DNS建置与维护

2020/5/14DNS建置與維護台灣大學計資中心邵喻美madeline@ccms.ntu.edu.twOutlineDNS概念BIND介紹實例解說PartIDNS概念DNS概念DNS簡介DNS運作原理DNS建置與規劃DomianNameServiceIP位址vs.主機名稱應用程式與底層網路間的middleware最基本的網路應用程式user-friendlyvs.router-friendlyDNS簡介DNS的前身—hosts.txt—notscalableHierarchicalvs.Flatnamespace郵件程式使用者1.user@ccms.ntu.edu.tw名稱伺服器TCPIP2.ccms.ntu.edu.tw3.140.112.2.34.140.112.2.35.140.112.2.3DNS架構大型分散式資料庫–複製與快取主從式架構–名稱伺服器（domainnameserver）–解析程式（resolver）結構類似於Unix檔案系統–InvertedtreeDNSDatabasecomedugovmilUNIXfilesystem/etcbinusrsystembinetclocalbinetctweduntuccjohnusrlocalbinimake/john.cc.ntu.edu.tw/usr/local/bin/imakeUNIXFilesystemDNSdatabaseDNS運作原理DomainNameSpace–Theinvertedtree–InternetDomainNameSpace–gTLD(genericTop-LevelDomain)DomainName–Thepathofaninvertedtree:fromleaftoroot–FullyQualifiedDomainName(FQDN)com商業組織，如IBM（ibm.com）edu教育組織，如柏克萊大學（berkeley.edu）gov政府單位，如NASA（nasa.gov）及國家科學基金會（nsf.gov）mil軍事單位，如美國陸軍（army.mil）及海軍（navy.mil）net網路組織，如NSFNET（nsf.net）org非營利性組織，如美國國家公園（nationalpark.org）int國際性組織，如NATO（nato.int）coop企業或公司()biz商業用途（已於6/21/2001正式啟用,）aero航空運輸業(已於3/18/2002開始服務,)museum博物館()所有使用者（已於6/21/2001正式啟用,）pro專門職業()name供個人名稱之用，如筆名()InfoDomain–Asubtreeindomainnamespace–包含所有領域名稱屬於該領域的主機–一個領域名稱可屬於多個領域twcomedueduntunctucomgovedu.tw領域ntu.edu.tw領域cccc.ntu.edu.tw領域orcc.ntu.edu.tw主機授權（Delegate）–將domain劃分為sub-domain並將管理權責交給其他組織Zone–Nameserver管理domainnamespace中某部分的完整資訊–以授權劃分範圍comtweduntunctunsysuedu.twDomainnsysu.edu.twZonentu.edu.twZoneedu.twZonedelegationedueduberkeleycccecsmecc.berkeley.eduZonece.berkeley.eduZonece.berkeley.eduZoneme.berkeley.eduZone=delegationberkeley.eduZoneeduZonentucceemecciemsentudomainntuzone名稱伺服器的種類Primaryserver–從檔案讀取zonedata–AuthoritativeforzonesinchargeSecondaryserver–從另一個負責該zone的nameserver取得zonedata–AuthoritativeforzonesinchargeCaching-onlyserver–lookupingupdataandcachingthem–Notauthoritativeforanydomains(except0.0.127.in-addr.arpa)zonetransferNameResolutionNameserver除了回答負責區域內的資料外，也可在整個domainnamespace中找尋其他區域的資料Recursiveresolution–Server必須提供查詢結果Iterativeresolution–Server只提供已知的最佳答案nameservernameservertwnameserveredu.twnameserverntu.edu.twnameserverresolverresolverqueryanswertwjpukeducomntunctunccuqueryforaddressofMappingaddressestonamesDomainnamespace以domainname為indexin-addr.arpadomain:以address為nodelabelarpain-addr02550255255255001516192152hostnamewinnie.corp.hp.comIPaddress15.16.192.152Caching機制在nameresolution過程中得知的zoneauthorization資訊會被cache下來縮短nameresolution的程序NegativecachingZonedata的TTLDNS建置與規劃軟體架設平台硬體配置–記憶體–網路卡配合網路架構架設DNS多台DNS供backupPartIIBIND介紹BIND介紹ISCBIND(BerkeleyInternetNameDomain)BIND安裝BIND設定DNSResourceRecordsBIND安裝下載BIND–ISCBind最新版是9.2.1(releasedonMay1,2002)，但BIND8仍被廣泛使用（最新版是8.3.2,releasedonJune19,2002）–支援中文的dns:安裝BIND–從下載–解壓縮zcatbind-src.tar.gz|tarxf––Compile:•./configure•make–啟動/usr/sbin/named（通常設定檔預設位置是/etc/named.conf）–啟動時指定設定檔位置•/usr/sbin/named–c/somewhereelse/named.confBIND設定設定檔named.conf定義負責區域（zone）及運作設定–accesscontrollist–categorizedlogging–Optionscanappliedtozonesselectively設定行及註解–設定行以分號結束–註解以#或//為行首設定行選項acl–定義一個IP位址表列，用於存取控制及其他用途logging–指定nameserver將記錄何種資訊，以及儲存於何處options–控制全面性的server設定選項，並設定其他控制行的預設值zone–定義zonedata#AsimpleBIND8configurationlogging{channelSEC_log{file“/var/log/dns-security.log”versions3size10m;severityinfo;};categorysecurity{SEC_log;};categorylame-servers{null;};};aclNTU-Campus{localhost;140.112.0.0/16;}options{directory/var/named;allow-query{NTU-Campus;};allow-recursion{NTU-Campus;};//forBIND9allow-transfer{none;};};zonentu.edu.twin{typemaster;filemaster/dns.ntu;allow-query{any;};allow-transfer{…;};//可能是其他secondarynameserver};zonecc.ntu.edu.tw”in{typeslave;fileslave/dns.ntu.cc;masters{140.112.1.1;};allow-query{any;};};zone.in{typehint;filenamed.cache;};zone0.0.127.in-addr.arpain{typemaster;filemaster/127.0.0;};DNSResourceRecordsSOArecords–StartOfAuthority–DNS資料檔中的第一筆資料，也是唯一一筆SOArecord–Example:ntu.edu.tw.INSOAdns1.ntu.edu.tw.root.ccms.ntu.edu.tw.(2002070101;Serial10800;Refreshafter3hours3600;Retryafter1hour604800;Expireafter1week86400);MinimumTTLof1day*時間若無指定單位則以秒計,亦可指定M(分),H(時),D(日),W(週)等單位NSrecords–NameServer–設定zone的nameserver–Example:ntu.edu.tw.INNSdns1.ntu.edu.tw.ntu.edu.twINNSdns2.ntu.edu.tw.Arecords–AddressCNAMErecords–Aliashost1.ntu.edu.tw.INA140.112.1.2host2.ntu.edu.tw.INA140.112.1.3host2.ntu.edu.tw.INA140.112.10.4host5.ntu.edu.tw.INCNAMEhost1.ntu.edu.tw.PTRrecords–Address-to-namemapping–每