DNS域名解析服务——Bind

环境搭建：将desktop虚拟机作为dns服务器

(1)真机开启路由伪装功能

(2)在虚拟机安装高速缓存服务

注意：开启服务时，可能会因为加密字符不够，长时间无法开启成功，敲击键盘或移动鼠标即可，生成无序字符串

(3)配置dns指向，指域名解析服务器，能ping通

(4)编辑主配置文件，重启服务

10行端口53对所有网卡开放，17行允许所有连接访问的客户主机，32行安全自检关闭
18行forwarders ：dns查询将转发至的名称服务器的列表(需手动设定添加)

客户端测试（dns指向服务器111）：

"; <<>> DIG ... " //取地址时的系统 
##每个标题指出关于查询和答案的信息 , 其中包括响应状态和设置的任何特殊标记
QUESTION     ##提出实际的 DNS 查询 
ANSWER       ##响应 ( 如果有 ) 
AUTHORITY    ##负责域内的名称服务器 
ADDITIONAL   ##提供的其他信息 , 通常是关于名称服务器底部的注释指出发送查询的递归名称服务器以及获得响应所花费的时间 
##DNS 排错信息： 显示来自 DNS 查找的详细信息 , 其中包括为什么查询失败 
status：  
NOERROR      ## 查询成功  
NXDOMAIN     ## DNS 服务器提示不存在这样的名称  
SERVFAIL     ## DNS 服务器停机或 DNSSEC 响应验证失败  
REFUSED      ## DNS 服务器拒绝回答 ( 也许是出于访问控制原因 ) 
回环接口 : lo : 127.0.0.1 ##系统内部的神经线，内部服务与服务之间的沟通接口

排错：(1)伪装路由是否开启；(2)防火墙关闭与否；(3)内核路由功能开启与否

本地正向解析配置：

(1)编辑dns指向为本地

(2)编辑/etc/named.conf主配置文件

(3)编辑/etc/named.rfc1912.zones域文件

(4)复制name.localhost解析模版到westos.com.zone，注意加上-p，保留权限,编辑westos.com.zone

$TTL 1D    ##有效解析记录的生存周期，这里为1天(即如果该域名的记录没有特别定义TTL，则默认TTL为有效值)
@     IN  SOA  dns.westos.com.  root.test.com.
##@域名本身，SOA标记，授权信息起始，主权威dns,维护域的人
serical    ##更新序列号，可以是10位以内的数
refresh    ##刷新时间，重新下载地址数据的间隔
retry      ##重试延时，下载失败后的重试间隔
expire     ##失效时间，超过该时间仍无法下载则放弃
minimum    ##无效解析记录的生存周期

A          ##名称至 IPv4 地址
AAAA       ##名称至 IPv6 地址
CNAME      ##名称至 "规范名称"( 包含 A/AAAA 记录的别名 )
PTR        ##IPv4/IPv6 地址至名称（反向解析）
MX         ##用于名称的邮件交换器 ( 向何处发送其电子邮件 )
NS         ##域名的名称服务器 

(5)重启服务测试

二、DNS轮询机制

编辑westos.com.zone，重启服务

dig music.a.westos.com两次，两次解析到不同的地址

三、反向地址解析

(1)vim /etc/named.rfc1912.zones

(2)cp -p /var/named/named.loopback /var/named/westos.com.ptr 复制反向解析模板并重新编辑

(3)重启服务测试dig -x 172.25.254.99 (-x表反向，ip到名称)

四、双向解析（内网与外网分别解析不同的地址）

环境：另开一虚拟机，配置ip网段为1.1.1.0/24，dns指向1.1.1.111

(1)网卡配双ip(不同网段区分内外网)

(2)创建内网与外网不同的解析文件，内网为inter结尾的文件

cp -p westos.com.zone westos.com.inter
vim westos.com.inter
:%s/172.25.243/1.1.1/g

(3)创建内网与外网不同的域文件

cp -p /etc/named.rfc1912.zones /etc/named.rfc1912.inter
vim /etc/named.rfc1912.inter

(4)配置域名主配置文件/etc/named.conf 49-55行注释掉

新增本地域名解析和其他网络段域名解析配置文件

测试：内外网均dig hello.westos.com，分别解析出不同地址

 

五、DNS集群

环境：辅助主机配置ip为172.25.254/24网段，安装bind，打开named服务，关闭防火墙

主服务器：

(1)vim /etc/named.conf注释掉上个实验内外网解析，49-55行注释解除

(2)vim /etc/named.rfc1912.zones

(3)vim westos.com.zone改变ip和serial值并重启服务
serial值：同步标示符 值变了，就默认文件改变，仅改变此值，即使文件内容不变，辅助DNS也会同步更新！
如果不改serial值，辅助DNS则同步不到主DNS的变更！

如图：hello的ip从66变为11，但是没有修改serial值，重启服务后，辅助dns dig的ip并没有更新！

六、远程更新DNS

实验环境：查看主服务器selinux状态：enforcing执行以下操作：
getsebool -a | grep named
setsebool -P named_write_master_zones on
若是disabled则不管！

主服务器：

(1)备份westos.com.zone,cp -p westos.com.zone /mnt

(2)vim /etc/named.rfc1912.zones，改28行允许主机222更新

(3)chmod 770 /var/named  改目录权限重启服务，加写权限

远程测试：更改westos.com.zone,添加test,有效期一天

主服务器重启网络查看：

七、部署带安全加密的从服务器

在上实验，允许ip为222的可以更新主服务器，其他主机若更改ip为此，则有可能更改配置文件，无疑是非常不安全的，为此我们可以设定安全加密，只有有密钥的主机可更改，这样就提高了安全性！也不用刻意指定谁能更改了，更方便！

(1)首先还原环境，删除上实验被更改的westos.com.zone文件，将备份复制过来

(2)创建主服务器密钥以及开启密钥验证功能，编辑密钥验证文件

-a 算法 -b 长度 -n类型

(3)编辑主服务器主、子配置文件(区域配置文件）/etc/named.conf| /etc/named.rfc1912.zones

添加密钥验证文件

允许有密钥的客户主机更新

(4)密钥分发scp Kwestoskey.* [email protected]:/var/named/

测试：

主服务器更新查看：更新成功！

八、动态域名解析(花生壳）（dhcp+dns）

实验环境配置：从服务器将网络设定为动态获取

主服务器：

1配置dhcp服务

客户端分配ip成功：

2dns的key更新（参看实验七）
3配置dhcpd.conf重启dhcpd服务

测试：

我们改变一下地址池ip分配：再次dig game.westos.com测试