第三本第六章 企业DNS服务器搭建
1.关于dns的名词解释
dns本地解析:
上网时不需要输入IP,只需域名 dns;
domain name service(域名解析服务)高速缓存dns:
主机dig了网址之后,数据被缓存
其余主机再次dig网址时,时间为0毫秒
关于客户端:
- /etc/resolv.conf ##dns指向文件
- namesever 172.25.254.11
- host www.baidu.com
- ##地址解析命令
- dig www.baidu.com
- ##地址详细解析信息命令
- ##记录搜索花费时间
关于服务端:
bind ##安装包
named ##服务名称
/etc/named.conf ##主配置文件
/var/named ##数据目录
端口 ##53
2.dns服务的安装与启用
在能上网的主机b上
dnf install bind.x86_64 -y
systemctl enable --now named
systemctl disable --now firewalld.service
vim /etc/named.conf
改好重启服务
systemctl restart named
listen-on port 53 { any; };
allow-query { any; };
在不能上网的主机A:
把dns指向b
效果测试:
dig www.baidu.com
3.高速缓存
高速缓存dns:
主机dig了网址之后,数据被缓存
其余主机再次dig网址时,时间为1毫秒
服务器端:
forwarders { 114.114.114.114; };
效果测试:
两台主机分别dig www.jd.com
两个不能上网的主机
4.dns的正向解析
在dns服务器上操作:先把服务器的dns改为服务器的真实ip
第一步
vim /etc/named.rfc1912.zones
zone "westos.org" IN {
type master;
file "westos.org.zone"; ####指向文件
allow-update { none; };
};
二:将
cd /var/named/
cp -p named.localhost westos.org.zone
创建出上个配置文件指向的文件
vim westos.org.zone
效果测试:
5.dns反向解析
规范域名转换
vim westos.org.zone
效果测试:
邮件收发解析
发送邮件时,先将域名转换成ip地址(正向解析),再将ip转换成域名邮箱地址进行存储(反向解析)。
mx 邮件解析记录
软件sendmail postfix qmail提供smtp协议
邮件解析记录的查询
安装邮件服务:
dnf install postfix mailx -y
systemctl enable --now postfix
1.发送端解析
原因:mail root@westos.org会失败,因为主机不认,不知道它ip是什么
措施:
vim /var/named/westos.org.zone
2.接收端解析
vim /etc/named.rfc1912.zones
zone "254.25.172.in-addr.arpa" IN {
type master;
file "172.25.254.ptr";
allow-update { none; };
};
cd /var/named/
cp -p named.loopback 172.25.254.ptr
vim 172.25.254.ptr
效果测试:
dig -x 172.25.254.216
6.dns的双向解析:不同主机dig显示不同内容
配置服务器网络
DEVICE=ens3
ONBOOT=yes
BOOTPROTO=none
PREFIX0=24
IPADDR0=172.25.254.112
PREFIX1=24
IPADDR1=192.168.0.216
nmcli connection reload
nmcli connection up System\ ens3
另一个虚拟机:ip设192.168.0.216
dns:192.168.0.216
1.服务器上配置文件进行操作:
-
cp westos.org.zone westos.org.inter
-
chgrp named westos.org.inter
修改配置文件:
vim westos.org.inter
:%s/172.25.254/ 192.168.0/g
cp /etc/named.rfc1912.zones /etc/named.rfc1912.inter -p
vim /etc/named.rfc1912.inter
vim vim /etc/named.conf
view localnet {
match-clients{ 1.1.1.0/24; };
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.inter";
};
view anyone {
match-clients{ any; };
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
};
systemctl restart named 重启服务
dns集群
随着访问量的增多,一台dns服务器上的解析资源可能无法应对访问压力,为了解决问题,我们需要搭建dns集群。
对westisb操作
1.将westosb(slave dns)作为辅助dns
dnf install bind -y
systemctl disable --now firewalld
systemctl enable --now named.service
2.配置文件
vim /etc/named.conf
两处改为any,一处改为no
vim /etc/named.rfc1912.zones 新加一段
zone "westos.org" IN {
type slave;
masters { 172.25.254.116; };
file "slaves/westos.org.zone";
};
vim /etc/resolv.conf
vim /etc/named.rfc1912.zones
also-notify { 172.25.254.216; };
效果:
在dns主机修改的 westos.org.zone
辅助dns能实施更新
两台主机火墙都要关
8. ddns(dhcp+dns)安全动态域名解析
对主dns进行操作:
1.设置好dhcp服务
dnf install dhcp-server -y
cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf
/etc/dhcp/dhcpd.conf的配置前边有
option domain-name "westos.org";
option domain-name-servers 172.25.254.112;
subnet 172.25.254.0 netmask 255.255.255.0 {
range 172.25.254.10 172.25.254.50;
option routers 172.25.254.112;
}
测试是否成功:删除westosb中原有的网络连接,为其添加工作方式为dhcp的网络连接,重启网络连接后westosb自动获取到IP
2.配置DHCP+DNS
dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST westoskey
mv Kwestoskey.+163+30084.private Kwestoskey.+163+30084.key /mnt/
生成两个文件 移动到mnt
dnssec-keygen为dns生成更新许可密钥
(-a指定加密方式,选择默认加密方式;-b指定生成的密钥长度;
-n指定密钥的名称类型,这里是为本机HOST生成密钥),
cp /etc/rndc.key /etc/westos.key -p
vim /etc/westos.key
复制dns更新密钥指定模板,修改生成更新密钥指定文件,
vim /etc/named.rfc1912.zones
编辑/etc/named.rfc1912.zones在维护域模块中修改allow-update参数的值,设定拥有指定密钥才可以更新dns的解析A记录文件
zone "westos.org" IN {
type master;
file "westos.org.zone";
allow-update { key westoskey; };
also-notify { 172.25.254.212; };
};
vim /etc/named.conf
编辑dns服务的主配置文件添加读取更新密钥指定文件语句,
2.dhcp配置文件
vim /etc/dhcp/dhcpd.conf
key westoskey {
algorithm hmac-sha256;
secret xIOQka7J8sCFhgL6Qxqtpg==;
};
zone westos.org. {
primary 127.0.0.1;
key westoskey;
}
systemctl restart named
systemctl restart dhcpd
对westosb:
DEVICE
ONBOOT
BOOTPROTO=dhcp
配置文件的全部内容
网络经过reload和up之后
dig westosb.westos.org