信创Linux操作系统管理（统信UOS版）项目八 DNS服务器搭建

项目八DNS服务器搭建【项目场景】小明在某公司担任网络管理员，需要DNS服务器来对公司网络进行域名解析工作，需要小明掌握在统信系统上配置DNS服务器。【项目目标】知识目标

知道DNS的原理

掌握DNS服务器的配置要点

学会DNS服务器配置操作技能目标

会配置正反向DNS

会配置DNS访问控制

会配置防火墙素质目标

具备较强的知识技术更新能力

具备自主学习新知识、新技术的能力

具有良好的心理素质和克服困难的能力

具有较强的团队协作能力

培养精益求精、密益求密的工作态度

培养认真负责、善于思考总结的工作作风任务一DNS服务器配置一、DNSDNS：域名系统（DomainNameSystem），是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使用户更方便地访问互联网。DNS服务器（DomainNameSystem或DomainNameService），称为域名系统或者域名服务,域名系统为Internet上的主机分配域名地址和IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器。DNS服务器可以实现将域名解析为IP地址，客户端向DNS服务器（DNS服务器有自己的IP地址）发送域名查询请求，告知客户机Web服务器的IP地址，客户机与Web服务器通信等功能。1.DNS服务器的分类1）按照服务器的作用分类由于互联网中的域名采用层次树状结构的命名方法，因此与之对应的DNS服务器也采用层次树状结构。每一个DNS服务都只对域名体系中的某一域进行管辖。根据DNS服务器所起的作用，可以分为以下几种类型：（1）根域名服务器是最高层次的域名服务器，它知道所有顶级服务器的域名和IP地址，当本地域名服务器无法对域名进行解析时，首先对根域名服务器发起请求。（2）顶级域名服务器负责管理该服务器下的所有二级域名，当收到DNS查询请求时，就会给权威域名服务器相应的回答。（3）权威域名服务器是前面所说的负责某一个区的域名服务器。当一个顶级域名服务器还不能给出最后查询回答时，就会告知下一步应当请求的权威域名服务器。（4）本地域名服务器：当一个主机发出DNS查询请求时，这个查询请求报文就发送给本地域名服务器。每一个互联网服务提供者ISP都可以拥有一个本地域名服务器。当本地域名服务器无法给出应答时，就会请求最高级的根域名服务器。通过根域名服务器，依次请求顶级域名服务器和权威域名服务器，最终获取对应IP地址，并将该结果保存在本地域名服务器，以待下次DNS请求使用。当用户再次对同一域名发起访问时，可以直接从本地域名服务器获得结果，无需再次发起全球递归查询。2）按照服务器的类型分类（1）主域名服务器负责维护一个区域的所有域名信息，是特定的所有信息的权威信息源，数据可以修改。（2）辅助域名服务器。当主域名服务器出现故障、关闭或负载过重时，辅助域名服务器作为主域名服务器的备份提供域名解析服务。辅助域名服务器中的区域文件中的数据是从另外的一台主域名服务器中复制过来的，是不可以修改的。（3）缓存域名服务器。从某个远程服务器取得每次域名服务器的查询回答，一旦取得一个答案就将它放在高速缓存中，以后查询相同的信息就用高速缓存中的数据回答，缓存域名服务器不是权威的域名服务器，因为它提供的信息都是间接信息。（4）转发域名服务器负责所有非本地域名的本地查询。转发域名服务器接到查询请求后，在其缓存中查找，如找不到就将请求依次转发到指定的域名服务器，直到查找到结果为止，否则返回无法映射的结果。2.DNS查询DNS查询包括递归查询、迭代查询、反向查询。（1）递归查询：在该查询模式下DNS服务器接收到客户机请求，必须使用一个准确的查询结果回复客户机。如果DNS服务器本地没有存储查询DNS信息，那么该服务器会询问其他服务器，并将返回的查询结果提交给客户机。客户机和服务器之间的查询就是递归查询。（2）迭代查询：DNS服务器之间的查询一般属于迭代查询，即当DNS1服务器向DNS2服务器发出查询请求后，DNS2无法解析，会告诉DNS1服务器DNS3的IP地址，让DNS1询问DNS3，以此类推。（3）反向查询：反向DNS（或rDNS）是一种将IP地址解析为域名的方法。二、DNS服务器软件现在使用最为广泛的DNS服务器软件是BIND（BerkeleyInternetNameDomain），最早由伯克利大学的一名学生编写，现在最新的版本是9，有ISC（InternetSystemsConsortium）编写和维护。BIND支持大多数的操作系统（Linux、UNIX、Mac、Windows），服务的名称为named。DNS默认使用UDP、TCP协议，使用端口为53（domain）、953（mdc，远程控制使用）。三、DNS的配置文件bind9安装完成后，在配置文件目录/etc/bind内包含named.conf、named.conf.local、named.conf.options，named.conf.default-zones、bind.keys、zones.rfc1918、rndc.key、db.root、db.local、db.empty等文件。其中，named.conf为主配置文件，其他文件会以某种方式包含到主配置文件中。bind9的工作目录为/var/cache/bind，配置文件如表所示。

Bind被安装后，会在默认目录下生成一个默认的主配置文件named.conf，这是一个唯一缓存服务器配置文件。以这个配置文件运行DNS服务器时，会成为一台缓存服务器。1.主配置文件named.conf//ThisistheprimaryconfigurationfilefortheBINDDNSservernamed.////Pleaseread/usr/share/doc/bind9/README.Debian.gzforinformationonthe//structureofBINDconfigurationfilesinDebian,*BEFORE*youcustomize//thisconfigurationfile.////Ifyouarejustaddingzones,pleasedothatin/etc/bind/named.conf.local

include"/etc/bind/named.conf.options";include"/etc/bind/named.conf.local";include"/etc/bind/named.conf.default-zones";include语句用于定义主配置文件包含的子配置文件，其指定的包含文件可以作为主配置文件的一部分，在DNS服务器启动时被读入。named.conf配置文件被拆分成了3个包含文件，其中，named.conf.options用来定义全局选项，named.conf.local用来定义本地域，named.conf.default-zones用来配置zone文件。1)named.conf.options文件option配置文件路径为/etc/bind/named.conf.options，删除文件中forwarders的注释。forwarders节点配置转发器，所有非本域和在缓存中无法找到的域名查询都将转发到设置的DNS转发器上，由这台DNS完成解析工作并实现缓存。（1）directory"dir"：定义工作目录，系统为/var/cache/bind.配置文件中使用的所有相对路径，就是指的此位置，以后创建的区域文件也要存放在此目录内。（2）forwards{IP地址}：将域名查询请求转发给其他DNS服务器。（3）listen-onport53{;}：定义了监听53端口所有的IP地址。（4）listen-on-v6port53{::1;}：定义监听53端口所有的IP地址。（5）allow-query{localhost;}：定义允许查询的主机。（6）DNSsec-validationyes：确定是否需要验证。（7）recursion：确定是否需要递归。

2）named.conf.default-zones文件zone语句定义了一个区域块，其中必须说明域名、DNS服务器类型和区域文件名等信息，其基本格式如下：zonestringIN{ typeTYPE; fileFILE;

其他配置子句};（1）string：正向域时为由双引号引用的域名，反向域时为<IP3R>.rev型字符串；（2）typeTYPE：TYPE用于指定DNS服务器的类型，常用的有master（主域名服务器）和slave（辅助域名服务器），还可以使用hint、stub和forward等类型的服务器。（3）fileFile：指定区域文件名为FILE（文件名要用双引号引用）。2.正向域区域文件<domain>.zone正向域区域配置文件的完整配置如下：;;BINDdatafileforlocalloopbackinterface;$TTL 604800域名IN SOA 主机名.管理员邮件地址(

序列号 ;Serial

刷新间隔时间 ;Refresh

重试间隔时间 ;Retry

过期间隔时间 ;Expire

最短存活时间) ;NegativeCacheTTL;@ IN NS localhost.@ IN A @ IN AAAA ::1

（1）TTL：该记录在客户机上存活的时间，也就是在缓存中存在的时间，默认的存活时间（604800）是一天，D是天，H是小时，W是星期。（2）域名：用户定义区域的域名，一般情况下为@，表示其值为主配置文件中相应区域的名称。（3）IN：代表Internet类，其他类还有HS、CH常用IN。（4）SOA：起始授权类型，其功能将某区域授权给某台服务器管理。（5）管理员邮件地址：因为@符号在区域文件中有特殊的含义，所以管理员的电子邮件地址不能使用@符号，而使用“.”代替。（6）serial(序列号)：也称为版本号，用来表示该区域数据库文件的版本大小，最多有10位数字。在般情况下，采用类似年月日的表示形式，如20120101xx,这种写法可方便管理员记住最后修改该文件的日期和次数。需要注意的是，新版本号应该比旧版本号要大。当辅助域名服务器与主城名服务器同步时将比较此字段，以判断主城名服务器数据是否被更新过。（7）refresh(刷新间隔时间)：设定辅助域名服务器与主域名服务器同步的时间间隔或刷新周期，默认单位为秒，可以指定单位为分钟(M)、小时(H)、天(D)、周(W)、月(M)等。（8）retry(重试间隔时间)：指定主、辅助域名服务器之间的同步频率失败后再次重试的同步时间延迟或间隔。如果在refresh指定的时间内，辅助域名服务器没有与主城名服务器同步成功，那么需要在此间隔内重新尝试一次。在一般情况下，重试间隔时间应小于刷新间隔时间。单位参考refresh。（9）expire(过期间隔时间)：设置辅助城名服务器缓存信息的有效期。如果在此时间间隔内辅助城名服务器始终没有与主城名服务器同步成功，那么辅助域名服务器则会认为自己的数据已经过期，进而停止响应客户对该区域的查询。单位参考refresh。（10）ttl(最短存活时间)：设置每条记录的生存期。该生存期是指DNS服务器将本区域中相应的记录应答给客户后，该记录在客户机的缓存中保留的时间长度。单位参考refresh。（11）NS：用于指明区域中的DNS服务器的主机名。（12）A：用于为区域内的主机建立别名。（13）AAAA：记录一个指向IPv6地址的记录。3.反向域区域文件<IP3R>.rev在反向城区城文件中只有3类记录：SOA，NS，PTR，且前2条记录SOA和NS与正向城区域文件中的相同。除前2条记录以外，剩余的都是主机类型的记录，且在反向城区域文件中只包括PTR一类记录。PTR记录又称为反向类型或指针类型，用于定义由IP地址到域名的翻译，格式如下：ipv4 IN PTR domaindomain为具体的域名，ip4为domain所对应IP地址的第4段或最后一段，例如：1 IN PTR DNS..inDNS.主机的IP地址的最后一段为1。也就是说，若域的网络址为192.168.136.x，则DNS.的IP地址为。4.客户端与域名解析相关的配置文件客户端要正确地获取域名解析，需要配置一些文件，与域名解析相关的配置文件有/etc/hosts、/etc/host.conf和/etc/resolv.conf<任务实施>一、安装BIND使用apt工具安装Debian软件仓库中的BIND软件，需要使用root或sudo访问权限。（1）安装DNS服务器软件包： $sudoapt-getinstallbind9-docbind9（2）服务管理： $sudosystemctlstatusbind9#检查服务状态 $sudosystemctlenable/disablebind9#启动与禁用服务 $sudosystemctlstart/stop/restart/reloadbind9#启动、关闭、重启与重载服务二、访问控制设置默认配置的named服务只允许对本主机系统内的客户提供服务，将其更改为对外提供服务，需要修改named.conf.options文件的内容。listen-onport53{any;};listen-on-v6port53{any;};allow-query{any;}DNSsec-validationno;三、防火墙设置DNS服务器使用的服务名为domain，端口号为53，在firewalld防火墙和ufw防火墙中的服务名分别为DNS和domain，在设置防火墙时，应允许该服务通过。1.设置firewalld防火墙$sudoapt

install

firewalld

firewall-config #安装firewalld$sudofirewall-cmd--permanent--add-service=DNS#firewalld防火墙添加DNS服务2.设置ufw防火墙$sudoapt-getinstallufw #安装ufw$sudoufwallowdomain四、DNS服务器配置搭建一台DNS服务器，负责域的域名解析工作，使用统信服务器来搭建完成任务，DNS服务器的FQDN为，IP地址为30。要求为以下域名实现正反向域名解析服务。 30 311.配置named.conf.local文件分别给出自定义域名及其IP地址，正向查询和反向查询的配置文件在文件中。////Doanylocalconfigurationhere////Consideraddingthe1918zoneshere,iftheyarenotusedinyour//organization//include"/etc/bind/zones.rfc1918";zone""{typemaster;file"/etc/bind/";};

zone"206.168.192."{typemaster;file"/etc/bind/";};2.创建正向配置文件/etc/bind/$TTL604800$ORIGIN.@INSOA..(2006080401;Serial604800;Refresh86400;Retry2419200;Expire604800);NegativeCacheTTL;@INNSns1@INA30ns1INA30wwwINA313