码迷,mamicode.com
首页 > 其他好文 > 详细

dns详解(二)

时间:2017-11-21 20:45:25      阅读:129      评论:0      收藏:0      [点我收藏+]

标签:dns   子域授权   主从架构   bind   转发区域   bind view   


dns的另外一种实现方式:dnsmasq较为简单请自行理解

一.主从架构
二.子域授权
三.转发区域
四.bind中的安全相关配置
五.bind view视图


一.主从架构
从s拥有和主s一样的解析库
    注意:从服务器是区域级别的概念,从s是一个或多个区域的从s
    
    一个区域可以为正向和反向分别配置不同的从s
    AB可以互为主从:
        一个是正向的主,反向的从
        一个是反向的从,正向的主
        AB负责一个区域
    负载均衡:怎样实现都能提供解析
        方法:一半配置ns为A,另一半配置为B
        方法二:在父域中定义该域的两个NS //这样有人请求的时候,就会有两个NS轮流响应
    
配置实现:
    Slave:
        1.定义区域
            zone “zone——name“ IN {
                type slave;
                file "slaves/zone_name.zone";    //只有slaves目录中named组具有写权限
                masters { MASTERIP; };
            };
            named-checkconf
        2.重载配置
            rndc reload
            systemctl reload rndc
    Master:
        1.确保区域数据文件中为每个服务配置NS记录    
            
实现 1.:
    192.168.4.109:slave 正向
    192.168.4.100:master 正向
    
    Slave: //配置成为正向的从s

        yum install bind -y
        vim /etc/named.conf    
            listen-on port 53 { 192.168.4.109; };
            关闭dnssec功能
        vim /etc/named.rfc1912.zones
            zone "mt.com" IN {
                    type slave;
                    file "slaves/mt.com.zone";
                    masters { 192.168.4.100; };
            };
        named-checkconf
    service named start
    master:
        vim mt.com.zone //添加两条记录,已经启动的话,需要修改序列号
                    IN      NS      ns2
            ns2     IN      A       192.168.4.109
        named-checkzone "mt.com" mt.com.zone

    slave:
        rndc reload //重载配置
        systemctl status named.service //查看状态信息
        dig -t A www.mt.com @192.168.4.109
        cat /var/named/slaves/mt.com.zone //在CnetOS7上是二进制格式,在6上是文本格式可以直接查看
    测试:在主s上添加一条记录,并修改serial
        systemctl status named
            sending notifies (serial 2017030102)
            
            
//第一次传送成功,后期增量传送未实现    
        原因:192.168.6.109的主机的ip地址是dhcp获取的,受dhcp的影响,导致默认dns不是主DNS
    zone mt.com/IN: refused notify from non-master: 192.168.4.113#37131
    
    效果:master上修改序列号+rndc reload,systemctl named status //查看结果
        
        实验2:
            192.168.4.109:slave  反向
            192.168.4.100:master 反向
        slave:
            vim /etc/named.rfc1912.zones
                zone "4.168.192.in-addr.arpa" IN {
                        type slave;
                        file "slaves/192.168.4.zone";
                        masters { 192.168.4.100; };
                };
             named-checkconf
        master:
            vim 192.168.4.zone
                        IN      NS      ns2.mt.com.
                109     IN      PTR     ns2.mt.com.
            named-checkzone 4.168.192.in-addr.arpa 192.168.4.zone
            rndc reload
        slave:
            rndc reload
        master:添加一个记录,修改serial
            systemctl status named

    On master:
        1.确保区域数据文件为每个从服务器配置NS记录,并且在正向区域文件需要每个从服务器的NS记录的主机名配置一个A记录,且此后面的地址为真正的IP地址
    手动区域传送    
        dig -t axfr 4.168.192.in-addr.arpa
失败总结:        
    1.注意:时间要同步
        ntpdate命令:像同一台服务器同步时间
    2.在从s上
        cat /etc/named.rfc1912.zones
            zone "mt.com" IN {
                type slave;
                file "slaves/mt.com.zone";
                masters { 192.168.4.100; };
                allow-notify { 192.168.4.0/24; };  //允许这个网段内的主机发送来的通知
            };        
        
        开始的时候修改为:allow-notify { 192.168.4.100; }; //只修改为单个ip,是不可以的
        因为:master有多个ip:192.168.4.100,192.168.4.113,192.168.4.112等
            而默认使用的发送接口,很有可能不是192.168.4.100
        
二.子域授权
    正向解析的区域授权子域的方法

        ops.mt.com.        IN    NS    ns1.ops.mt.com.
        ops.mt.com.        IN    NS    ns2.ops.mt.com.
        ns1.ops.mt.com.    IN    A   192.168.4.11
        ns2.ops.mt.com.    IN    A   192.168.4.12

    //DNS一般会建立主从,主要是为了应付突发情况
    
    实现:
        192.168.4.110 :为父域
        192.168.4.100:为子域
    1.192.168.4.100
        vim mt.com.zone
            ops     IN      NS      ns1.ops
            ns1.ops IN      A       192.168.4.110
        rndc reload
    2.192.168.4.110
vim named.conf
    listen-on port 53 { 192.168.4.110; };
    allow-query     { 192.168.4.0/24; }; //允许本地查询
    dnssec 关闭
sytemctl restart named    
netstat -tunlp |grep named
vim named.rfc1912.zones
    zone "ops.mt.com" IN {
            type master;
            file "ops.mt.com.zone";
    };
named-checkconf
==================================================

vim ops.mt.com.zone
    $TTL 2500
    $ORIGIN ops.mt.com.
    @       IN      SOA     ns1.ops.mt.com. admin.ops.mt.com. (     
                            2018010101
                            1H
                            10M
                            1D
                            2H )
            IN      NS      ns1
    ns1      IN      A       192.168.4.110
    www     IN      A       192.168.4.109

        
chmod o= ops.com.zone
chgrp named ops.com.zone
rndc reload

    3.测试
dig -t A www.ops.mt.com @192.168.4.109
dig -t NS ops.mt.com

三.转发区域 //不查找根的折中方案,直接告诉你,mt.com区域的NS是谁
    定义转发
        注意:被转发的服务器必须允许为当前服务做递归
        1.区域转发;仅转发对某特定区域的解析请求
            zone "ZONE_NAME" IN {
                type forward;
                forward {first|only};
                forwarders {SERVER_IP};
            };
            
            first:首先转发;转发器不在时,自行去迭代查询
            only:只转发
        
        2.全局转发 //本地没有定义的区域zone的查询请求,统统转给某转发器
            named.conf
                options {
                    foward only;
                    forwarders { 192.168.4.100; };
                    ...
                }
            只要不是自己负责的区域,就转发
                先查找zone,如果没有定义,就直接转发
                
    
四.bind中的安全相关配置
    acl:访问控制列表;把一个或多个地址归并为一个命名的集合,随后通过此名称即可对此集合内的所有主机实现统一调用;
    
    acl acl_name {
        ip;
        net/prelen;
    };
    
    示例:
        acl mynet {
            192.168.4.0/24;
            127.0.0.0/8;
        };
        
        bind的四个内置acl
            none:没有一个主机
            any:任意主机
            local:本机
            localnet:本机所在的IP所属的网络;
    访问控制指令:
        allow-query {}; 允许查询的主机,白名单
        allow-transfer {};允许向哪些主机做区域传送;默认向所有主机,master应该指定为从s,从s应该指定为none//因为从s不需要传送给别人
                    ;允许我向谁传送
        //以上连个可以加载zone{单个区域}或者options{全局}中都可以
        allow-recursion {};允许哪些主机向当前DNS服务器发起递归请求的
        recursion yes ; 允许所有主机递归
                注意:只有允许递归的才允许转发,否则你转发过去,人家不给你转发,没吊用
        allow-update{ none; } ;DDNS,允许动态更新区域数据库文件中的内容
                建议关闭,会更改记录
        notify yes //允许所有人给我发送通知
        allow-notify { 192.168.4.0/24; }; //记得通知我
        
        
示例1:禁止区域传送
    1.master:192.168.4.100

        vim /etc/named.conf
            acl mynet {
                    192.168.4.100;
                    192.168.4.111;
            }       
        vim named.rfc1912.zone
            zone "mt.com" IN {
                    type master;
                    allow-transfer { mynet; };
                    file "mt.com.zone";
            };

        named-checkconf
        rndc reload
    2.slave:192.168.4.109
        dig -t axfr mt.com @192.168.4.100
        
五.bind view 视图
    Router:eth0:外网--eth1:内网
    对内部一个服务器的解析,内网的解析为内网地址,外网的需要解析为外网的ip
    //brain-split :同一个主机名对内网和外网解析成不同的ip地址
    

    view VIEW_NAME {
        zone 
        zone
        zone
    }
    
    view internal IN {
        match-clients { 192.168.1.0/24; };
        zone "mt.com" IN {
            type master; 
            file "mt.com/internal";
        };
    };
    view external IN {
        match-clients { any; };
        zone "mt.com" IN {
            type master;
            file "mt.com/external";
        };
    };

        



本文出自 “黑马腾空” 博客,请务必保留此出处http://hmtk520.blog.51cto.com/12595610/1983910

dns详解(二)

标签:dns   子域授权   主从架构   bind   转发区域   bind view   

原文地址:http://hmtk520.blog.51cto.com/12595610/1983910

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!