第X-12章 DNS服务器配置管理

LINUX企业服务器管理与应用Page1of32第12章DNS服务器的配置管理•本章主要内容–linux下DNS软件介绍–DNS的常用指令–配置不同类型的DNS服务器Page2of32主要几种流行的DNS软件名称作者（公司）来源说明BINDISCIsc.org权威的或者缓存服务器NSDNlnetLabs权威的或者缓存服务器BIND英文名为：BerkeleyInternetNameDomain,最早由伯克利大学的学生完成，后加入到BSDunix中，目前由ISC维护，ISC于2000到2001重新开发了一个bind版本，被称为bind9,这个就是目前主要的一个版本。NSD特点是快速，安全，适合于根和顶级域名服务器。Page3of32主要几种流行的DNS软件PowerDNS特点：开源，并提供一种独一无二的后端系统，其DNS数据可从文件或数据库中查询，这些数据库有MySQL,ORCALE,DB2PostgreSQL等。Djbdns由一个tinydns权威服务器和一个dnscache的缓存服务器组成。特点是声称快速安全，但据说频繁且有意的违反了DNS标准，使其难与其它DNS互操作。微软DNS：微软DNS在实现时有其自己的特别之处，能与BIND互操作，但也用一些不必要的或都错误的包扰乱网络。故在互操作时需小心使用。ANSDNS,其开发公司为Norminum,ISC的BIND9最初版本就是由其承包完成的。目前他也销售自己的DNS服务器，特点是非常快。Page4of32Linux下DNS软件介绍•各发行版一般都带BIND软件。以下以bind服务器进行讲解。•注:BIND目前已支持IPV6的域名解析,本章节中仍以IPV4设置为例,在配置中IPV6相关参数可删除或直接使用其默认设置.Page5of32DNS中相关的几种记录类型说明•在DNS中的资源记录类型有那些•(1)SOA资源记录•每个数据库文件按的开始处都包含了一个起始授权记录（StartofAuthorityRecord）,简称SOA记录。SOA定义了域的全局参数，进行整个域的管理设置。一个区域文件只允许存在唯一的SOA记录。•(2)NS资源记录•名称服务器（NS）资源记录表示该区的授权服务器，它们表示SOA资源记录中指定的该区的主和辅助服务器，也表示了任何授权区的服务器。每个区在区根处至少包含一个NS记录。•(3)A资源记录•地址（A）资源记录把FQDN映射到IP地址，因而解析器能查询FQDN对应的IP地址。•(4)PTR资源记录•相对于A资源记录，指针（PTR）记录把IP地址映射到FQDN。•(5)CNAME资源记录•规范名字（CNAME）资源记录创建特定FQDN的别名。用户可以通过定义的CANME记录中的别名来访问•(6)MX资源记录•邮件交换（MX）资源记录为DNS域名指定邮件交换服务器。邮件交换服务器是为DNS域名处理或转发邮件的主机。处理邮件指把邮件投递到目的地或转交另一不同类型的邮件传送者。转发邮件指把邮件发送到最终目的服务器。•(7)泛域名解析记录•除了在数据库文件中定义的资源记录以为，其他的所有域名都可以被DNS所解析出来。Page6of32配置主DNS服务器•安装dns服务缺少的软件包检查以下包是否都已安装Page7of32配置主DNS服务器•编辑配置文件/etc/named.caching-nameserver.conf•修改两个地方为以下样式,其它参数可酌情修改:1.listen-onport53{any;}指明监听端口和IP,其中any可为本机以太网端口IP地址2.allow-query{any;}这样设置以允许其它机器使用本机的DNS服务.Page8of32增加自定义信息•/etc/named.caching-nameserver.conf加入我们自己的定义信息(替换掉原来的localhost_resolver）•注意其中的路径/etc/hwadee.db为named运行后的chroot路径,真实路径为/var/named/chroot/etcPage9of32配置主DNS服务器•编辑配置文件文件/var/named/chroot/etc/hwadee.db•加入我们自己的域名信息Page10of32配置主DNS服务器•进入DNS数据目录/var/named/chroot/var/named说明:其实前面编辑的两个文件都在这个目录,/etc下的文件仅仅是这里文件的链接文件而已.•编辑正向解析文件(格式可参考named.local)cpnamed.localhwadee.com.zonePage11of32配置主DNS服务器•编辑正向文件hwadee.com.zonePage12of32配置主DNS服务器•编辑反向解析文件hwadee.com.localPage13of32配置主DNS服务器•重新启动DNS服务并加载配置文件•nslookup测试结果Page14of32DNS负载均衡设置•可向配置文件件中添加多条A记录和PTR指针,以达到简单负载均衡的目录,DNS解析时按轮回方式循环这些记录.•如在正向文件中加入多条A记录的样式：Page15of32配置DNS别名•编辑正向文件,添加别名记录Page16of32配置DNS别名•重新加载配置文件并测试,配置文件有变动后可不用重启named服务,直接使用rndc命令重新加载相应有变动域名信息即可.Page17of32DNS泛域名解析•泛域名解析的目的是用通配符*把用户对有的解析都指向到设定的IP.其本质还是别名解析.•编辑正向解析文件,添加*的别名记录Page18of32DNS泛域名解析•重新加载配置文件并测试(abc,123是在配置中不存在的主机)Page19of32DNS转发配置•转发目的:当客户端请求查询的信息不由本DNS维护时,需将请求传给其它DNS服务器处理,并将接收到的回应信息传给客户端,同时将相应信息缓存到本地,以便客户下次查询.Page20of32DNS转发配置•编辑/etc/named.caching-nameserver.conf文件,在options项里添加转发功能•如果你要禁止BIND在无法联系到转发器时不做任何操作,则改为如下样式:Page21of32配置DNS转发•重新启动DNS服务,测试能否解析本域外的域名（此处为另一台DNS主机hwadee-test.com上的信息）•rndcreloadPage22of32辅助DNS配置•配置辅助DNS所需软件与主DNS相同,请安装齐全修改/etc/sysconfig/named这个配置文件，打开以下选项，以让named进程可以在相应的环境中写文件（以下以关闭selinux为例）。#ENABLE_ZONE_WRITE=yes--IfSELinuxisdisabled,thenallownamedtowrite#itszonefilesandcreatefilesinits$ROOTDIR/var/named#directory,necessaryforDDNSandslavezonetransfers.#Slavezonesshouldresideinthe$ROOTDIR/var/named/slaves#directory,inwhichcaseyouwouldnotneedtoenablezone#writes.IfSELinuxisenabled,youmustuseonlythe#'named_write_master_zones'variabletoenablezonewrites..Page23of32配置辅助DNS编辑修改/etc/named.caching-nameserver.conf,内容与主DNS相同(注:不含转发功能)Page24of32配置辅助DNS•配置辅助DNS编辑修改/var/named/chroot/etc/hwadee.dbPage25of32配置辅助DNS•配置辅助DNS重新启动DNS服务,加载配置文件并测试Page26of32DNS智能解析DNSSERVERPC2联通用户PC1电信用户(电信出口)(联通出口)访问电信服务器访问联通服务器检查客户端IP来源,返回电信服务器IP向DNS服务器请求来源,返回联通服务器IP向DNS服务器请求智能解析电信,联通(网通),移动目前情况互联互通问题其它根据不同条件处理情况DNS解决思路将不同来源的请求根据IP分类,由DNS从不同的数据文件中取出结果,结果根据数据文件来定义.ACL与VIEW搭配使用同时也做到了简单负载均衡Page28of32ACL定义定义规则acl“规则名”{规则内容;};注:如果列表内容较多,可将用include语句将规则定义到一个文件,然后在文件再写详细列表,以使配置文件清晰.同样,还可将访问列表文件指向到数据库系统,如mysql中,以提高查询效率.Page29of32应用规则•规则应用是在view中实现的.•如我们要根据访问的客户端IP来匹配,则:1.先定义一个客户端的控制列表集,如CNC-CLIENT.2.在view中应用列表规则view“名称”{match-clients{CNC-CLIENT;};...}Page30of32相关实验要求•主DNS服务器配置含以下配置别名泛域名负载均衡转发•辅助DNS服务器配置•ACL控制应用Page31of32谢谢Page32of32