《Linux网络服务DNS.ppt》由会员分享,可在线阅读,更多相关《Linux网络服务DNS.ppt(55页珍藏版)》请在三一办公上搜索。
1、Linux网络服务,软件学院田丽华,配置Linux网络服务,常见的 Linux 网络服务DNS(BIND)NFSSambaNTPCupsOpenLDAP,DNS(domain name system),通过IP地址来访问网络上的主机,但32位ip地址难于记忆采用域名代替IP地址 DNS实现域名与IP地址之间的转换,Internet 的域名系统是一个树状层式结构的分布式数据库,树状层次结构即整个域名系统按照分层的原则进行分配和管理,分布式数据库.指拥有自己域名的各个组织只需管理自己的数据库,各组织之间的域名数据通过根域相互联系。IP地址难以记忆如果不分级,容易造成重名,导致管理混乱,域名系统,域
2、:指域名空间的任意一个子树,其顶级是根域。它由一个点(“.”)表示。在根域下的第一层包含顶级域(TLD).com 用于商业机构(例如 和).edu 用于教育机构和研究机构.gov 用于政府的机构(例如 nasa.gov).int 用于国际性机构(例如 un.int 和 ecb.int).mil 用于军事机构(例如 army.mil 和 navy.mil).net 用于提供和管理网络基础结构的机构(例如 和).org 用于非商业性机构(例如 eso.org 和 andeff.org)用于不同国家,如.cn.de.uk等,授权(delegation),授权是指某个域的管理员将其子域的域名管理权限授
3、予其它人DNS中的授权与一个大机构的责任授权相似,每个部分被划分为更小的部门。被授权组织通过建立自己的DNS服务器(权威服务器),服务器管理员负责维护属于它的网络的主机信息一旦将管理权授于它的子域,子域所对应的机构就有权建立适合它自己需要的结构。如同用户能够建立它的本地子目录一样取得授权的子域有权进一步将低级域的管理权授予网络上的成员分区和部门上级域名服务器必须知道下级服务器的IP地址,Zone:管理域,管理域是指受同一单位/管理员直接管理的一部分名字空间在多数情况下,每一级域名就是一个zone,zone,.net,net,www,ftp,xjtu,www,ftp,www,ftp,pku,ed
4、u,com,.cn,.com,.,domain,zone,zone,完整的计算机名或全限定域名Fully qualified domain name(FQDN)由实际计算机名、域名和 TLD(可能包含一个或多个子域)的名称组成。从根结点到目标结点路径上所有结点名字的组合所有这些域名都以一个点结尾(例如.)表示根域,但通常不使用这个点。,根域名服务器,根域名服务器含有所有顶级域名的权威服务器信息。当收到查询顶级域名服务器的请求时,根域名服务器会给出相应顶级域名服务器的名字及IP地址,然后再由这些服务器给出二级的域名服务器及地址。根域名服务器在地址解析中起着十分重要的作用,为了保证Inernet上
5、的所有DNS查询能够获得及时的响应,目前全球共设13个根域名服务器,DNS服务器的分类,域是在本地管理的,对于每个域,都有一个 DNS 服务器“负责”该域,称为主服务器,它是该域的权威机构域中还有其他 DNS 服务器称为从服务器,分发负载,用作备份。从服务器保留主服务器上信息的副本,并定期更新此信息DNS 服务器也在缓存中临时存储其他域中的信息,并可以传递此信息,注明它为非权威性答复,只缓存服务器。转发服务器,该服务器无法权威地答复的所有查询都转发到其他 DNS 服务器。,一台DNS服务器可以同时作为主服务器和辅服务器作为某些zone的主服务器同时作为其它zone的辅服务器一台DNS服务器可以
6、同时作为权威服务器与缓存服务器所管辖zone的权威服务器其它zone的缓存服务器,DNS的三要素:名字空间:映射关系DNS服务器:全球分布的松耦合高可靠动态数据库客户端解析程序:向DNS服务器查询名字空间的程序,域名解析过程,ping,dec3000向根域名服务器a发出查询请求,根域名服务器a返回一组服务器提名,dec3000向com域名服务器f发出查询请求,com域名服务器f返回一组服务器提名,dec3000向google域名服务器ns1发出查询请求,google域名服务器ns1返回所需的IP地址,dec3000把结果转达给,任何一台DNS服务器上都不会也不可能保存全球所有域名的信息dec3
7、000充当了一种用户代理的角色这种角色用一个专门的名词“递归”(recursion)来表示整个过程复杂、不利于提高速度,带缓存的域名解析过程,经过了前面的解析过程,dec3000知道了以下内容:.com域名服务器列表的名字和IP域名服务器列表的名字和IP的IP,向本机所配置的DNS服务器发出查询请求,ping,dec3000已经缓存了google域名服务器ns1的IP,所以它直接向发出查询请求,ping,缓存带来的新问题,DNS服务器不能永远使用其cache中的数据,否则权威服务器的修改对网络上的其他主机就不起作用如果域名服务器列表发生了变化,而dec3000依然使用缓存中的数据,必然会发生问
8、题什么时候应该更新缓存?设置一个定时器规定缓存的有效时间,生存时间(Time To Live,TTL),权威服务器通过在其数据中指定TTL告诉缓存DNS服务器可以使用cache的最长时间如果在cache中的数据超过其TTL值,DNS服务器必须丢弃此数据,并从权威服务器中取得新的数据TTL值的选择需要综合考虑性能和数据一致性小的TTL值会提高数据的一致性,但会加重DNS服务器的负载,降低其他域对所在域的查询速度。大的TTL值会加快DNS查找,但在更改过DNS数据之后可能会造成其他DNS服务器与权威服务器数据的不一致,BIND简介,BIND(Berkeley Internet Name Domai
9、n)是以named为核心的一套软件的集合,其DNS服务器程序叫做Named它是目前Unix/Linux平台上使用最广泛的DNS服务器软件Bind同时具有主服务器、辅服务器、缓存服务器的功能rpm qa|grep bind,配置文件/etc/named.conf数据文件/var/named/var/named/named.ca 根域/var/named/localhost.zone localhost域/var/named/domain.zone domain域/var/named/named.local localhost反向域/var/named/netaddr 反向域,配置DNS客户端,/
10、etc/host.conf order hosts,bind/etc/hosts 127.0.0.1 localhost.localdomain localhost/etc/resolv.conf nameserver nameserver 202.117.0.21,配置文件/etc/named.confacl定义一个IP地址列表,用于访问控制logging指定域名服务器日志文件中记录何种信息,以及把日志文件存放在何处options控制服务器的全局设置,并设定其它配置行的默认值zone定义某个zone的解析数据,配置DNS转发服务器,/etc/named.confoptions directo
11、ry/var/named;forward only;forwarders 202.117.0.20;202.117.0.21;,配置DNS缓存服务器,默认配置 named.confoptions directory“/var/named”;/管理域数据文件目录allow-transfer none;/允许批量传输;/根域名服务器列表是每个常规的DNS服务器都必须有的zone.in type hint;/根域名服务器列表l类型file named.ca;zone“localhost in type master;/域名服务器列表l类型file“localhost.zone;allow-updat
12、e none;/本地网络解析zone 0.0.127.in-addr.arpa in type master;file“named.local;allow-update none;,/var/named/named.ca;formerly NS.INTERNIC.NET.3600000 IN NS A.ROOT-SERVERS.NET.A.ROOT-SERVERS.NET.3600000 A 198.41.0.4;formerly NS1.ISI.EDU.3600000 NS B.ROOT-SERVERS.NET.B.ROOT-SERVERS.NET.3600000 A 128.9.0.107
13、;formerly C.PSI.NET.3600000 NS C.ROOT-SERVERS.NET.C.ROOT-SERVERS.NET.3600000 A 192.33.4.12,/var/named/localhost.zone$TTL 86400$ORIGIN localhost.IN SOA root(42;serial(d.adams)3H;refresh 15M;retry 1W;expiry 1D);minimum IN NS IN A 127.0.0.1,/var/named/named.local$TTL 86400 IN SOA localhost.root.localho
14、st.(1997022700;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum IN NS localhost.1 IN PTR localhost.,配置DNS从服务器,/etc/named.confzone IN type slave;file;masters 192.168.30.5;zone“x.x.x.in-addr.arpa in type slave;file“;masters 192.168.30.5;,配置DNS主服务器,/etc/named.confzone IN type master;file;
15、zone“x.x.x.in-addr.arpa in type master;file“;allow-update none;,管理域数据文件,DNS管理域数据文件用于主权威服务器中,它记录了管理域内IP地址与域名的对应关系一般而言,每个管理域对应一个正向解析文件每个网络对应一个反向解析文件建议文件名使用统一的命名规则.db管理域数据文件的首行一般指定默认的TTL值$TTL 86400,管理域数据文件中的主要内容为DNS资源记录(DNS Resource Record),DNS不区分大小写,但一般使记录类型使用大写,记录内容为小写记录类型:SOA记录:授权域的开始(Start of Autho
16、rity)NS记录:对应域的权威服务器列表A记录:主机名到IP地址对应记录PTR记录:IP地址到主机名对应关系记录CNAME记录:别名MX记录:邮件交换记录,SOA记录,管理域文件中的第一条记录每个管理域文件有且只有一个SOA例如:.IN SOA.(2004082000;Serial,42949672953H;Refresh after 3 hours3600;Retry after 1 hour1W;Expire after 1 week1D);Minimum TTL of 1 day在DNS数据中绝对域名必须以“.”结束用符号“”可以代替当前管理域的名字IN:Internet,数据类型,还
17、有其他类型,但很少用SOA:Start of A.:数据文件所在主机名,.管理员Email地址,其中用.代替序列号serial:其他DNS服务器根据此值判断主DNS数据文件内容是否已经修改,其值为相对值,最好使用整数或修改日期加相应编号,如2004082001更改主域名服务器后必须增加序列号默认的时间单位为秒,也可以指定M(分),H(时),D(日),W(星期)等单位刷新时间Refresh:辅域名服务器与主域名服务器通信的时间间隔。通信时,先检测序列号是否增加,如果没有增加,则不需要刷新数据,Retry:告诉辅服务器如果当前的尝试失败,等待指定时间后再从主域名服务器更新数据Expire:告诉辅域
18、名服务器数据无效的失效时间。在数据失效时间到达后,不管主服务器的数据是否已经更新,辅域名服务器都必须丢弃暂存的数据,重新从主服务器上读取数据。Expire的大小的一般规则:Expired Refresh+Retry*10TTL:用于指定缓存的有效时间,A记录,格式:hostname INA IPhostname可使用FQDN或者相对名称如果主机名以.结束表明使用FQDN,否则认为使用的是相对主机名对于相对主机名,系统会加入SOA记录的域名形成FQDN例如当SOA记录的域名为时,以上两条记录是完全等价的,NS记录,格式:name IN NS hostname.用于授权,把某个子域的管理权限授予给
19、其它服务器权威服务器本身也需要在管理域数据文件里指定本管理域的权威服务器在用NS记录加入下级管理域的权威服务器名的同时,必须加入下级管理域权威服务器的IP例如,需要在域名服务器中加入:.IN NS DEC.IN NS NS.IN NS.,CNAME与PTR记录,CNAME记录:用于指定别名格式:alias_name ttl IN CNAME canonical_name同时应该添加对canonical_name的IP的解析示例:.86400 IN CNAME.PTR记录:用于实现反向解析格式:.IN PTR hostname示例:13.1.117.202.in-addr.arpa.IN PTR
20、.13 IN PTR.,MX记录,专用于Email地址的解析格式:name TTL IN MX priority hostname.同时应该添加对hostname的IP的解析MX记录中包括域名和优先数priority 优先数小者优先级别较高,若多项MX记录的优先数相同,则随机选择对于同一个名字,不应同时出现CNAME和MX记录例如:.86400 IN MX 50.86129 IN MX 20.INMX10.INMX10.INMX20.,配置文件、数据文件测试named-checkconfnamed-checkzone zonename zonefile启动、停止service named st
21、art service named stop/var/log/messages,DNS客户端工具dig,一般用法:dig server name typeserver:指定向哪个DNS服务器发出查询请求,如果不指定,则使用/etc/resolv.conf中指定的服务器name:指定要解析的名字,默认为根type:指定要解析的类型,如A、MX、PTR等命令执行结果QUESTION SECTION:用户查询的请求ANSWER SECTION:DNS服务器的应答AUTHORITY SECTION:所查域名的权威服务器列表ADDITIONAL SECTION:有关服务器的附加信息,如IP等跟踪解析过程
22、:dig,DNS请求转发把本机收到的DNS请求交给其它服务器解析在named.conf里面添加如下两行:forward first;forwarders 202.117.0.20;其含义是:把本服务器收到的DNS解析请求先交给解析,如果解析不了,则由本服务器解析,练习,为域test.org在网络上建立一个DNS服务器假定域内服务器和IP地址的对应关系如下,要求:请配置一个主DNS服务器,对以上域名进行解析,参考答案,/etc/named.conf中添加如下 zone test.org IN type master;file;allow-update none;zone“2.168.192.in
23、-addr.arpa IN type master;file 2.168.192.db;allow-update none;,建立数据文件$TTL 86400$ORIGIN localhost.IN SOA.(42;serial(d.adams)3H;refresh 15M;retry 1W;expiry 1D);minimum IN NS.IN MX.,建立数据文件$TTL 86400 IN SOA.(1997022700;Serial 28800;Refresh 14400;Retry 3600000;Expire 86400);Minimum IN NS.23 IN PTR www 45 IN PTR ftp 36 IN PTR mail 14 IN PTR DNS,
