一:什么是DNS为什么会有DNS

  域名系统(英文:Domain Name System,缩写:DNS)是因特网的一项服务。在互联网诞生的早起因接入互联网的主机数量非常少,当时没有专用的DNS服务器来对整个互联网的域名进行解析,当时只在我们主机的host文件里记录了各个主机和IP对应的关系,他们每隔一定时间进行一次数据更新,但是后来接入互联网主机越来越多,以至于host文件里记录的数据太多,当在需要访问一个主机时查询host文件将是一个很浪费主机资源(不但有CPU还有巨大的内存资源)事情,所以人们提出了假设专用DNS服务器来提供域名解析服务,所以DNS服务器是一个将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,DNS 使用TCP和UDP端口53。那它是怎么工作的,为什么会同时监听在TCP和UDP的53号端口呢?


  二:DNS授权管理机制

   DNS是基于C/S架构的,它的主要作用是提供域名解析的,就是把域名转换为IP(正向解析),或者把IP转换为域名(反向解析)。如果互联网所有DNS解析都在一台机器上会怎么样?我想这样的话这台机器肯定是扛不住的,那怎么办?于是DNS服务出现了授权管理机制。

   要想弄清授权管理,先让我们介绍下域名。

Linux之DNS多种服务搭建_linux

  根域:全球域名都是从根域开始的(也是被经常忽略掉的)

  一级域:

          组织域:.com, .org, .net, .mil, .edu, .gov, 

          国家域:.cn, .us, .uk, .jp, .tw, .hk, .iq, .ir

          反向域:.in-addr.arpa

  二级域:公司、组织、个人可以申请

  主机:www,mail


 DNS授权机制就是根据域划分进行授权管理的

Linux之DNS多种服务搭建_linux_02


 llh下的www主机想要访问51cto下的WWW主机,但llh域内的DNS服务器没有51cto的域名解析信息,

      1)这时llh域内的DNS服务器就开始访问根服务器,问是否有51cto.com的解析信息,根服务器查询后说有的,你去找.COM服务器吧,他知道。

      2)于是llh域内的DNS服务器就开始向.COM服务器查询是否有51cto的域名解析,.COM服务器查询后说有的你去找51cto域内的DNS服务器吧。

      3)接着llh域内的DNS服务器就去查询51cto域内的DNS服务器,然后51cto域内的DNS服务器就把查询到的主机IP地址返给llh域内的DNS服务器

      4)最后llh域内的DNS服务器就把www.51cto.com的IP地址返给www.llh.com这台主机。?

      上图1-3属于迭代过程;4属于递归过程,所以DNS解析是一个递归加迭代的过程。


  三:DNS服务器配置

    DNS服务器安装包文件为BIND,20世纪80年代,柏克莱加州大学计算机系统研究小组的四个研究生Douglas B Terry、Mark Painter、David W. Riggle和周松年(Songnian Zhou)[5]一同编写了BIND的第一个版本,并随4.3BSD发布。-wikipedia

    DNS服务器安装配置过程

    1)yum install bind

Linux之DNS多种服务搭建_linux_03

Linux之DNS多种服务搭建_配置_04

   2)修改主配置文件

Linux之DNS多种服务搭建_搭建_05

   3)打开/etc/named.rfc1912.zones定义区域添加新增区域信息

Linux之DNS多种服务搭建_linux_06

  4)为每个区域定制解析库分别

      编辑 vim /var/named/llh.com.zone(文件名要和主配置文件正向解析区域内命名文件名相同)

      编辑 vim /var/named/172.116.16.zone

    

Linux之DNS多种服务搭建_搭建_07

      NS记录要有对应DNS服务地址。

Linux之DNS多种服务搭建_搭建_08

     反向解析列表没有CNAME配置信息

     创建解析库文件以后需要对文件进行属主属组改变,属组为named。权限为640

  5)编辑完成以后可以对这次配置做个整体的测试。可以使用命令named-checkconf。

  6)启动DNS service named start

  7)测试DNS是否有效

      host命令

Linux之DNS多种服务搭建_linux_09

       nslookup 命令

Linux之DNS多种服务搭建_DNS_10

    dig(正向测试命令)  命令

    命令:dig -t A www.llh.com @172.16.16.3


    dig(反向测试命令)  命令

    命令:dig -x  172.116.16.5 @172.16.16.3



  四:DNS主从同步

    DNS主从同步服务,从服务器会定时从主服务器获得最新的DNS解析列表,并分担一部分DNS解析服务,当主服务器不能提供服务时,从服务器会继续替主服务器提供服务,但是在规定的时间内如果主服务器不能起来工作,从服务器也将停止服务。这里的从服务器起到了冗余的作用。主从之间为了保证传输数据完整性采用的是TCP协议。

     1)为了保证主从真正做到同步,第一步先要进行时间同步。

     2)配置从服务器主配置文件

Linux之DNS多种服务搭建_linux_11

  3)测试下同步是否成功

        

Linux之DNS多种服务搭建_搭建_12

   修改完成以后执行一下 rndc reload 命令

  4)查看同步过来的数据

Linux之DNS多种服务搭建_DNS_13


 五:DNS安全机制

    为了保证我们的DNS安全,需要对我们的区域传送,主从同步配置安全策略信息,要求从服务器不允许其他DNS服务器同步,主DNS服务器只允许指定的服务器同步。

    主服务器安全配置策略

Linux之DNS多种服务搭建_linux_14

    从服务器安全配置策略

Linux之DNS多种服务搭建_linux_15


 六:DNS子域授权

    子域授权,在父域下面在加上子域,委派一个DNS服务器负责这个子域的DNS解析

       例 : ops.llh.com 其中llh为父域,ops便为子域。

 

Linux之DNS多种服务搭建_DNS_16

  1)配置父域DNS解析库

Linux之DNS多种服务搭建_DNS_17


  2)在另一台DNS服务器上配置子域DNS配置文件(以正向解析为例)

   

Linux之DNS多种服务搭建_DNS_18

  3)编辑子域解析库

Linux之DNS多种服务搭建_linux_19

  4)测试子域和父域能否进行解析


  七:配置子域为转发器

     子域为转发器:转发所有非本机区域解析地址至父域来解析

      编辑子域的/etc/named.conf配置文件

Linux之DNS多种服务搭建_配置_20

      查询父域及子域信息

Linux之DNS多种服务搭建_DNS_21


  八:配置转发区域

    转发区域:指定哪些区域到父域服务器查找解析信息,其他的还是通过本机到互联网根节点一级一级进行查找。

     1)配置子域DNS zone配置文件(配置之前先把上面/etc/named.conf里的forward;forwarders注销掉)

Linux之DNS多种服务搭建_linux_22


九:bind view

    可以根据客户端来源不同,将同一个域名解析成不同的IP地址,例如联通的IP解析到联通的机房,电信的IP解析到电信的机房。


Linux之DNS多种服务搭建_DNS_23

172.16.0.0/16网段的主机解析www.llh.com得到的IP地址为172.16.16.4

192.168.1.0/24网段的主机解析www.llh.com得到的IP地址为172.16.116.5

   1)配置172.16.0.0/16 解析段的地址

Linux之DNS多种服务搭建_搭建_24

  2)配置192.168.1.0/24解析段的地址。

Linux之DNS多种服务搭建_搭建_25

  3)重新加载一下配置文件(在配置文件修改后都要从新加载一下才能生效)rndc reload

  4) 测试用ip地址段位172.16.0.0/16主机测试返回来的结果为

Linux之DNS多种服务搭建_DNS_26

  5)ip地址段位192.168.1.0/24主机测试返回来的结果

Linux之DNS多种服务搭建_linux_27