-
DNS高速缓存
任务:搭建一个dns服务器去缓存浏览器的解析,当再次去访问时,快速得到域名对应的ip
实验环境:
server(172.25.254.44):(1)上面搭载dns服务器功能(配置环境保证本身可以访问网络,)可以把数据缓存下来
(2)开放指定的端口
client(172.25.254.22):将解析的地址指向我们的服务器
效果:通过访问时间的缩短来判断
server:
首先保证自身可以上网添加临时网关
route add default gw 172.25.254.154
route -n 查看
在真机上添加策略iptables -t nat -A POSTROUTING -s 172.25.254.44/24 -j MASQUERADE保证可以上网
vim /etc/resolv.conf
测试本机可以ping通外网
搭建dns服务
yum install bind -y systemctl start named systemctl enable named firewall-cmd --list-all 管理防火墙开通dns服务 firewall-cmd --add-service=dns firewall-cmd --reload
或者关闭火墙:
systemctl stop firewalld
systemctl disable firewalld
查看端口:
更改配置文件/etc/named.conf
options {
listen-on port 53 { any; }; 改:允许任何人访问53端口
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; }; 改:向任何人提供解析服务
forwarders { 114.114.114.114; }; 添加:服务器向谁添加
重启服务:systemctl restart named
client:
vim /etc/resolv.conf
测试:client:
dig www.baidu.com
第二次访问
-
正向解析
单向解析的理解:注释掉服务器是因为dns中没有我们要解析网址
我们需要在本地搭建正向解析文件和反向解析文件
且正反向解析是在两个区域之间,所以正向解析文件和反向解析文件不是一个文件
服务端server:
[root@localhost ~]# vim /etc/named.conf中包含子配置文件
[root@localhost ~]# vim /etc/named.rfc1912.zones创建正向解析文件
复制一份生成名为ting.com.zone
[root@localhost named]# cd /var/named/
[root@localhost named]# ls
data dynamic named.ca named.empty named.localhost named.loopback slaves[root@localhost named]# cp named.localhost ting.com.zone -p -p指的是连同所有人所有组一并复制过来
[root@localhost named]# vim ting.com.zone
:
补充:@相当于子配置文件中“ ”中写的值,SOA相当于授权
$TTL 1D #解析缓存文一天
@(紫色) #代表‘test.com‘(即就是所要解析的域名)
dns.test.com #dns服务器的名称
root.test.com. #管理dns服务器的用户
0 ; serial #一致性标记,在做dns集群的时候会用到,下文会详细解释
1D ; refresh #dns缓存刷新的时间
1H ; retry #如果出现解析错误后,重新尝试的时间
1W ; expire #过期时间,此处为1周
3 H ) ; minimum #主服务器挂后,从服务器至多工作的时间,可以保护dns防止ddos攻击
测试client:
[root@localhost ~]# vim /etc/resolv.conf
[root@localhost ~]# dig www.ting.com
[root@localhost ~]# dig linux.ting.com
实现了从域名到ip的解析
补充:CNAME是一个域名到另一个域名,那末我们在正向解析的区域写一条CNAME目录条即可
-
DNS反向解析
添加解反向解析文件
vim /etc/named.rfc1912.zones
zone “254.25.172.in-addr.arpa” IN {
type master;
file “ting.com.ptr”;
allow-update { none; };
};复制生成名为ting.com.ptr的dns资源记录文件,编辑dns资源记录文件
cd /var/named/
cp -p named.loopback ting.com.ptr
vim ting.com.ptr
systemctl restart named
测试client:
dig -x 172.25.254.11
dig -x 172.25.254.22
-
DNS轮询
应用CNAME来实现,在/etc/named/ting.com.zone下更改配置文件来实现
注释:CNAME 表示把规范名称转化为不规范名称
本地测试:
-
DNS双向解析
目标:实现内网主机和外网主机访问同一网站域名,定义到不同的服务器即访问同一个域名。对应不同的ip
更改主配置文件
[root@localhost named]# vim /etc/named.conf
本地地址172.25.254.44访问文件/etc/named.rfc1912.zones
其他地址访问文件/etc/named.rfc1912.out
其中内部访问资源记录文件为 /var/named/ting.com.zone(内容在dns轮询时已写好)
外部资源访问记录文件为/var/named/ting.com.out (自行创建)内容如下
重启服务
测试本地
[root@localhost ~]# vim /etc/resolv.conf
[root@localhost named]# dig www.ting.com
测试其他服务器vim /etc/resolv.conf
实现不同的服务器访问相同的域名定义到不同的ip ok!
-
DNS集群
server做master,client做slave.
首先关闭这里的firewallld,selinux可以不管
主dns(172.25.254.44)server:
编写配置文件
[root@localhost named]# vim /etc/named.rfc1912.out因为需要外部访问,所以针对外网访问的配置文件进行更改
将本机的dns资源同步到172.25.254.22这台机器,若虚同步到多台机器,把他ip用空格隔开
重启服务:
[root@localhost named]# systemctl restart named
辅助dns(172.25.254.22)
[root@localhost ~]# vim /etc/named.conf
11 listen-on port 53 { any; };
17 allow-query { any; };
参数说明:
type slave; #指定此dns为辅助dns
masters { 172.25.254.91; }; #指定主dns为172.25.254.91
file “slaves/ting.com.out”; #指定辅助dns解析时应该参考的文件
重启辅助dns服务
资源记录文件如下:注意:除了主dns,其他的都算外部主机访问/var/named/ting.com.out文件
测试:
在server71上,nameserver指向172.25.254.44
修改nameserver ,指向172.25.254.22
测试语句:dig www.ting.com
恩说明辅助dns缓存了主dns的记录
重要补充:
那是因为辅助dns域名解析文件(/var/named/testfile.com.out)对主dns的域名解析文件的同步是根据解析文件里的一个标志来进行的,即就是“serial“参数,当主dns的“serial‘的数值有所变化的时候,辅助dns才会认为主dns的域名解析有所变化,如果仅仅是文件中解析的ip有所变化,是不会在辅助dns上同步的。
更改配置文件内容:
[root@localhost named]# vim ting.com.out
[root@localhost named]# systemctl restart named
dns解析指向44号机:
dns指向22号机:
可以看到复制dns并未同步主dns的解析
更改serial参数由0到1
[root@localhost named]# vim ting.com.out
[root@localhost named]# systemctl restart named
测试:
解析指向172.25.254.22
解析发生了改变 ok fine!
做mail解析时没有过去
-
主机机对目标主机基于ip进行更新
主dns上:
[root@ting1 named]# vim /etc/named.rfc1912.out
备份ting.com.out
重启服务
指定的22机器:
当没有关闭selinux报错如下:
update failed: SERVFAIL
在非主dns上测试:(任何dns指向172.25.254.44的机器都可以)
dig ping.ting.com
ok fine!
查看/var/named/ting.com.out
更新成功后可以在主dns的/var/named目录下以及辅dns的/var/named/slaves目录下产生“。jnl“结尾的文件
-
配置从dns基于密钥来更新主dns
在做此类型更新之前需要保持主dns的/var/named目录以及辅dns的/var/named/slaves目录的“纯净“
主dns上:
复制备份的ting.com.out到当前
辅助dns:删除.jnl文件
实验开始:
主dns:cp -p /etc/rndc.key /etc/ting.key
[root@dns-server named]# cd /mnt/ #切换到mnt目录下是为了将生成的密钥放在此处,便于后面使用
生成密钥:
注释:dnssec-keygen –help //查看加密方式
-a //加密类型
-b //加密字节
-n //名称类型
vim /etc/haha.key #编写密钥文件
vim /etc/named.conf
编写子配置文件,添加以加密方式更新dns的内容
[root@ting1 named]# vim /etc/named.rfc1912.zones
重启服务
将密钥传给辅助dns
辅助dns:
测试:(此次在辅助dns上测试)
ok 看到解析
-
DDNS智能解析
么是ddns?
域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站一种服务。
动态域名解析服务,是将用户的动态IP地址映射到一个固定的域名解析服务上。ddns捕获用户每次变化的ip地址,然后将其与主机的域名对应,这样域名就可以解析到非固定IP的服务器上。
简单的说,不管用户何时上网、以何种方式上网、得到一个什么样的IP地址、IP地址是否会变化,他都能保证通过一个固定的域名就能访问到用户的计算机
配置:实验之前首先要完成主从dns基于密钥的更新,同时需要保持主dns的/var/named目录以及辅dns的/var/named/slaves目录的“纯净“
主dns提前备份ting.com.out
复制备份到/var/named/
[root@ting1 named]# vim ting.com.out
辅助dns:.jnl文件同上
本次ddns实验在主dns上完成,即dns和dhcp服务器都在172.25.254.44上完成,slave-dns自动会同步。
[root@ting1 ~]# yum install dhcp -y