《【教学课件】第14章DNS服务器.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第14章DNS服务器.ppt(33页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1第第14章章 DNS服务器服务器14.1 DNS工作原理工作原理14.2 Linux下的域名服务器系统下的域名服务器系统14.3 BIND14.4 BIND配置实例配置实例14.5 建立子域建立子域14.6 DNS查询查询冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材214.1 DNS工作原理工作原理14.1.1 域名域名域名系统(DNS)是一种用于TCP/IP 应用程序的分布式数据库,它提供主机名字和IP地址之间的转换及有关电子邮件的选路信息。这里提到的分布式是指在Internet上的
2、单个站点不能拥有所有的信息。每个站点(如大学中的系、校园、公司或公司中的部门)保留它自己的信息数据库,并运行一个服务器程序供Internet上的其他系统(客户程序)查询。DNS提供了允许服务器和客户程序相互通信的协议。产生域名的根本动机在于管理方便冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材314.1.2 Internet域名系统域名系统域名系统为一个分布式数据库,它使本地负责控制整个分布式数据库的部分段,每一段中的数据通过客户/服务器模式在整个网络上均可存取,通过采用复制技术和缓存技术使得整个数据库可靠的同时,又拥有良好的性能。域名服务器包含数据库的部分段的信
3、息,并可提供被称之为解析器的客户来访问。DNS的数据库结构形成一个倒立的树状结构,根的名字用空字符串“”来表示,但在文本中用“.”来书写。树的每一个节点都表示整个分布式数据库中的一个分区(域),每个域可再进一步划分成子分区(域),每个域都有一个标签(LABEL),标明了它与父域的关系。域也有一个域名(domain name),给出它在整个分布式数据库中的位置。在DNS中,域名全称是一个从该域到根的标签序列,以“.”分隔这些标签。该标签最多可包含63个字符。树中每一节点的完整域名为从该节点到根之间路径上的标签序列。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材4如果
4、根域在节点的域名中出现,该名字看起来就像以点结尾(实际上是以点和空标签作结尾)。这些以点结尾的域名被称之为绝对域名(Absolute Domain Name)。不以点结尾的域名被称之为相对域名。域(Domains)即为树状域名空间中的一棵子树,域的域名同该子树根节点的域名一样。也就是说,域的名字就是该域中最高层节点的名字。举例来说,域的顶端就是名为的节点。在DNS中,每个域分别由不同的组织进行管理。每个组织都可以将它的域再分成一定数量的子域并将这些子域委托给其他组织进行管理。域既能包括主机又能包括其他域(它的子域)。域名被用做DNS数据库中的索引。子域中任何域名都被认为是域的一部分。事实上,主
5、机即为域,域名仅是DNS数据库中的索引,“主机”可由指向相关主机信息的域名来索引,域包含所有其域名在该域的主机。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材5在域名树中,叶节点的域通常代表主机,它们的域名可指向网络地址,硬件信息和邮件路由信息。在树内的节点,其域名既可命名一台主机,也可指向有关该域的子孙或子域的结构信息,在域名树的内部域名并不受惟一性限制,它们既可表示它们所对应的域,又可代表网络中某台特定的主机。例如,既是sun的域,又是在sun和Internet间转发信件的邮件服务器的域名。设计域名系统的一个主要目的是让管理分散化,这是通过代理来实现的。冶金工
6、业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材61.域名服务器域名服务器存储有关域名空间信息的程序被称为域名服务器(name server)。通常,域名服务器拥有部分域名空间(称之为区zone)的完整信息。域名服务器可以拥有多个区的授权。区与域的关系:区包含了域中除了代理给别处的子域外,所含有的所有域名和数据。如果域的子域没有被代理出去,则该区包含该子域名和子域中的数据。DNS定义了两类域名服务器:primary Master 和 secondary Master。PM域名服务器从它所运行的主机上的文件获得它所负责的区的数据,SM域名服务器则是从其他的具有该区授权的域名
7、服务器上获得它的区的数据。SM域名服务器会定期查询PM域名服务器以保证区数据为最新版本。一般情况下,最好设立一台PM域名服务器和若干台SM域名服务器。这样可以分担负载,以及确保区中所有主机都有比较靠近的域名服务器,以方便访问。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材72.解析器解析器运行在主机上并需要域名空间信息的程序需要解析器(Resolver),在bind中解析器仅仅是一组库例程,并编译进像telnet和FTP这样的程序中,它们并非独立的进程。解析器所做的工作为:汇集查询、发送查询并等待应答,未得到应答时重发查询。3.域名解析域名解析域名技术并没有改变互
8、联网的IP地址分配与寻址机制,它只是为用户提供了一种更友好的标识网上主机的方法,换句话说,用户可以方便地记忆和使用域名来访问网络资源,而在网络上的各个主机或实体之间仍然使用IP地址进行相互连接与通信。因此,在域名和IP地址之间就存在着一一对应关系,当用户以域名形式提交请求时,必须转换成IP地址才能进行网络通信,这种转换就叫做域名解析。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材8目前在互联网上,域名解析的工作是由DNS(Domain Name System)服务器自动完成的,域名解析的流程如下:(1)用户提交域名解析请求给自己所在域的域名服务器A。(2)如果域名
9、服务器A能够从本机的host.txt文件中查询到用户递交的域名解析请求,则此域名解析完成。(3)如果域名服务器A在本机的host.txt文件中没有查询到所提交的域名解析请求,一种解决的办法是:域名服务器A将用户的请求递交给自己的上一级(父节点)域名服务器B,继续寻求解析。如果能够完成解析,则域名服务器B返还结果给域名服务器A;如果不能完成解析,再由域名服务器B递交给自己的上一级(父节点)域名服务器C,继续寻求解析。另一种解决方法是:域名服务器A直接将请求递交到最顶级(根节点)的域名服务器继续寻求解析。由根域名服务器沿域名的树状结构下行进行解析。当域名解析过程完成后,将查询的结果逐级返还。冶金工
10、业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材94.地址到域名的映射地址到域名的映射在域名空间的数据是通过名字来进行索引的,找到一个给定域名的地址相对容易。但是要找到映射给一定地址的域名就要在树上的每一个域名空间作穷尽搜索。如果这样的话,效率将相当低,为了解决这个问题,创建一个以地址为索引的域名空间。这部分名字空间被称为in-addr.arpa域。in-addr.arpa域中的节点以点分十进制形式表示IP地址。IP地址在名字空间以相反的方向表示,因为名字是从叶读到根,例如:的IP地址为,则相应的in-addr.arpa子域为,使IP地址中的第一个字节出现在树的最高层,使
11、管理员有能力沿着网络联接将in-addr.arpa域代理出去。例如:可以被代理给网络的管理员。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材105.缓存与生存期缓存与生存期名字服务器在处理递归查询时,可能要进行多次查询才能得到信息,在这过程中,名字服务器可以获得很多有关域名空间的信息,所以名字服务器将这些信息都缓存起来以加速以后的查询。生存期(TTL)所容许的名字服务器对数据缓存的时间长度,一旦生存期到了,名字服务器必须丢弃缓存数据并从授权的名字服务器中重新获取新的数据。这样可以确保域数据在整个网络上的一致性。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十
12、一五”规划教规划教材材1114.1.3 DNS消息格式消息格式DNS定义了一个用于查询和响应的报文格式。报文由12字节长的首部和4个长度可变的字段组成,如下图所示。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1214.1.4 对象内容与资源记录内容对象内容与资源记录内容DNS报文中最后的三个字段(回答字段、授权字段和附加信息字段)均采用一种称为资源记录R R(Resource Record)的相同格式。域名是记录中资源数据对应的名字。它的格式和查询名字段格式相同。类型说明RR的类型码。它的值和前面介绍的查询类型值是一样的。类通常为1,指Internet数据。生存
13、时间字段是客户程序保留该资源记录的秒数。资源记录通常的生存时间值为2 天。资源数据长度说明资源数据的数量。该数据的格式依赖于类型字段的值。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材13表表14-1 对于类型对于类型1(A记录)资源数据是记录)资源数据是4 字节的字节的IP地址地址 TypeMeaningContentsAHost Address32-bit IP addressCNAMECanonical NameCanonical domain name for an aliasHINFOCPU&OSName of CPU and Operating Sys
14、temMINFOMaibox InfoInformation about a mailbox or amil listMXMail Exchanger16-bit preference and name of host that acts as mail exchanger for the domainNSName ServerName of authoritative server for domainPTRPointerDomain name(like a symbolic link)SOAStart of AuthoritMultiple fields that specify whic
15、h parts of the naming hierarchy A Server implementsTXTArbitrary textUninterpreted string of ASCII text冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1414.2 Linux下的域名服务器系统下的域名服务器系统大多数Linux或者Unix的DNS实现使用BIND。BIND(Berkeley Internet Name Domain柏克利因特网名字服务器)是一种DNS协议的实现,目前由ISC(http:/products/BIND/)资助和维护,它提供一种开放的、可重
16、发布的DNS系统。主要包括:(1)一个DNS服务器(named)。(2)一个DNS解析器库。(3)验证DNS服务器操作正确性的工具。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材15BIND,即named,由于多数网络应用程序使用其功能,所以在很多BIND的弱点及时被发现。主要分为三个版本:(1)v4,1998年多数Unix捆绑的是BIND4,已经被多数厂商抛弃了,除了OpenBSD还在使用。OpenBSD核心认为BIND8过于复杂和不安全,所以继续使用BIND4。这样一来BIND8/9的很多优点都不包括在v4中。(2)v8,就是如今使用最多最广的版本。(3)v9
17、,最新版本的BIND,全部重新写过,免费(但是由商业公司资助),也添加了许多新的功能(但是安全上也可能有更多的问题)。BIND9在2000年十月份推出,现在稳定版本是。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1614.3 BIND14.3.1 BIND的安装的安装1.RPM安装安装RPM的安装命令相当简单:rpm-Uhvrpm-Uhvrpm-Uhv2.源代码发布的安装源代码发布的安装首先,到BIND的主页http:/products/BIND下载8.3.1 bind-这个软件包。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材17
18、把软件包(tar.gz)解压缩:rootdns/#mkdir/var/tmp/bindrootdns/#cp bind-/var/tmp/bind/创建了一个名为“bind”的目录,用来处理tar文档,转到新的“bind”目录(cd/var/tmp/bind),解压tar文件:rootdns bind#tar xzvf bind-然后转到源代码的目录(cd src),编译BIND:rootdns src#make编译执行完以后,就可以安装到相应的目录中了:rootdns src#make installBIND 9的安装跟8的安装类似,读者可以下载。解压软件包:冶金工业出版社冶金工业出版社高等
19、教育高等教育“十一五十一五”规划教规划教材材18rootdns/#tar zxvf转到源代码目录:rootdns/#cd生成编译makefile:rootdns bind-9.2.0#./configure编译:rootdns bind-9.2.0#make安装:rootdns bind-9.2.0#make install这样就完成了BIND软件的编译和安装 冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材1914.3.2 BIND的基本配置的基本配置multi选项决定在“/etc/hosts”文件中出现的主机能不能有多个IP地址(多个网络界面)。具有多个IP网络
20、接口的主机被称为多穴主机(multihomed)。必须把这个选项设成ON。nospoof选项指明不允许IP 伪装。IP 伪装是把自己伪装成别的计算机去欺骗其他的计算机,获得它的信任。不管对任何类型的服务器,这个选项都要设成ON。/etc/resolv.conf该文件是解析器使用的配置文件,其指示了本地默认域名(在进行域名解析时,如果提交的域名是相对域名,如:www),则在解析时解析器会自动添加默认域名然后进行解析如:;并且包含应用程序进行域名解析时需要使用的域名服务器的IP 地址信息。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材2014.3.3 named.co
21、nf的重要选项的重要选项1.options语句语句options语句指定全局选项,对于特定区域或服务器,某些选项以后可能被覆盖。一般格式为:options option;option;.;BIND8大约有30个选项,BIND9大概有50个 冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材21Directory“path”:启动服务器的目录。Directory语句让maned程序cd到指定目录。Forward only选项指得是这台服务器缓存数值,并且当查询外部dns的时候直接按顺序查询转发器,不和其他机器打交道。如果转发器查询失败,则这次查询失败。Forward f
22、irst 选项指得是这台服务器作为一个告诉缓存服务器,并且当有外部域名需要查询的时候首先和按顺序查询转发器。如果转发器查询失败时,它还能直接进行处理。Allow-transfer选项指得是那些dns服务器可以从这个dns服务器上面取得区域文件。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材222.acl语句语句acl acl-name ip address-list;.;acl是顶级语法,named.conf直都一遍,所以不能在其他选项中暗中说明它。它一般放在named.conf的最前面。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材
23、233.zone语句语句zone是在named.conf的核心部分,它告诉了named那些是属于自己管理的具有权威性的区域。并为每个区域设定不同的选项。zone中定义的选项可以覆盖全局选项。区域的主服务器:zone domain-name type mster;file path;allow-query ipaddr-list;allow-trabsfer ipaddr-lsit;冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材24设置区域的从服务器:zone domain-nametype slave;masters ip-addr;ip-addr;file pa
24、th;allow-queryip-list;allow-transferip-list;冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材25Masters选项指定主服务器IP地址,从服务器可以利用这里指定的ip地址,从主服务器上面获取到新的区域文件。主服务器可以有多个。设置根服务器线索:zone.type hint;file path;冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材2614.3.4 DNS和防火墙和防火墙在RedHat中,如果设置了防火强,如防火墙设置为中级的时候很多服务器是默认deny的,管理员可以利用防火墙规则刷新来
25、清除防火墙,或者可以添加一些规则,以保证这个服务的正常工作。如在中级防火墙的情况下,可以添加语句使得服务正常。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材2714.4 BIND配置实例配置实例14.4.1 用用redhat-config-bind配置配置DNS服务器服务器在RedHat中有一个在GUI下进行配置的工具redhat-config-bind。14.4.2 主域名服务器配置实例主域名服务器配置实例主域名服务器是指对某个区具有权威信息的域名服务器,对于该区的所有查询,该服务器的应答都是权威的。主域名服务器对域名查询的应答是权威的。它的回答是域名配置文件中
26、得到的区域数据,所以主域名服务器具有对自身区数据的权威性。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材281.域名服务器域名服务器/etc/named.conf的设置的设置2.本地回路反向解析区文件本地回路反向解析区文件文件包括本地回路(loopback)网络的设置,各种域名服务器都应该配置该区,内容也都是一致的。3.配置配置“/”文件文件文件用于映射主机名和IP地址。在“/var/named/”中创建文件(touch/var/named/)并加入:4./var/named/202.116.95 文件配置文件配置文件用于实现从IP地址到主机域名的映射。冶金工业出
27、版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材2914.4.3 辅助域名服务器配置实例辅助域名服务器配置实例辅助域名服务器又叫二级域名服务器,平时可以分担主域名服务器的负载,当主服务器不能正常工作时接管主服务器的工作。辅助域名服务器可以从网络上接收主域名服务器传来的数据(通常是主域名服务器),这个过程叫区带转移。建立一个二级域名服务器所需的文件包括:named.conf和、root.ca。文件及文件root.ca的内容和主域名服务器的内容并无不同,而named.conf的内容不同,冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材3014.4.4
28、Caching Only域名服务器域名服务器所谓Caching Only域名服务器是指一个服务器运行有named进程,但是并不对任何域(区)的域名信息具有授权,也就是并不向外提供本域的域名匹配信息,不负责Internet上对本组织域名解析的应答;而只是负责本地网客户端对外部域名的解析请求,收到客户端(如:Windows 98)的查询请求以后,就从根域名服务器开始进行域名查询,直到最终收到应答,然后将查询结果返回给客户,并且缓冲查询中得到的各种域名信息,以供以后查询使用。区“.”是指根区,其类型为hint,hint区用来指定根域的服务器,其中根域名服务器信息位于root.ca文件中,其内容一般如
29、下所示,而且在文件的注释部分还说明了如何得到该文件最新版本的信息 冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材3114.5 建立子域建立子域如果需要在自己管理的域上面建立一个子域,可以在这个域的主DNS服务器上面做设置。如,用户已经注册了一个域名为,有组织向用户申请这个子域。那么用户在的zone文件上面增加的NS类型解析记录。.INNS.INNS.这样,这个域的所有的域名解析都由和来解析。冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材3214.6 DNS查询查询查询DNS信息可以用nslookup,1.查询查询A记录记录首先,运行nslookup,然后在号提示符下面输入域名。2.查询查询MX记录记录3.查询查询NS记录记录输入set q=mx,则表示查询输入域名的邮件转发。如此类推,查询ns的是set q=ns。4.显示查询的详细信息显示查询的详细信息冶金工业出版社冶金工业出版社高等教育高等教育“十一五十一五”规划教规划教材材33小结小结本章主要介绍了DNS的工作流程和服务器的配置。在这里主要应理解DNS工作的原理,理解了原理以后各种工作就能比较轻松地进行。同时还详细讲述了如何利用nslookup查询DNS记录,并且发现DNS问题,这样,有利于快速判断网络上出现的故障。
限制150内