DNS服务器的基础应用及主从同步

DNS服务器的基础应用及主从同步

域名系统（英文：Domain Name System，缩写：DNS）是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。DNS 使用TCP和UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

简而言之，DNS的出现是为了解决人们访问各个网站时的困难，因为如果每一个web服务器都是一个固定的外网IP的话，那么我们访问时必须要在浏览器中输入如的，这对于人类来说太难于记忆了（虽然计算机很喜欢数字），所以我们想了一种方法将一个网站的名称和ip地址关联起来这样使用起来就方便多了。比如访问www.google.com其实就是访问的8.8.8.8这个ip地址，这样我们只要知道google这个公司就可以轻易的记住它的web网站了。其中www.google.com叫做一个FQDN(Fully qualified domain name)即完全资格域名，在互联网上唯一标识一台服务器（在访问者看来），而FQDNàIP的转换叫做正向解析，IPàFQDN的转换叫做反向解析。反向解析的作用主要是解决邮件服务器拒绝垃圾邮件的，因为在互联网中多个FQDN可以指向同一个IP所以通过IP去找FQDN在互联网上是不现实的，这样就可以使用一个随意的IP地址来伪装成特定的FQDN，如果某IP发来的邮件与其注册的域名正、反向解析并不相匹配，那么邮件服务器会把此邮件定义为垃圾邮件处理。

DNS进行解析时默认使用的是UDP的53号端口，使用的查询方式分为两种：递归查询和迭代查询。递归查询查询是客户端与DNS服务器之间的方式，迭代查询时DNS服务器之间的方式。

在一个完整的FQDN当中，一共分为四个部分：主机名.二级域名.一级域名.，最后的一个点代表根域名服务器，全球一共有13组，从A-M编号，其中有些组在世界各地有多组镜像，根域名服务器顾名思义就是以它为起始进行查询，它知道每一个顶级域名服务器的地址，每一个顶级域名服务器知道其所管辖的二级域名服务器的地址，每一个二级域名服务器知道其管辖的每一个主机的地址，这个样经过层层迭代就可以确定一个FQDN的IP地址，然后前段DNS服务器将查询后的最终结果一次返回给客户端这就叫做递归查询。举个例子：

查询 www.czcedu.org

客户端发送查询报文" www.czcedu.org "至DNS服务器，DNS服务器首先检查自身缓存，如果存在记录则直接返回结果。

如果记录老化或不存在，则

DNS服务器向根域名服务器发送查询报文" www.czcedu.org "，根域名服务器返回 .org 域的权威域名服务器地址，这一级首先会返回的是顶级域名的权威域名服务器。

DNS服务器向 .org 域的权威域名服务器发送查询报文" www.czcedu.org "，得到 .czcedu.org 域的权威域名服务器地址。

DNS服务器向 .czcedu.org 域的权威域名服务器发送查询报文" www.czcedu.org "，得到主机 www 的A记录，存入自身缓存并返回给客户端。

我们看到了DNS服务器的作用，但是如果我们全网内的解析工作都交给一台DNS服务器的话那么一旦它宕机将无法通过FQDN访问互联网，所以我们要对DNS服务器进行备份，接下来我们就说一下DNS服务器的类型：

1、主DNS服务器

a)维护所负责解析的域内解析库服务器；解析库由管理维护

2、从DNS服务器

a)从主DNS服务器或其它的从DNS服务器那里“复制”（区域传递）一份解析库；这时使用的是TCP的53端口。

序列号：解析库的版本号；前提：主服务器解析库内容发生变化，其序列递增；

刷新时间间隔：从服务器从主服务器请求同步解析库的时间间隔；

重试时间间隔：从服务器从主服务器请求同步解析库失败时，再次尝试的时间间隔；

过期时长：从服务器始终联系不到主服务器时，多久之后放弃从服务器角色，停止提供服务；

通知机制：主服务器在发生改变时会立即通知从服务器来同步解析库

3、缓存DNS服务器

a)及上图中的与client直接联系的DNS服务器，用于缓存已经确定的查询结果以加快DNS解析速度。

解析答案：

肯定答案：解析到的确定结果

否定答案：请求的条目不存在等原因导致无法返回结果；

权威答案：直属服务器提供的答案

非权威答案：缓存或者非直属服务器提供的答案

4、转发DNS服务器

a)将客户端的查询请求全部或部分转发给某特定的DNS服务器

DNS服务器能够解析域名靠的是区域解析库，而区域解析库是由众多的资源记录（RR，Resource Record）组成的，RR由多种类型：

SOA：Start Of Authority，起始授权记录；一个区域解析库有且仅能有一个SOA记录，而必须为解析库的第一条记录；

A：internet Address，作用，FQDN --> IP

AAAA: FQDN --> IPv6

PTR: PoinTeR，IP --> FQDN

NS: Name Server，专用于标明当前区域的DNS服务器

CNAME：Canonical Name，别名记录

MX:　Mail eXchanger，邮件交换器

每种资源记录定义的格式：

语法：name [TTL] IN rr_type value

注意：

(1) TTL即客户端的到解析结果的缓存时长，可从全局继承；

(2) @可用于引用当前区域的名字；

(3) 同一个名字可以通过多条记录定义多个不同的值；此时DNS服务器会以轮询方式响应；

(4) 同一个值也可能有多个不同的定义名字；通过多个不同的名字指向同一个值进行定义；此仅表示通过多个不同的名字可以找到同一个主机而已；

SOA:

name: 当前区域的名字，例如“magedu.com.”；

value: 有多部分组成

(1) 当前区域的主DNS服务器的FQDN，也可以使用当前区域的名字；

(2) 录前区域管理员的邮箱地址；但地址中不能使用@符号，一般用.替换，例如linuxedu.magedu.com；

(3) (主从服务协调属性的定义以及否定的答案的统一的TTL)

例如：

magedu.com. 86400 IN SOA ns.magedu.com. nsadmin.magedu.com. (

2015042201 ;序列号

2H ;刷新时间

10M ;重试时间

1W ;过期时间

1D ;否定答案的TTL值

)

NS:

name: 当前区域的名字

value: 当前区域的某DNS服务器的名字，例如ns.magedu.com.；

注意：一个区域可以有多个NS记录；

例如：

magedu.com. IN NS ns1.magedu.com.

magedu.com. IN NS ns2.magedu.com.

注意：

(1) 相邻的两个资源记录的name相同时，后续的可省略；

(2) 对NS记录而言，任何一个ns记录后面的服务器名字，都应该在后续有一个A记录；

MX:

name: 当前区域的名字

value: 当前区域的某邮件服务器(smtp服务器)的主机名；

一个区域内，MX记录可有多个；但每个记录的value之前应该有一个数字(0-99)，表示此服务器的优先级；数字越小优先级越高；

例如：

magedu.com. IN MX 10 mx1.magedu.com.

IN MX 20 mx2.magedu.com.

注意：

(1) 对MX记录而言，任何一个MX记录后面的服务器名字，都应该在后续有一个A记录；

A:

name: 某主机的FQDN，例如www.magedu.com.

value: 主机名对应主机的IP地址；

例如：

www.magedu.com. IN A 1.1.1.1

www.magedu.com. IN A 1.1.1.2

mx1.magedu.com. IN A 1.1.1.3

mx2.magedu.com. IN A 1.1.1.3

注意：

*.magedu.com. IN A 1.1.1.4

magedu.com. IN A 1.1.1.4

避免用户写错名称时给错误答案，可通过泛域名解析进行解析至某特定地址；

AAAA:

name: FQDN

value: IPv6

PTR:

name: IP，有特定格式，把IP地址反过来写，1.2.3.4，要写作4.3.2.1；而有特定后缀：in-addr.arpa.，所以完整写法为：4.3.2.1.in-addra.arpa.

value: FQDN

例如：

4.3.2.1.in-addr.arpa. IN PTR www.magedu.com

简写成：

4 IN PTR www.magedu.com.

注意：网络地址及后缀可省略；主机地址依然需要反着写；

CNAME：

name: 别名的FQDN

value: 正工名字的FQDN；

例如：

web.magedu.com. IN CNAME www.magedu.com

OK，DNS协议我们已经大致讲清楚了，接下来我们看一下DNS服务到的实现，使用最广泛的的开源实现方式是使用BIND软件包。BIND（Berkeley Internet Name Daemon）是现今互联网上最常使用的DNS服务器软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会（Internet Systems Consortium）负责开发与维护。BIND（Berkeley Internet Name Daemon）是现今互联网上最常使用的DNS服务器软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会（Internet Systems Consortium）负责开发与维护。

安装bind包有很多个组件，我们这里就安装bind.x86_64、bind-libs.x86_64、bind-utils.x86_64这三个包，至于其它包的功能大家自行查看吧，篇幅原因就不详细解释了。使用简单的yum安装就可以了默认base源中就有。安装好之后会生成一些关键性的文件：

服务脚本：/etc/rc.d/init.d/named

主配置文件：/etc/named.conf, /etc/named.rfc1912.zones, /etc/rndc.key

解析库文件：/var/named/ZONE_NAME.ZONE

根区域文件：/var/named/named.ca

rndc: remote name domain controller，默认与bind安装在同一主机，且只能通过127.0.0.1:953/tcp来连接named进程；提供辅助性的管理功能；

[root@bogon ~]# vim /etc/named.conf

10 options {

11 listen-on port 53 { 192.168.19.135; 127.0.0.1; 192.168.80.129; }; #配置监听的端口和ip

12 listen-on-v6 port 53 { ::1; };

13 directory "/var/named";

14 dump-file "/var/named/data/cache_dump.db";

15 statistics-file "/var/named/data/named_stats.txt";

16 memstatistics-file "/var/named/data/named_mem_stats.txt";

17 allow-query { any; }; #允许查询请求的主机

18 recursion yes; #是否允许递归查询

19 //forward first;

20 //forwarders { 192.168.19.134; };

21

22 dnssec-enable no;

23 dnssec-validation no;

24 // dnssec-lookaside auto;

25

26 /* Path to ISC DLV key */

27 // bindkeys-file "/etc/named.iscdlv.key";

28

29 // managed-keys-directory "/var/named/dynamic";

30 };

31

32 logging {

33 channel default_debug {

34 file "data/named.run";

35 severity dynamic;

36 };

37 };

38

39 zone "." IN { #定义根区域

40 type hint; #根提示，就是找不到了就从根开始找

41 file "named.ca";

42 };

43

44 include "/etc/named.rfc1912.zones"; #包含区域文件

45 include "/etc/named.root.key";

#到此处如果我们没有自定义named.rfc1912.zones中的任何内容那么启动named进程这台服务器就是 一台缓存服务器，它如果可以访问物联网就可以解析任何互联网上的域名了，因为它能找到根。

[root@bogon ~]# vim /etc/named.rfc1912.zones

13 zone "localhost.localdomain" IN {

14 type master;

15 file "named.localhost";

16 allow-update { none; };

17 };

18

19 zone "localhost" IN {

20 type master;

21 file "named.localhost";

22 allow-update { none; };

23 };

24

25 zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {

26 type master;

27 file "named.loopback";

28 allow-update { none; };

29 };

30

31 zone "1.0.0.127.in-addr.arpa" IN {

32 type master;

33 file "named.loopback";

34 allow-update { none; };

35 };

36

37 zone "0.in-addr.arpa" IN {

38 type master;

39 file "named.empty";

40 allow-update { none; };

41 };

42 #以上定义的都是本地回环地址的正向和反向区域

48 zone "czcedu.com." IN {

49 type master;

51 file "czcedu.com.zone";

52 }; #定义主DNS服务器、正向区域，指定区域解析库文件

[root@bogon ~]# vim /var/named/czcedu.com.zone #编写区域解析库文件

1 $TTL 86400 #缓存值

2 $ORIGIN czcedu.com. #区域名称变量

3 @ IN SOA ns1.czcedu.com. admin.czcedu.com. ( #@表示使用ORIGIN变量，如果没有定义则使用区域名称

4 2015071601

5 1H

6 10M

7 1W

8 1D )

9 @ IN NS ns1.czcedu.com. #这里可以写全区域名称，但结尾必须加“.”

10 IN NS ns2 #也可以省略但不能加“.”

11 IN MX 10 mail

12 IN MX 20 mx

13 ns1 IN A 172.16.10.1

14 ns2 IN A 172.16.10.2

15 mail IN A 172.16.10.3

16 mx IN A 172.16.10.4

17 www IN A 172.16.10.5

18 ftp IN CNAME www

19 * IN A 172.16.10.5 #泛域名解析

20 czcedu.com IN A 172.16.10.5 #缺省域名解析

[root@bogon ~]# named-checkconf #检查配置文件

[root@bogon ~]# named-checkzone "czcedu.com" /var/named/czcedu.com.zone #检查区域解析库文件

zone czcedu.com/IN: loaded serial 2015071601

OK

[root@bogon named]# chown :named czcedu.com.zone #修改区域文件属组

[root@bogon named]# chmod 640 czcedu.com.zone #修改权限

[root@bogon named]# dig -t A www.czcedu.com 192.168.1.106 #测试DNS服务器工作是否正常

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 <<>> -t A www.czcedu.com 192.168.1.106

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28588

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:

;www.czcedu.com. IN A

;; ANSWER SECTION:

www.czcedu.com. 86400 IN A 172.16.10.5 #与我们服务器中定义的相同

;; AUTHORITY SECTION:

czcedu.com. 86400 IN NS ns1.czcedu.com.

czcedu.com. 86400 IN NS ns2.czcedu.com.

;; ADDITIONAL SECTION:

ns1.czcedu.com. 86400 IN A 172.16.10.1

ns2.czcedu.com. 86400 IN A 172.16.10.2

;; Query time: 4 msec

;; SERVER: 192.168.1.106#53(192.168.1.106)

;; WHEN: Sun Apr 26 11:11:12 2015

;; MSG SIZE rcvd: 116

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 41184

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:

;192.168.1.106. IN A

;; AUTHORITY SECTION:

. 10784 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2015071600 1800 900 604800 86400

;; Query time: 4 msec

;; SERVER: 192.168.1.106#53(192.168.1.106)

;; WHEN: Sun Apr 26 11:11:12 2015

;; MSG SIZE rcvd: 106

[root@bogon named]# vim /etc/named.rfc1912.zones #定义反向区域

48 zone "10.16.172.in-addr.arpa." IN {

49 type master;

50 file "172.16.10.in-addr.arpa.zone";

51 };

[root@bogon named]# vim 172.16.10.in-addr.arpa.zone #定义反向区域解析库文件

1 $TTL 86400

2 @ IN SOA ns1.czcedu.com admin.czcedu.com (

3 2015071601

4 1H

5 5M

6 1W

7 1D )

8 IN NS ns1.czcedu.com.

9 IN NS ns2.czcedu.com.

10 IN MX 10 mail.czcedu.com.

11 IN MX 20 mx.czcedu.com.

12 1 IN PTR ns1.czcedu.com.

13 2 IN PTR ns2.czcedu.com.

14 3 IN PTR mail.czcedu.com.

15 4 IN PTR mx.czcedu.com.

16 5 IN PTR www.czcedu.com.

[root@bogon named]# dig -x 172.16.10.5 #检测反向区域解析是否正常

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 <<>> -x 172.16.10.5

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18889

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:

;5.10.16.172.in-addr.arpa. IN PTR

;; ANSWER SECTION:

5.10.16.172.in-addr.arpa. 86400 IN PTR www.czcedu.com.

;; AUTHORITY SECTION:

10.16.172.in-addr.arpa. 86400 IN NS ns1.czcedu.com.

10.16.172.in-addr.arpa. 86400 IN NS ns2.czcedu.com.

;; ADDITIONAL SECTION:

ns1.czcedu.com. 86400 IN A 172.16.10.1

ns2.czcedu.com. 86400 IN A 172.16.10.2

;; Query time: 3 msec

;; SERVER: 192.168.1.106#53(192.168.1.106)

;; WHEN: Sun Apr 26 11:37:57 2015

;; MSG SIZE rcvd: 138

#建立主从服务器及区域传送，主IP：192.168.1.106；从IP：192.168.1.107

[root@bogon named]# vim /etc/named.rfc1912.zones #定义从服务器

48 zone "10.16.172.in-addr.arpa." IN { #反向区域

49 type slave; #类型为slave

50 masters { 192.168.1.106; }; #指定主服务器地址

51 file "slaves/172.16.1.in-addr.arpa.zone"; #区域传输文件放置到slaves目录下

52 };

53

54 zone "czcedu.com." IN { #正向区域

55 type slave;

56 masters { 192.168.1.106; };

57 file "slaves/czcedu.com.zone";

58 };

#不过在主服务区域解析库其中必须定义从服务器为一个DNS服务器

[root@bogon named]# vim czcedu.com.zone

13 ns IN A 192.168.1.107

好了，这里DNS的基本配置就完成了，还有子域授权及view我们下次再介绍。