目录 |
DNS服务
DNS理论 |
DNS理论
DNS
DNS(Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它从事将主机名或域名转换为实际IP地址的工作。DNS就是样的一位“翻译官”,它的基本工作原理可用下图来表示。
在访问一个网站的时候,只要输入该网站的网址就会跳转到该网站页面,而实现这一过程就需要DNS服务器将域名解析为IP地址,进而实现数据通信。
监听端口: udp/53,tcp/53
应用程序: BIND (Bekerley Internat Name Domain 国际域名)
域名结构
FQDN:Fully Qualified Domain Name,完整主机名
www.huaxing.org 完整主机名(FQDN)
www 主机名,或者别名
huaxing.org domain域名
查询类型–重要
递归是用户只向本地DNS服务器发出请求,然后等待肯定或否定答案。而迭代是本地服务器向根DNS服务器发出请求,而根DNS服务器只是给出下一级DNS服务器的地址,然后本地DNS服务器再向下一级DNS发送查询请求直至得到最终答案。
(1)递归查询
递归查询是一种DNS 服务器的查询模式,在该模式下DNS 服务器接收到客户机请求,必须使用一个准确的查询结果回复客户机。如果DNS 服务器本地没有存储查询DNS 信息,那么该服务器会询问其他服务器,并将返回的查询结果提交给客户机。
(2)迭代查询
DNS 服务器另外一种查询方式为迭代查询,DNS 服务器会向客户机提供其他能够解析查询请求的DNS 服务器地址,当客户机发送查询请求时,DNS 服务器并不直接回复查询结果,而是告诉客户机另一台DNS 服务器地址,客户机再向这台DNS 服务器提交请求,依次循环直到返回查询的结果为止。
查询过程
假设www.abc.com的主机要查询www.xyz.abc.com的服务器ip地址。
1、hosts文件:以静态映射的方式提供IP地址与主机名的对照表,类似ARP表
2、域:abc.com是一个域,它可以划分为多个区域,如abc.com和xyz.abc.com
步骤
递归查询
第一步:在hosts静态文件、DNS解析器缓存中查找某主机的ip地址;
第二步:上一步无法找到,去DNS本地服务器(即域服务器)查找,其本质是去区域服务器、服务器缓存中查找;
第三步:本地DNS服务器查不到就根据‘根提示文件’向负责顶级域‘.com’的DNS服务器查询;
第四步:‘根DNS服务器’根据查询域名中的‘xyz.com’,再向xyz.com的区域服务器查询;
第五步:www.xyz.abc.com的DNS服务器直接解析该域名,将查询到的ip再原路返回给请求查询的主机。
迭代查询
第一步:在hosts静态文件、DNS解析器缓存中查找某主机的ip地址;
第二步:上一步无法找到,在DNS本地服务器(即域服务器)查找所有本层次的区域服务器;
第三步:本地DNS服务器查不到就查询上一层次的所有区域服务器,以此类推直至根域名DNS服务器‘;
第四步:到达根域名服务器后又向下查询,直至查到结果为止。
迭代查询与递归查询结合
递归查询需要经过逐层查询才能获得查询结果,当查询具有许多层次的DNS结构时效率很低,所以一般采用两者相结合的查询方式。
第一步:在hosts静态文件、DNS解析器缓存中查找某主机的ip地址;
第二步:上一步无法找到,去DNS本地服务器(即域服务器)查找,其本质是去区域服务器、服务器缓存中查找;
第三步:本地DNS服务器查不到就根据‘根提示文件’向负责顶级域‘.com’的根DNS服务器查询;
第四步:根DNS服务器直接将其区域DNS服务器的ip地址返回给本地服务器,而不用再向xyz.com的区域服务器查询;
第五步:本地DNS服务器将结果返回给请求的主机。
主从复制
主从服务器关系
如果公司内DNS服务器负载过重或者为了实现冗余这一类功能就需要用到一个备份DNS服务器,备份服务器和主DNS服务器就形成了主从关系,如果主服务器的区域文件更新就会通知从服务器同步最新的区域文件,平时从服务器不提供解析服务,如果主服务器有故障从服务器就立刻激活提供域名解析服务。
主从复制工作过程
解析流程
1.在浏览器中输入www.qq.com域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射,完成域名解析。
2.如果hosts里没有这个域名的映射,则查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。
3.如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/IP参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析,此解析具有权威性。
4.如果要查询的域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。
5.如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询,如果未用转发模式,本地DNS就把请求发至 “根DNS服务器”,“根DNS服务器”收到请求后会判断这个域名(.com)是谁来授权管理,并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后,将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后,如果自己无法解析,它就会找一个管理.com域的下一级DNS服务器地址(qq.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找qq.com域服务器,重复上面的动作,进行查询,直至找到www.qq.com主机。
6.如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把转请求转至上上级,以此循环。不管是本地DNS服务器用是是转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机。
资源记录
区域解析库:由众多RR组成:
资源记录:Resource Record, RR
记录类型:A, AAAA, PTR, SOA, NS, CNAME, MX
SOA:Start Of Authority,起始授权记录;一个区域解析库有且仅能有一个SOA记录,
必须位于解析库的第一条记录,定义了谁是主DNS服务器,管理员邮箱及刷新时间(从属DNS服务器拉取主DNS服务器数据的时间)、重试时间、过期时间及否定答案的TTL值
A:internet Address,作用,FQDN –> IP
AAAA:FQDN –> IPv6
PTR:PoinTeR,IP –> FQDN
NS:Name Server,专用于标明当前区域的DNS服务器
CNAME:Canonical Name,别名记录,如www
MX:Mail eXchanger,邮件交换器
子域
其他概念
服务器类型
主DNS服务器:管理和维护所负责解析的域内解析库的服务器
从DNS服务器:从主服务器或从服务器“复制”(区域传输)解析库副本
缓存DNS服务器(转发器)
序列号:解析库版本号,主服务器解析库变化时,其序列递增
刷新时间间隔:从服务器从主服务器请求同步解析的时间间隔
重试时间间隔:从服务器请求同步失败时,再次尝试时间间隔
过期时长:从服务器联系不到主服务器时,多久后停止服务
否定答案的缓存时长
“通知”机制:主服务器解析库发生变化时,会主动通知从服务器
区域传输
正向:FQDN –> IP
反向: IP –> FQDN
bind |
bind
相关文件
主配置文件
/etc/named.conf
包含 /etc/named.rfc1912.zones(次配置文件), /etc/rndc.key
主程序
/usr/sbin/named
服务
/usr/lib/systemd/system/named.service
存放数据库
/var/named
区域解析库参考文件
/var/named/named.ca 根DNS文件
/var/named/named.localhost localhost和本地回环地址解析库
服务的脚本:
/etc/rc.d/init.d/named CentOS 6
/usr/lib/systemd/system/named.service CentOS 7
程序组件
bind:服务器
bind-libs:相关库
bind-utils:客户端
rndc:remote name domain controller,默认与bind安装在同一主机,且只能通过127.0.0.1来链接named进程;提供辅助性的管理功能;
安装配置
具体步骤:
1主DNS服务器安装bind包:
yum install bind
bind-libs.x86_64 已安装
bind-utils.x86_64 已安装
2 备份主配置文件,注意保留属性
cp /etc/named.conf{,.bak} -a
3.开启named服务
4.修改主配置文件
named.conf
全局配置:options{}
listen-on 监听端口
directory 指明了主目录,后面相关的配置,都是在这个主目录下的(/var/named);
allow-query 允许查询
recursion,即允许该服务器为哪些地址进行递归查询
dnssec-enable和dnssec-validation :安全选项 一般no
任何服务程序如果期望其能够通过网络被其它主机访问,至少应该监听在一个能与外部主机通信的IP地址上,而不是内循环地址。改第一、七行。
listen-on port 53 { localhost; };
allow-query { localhost;any; };
13个DNS根配置
zone "." IN {
type hint; //注意type
file "named.ca";
};
日志子系统配置:logging{}
区域定义:本机能够为哪些zone进行解析,就要定义哪些zone建议放/etc/named.rfc1912.zones文件,专门放区域设置的文件
另:检查主配置文件命令(包括次配置文件rfc1919)
named-checkconf
5.修改区域配置文件
/etc/named.rfc1912.zones
定义方法:zone “ZONE_NAME” IN {}
zone "huaxing.org" IN {
type master;
file "huaxing.org.zone";
};
6.创建区域解析数据库文件
-
/var/named/huaxing.org.zone (默认路径-新建)
-
编辑huaxing.org.zone文件
资源记录配置详解请看下一部分,这里只列出实际记录内容$TTL 1D //一天作为缓存期 $ORIGIN huaxing.org. @ IN SOA ns1.huaxing.org. admin.huaxing.org. ( 2019040201 1H 5M 3D 1D) IN NS ns1 IN NS ns2 ns1 IN A 192.168.11.6 ns2 IN A 192.168.11.7 www IN A 192.168.11.4 * IN A 192.168.11.4
-
named-checkzone “huaxing.org” /var/named/huaxing.org.zone 区域语法检查
-
chown :named huaxing.org.zone 更改组属性
-
chmod 640 huaxing.org.zone 更改权限,取消other的读权限
-
rndc reload 重新加载配置文件
资源记录配置详解
-
正向解析
$TTL 1D //一天作为缓存期 $ORIGIN huaxing.org. //第一个@表示当前域名;ns1.huaxing.org. 主dns; //admin.huaxing.org.=admin@huaxing.org 管理员邮箱,址中不能使用@符号,一般用.替换; @ IN SOA ns1.huaxing.org. admin.huaxing.org. ( 2019040201 //版本号 2H //刷新时间 5M //重试时间 3D //过期时间 1D) //否定答案的TTL值 //相邻的两个资源记录的name相同时,后续的可省略 IN NS ns1 //定义主DNS服务器 IN NS ns2 //定义从DNS ns1 IN A 192.168.11.6 //定义两个DNS的IP ns2 IN A 192.168.11.7 www IN A 192.168.11.4 //定义web服务ip ftp IN A 192.168.11.5 //定义ftp服务ip * IN A 192.168.11.4 //泛域名解析
扩展应用 |
扩展应用
利用DNS实现web服务器负载均衡
配置:
主DNS服务器:192.168.30.10
web服务器1:192.168.30.16
web服务器2:192.168.30.12
目的:当客户端访问网页时,由主DNS服务器随机指向一台web服务器
具体步骤:
修改区域解析库数据文件huaxing.org.zone :
添加下列行:
websrv A 192.168.11.4
websrv A 192.168.11.14
www CNAME websrv
* A 192.168.11.4
* A 192.168.11.14
重新加载named服务:
rndc reload
客户端访问web服务时,会随机挑选一台web服务器应答。
实现反向解析
搭建正向从DNS服务器
准备:
主DNS服务器:192.168.11.6
从DNS服务器:192.168.11.7
web服务器:192.168.11.4
搭建从DNS服务器,当主DNS服务器宕机时,由从DNS实现地址解析。bind程序的版本应该保持一致;否则应该从高主低。
具体步骤:
- 修改主DNS服务器主配置文件,
vim /etc/named.conf
options {
listen-on port 53 { localhost; };
allow-query { local;any; };
allow-transfer { 192.168.11.7 }; 加此行
};
- 修改主DNS服务器区域数据库解析文件
将从DNS服务器同步进去
@ IN SOA ns1.huaxing.org. admin.huaxing.org. (
2019040201 //版本号
2H //刷新时间
5M //重试时间
3D //过期时间
1D) //否定答案的TTL值
IN NS ns1
IN NS ns2 //定义从DNS
- 修改从DNS服务器主配置文件
vim /etc/named.conf
加一行在options{}中
allow-transfer { none; };
-
修改从DNS服务器区域配置文件/etc/named.rfc1912.zones
zone “huaxing.org” IN {
type slave;
masters { 192.168.11.6; }
file “slaves/huaxing.org.zone.slave”
重启named服务
rndc reload
- 确认从DNS服务器slave区域文件同步成功
- 添加从服务器地址到客户端的DNS列表中
实现子域 |
实现子域
实现智能DNS |