企业dns服务器部署详解（上）—高速缓存dns搭建/dns正反向解析

Linux系统中高速缓存dns的搭建及dns正反向解析

1、dns的名词解释

DNS即domain name service(域名解析服务)是Internet上解决网上机器命名的一种系统。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP数串。域名解析服务通常使用TCP和UDP协议，其默认服务端口为53，当客户端主机需要进行域名解析时，需要编辑dns指向文件/etc/resolv.conf，在其中设定向其提供域名解析服务的服务器ip指向。

a、服务器端名词解释

服务器端名词	解释
bind	dns服务安装包
named	dns服务名称
/etc/named.conf	dns服务主配置文件
/var/named	数据目录
53	默认服务端口

b、客户端名词解释

在需要进行域名解析服务的客户端，我们可以使用以下两种方式将域名解析得到其对应的IP：
1）host 域名 ：地址解析命令
2）dig 域名：地址详细解析信息命令，dig命令是逐级解析，如在对www.baidu.com进行解析时，先去baidu.com中查找，查找不到时去.com中查找，还查找不到则去 . 根域名解析服务器中查找
使用dig 域名命令得到的地址详细解析信息中，A表示A记录（ip地址叫做域名的Address 记录），SOA代表授权起始主机

c、报错信息解释

1）no servers could be reached ：服务无法访问，此时需要检查服务开启状态、火墙中服务策略的设定、网络连接是否正常及服务端口是否开放
2）服务启动失败：配置文件写错，可以执行journalctl -xe查询错误所在文件及所在行
3）dig 查询状态提示：

查询状态	含义
NOERROR	查询成功
REFUSED	服务拒绝访问
SERVFAIL	查询记录失败（dns服务器无法到达上级，拒绝缓存）
NXDOMAIN	此域名A记录在dns中不存在

实验环境配置：

1）在对dns域名解析服务进行详细说明之前，我们需要配置实验环境，除了真实主机之外，这里还需要两台虚拟主机westosa、westosb，首先为虚拟主机westosa添加一块网卡

2）配置单网卡虚拟主机westosb，设置其网络为172.25.254.真机id+200即172.25.254.233

3）配置双网卡主机westosa，设置其网络分别处于254、真机id（33）两个不同的网段：172.25.254.真机id+100即172.25.254.133；172.25.真机id.真机id+100即172.25.33.133



4）开启真实主机防火墙的地址伪装功能，将真实主机变为路由器(真实主机联网)，使得虚拟主机westosa、westosb能够连接外网

5）临时方式ip route为westosa、westosb设置网关为真实主机ip，此时westosa、westosb可以ping通114.114.114.114


6）将westosa作为客户端主机进行域名解析测试，编辑westosa的dns指向文件/etc/resolv.conf，在其中设定向其提供域名解析服务的服务器为114.114.114.114

host www.baidu.com对www.baidu.com进行地址解析得到对应IP， dig www.baidu.com得到域名www.baidu.com的地址详细解析信息，NOERROR表示解析成功

对一个不存在的域名进行解析得到的地址详细解析信息中，NXDOMAIN表示此域名A记录不存在，对这一解析结果负责的授权起始主机有两台

2、安装启用dns服务—搭建高速缓存dns

当内网主机访问www.baidu.com时，内网主机需要通过访问地址解析服务器得到www.baidu.com的ip，这一过程花费时间较多，同样的，当内网网段其他主机访问www.baidu.com时也需要通过访问地址解析服务器得到www.baidu.com的ip，此时第一台主机已经获得了解析资源，我们可以在第一台主机上搭建高速缓存dns，这样内网网段其他主机访问www.baidu.com时可以直接在第一台主机上进行地址解析，内网通信速度比外网通信快，这样就节省了很多时间。具体操作步骤如下：

实验步骤：
1）在双网卡虚拟主机westosa中安装dns服务软件包bind，安装完成后启动dns服务named，在防火墙中添加dns服务，刷新火墙使设定生效


2）编辑dns服务的配置文件 /etc/named.conf：在本地所有网络接口上开启53端口；允许查询A记录的客户端列表；使用国内域名解析服务器源114.114.114.114进行数据缓存（而不是根dns服务器，节省时间）；禁用dns合法检测功能使dns服务器能够缓存外部信息到本机，编写完成后重启dns服务named，高速缓存dns搭建完成


3）在另一台254网段内网主机westosb中编辑dns指向文件/etc/resolv.conf，在其中设定向其提供域名解析服务的服务器为高速缓存dns172.25.254.133即虚拟主机westosa，此时在westosb中dig www.taobao.com，域名解析过程耗时367ms


4）在第三台内网主机进行dig www.taobao.com，域名解析过程耗时72ms，时间大大缩短，这是因为westosb中进行过dig www.taobao.com，此时第一台主机westosa已经获得了解析资源（这里第三台内网主机可以用真实主机做，因为真实主机和两台虚拟机处于同一网段，只要将其/etc/resolve.conf里的dns解析设置为搭建高速缓存的虚拟主机westosa的ip即可）

3、dns正向解析

a、dns的正向解析

实验步骤：
1）在进行dns正向解析之前，我们需要编辑dns服务的配置文件 /etc/named.conf，注释掉使用国内域名解析服务器源114.114.114.114进行数据缓存的语句，因为我们要搭建一个对外提供dns解析服务的服务器，所以需要注释掉询问别的dns主机的内容

2）接着编辑记录维护域名的语句块的文件 /etc/named.rfc1912.zones，在该文件中编写要维护的域名，设置当前服务器类型为主dns，指定进行解析动作时读取的域名A记录文件，允许更新主机列表

3）在dns服务的数据目录/var/named中，复制域名A记录文件模板为 /etc/named.rfc1912.zones中指定读取的域名A记录文件（复制模板一定要加-p参数，即同时复制文件所有者、拥有组权限设定），编辑域名A记录文件，修改@符号的值等于文件中书写的维护域名，添加正向解析A记录，编写完成后重启dns服务named
注意： 域名A记录文件中不加.后缀的字符串在解析时系统会自动补齐维护域名，因此在书写具体正向解析记录时需要加.后缀，避免dns服务补齐后缀使得解析错误

4）此时在westosb中dig书写的域名，可以得到dns服务器westosa域名A记录文件的正向解析记录中对应的IP（当同一个域名对应两个ip时，dig时两个ip会轮换）

b、dns规范域名转换CNAME

实验步骤：
1）编辑dns服务器westosa的域名A记录文件，添加规范域名转换及对应的正向解析A记录，编写完成后重启dns服务named

2）此时在westosb中dig www.westos.org，dns服务器westosa会先对www.westos.org进行规范域名转换，将其转换为www.a.westos.org，再进一步得到域名A记录文件的正向解析记录中域名对应的IP

c、dns邮件记录的正向解析

发送方在发送邮件时使用的是smtp即简单邮件传输协议，smtp对外开放25端口，负责传输邮件，提供这一协议服务的软件为postfix；接收方查看邮件时使用的是imap/pop3协议，提供这一协议服务的软件为mailx。发送方在发送邮件时，输入的是接收方的域名，在邮件发送过程中需要先对接收方的域名进行解析获得接收方IP地址后，邮件才能够被发送，这一过程就叫做dns邮件记录的正向解析。其具体操作步骤如下：

实验步骤：
1）以westosb为邮件发送方，在westosb中安装postfix、mailx并开启postfix服务


2）编辑dns服务器westosa的域名A记录文件，添加邮件解析记录MX(1表示优先级为1)，编写完成后重启dns服务named

3）此时可以在westosb中发送邮件给westos.org，westosb将接受方域名westos.org使用dns服务器westosa中的dns邮件解析记录进行解析，此时可以在westosb中看到解析得到的接受方IP

4、dns反向解析

实验步骤：
1）dns反向解析ptr与正向解析是完全独立的，在dns服务器westosa中编写/etc/named.rfc1912.zones指定反向解析ptr的维护网段和反向解析记录文件

2）在dns服务的数据目录/var/named中，复制反向解析记录文件模板为/etc/named.rfc1912.zones中指定读取的反向解析记录文件，编写该反向解析记录文件，添加反向解析PTR记录，编写完成后重启dns服务named，此时还要将westosa的/etc/resolv.conf中的域名解析指向设置为它自己的ip(使其为自己提供解析服务，才能读取编写的解析记录文件)

3）完成上述操作后在westosa中使用dig -x ip测试可以看到ip被反向解析为反向解析PTR记录中所对应的域名