第7章—DNS服务器搭建.ppt

1、网络操作系统,计算机科学与技术学院 虞宏霄,DNS服务器,本讲学习目标理解并掌握Linux网络系统下DNS服务器的搭建方法。,DNS：DNS 是域名系统 (Domain Name System) 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析。域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中，通过名称查找计算机和服务。当用户在应用程序中输入DNS名

2、称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，域名的最终指向是IP。,IP地址,192.168.1.1,192.168.1.2,主机名,ali,bob,域名系统,A,Bob.cs.mit.edu,DNS最早于1983年由保罗莫卡派乔斯（Paul Mockapetris）发明；原始的技术规范在882号因特网标准草案（RFC 882）中发布。1987年发布的第1034和1035号草案修正了DNS技术规范，并废除了之前的第882和883号草案。在此之后对因特网标准草案的修改基本上没有涉及到DNS技术规范部分的

3、改动。 早期的域名必须以英文句号“.”结尾 ，这样DNS才能够进行域名解析。如今DNS服务器已经可以自动补上结尾的句号。,IP地址和主机名转换的方法：在类UNIX系统中，可以使用3种技术来实现主机名和IP地址间的转换：Host表、网络信息服务系统（NIS）和域名服务（DNS）。Host表是简单的文本文件（/etc/hosts文件），其中存放了主机名和IP地址的映射表，它通过在该文件中搜索来匹配主机名和IP地址。在/etc/hosts文件中每一行都包含一个IP和该IP地址相关联的主机名，当欲在网络中加入或删除主机或是重新分配IP地址时，管理员所要做的只是更新/etc/hosts文件，但是在一个大

4、型的网络中建立Host表是一件繁琐而又复杂的事情。通常在使用DNS以后，Host表依旧存在，通常起备份作用，即在DNS系统出现问题或尚未运行时才使用Host表。,NIS：Network Information System，是由Sun Microsystem开发的，它将主机表用作NIS主机数据库，从它这里，客户机可以得到他们所需的主机表信息。然而，因为NIS将所有的主机数据都保存在中央主机上，由中央主机将所需数据分配给所有的服务器，以至于将主机名转换为IP时的效率很低。在Internet迅猛发展的今天，没有一种方法可以用一张简单的表或一个数据库为目前Internet上如此多的主机提供合适的服务

5、。因此，NIS只适用于像局域网这样的中型网络。,解决问题的另一种方法是DNS（Domain Name System）。DNS是一种新的主机名和IP地址的转换机制，它使用一种分层的分布式数据库来处理Internet上的成千上万个主机和IP地址的转换。也就是说，网络中没有存放全部Internet主机信息的中心数据库，这些信息分布在一个层次结构中的若干台域名服务器上。,DNS系统的组成：DNS是基于客户/服务器模型设计的。本质上，整个域名系统以一个大的分布式数据库的方式工作。大多数具有Internet 连接的组织都有一个域名服务器。每个服务器指向其他域名服务器的信息，结果是这些服务器形成一个大的协调

6、工作的域名数据库。每当一个应用需要将域名翻译成IP地址时，这个应用就成为域名系统的一个客户。这个客户将待翻译的域名放在一个DNS请求信息，并将这个请求发给域名空间中的DNS服务器，服务器从请求中取出域名，将翻译为对等的IP地址，然后在一个回答信息中将结果地址返回给应用。,在概念上可以将DNS分为3个部分：（1）域名空间：这是标识一组主机并提供他们的有关信息的树结构的详细说明。树上的每一个节点都有其控制下的主机的有关信息的数据库。查询命令试图从这个数据库中提取适当的信息。这些信息是域名，IP地址，邮件别名等在DNS系统中能找到内容。,（2）域名服务器：他们是保持和维护域名空间中数据的程序。由于域

7、名服务器是分布式的，每一个域名服务器含有一个域名空间自己的完整信息，并保存其他有关部分的信息。一个域名服务器拥有其控制范围内的完整信息。其控制范围称为区（Zone），对于本区内的请求由负责本区的域名服务器解释；对于不同区的请求将由本区的域名服务器与负责其他区的相应服务器联系。（3）解析器：解析器是简单的程序或子程序，它从服务器中提取信息以响应对域名空间中主机的查询，用于DNS客户。,域名系统的树状结构图,.,root,第二级,第三级,第四级,根域（Root Domain）在DNS域名空间中，根域只有一个，它没有上级域，以圆点“.”来表示。在Internet中，根域是默认的，一般都不需要表示出来

8、。目前全世界有13台根域服务器，全世界的IP地址和DNS域名空间都由位于美国的InterNIC负责管理或进行授权管理的。,顶级域（top-level domain, TLD）在根域之下的第一级域便是顶级域，它以根域为上级域，其数目有限且不能轻易变动。顶级域是由InterNIC统一管理的。在FQDN中，各级域之间都以点“.”分隔，顶级域位于最右边。例如，在中的“.com”便是顶级域。顶级域有两种类型的划分方法：地理域和机构域。例如： .com .edu .net .mil 等 .cn .au .uk .us .tw 等,顶级域名常见的有两类：（1）国家级顶级域名。例如：CN表示中国；UK表示英国

9、等等。（2）通用的顶级域名。 l COM：商业机构； l EDU：美国教育机构； l NET：网络管理机构； l ORG：社会团体； l MIL：美国军队部门； l GOV：美国政府部门。,各级子域（subdomain）在DNS域名空间中，除了根域和顶级域之外，其它域都称为子域。子域是上级域的域，一个域可以有许多层子域。在已经申请成功的域名下，一般都可以按自己的需要来设置一层或多层子域。在Internet网址中，除了最右边的顶级域外其余的域都是子域。另外子域也是相对而言的。如中，是cn的子域，sina是的子域。,在国家顶级域名下注册的二级域名均由该国家自行确定。我们国家将二级域名划分为“类别域

10、名”和“行政区域名”两大类。 其中，类别域名6个，分别是： AC：表示科研机构； COM：表示工、商、金融等企业； EDU：表示教育机构； GOV：表示政府部门； NET：表示互联网络、接入网络的信息中心和运行中心； ORG：表示各种非赢利性组织。,反向域（in-addr.arpa）为了完成反向解析过程，需要使用到另一个概念，即反向域（in-addr.arpa），通过它来将一个IP地址解析为相应的全域名。in-addr.arpa是为了响应反向解析请求所提供的一种非常有效的工作机制。反向域使用一个IP地址的一个字节值来代表一个子域。这样根域in-addr.arpa就被划分为256个子域，每个子域

11、代表该字节的一个可能值（0255），同样的道理，又可以将每一个子域进一步划分为256个子域。根据这种方法，可以对每个子域继续进行划分，直到全部的地址空间都在反向域中表示出来。,DNS工作原理,（1）客户机要首先从DNS服务器获对应的IP地址，才能和远地服务器建立连接。 （2）DNS域名空间的域名是由分布在不同地方的域名服务器来管理的，域名解析是由用户指定的域名服务器来完成的。（3）DNS域名服务采用的是客户/服务器（client/server）工作模式。客户方的解析过程函数（resolver），嵌套在其它应用的客户程序之内的。 （4）本地域名服务器。本地域名服务器始终运行它的域名服务器进程（n

12、amed），该进程收到客户请求时，就开始进行域名解析。,DNS域名解析过程,（1）DNS客户机提出域名解析请求，并将该请求发送给本地的域名服务器。 （2）当本地的域名服务器收到请求后，就先查询本地的缓存，如果有该记录项，则本地的域名服务器就直接把查询的结果返回。 （3）如果本地的缓存中没有该记录，则本地域名服务器就直接把请求发给根域名服务器，然后根域名服务器再返回给本地域名服务器一个所查询域（根的子域）的主域名服务器的地址。 （4）本地服务器再向上一步返回的域名服务器发送请求，然后接受请求的服务器查询自己的缓存，如果没有该记录，则返回相关的下级的域名服务器的地址。 （5）重复第四步，直到找到正

13、确的记录。 （6）本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给客户机。,查询方法,（1）递归查询（Recursive Query）：客户机送出查询请求后，DNS服务器必须告诉客户机正确的数据（IP地址）或通知客户机找不到其所需数据。如果DNS服务器内没有所需要的数据，则DNS服务器会代替客户机向其他的DNS服务器查询。客户机只需接触一次DNS服务器系统，就可得到所需的节点地址。 （2）迭代查询（Iterative Query）：客户机送出查询请求后，若该DNS服务器中不包含所需数据，它会告诉客户机另外一台DNS服务器的IP地址，使客户机自动转向另外一台DNS服务器查

14、询，依次类推，直到查到数据，否则由最后一台DNS服务器通知客户机查询失败。,DNS系统功能：,（1）正向解析(Forward Resolve) 功能 由 Domain Name 查询出 IP Address 使得网络程序能够通过主机域名访问到目的服务器主机（2）反向解析 (Reverse resolve) 功能 由 IP Address查询出 Domain Name 用于查询连接工作站是属于哪一个网络域,BIND：BIND（Berkeley Internet Name Domain）是一个在UNIX/Linux系统上实现的域名解析服务软件包。 BIND是一个C/S系统，其客户端称为转换程序（r

15、esolver），负责产生域名信息的查询；服务器端是/usr/sbin/named守护进程，负责回答转换程序的查询，主配置文件是/etc/ f。 Fedora版本中BIND程序的虚拟目录是/var/named/chroot/ 如：/etc/named.conf其实就是 /var/named/chroot/etc/named.conf 如：/var/named/其真正的路径是/var/named/chroot/ var/named/,Bind基本配置,（1）主配置文件：/etc/named.conf （2）工作目录：/var/named 用于保存bind服务器的域名区域文件 （3）启动脚本/et

16、c/rc.d/init.d 目录中的named文件是bind服务的启动脚本，用于控制bind服务器的启动和停止,常用DNS资源记录类型,在进行DNS服务器配置之前，首先要检查系统中是否安装了BIND域名服务器，检查的方法可使用下面的命令： # rpm qa | grep bind,提供了实现域名解析功能必备的库文件，系统默认安装,提供对dns服务器的测试工具程序，系统默认安装,Bind服务器软件包，默认不安装,如果没有安装BIND：,键入如下命令: # find . -name “Bind*” Bind-libs-9.7.0-9.P1.fc11.i586.rpm Bind-utils-9.7.

17、0-9.P1.fc11.i586.rpm Bind-9.7.0-9.P1.fc11.i586.rpm # rpm -ivh Bind-libs-9.7.0-9.P1.fc11.i586.rpm,修改主配置文件named.conf:在修改之前，建议先将named.conf备份 # cp named.conf named.bak,/服务器的全局配置选项及一些默认设置,/监听端口,/区域文件存储目录,/dump cach的目录,/Named.ca是根区域文件，存于/var/named目录,修改named.conf文件(/etc/named.conf): listen-on port 53 127.0

18、.0.1; ; listen-on-v6 port 53 :1; ; allow-query localhost; ; Fedora 11中，默认仅仅在回环地址127.0.0.1和:1(IPV6的回环地址)上打开53端口，如果希望在所有地址上都打开53端口，则应该修改成： listen-on port 53 any; ; listen-on-v6 port 53 any; ; allow-query any; ;,全局配置语句options：主要定义服务器配置文件的工作目录 directory ”/var/named” 区声明：区声明主要包括type子句和file子句。区声明需要说明（1）域名

19、；（2）服务器类型；（3）域信息源。 区类型： type：master|hint|slave （1）master：说明一个区为主域名服务器； （2）hint：说明一个区为启动时初始化高速缓存的域名服务器； （3）slave：说明一个区为辅助域名服务器；,Linux9：建立正向解析域和反向解析域:zone “.“ IN （指定根域）type hint;file “named.ca“; 建立正向解析域 （指定本地域） zone “” /要实现的域 type master; /要实现的是主域名服务器 file “.zone”; /主域的记录文件，存放在/var/named下 ; 建立反向解析域 （指

20、定反向域） zone “118.43.210.in-addr.arpa“ /的反向解析区域 type master; /类型是主域名服务器file “210.43.118.rev”; /反向域的记录的存放文件，在/var/named下 ;,Fedora11：建立正向解析域和反向解析域:为了配置的方便和减少出错我们从系统（127.0.0.1)回环/etc/named.rfc1912.zones文件复制到named.conf文件并修改。 zone “localhost” IN type master; file “named.localhost”; allow-update none; ; zon

21、e “1.0.0.127.in-addr.arpa“ IN type master; file “named.loopback“; allow-update none; ; ;,修改成：zone ““ IN type master; file “.zone“; allow-update none; ; ; zone “118.43.210.in-addr.arpa“ IN type master; file “118.43.210.arpa“; allow-update none; ; ;,建立正向区域文件: (1)用cd命令进入/var/named/ (2)用cp命令把named.local

22、host（或localhost.zone）复制为.zone；,.zone原文件内容 $TTL 1D IN SOA rname.invalid. ( 注：授权开始，指定名字服务器 0 ; serial /区域的序列号 1D ; refresh /是从域超时的刷新时间间隔 1H ; retry /是从域重试刷新时间 1W ; expire /是从域刷新失败认为主域无效的时间3H ) ; minimum /是区域中记录存活的时间 NS 注：本域授权名字服务器 A 127.0.0.1 注：主机地址，映射主机名字到IP地址 AAAA :1 注：主机地址记录,(3)修改.zone； $TTL 1D . I

23、N SOA . . ( 2010052801 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum . IN NS dns. . . IN A 192.168.138.128 . IN A 192.168.138.128 . IN A 192.168.138.128 . IN A 192.168.138.128 . IN A 192.168.138.128 . IN MX 10 . IN CNAME .,可以简化为,主DNS服务器域名,DNS服务器管理员邮件,/表示的域名由翻译,/表示发往域的邮件由主机转发 MX表示mail

24、exchange,而10 则是它的优先级(较低),Linux9下.zone的配置： #vi /var/named/.zone $TTL 86400 /单位是秒 IN SOA . root ( 42 ; serial (d. adams) /序列号 3H ; refresh /3小时更新 15M ; retry /15分钟重试 1W ; expiry /一周 1D ) ; minimum /一天 IN NS ./代表当前区域允. dns2 IN NS ./前面的和dns2可以写也省略IN MX 5 . /添加邮件交换记录 dns1 IN A 192.168.138.128 /主域名服务器记录 d

25、ns2 IN A 192.168.138.129 /辅助域名服务器记录 www IN A 192.168.138.128 /网站主机记录 aaa IN CNAME www /别名记录,(4)cp /var/named/named.loopback 118.43.210.arpa118.43.210.arpa原文件内容 $TTL 1D IN SOA rname.invalid. ( 0; serial /添加修改时相应的序列号 1D; refresh /是SOA信息的刷新时间间隔 1H; retry /是与授权服务器联系的频率 1W; expire /是从服务器保存有关区域信息，而不更新它的时间

26、间隔 3H ); minimum /是区域中记录存活的时间 NS PTR localhost. 注：指针记录，执行逆向域名访问，映射IP地址到主机名,118.43.210.arpa修改后内容 $TTL 1D 118.43.210.in-addr.arpa. IN SOA . . ( 2010052801 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum 118.43.210.in-addr.arpa. IN NS . 128 IN PTR . 128 IN PTR www. . 128 IN PTR bbs. . 128 I

27、N PTR blog. . 128 IN PTR mail. .,Linux9下反向解析域的配置： # vi /var/named/118.43.210.rev $TTL 86400 IN SOA . root (42 ; serial (d. adams)3H ; refresh15M ; retry1W ; expiry1D ) ; minimum IN NS dns1. . dns2 IN NS dns2. . 128 IN PTR dns1. . 129 IN PTR dns2. . 128 IN PTR www. .,修改resolv.conf：,Fedora11修改为：DNS1= 192.168.138.128DNS2= 192.168.138.129DOMIN= Linux9修改为：domain nameserver 192.168.138.128 nameserver 192.168.138.129,