DNS实践

最新推荐文章于 2024-09-11 13:41:53 发布
最新推荐文章于 2024-09-11 13:41:53 发布
阅读量184 收藏
点赞数
文章标签: 运维

[@more@]Normal07.8 磅02falsefalsefalseMicrosoftInternetExplorer4

DNS(Domain Name System)

一、DNS 查询方式

1. 递归查询

clip_image001.gif

2. 迭代查询

clip_image002.gif

递归查询和迭代查询差别:

递归:客户端与各个服务端进行了多次交互

常用DNS软件:bind9版本

二、主从(基于IP

1.254为主服务器

1.3为从服务器

在主服务器上:

[root@up_server ~]# cat /etc/named.caching-nameserver.conf

options {

listen-on port 53 { any; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query { any; };

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

};

view localhost_resolver {

match-clients { any; };

match-destinations { any; };

recursion yes;

include "/etc/named.rfc1912.zones";

};

[root@up_server ~]# cat /etc/named.rfc1912.zones

zone "sina.com" IN {

type master;

file "sina.com.zone";

allow-transfer { 192.168.1.3; };

};

[root@up_server ~]# cat /var/named/chroot/var/named/sina.com.zone

$TTL 86400

@ IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS ns

ns IN A 192.168.1.254

www IN CNAME ns

[root@up_server ~]#

在从服务器上:

[root@client02 slaves]# cat /etc/named.caching-nameserver.conf

options {

listen-on port 53 { any; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query { any; };

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

};

view localhost_resolver {

match-clients { any; };

match-destinations { any; };

recursion yes;

include "/etc/named.rfc1912.zones";

};

[root@client02 slaves]# cat /etc/named.rfc1912.zones

zone "sina.com" IN {

type slave;

file "slaves/sina.com.zone";

allow-update { none; };

masters { 192.168.1.254; };

};

在从服务器上重启服务,得到结果:

[root@client02 slaves]# pwd

/var/named/chroot/var/named/slaves

[root@client02 slaves]# ll

总计 4

-rw-r--r-- 1 named named 313 07-17 22:08 sina.com.zone

[root@client02 slaves]# cat sina.com.zone

$ORIGIN .

$TTL 86400 ; 1 day

sina.com IN SOA sina.com. root.sina.com. (

42 ; serial

10800 ; refresh (3 hours)

900 ; retry (15 minutes)

604800 ; expire (1 week)

86400 ; minimum (1 day)

)

NS ns.sina.com.

$ORIGIN sina.com.

ns A 192.168.1.254

www CNAME ns

[root@client02 slaves]#

三、主从(基于认证key,事物签名)

在主服务器上:

[root@up_server ~]# dnssec-keygen -a hmac-md5 -b 128 -n HOST abc

Kabc.+157+36140

[root@up_server ~]# ll Kabc.+157+36140.*

-rw------- 1 root root 47 07-17 22:13 Kabc.+157+36140.key

-rw------- 1 root root 81 07-17 22:13 Kabc.+157+36140.private

[root@up_server ~]#

查看以private为“扩展名”的文件内容

[root@up_server ~]# cat Kabc.+157+36140.private

Private-key-format: v1.2

Algorithm: 157 (HMAC_MD5)

Key: 2jZtTYFNW5dd+gjdxKs3ow==

[root@up_server ~]#

找到Key:后面的内容,即2jZtTYFNW5dd+gjdxKs3ow==,是md5加密的key

然后修改zone文件

[root@up_server ~]# cat -n /etc/named.rfc1912.zones

8 // See /usr/share/doc/bind*/sample/ for example named configuration files.

9 //

10

11 key abcKey {

12 algorithm hmac-md5;

13 secret "2jZtTYFNW5dd+gjdxKs3ow==";

14 };

15

16 zone "." IN {

17 type hint;

18 file "named.ca";

19 };

57 zone "sina.com" IN {

58 type master;

59 file "sina.com.zone";

60 allow-transfer { key abckey; };

61 };

62

在从服务器上:

[root@client02 slaves]# cat /etc/named.rfc1912.zones -n

50

51 key abcKey {

52 algorithm hmac-md5;

53 secret "2jZtTYFNW5dd+gjdxKs3ow==";

54 };

55

56 zone "sina.com" IN {

57 type slave;

58 file "slaves/sina.com.zone";

59 allow-update { none; };

60 masters { 192.168.1.254 key abckey; };

61 };

62

最后重启服务,得到结果:

[root@client02 slaves]# pwd

/var/named/chroot/var/named/slaves

[root@client02 slaves]# ls

sina.com.zone

[root@client02 slaves]# cat sina.com.zone

$ORIGIN .

$TTL 86400 ; 1 day

sina.com IN SOA sina.com. root.sina.com. (

42 ; serial

10800 ; refresh (3 hours)

900 ; retry (15 minutes)

604800 ; expire (1 week)

86400 ; minimum (1 day)

)

NS ns.sina.com.

$ORIGIN sina.com.

ns A 192.168.1.254

www CNAME ns

[root@client02 slaves]#

四、转发

1.254作为转发服务器,转发的目标是1.3服务器

1.254服务器上:

[root@up_server ~]# cat /etc/named.caching-nameserver.conf -n

1 options {

2 listen-on port 53 { any; };

3 directory "/var/named";

4 dump-file "/var/named/data/cache_dump.db";

5 statistics-file "/var/named/data/named_stats.txt";

6 memstatistics-file "/var/named/data/named_mem_stats.txt";

7

8 forward only;

9 Forwarders { 192.168.1.3; };

10 allow-query { any; };

11 };

1.3服务器上:

多建立一个zone,名为baidu.com,让1.254来访问该域名

[root@client02 named]# cat /etc/named.rfc1912.zones -n

63 zone "baidu.com" IN {

64 type master;

65 file "baidu.com.zone";

66 allow-update { none; };

67 };

重启服务器后,在1.254服务器上:

[root@up_server named]# host www.baidu.com

www.baidu.com is an alias for ns.baidu.com.

ns.baidu.com has address 192.168.1.3

[root@up_server named]#

发现域名正常解析,如果没有做转发,域名是解析不了的,注意这里并不是通过改写/etc/resolve.conf文件来达到解析的目的。

五、泛域名解析

1.3服务器上做该实验:

[root@client02 named]# tail -n 3 baidu.com.zone

ns IN A 192.168.1.3

www IN CNAME ns

$GENERATE 234-240 stu$ IN A 192.168.1.$

[root@client02 named]#

修改完zone文件后,然后测试结果

[root@client02 named]# host stu235.baidu.com

stu235.baidu.com has address 192.168.1.235

[root@client02 named]# host stu236.baidu.com

stu236.baidu.com has address 192.168.1.236

[root@client02 named]# host stu240.baidu.com

stu240.baidu.com has address 192.168.1.240

[root@client02 named]# host stu241.baidu.com

Host stu241.baidu.com not found: 3(NXDOMAIN)

六、子域授权

1.254服务器上:

[root@up_server ~]# cat /etc/resolv.conf

nameserver 192.168.1.254

[root@up_server ~]#

[root@up_server named]# cat sina.com.zone

$TTL 86400

@ IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS ns

ns IN A 192.168.1.254

www IN CNAME ns

sgy IN NS ns.sgy

ns.sgy IN A 192.168.1.3

[root@up_server named]#

1.3服务器上:

[root@client02 named]# cat /etc/resolv.conf

nameserver 192.168.1.3

[root@client02 named]#

[root@client02 named]# cat sgy.sina.com.zone

$TTL 86400

@ IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS ns

ns IN A 192.168.1.3

www IN A 192.168.1.101

[root@client02 named]# tail -n 6 /etc/named.rfc1912.zones

zone "sgy.sina.com" IN {

type master;

file "sgy.sina.com.zone";

allow-update { none; };

};

[root@client02 named]#

七、多视图(解决南北互通问题)(基于ip

1.254服务器上做view,利用1.2服务器和1.3服务器来做测试

1.254服务器上:

[root@up_server ~]# tail -n 21 /etc/named.caching-nameserver.conf

view tel {

match-clients { 192.168.1.3; };

match-destinations { any; };

recursion yes;

zone "sina.com" IN {

type master;

file "tel/sina.com.zone";

};

};

view cnc {

match-clients { 192.168.1.2; };

match-destinations { any; };

recursion yes;

zone "sina.com" IN {

type master;

file "cnc/sina.com.zone";

};

};

[root@up_server ~]#

[root@up_server named]# ls -R tel/ cnc/

cnc/:

sina.com.zone

tel/:

sina.com.zone

[root@up_server named]# pwd

/var/named/chroot/var/named

[root@up_server named]# cat tel/sina.com.zone

$TTL 86400

@ IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS ns

ns IN A 192.168.1.254

www IN A 192.168.1.111

[root@up_server named]# cat cnc/sina.com.zone

$TTL 86400

@ IN SOA @ root (

42 ; serial (d. adams)

3H ; refresh

15M ; retry

1W ; expiry

1D ) ; minimum

IN NS ns

ns IN A 192.168.1.254

www IN A 192.168.222

[root@up_server named]#

验证结果:

1.2客户端上:

[root@client01 ~]# host www.sina.com

www.sina.com has address 192.168.0.222

[root@client01 ~]#

1.3客户端上:

[root@client02 named]# host www.sina.com

www.sina.com has address 192.168.1.111

[root@client02 named]#

八、多视图(基于文件)

1.254服务器上做view,利用1.2服务器和1.3服务器来做测试

1.254服务器上:

[root@up_server ~]# cat -n /etc/named.caching-nameserver.conf | tail -n 27

23

24 include "/tel/tel.cfg";

25 include "/cnc/cnc.cfg";

26

27 view tel {

28 // match-clients { 192.168.1.3; };

29 match-clients { tel; };

30 match-destinations { any; };

31 recursion yes;

32

33 zone "sina.com" IN {

34 type master;

35 file "tel/sina.com.zone";

36 };

37 };

38

39 view cnc {

40 // match-clients { 192.168.1.2; };

41 match-clients { cnc; };

42 match-destinations { any; };

43 recursion yes;

44

45 zone "sina.com" IN {

46 type master;

47 file "cnc/sina.com.zone";

48 };

49 };

[root@up_server ~]#

[root@up_server chroot]# pwd

/var/named/chroot

[root@up_server chroot]# cat tel/tel.cfg

acl tel { 192.168.1.2; };

[root@up_server chroot]# cat cnc/cnc.cfg

acl cnc { 192.168.1.3; };

[root@up_server chroot]#

验证结果:

1.2客户端上:

[root@client01 ~]# host www.sina.com

www.sina.com has address 192.168.1.111

[root@client01 ~]#

1.3客户端上:

[root@client02 named]# host www.sina.com

www.sina.com has address 192.168.0.222

[root@client02 named]#

九、基于多视图的主从

从机上也得搞个对应的视图

include “/etc/dx.cfg”;
include “/etc/wt.cfg”;
view “tel” {
match-clients {tel; 192.168.1.3; !192.168.1.4; };
transfer-source 192.168.1.3;
recursion yes;
zone “uplooking.com” {
type slave ;
masters {192.168.1.254;};
file “tel/uplooking.com.zone”
}
}

view “cnc” {
match-clients { cnc;!192.168.1.3; 192.168.1.4;};
transfer-source 192.168.1.4;
recursion yes;
zone “uplooking.com” {
type slave ;
masters {192.168.1.254;};
file “cnc/uplooking.com.zone”;
};
};

总结:

Forwarders 后面的ip一般是公网的DNS

forward first 先进行本地解析,若本地解析不了,进行转发

forward only 不进行本地解析直接转发

利用转发的好处是可以避免每个用户都修改自己的hosts文件,可以让所有用户都访问转发服务器,来实现集体修改DNS

DNS视图,主要解决南北互通问题

泛域名解析作用:满足个性化域名

在里面多个A记录的作用就是简单的负载均衡,当有一台不可用,还有一半的用户可访问,这就是继续学习集群的原因,解决那些不能因为这个原因不能访问服务器的用户问题,因为没有健康检查,所以要引入nginx的简单负载集群,lvs 等等

Ping host 哪个好?

当然host,因为ping先走host的文件,ping只返回一个ip地址,host可以返回多个

DNS结构,树状结构,以根为中心,向下蔓延

DNS有哪些资源记录 A PTR CNAME NS SOA MX

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/23168012/viewspace-1052654/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/23168012/viewspace-1052654/

coffee1234567
关注
coredns 实践
叱咤少帅的博客
06-09 847
CoreDNS实践
基于External-DNS的多集群Service DNS实践
阿里云云栖号
06-14 1078
概述 External-DNS提供了编程方式管理Kubernetes Service资源的DNS的功能,类似于容器服务kubernetes federation v2实践一:基于External-DNS的多集群Ingress DNS实践,External-DNS会监听LoadBalancer类型的Service,然后与云厂商打通,按照可用区、region和全局三个维度生成独自的域名解析记录,便于...
从理论到实践,全方位认识DNS实践篇)
weixin_34174105的博客
11-14 142
在理论篇我们基本了解了DNS的整个协议原理,但是可能还会有着下面的疑问: 为什么我想申请的域名都没了? DNS 域名还要备案,这是为什么啊? 如何将刚申请的域名绑定到自己的网站呢? 怎么才能看到那些在背后默默给我解析的域名服务器呢? 他们说用一个什么文件就可以访问好多好多不存在的网站,是真的吗? 可信任的域名服务器是怎么一回事,难道有些...
DNS 域名服务器架设最佳实践
weixin_33877885的博客
01-16 186
1.DNS 概述 DNS是一个层次化的分布式数据库,其全称为域名系统(Domain Name System),它存储用于互联网主机名与IP地址相互映射的信息,及其它互联网所用到的数据。DNS系统是由柏克大学发展的BIND软件(Berkeley Internet Name Domain)所提供。现目前的BIND的为9.x,现网上大多数都简称叫BIND9;BIND9 软件分...
双网卡内外网同时使用的方法
jojo38388的专栏
08-01 3262
不少公司的网管试图解决双网卡问题,下面我就给大家详细的讲解一下双网卡同时使用的方法,这样即可保障内网的安全,又能解决电脑访问外网的问题,一举两得。希望大家喜欢。首先你的机器需要有两块网卡,分别接到两台交换机上,internet地址:192.168.1.8,子网掩码:255.255.255.0,网关:192.168.1.1内部网地址:172.23.1.8,子网掩码:255.255.255.0,网关:
postgresql定义访问ip与用户_PostgreSQL 设置允许访问IP的操作
weixin_36472625的博客
01-13 674
PostgreSQL安装后默认只能localhost:5432访问检验方法:curl localhost:5432# 访问成功提示curl: (52) Empty reply from servercurl 127.0.0.1:5432# 访问不成功提示curl: (7) Failed to connect to 172.17.201.227 port 5432: Connection refus...
linux相互免密登录
murenzhishang的博客
09-01 204
1.环境准备 准备两台虚拟机,ip分别为192.168.1.110和192.168.1.111,hostname分别为node01和node02 2.生成rsa密钥对 在两台机器上分别执行以下操作 ssh-keygen -t rsa 一路回车,默认生成的文件为 ~/.ssh 目录下的id_rsa和id_rsa.pub cp id_rsa.pub authorized_keys 在node01上执行 ssh-copy-id -i ~/.ssh/id_rsa.pub root@node02 在node02
DNS实验
wxy110304的博客
10-22 986
搭建DNS服务器 环境需要两台相互ping通的虚拟机 一台为 主 一台为从 在主上安装bind-9安装包 修改主配置文件 /etc/named.conf 修改主配置文件的辅助文件 /etc/named.rfc1912.zones 增减并修改正向解析文件和反向解析文件 对kgc.com.zone进行修改 对192.168.2.arpa进行修改 对配置文件进行语法检验 启动服务 指...
DNS学习实践心得
LuYiming_Ben的博客
07-17 4859
在看书理解DNS报文等内容后,首先通过抓包来实践理解DNS报文。       上图是我nslookup  baidu.com,抓包得到的结果,这是一个询问包,可以看到我向DNS服务器询问了baidu.com的A类型(IPV4)地址。 上图是询问包的flags,可以看到Rd置为1表示这个询问包要求递归查询结果。 这是从DNS服务器得到的返回包,可以看到服务器返回了两条baidu...
17DNS实践1
08-08
标题中的“17DNS实践1”表明这是一篇关于DNS(Domain Name System)服务器实践操作的文章,主要聚焦于DNS服务器的安装、配置和使用。DNS是互联网上的关键组件,它负责将人类可读的域名转换为机器可识别的IP地址。 在...
infoblox-dns操作实践
01-20
Infoblox是一款强大的网络自动化和DNS(Domain Name System)管理平台,主要用于企业的网络基础设施管理,包括DNS、DHCP(Dynamic Host Configuration Protocol)和IP地址管理(DDI)。本操作指南将详细介绍如何通过...
DNS原理与实践详解.doc
06-29
"DNS原理与实践详解" DNS(Domain Name System,域名系统)是互联网上一个非常重要的基础设施,它将人类容易记忆的域名转换为计算机能够理解的IP地址,以便实现互联网上的通信和数据传输。下面是DNS的详细知识点...
《请教别人系列》--windows系统访问共享目录
Mark的博客
04-19 363
1、准备条件 访问共享目录的IP 10.237.XX.XX 域名、账户名、密码 2、在计算机左下角,点击开始按钮,在输入框中输入,\\+IP地址+\ 3、输入相应的用户名密码,注意:存在域名的情况下,用户名: 域名+\+用户名 密码: 密码 即可登陆 ...
CentOs7配置静态IP,并配置其他宿主机可以访问
qq_44936496的博客
12-13 1624
1.首先进入文件 vi /etc/sysconfig/network-scripts/ifcfg-ens33 看到的是: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jA6HOFeC-1639375811185)(./1.png)] 修改的: BOOTPROTO=static ONBOOT=yes 新增的: IPADDR=192.168.1.111 NETMASK=255.255.255.0 GATEWAY=192.168.1.1 网关地址要正确,不然可能会造
单机 fastdfs安装与使用
a375015762的博客
08-18 451
一、准备两台机器  192.168.1.110 (tracker跟踪) 192.168.1.111  (storage存储) 安装GCC yum install make cmake gcc gcc-c++ 二、公共安装部分(两台机器都得安装): 1.libfastcommon安装 unzip libfastcommon-master.zip -d /usr/local/fast/ ...
Linux学习笔记
weixin_30559481的博客
08-05 92
cal 显示指定 日历 cal 4 2016 ls 当前目录下的文件 date 显示时间年月日 date +%Y-%m-%d 2016-07-30 date +%H:%M 18:46 bc enter 计算 scale=3 小数点后取三位 quit 退出 tab 自动补全 cat XXX(回车键补齐)...
[环境部署]Linux网络配置
ChkingLee的博客
08-18 565
openSUSE 15.2 以server模式安装 配置静态ip地址 编辑/etc/sysconfig/network/ifcfg-xxx (xxx是网卡设备名) 主要是为了实现固定ip的需求 IPADDR=192.168.1.111 NETMASK=255.255.255.0 BOOTPROTO=static # 解释: # IPADDR 配置成你期望的ip地址,要在vmware分配的网段内 # NETMASK 通常都是255.255.255.0 具体也要看vmware配置 # BBOT.
日志(须整理)
Periscope的专栏
08-29 2584
U-boot启动之学习任务:1,用tftp启动内核和文件系统,2,尝试用u-boot烧写内核和文件系统3,掌握u-boot的命令的使用4,理解启动参数5,资料找到怎样向内核传递参数现在开发吧硬件环境:mini2440在windows下建立tftp服务器,或者在从虚拟机上的tftp启动tftp 0x32000000 zImage_N35could not establish linkTFTP
SSHamble:一款针对SSH技术安全的研究与分析工具
最新发布
FreeBuf_的博客
09-11 1235
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
Amazon EMR集群定制DNS实践:BIND与Dnsmasq配置
配置Amazon EMR集群的自定义DNS涉及多个层次的技术操作,包括网络、DNS服务和AWS服务的集成,需要对这些领域有一定的理解和实践经验。通过这样的配置,企业可以更好地管理和控制其EMR集群的网络环境,提高集群的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值