每個(gè)IP地址都可以有一個(gè)主機(jī)名，主機(jī)名由一個(gè)或多個(gè)字符串組成，字符

用之間用小數(shù)點(diǎn)隔開(kāi)。有了主機(jī)名，就不要死記硬背每臺(tái)IP設(shè)備的IP地址，只

要記住相對(duì)直觀有意義的主機(jī)名就行了。這就是DNS協(xié)議所要完成的功能。

本文將討論DNS服務(wù)器，特別是LinuxDNS服務(wù)器，及其如何安裝、配置

和維護(hù)它。

/etc/hosts文件

在沒(méi)有DNS服務(wù)器的情況下，每個(gè)系統(tǒng)在本地網(wǎng)絡(luò)上保留其主機(jī)名和相應(yīng)

IP地址列表的副本是合理的——特別是在沒(méi)有互聯(lián)網(wǎng)連接的小型站點(diǎn)上。

在Linux系統(tǒng)中，這個(gè)列表就是/etc/hosts文件。即使你沒(méi)有DNS服務(wù)器或

DNS服務(wù)器不可用，該文件也可以使用/etc/hosls文件將IP地址轉(zhuǎn)換為名稱。

也許你已經(jīng)有DNS服務(wù)器了，但你也會(huì)因?yàn)槠渌蚨氡Ａ暨@個(gè)文件。

例如，系統(tǒng)可能需要在向外部查詢之前在本地查找DNS服務(wù)器的IP地址；這意

味著系統(tǒng)在查詢DNS服務(wù)器之前先檢索該文件，如果查找到對(duì)應(yīng)的域則無(wú)須查

詢?nèi)魏蜠NS服務(wù)器直接將其轉(zhuǎn)換為IP地址。

試試編輯下/etc/hosts文件，并添加以下信息：.

然后，返回你的瀏覽器，輸入，看看結(jié)果如何。如果你的系統(tǒng)上安裝了Apache

并且本地生機(jī)正在運(yùn)行，瀏覽器會(huì)顯示localhost的索引頁(yè)，而不是Google頁(yè)面。

作為確認(rèn)，你可以將映射到任何網(wǎng)站的任何其他IP地址并查看

結(jié)果。

因此這個(gè)文件所做的是將IP地址轉(zhuǎn)換成名字，但這僅僅足在同一互相連接

的網(wǎng)絡(luò)下。那么外部網(wǎng)絡(luò)和眾多系統(tǒng)的所有記錄是如何維護(hù)的呢？

每個(gè)人都需要維護(hù)自己的/eic/hosis文件并自己更新嗎？

更為穩(wěn)健的域名服務(wù)是DNS服務(wù)器。

域名

當(dāng)你訪問(wèn)網(wǎng)站時(shí)，你可以輸入FQDN（FuIlyQuaiifiedDomainName,完全限

定域名）或類似或的域名。在域名中從右到左的兩個(gè)點(diǎn)之間的每個(gè)文本依次是頂

級(jí)域組件、二級(jí)域組件和三級(jí)域組件。

所以，com是頂級(jí)域名組件;google是二級(jí)域組件;而www是三級(jí)域名組件。

實(shí)際上，當(dāng)你訪問(wèn)任何網(wǎng)站時(shí)，瀏覽器會(huì)默認(rèn)在域的末尾添加一個(gè)不可見(jiàn)的

點(diǎn)，因此該域?qū)⑾褚粯印Ｔ擖c(diǎn)被稱為根域。

該點(diǎn)是由一大堆稱為根域名服務(wù)器的特殊服務(wù)器管理的。截止這篇文章發(fā)表

前，世界上有13個(gè)根域名服務(wù)器。你可以把他們當(dāng)成互聯(lián)網(wǎng)的大腦-如果他們失

效了，世界上就沒(méi)有互聯(lián)網(wǎng)了。

為什么是13呢？因?yàn)槿绻澜绲哪程幍卣鹂赡軙?huì)破壞一個(gè)根服務(wù)器，所以

其他的服務(wù)器可以繼續(xù)提供服務(wù)直到受影響的服務(wù)器重新上線。

這些根名稱服務(wù)器按字母順序命名，名稱如、

等。

頂級(jí)域名（或稱作一級(jí)域名TLDs）

我們已經(jīng)見(jiàn)過(guò)頂級(jí)域名的組成部分,如com?？梢哉J(rèn)為,頂級(jí)域名為DNS

命名空間提供分類組織。

頂級(jí)域名（TLD）根據(jù)地理或功能方面分為幾類。

截止本文撰寫(xiě)時(shí)，網(wǎng)上有800多個(gè)頂級(jí)域名。

頂級(jí)域名類別有：

通用的頂級(jí)域名如：org,.com,.net,.gov,.edu等等

國(guó)家代碼頂級(jí)域名如：us,.ca等，分別對(duì)應(yīng)美國(guó)和加拿大的國(guó)家代嗎

新的品牌頂級(jí)域名，允許組織創(chuàng)建最多64個(gè)字符的TLD,

如：.linux,.microsoft,.companyname等

基礎(chǔ)架構(gòu)頂級(jí)域名如：.arpa

子域名

當(dāng)你訪問(wèn)一個(gè)類似這樣的網(wǎng)站,這里的mail就是

的子域名.

的名稱服務(wù)器知道他下面存在的所有主機(jī)，所以Google

會(huì)回復(fù)是否有一個(gè)叫mail的子域名。根名稱服務(wù)器對(duì)此并不知情。

DNS服務(wù)器的類型

一共有三種DNS服務(wù)器。

主DNS服務(wù)器

這些服務(wù)器上存放了特定域名的配置文件，并且基于此權(quán)威地規(guī)定了特定域

名的地址。主DNS服務(wù)器知道全部在它管轄范圍的主機(jī)和子域名的地址。

輔助DNS服務(wù)器

這些服務(wù)器作為主DNS服務(wù)器的備份，也承擔(dān)一定負(fù)載。主服務(wù)器知道輔

助DNS服務(wù)器的存在，并且會(huì)向他們推送更新。

緩存DNS服務(wù)器

這幽服務(wù)器上不存放特定域名的配置文件。當(dāng)客戶端請(qǐng)求緩存服務(wù)器來(lái)解析

域名時(shí)，該服務(wù)器將首先檢查其本地緩存。如果找不到匹配項(xiàng)便會(huì)詢問(wèn)主服務(wù)器。

接著這條響應(yīng)將被緩存起來(lái)。您也可以輕松地將自己的系統(tǒng)用作緩存服務(wù)器。

搭建LinuxDNS服務(wù)器

Linux下有很多實(shí)現(xiàn)了DNS功能的包，不過(guò)我們只關(guān)注BINDDNS服務(wù)器。

它用于世界上大多數(shù)DNS服務(wù)器。

如果你在使用基于RedHal發(fā)行版的Linux,比如CenlOS,可以像這樣安裝：

Sdnfyinstallbind

如果你使用基于Debian的操作系統(tǒng)，比如Ubuntu：$aptgetinstallbind9

安裝完成之后就可以啟動(dòng)它并讓它在計(jì)算機(jī)啟動(dòng)的時(shí)候一并啟動(dòng)起來(lái)。

Ssystcmctlstartnamcd

Ssystemctlenablenamed

配置BIND

這個(gè)服務(wù)使ffl/etc/named.conf作為配置文件。

BIND在那個(gè)文件中使用像下面這樣的一些語(yǔ)句：

oplions:用于全局BIND配置。

logging:配置哪些需要記錄，哪些需要忽略。我推薦你看看Linuxsyslogservero

zone:定義DNS區(qū)域。

include:在named.conf中包含另一個(gè)文件。

在options語(yǔ)句中可以看到BIND的工作目錄在/var/named。

zone語(yǔ)句可用干定義DNS區(qū)域.，比如域名,它包含子域名.

上述三個(gè)域名（主域名和子域名）都有一個(gè)由zone語(yǔ)句定義的區(qū)域。

定義一個(gè)主域服務(wù)器

我們知道DNS服務(wù)器類型有主域名服務(wù)器、輔助域名服務(wù)器和緩存域名服

務(wù)器。不同于緩存域名服務(wù)器，主域名服務(wù)器和輔助域名服務(wù)器在應(yīng)答過(guò)程中是

處于同等地位的。

在/etc/named.conf的配置文件中，你可以使用如卜語(yǔ)法定義一個(gè)主域服務(wù)器：

zone""{typeiraster;.db};

包含主要區(qū)域信后、的文件存放在/var/named目錄下，從options可知，這是

一個(gè)工作目錄。

注意：軟件服務(wù)器或者托管面板會(huì)根據(jù)你的域名自動(dòng)為你創(chuàng)建主域服務(wù)器信

息的文件名，因此如果你的域名是exam,那么你主域服務(wù)器信息的文件

就為/var/named/.db。

類型為master,也就是說(shuō)這是一個(gè)主域服務(wù)器。

定義一個(gè)輔助域服務(wù)器

同定義一個(gè)主域服務(wù)器一樣，輔助域服務(wù)器的定義稍微有些變化：

zone""{typeslave;mastersIPAddresslist;;.db};

對(duì)于輔助域服務(wù)器來(lái)說(shuō)，它的域名和主域服務(wù)器是一樣的。上述語(yǔ)法里的的

slave類型表示這是一個(gè)輔助域服務(wù)器，"mastersIPAddresslist”表示輔助域服務(wù)器

中區(qū)域文件內(nèi)的信息都是通過(guò)上域服務(wù)器中區(qū)域文件內(nèi)的信息復(fù)制過(guò)來(lái)的。

定義一個(gè)緩存服務(wù)器

即使你已經(jīng)配置了主域或者輔助域服務(wù)器，你仍有必要(不是必須)定義一

個(gè)緩存服務(wù)器，因?yàn)檫@樣你可以減少DNS服務(wù)器的查詢次數(shù)。

在定義緩存服務(wù)器之前，你需要先定義三個(gè)區(qū)域選擇器，第一個(gè)：

zone"."IN{typehint;file,'root.hint";};

zone"."IN{typchint;filc"ioot.hint";};

zone"."IN{typehint;file"root.hint";};

zone"localhost"IN{typemasler;file"localhost.db";};

定義第三個(gè)區(qū)域是為了反向查找到本地主機(jī)。這種反向查找是把本地的IP

地址執(zhí)向本地主機(jī)。

zone"0.0.127."IN{lypemaster;file"127.0.0.rev";);

把這三個(gè)區(qū)域信息放到/etc/named.conf文件里，你的系統(tǒng)就可以以緩存服務(wù)

器來(lái)工作了。但是如何引用類似.dbjocalhost.db,和127.0.0.rev這些

文件中的內(nèi)容呢？

這些文件包含具有某些選項(xiàng)的每個(gè)區(qū)域的DNS記錄類型。那么，這些DNS

記錄類型是什么以及它們是如何寫(xiě)的？

DNS記錄類型

數(shù)據(jù)庫(kù)文件包含諸如SOA、NS、A、PTR、MX、CNAME和TXT在內(nèi)的記

錄類型。

我們看看每一種類型都是如何記錄的吧。

SOA：起始授權(quán)機(jī)構(gòu)記錄

SOA記錄按如下形式開(kāi)始描述一個(gè)站點(diǎn)的DNS條目：

.86400INSOAns1..(2017012604;se

rial86400;refresh,seconds7200;retry,seconds3600000;expire,seconds86400;minimum,

seconds)

第一行以域名開(kāi)始，以句號(hào)結(jié)束——該語(yǔ)句和/etc/named.conf文件中的區(qū)域

定義是一致的。我們要始終記得，DNS配置文件是極其挑剔的。

IN告訴域名服務(wù)器：這是一條網(wǎng)絡(luò)記錄。

SOA告訴域名服務(wù)器：這是一條起始授權(quán)機(jī)構(gòu)記錄。

是該文件所在域的域名服務(wù)器的完全合格域名

（FQDN:FullyQualifiedDomainName）0

是域管理員的郵箱地址。你會(huì)發(fā)現(xiàn)這個(gè)郵箱地址沒(méi)有“@”標(biāo)志，而是被句號(hào)

所取代，并且末尾還有一個(gè)句號(hào)。

第2行是一個(gè)序列碼，它被用來(lái)告訴域名服務(wù)器文件是什么時(shí)候升級(jí)的。因

此，如果你對(duì)區(qū)域碼做了變更，你必須對(duì)這個(gè)序列碼進(jìn)行遞增。這個(gè)序列碼的格

式是YYYYMMDDxx,其中的xx是從00開(kāi)始的。

第3行是每秒刷新率。這個(gè)值被用來(lái)告訴第二個(gè)域名服務(wù)器查詢主服務(wù)器中

的記錄是否已經(jīng)被更新的頻率。

第4行是每秒重試的頻率。如果第二個(gè)服務(wù)器多次嘗試連接主域名服務(wù)器來(lái)

進(jìn)行更新檢測(cè)，但無(wú)法連接上的時(shí)候，第二個(gè)服務(wù)器就會(huì)在每秒內(nèi)重試指定的數(shù)

值次數(shù)。

第5行是超時(shí)指示。其目的是為了第二個(gè)服務(wù)器能將區(qū)域數(shù)據(jù)緩存下來(lái)。這

個(gè)值告訴這些服務(wù)器如果它們不能連接到主服務(wù)器來(lái)進(jìn)行更新，那么它們就會(huì)在

這個(gè)指定數(shù)值秒數(shù)之后拋棄這個(gè)值。

第6行告訴緩存服務(wù)器，如果它們不能連接到主域名服務(wù)器時(shí)，它們應(yīng)該在

超時(shí)前等待多久。

NS:NameServerRecords（名稱服務(wù)器記錄）

NS記錄用于指定哪個(gè)名稱服務(wù)器維護(hù)該域的記錄,

你可以這樣編寫(xiě)的NS記錄：

INNSns1..

INNS.

并不需要有2個(gè)NS記錄，但是通常偏好有備份名稱服務(wù)器。

A和AAAA:AddressRecords（地址記錄）

A記錄用于提供從主機(jī)名到IP地址的映射supportINA。

如果你在地址為上的上有一個(gè)主機(jī)，你可以像上面的例子那樣

輸入。

請(qǐng)注意，我們所寫(xiě)的主機(jī)并沒(méi)有句號(hào)。

PTR:PointerRecords（指針記錄）

PTR記錄用于執(zhí)行反句名稱解析，允許某人指定IP地址然后找出對(duì)應(yīng)的主

機(jī)名。

這與A記錄的功能相反：INPTR

在這里，我們鍵入具有點(diǎn)號(hào)的完整主機(jī)名。

MX:MailExchangeRecords（郵件交換記錄）

MX記錄告訴其他站點(diǎn)關(guān)于你所在域的郵件服務(wù)器地址：

.INMXlOmaiL

當(dāng)然這個(gè)域以句號(hào)結(jié)束。數(shù)字10是郵件服務(wù)器的重要性標(biāo)志，如果你擁有

多個(gè)郵件服務(wù)器，其中較小的數(shù)字不太重要。

CNAME:CanonicalNameRecords（權(quán)威名稱記錄）

CNAME記錄允許你為主機(jī)名創(chuàng)建別名.當(dāng)你想提供一個(gè)易干記住的名稱

時(shí)，這很有用。

假設(shè)某個(gè)站點(diǎn)具有一個(gè)主機(jī)名為hateverbignameis.examplc的Web服務(wù)器，

并且由于系統(tǒng)是Web服務(wù)器，因此可以為主機(jī)創(chuàng)建一個(gè)名為www的CNAME

記錄或者別名。

你可以創(chuàng)建名為的域名創(chuàng)建CNAME記錄：

whateverbignameislNA

wwwINCNAMEwhateverbignameis

第一行通知DNS服務(wù)器關(guān)于別名的位置。第二行創(chuàng)建一個(gè)指向www的別

名。

TXT記錄

您可以將任何信息存儲(chǔ)到TXT記錄中，例如你的聯(lián)系方式或者你希望人們

在查詢DNS服務(wù)器時(shí)可獲得的任意其他信息。

你可以這樣保存TXT記錄：.INTXT,,YOURINFOGOESHERE,\

此外，RP記錄被創(chuàng)建為對(duì)host聯(lián)系信息的顯式容器：

.INRPo

DNSTTL值

在/etc/named.conf文件的頂部，這里有一個(gè)$TTL條目。

該條目告訴BIND每個(gè)單獨(dú)記錄的TTL值（limelolive,生存時(shí)間值）。

它是以秒為單位的數(shù)值，比如14,400秒（4個(gè)小時(shí)），因此DNS服務(wù)器最多

緩存你的域文件4個(gè)小時(shí)，之后就會(huì)向你的DNS服務(wù)器重新查詢。

你可以降低這個(gè)值，但是默認(rèn)值通常是合理的。除非你知道你正在做什么。

捕獲配置錯(cuò)誤

當(dāng)您寫(xiě)入域文件時(shí)，也許您忘記了一個(gè)句號(hào)或空格或其他任意錯(cuò)誤。

你可以從日志診斷LinuxDNS服務(wù)器錯(cuò)誤。BIND服務(wù)通過(guò)/var/log/messages

上的錯(cuò)誤，可以使用tail命令來(lái)查看實(shí)時(shí)錯(cuò)誤日志，須使用f選項(xiàng)：

$tailf7var/log/messages。

因此，當(dāng)你編寫(xiě)域文件或修改/elc/named.config并重新啟動(dòng)服務(wù)時(shí)，顯示錯(cuò)

誤之后，你可以從日志中輕松識(shí)別錯(cuò)誤類型。

Host命令

在你成功添加或修改記錄后，可以使用host命令查看主機(jī)是否正確解析。

host命令允許你將主機(jī)名解析為IP地址：$。

此外，你可以執(zhí)行反向查找:$hostl<>

你可以this在此篇文章中查看更多關(guān)于host和dig命令的信息。

Whois命令

whois命令用于確定域名的所有權(quán)及其擁有者的email地址和聯(lián)系電話：.

Rndc命令

rndc工具可用于安全地管理名稱服務(wù)器，因?yàn)榕c服務(wù)器的所有通信均通過(guò)數(shù)

字簽名進(jìn)行身份驗(yàn)證。

此工具用于控制名稱服務(wù)器和調(diào)試問(wèn)題。你可以通過(guò)以下方式檢查

LinuxDNS服務(wù)器的狀態(tài)：$rndcstatus。

此外，如果你更改任何域（zone）文件，您可以重新加載服務(wù)，而無(wú)須重啟命

名月艮務(wù)：S。

在這里，我們重新加載域文件。你可以重新加載所有域：

Srndcreloadn

或者你可以添加新的城或更改服務(wù)的配置。你可以重新加載配置，如下所示:

Srndcreconfigo

LinuxDNS解析器

我們已經(jīng)知道LinuxDNS服務(wù)器的工作原理以及如何配置它。另一部分當(dāng)然

是與DNS服務(wù)器交互的（正在與DNS服務(wù)器通信以將主機(jī)名解析為1P地址的）

客戶端。

在Linux上，解析器位于DNS的客戶端。要配置解析器，可以檢查

/etc/resolv.conf這個(gè)配置文件。

在基于Debian的發(fā)行版上，可以查看/eic/resolvconf/resolv.conf.d/目錄。

/etc/resolv.conf文件中包含客戶端用于獲取其本地DNS服務(wù)器地址所需的信

息。

第一個(gè)表示默認(rèn)搜索域,第二個(gè)表示主機(jī)名稱服務(wù)器(nameserver)的IP地址。

名稱服務(wù)器行告訴解析器哪個(gè)名稱服務(wù)器可使用。只要你的BIND服務(wù)正在

運(yùn)行，你就可以使用自己的DNS服務(wù)器。

使用LinuxDNS服務(wù)器非常簡(jiǎn)單。我希望你發(fā)現(xiàn)這篇文章很有用，并且很容

易理解。

附：Linux環(huán)境下搭建主從DNS服務(wù)器

一.bind簡(jiǎn)介

Linux中通常使用bind來(lái)實(shí)現(xiàn)DNS服務(wù)器的架設(shè)，bind軟件由

isc()維護(hù)。

在yum倉(cāng)庫(kù)中可以找到軟件，配置好yum源，直接使用命令yuminslallbind

就可以安裝。監(jiān)聽(tīng)窗口為53。

bind的主要配置文件為/etc/named.conf,此文件主要用于配置區(qū)域，并指定

區(qū)域數(shù)據(jù)庫(kù)文件名稱。區(qū)域數(shù)據(jù)庫(kù)文件通常保存于/var/named/IR錄下，用于定義

區(qū)域的資源類型。

二.架設(shè)主DNS服務(wù)器

實(shí)例操作：以域名為例配置一個(gè)DNS服務(wù)器，實(shí)現(xiàn)正向解析。

配置一臺(tái)ip為7/16的主機(jī)作為DNS服務(wù)器。

為了實(shí)驗(yàn)?zāi)艹晒M(jìn)行，我們把selinux和防火墻先關(guān)閉：

[root@centos7-J#setenforceO#i§3Lselinux

為permissvie[root@centos7-]#systemctlstopfirewalld#

關(guān)閉防火墻[root@cen【os7~]#ssntl#查看53'弓端口是否打開(kāi)，監(jiān)聽(tīng)本機(jī)的IP

修改主配置文件：

[root@centos7-l#vim/etc/namcd.confoptions{listenonport53{Jocalhost

;};#監(jiān)聽(tīng)本地所有的IPallowquery{any;};#所有的客戶端都可以查詢區(qū)域數(shù)據(jù)庫(kù)，

實(shí)現(xiàn)解析)

定義用戶自定義域：

[root@centos7~]#vim/etc/named.rfcl912.zones#用戶自定域，也可以把域?qū)懺?/p>

/etc/named.conf文件中zone""IN{#添力U域typemaster;#指定類型

為主file".zone";#指定區(qū)域數(shù)據(jù)庫(kù)文件名};

寫(xiě)解析數(shù)據(jù)庫(kù)文件：

[root@centos7-]#vim/var/naemd/.zoneSTTLlD@2DlNSOAdns1admin

..(200005;serial#版本號(hào)，版本號(hào)可以任意數(shù)值，位數(shù)不能超過(guò)10個(gè)

ID：refresh#更新間隔時(shí)間,ID表示一天IH:retry#同步數(shù)據(jù)失敗后,再次嘗試同

步間隔時(shí)間。1H表示1小時(shí)1W;expire#一直不能同步數(shù)據(jù)，此間隔時(shí)間后從服

務(wù)器不再提供解析服務(wù)3H);m而mum#錯(cuò)誤請(qǐng)求間隔時(shí)間，此時(shí)間內(nèi)不再重啟查

詢，直接將結(jié)果返回給客戶端NSdns1#指明服務(wù)器名稱dns12DINA7#

服務(wù)器IPwwwCNAMEweb#指明www為web的別名

webA6#域名對(duì)應(yīng)的

IP.A7[root@centgos7named]#.zonerwrlrootroot

296Sep2205:49.zone#只有所有者和所屬組有讀的權(quán)限

這里所有主和所屬組都是root用戶，其他用戶沒(méi)有讀的權(quán)限，故需要下面

的一步修改

讓named有讀解析數(shù)據(jù)文件的權(quán)限

[root@centos7-l#chgrpnamed/var/named/.zon#很重要的一步，把

.zon解析數(shù)據(jù)文注的屬組改為named,這是DNS服務(wù)創(chuàng)建的一個(gè)用戶，

用于方便調(diào)用DNS服務(wù)，這里把屬組改成named,named就有權(quán)限為客戶端讀

取解析數(shù)據(jù)，達(dá)到查詢解析的目的

主配置文件語(yǔ)法檢查：

[root@centos7-]#namedcheckconf#檢查配置文件中的語(yǔ)法

/etc/named.conf7etc/named.rfc1912.zones[root@centos7-]#

/var/named/.zone#解析庫(kù)文件語(yǔ)法檢查[rool@C3nlos7~]#rndcreload#力口載

DNS配置文件

[rootlego?7naMd-ch?ckconf

(rootleeotQOS?n4N?dj#n?Md-ch*ck2on?iy*.c<Mi/var/nM?d/iya.co?.2O(v?

zon?zy?.c<M^IN:loadeOserial206€CS

a2.”

(root9c?ct9os7

測(cè)試主DNS服務(wù)器能否解析：

用IP為/16的主機(jī)測(cè)試IP為7的DNS主服務(wù)器能否

正常解析域名。

保證兩臺(tái)主機(jī)能正常通信。

在IP為/16的主機(jī)上用yum安裝bindutils包，安裝此包中有dig

命令的，dig命令這里不詳細(xì)講解了，有興趣的同學(xué)可以看我另外一篇關(guān)于DNS

的博客，里面有詳解講解dig的用法。

[root@centos7~]#@7#在指定ip為7

的主機(jī)上查詢域名為的ip地址

[root@centos7-]#@7#在指定ip為7的主機(jī)

上查詢域名為的ip地址，這里

;?wM.tye.CM>!?>.!?.M17

211Eis■:

；1tot

?73???opC：OUMY,MC0ROR.tilt

n”Mr.swni.2.atnwrni.MOIUCMLI

；；ounnoiiwcYg

nM

MMfSIW$KH<W一

vM.ayo.cw.M4MBlCMAMcm.

fS3BMM口IAUHX

；；aUTMOMH?tn?lW

fyoCMtMMU0

，MOtnOMLSKTIM：

?,iM4MnAm.M.M.n

IIf?MBMC

三.架設(shè)從DNS服務(wù)器

準(zhǔn)備:一臺(tái)IP為/24的主機(jī),并且能與IP為7/16主

DNS服務(wù)器、IP為/測(cè)試主機(jī)通信。

為了保證實(shí)驗(yàn)順利進(jìn)行，我們先把selinux和防火墻關(guān)閉，第二步架設(shè)主DNS

服務(wù)器有與，這里小冉贅述。

同理修改主配置文件：

[root@centos7-l#vim/etc/named.confoptions{listenonport53{localhost;};#監(jiān)聽(tīng)

本地所有的IPaHowquery{any;};#所有的客戶端都可以查詢區(qū)域數(shù)據(jù)庫(kù)，實(shí)現(xiàn)解

析}

定義用戶自定義域：

[root@centos7-J#vim/etc/named.rfc1912.zones#ffiP自定域，也可以把域?qū)懺?/p>

/etc/named.conf文件中zone""IN{#添力「域typeslave;#指定類型

為從服務(wù)器masters(7;};#指定從當(dāng)前從服務(wù)器對(duì)應(yīng)的主服務(wù)器IP地址

file"slaves/.slave.zone":#指定從解析數(shù)據(jù)庫(kù)文件名

這里我們就不需要在自己寫(xiě)解析數(shù)據(jù)文件了，我們要實(shí)現(xiàn)主從DNS服務(wù)器,

那么數(shù)據(jù)就必須要同步，接下來(lái)，我們就開(kāi)始同步解析數(shù)據(jù)文件：

[root@localhost-J#cd/etc/named/slaveslroot@localhoslslaves]#lslrooi@localhos

tslaves]#rndcreload#從主服務(wù)器同步解析數(shù)據(jù)到從服務(wù)器上

serverreloadsuccessful[root@localhostslaves]#.slave.zone#?i,&：區(qū)域數(shù)據(jù)

庫(kù)文件.slave.zone在centos6是明文，而在cenlos7是密文

在IP為/主機(jī)上測(cè)試兩臺(tái)主機(jī)能否正常解析。

測(cè)試主DNS服務(wù)器能否正常解析：

[[rootaontOS6digwww.zy.co。@172?18.24.17]

:<o>DiG9.8.2rcl-RedHat-9.8.2-0.62.rcl.el6<o>www.zyM.com07

;;globaloptions:rmd

;;Gotanswer:

;；-?HEADER?.opcode:QUERY,status:NOERROR,id:38973

;;flags:qraardra;QUERV:1,ANSWER:2,AUTHORITY:1.ADDIUCNAL:1

；；QUESTIONSECTION:

;www.zywi.coM.INA

;;ANSWERSECTION:

W.859SQINOWEweE7zym.coM.

web.zya.coa.__________86400INA6

;;AUTHORITYSECTION:

zym.coM.86400INNS.

；；ADDITIONALSECTION:

dnsl.zym.co?.86400INA172.1824.17

測(cè)試主DNS服務(wù)器能否正常解析:

(rootKwitOSS-】?digMM.iya.coa^172,1824.7

;??DiG9.t.2rcl-A?^4at-9.t.2*9.t2.rcl.?\t??Mw.xy?CM9172.19.24.7

：：globaloption*：yad

：;Gotanswer:

;;.?HEA0R??opcode:CUWV.statu*：WOCRROR,id:11413

；；QrMrdra;QU01Y：1.AM5MER:2.MAHOWTY：1.AOOEOML;1

；；QUESTIONSKTION:

；MM.iy?.C(Ni.HlA

從上面兩個(gè)圖可以清楚的看到，主從服務(wù)器都能正常解析。

四.實(shí)現(xiàn)容錯(cuò)

原理：

搭建主從服務(wù)器，除了減輕負(fù)載，還有一個(gè)更重要的作用，實(shí)現(xiàn)容錯(cuò)。

容錯(cuò)，顧名思義，就是允許出現(xiàn)錯(cuò)誤，出現(xiàn)問(wèn)題后仍然對(duì)外能夠提供服務(wù)，

實(shí)現(xiàn)思想是，一臺(tái)服務(wù)器壞了，另外一臺(tái)能正常工作，對(duì)外提供服務(wù)。

實(shí)驗(yàn)過(guò)程分析：

我們這里模擬真實(shí)環(huán)境，dig測(cè)試不再指定用哪個(gè)服務(wù)器來(lái)解析域名，那么

我們需要修改測(cè)試上機(jī)上的網(wǎng)卡配置，指定DNS主從服務(wù)器：

[root@CentOS6~]#vim/etc/sysconfig/networkscripts/ifcfgethODEVICE="ethO',I

PADDR=PREFIX=16DNS1=7#主DNS2:#從

BOOTPROTO=staticGATEWAY=[root@CentOS6-]#

---HEADER--opcod*QUenstatusNO0VWid63109

；：flags:qrMrdr?;OUBY:1.ANSMEF;2.AUTHORITY:1,ADOITIONAL:1

;;QUESTION5EE0N:

：MM.iya.co?.INA

；：ANSWERSECTION:

w^.tyw.coa.864WINCNAFEty?.co?,

wbsrv.xya.coa.INA172.IS.24.25

現(xiàn)在我們把主服務(wù)器上的ip為7的網(wǎng)卡down掉，模擬主機(jī)服務(wù)

器出問(wèn)題：

[root@CcntOS7-]#ifconfigcns37down

I：emT7：<IMmKAST.fU.TKJtST>1MMq-lscpiIfo_f?stxUteUMhqlen1HM4

liak/rthrrMTBr：23:“：Zrf-brJtt：ff:ffft(tft

IroatfccNtfMV"M

再次在測(cè)試上機(jī)上測(cè)試:

(re?t0C4ntO$6digtys.cM

;0i69.t.2rclMdMat9.t.2"t.<2.rcl.?l6??Mw.xyw.coB

：：globaloptions：

；;opcode：0U9Y.status:M06RA0R.id:41f

；；八5Mrdr?：QU8IY：1.AMSWSt2.AUTHORITY:1.MIOEONAL:1

;：QUESTIONSKTIOM:

;www.syv.coB.INA

,11M($<RSECT!*

M4MINCNMC

Mb.tya.c?e.M4MINA172.1824M

；；AUTHORITYS￡CTXON：

tyv.CM.*00IMMS

；JADOXTIONALSKTIOI:

M400INA172.It.24.17

?jQueryturn:1

測(cè)試成功。

說(shuō)明：在執(zhí)行digwwv/.命令后，明顯可以感覺(jué)停頓了一兩秒時(shí)間才

顯示出結(jié)果，比down掉網(wǎng)卡前慢了叱許.

因?yàn)槲覀兣渲镁W(wǎng)卡的時(shí)候，把主服務(wù)器的IP放在了從服務(wù)器IP的前面。

當(dāng)執(zhí)行解析命令后，主機(jī)首先會(huì)到主服務(wù)器上去查詢，結(jié)果主服務(wù)器網(wǎng)卡壞

掉了，不能提供服務(wù)。然后主機(jī)會(huì)到從服務(wù)器去查詢，從服務(wù)器正常工作，解析

出域名，返回給主機(jī)，顯示出結(jié)果。

五.安全加強(qiáng)

利用dig命令可以直接抓取的服務(wù)器上的解析數(shù)據(jù)的所有解析記錄，而且是

明文，現(xiàn)在存在很大的危險(xiǎn)漏洞。

先把第四步禁掉的網(wǎng)卡啟用起來(lái)，然后抓取主服務(wù)器上的解析紀(jì)錄：

[root@Cen(OS7-]#ifconfigens37up

在測(cè)試主機(jī)抓取：

[root@CentOS6-l#@7

(root0CtntOS6*)#dig-taxfr07

人UA人【[A;;Connectionto7#S3(7)forfailed:host

unreachable.

[root0CtntOS6*)#dig-t?xfr0

；<o>DiG9.8.2rcl-RedHat-9.B.2-0.62.rcl.el6<o>-taxfrzym.coni0

;;globaloptions:-Kmd

INbUAUndl.zym.uuin.aUmxn.zym.cum.2V

00068640G3600604