第三章 构建域名服务器.ppt

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,第三章 构建域名服务器,理论部分,课程回顾,Samba,的安全级别有哪几种，作用分别是什么？,在,Linux,中如何访问其他主机的共享资源？,配置,vsftpd,服务器时，如何禁用本地系统用户？,如何限制用户访问,FTP,服务器的下载速率？,2,技能展示,熟悉域名服务器的各种角色,会构建纯缓存域名服务器,会构建主域名服务器,会构建从域名服务器,会构建分离解析的域名服务器,3,本章结构,DNS,系统概述,构建域名服务器,使用,BIND,构建域名服务器,构建缓存域名服务器,构建从域名服务器,构建主域名服务器,构建分离解析的域名服务器,DNS,系统的作用,DNS,系统的类型,DNS,系统的结构,BIND,的安装与服务控制,BIND,的配置文件,BIND,域名服务基础,4,DNS,系统概述,DNS,系统的作用,正向解析：根据主机名称（域名）查找对应的,IP,地址,反向解析：根据,IP,地址查找对应的主机域名,DNS,系统的分布式数据结构,根,.,.com,.net,.org,.edu,.cn,.uk,www,mail,news,DNS,查询方式：,递归查询,大多数客户机向,DNS,服务器解析域名的方式,迭代查询,大多数,DNS,服务器向其他,DNS,服务器解析域名的方式,5,DNS,服务器的类型（角色）,缓存域名服务器,也称为 唯高速缓存服务器,通过向其他域名服务器查询获得域名,-IP,地址记录,将域名查询结果缓存到本地，提高重复查询时的速度,主域名服务器,特定,DNS,区域的官方服务器，具有唯一性,负责维护该区域内所有域名,-IP,地址的映射记录,从域名服务器,也称为 辅助域名服务器,其维护的 域名,-IP,地址记录 来源于主域名服务器,6,BIND,域名服务基础,BIND,（,Berkeley Internet Name Daemon,）,伯克利,Internet,域名服务,官方站点：,https:/,www.isc.org,/,相关软件包,bind-9.3.3-7.el5.i386.rpm,bind-utils-9.3.3-7.el5.i386.rpm,bind-chroot-9.3.3-7.el5.i386.rpm,caching-nameserver-9.3.3-7.el5.i386.rpm,7,BIND,域名服务基础,BIND,服务器端程序,主要执行程序：,/,usr/sbin/named,服务脚本：,/etc/,init.d,/named,默认监听端口：,53,主配置文件：,/,var/named/chroot/,etc/named.conf,保存,DNS,解析记录的数据文件位于：,/,var/named/chroot/,var/named,/,8,主配置文件,named.conf,全局配置部分,设置,DNS,服务器的全局参数,包括监听地址,/,端口、数据文件的默认位置等,使用,options ;,的配置段,options,listen-on port 53 173.16.16.1,;,;,directory /,var,/named;,allow-query 192.168.1.0/24,;,173.16.16.0/24,;,;,recursion yes,;,;,各,DNS,区域的数据文件默认存放位置,允许,DNS,查询的客户机地址,是否允许为客户机进行递归查询,9,主配置文件,named.conf,区域配置部分,设置本服务器提供域名解析的特定,DNS,区域,包括域名、服务器角色、数据文件名等,使用,zone“,区域名”,IN ;,的配置段,zone,.,IN,type,hint;,file,named.ca,;,;,hint,表示根区域、,master,表示主区域、,slave,表示辅助区域,file,用于设置 该区域对应的数据文件名,10,主配置文件,named.conf,区域配置部分,倒序网络地址,.in-,addr.arpa,的形式表示反向区域,zone,IN,type,master,;,file,.zone,;,allow-transfer,173.16.16.2;,allow-update,none;,;,zone,16.16.173.in-addr.arpa,IN,type master;,file 173.16.16.arpa;,;,设置允许下载该区域解析记录的从域名服务的地址,允许动态更新哪些客户机地址，,none,表示全部禁止,表示针对,173.16.16.0/24,网段的反向解析区域,11,区域数据配置文件,全局,TTL,配置项及,SOA,记录,$TTL,（,Time To Live,，生存时间）记录,SOA,（,Start Of Authority,，授权信息开始）记录,分号“,;”,开始的部分表示注释信息,$TTL,86400 ;,有效地址解析记录的默认缓存时间,IN,SOA,.,.(,2009021901 ;,更新序列号,3H ;,刷新时间,15M ;,重试延时,1W ;,失效时间,1D ;,无效地址解析记录的默认缓存时间,),该,DNS,区域的地址,该,DNS,区域管理员的邮箱地址,12,区域数据配置文件,域名解析记录,NS,域名服务器（,Name Server,）记录,MX,邮件交换（,Mail Exchange,）记录,A,地址（,Address,）记录，只用在正向解析的区域数据文件中,CNAME,别名（,Canonical Name,）记录,IN,NS,.,IN,MX 10,.,ns1IN,A,173.16.16.1,mail IN A 173.16.16.1,www IN A 173.16.16.1,ftp IN,CNAME,www,13,区域数据配置文件,域名解析记录,PTR,指针（,Point,）记录，只用在反向解析的区域数据文件中,配置反向解析记录时，只需要指定,IP,地址中的主机地址部分即可，网络地址部分不用写,1,IN,PTR,.,4,IN,PTR,.,若在,16.16.173.in-addr.arpa,反向区域数据文件中，则对应为,173.16.16.4,的,IP,地址,14,区域数据文件的几个特殊应用,基于域名解析的负载均衡,同一域名对应到多个,IP,地址,泛域名解析,找不到精确对应的,A,记录时，使用“*,”,进行匹配,子域授权,将,DNS,子区域内主机地址的解析记录，授权给子域的域名服务器进行维护和解析,movieINA173.16.16.11,movieINA173.16.16.12,movieINA173.16.16.13,*,INA173.16.16.173,cn,INA173.16.16.2,INNS,.,.INA173.16.16.2,轮询负载均衡,泛域名解析,子域授权,15,对配置文件进行语法检查,named-,checkconf,工具,格式：,named-,checkconf,主配置文件,named-,checkzone,工具,格式：,named-,checkzone,rootlocalhost,#,cd,/,var/named/chroot/var/named,/,rootlocalhost,named#,named-,checkzone,.zone,zone,/IN:loaded serial 2009,OK,rootlocalhost,#,cd,/,var/named/chroot/etc,/,rootlocalhost,etc#,named-,checkconf,named.conf,16,小结,请思考：,bind-,chroot,软件包的作用是什么？,named.conf,主配置文件中的配置包括哪些部分？,在,zone,区域设置中，,type,对应的主要类型包括哪些？,在区域数据文件中，“,”,符号的含义是什么？,17,构建缓存域名服务器,案例环境：,缓存域名服务器的,IP,地址为,192.168.1.5,局域网内的,PC,机将首选,DNS,服务器设为,192.168.1.5,缓存域名服务器能够访问,Internet,中的其他,DNS,服务器,负责处理局域网内,PC,机的,DNS,解析请求，并缓存查询结果,Internet,局域网,PC,机,192.168.1.0/24,eth0:173.16.16.1/24eth1:192.168.1.1/24,网关服务器,缓存域名服务器,192.168.1.5/24,18,构建缓存域名服务器,基本配置步骤：,1.,建立,named.conf,主配置文件,通过根域或者转发机制指定解析源,2.,确认建立,named.ca,根区域数据文件,若使用转发机制则无需此步骤,3.,启动,named,服务,4.,验证缓存域名服务器,nslookup,命令,19,构建缓存域名服务器,1.,建立,named.conf,主配置文件,options,dump-file /,var/named/data/cache_dump.db,;,statistics-file /,var/named/data/named_stats.txt,;,memstatistics,-file /,var/named/data/named_mem_stats.txt,;,recursion yes;,;,zone.IN,type hint;,file,named.ca,;,;,options,dump-file /,var/named/data/cache_dump.db,;,statistics-file /,var/named/data/named_stats.txt,;,memstatistics,-file /,var/named/data/named_mem_stats.txt,;,recursion yes;,forwarders,202.106.0.20;202.106.148.1;,;,20,构建缓存域名服务器,2.,确认建立,named.ca,根区域数据文件,rootlocalhost,#,cd,/,var/named/chroot/var/named,/,rootlocalhost,named#,grep,-v;,named.ca,.3600000 IN NS A.ROOT-SERVERS.NET.,A.ROOT-SERVERS.NET.3600000 A 198.41.0.4,.3600000 NS B.ROOT-SERVERS.NET.,B.ROOT-SERVERS.NET.3600000 A 192.228.79.201,.3600000 NS C.ROOT-SERVERS.NET.,C.ROOT-SERVERS.NET.3600000 A 192.33.4.12,.3600000 NS D.ROOT-SERVERS.NET.,D.ROOT-SERVERS.NET.3600000 A 128.8.10.90,.3600000 NS E.ROOT-SERVERS.NET.,21,构建缓存域名服务器,3.,启动,named,服务,service named start,4.,验证缓存域名服务器,在客户机中将,DNS,服务器设为该缓存域名服务器,nslookup,C:Documents and SettingsAdministrator,nslookup,Server:192.168.1.5,Address:192.168.1.5,Non-authoritative answer:,Name:www-,Addresses:64.233.189.147,64.233.189.104,64.233.189.99,Aliases:,表示非官方提供的解析结果,表示别名地址,22,构建主、从域名服务器,案例环境：,主域名服务器：,，,173.16.16.5,从域名服务器：,，,173.16.16.6,两台服务器均能够提供,区域的域名解析,主要解析记录包括：,网站服务器“,”,，,IP,地址为“,173.16.16.1”,。,邮件服务器“,”,，,IP,地址为“,173.16.16.1”,。,在线培训站点服务器“,”,，,IP,地址为“,173.16.16.2”,。,主域名服务器“,”,，,IP,地址为“,173.16.16.5”,。,从域名服务器“,”,，,IP,地址为“,173.16.16.6”,。,Internet,主域名服务器,173.16.16.5/24,从域名服务器,173.16.16.6/24,域,其他,DNS,服务器,Internet,客户机,23,构建主域名服务器,基本配置步骤：,1.,在,named.conf,配置文件中添加“,”,主区域,2.,建立“,”,区域的数据文件,3.,启动或者重新加载,named,服务程序,4.,验证主域名服务器,24,构建主域名服务器,1.,在,named.conf,主配置文件中添加“,”,区域,rootns1#vi/,var/named/chroot/etc/,named.conf,zone,IN,type,master,;,file,.zone,;,allow-transfer 173.16.16.6;,;,zone,16.16.173.in-addr.arpa,IN,type master;,file,173.16.16.arpa,;,allow-transfer 173.16.16.6;,;,指定允许下载区域数据的从域名服务器的地址,25,构建主域名服务器,2.,建立“,”,区域的数据文件,正向区域文件,.zone,反向区域文件,173.16.16.arpa,rootns1#vi/,var/named/chroot/var/named/,.zone,IN,NS,.,IN,NS,.,IN A 173.16.16.5,IN,MX,10,.,ns1 IN A 173.16.16.5,ns2 IN A 173.16.16.6,mail IN A 173.16.16.1,www IN A 173.16.16.1,study IN A 173.16.16.2,*,IN A 173.16.16.1,rootns1#vi/var/named/chroot/var/named/,173.16.16.arpa,IN,NS,.,IN,NS,.,1 IN PTR,.,2 IN PTR,.,5 IN PTR .,6 IN PTR .,域的正向解析数据文件,173.16.16.0/24,网段的反向解析数据文件,26,构建主域名服务器,3.,启动或者重新加载,named,服务程序,service named reload,4.,验证主域名服务器,验证正向解析：,nslookup,验证泛域名解析：,nslookup,验证反向解析：,nslookup,173.16.16.5,-,若出现故障，请检查日志文件,/,var,/log/messages,教员演示操作过程,27,构建从域名服务器,基本配置步骤：,1.,在,named.conf,配置文件中添加“,”,辅助区域,2.,启动从服务器中的,named,服务程序,3.,验证从域名服务器,在客户机中将,DNS,服务器设为从域名服务器,使用,nslookup,测试域名解析是否正常,rootns2#vi/,var/named/chroot/etc/,named.conf,zone,IN,type,slave,;,masters 173.16.16.5;,file slaves/,.zone,;,;,zone 16.16.173.in-addr.arpa IN,type,slave,;,masters 173.16.16.5;,file slaves/173.16.16.arpa;,;,指定主域名服务器的,IP,地址,教员演示操作过程,28,构建分离解析的域名服务器,分离解析（,Split DNS,）,来自不同地址的客户机请求解析同一域名时，为其提供不同的解析结果,局域网,PC,机,192.168.1.0/24,网站服务器,192.168.1.5/24,邮件服务器,192.168.1.6/24,Internet,客户机,173.16.16.16/24,Internet,eth0:173.16.16.1/24eth1:192.168.1.1/24,网关,/,域名服务器,29,构建分离解析的域名服务器,基本配置步骤：,1.,在,named.conf,主配置文件中为不同的客户机地址启用不同的,zone,区域设置，各自使用独立的数据文件,2.,分别建立不同的区域数据文件,3.,启动或重新加载,named,服务程序,4.,验证分离解析的域名服务器,30,view,LAN,match-clients 192.168.1.0/24;,zone,IN,type master;,file,.zone.,lan,;,;,;,view,WAN,match-clients any;,zone,IN,type master;,file,.zone.,wan,;,;,;,构建分离解析的域名服务器,1.,在,named.conf,主配置文件中为不同的客户机地址启用不同的,zone,区域设置，各自使用独立的数据文件,view,“,视图,1”,match-clients,客户机地址,1;,zone“,”IN,;,;,view,“,视图,2”,match-clients,客户机地址,2;,zone“,”IN,;,;,针对来自局域网客户机的区域数据文件,针对来自其他任意地址客户机的区域数据文件,31,构建分离解析的域名服务器,2.,分别建立不同的区域数据文件,rootns1#vi/,var/named/chroot/var/named/,.zone.lan,ns1 IN A 192.168.1.1,www IN A 192.168.1.5,mail IN A 192.168.1.6,rootns1#vi/,var/named/chroot/var/named/,.zone.wan,ns1 IN A 173.16.16.1,www IN A 173.16.16.1,mail IN A 173.16.16.1,32,构建分离解析的域名服务器,3.,启动或重新加载,named,服务程序,service named reload,4.,验证分离解析的域名服务器,使用,192.168.1.0/24,网段的客户机解析,，结果应为,192.168.1.5,使用其他,IP,地址的客户机解析,，结果应为,173.16.16.1,教员演示操作过程,33,本章总结,DNS,系统概述,构建域名服务器,使用,BIND,构建域名服务器,构建缓存域名服务器,构建从域名服务器,构建主域名服务器,构建分离解析的域名服务器,DNS,系统的作用,DNS,系统的类型,DNS,系统的结构,BIND,的安装与服务控制,BIND,的配置文件,BIND,域名服务基础,34,BENET3.0,第二学期课程,第三章 构建域名服务器,上机部分,实验案例,1,：构建分离解析主域名服务器,需求描述,公司对外（,Internet,）的域名解析记录：,173.16.16.1,（网关的公网接口地址）,173.16.16.1,（网关的公网接口地址）,公司对内（局域网）的域名解析记录：,192.168.1.5,（网站服务器私有地址）,192.168.1.6,（邮件服务器私有地址）,泛域名解析记录：,“,”,域内的其他主机名,173.16.16.1,36,Internet,局域网,PC,机,192.168.1.0/24,eth0:173.16.16.1/24eth1:192.168.1.1/24,从域名服务器,173.16.16.2/24,网关,/,主域名服务器,网站服务器,192.168.1.5/24,邮件服务器,192.168.1.6/24,Internet,客户机,173.16.16.16/24,实验案例,1,：构建分离解析主域名服务器,37,实验案例,1,：构建分离解析主域名服务器,实现思路,先配置好各主机的,IP,地址、主机名等网络环境,虚拟机,1-,主域名服务器：两块虚拟网卡（,VMnet1,、,VMnet4,），,虚拟机,2-,测试客户机：一块虚拟网卡（,VMnet4,）,Windows XP,宿主机作为案例中的内网,PC,测试机,确认安装,bind,、,bind-,chroot,等相关软件包,建立,named.conf,主配置文件,分别建立面向内网、外网客户端的地址数据库文件,启动,named,服务后，验证,DNS,解析是否正常,注意事项,要确保,named,用户对,named.conf,配置文件有读取权限,38,实验案例,1,：构建分离解析主域名服务器,学员练习,60,分钟内完成,39,实验案例,2,：构建从域名服务器,需求描述,作为从域名服务器：,地址数据库从主域名服务器（,173.16.16.1,）中自动更新,公司对外（,Internet,）的域名解析记录：,173.16.16.1,（网关的公网接口地址）,173.16.16.1,（网关的公网接口地址）,泛域名解析记录：,“,”,域内的其他主机名,173.16.16.1,40,实验案例,2,：构建从域名服务器,实现思路,确认安装,bind,、,bind-,chroot,等相关软件包,建立,named.conf,主配置文件，添加辅助域设置,启动,named,服务，观察是否成功下载地址库数据,验证,DNS,解析是否正常,41,实验案例,2,：构建从域名服务器,学员练习,25,分钟内完成,42,