基于BIND软件实现互联网DNS解析

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于BIND软件实现互联网DNS解析相关的知识,希望对你有一定的参考价值。

一、什么是DNS服务

  DNS全称(Domain Name System)域名系统,因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串;DNS通过软件来进行实现域名对IP的解析;这里是通过BIND开源软件实现;BIND是开放源码软件,它允许在Internet上发布域名系统(DNS)信息,并为用户解析DNS查询;该名称绑定代表是"Berkeley Internet Name Domain"BIND是迄今为止使用最广泛的DNS软件在互联网上,提供了一个强大的和稳定的平台之上的组织可以建立分布式计算系统与知识,这些系统完全符合发布的DNS标准;BIND实现DNS协议,而DNS协议是核心互联网标准的一部分。


二、用户的基本上网流程

如下图:

技术分享


三、DNS工作机制

如下图:

技术分享


四、实践互联网DNS解析

1、实践前的规划

(a)配置流程图:技术分享


(b)配置主机规划:

编号

主机名

角色

IP地址

1

linux-node1-root

root

192.168.10.10

2

linux-node2-com

com

192.168.10.11

3

linux-node3-icescn-com01

icescn.com

192.168.10.12

4

linux-node4-icescn-com02

192.168.10.13

5

dns-proxy

proxy

192.168.10.16

6

client

client

192.168.10.26


(c)操作系统信息:

系统版本:CentOS6.7  内核版本:2.6.32  系统架构:X86_64  安装状态:Minimal


2、预基础配置

 (a)关闭防火墙及SELINUX安全;

   /etc/init.d/iptables stop|status

   grep ‘\<SELINUX\>‘ /etc/sysconfig/selinux


 (b)配置HOSTS解析(每个主机都配置);

  cat /etc/hosts

    # DNS service for hosts

    192.168.10.10 linux-node1-root linux-node1

    192.168.10.11 linux-node2-com linux-node2

    192.168.10.12 linux-node3-icescn-com01 linux-node3

    192.168.10.13 linux-node4-icescn-com02 linux-node4

    192.168.10.16 dns-proxy

    192.168.10.85 client


 (c)安装BIND服务软件(每个主机都配置);

   yum install bind -y


 (d)基础选项配置(每个主机都配置);

   cat /etc/named.conf

    options {

      # 监听本地所有网卡IP;

      listen-on port 53 { localhost; };


      # 是否允许其他主机来查询;也可以允许特定的主机来查询;

      allow-query     { any; };


      # 是否允许其他主机来本机抓取记录;"none"为不允许;

      allow-transfer {none;};


      # 关闭相关安全选项;

      dnssec-enable no;

      dnssec-validation no;

    };

   注意:参数"allow-transfer"在主从同步的服务器上需要进行授权从服务器来抓取记录,其他的则禁止;


 (e)配置解析的根文件(每个主机都配置):

   cat /var/named/named.ca

    .                  3600000      NS    A.ROOT-SERVERS.NET.

    A.ROOT-SERVERS.NET.      3600000      A     192.168.10.10

   注意:"根"服务器不需要配置,它需要单独进行配置区域;该文件在生产环境意味着服务器是否能上网解析;


 (f)服务加入开机自启动(每个主机都配置);

   cat /etc/rc.local

    # Bind service start by icescn at 20170430

    /etc/init.d/named start &>/dev/null  


 (g)配置流程:后续配置

   (A)icescn.com --> (B)com --> (C)根 <---> (D)proxy授权代理 <--- (E)client解析


3、配置主从解析记录同步:二级域

MASTER上:

 (a)允许指定主机来同步:

   cat /etc/named.conf

    options {

       allow-transfer {192.168.10.13;};

    };

   named-checkconf # 检查主配置文件是否有语法错误;


 (b)配置区域解析文件:

   cat /etc/named.rfc1912.zones

    zone "icescn.com" IN {

      type master;  # 指定类型为主;

       file "icescn.com.zone";  # 指定区域解析记录文件路径;

    };

   cat /var/named/icescn.com.zone

    $TTL 1D

    @ IN      SOA dns1 admins.icescn.com. ( 2017043000 1D 1w 2w 3w )

    @        NS  dns1

    @        NS  dns2

    dns1      A      192.168.10.12

    dns2      A      192.168.10.13

    www       CNAME   webservers

    webservers  A      192.168.10.27

    bbs       A      192.168.10.28

    blog      A      192.168.10.29

    @        MX 10   mailservers

    mail      CNAME   mailservers

    mailservers A        192.168.10.30

   named-checkzone "icescn.com.zone" /var/named/icescn.com.zone # 检查区域解析文件是否语法错误;


 (c)重新启动服务:

   /etc/init.d/named restart

   ss -tanl | grep "53"


SLAVE上:

 (a)禁止其他主机来本机抓取区域解析记录:

   cat /etc/named.conf

    options {

       allow-transfer {none;};

    };

   named-checkconf


 (b)建立同步区域文件配置:

   cat /etc/named.rfc1912.zones

    zone "icescn.com" IN {

       type slave;  # 指定类型为从;

       masters {192.168.10.12;};  # 指定主服务器地址;

       file "slaves/icescn.com.zone.slave";  # 指定同步的区域记录文件路径;

    };


 (c)重新启动服务:

   /etc/init.d/named restart

   ss -tanl | grep "53"

   ls -l /var/named/slaves/

   注意:"slaves"必须要有写的权限,意味着"named"用户对此目录有写权限;


DNS-PROXY上:

 测试主从同步的区域解析文件是否正常:

   dig www.icescn.com @192.168.10.12

   dig www.icescn.com @192.168.10.13

   for n in {12,13};do echo "# DNS SERVER: $n";for i in "www" "bbs" "blog" "mail";do dig ${i}.icescn.com @192.168.10.${n} | egrep "^(w|b|m)";done;done;


 到此DNS主从同步配置完成!


4、配置COM委派:一级域

COM上:

 (a)建立com的委派区域文件:

   cat /etc/named.rfc1912.zones 

    zone "com" IN {

       type master;  # 指定类型为主;

       file "com.zone";  # 指定区域解析记录文件路径;

    };

   cat /var/named/com.zone

    $TTL 1D

    @ IN      SOA com1 admins.com1.com. ( 2017043000 1D 1w 2w 3w )

     @        NS com1

     icescn.com.  NS icescndns1

    com1      A     192.168.10.11

    icescndns1  A     192.168.10.12


   注意:这里委派是给"icescn.com"二级域;


 (b)检查语法并且启动服务:

   named-checkconf

   named-checkzone "com" /var/named/com.zone

   /etc/init.d/named restart

   ss -tanl | grep "53"


DNS-PROXY上:

 测试COM是否委派成功:

   dig www.icescn.com @192.168.10.11

   dig mail.icescn.com @192.168.10.11


5、配置ROOT委派:根

ROOT上:

 (a)建立根的委派区域文件:

   cat /etc/named.conf

     zone "." IN {

      type master;  # 指定根的类型为主(自己为主);

       file "root.zone";  # 指定区域解析记录文件路径;

    };

   cat /var/named/root.zone 

    $TTL 1D

    @ IN     SOA root1 admins.root1.com. ( 2017043000 1D 1w 2w 3w )

    @       NS  root1

    com.     NS  comdns1

    root1    A      192.168.10.10

    comdns1   A      192.168.10.11

   注意:这里委派是给"com"一级域;


 (b)检查语法并且启动服务:

  named-checkconf

  named-checkzone "." /var/named/root.zone 

  /etc/init.d/named restart 

  ss -tanl | grep "53"


DNS-PROXY上:

 测试根是否委派成功:

  dig www.icescn.com @192.168.10.11

  dig mail.icescn.com @192.168.10.11

  注意:最好清空下上次测试的缓存记录;rndc flush:清空本地解析缓存;


6、ProxyDNS代理配置:解析根文件(前面配置过了)

 cat /var/named/named.ca

   .                  3600000      NS    A.ROOT-SERVERS.NET.

   A.ROOT-SERVERS.NET.      3600000      A     192.168.10.10

 /etc/init.d/named restart

 ss -tanl | grep "53"


7、客户端访问互联网域名解析

 cat /etc/resolv.conf

   nameserver 192.168.10.16

 dig www.icescn.com

 dig bbs.icescn.com

 dig blog.icescn.com

 dig mail.icescn.com


 到此,互联网DNS解析就配置完成 !


本文出自 “OnlyWu” 博客,请务必保留此出处http://icescn.blog.51cto.com/9010972/1920884

以上是关于基于BIND软件实现互联网DNS解析的主要内容,如果未能解决你的问题,请参考以下文章

Linux基于bind快速搭建内网DNS服务器主从模式

基于BIND实现的DNS正反解析及主从DNS的配置

DNS服务相关概念详解

DNS解析与Bind的使用

DNS解析与Bind的使用

DNS域名解析服务之