Linux服务器管理-10-DNS服务器架设_第1页
Linux服务器管理-10-DNS服务器架设_第2页
Linux服务器管理-10-DNS服务器架设_第3页
Linux服务器管理-10-DNS服务器架设_第4页
Linux服务器管理-10-DNS服务器架设_第5页
已阅读5页,还剩59页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Linux服务器管理课程十Linux常见服务器架设(DNS服务器架设)目录21DNS工作原理2BIND安装与运行3BIND服务配置1.1DNS工作原理–名称解析方法3(1)域名解析基本概念域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站的一种服务IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来代替IP地址标识站点地址域名解析就是域名到IP地址的转换过程1.1DNS工作原理–名称解析方法4(2)Host表hosts文件是操作系统中一个负责IP地址与域名快速解析的文件,以ASCII格式保存一般而言,计算机访问一个域名的时候,首先会搜索hosts文件,查找对应的解析;如果在hosts文件对应表里找不到相应的解析,计算机才会去访问DNS服务器,请求DNS服务器进行解析hosts文件相当于本地的一个DNS解析文件表在unix中,可设置hosts和dns的使用次序1.1DNS工作原理–名称解析方法5(3)NIS系统NIS(NetworkInformationSystem)是由Sun公司开发的一种命名系统,通过将主机表替换为主机数据库,客户机可以的到所需的主机信息NIS系统将所有主机数据均保存在中央数据库,再由中央主机将数据分配给所有的客户机1.1DNS工作原理–名称解析方法6(4)DNS系统DNS(DomainNameSystem,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)DNS协议运行在UDP协议之上,使用端口号531.2DNS工作原理–DNS的组成7(1)DNS域名空间域名(DomainName)是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置);是互联网上企业/个人或机构间相互联络的网络地址域名空间指组织域名的层次结构,如同倒立的树;分为根域、顶级域、二级域、子域、主机等Internet中的域由InterNIC负责管理,域名服务由DNS来实现FQDN(FullyQualifiedDomainName)完全限定域名,它是使用DNS的树状层级结构的完全路径域名来表示一个准确位置对应的主机1.2DNS工作原理–DNS的组成8(1)DNS域名空间1.2DNS工作原理–DNS的组成9(2)DNS服务器DNS服务器是保持和维护域名空间的程序每个DNS服务器含有一个域名空间自己的完整信息,其控制范围称为区(Zone)对于本区内的请求由负责该区的DNS服务器解释;其它区的请求将由本区的DNS服务器与负责该区的相应服务器联系提供正向解析(FQDN-->IP)和反向解析(IP-->FQDN)的功能1.2DNS工作原理–DNS的组成10(3)解析器解析器从服务器中提取信息,以响应对域名空间中主机的查询,用于DNS客户端1.2DNS工作原理–DNS的组成11(4)资源记录DNS数据库中包含的资源记录(RR)。每个RR标识数据库中的特定资源。我们在建立DNS服务器时,经常会用到SOA,NS,A之类的记录,在维护DNS服务器时,会用到MX,CNAME记录1.2DNS工作原理–DNS的组成12(4)资源记录RR的组成ownername所属名称typeRR的类型TTL缓存RR的秒数(time-to-live)class表示一个协议或者一族协议,常用IN表示InternetRDATA记录数据1.2DNS工作原理–DNS的组成13(4)资源记录RR中IN类(class)常见类型(type)SOA区域授权起始记录,区域文件第一条记录,而且一个区域文件只能有一条NS域的授权名称服务器MX域的邮件交换器,要跟着一个优先级值,越小越高AIPV4主机地址AAAAIPV6主机地址PTR解析IP的指针CNAME权威(正式)名称,定义别名记录1.3DNS工作原理–DNS查询过程14(1)查询过程分类本地解析:客户端使用本地缓存应答直接解析:直接由设定的DNS服务器解析,使用该服务器的资源记录缓存或其权威回答递归解析:设定的DNS服务器代表客户端向其它DNS服务器查询,以完全解析改名称,并将结果返回客户端迭代解析:设定的DNS服务器向客户端返回一个可解析该域名的其它DNS服务器,客户端再向其它DNS服务器查询1.3DNS工作原理–DNS查询过程15(1)查询过程图1.4DNS工作原理–DNS报文格式16(1)报文格式1.4DNS工作原理–DNS报文格式17(2)报文字段解释标识ID:请求客户端设置的16位标示,服务器给出应答的时候会带相同的标示字段回来,这样请求客户端就可以区分不同的请求应答标志:QR1个比特位用来区分是请求(0)还是应答(1)。OPCODE4个比特位用来设置查询的种类,应答的时候会带相同值,可用的值如下:0标准查询(QUERY)1反向查询(IQUERY)2服务器状态查询(STATUS)3-15保留值,暂时未使用1.4DNS工作原理–DNS报文格式18(2)报文字段解释问题数QDCOUNT:

无符号16位整数表示报文请求段中的问题记录数资源记录数ANCOUNT:

无符号16位整数表示报文回答段中的回答记录数授权资源记录数NSCOUNT:无符号16位整数表示报文授权段中的授权记录数额外资源记录数ARCOUNT:无符号16位整数表示报文附加段中的附加记录数1.4DNS工作原理–DNS报文格式19(2)报文字段解释查询问题报文格式:查询名QNAME要查找的名字,是一个或多个标识符的序列。每个标识符以首字节的计数值来说明随后标识符的字节长度,每个名字以最后字节为0结束,长度为0的标识符是根标识符查询类型QTYPE每个问题有一个查询类型。2个字节表示查询类型,取值可以为任何可用的类型值,以及通配码来表示所有的资源记录A(1)IP地址/NS(2)授权的域名服务器/CNAME(5)规范名称/PTR(12)指针记录/HINFO(13)主机信息/MX(15)邮件交换记录/AXFR(252)对区域转换的请求/ANY(255)对所有记录的请求查询类:IN(1)指互联网地址1.4DNS工作原理–DNS报文格式20(2)报文字段解释应答报文格式:域名NAME资源记录包含的域名类型TYPE2个字节表示资源记录的类型,指出RDATA数据的含义类CLASS2个字节表示RDATA的类生存时间TTL4字节无符号整数表示资源记录可以缓存的时间。0代表只能被传输,但是不能被缓存。**资源数据长度URDLENGT**H2个字节无符号整数表示RDATA的长度1.4DNS工作原理–DNS报文格式21(3)RDATA字段解释SOA的RDATA格式:百度的SOA.

579

IN

SOA

..

(

1408010001;serialnumber

5;refresh5s

5;retry5s

86400;expire1d

3600;minTTL1h

)MNAME授权主机FQDN或者当前区域的名称RNAME邮箱地址,@用.替代SERIAL区域传送使用的版本号,格式为yyyymmddnnREFRESH从服务器去同步主服务器时间间隔RETRY刷新失败重试时间间隔EXPIRE从服务器过期时长MINIMUM否定答案过期时长1.4DNS工作原理–DNS报文格式22(3)RDATA字段解释NS的RDATA格式:NSDName:DNS的FQDN.

64899

IN

NS

.

.

64899

IN

NS

.

.

64899

IN

NS

.

.

64899

IN

NS

.

.

64899

IN

NS

.1.4DNS工作原理–DNS报文格式23(3)RDATA字段解释MX的RDATA格式:PREFERENCE:优先级,越小越高EXCHANGE:邮件服务器FQDN.7200INMX20..7200INMX20..7200INMX10..7200INMX20.1.4DNS工作原理–DNS报文格式24(3)RDATA字段解释CNAME的RDATA格式:CNAME:权威名称,FQDN.1154INCNAME.是正式名称,而是别名1.4DNS工作原理–DNS报文格式25(3)RDATA字段解释A的RDATA格式:ADDRESS:IPV4地址.1154INCNAME..36INA2.36INA11.4DNS工作原理–DNS报文格式26(3)RDATA字段解释PTR的RDATA格式:7.100..INPTR.目录271DNS工作原理2BIND安装与运行3BIND服务配置2.1BIND安装与运行–BIND简介28(1)BIND简介1984年,加州大学伯克利分校的几个学生完成了Unix名称服务的实现,起名叫做BerkeleyInternetNameDomain(BIND)。目前,它是互联网上使用最为广泛的DNS服务软件bind的发行版一般包含三个部分:域名服务器、域名解析器库、软件测试工具2.2BIND安装与运行–BIND的安装29(1)BIND的安装RHEL6没有默认安装bind,但提供有安装包bind-9.8.2-0.10.rc1.el6.i686.rpm(服务器)bind-chroot-9.8.2-0.10.rc1.el6.i686.rpm(jail程序)BIND安装完成后,生成如下主要文件/etc/rc.d/init.d/named/usr/sbin/bind-chroot-admin/usr/sbin/named/usr/sbin/rndc/usr/sbin/rndc-confgen/var/named/var/run/named2.3BIND安装与运行–BIND的运行30(1)BIND的运行–简单配置方法BIND服务器需要正确配置后,才能正常运行;包括主配置文件/etc/bind.conf文件和/var/named目录下的其它配置文件配置文件模板详见/usr/share/doc/bind*进行配置后,BIND可运行,但仍需修改完善配置文件,采用正常工作2.3BIND安装与运行–BIND的运行31(1)BIND的运行–运行方法使用如下命令即可运行BIND进程/usr/sbin/named–g&servicenamedstartnamed通过端口53进行监听2.3BIND安装与运行–BIND的运行32(2)BIND的运行–实验1(简单配置)1、编辑/etc/named.conf文件,修改listen-onport53{any;};2.3BIND安装与运行–BIND的运行33(2)BIND的运行–实验1(简单配置)2、编辑/etc/named.conf文件,修改allow-query{any;};2.3BIND安装与运行–BIND的运行34(2)BIND的运行–实验1(简单配置)3、查看/etc/named.conf文件中指明的关键文件2.3BIND安装与运行–BIND的运行35(2)BIND的运行–实验1(简单配置)4、查看/var/name/named.ca文件2.3BIND安装与运行–BIND的运行36(2)BIND的运行–实验1(简单配置)5、查看辅助区域配置文件/etc/named.rfc1912.zones2.3BIND安装与运行–BIND的运行37(2)BIND的运行–实验1(简单配置)6、/etc/named.rfc1912.zones中添加实验语句2.3BIND安装与运行–BIND的运行38(2)BIND的运行–实验1(简单配置)7、查看正向反向区域数据库文件/var/named/named.localhost2.3BIND安装与运行–BIND的运行39(2)BIND的运行–实验1(简单配置)8、编写实验用正向区域数据库文件/var/named/2.3BIND安装与运行–BIND的运行40(2)BIND的运行–实验1(简单配置)9、编写实验用反向区域数据库文件/var/named/named.109.168.1922.3BIND安装与运行–BIND的运行41(2)BIND的运行–实验1(简单配置)10、启动named2.3BIND安装与运行–BIND的运行42(3)BIND的运行–实验2(配置实验环境)1、在Vmware的虚拟网络编辑器中修改DNS地址为服务器虚拟机2.3BIND安装与运行–BIND的运行43(3)BIND的运行–实验2(配置实验环境)2、重启客户虚拟机中,运行nslookup进行验证2.4BIND安装与运行–chroot功能44(1)chroot简介CHROOT就是ChangeRoot,也就是改变程序执行时所参考的根目录位置CHROOT的作用限制被CHROOT的使用者所能执行的程式,如SetUid的程式,或是会造成Load的Compiler防止使用者存取某些特定档案,如/etc/passwd防止入侵者提供Guest服务以及处罚不按要求行动的使用者增进系统的安全2.4BIND安装与运行–chroot功能45(1)chroot简介CHROOT就是ChangeRoot,也就是改变程序执行时所参考的根目录位置CHROOT的作用限制被CHROOT的使用者所能执行的程式,如SetUid的程式,或是会造成Load的Compiler防止使用者存取某些特定档案,如/etc/passwd防止入侵者提供Guest服务以及处罚不按要求行动的使用者增进系统的安全2.4BIND安装与运行–chroot功能46(2)chroot的使用成功安装chroot后,named的虚拟根目录变为/var/named/chroot,即以后运行named进程时,会把这个目录作为根目录虚拟根目录下还自动创建dev、etc、var目录,分别对应实际根目录下的同名目录Chroot会子自动把实际根目录下的配置文件复制到虚拟根目录下2.5BIND安装与运行–使用rndc47(1)rndc简介rndc是BIND安装包提供的一种控制域名服务运行的工具,可以运行在其他计算机上,通过网络与DNS服务器进行连接,然后根据管理员的指令对named进程进行远程控制,此时,管理员不需要DNS服务器的根用户权限使用rndc可以在不停止DNS服务器工作的情况进行数据的更新,使修改后的配置文件生效。在实际情况下,DNS服务器是非常繁忙的,任何短时间的停顿都会给用户的使用带来影响。因此,使用rndc工具可以使DNS服务器更好地为用户提供服务2.5BIND安装与运行–使用rndc48(1)rndc简介rndc与DNS服务器实行连接时,需要通过数字证书进行认证,而不是传统的用户名/密码方式在当前版本下,rndc和named都只支持HMAC-MD5认证算法,在通信两端使用共享密钥。rndc在连接通道中发送命令时,必须使用经过服务器认可的密钥加密。为了生成双方都认可的密钥,可以使用rndc-confgen命令产生密钥和相应的配置,再把这些配置分别放入named.conf和rndc的配置文件rndc.conf中目录491DNS工作原理2BIND安装与运行3BIND服务配置3.1BIND服务配置–BIND主配置文件50(1)主配置文件简介BIND主配置文件named.conf由named进程运行时首先读取,默认在/etc目录下该文件只包含bind的基本配置,并不包含任何DNS区域数据Named.conf配置文件由语句和注释构成,每一条主配置语句均有自己的选项参数3.1BIND服务配置–BIND主配置文件51(2)主配置语句3.1BIND服务配置–BIND主配置文件52(2)主配置语句-optionoptions{ listen-onport53{any;};//userdefined listen-on-v6port53{::1;}; directory "/var/named"; dump-file "/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; allow-query{any;};//userdefined recursionyes; dnssec-enableyes; dnssec-validationyes; dnssec-lookasideauto; /*PathtoISCDLVkey*/ bindkeys-file"/etc/named.iscdlv.key"; managed-keys-directory"/var/named/dynamic";};3.1BIND服务配置–BIND主配置文件53(2)主配置语句-zonezone"."IN{ typehint; file"named.ca";};zone"localhost.localdomain"IN{ typemaster; file"named.localhost"; allow-update{none;};};zone"27."IN{ typemaster; file"named.loopback"; allow-update{none;};};3.2BIND服务配置–根服务器文件named.root54(1)/var/named/named.ca;;ANSWERSECTION:. 518400 IN NS M.ROOT-SERVERS.NET.. 518400 IN NS A.ROOT-SERVERS.NET.;;……….. 518400 IN NS L.ROOT-SERVERS.NET.;;ADDITIONALSECTION:A.ROOT-SERVERS.NET. 3600000 IN A A.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:503:ba3e::2:30;;…………M.ROOT-SERVERS.NET. 3600000 IN A 3M.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:dc3::353.3BIND服务配置–区域数据文件55(1)/var/named/-实验$TTL1D. INSOA .ltf@.( 0 ;serial 1D ;refresh 1H ;retry 1W ;expire 3H) ;minimum. INNS .. INMX10mail. INA mail INA Oa INCAMELwww3.4BIND服务配置–反向解析区域数据文件56(1)/var/named/named.109.168.192–实验$TTL1D109.168.192.. INSOA ltf@.( 0 ;serial 1D ;refresh 1H ;retry 1W ;expire 3H) ;minimum109.168.192.. INNS.2 INPTR.1 INPTR.3.5BIND服务配置–配置DNS负载均衡功能57(1)DNS负载均衡–实验/etc/named.confrrset-order{orderrandom;};/var/named/. INMX10mailmail INA INA INA 3.6BIND服务配置–直接域名、泛域名和子域58(1)直接域名、泛域名和子域基本概念直接域名:不输入www等主机名,直接使用域名访问网站泛域名:指一个域名下的所有主机和子域名都被解析到同一个IP地址上子域:是域名层次结构中的一个术语,是对某一个域进行细分时的下一级域3.6BIND服务配置–直接域名、泛域名和子域59(2)直接域名、泛域名和子域配置方法直接域名:(named.empty). INA泛域名:*.. INA子域(虚拟子域):$ORIGIN.mail INA8ftp INA93.7辅域服务器和只缓存服务器60(1)辅域服务器和只缓存服务器基本概念辅域服务器:也可向客户机提供域名解析功能,但它与主域服务器不同的是,它的数据不是直接输入的,而是从其他DNS服务器(主域服务器或其他的辅域服务器)中复制过来的,只是一份副本,所以辅域服务器中的数据无法被修改只缓存服务器:一种很特殊的DNS服务器,它本身并不管理任何区域,但是DNS客户端仍然可以向它请求查询。只缓存服务器类似于代理服务器,它没有自己的域名数据库,而是将所有查询转发到其他DNS服务器处理

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论