BEFORE*youcustomize//thisconfigurationfile.////Ifyouarejustaddingzones,pleasedothatin/etc/bind/named.conf.local

include"/etc/bind/named.conf.options";include"/etc/bind/named.conf.local";include"/etc/bind/named.conf.default-zones";include語(yǔ)句用于定義主配置文件包含的子配置文件，其指定的包含文件可以作為主配置文件的一部分，在DNS服務(wù)器啟動(dòng)時(shí)被讀入。named.conf配置文件被拆分成了3個(gè)包含文件，其中，named.conf.options用來定義全局選項(xiàng)，named.conf.local用來定義本地域，named.conf.default-zones用來配置zone文件。1)named.conf.options文件option配置文件路徑為/etc/bind/named.conf.options，刪除文件中forwarders的注釋。forwarders節(jié)點(diǎn)配置轉(zhuǎn)發(fā)器，所有非本域和在緩存中無法找到的域名查詢都將轉(zhuǎn)發(fā)到設(shè)置的DNS轉(zhuǎn)發(fā)器上，由這臺(tái)DNS完成解析工作并實(shí)現(xiàn)緩存。（1）directory"dir"：定義工作目錄，系統(tǒng)為/var/cache/bind.配置文件中使用的所有相對(duì)路徑，就是指的此位置，以后創(chuàng)建的區(qū)域文件也要存放在此目錄內(nèi)。（2）forwards{IP地址}：將域名查詢請(qǐng)求轉(zhuǎn)發(fā)給其他DNS服務(wù)器。（3）listen-onport53{;}：定義了監(jiān)聽53端口所有的IP地址。（4）listen-on-v6port53{::1;}：定義監(jiān)聽53端口所有的IP地址。（5）allow-query{localhost;}：定義允許查詢的主機(jī)。（6）DNSsec-validationyes：確定是否需要驗(yàn)證。（7）recursion：確定是否需要遞歸。

2）named.conf.default-zones文件zone語(yǔ)句定義了一個(gè)區(qū)域塊，其中必須說明域名、DNS服務(wù)器類型和區(qū)域文件名等信息，其基本格式如下：zonestringIN{ typeTYPE; fileFILE;

其他配置子句};（1）string：正向域時(shí)為由雙引號(hào)引用的域名，反向域時(shí)為<IP3R>.rev型字符串；（2）typeTYPE：TYPE用于指定DNS服務(wù)器的類型，常用的有master（主域名服務(wù)器）和slave（輔助域名服務(wù)器），還可以使用hint、stub和forward等類型的服務(wù)器。（3）fileFile：指定區(qū)域文件名為FILE（文件名要用雙引號(hào)引用）。2.正向域區(qū)域文件<domain>.zone正向域區(qū)域配置文件的完整配置如下：;;BINDdatafileforlocalloopbackinterface;$TTL 604800域名IN SOA 主機(jī)名.管理員郵件地址(

序列號(hào) ;Serial

刷新間隔時(shí)間 ;Refresh

重試間隔時(shí)間 ;Retry

過期間隔時(shí)間 ;Expire

最短存活時(shí)間) ;NegativeCacheTTL;@ IN NS localhost.@ IN A @ IN AAAA ::1

（1）TTL：該記錄在客戶機(jī)上存活的時(shí)間，也就是在緩存中存在的時(shí)間，默認(rèn)的存活時(shí)間（604800）是一天，D是天，H是小時(shí)，W是星期。（2）域名：用戶定義區(qū)域的域名，一般情況下為@，表示其值為主配置文件中相應(yīng)區(qū)域的名稱。（3）IN：代表Internet類，其他類還有HS、CH常用IN。（4）SOA：起始授權(quán)類型，其功能將某區(qū)域授權(quán)給某臺(tái)服務(wù)器管理。（5）管理員郵件地址：因?yàn)锧符號(hào)在區(qū)域文件中有特殊的含義，所以管理員的電子郵件地址不能使用@符號(hào)，而使用“.”代替。（6）serial(序列號(hào))：也稱為版本號(hào)，用來表示該區(qū)域數(shù)據(jù)庫(kù)文件的版本大小，最多有10位數(shù)字。在般情況下，采用類似年月日的表示形式，如20120101xx,這種寫法可方便管理員記住最后修改該文件的日期和次數(shù)。需要注意的是，新版本號(hào)應(yīng)該比舊版本號(hào)要大。當(dāng)輔助域名服務(wù)器與主城名服務(wù)器同步時(shí)將比較此字段，以判斷主城名服務(wù)器數(shù)據(jù)是否被更新過。（7）refresh(刷新間隔時(shí)間)：設(shè)定輔助域名服務(wù)器與主域名服務(wù)器同步的時(shí)間間隔或刷新周期，默認(rèn)單位為秒，可以指定單位為分鐘(M)、小時(shí)(H)、天(D)、周(W)、月(M)等。（8）retry(重試間隔時(shí)間)：指定主、輔助域名服務(wù)器之間的同步頻率失敗后再次重試的同步時(shí)間延遲或間隔。如果在refresh指定的時(shí)間內(nèi)，輔助域名服務(wù)器沒有與主城名服務(wù)器同步成功，那么需要在此間隔內(nèi)重新嘗試一次。在一般情況下，重試間隔時(shí)間應(yīng)小于刷新間隔時(shí)間。單位參考refresh。（9）expire(過期間隔時(shí)間)：設(shè)置輔助城名服務(wù)器緩存信息的有效期。如果在此時(shí)間間隔內(nèi)輔助城名服務(wù)器始終沒有與主城名服務(wù)器同步成功，那么輔助域名服務(wù)器則會(huì)認(rèn)為自己的數(shù)據(jù)已經(jīng)過期，進(jìn)而停止響應(yīng)客戶對(duì)該區(qū)域的查詢。單位參考refresh。（10）ttl(最短存活時(shí)間)：設(shè)置每條記錄的生存期。該生存期是指DNS服務(wù)器將本區(qū)域中相應(yīng)的記錄應(yīng)答給客戶后，該記錄在客戶機(jī)的緩存中保留的時(shí)間長(zhǎng)度。單位參考refresh。（11）NS：用于指明區(qū)域中的DNS服務(wù)器的主機(jī)名。（12）A：用于為區(qū)域內(nèi)的主機(jī)建立別名。（13）AAAA：記錄一個(gè)指向IPv6地址的記錄。3.反向域區(qū)域文件<IP3R>.rev在反向城區(qū)城文件中只有3類記錄：SOA，NS，PTR，且前2條記錄SOA和NS與正向城區(qū)域文件中的相同。除前2條記錄以外，剩余的都是主機(jī)類型的記錄，且在反向城區(qū)域文件中只包括PTR一類記錄。PTR記錄又稱為反向類型或指針類型，用于定義由IP地址到域名的翻譯，格式如下：ipv4 IN PTR domaindomain為具體的域名，ip4為domain所對(duì)應(yīng)IP地址的第4段或最后一段，例如：1 IN PTR DNS..inDNS.主機(jī)的IP地址的最后一段為1。也就是說，若域的網(wǎng)絡(luò)址為192.168.136.x，則DNS.的IP地址為。4.客戶端與域名解析相關(guān)的配置文件客戶端要正確地獲取域名解析，需要配置一些文件，與域名解析相關(guān)的配置文件有/etc/hosts、/etc/host.conf和/etc/resolv.conf<任務(wù)實(shí)施>一、安裝BIND使用apt工具安裝Debian軟件倉(cāng)庫(kù)中的BIND軟件，需要使用root或sudo訪問權(quán)限。（1）安裝DNS服務(wù)器軟件包： $sudoapt-getinstallbind9-docbind9（2）服務(wù)管理： $sudosystemctlstatusbind9#檢查服務(wù)狀態(tài) $sudosystemctlenable/disablebind9#啟動(dòng)與禁用服務(wù) $sudosystemctlstart/stop/restart/reloadbind9#啟動(dòng)、關(guān)閉、重啟與重載服務(wù)二、訪問控制設(shè)置默認(rèn)配置的named服務(wù)只允許對(duì)本主機(jī)系統(tǒng)內(nèi)的客戶提供服務(wù)，將其更改為對(duì)外提供服務(wù)，需要修改named.conf.options文件的內(nèi)容。listen-onport53{any;};listen-on-v6port53{any;};allow-query{any;}DNSsec-validationno;三、防火墻設(shè)置DNS服務(wù)器使用的服務(wù)名為domain，端口號(hào)為53，在firewalld防火墻和ufw防火墻中的服務(wù)名分別為DNS和domain，在設(shè)置防火墻時(shí)，應(yīng)允許該服務(wù)通過。1.設(shè)置firewalld防火墻$sudoapt

install

firewalld

firewall-config #安裝firewalld$sudofirewall-cmd--permanent--add-service=DNS#firewalld防火墻添加DNS服務(wù)2.設(shè)置ufw防火墻$sudoapt-getinstallufw #安裝ufw$sudoufwallowdomain四、DNS服務(wù)器配置搭建一臺(tái)DNS服務(wù)器，負(fù)責(zé)域的域名解析工作，使用統(tǒng)信服務(wù)器來搭建完成任務(wù)，DNS服務(wù)器的FQDN為，IP地址為30。要求為以下域名實(shí)現(xiàn)正反向域名解析服務(wù)。 30 311.配置named.conf.local文件分別給出自定義域名及其IP地址，正向查詢和反向查詢的配置文件在文件中。////Doanylocalconfigurationhere////Consideraddingthe1918zoneshere,iftheyarenotusedinyour//organization//include"/etc/bind/zones.rfc1918";zone""{typemaster;file"/etc/bind/";};

zone"206.168.192."{typemaster;file"/etc/bind/";};2.創(chuàng)建正向配置文件/etc/bind/$TTL604800$ORIGIN.@INSOA..(2006080401;Serial604800;Refresh86400;Retry2419200;Expire604800);NegativeCacheTTL;@INNSns1@INA30ns1INA30wwwINA313