1、DNS domain name system DNS有什么用?公網(wǎng)訪問，是靠IP走路由，但是對一個用戶去訪問網(wǎng)站（或其它應用）來說，IP不好記，域名好記。DNS就是把域名解析為IP的。# vim /etc/nsswitch.conf hosts: files dns-涉及到名稱翻譯的都會先查找/etc/hosts,再查找DNS(/etc/resolv.conf)主機名和域名的區(qū)別？主機名是內(nèi)網(wǎng)的名字域名是外網(wǎng)的名字-主機名和域名其實是兩個完全可以不同的名字，但是有很多軟件（如郵件系統(tǒng)postfix)會默認認為它們一致DNS服務器特點：1、分布式的數(shù)據(jù)庫2、解決了數(shù)據(jù)不一致，避免了名字沖突3、有

2、緩存機制，提高了性能和可靠性分層結構，最多127層查詢方式：遞歸查詢，迭代查詢DNS 全世界有13臺根域服務器.com .org .edu .gov .net .mil .info商業(yè) 組織 教育 政府 通訊 軍事 信息根cn hk us jp tw in .net.us 深圳電信的DNS地址： 首選的：33備選的：6-課后擴展：上網(wǎng)查詢 全球現(xiàn)在免費的DNS服務器（）-對應的linux主機上寫DNS指向，由/etc/resolv.conf#vim /etc/resolv.conf nameserver -可以寫三個

3、，第一個沒有記錄，則找第二個根 中國 USA 大運營商 小運營商 自己的DNS服務器 US電信 . .us.上圖中qianyun在小運營商申請了域名，自己搭DNS服務器，請問如何與運營商聯(lián)系起來（意思就是說，域名的查詢怎樣才能轉到你自己搭的DNS服務器）如果上面的DNS服務器做好了，全世界的任意一個訪問點如何能訪問到你的這個DNS服務器里的域名？上圖中DNS服務器里除了自己的域名和IP對應，能否寫上這個域和IP的對應呢?=bind (berkeley internet name domain)yum install bind* -y軟件包；# rpm -qa |grep bind-rhel6.

4、3下的包bind-utils-9.8.2-0.10.rc1.el6.x86_64bind-chroot-9.8.2-0.10.rc1.el6.x86_64bind-libs-9.8.2-0.10.rc1.el6.x86_64bind-9.8.2-0.10.rc1.el6.x86_64bind-dyndb-ldap-1.1.0-0.9.b1.el6.x86_64協(xié)議端口： tcp/udp 53查詢DNS記錄只使用udp 53端口主DNS服務器和備DNS服務器之間的數(shù)據(jù)同步使用tcp 53端口配置文件的目錄：沒有安裝bind-chroot.i386的話配置文件為/etc/named.conf 數(shù)據(jù)

5、文件在/var/named目錄下安裝了bind-chroot.i386配置文件為/var/named/chroot/etc/named.conf-默認沒有數(shù)據(jù)文件在/var/named/chroot/var/named目錄從上面看到裝了bind-chroot，籠環(huán)境為/var/named/chroot/# ls /var/named/chroot/etc/-域配置文件目錄localtime rndc.key# ls /var/named/chroot/var/named/ data slaves # ls /var/named/chroot/var/named/data/ -存放主zone文件

6、# ls /var/named/chroot/var/named/slaves/ -存放從zone文件-rhel6.3上的結果# ls /var/named/chroot/etc/localtime named pki# ls /var/named/chroot/var/named/-空的-在紅帽6里你配置/etc/named.conf，重啟服務后，他會鏈接到/var/named/chroot/etc/named.conf-你配置/var/named/,重啟服務后，他也會鏈接到/var/named/chroot/var/named/-rhel6.3下配置模版在/etc/named.conf或者

7、在/usr/share/doc/bind-9.8.2/目錄下配置步驟：1、編輯named.conf-記錄你的域和域對應的數(shù)據(jù)文件在哪2,、編輯zone區(qū)域文件-就是數(shù)據(jù)文件，記錄域名和IP的對應# vim /etc/named.confoptions listen-on port 53 any; ; -改為any，表示監(jiān)聽所有l(wèi)isten-on-v6 port 53 :1; ;directory "/var/named"dump-file "/var/named/data/cache_dump.db" statistics-file "/var

8、/named/data/named_stats.txt" memstatistics-file "/var/named/data/named_mem_stats.txt"allow-query any; ;-改為any,表示所有人能查詢這臺服務器recursion yes;dnssec-enable yes;dnssec-validation yes;dnssec-lookaside auto;/* Path to ISC DLV key */bindkeys-file "/etc/named.iscdlv.key"managed-keys-d

9、irectory "/var/named/dynamic"logging channel default_debug file "data/named.run" severity dynamic; ;zone "." IN type hint;file "named.ca"include "/etc/named.rfc1912.zones"include "/etc/named.root.key"- - - - - - - - - - - - - - - - - - - -

10、- - - - - - - - - - - - - - - - - - 例一:# vim /etc/named.rfc1912.zones-打開這個文件，最后加上一個域的配置zone "" IN type master; file "data/.zone"；; -data/.zone是相對路徑，相對與/var/named/# vim /var/named/data/.zone-建立數(shù)據(jù)文件，路徑要對應上面的配置$TTL 3600INSOAsdfsadfas. zhangsan. ( 2013050801-版本號，下面的是各種時間，如果不做主從結構，這些隨

11、便寫3060903600 )INNS00.-這里就是DNS服務器的IP(實際應該是公網(wǎng)IP，但這里是內(nèi)網(wǎng)環(huán)境，所以寫的內(nèi)網(wǎng)IP），但記得加點，也可以寫DNS服務器的外網(wǎng)域名；并且這里可以寫多個NS，代表了你公司的多臺DNS服務器mailINAdns INA00bbs INA# /etc/init.d/named restart-SOA Start Of Authority(開始授權)-NS Name Server （域名服務器）-A Address客戶端# vim /etc/resolv.confnameserver

12、00# nslookup Server:00Address:00#53Name:Address: # nslookup Server:00Address:00#53Name:Address: # dig # host 例二：反向解析IP解析為域名-比如我們使用公司的一臺內(nèi)部機器，可以模擬zhangsan去給另一個lisi發(fā)郵件； 那么qq如何知道你發(fā)的這封郵件是真的從126來的呢？-通過反向解析（IP解析為域名)就可以判別第一步：主配置文件添加以下區(qū)域：# vim /etc/named.rfc1912.

13、zoneszone "2.2.10." IN type master; file "data/.zone"-我這里做的是一個內(nèi)網(wǎng)網(wǎng)段，在這里只是實驗第二步：建立區(qū)域數(shù)據(jù)文件# vim /var/named/data/.zone $TTL 86400 IN SOA sdfsfd. sdfsda. ( 2013011101 30 40 50 86400 ) IN NS 00.201 IN PTR .-

14、01這個IP被反向解析為# /etc/init.d/named restart# nslookup 01Server:00Address:00#530.name = .例三:使用DNS的輪循（round-robin)實現(xiàn)簡單的負載均衡 （一個域名對應多個IP） 屬于一種基本的負載均衡(load balance)DNS輪循相對于其它的負載均衡軟件來說：優(yōu)點：配置簡單，成本低缺點：沒有后臺健康檢查，算法單一,因為DNS的緩存，會影響你修改DNS調度的生效速度 client | DNS服務器 web1web2w

15、eb3 rsync 共享存儲 保證數(shù)據(jù)一致# vim /var/named/data/.zone $TTL 86400 IN SOA 00. daniel. ( 2013011101 10 20 30 86400 ) IN NS 00.web IN A web IN A web IN A -對web記錄再綁定兩個IPmail IN A # /etc/init.d/named reload# nslookup -客戶端驗證Server:00Address:00#53Name:

16、Address: Name:Address: Name:Address: 總結：一個域名對應多個IP地址，每次直接ping域名的時候IP每次都切換，不停的輪詢，這樣也不好，當一臺服務器down掉了，它還是會發(fā)給這臺服務器，然而并沒有回應。例四：CNAME記錄的使用（一個IP對應多個域名)# vim /var/named/data/.zone $TTL 86400 IN SOA 00. daniel. ( 2013011101 10 20 30 86400 ) IN NS 00.www IN CNAME venusven

17、us IN CNAME marsmars IN CNAME earthearth IN CNAME web -這里加了幾個cname記錄web IN A web IN A web IN A mail IN A # /etc/init.d/named reload# nslookup -客戶端驗證Server:00Address:00#53canonical name = .canonical name = .canonical name = .canonical name = .Name:Address:

18、Name:Address: Name:Address: 例五：實現(xiàn)直接對域的解析# vim /var/named/data/.zone . IN A # /etc/init.d/named reload# nslookup Server:00Address:00#53Name:Address: 例六：使用通配符實現(xiàn)泛解析* IN A # nslookup /一個不存在的域名Server:00Address:00#53Name:Address: 4.

19、4.4.4例七：實現(xiàn)連接范圍域名解析實現(xiàn)station1 與54的對應正向DNS的寫法# vim /var/named/data/.zone $GENERATE 1-254 station$ IN A 10.2.2.$#/etc/init.d/named reload 測試： nslookup 測試反向DNS的寫法# vim /var/named/data/.zone $GENERATE 1-254 $ IN PTR station$.測試：nslookup 例8： 輔助DNS服務器（從DNS服務器）的配置10

20、.2.2.200 01 主 從 type master type slave zone文件 被動的從主傳過來zone文件從DNS服務器的準備工作：和主DNS服務器一樣準備工作有：1、主機名三步2、時間同步3、iptables,selinux關閉iptables -L -查看,有寫規(guī)則的話,則表示需要關閉iptables -F-清空規(guī)則 chkconfig iptables off #ls /selinux/-有數(shù)據(jù),表示selinux開啟著,如果沒數(shù)據(jù)則表示selinux關閉 #vim /etc/selinux/config SELINUX=disabled-改為disable

21、dreboot -selinux的關閉需要重啟電腦才能完全生效如果你不想重啟來關閉selinux，那么使用setenforce 0(這不是關閉selinux，只是改成警告模式,但是這種模式不會拒絕你的操作)4、yum配置好1)配置從服務器的主配置文件在從服務器上安裝bind軟件包#yum install bind* -y# vim /etc/named.conf -打開此文件，和主的配法一樣options listen-on port 53 any; ;-改為any listen-on-v6 port 53 :1; ; directory "/var/named" dump

22、-file "/var/named/data/cache_dump.db" statistics-file "/var/named/data/named_stats.txt" memstatistics-file "/var/named/data/named_mem_stats.txt" allow-query any; ;-改為any recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV k

23、ey */ bindkeys-file "/etc/named.iscdlv.key"managed-keys-directory "/var/named/dynamic"logging channel default_debug file "data/named.run" severity dynamic; ;zone "." IN type hint; file "named.ca"include "/etc/named.rfc1912.zones"include &qu

24、ot;/etc/named.root.key"# vim /etc/named.rfc1912.zones -在最后加上下面一段zone "" IN type slave;-類型定義為slave file "slaves/.zone" -最好把zone文件定義到slaves目錄下； masters 00; ; -指定主DNS服務器的IP地址，括號左邊有空格;/etc/init.d/named start-在從上啟動named服務Starting named: OK # ls /var/named/slaves/ -再次查看發(fā)現(xiàn)是

25、主上面下載過來了.zone如果不能下載過來：1、查看網(wǎng)絡是否連通，就是ping一下2、查看iptables,selinux是否關閉3、時間是否同步等# tail /var/log/messages-或者查看日志也可以看到相關的日志內(nèi)容例九：驗證主DNS到從DNS的更新1、更新主服務器的區(qū)域文件的記錄，注意，加大版本號vim /var/named/chroot/var/named/data/.zone 隨便添加一條記錄，然后增大版本號的數(shù)字，最好把刷新時間改小點（比如60秒）2、/etc/init.d/named restart-重啟服務3、在從域名服務器這里查看1）直接刪除/var/named

26、/chroot/var/named/slaves/.zone 文件然后重啟服務 2)從DNS服務器什么都不用做，用watch tail /var/log/messages查看日志看是否能夠自動更新過來-或者使用tail -f來查看-上面看到這樣的同步機制很慢，如果主服務器更新了大量記錄，而從服務器還沒有同步過去時，主服務器就崩潰了，則就會造成數(shù)據(jù)的不一致-所以可以用腳本或程序開發(fā)或共享存儲等技術實現(xiàn)同步更新就可以了，不一定要使用它自帶的refresh功能例十：限制從DNS的IP主對從DNS的限制#vim /var/named/chroot/etc/named.conf zone "&

27、quot; IN type master; file "data/.zone" allow-transfer 01; ; -加上這一句，限制了只有201(括號里左邊有空格，否則無效)這臺機才能做這個域的從DNS;例十一：轉發(fā)服務器的設置前面所做的全是一個域的情況，也就是我只能解析這一個域，如果想要解析另外一個域方法一：在named.conf里再寫一個域然后再配置一個對應zone數(shù)據(jù)文件方法二：做轉發(fā)單域轉發(fā) 1、named.conf里加上下面一段zone "" IN type forward; forwarders 27;

28、 ;/etc/init.d/named restart# nslookup -查找能查出來，是因為127的DNS服務器的zone文件里有，我這里轉發(fā)過去查找到結果，再返回過來Server: 5Address: 5#53Non-authoritative answer:Name: Address: 712、完全轉發(fā)options directory "/var/named" forwarders ; ;-這是寫到options里的完全轉發(fā)，指的是本機的zone文件查不到的情況，會去查找,都查不到才

29、會返回錯誤;options directory "/var/named" forwarders 27;99; ; -可以用分號隔開，寫多個轉發(fā)服務器的IP;-在rhel6.3上測試的轉發(fā)，不管是單域還是全局轉發(fā)，都要把下面的這個參數(shù)改為no，才可以成功dnssec-validation no;例十二：緩存dns服務器如果你的DNS服務器就按上面的例子來配置一個這個域；如果你的公司內(nèi)網(wǎng)用戶，把DNS不去指向外網(wǎng)，而用內(nèi)網(wǎng)地址指向你的DNS服務器去查baidu,youku,sina等域名，會是什么情況？情況一：如果DNS服務器有一個能出去的外網(wǎng)網(wǎng)

30、關，那么內(nèi)網(wǎng)用戶也可以查詢到除了之外的域名情況二：沒有網(wǎng)關，則不行； 但在去掉網(wǎng)關之前，你查過的域名還是可以，因為有緩存route del default gw -刪除默認網(wǎng)關route add default gw -添加默認網(wǎng)關情況三：或者你做了轉發(fā)服務器，轉發(fā)給外網(wǎng)或者轉發(fā)給一個有外網(wǎng)網(wǎng)關的DNS服務器都可以-DNS服務器緩存的清除方法#rndc flush怎么做一個only cache的DNS服務器?一個DNS管理一個域或不管理域，然后加一個能出去的外網(wǎng)網(wǎng)關就OK。子域 =練習：1、簡述通過瀏覽器上的過程(域名的查找過程，DNS的訪問和網(wǎng)絡的訪問過程)/

31、etc/nsswitch.conf/etc/hosts/etc/resolv.conf2、做為一個公司的技術人員，要不要搭建DNS服務器，哪些情況才可能需要搭建3、簡述主DNS服務器，從DNS服務器，緩存DNS服務器,轉發(fā)DNS服務器的區(qū)別及應用4、下面是dig 產(chǎn)生的結果，通過下面的結果，畫出sina的DNS的架構圖，并寫出他的配置; ANSWER SECTION:35INCNAME.2INCNAME.2INCNAME.59INCNAME.182INA8.182INA9.182INA0.182INA202.108.33.

32、71.182INA2.182INA4.182INA5.182INA6.182INA7.182INA8.182INA9.182INA0.182INA1.182INA5.182INA6.182INA7; AUTHORITY SECTION:.18423INNS.18423INNS.18423INNS.18423INNS.; ADDITIONAL SECTION:.24775INA66.24775INA54.24775INA5.24775INA2# cat /etc/named.rfc191