dns企業級的常規部署
####################
1.怎麼搭建快取記憶體伺服器
####################
什麼是快取記憶體
就是搭建一個負責解析dns的伺服器,所有在這個網路的機器都能從其解析dns,大大提高快取速度
怎麼搭建快取伺服器
在虛擬機器配置好GATEWAY搭建好yum源確認能連網
安裝軟體
yum install bind.x86——64 -y
開啟服務
systemctl start named
此時可能需要亂按鍵盤,因為加密的字元數量不夠
真機修改dns解析地址
vim /etc/resolv.conf
nameserver 172.25.254.128
虛擬機器修改
vim /etc/named.conf
11 行大括號內改為any
17 行修改大括號內的為any
18 forwarders { 114.114.114.114; };
32 行最後改為no
退出儲存後重讀named服務
記得關閉虛擬機器防火牆
虛擬機器開啟
vim /etc/resolv.conf
寫下nameserver 172.25.254.128
真機首次dig www.baidu.com
第一次會很慢
第二次速度極其快
#####################
2.dns的正向解析
#####################
真機設定dns
vim /etc/resolv.conf
nameserver 172.25.254.128
關閉火牆
虛擬機器
註釋掉forwarders
vim /etc/named.rfc1912.zone
複製19-23行
在下面貼上
24行“westos.com”
26行“westos.com.zone”
cd /var/named
複製模版
cp -p named.localhost westos.com.zone
如圖改動,注意每一個com後要加.
儲存後重讀服務
NS下的A只有一個
A前為westos.com的開頭例如www.westos.com的www
此時真機
dig一個網址檢視連線的網址
怎麼設定解析郵箱地址
新增一個郵箱地址
dig -t mx westos.com
可見已經解析
#################
3.逆向解析
#################
vim /etc/named.rfc1912.zones
複製43到47
在下面貼上
49行“”內0改為254.25.172
file改為172.25.254.ptr
複製一個用於解析的檔案模版
cp -p named.loopback 172.25.254.ptr
vim開啟如圖修改
完成後退出儲存重讀服務
真機設定dns指向為172.25.254.128
dig -x 172.25.254.111看出來的網址名稱和ptr李是否符合
#################
4.多向解析
#################
某些情況下我們需要給不同網路位的主機看不同的地址解析,例如接下來的實驗1.1.1.0的網路位的機器為內網客戶端172.25.254.0為外網客戶端,我們需要把兩者解析的dns區分開
desktop設定為雙閘道器
172.25.254.128
1.1.1.128
ip add show eth0 檢視閘道器
server設定閘道器為
1.1.1.228
設定dns指向為1.1.1.128
vim /etc/resolv.conf
能ping通1.1.1.128表示環境設定成功
在desktop下
cd /var/named/
複製出一個專門用於1.1.1網段的解析檔案
cp -p westos.com.zone westos.com.inter
vim開啟
:%s/172.25.254./1.1.1.
批量修改172.25.254.為1.1.1.
複製一個專門用於1.1.1.的解析檔案
cp -p /etc/named.rfc1912.zones /etc/named.rfc1912.inter
刪掉49行後的逆向解析內容
修改26行的檔名
開啟配置檔案
vim /etc/named.conf
註釋掉50到58行
/*
*/
在58後新增
view localnet {
match-clients { 1.1.1.0/24; };
zone “.” IN {
type hint;
file “named.ca”;
};
include “/etc/named.rfc1912.inter”;
};
view internet {
match-clients { 172.25.254.0/24; };
zone “.” IN {
type hint;
file “named.ca”;
};
include “/etc/named.rfc1912.zones”;
};
複製58行貼上到最後
驗證在真機
dig www.westos.com
結果為172.25.254.129
在server
dig www.westos.com
結果為1.1.1.129
################
5.輔助解析
################
原理是給主服務端新增一個助手來分擔解析壓力,此助手必須要同步主服務端的dns解析檔案
修改輔助端的配置
輔助端為228
安裝bind
輔助端如圖更改named的配置檔案
更改zone檔案
複製一段改為
zone “westos.com” IN {
type slave;
masters { 172.25.254.128; };
file “slaves/westos.com.zone”;
allow-update { none; };
修改dns指向為172.25.254.128
vim /etc/resolv.conf
修改主服務端的配置檔案
刪除上個實驗寫的檔案內容
修改zone配置檔案
重啟兩端的服務,重啟時可能出現加密字元不夠的情況,需要隨意敲鍵盤補充
在輔助端/var/named.slaves下出現了主服務端的解析檔案
識別解析檔案是否更新的依據在於serial前的數字,有變化才更新到輔助端
0 ; serial ##重新整理時間
1D ; refresh ##過段時間繼續檢視文的問題
1H ; retry
1W ; expire ##過期時間
3H ) ; minimum ##在最小資料訪問時間
################################
6.普通遠端修改主伺服器的dns解析
################################
主服務端
修改zone配置
修改/var/named的許可權
客戶端
修改核心許可權
cp -p複製.zone檔案到/mnt/備份
客戶端遠端修改主機的dns解析
主服務端檢視,發現多出了一個檔案
此時客戶端dig這個網址
實驗完成後刪除named下.zone檔案和.jnl檔案
cp -p複製/mnt/下的.zone檔案回原位置
################
7.遠端加密修改
################
移動到mnt下
cd /mnt/
生成一個加密鎖,可能會卡住是因為虛擬符號不夠用
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST westoskey
檢視檔案複製最後一段字元
cat Kwestoskey.+157+20484.key
複製一個鑰匙模版
cp -p /etc/rndc.key /etc/westos.key
開啟鑰匙檔案修改內容
vim /etc/westos.key
寫下
key “westoskey” {
algorithm hmac-md5;
secret “UCFRxRu2df5ZzW6evbxusg==”;
};
secret後接的是Kwestoskey.+157+20484.key裡的最後一串字元
修改named.conf的配置
在43行寫下
include “/etc/westos.key”;
重啟系統
修改zone檔案
把複製出來的段落改為
zone “westos.com” IN {
type master;
file “westos.com.zone”;
allow-update { key westoskey; };
allow-transfer { 172.25.254.228; };
also-notify { 172.25.254.228; };
};
傳送鑰匙
scp Kwestoskey.+157+09875.* [email protected]:/mnt/
客戶端更新
cd /mnt/
nsupdate -k Kwestoskey.+157+09875.private
server 172.25.254.128
update add www.westos.com 86400 A 172.25.254.123
send
quit
dig test.westos.com驗證一下
如果不使用鑰匙刪除test.westos.com就會被被拒絕
############################
8.設定動態解析,俗稱ddns花生殼
############################
動態解析的含義就是用dhcp服務分配一個隨機的閘道器設為某網址的地址,改變隨機分配的網址的同時解析出來的閘道器也同步改變
主服務端安裝dhcp服務
複製配置檔案模版
開啟配置檔案
修改第7和8行
刪除35行後的內容,並且修改32到35行
設定客戶端的網路為dhcp模式
檢視分配的網址
回到服務端
配置dhcp的配置檔案
更改14行
配置35行後
注意
secret “UCFRxRu2df5ZzW6evbxusg==”;是上面實驗key認證檔案最後的一段字元
重啟named和dhcpd服務
關閉兩端的防火牆
修改客戶端的主機名
dig game.westos.com
結果是和隨機配匹配的閘道器一樣
修改服務端的dhcp配置檔案
客戶端重啟網路後再次dig
完成