DNS總攬

1.權威名稱伺服器

– 儲存並提供某區域 ( 整個 DNS 域或 DNS 域的一部分 ) 的實際資料。權威名稱伺服器的型別包括：

    • Master : 包含原始區域資料。有時稱作 “ 主要 ” 名稱伺服器

    • Slave : 備份伺服器 , 通過區域傳送從 Master 伺服器獲得的區域資料的副本。有時稱作 “ 次要 ” 

           名稱伺服器

2.非權威 / 遞迴名稱伺服器

– 客戶端通過其查詢來自權威名稱伺服器的資料。遞迴名稱伺服器的型別包括：

    • 僅快取名稱伺服器 : 僅用於查詢 , 對於非重要資料之外的任何內容都不具有權威性

3.DNS查詢

– 客戶端上的 Stub 解析器 將查詢傳送至 /etc/resolv.conf 中的名稱伺服器

– 如果名稱伺服器對於請求的資訊具有權威性 , 會將權威答案發送至客戶端

– 否則 , 如果名稱伺服器在其快取中有請求的資訊 , 則會將非權威答案發送至客戶端

– 如果快取只能該沒有資訊 , 名稱伺服器將搜尋權威名稱伺服器以查詢資訊 , 從根區域開始 , 按照DNS

   層次結構向下搜素 , 直至對於資訊具有權威性的名稱伺服器 , 以此為客戶端獲得答案。在此情況中,

   名 ch 稱伺服器將資訊傳遞至客戶端並在自己的快取中保留一個副本 , 以備以後查詢。

4.DNS資源記錄

• DNS 區域採用資源記錄的形式儲存資訊。每條資源記錄均具有一個型別 , 表明其保留的資料型別

   – A : 名稱至 IPv4 地址

   – AAAA : 名稱至 IPv6 地址

   – CNAME : 名稱至 ” 規範名稱 “ ( 包含 A/AAAA 記錄的另一個名稱 )

   – PTR : IPv4/IPv6 地址至名稱

   – MX : 用於名稱的郵件交換器 ( 向何處傳送其電子郵件 )

   – NS : 域名的名稱伺服器

   – SOA :” 授權起始 “ , DNS 區域的資訊 ( 管理資訊 )

5.DNS排錯

• 它顯示來自 DNS 查詢的詳細資訊 , 其中包括為什麼查詢失敗：

   – NOERROR : 查詢成功

   – NXDOMAIN : DNS 伺服器提示不存在這樣的名稱

   – SERVFAIL : DNS 伺服器停機或 DNSSEC 響應

• 驗證失敗

   – REFUSED : DNS 伺服器拒絕回答 ( 也許是出於訪問控制原因 )

6.dig輸出的部分內容

• 標題指出關於查詢和答案的資訊 , 其中包括響應狀態和設定的任何特殊標記 ( aa 表示權威答案 , 等等 )

   – QUESTION : 提出實際的 DNS 查詢

   – ANSWER : 響應 ( 如果有 )

   – AUTHORITY : 負責域 / 區域的名稱伺服器

   – ADDITIONAL : 提供的其他資訊 , 通常是關於名稱伺服器

   – 底部的註釋指出傳送查詢的遞迴名稱伺服器以及獲得響應所花費的時間

7.快取DNS伺服器

BIND是最廣泛使用的開源名稱伺服器在RHEL中 , 通過bind軟體包提供防火牆開啟埠53/TCP和  

53/UDPBIND的主配置檔案是/etc/named.conf/var/named目錄包含名稱伺服器所使用的其他資料檔案

8./etc/named.conf的語法

• // 或 # 至行末尾是註釋 ; /* 與 */ 之間的文字也是註釋 (可以跨越多行)

• 指令以分號結束 (;)

• 許多指令認為地址匹配列表放在大括號中、以CIDR表示法表示的IP地址或子網列表中 , 或者命名的ACL中

    ( 例如 any; [ 所有主機 ] 和none; [ 無主機 ] )

• 檔案以 options 塊開始 , 其中包含控制 named如何運作的指令

• zone 塊控制 named 如何查對於其具有權威性的根名稱伺服器和區域

演示：

1. 修改IP 與 hostname,並關閉firewall

2.安裝bind伺服器

3.開啟named服務，生成rndc.key

4.vim /etc/named.conf修改配置檔案

##listen port {any};允許任何人

systemcatl restart named

netstat -antple | grep named##檢視埠狀態

5.正向解析

vim /etc/named.conf

##修改配置檔案，加入westos.com.zone

cp -p /var/named/named.localhost /var/named/westos.com.zone

##以named.localhost為模版建立westos.com.zone(連同許可權)

vim /var/named/westos.com.zone

##NS：型別

systemctl restart named##重啟服務

客戶端：dig www.westos.com##測試

vim /etc/named.conf

##修改配置檔案，將之前的zone(55到58行刪除)

vim /etc/named.rfc1912.zones##編輯

在上配置檔案內配置如下：

修改配置檔案

systemctl restart named

##重置後測試

dig -t mx westos.com

##測試MXDNS正向解析

6.反向解析

vim /etc/named.rfc1912.zones

##編輯配置檔案如下

cp -p /var/named/named.loopback /var/named/westos.com.ptr

vim westos.com.ptr

PTR ##IPV4/IPV6地址至名稱

systemctl restart named

dig -x 172.25.254.111##重啟後測試，用地址dig時加 -x

7.不同IP的DNS解析

先將server與client配置雙網絡卡

設定IP

netstat -antlpe | grep named##檢視埠狀態

將/etc/named.conf中49-56行註釋

加入新的配置如下 ##為不同IP配置

cp -p named.rfc1912.zones named.rfc1912.inter

##建立新的配置檔案為named.conf中配置服務

編輯如下

cp -p /var/named/westos.com.zone /var/named/westos.inter

##複製（連同許可權）

vim /var/named/westos.com.inter

##編輯解析

測試：172.25.254.0

測試：172.25.0.227

8.client為server更新

cp -p westos.com.zone /mnt/

##試驗前將westos.com.zone備份

vim /etc/named.rfc1912.zones

##修改配置檔案允許client客戶端更新server

給予/var/named/許可權，使selinux布林值 named_write_master_zones 1使client能夠為server更新

client : nsupdate

##add：新增 86400:24*60 A：名稱至IPV4地址

測試：

9.DNS更新加密

rm -fr /var/named/westos.com.zone.jnl /var/named/westos.com.zone

systemctl restart named

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST westoskey

##生成dns加密密碼westoskey

cp -p /etc/rndc.key /etc/westos.key

##以rndc.key為模版建立westos.key加密檔案

vim /etc/westos.key

##westoskey:所生成加密密碼名稱。 secret "..."：密碼（建立時手動輸入）

vim /etc/named,conf

##編輯配置檔案，include“”：包含/etc/westos.key，去讀

vim /etc/named.rfc1912.zones

##修改配置檔案，allow-update { key westoskey } ：只允許使用密碼更新

##將在server上生成的密匙給client

nsupdate

##自client更新

測試：REFUSED(需要密匙更新)

測試：

測試成功

10.DNS動態解析

yum install dhcp -y

##安裝dhcp

cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf

##引用模板

vim /etc/dhcp/dhcpd.conf

##編輯dhcp配置檔案

修改如下：

伺服器IP

更新方式：interim

##subnet:子網掩碼

##range 172.25.254.200 172.25.254.250 ：ip分配範圍

修改客戶端主機名及網絡卡為dhcp

vim ifcfg-eth0##修改如下

重啟network

172.25.254.200為dhcp動態指定的IP

測試：