Linux网络服务之DNS域名解析服务
DNS简介
DNS名词介绍
域名系统(英文:Domain Name System,缩写:DNS),使用应用层协议,是互联网的一项服务。 它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
简单来说就是:把域名转换成网络可以识别的ip地址,再通过IP地址访问主机。 这种由文字组成的名称,显而易见要更容易记忆。
每一台 DNS 服务器都只负责管理一个有限范围(一个或几个域)内的主机域 名和 IP 地址的对应关系,这些特定的 DNS 域或 IP 地址段称为 zone(区域)。 当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。
默认端口:
- 连接DNS服务器,使用TCP协议的53端口。
- DNS服务器进行解析,使用UDP协议的53端口。
DNS系统的作用
- 正向解析:根据域名查找对应的IP地址
- 反向解析:根据IP地址查找对应的域名
DNS分布式数据结构
域名级数是指一个域名由多少级组成,域名的各个级别被“.”分开,最右边的"."就是根域名,通常省略不写。
顶级域名,又称一级域名,常见的有".com"、“.org”、“.net”、".cn"等。
二级域名,就是在一级域名前再加一级,如"baidu.com"。
所有的域名必须以点(.)结尾
1)根域名服务器:
- IPv4的根名称服务器: 全世界只有13台IPv4根域名服务器。1个为主根服务器在美国。其余12个均为辅根服务器,其中9台在美国,欧洲2个(位于英国和瑞典),亚洲1个位于日本。
- IPv6的根名称服务器:全球共25台,中国1主3从,美国1主2从。
- 根域名服务器一旦有任何异常对整个互联网影响都非常大。目前全球有了许多的根域名服务器镜像服务器,这点增加了容错率。
2)一级DNS服务器: 专门负责一级域名(顶级域名)的解析
通用顶级域名:
.com 商业机构,但个人也可以注册
.net 网络服务机构
.edu 教育机构
.int 国际机构
.org 非营利性组织
.gov 政府机构
.mil 军事机构
- 114.114.114.114是国内移动、电信和联通通用的DNS服务器,解析成功率相对来说更高,国内用户使用的比较多,速度相对快、稳定,是国内用户上网常用的DNS。
- 8.8.8.8是GOOGLE公司提供的DNS服务器,该地址是全球通用的,相对来说,更适合国外以及访问国外网站的用户使用。
DNS系统类型
缓存域名服务器
- 也称为DNS高速缓存服务器
- 通过向其他域名服务器查询获得域名–>IP地址记录
- 将域名查询结果缓存到本地,提高重复查询时的速度
主域名服务器
- 特定DNS区域的权威服务器,具有唯一性
- 负责维护该区域内所有域名–>IP地址的映射记录
- 需要自行建立所负责区域的地址数据文件
从域名服务器
- 也称为辅助域名服务器,是对主域名服务器的热备份
- 其维护的域名–>IP地址记录来源于主域名服务器
- 需要从主域名服务器自动同步区域地址数据库
DNS的查询方式(递归查询和迭代查询)
递归查询
- 主机向本地域名服务器的查询一般都是采用递归查询。
- 如果主机所询问的本地域名服务器不知道被查询的域名的IP地址,那么本地域名服务器就以DNS客户的身份,向其它根域名服务器继续发出查询请求报文(即替主机继续查询),而不是让主机自己进行下一步查询。在域名服务器查询期间,客户机将完全处于等待状态。
- 因此,递归查询只会返回两种信息:要么是所要查询的IP地址,要么是查询失败。
迭代查询
- 本地域名服务器向根域名服务器的查询是迭代查询。
- 当根域名服务器收到本地域名服务器发出的迭代查询请求报文后,要么给出所要查询的IP地址,要么告诉本地服务器:“你下一步应当向哪一个域名服务器进行查询”。下一个服务器收到请求后也是如此,要么返回IP,要么告诉本地域名服务器下一步去找谁。 即本地域名服务器按照提示的指引依次查询, 直到返回查询的结果为止 。
递归查询和迭代查询的特点:
- 递归查询:主机只发出一次请求,要求对方给出最终结果。返回的结果只有两种:查询成功或查询失败。
- 迭代查询:主机需要发起多次请求,返回的是所需IP地址或最佳查询地址。
本地主机映射文件hosts
/etc/hosts 文件,保存主机名与IP地址的映射记录。
hosts —— the static table lookup for host name(主机名查询静态表)。 hosts文件是Linux系统上一个负责ip地址与域名快速解析的文件,以ascii格式保存在/etc/目录下。hosts文件包含了ip地址与主机名之间的映射,还包括主机的别名。
查看 /etc/hosts 文件:
hosts 文件和DNS服务器的比较:
-
默认情况下,系统首先从hosts文件查找解析记录
-
hosts 文件的优先级高于DNS服务器,这是由 /etc/nsswitch.conf 文件规定的
-
hosts 文件只对当前的主机有效
-
hosts 文件可减少DNS查询过程,从而加快访问速度
查看/etc/nsswitch.conf 文件:
域名的解析过程
用户在网页地址栏输入www.sina.com.cn后,Linux系统中的DNS域名解析过程:
- 客户机先去查找本机的/etc/hosts 文件,看文件中是否存在该域名和IP地址的映射记录。如果有就调用,没有就进行下一步。
- 客户机请求本地域名服务器(LDNS)来解析这个域名,主机要求本地域名服务器直接返回最终结果。在返回结果之前,客户机将完全处于等待状态,不再二次请求。统一由本地域名服务器向各级域名服务器转发请求。
- 本地域名服务器收到客户机的请求后,先查询自己的缓存信息,如果有这个域名的映射记录则返回结果,没有则进行下一步。
- 本地域名服务器请求根域名服务器解析这个域名,根域名告诉本地域名服务器去找对应的一级域名服务器。
- 本地域名服务器请求一级域名服务器解析这个域名,一级域名服务器告诉它去找对应的二级域名服务器。
- 本地域名服务器请求二级域名服务器解析这个域名,二级域名服务器告诉它去找对应的子域名服务器。
- 本地域名服务器请求子域名服务器解析这个域名,子域名服务器返回对应的IP地址。
- 本地域名服务器将IP地址记录到缓存中,并返回给客户机。客户机根据收到的IP地址访问该网站。
NDS服务程序——BIND
目前使用最为广泛的DNS服务软件是BIND(Berkeley Internet Name Domain),最早由伯克利大学的一名学生编写,现在最新的版本是9,由ISC(Internet Systems Consortium)编写和维护。
BIND支持先今绝大多数的操作系统(Linux,UNIX,Mac,Windows)
BIND服务的名称为named。
BIND服务简介
BIND(Berkeley Internet Name Daemon)
-
BIND是应用最广泛的DNS服务程序
-
官网站点:www.isc.org/
相关软件包
- bind-9.11.4-26.P2.el7_9.9.x86_64
BIND服务器端程序
- 主要执行程序:/usr/sbin/named
- 默认监听端口:53
BIND配置文件
- 主配置文件: /etc/named.conf
- 根域配置文件: /var/named/named.ca
- 区域配置文件: /etc/named.rfc1912.zones
- 保存DNS解析记录的数据文件位于: /var/named/目录下
BIND服务控制
- systemctl [status|start|stop|restart] named.service
- rndc reload 重新加载DNS服务
根域配置文件
根域配置文件位于: /var/named/named.ca
- 根域配置文件设定根域的域名数据库,包括根域中13台DNS服务器的信息。
- 利用该文件可以让DNS服务器找到根DNS服务器,并初始化DNS的缓冲区。当DNS服务器接到客户端主机的查询请求时,如果在Cache中找不到相应的数据,就会通过根服务器进行逐级查询 。
- 用户不需要进行修改该文件 。
主配置文件(全局配置文件)
BIND服务的主配置文件位于: /etc/named.conf。
- 设置DNS服务器的全局参数
- 包括监听地址和端口、区域数据文件存放的目录等
- 使用 options{…}; 的配置段
区域配置文件
区域配置文件位于:/etc/named.rfc1912.zones。
- 设置本服务器提供域名解析的特定DNS区域
- 包括域名、服务器角色、数据文件名等
- 使用 zone “区域名” IN{…}; 的配置段
对配置文件进行语法检查
- named-checkconf工具:检查主配置文件
- named-checkzone工具:检查区域数据库文件
构建主域名服务器之正向解析
关闭防火墙和selinux
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
确认本机IP地址、主机映射,将DNS服务器改为本机IP。
[root@localhost ~]# ifconfig ens36 //本机IP为192.168.72.10
ens36: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.72.10 netmask 255.255.255.0 broadcast 192.168.72.255
inet6 fe80::82e9:8745:7968:b6b2 prefixlen 64 scopeid 0x20
ether 00:0c:29:18:b5:09 txqueuelen 1000 (Ethernet)
RX packets 15365 bytes 1311664 (1.2 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 28473 bytes 7715367 (7.3 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@localhost ~]# cat /etc/hosts //查看本机映射文件
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens36 //修改网卡配置文件
DNS1=192.168.72.10 //将DNS服务器地址改为本机地址
[root@localhost ~]# systemctl restart network //重启网络服务
[root@localhost ~]# cat /etc/resolv.conf //本机使用的DNS服务器已变为本机地址
Generated by NetworkManager
nameserver 192.168.72.10
安装BIND软件包。查看配置文件位置。
[root@localhost ~]# yum install bind -y //安装BIND程序
[root@localhost ~]# rpm -qc bind //查看BIND配置文件
/etc/logrotate.d/named
/etc/named.conf //主配置文件(全局配置文件)
/etc/named.iscdlv.key
/etc/named.rfc1912.zones //区域配置文件
/etc/named.root.key
/etc/rndc.conf
/etc/rndc.key
/etc/sysconfig/named
/var/named/named.ca //根域配置文件
/var/named/named.empty
/var/named/named.localhost
/var/named/named.loopback
编辑主配置文件/etc/named.conf。并启动服务。
第一步:把options选项中的侦听IP(127.0.0.1)改为any。允许DNS服务器监听所有IP地址。
第二步:把allow-query 后面的localhost改为any。允许所有客户端查询。
第三步:启动named服务。
编辑区域配置文件/etc/named.rfc1912.zones文件,设置正向解析区域。
建立正向解析区域数据库文件yuji.com.zone
第一步:进入/var/named/ 目录,拷贝named.localhost文件并改名为yuji.com.zone。
第二步:编辑yuji.com.zone文件,设置每个域名对应的IP地址记录。
第三步:检查文件是否存在语法错误。
重新启动named服务,或重载配置。验证正向解析是否成功。
重点总结
- 一定要关闭防火墙和selinux。
- 编辑配置文件和区域数据库文件时,需要严格注意语法书写,其格式非常严格。
- ”@“是DNS记录中的保留字,表示当前域名。
- 修改配置文件后,一定要重启服务,之后才能生效。
- BIND软件包提供了三个DNS测试工具:nslookup,dig,host。