DNS 服务

NDS domain name server （域名服务）

协议： DNS

UDP ：53

TCP ：53

实现软件 ： bind（Berkeley Internet Name Domain） PowerDNS , dnsmasq

名称解析：将一种格式的信息转化为另外一种格式，以某关键字为标准查找某一数据库的过程

             passwd <--> nsswitch转换
            login：nsswitch为login提供服务
            nsswitch配置文件在/etc/nsswitch

hosts：files dns

        files  /ect/hosts  （存放主机名或者别名和IP）
        dns  不用host文件 集中向一个服务器提出申请

分布数据库

 根域（.）-->一级域(ICCNA)-->二级域（组织域）
 namespace：名称空间  容纳名称的整体范围
 一级域：
  组织域：.com , .org , .mil , .gov , .edu , .net，.jp,.ir(伊朗),.iq(伊拉克)，.us,.uk
 国家域： .cn  , .hk , .tw
 反向域： .in-addr.arpa

FQDN：Full Qualified Domain Name 完全域名解析

FQDN –> IP 正向解析

IP –> FQDN 反向解析

查询 ：

递归查询 ：只发出一次请求对方给出最终答案

迭代查询 ：发起一次请求，不一定得到答案

课户端指向的DNS服务器，一定是允许给本地主机做递归的

资源记录的类型

 数据库每一个条叫一个资源记录（Resource Record）,资源记录有类型 ，用于表示资源的功能 

   SOA ： start of authority  起始授权
   NS  :    Name Server,  域名服务器
   MX :  Mail eXchanger  邮件交换器
   A：Address，（FQDN-->IP）  地址记录 正解
   PTR: PoiTeR,（IP-->FQDN）   指针记录   反解
   AAAA: Address,FQDN-->IPv6
   CNAME:Canonical Name,正式名称（别名记录）

        <!-- 早期的DNS 只支持 FODN－－>iP ，正方向解析数据不同，不能存放于同一个数据库进行 -->

域: Domain ，逻辑概念
区域： zone ，物理概念  也就是数据文件

DNS服务器类型：

主DNS服务器

辅助DNS服务器

缓冲名称服务器

转发服务器

DNS的数据库文件(区域数据文件，区域自身有名字)：文本文件，只能包含资源记录或宏定义，每行一个

资源记录的格式

    name  [ ttl 缓存纪录]   IN  RRtype(资源记录类型)   Value
    列子：
        www 600 IN  A 1.2.3.4
        www.magedu.com. 600 IN A 1.2.3.4  

  SOA： 只能一个

        name : 只能是区域名称，通常可以简写为@，例如：magedu.com.
        value： 有n个数值，最主要的是主DNS服务器的FQDN，点不可省略
       <!-- 注意：SOA 必须是区域数据库文件第一条记录-->
  例子：
      @  600 IN SOA  na.magedu.com.  邮箱地址(dnsadmin.magedu.com. ;把@变为.了 )（ 序列号(serial number) ; 注释内容，十进制数据，不能超过10位，通常使用日期，例如2014031001
         刷新时间(refresh time) ;即每隔多久到主服务器检查一次
         重试时间(retry time) ;应该小于refresh time
         过期时间(expire time)
         netgative answer ttl    ;否定答案的ttl   客户端可以缓存多久的
     ）
                            <!--          ;是注释-->
NS： 可以有多条
                name: 区域名称，通常可以简写为@
                value  ： DNS 服务器的FQDN（可以使用相对名称）
            例如： @ 600 IN NS ns 

    A：
          name :  FQDN ( 可以使用相对名称）
          value: IP
    列子：
        www  600 IN  A  1.2.3.4
        www  600 IN  A   1.2.3.5
         ftp     600 IN  A   1.2.3.5

 AAAA ： ipv6
 MX ：可以有多个
         name : 区域名称，用于标示 smtp 服务器
          value ：包含优先级和FQDN
          优先级的： 0-99 数字越小，级别越高
    列子：
              @ 600 IN  MX  10 mail
              @ 600 IN  MX  20  mail2
   CNAME ：    别名
                     name : FQDN
                     value :FQDN
     列子： ftp  IN  CNAME  www

    PTR：  指针纪录  IP－－>FQDN  只能记录在方向区域数据文件中，反向区域名称为逆向网络地址加 .in-addr.arpa.  后缀组成
            name: IP ,主机地址反过来写  例如： 172.16.100.7 的name 为7.100，完全格式为：7.100.16.172
            value : FQDN
列子：
     4.3.2  600 IN PTR   www.maged.com.

区域传送

 定义： 辅助DNS服务器从主DNS服务器或其他的辅助DNS服务器请求数据传输过程
             完全区域传送：传送区域的所有数据，AXFR
             增量区域传送：传送区域中改变的数据部分，IXFR

视图 view

acl telecom{
 1.2.0.0/16
 4.5.8.0
 }
 acl unicom{
 6.4.0.0/16
 4.5.3.0
 }
view {   //一个逻辑的dns服务器
      recursion no;  不给递归
       match-clients {telecom};  //telecom 是一个acl 范围
        zone "magelinux.com"  IN {
               type master ;
               file "magelinux.com.internal";  //文件可以是同一个
        };
 };
 view {
          match-clients{ unicom }; //unicom 是一个 acl 范围
           zone "magelinux.com" IN {
                type master;
                file "magelinux.com.external";
           };
 };
 缺陷： 如果IP地址没有收集齐全，就悲剧了， 所以最好还是定义一个Other （默认）

 view {
    match -clients {any ;}
    zone "magelinux.com" IN {
       type master;
       file "magelinux.com.other";
     };
 };

       只要写入view，所有的都应该写在view中
       自上而下匹配

bind： isc（www.isc.org）

  主配置文件： ：定义区域 /etc/named.conf
    案例： magelinux.com

配置bind

1. 主配置文件 定义区域 /etc/named.conf

               至少有三个区域：
                    根，localhost ,127.0.0.1
       options {
               listen -on  port 53   ｛  any；｝；
               //全局选项
               directory "/var/named" ;
               allow-query { any; }; 允许所有客户端查询
               recursion  yes | on  ； 是否运行递归
   
        }  ;   
   
        zone "zone name"  IN {
         //定义区域的
              type{hint(根)|master(主)|slave(从)|forward(转发)}
               file “named.ca”
        } ; 
   
        loggin {
              //定义日志的
        };
   
        include "文件位置"   加载别的文件  
   
    <!--
        named-checkconf 检查主配置文件  service named configtest
        named -u named     手动启动
        name-checkzone "区域" “区域文件位置”  检查配置文件  -->
        定义监听的地址
   
       recursion 是否允许递归查询
   

dig 命令

          dig [-t type] [-x a  ddr] name @DNS服务器
          +[no]trace [不]适用迭代
          +[no]tcp 是否使用tcp
          +[no]recurse：是否使用递归

host

          host[-t type] {name} [server]

nslookup

     nslookup>
                  server DNS_SERVER_IP
                  set q=TYPE
                  {name}

1. 区域数据文件 /var/named/

       用户： named
        组： named
   

   反向解析区域数据库文件 区域名称以逆向的网络地址，并以.in-addr.arpa为后缀

        第一条必须SOA
        应该具有NS记录，但不能出现MX和A 记录
        较常见的即为PTR纪录
               名称为逆向的主机地址
   

反解：

         zone "100.16.172.in-addr.arpa " IN ｛
                 type  master ;
                 file "172.16.100.zone";
         ｝
         在 /var/named/下创建172.16.100.zone
         ![](media/14595736364157/14601888712923.jpg)
    tail /var/log/messages 检查日志
    dig -x 172.16.100.7
    检查区域  named-checkzone "100.16.172.in－addr.arpa" 172.16.100.zone

区域传送：

                  用dig 模拟完全区域传送
                    ＃dig -t axfr 区域名称 @server

                  主从同步：  /etc/resolv.conf
                     nameserver   Master_DNS_IP
                     nameserver   SLAVE_DNS _IP
     主从版本：
                主： bind版本可以低于从的版本
                从： 主的版本不能高于从的版本   兼容问题

    向区域中添加从服务器的关键两步 ：
                 1. 在上级获得授权）
                 2. 在区域数据文件中为从服务器添加一天ns记录和对应的A记录 或PTR纪录

    在/etc/named.rfc1912.zones下
       zone "magelinux.com"  IN {
             type slave;
             masters { 172.16.100.7 ; };
             file "slaves/magelinux.com.zone";
        }

        区域传送安全控制：
               allow-transfer { IP ； };    指定IP做区域传送

rndc Remote Name Domain Controller

远程管理bind的工具
 Rndc : 密钥
       rndc :保存于rndc 的配置文件中
       bind： 持有一半点的密钥，保存于主配置文件中

 rndc 的配置文件 /etc/rndc.conf
        CentOS ,RHEL : /etc/rndc.key 

 reconfig 只重新读取配置文件并且加载新增加的区域
querylog： 关闭或开启查询日志
 stop  关闭服务
 flush 清空服务器的缓存
flushname name：只清空指定名称相关的缓存
trace：打开debug，调试模式，debug有级别的概念，每执行一次提升一个等级
trace LEVEL：指定debug的级别    

 如果rndc无法正常工作，可尝试使用rndc-confgen生成/etc/rndc。conf配置文件，并将配置文件中的后半部分复制到BIND的主配置文件中按指示启用即可
  rndc-confgen  > /etc/rndc.conf

bind子区域的授权实现 （正向）

  定义： 在父域的配置文件中添加如下项：
            授权的子区域名称
            子区域的名称服务器
            子区域的名称服务器的IP地址
     名称    IN    NS  IP   dns.tech   子域名 

      glue record  胶水效果

配置区域转发：转发域

    定义： 解析某本机不负责的区域内的名称时不转发给根，而是转给制定的主机            转发非本机负责解析的所有区域
             options{
                   forward only|frist
                   forwarders{ ip; }
              }

  转发某特定区域
             zone"特定区域" IN{
                         type forward;
                         forwarders{ ip; }
                         forward only | frist
                      <!--     only：服务器将只会请求 forwarders中的DNS主机
                           frist： 服务器首先请求 forwarders list ，如果 forwarders list 中的DNS主机不应答，该主机将自己去找应答-->
             }
        运行使用转发的前提： 本机要在对方的允许的递归主机列表中

安全控制选项：

 allow-transfer{}；通常都需要启用，从服务器
 allow-query{};此项仅用于服务器是缓存名称服务器时，只开放查询功能给本地客户端
 allow-recursion{可以使用网段};允许递归的白名单
 allow-update{ none; }:允许动态更新数据文件的主机白名单

ACL:BIND支持使用访问控制列表

acl ACL_NAME{
  172.16.0.0/16
  192.168.0.0/24
  127.0.0.0/8
} 

访问控制列表只有定义后才能使用，通常acl要定义在named.conf的最上方
BIND有四个内置的acl
any：任何主机
none：无一主机
local：本机
localnet：本机所在的网络           

view，编译安装named，如何实现对named做压力测试,BIND dlz

搭建本地非权威解析DNS配置过程

 1.修改/etc/named.conf
        listen-on port 53 {any;};
        allow-query {any;};

2.修改/etc/named.rfc1912.zones 添加要解析的域
        zone "xxx.com" IN {
              type master;
              file "xxx.com.zone";
              allow-update {none;};
        }  ;

 3. 添加数据库文件/var/named/xxx.com.zone
        xxx.com. IN SOA  ns1.xxx.com. root.xxx.com. (20160402 1d 1h 1w 1h)
        xxx.com. IN NS ns1.xxx.com.
        ns1.xxx.com. IN A  192.168.30.98
        www.xxx.com IN A 192.168.30.98

 4.重启服务
                service named restart

5. 修改/var/named/xxx.com.zone 文件的用户和用户组
                     chown named.named /var/named/ —R

6.检查nameserver 是否为本机IP
                nameserver  192.168.30.98

7.重启服务
           service named restart

8.  nslookup  测试 nslookup IP

bind子域授权的实现

            $TTL 600
            @ IN SOA dns.magelinux.com. dnsadmin.magelinux.com. (
                     20160410 1H  5M 3D 12H)
                IN NS     dns
                IN MX  10 dns
            www IN A 192.168.1.11
            dns IN A 192.168.1.10
            mail IN A 192.168.1.12
            pop IN CNAME mail
            ftp IN CNAME www

            //加入信息
             tech IN NS  dns.tech.magelinux.com.
             dns.tech.magelinux.com.  IN  A  192.168.10   

            要在另外一台服务器中增加
                        vim /etc/named.rfc1912.zones

                        zone "tech.magelinux.com" IN {
                                type master;
                                file "tech.magelinxu.com.zone";
                        }

             创建一个 techo.magelinux.com.zone
                           $TTL 600
                           @ IN SOA  dns.tech.mageliunx.com (20160410 1H 5M 3D 1D)
                               IN NS dns
                               IN MX 10 mail
                    dns IN A 192.168.2.10
                    www IN A 192.168.2.11
                    ftp     IN A 192.168.2.12
                    更改属组 和权限