第3章Linux系統(tǒng)與服務(wù)構(gòu)建運(yùn)維3.10DNS服務(wù)器目錄201DNS概述DNS組成02030405DNS查詢Bind及Bind配置DNS相關(guān)測(cè)試工具及命令301DNS概述學(xué)習(xí)目標(biāo)了解DNS是什么了解DNS的作用是什么401DNS概述DNS（DomainNameService）域名解析服務(wù)是用于解析域名與IP地址對(duì)應(yīng)關(guān)系的服務(wù)。目前人們?cè)L問(wèn)互聯(lián)網(wǎng)進(jìn)行上網(wǎng)瀏覽信息時(shí)，正常是通過(guò)域名進(jìn)行訪問(wèn)（例如，），而實(shí)際上網(wǎng)絡(luò)中的計(jì)算機(jī)之間只能基于IP地址來(lái)相互訪問(wèn)識(shí)別對(duì)方的身份，而且要想在互聯(lián)網(wǎng)中傳輸數(shù)據(jù)，也必須基于外網(wǎng)的IP地址來(lái)完成。這里就出現(xiàn)了DNS域名系統(tǒng)技術(shù)來(lái)幫人們簡(jiǎn)化此過(guò)程，以此來(lái)降低用戶訪問(wèn)網(wǎng)絡(luò)資源的門檻。因?yàn)橛蛎鄬?duì)于IP地址，更容易被理解并記憶，這樣用戶便可以通過(guò)域名來(lái)訪問(wèn)互聯(lián)網(wǎng)中各項(xiàng)服務(wù)了。501DNS概述簡(jiǎn)單來(lái)說(shuō)，就是能夠接受用戶輸入的域名或IP地址，然后自動(dòng)查找與之匹配的IP地址或域名，即將域名解析為IP地址（正向解析），或?qū)P地址解析為域名（反向解析）。這樣人們只需要在瀏覽器中輸入域名就能打開想要訪問(wèn)的網(wǎng)站了。目前，DNS域名解析技術(shù)的正向解析也是人們最常使用的一種工作模式。602DNS組成學(xué)習(xí)目標(biāo)了解DNS組成了解DNS工作流程了解DNS域名空間了解DNS服務(wù)器了解解析器702DNS組成每當(dāng)一個(gè)應(yīng)用需要將域名翻譯成為IP地址時(shí)，這個(gè)應(yīng)用便成為域名系統(tǒng)的一個(gè)客戶。這個(gè)客戶將待翻譯的域名放在一個(gè)DNS請(qǐng)求信息中，并將這個(gè)請(qǐng)求發(fā)送給域名空間中的DNS服務(wù)器。服務(wù)器從請(qǐng)求中取出域名，將它翻譯成為對(duì)應(yīng)的IP地址，然后在一個(gè)回答信息中將結(jié)果返回給應(yīng)用。如果接到請(qǐng)求的DNS服務(wù)器自己不能把域名翻譯為IP地址，將向其它DNS服務(wù)器查詢。整個(gè)DNS域名系統(tǒng)由DNS域名空間、DNS服務(wù)器和解析器這3部分組成。802DNS組成1.DNS域名空間指定用于組織名稱的域的層次結(jié)構(gòu)。如圖所示，根域位于頂部，在根域的下面是幾個(gè)頂級(jí)域，每個(gè)頂級(jí)域又可以進(jìn)一步劃分為不同的二級(jí)域，二級(jí)域再劃分出子域，子域下面可以是主機(jī)也可以是再劃分的子域，直到最后的主機(jī)。902DNS組成2.DNS服務(wù)器DNS服務(wù)器是保持和維護(hù)域名空間中數(shù)據(jù)的程序。由于域名服務(wù)是分布式的。每一個(gè)DNS服務(wù)器含有一個(gè)域名空間自己的完整信息，其控制范圍成為區(qū)（Zone）。對(duì)于本區(qū)內(nèi)的請(qǐng)求由負(fù)責(zé)本區(qū)的DNS服務(wù)器解釋，對(duì)于其它區(qū)的請(qǐng)求將由本區(qū)的DNS服務(wù)器與負(fù)責(zé)該區(qū)的相應(yīng)服務(wù)器聯(lián)系。其中，DNS服務(wù)器形式上又分為主服務(wù)器、從服務(wù)器和緩存服務(wù)器。（1）主服務(wù)器為客戶端提供域名解析的主要區(qū)域，主DNS服務(wù)器宕機(jī)，會(huì)啟用從DNS服務(wù)器提供服務(wù)。1002DNS組成（2）從服務(wù)器主服務(wù)器DNS長(zhǎng)期無(wú)應(yīng)答，從服務(wù)器也會(huì)停止提供服務(wù)。主從區(qū)域之間的同步采用周期性檢查+通知的機(jī)制，從服務(wù)器周期性地檢查主服務(wù)器上的記錄情況，一旦發(fā)現(xiàn)修改就會(huì)同步，另外主服務(wù)器上如果有數(shù)據(jù)被修改了，會(huì)立即通知從服務(wù)器更新記錄。（3）緩存服務(wù)器緩存服務(wù)器是一種不負(fù)責(zé)域名數(shù)據(jù)維護(hù)，也不負(fù)責(zé)域名解析的DNS服務(wù)類型。它是將用戶經(jīng)常使用到的域名與IP地址解析記錄保存在主機(jī)本地中，來(lái)提升下次解析的效率。1102DNS組成3.解析器解析器是簡(jiǎn)單的程序和子程序，它從服務(wù)器中提取信息以響應(yīng)對(duì)域名空間中主機(jī)的查詢，用于DNS客戶端。1203DNS查詢學(xué)習(xí)目標(biāo)理解DNS查詢流程了解DNS查詢的分類了解遞歸查詢與迭代查詢1303DNS查詢DNS查詢分為遞歸查詢與迭代查詢。1.遞歸查詢用于客戶機(jī)向DNS服務(wù)器查詢。如果主機(jī)所詢問(wèn)的本地域名服務(wù)器不知道被查詢的域名的IP地址，那么本地域名服務(wù)器就以DNS客戶的身份，向其根域名服務(wù)器繼續(xù)發(fā)出查詢請(qǐng)求報(bào)文（即替主機(jī)繼續(xù)查詢），而不是讓主機(jī)自己進(jìn)行下一步查詢。因此，遞歸查詢返回的查詢結(jié)果是所要查詢的IP地址，或者是返回一個(gè)失敗的響應(yīng)，表示無(wú)法查詢到所需的IP地址。1403DNS查詢2.迭代查詢用于DNS服務(wù)器向其它DNS服務(wù)器查詢。當(dāng)根域名服務(wù)器收到本地域名服務(wù)器發(fā)出的迭代查詢請(qǐng)求報(bào)文時(shí)，要么返回給本地域名服務(wù)器所要查詢的IP地址，要么返回給本地域名服務(wù)器下一步應(yīng)當(dāng)查詢的域名服務(wù)器的IP地址。互聯(lián)網(wǎng)DNS訪問(wèn)模型，采用分布式數(shù)據(jù)結(jié)構(gòu)保存海量區(qū)域數(shù)據(jù)信息，用戶從互聯(lián)網(wǎng)中查詢過(guò)程大致流程可理解為查詢本地hosts文件→本地DNS緩存→本地DNS服務(wù)器→發(fā)起迭代查詢。流程圖如下圖所示：1503DNS查詢DNS查詢流程圖：1604Bind及Bind配置學(xué)習(xí)目標(biāo)Bind中的安全相關(guān)的配置了解Bind了解Bind的3個(gè)關(guān)鍵配置文件1704Bind及Bind配置1.Bind概述BIND（BerkeleyInternetNameDaemon）是一款全球互聯(lián)網(wǎng)使用最廣泛的能夠提供安全可靠、快捷高效的域名解析服務(wù)程序。并且Bind服務(wù)程序還支持chroot（changeroot）監(jiān)牢安全機(jī)制，chroot機(jī)制會(huì)限制bind服務(wù)程序僅對(duì)自身配置文件進(jìn)行操作，從而保證了整個(gè)服務(wù)器的安全。域名解析服務(wù)Bind程序名稱叫做named，服務(wù)程序有3個(gè)關(guān)鍵的配置文件如下：1804Bind及Bind配置（1）主配置文件（/etc/named.conf）：只有58行，而且在去除注釋信息和空行之后，實(shí)際有效的參數(shù)僅有30行左右，這些參數(shù)用來(lái)定義bind服務(wù)程序的運(yùn)行。（2）區(qū)域配置文件（/etc/named.rfc1912.zones）：用來(lái)保存域名與IP地址對(duì)應(yīng)關(guān)系的所有位置，類似于書本目錄。（3）數(shù)據(jù)配置文件目錄（/var/named）：用于保存域名與IP地址真實(shí)的對(duì)應(yīng)關(guān)系的數(shù)據(jù)配置文件。1904Bind及Bind配置2.Bind中的安全相關(guān)的配置（1）bind4個(gè)內(nèi)置的aclnone：沒(méi)有一個(gè)主機(jī)；any：任意主機(jī)；local：本機(jī)；localnet：本機(jī)所在的IP所屬的網(wǎng)絡(luò)。2004Bind及Bind配置（2）訪問(wèn)控制指令表示允許查詢的主機(jī)，示例代碼段如下所示：2104Bind及Bind配置表示允許查詢的主機(jī)，示例代碼段如下所示：2204Bind及Bind配置（2）訪問(wèn)控制指令表示允許查詢的主機(jī)，示例代碼段如下所示：2304Bind及Bind配置表示允許向哪些主機(jī)做區(qū)域傳送。默認(rèn)為向所有主機(jī)，示例代碼段如下所示：2404Bind及Bind配置表示允許哪些主機(jī)向當(dāng)前DNS服務(wù)器發(fā)起遞歸查詢請(qǐng)求，示例代碼段如下所示：2504Bind及Bind配置表示允許動(dòng)態(tài)更新區(qū)域數(shù)據(jù)庫(kù)文件中內(nèi)容，主要用于DDNS，示例代碼段如下所示：2605DNS相關(guān)測(cè)試工具及命令學(xué)習(xí)目標(biāo)了解DNS相關(guān)測(cè)試工具及命令2705DNS相關(guān)測(cè)試工具及命令DNS的測(cè)試工具有很多，常用的有host、nslookup和dig這3個(gè)工具1.dig命令常用的查詢選項(xiàng)包括：+[no]trace：跟蹤解析過(guò)程；+[no]recurse：進(jìn)行遞歸解析。其常用用法包括：反向解析測(cè)試：dig-xIP測(cè)試區(qū)域傳送：dig-t[axfr|ixfr]DOMAIN[@server]2805DNS相關(guān)測(cè)試工具及命令2.host命令其用法類似于dig命令，使用格式為：3.nslookup命令nslookup命令用于檢測(cè)能否從網(wǎng)絡(luò)DNS服務(wù)器中查詢到域名與IP地址的解析記錄。有兩種使用模式，一種是命令模式，另一個(gè)交互模式。其命令模式的使用格式為：而交互模式的使用格式為：2905DNS相關(guān)測(cè)試工具及命令參數(shù)解析：lserver

IP：以指定的IP為DNS服務(wù)器進(jìn)行查詢；lsetq=RR_TYPE：要查詢的資源記錄類型；lname：