Centos7 DNS域名解析服務 （理論+實驗詳解）

DNS服務器常見概念

一．DNS服務概述:

DNS(Domain Name System--域名系統),在TCP/IP 網絡中有著非常重要的地位,能夠提供域名和IP地址的解析服務.

DNS是一個分布式數據庫,命名系統采用層次的邏輯結構,如同一顆倒置的樹,這個邏輯的樹形結構稱為域名空間,由于DNS劃分了域名空間,所以各機構可以使用自己的域名空間創建DNS信息.

注:DNS域名空間中,樹的最大深度不得超過127層,樹中每個節點最長可以存儲63個字符.

二．一些名詞的解釋:

1. 域和域名

DNS樹的每個節點代表一個域.通過這些節點,對整個域名空間進行劃分,成為一個層次結構.

域名空間的每個域的名字,通過域名進行表示.

域名:通常由一個完全合格域名（FQDN）標識.FQDN能準確表示出其相對于DNS 域樹根的位置,也就是節點到DNS 樹根的完整表述方式,從節點到樹根采用反向書寫,并將每個節點用“.”分隔,對于DNS 域google 來說,其完全正式域名（FQDN）為google.com.

例如,google為com域的子域,其表示方法為google.com,而www為google域中的子域,可以使用www.google.com表示.

注意:通常,FQDN 有嚴格的命名限制,長度不能超過256 字節,只允許使用字符a-z,0-9,A-Z和減號（-）.點號（.）只允許在域名標志之間（例如“google.com”）或者FQDN 的結尾使用.

域名不區分大小.

由最頂層到下層,可以分成:根域、頂級域、二級域、子域.

Internet 域名空間的最頂層是根域（root）,其記錄著Internet 的重要DNS 信息,由Internet域名注冊授權機構管理,該機構把域名空間各部分的管理責任分配給連接到Internet 的各個組織.

“.”全球有13個根(root)服務器

DNS 根域下面是頂級域,也由Internet 域名注冊授權機構管理.共有3 種類型的頂級域.

組織域:采用3 個字符的代號,表示DNS 域中所包含的組織的主要功能或活動.比如com 為商業機構組織,edu 為教育機構組織,gov 為政府機構組織,mil 為軍事機構組織,net 為網絡機構組織,org 為非營利機構組織,int 為國際機構組織.

地址域:采用兩個字符的國家或地區代號.如cn 為中國,kr 為韓國,us 為美國.

反向域:這是個特殊域,名字為in-addr.arpa,用于將IP 地址映射到名字（反向查詢）.

對于頂級域的下級域,Internet 域名注冊授權機構授權給Internet 的各種組織.當一個組織獲得了對域名空間某一部分的授權后,該組織就負責命名所分配的域及其子域,包括域中的計算機和其他設備,并管理分配域中主機名與IP 地址的映射信息.

2、區(Zone)

區是DNS 名稱空間的一部分,其包含了一組存儲在DNS 服務器上的資源記錄.

使用區的概念,DNS 服務器回答關于自己區中主機的查詢,每個區都有自己的授權服務器.

三.主域名服務器與輔助域名服務器

當區的輔助服務器啟動時,它與該區的主控服務器進行連接并啟動一次區傳輸,區輔助服務器定期與區主控服務器通信,查看區數據是否改變.如果改變了,它就啟動一次數據更新傳輸.每個區必須有主服務器,另外每個區至少要有一臺輔助服務器,否則如果該區的主服務器崩潰了,就無法解析該區的名稱.

輔助服務器的優點:

1）容錯能力

配置輔助服務器后,在該區主服務器崩潰的情況下,客戶機仍能解析該區的名稱.一般把區的主服務器和區的輔助服務器安裝在不同子網上,這樣如果到一個子網的連接中斷,DNS 客戶機還能直接查詢另一個子網上的名稱服務器.

2）減少廣域鏈路的通信量

如果某個區在遠程有大量客戶機,用戶就可以在遠程添加該區的輔助服務器,并把遠程的客戶機配置成先查詢這些服務器,這樣就能防止遠程客戶機通過慢速鏈路通信來進行DNS 查詢.

3）減輕主服務器的負載

輔助服務器能回答該區的查詢,從而減少該區主服務器必須回答的查詢數.

四.DNS 相關概念

（1）DNS 服務器

運行DNS 服務器程序的計算機,儲存DNS 數據庫信息.DNS 服務器會嘗試解析客戶機的查詢請求.

在解答查詢時,如果DNS 服務器能提供所請求的信息,就直接回應解析結果,如果該DNS 服務器沒有相應的域名信息,則為客戶機提供另一個能幫助解析查詢的服務器地址,如果以上兩種方法均失敗,則回應客戶機沒有所請求的信息或請求的信息不存在.

（2）DNS 緩存

DNS 服務器在解析客戶機請求時,如果本地沒有該DNS 信息,則可以會詢問其他DNS 服務器,當其他域名服務器返回查詢結果時,該DNS 服務器會將結果記錄在本地的緩存中,成為DNS 緩存.當下一次客戶機提交相同請求時,DNS 服務器能夠直接使用緩存中的DNS 信息進行解析.

（3）DNS查詢過程:

看一個DNS查詢過程:

通過8個步驟的解析域名,但實際應用中,通常這個過程是非常迅速的

?

<1> 客戶機提交域名解析請求,并將該請求發送給本地的域名服務器.

<2> 當本地的域名服務器收到請求后,就先查詢本地的緩存.

如果有查詢的DNS 信息記錄,則直接返回查詢的結果.

如果沒有該記錄,本地域名服務器就把請求發給根域名服務器.

<3> 根域名服務器再返回給本地域名服務器一個所查詢域的頂級域名服務器的地址.

<4> 本地服務器再向返回的域名服務器發送請求.

<5> 接收到該查詢請求的域名服務器查詢其緩存和記錄,如果有相關信息則返回客戶機查詢結果,否則通知客戶機下級的域名服務器的地址.

<6> 本地域名服務器將查詢請求發送給返回的DNS 服務器.

<7> 域名服務器返回本地服務器查詢結果（如果該域名服務器不包含查詢的DNS 信息,查詢過程將重復<6>、<7>步驟,直到返回解析信息或解析失敗的回應）.

<8> 本地域名服務器將返回的結果保存到緩存,并且將結果返回給客戶機.

?

五.兩種查詢方式:

（1）遞歸查詢

遞歸查詢是一種DNS 服務器的查詢模式,在該模式下DNS 服務器接收到客戶機請求,必須使用一個準確的查詢結果回復客戶機.如果DNS 服務器本地沒有存儲查詢DNS 信息,那么該服務器會詢問其他服務器,并將返回的查詢結果提交給客戶機.

（2）迭代查詢

DNS 服務器另外一種查詢方式為迭代查詢,當客戶機發送查詢請求時,DNS 服務器并不直接回復查詢結果,而是告訴客戶機另一臺DNS 服務器地址,客戶機再向這臺DNS 服務器提交請求,依次循環直到返回查詢的結果為止.

六.正向解析與反向解析

1）正向解析

正向解析是指域名到IP 地址的解析過程.

2）反向解析

反向解析是從IP 地址到域名的解析過程.反向解析的作用為服務器的身份驗證

DNS服務的配置文件

一.主配置文件

/etc/named.conf

功能：控制系統全局

二.區域配置文件

/etc/named.rfc1912.zones

功能：控制具體單個區域

三.區域數據配置文件

/etc/named/named.localhost

功能：區域信息

DNS服務正向解析搭建

1.使用yum install bind -y? 安裝bind包

2.修改全局配置文件 vim /etc/named.conf

3.修改區域配置文件? vim /etc/named.rfc1912.conf

4.復制區域數據文件模板

5.修改區域數據文件? vim /etc/named/kgc.com.zone

6.關閉防火墻，開啟服務

7.修改dns配置文件

8.用host 域名? 進行解析驗證

DNS反向解析配置過程

1.修改區域配置文件 vim /etc/named.rfc1912.zones

2.復制區域數據文件模板?

3.修改區域數據文件vim /etc/named/yun.com.local

4.重啟服務 systemctl restart named

5.驗證 host

DNS服務器主從同步

1.再開啟一臺虛擬機作為輔助服務器，并關閉防火墻，安裝bind

2.修改全局配置文件 vim /etc/named.conf

3.修改區域配置文件? vim /etc/named.rfc1912.zones

4.切換到主服務器修改區域配置文件 vim /etc/named.rfc1912.zones

5.重啟主服務器服務

6.修改從服務器dns配置文件，并開啟服務

7.驗證

從服務器擁有了與主服務器相當的解析功能