一、 DNS域名解析原理
DNS,Domain Name System,域名系统:在互联网中由大量域名解析服务器共同提供的一整套关于"域名 <--> IP地址"信息查询的数据系统
!!!! C/S架构:DNS服务端监听UDP 53端口(处理客户端查询),也监听TCP 53端口(主-辅同步)
!!!! 客户机向DNS服务器提问:xx域名的IP地址是多少?
如何通过域名找到一个站点
FQDN,Full Qualified Domain Name,完全限定域名(站点名+域名) ,比如:servera.lab.example.com、www.stu.cn
分层次管理(域名体系结构):
根域 =》.
顶级域/一级域 =》.com、.cn
二级域 (最常见)=》 .example.com、.stu.cn
三级域(比较少) =》 lab.example.com、......
站点(使用DNS名称的各服务器)=》 www、mail、ftp、game、news、......
分布式部署(域名服务器):
每个权威DNS服务器只负责分担自己管辖的一个或多个域,提供这个域内的名称解析服务
每个权威DNS服务器可以代客户端查询管辖范围外的域名(问其他DNS服务器)
每个权威DNS服务器可以授权某个子域DNS服务器,告知客户端自己去找子域DNS服务器继续查询
比如,IANA管理根域(.)的DNS服务器、CNNIC管理一级域.cn的DNS服务器、stu管理二级域.stu.cn的DNS服务器
DNS服务器的类型
权威DNS:需由IANA统一授权管理,管理一个或更多个DNS区域,有公网IP地址
缓存DNS:运行商或企业自行架设、自行管理,主要面向客户端提供代理查询服务,提高客户体验(缓存加速),无需管理任何区域
域名查询的主要方式
!!!! 按问题内容分 ------
正向查询:根据已知的域名查询这个域名的IP地址,比如"域名www.baidu.com的IP地址是多少?"
反向查询:根据已知的IP地址查询这个IP地址的域名,比如"IP地址39.156.66.18对应的域名是什么?"
!!!! 按服务方式分 ------
递归查询:为客户机查询非本DNS服务器管辖的解析记录,主要出现在"客户机 -> 缓存DNS服务器"场景;客户端只发送一次查询请求,剩下的都交给DNS服务器
迭代查询:告知客户机子域DNS服务器的地址,让客户机自己去找子域DNS查询,主要出现在"缓存DNS -> 权威DNS服务器"场景;客户端需要发送多次查询请求,依次询问根DNS、一级DNS、二级DNS、......
域名解析条目的类型
TTL:设置解析记录的默认超时时间(缺省单位为秒,可以添加 H/D/W表示小时/天/周)
SOA:设置区域授权记录(建议参考/var/named/named.localhost范本文件) ------ @ IN SOA @ admin.@ ( .. .. )
NS:域名服务器
MX:邮件服务器记录
CNAME:域名别名记录
A:正向解析记录(域名->IPv4地址)
AAAA:正向解析记录(域名->IPv6地址)
PTR:反向解析记录(IP地址->域名)
二、域名查询(host/nslookup/dig)
软件包bind-utils提供以下域名查询工具:
host:简单查询工具,用法:host 域名或IP地址 DNS服务器地址
nslookup:交互式查询工具,用法:nslookup 域名或IP地址 DNS服务器地址
dig:深度挖掘查询工具,用法:dig @DNS服务器地址 域名或IP地址 [-t 资源类型]
root@work \~\]# yum -y install bind-utils //安装域名查询工具包 !!!! 使用上述工具时,需要有可用的DNS服务器 !!!! 如果还没有配置DNS服务器,也可以找一台能上网的主机,练习host/nslookup/dig命令 !!!! 在Windows系统中,自带nslookup命令,也可以向DNS查询域名 练习:查询域名 1)直接查询(向本机设置的默认DNS服务器查询)www.12306.cn的IP地址 C:\\Users\\TsengYia\>nslookup www.12306.com 服务器: public1.114dns.com Address: 172.50.163.10 非权威应答: 名称: www.12306.com Address: 112.74.143.83 2)向DNS服务器8.8.8.8查询www.12306.cn的IP地址 C:\\Users\\TsengYia\>nslookup www.12306.com 8.8.8.8 服务器: dns.google Address: 8.8.8.8 非权威应答: 名称: www.12306.com Address: 112.74.143.83 3)向8.8.8.8查询IP地址114.114.114.114的域名是多少(注意:大多数IP地址是查不到反向结果的) C:\\Users\\TsengYia\>nslookup 114.114.114.114 8.8.8.8 服务器: dns.google Address: 8.8.8.8 名称: public1.114dns.com Address: 114.114.114.114 ## ****三、权威DNS服务器-bind正向域设置**** BIND,Berkeley Internet Name Domain,伯克利互联网名称服务器 servera(权威DNS服务器,servera.lab.example.com的IP地址是多少) 1)装包 bind 2)配置 (主配置、地址库) 3)起服务 named 获取BIND配置帮助: # man named.conf # firefox file:///usr/share/doc/bind/Bv9ARM.html #### 主配置文件/etc/named.conf,设置DNS全局参数、管理哪些区域(用哪一个地址库)、安全控制、...... # vim /etc/named.conf options { listen-on port 53 { 本机的IPv4监听地址; }; listen-on-v6 port 53 { 本机 ky的IPv6监听地址; }; directory "/var/named"; //指定地址库文件的默认存放目录 allow-query { 客户机的网段或IP地址; }; recursion yes; //是否允许提供递归查询服务 dnssec-enable yes; //启用DNS安全 dnssec-validation yes; //启用DNS安全校验 }; zone "区域名" IN { type master; //设置区域类型(master、hint、slave、forward) file 地址库文件名或者绝对路径; }; include xxxx文件; //需要在主配置文件中包含xxxx文件 # named-checkconf //查错工具 TTL,Time To Live,存活时间(DNS解析记录的有效期) SOA,Start Of Authority,授权记录的开始(管理的区域的信息,以及提供给从DNS服务器用的一些参数) #### 地址库文件 /var/named/\*,设置具体的地址记录(域名-\>IP地址) # vim /var/named/地址库文件名 $TTL 有效记录的生存时间 @ IN SOA 区域名 管理邮箱地址. ( 序列号 //十位以内的整数 刷新时间 重试时间 过期时间 无效记录的生存时间 ) @ NS 当前区域的DNS服务器的域名. MX 优先级 当前区域的邮件服务器的域名. www A IP地址 mail A IP地址 servera A IP地址 .. .. # named-checkzone 区域名 地址库文件的路径和名称 //查错 work(客户机) ==》servera(权威DNS) 实验拓扑: servera.lab.example.com,权威DNS,提供域名解析服务(正向域lab.example.com) work(客户机):向servera查询域名serverc.lab.example.com的IP地址 1)安装bind包 \[root@servera \~\]# yum -y install bind 2)调整配置 \[root@servera \~\]# vim /etc/named.conf //修改主配置文件 options { listen-on port 53 { any; }; //在本机所有IPv4接口监听 listen-on-v6 port 53 { any; }; //在本机所有IPv6接口监听 directory "/var/named"; //zone地址库文件的默认存放路径 allow-query { localhost; 172.25.250.0/24; }; //允许哪些客户机查询 .. .. }; zone "lab.example.com" { //定义DNS区域 type master; //类型为主区域 file "lab.example.com.zone"; //指定地址库文件名 }; \[root@servera \~\]# named-checkconf //检查主配置文件(无输出即无错) \[root@servera \~\]# \[root@servera \~\]# vim /var/named/lab.example.com.zone //创建正向区域地址库文件 $TTL 1D @ IN SOA @ root.lab.example.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ NS servera.lab.example.com. servera A 172.25.250.10 serverb A 172.25.250.11 serverc A 172.25.250.12 serverd A 172.25.250.13 \[root@servera \~\]# chmod 640 /var/named/lab.example.com.zone \[root@servera \~\]# chown :named /var/named/lab.example.com.zone \[root@servera \~\]# named-checkzone lab.example.com /var/named/lab.example.com.zone //检查区域地址文件(OK即无错) .. .. OK 3)启动named服务 \[root@servera \~\]# firewall-cmd --permanent --add-service=dns //开放DNS访问 \[root@servera \~\]# firewall-cmd --reload //重载防火墙 \[root@servera \~\]# systemctl enable named --now //启用named服务 4)域名查询测试 ------ 向servera查询serverc的IP地址 \[root@work \~\]# host serverc.lab.example.com servera Using domain server: Name: servera Address: 172.25.250.10#53 Aliases: serverc.lab.example.com has address 172.25.250.12 ## ****四、权威DNS服务器-bind反向域设置**** 针对网段172.25.250/24, 对应的反向区域的名称 250.25.172.in-addr.arpa 然后在主配置文件中也需要定义也这个区域,并且提供相应的地址库文件 对应的反向地址记录: 12 PTR 完整的域名. work(客户机) ==》servera(权威DNS) 实验拓扑: servera.lab.example.com,权威DNS,提供域名解析服务(正向域lab.example.com、反向域250.25.172.in-addr.arpa) work(客户机):向servera查询域名serverc.lab.example.com的IP地址、查询IP地址172.25.250.12的域名 1)修改主配置文件,添加反向域设置 \[root@servera \~\]# cp -p /etc/named.conf{,.bak} //备份主配置文件 \[root@servera \~\]# vim /etc/named.conf .. .. zone "250.25.172.in-addr.arpa" IN { //注意反向区域名中网段的倒序写法 type master; file "172.25.250.zone"; }; 2)创建反向区域地址库文件 \[root@servera \~\]# vim /var/named/172.25.250.zone $TTL 300 @ IN SOA @ root.example.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ NS servera.lab.example.com. 10 PTR servera.backend.lab.example.com. 11 PTR serverb.backend.lab.example.com. 12 PTR serverc.backend.lab.example.com. 13 PTR serverd.backend.lab.example.com. \[root@servera \~\]# chmod 640 /var/named/172.25.250.zone \[root@servera \~\]# chown :named /var/named/172.25.250.zone \[root@servera \~\]# named-checkzone 250.25.172.in-addr.arpa /var/named/172.25.250.zone //检查反向区域地址文件(OK即无错) .. .. OK 3)重启named服务 \[root@servera \~\]# systemctl restart named 4)域名查询测试 ------ 向servera查询IP地址172.25.250.12的域名 \[root@work \~\]# host 172.25.250.12 servera Using domain server: Name: servera Address: 172.25.250.10#53 Aliases: 12.250.25.172.in-addr.arpa domain name pointer serverc.lab.example.com. 扩展小知识(解析库的应用) ------ DNS解析记录的轮询(负载均衡,一个站点对应多个IP地址): serverd A 172.25.250.13 serverd A 72.25.250.13 别名解析记录的设置(一个IP对应多个站点): servera A 172.25.250.10 www CNAME servera 泛域名解析记录的设置(只查询域名或错误的站点名,也能有结果): @ NS servera.lab.example.com. A 172.25.250.10 \* A 172.25.250.10 ## ****五、缓存DNS服务器-unbound缓存/转发设置**** work(客户机) ==》serverb(缓存DNS) ==》servera(权威DNS) 实验拓扑: servera.lab.example.com,权威DNS,提供域名解析服务(正向域lab.example.com、反向域250.25.172.in-addr.arpa) serverb.lab.example.com,缓存DNS,代理客户端查询,将来自客户端的所有查询请求转发给servera work(客户机):向serverb查询域名serverc.lab.example.com的IP地址、查询IP地址172.25.250.12的域名 1)安装unbound包 \[root@serverb \~\]# yum -y install unbound 2)调整配置 \[root@serverb \~\]# cp -p /etc/unbound/unbound.conf{,.bak} //备份主配置文件 \[root@serverb \~\]# vim /etc/unbound/unbound.conf //修改主配置文件 server: .. .. interface: 172.25.250.11 //在指定接口(可以是0.0.0.0,表示本机所有IP地址)提供监听 access-control: 172.25.250.0/24 allow //允许哪些网段的客户机使用(可以配置多行),缺省为refuse拒绝 access-control: 127.0.0.0/8 allow domain-insecure: "lab.example.com" //标记不安全区域(允许转发查询,避免对客户端做DNSSEC安全验证) unblock-lan-zones: yes //允许查询本地区域 insecure-lan-zones: yes //允许查询不安全的本地区域 forward-zone: name: "lab.example.com" //将针对xx区域的查询转发给指定DNS(其余区域走auth-zone上游DNS服务器) forward-addr: 172.25.250.10 //指定另一台DNS服务器的IP地址 forward-zone: name: "250.25.172.in-addr.arpa" //将针对xx反向区域的查询转发给指定DNS forward-addr: 172.25.250.10 auth-zone: name: "." //对于未设置转发的其他区域,默认从根域开始查询 for-downstream: no for-upstream: yes fallback-enabled: yes master: b.root-servers.net master: c.root-servers.net .. .. \[root@serverb \~\]# unbound-checkconf //检查配置文件 unbound-checkconf: no errors in /etc/unbound/unbound.conf \[root@serverb \~\]# unbound-control-setup //首次起服务前,执行此命令生成密钥文件 .. .. 3)启动unbound服务 \[root@serverb \~\]# firewall-cmd --permanent --add-service=dns //开放DNS访问 \[root@serverb \~\]# firewall-cmd --reload //重载防火墙 \[root@serverb \~\]# systemctl enable unbound --now //启用unbound服务 4)客户端查询DNS记录 \[student@work \~\]$ host serverc.lab.example.com serverb //向serverb查询serverc的IP地址 .. .. serverc.lab.example.com has address 172.25.250.12 5)管理缓存的DNS数据 \[root@serverb \~\]# unbound-control dump_cache //查看缓存的解析记录 \[root@serverb \~\]# unbound-control flush work.lab.example.com //清除缓存的某个域名的解析记录 \[root@serverb \~\]# unbound-control flush lab.example.com //清除缓存的某个区域的所有解析记录