二、DNS服务
1.dns双向解析
双向解析是域名和IP地址的双向转化。可以实现内网和外网访问同一网页时,可以得到不同的IP,从而区分内网还是外网。
实验
1、配置单网卡虚拟主机westosb,设置其网络处于在1.1.1.174网段
2、配置单网卡虚拟主机westosa,设置其网络为双IP,即同时有172.25.254.173和1.1.1.173两个网段
3、编辑dns服务器westosa的配置文件 /etc/named.conf,注释掉原有解析体系,建立内外网两个不同的解析体系。
在localnet中指明外网段的解析去 /etc/named.rfc1912.zones 寻找解析规则
在internet中指明内网段的解析去 /etc/named.rfc1912.inter 寻找解析规则
3.在/etc/named.rfc1912.zones 与 /etc/named.rfc1912.inter 添加解析规则
4.在dns服务的数据目录/var/named中复制模板westos.org.zone 编写外网解析记录文件westos.org.inter,同时将模板westos.org.zone修改为外网段解析规则,完成后重启dns服务named
5.此时还要将内网主机和外网主机westosb的/etc/resolv.conf中的域名解析指向分别设置为安装有dns服务器的双网卡主机westosa的IP
6.完成上述操作后分别在处于172.25.254网段的主机和处于1.1.1网段的主机westosb中使用dig 域名测试做同样域名的地址解析,可以看到同一域名被解析为访问客户端主机各自网段对应的A记录
2.dns集群
DNS服务器一般在用的时候,为了缓解服务器的压力,使用一个主DNS服务器,多个副DNS服务器,这些DNS服务器就组成了一个DNS集群。
实验:
1、还原dns双向/多向解析前的实验环境,配置单网卡虚拟主机westosb,设置其网络为172.25.254.174,编辑dns服务器westosa的配置文件 /etc/named.conf,注释掉建立的内外网两个不同的解析体系,还原之前的解析体系
2、这里我们将westosb设置为辅助dns服务器,在westosb中安装dns服务软件bind,在防火墙中设定允许dns服务,刷新火墙使设定生效,启动dns服务named
3、编辑westosb的dns服务配置文件 /etc/named.conf,注释掉开启网络接口、允许查询A记录的客户端列表的语句设定(注释后默认在本地所有网络接口上开启53端口,允许所有访问客户端查询A记录),关闭dns安全检测功能参数
4、编写westosb中的/etc/named.rfc1912.zones文件,指定维护域名,指定该dns服务器类型为辅助dns(master—主dns slave—辅助dns),指定其主dns的ip即从哪里同步解析数据,指定解析时读取存放在/var/named/slaves目录下的解析记录文件,删除允许更新的参数
5、此时/var/named/slaves目录下无内容,将westosb的/etc/resolv.conf中的域名解析指向设置为自己的ip,完成上述操作后重启dns(named)服务,此时slaves目录下同步有主dns的解析记录文件,在westosb中dig 域名可以得到与westosa中相同的解析IP
更新同步解析服务
1、在westosa中修改域名A记录文件后重启dns(named)服务,此时在westosb中dig 域名仍为原解析ip,而在westosa中dig 域名发现解析ip已更改为修改后的ip
2、删除westosb中/var/named/slaves目录下同步的解析记录文件,重启westosb的dns(named)服务,重新同步,此时在westosb中dig 域名解析ip更改,但这种方式显然不符合实际使用
3、因此在westosa中编写/etc/named.rfc1912.zones,在维护域模块中添加also-notify参数,即设定当westosa中解析记录文件更新时通知辅助dns(这里可以设置多个,用;隔开)自动进行同步。
4、在dns服务器westosa的域名A记录文件中修改记录后还要修改主dns和辅助dns同步标志serial参数的值,这一参数只能增量修改,完成后重启westosa的dns(named)服务
5、此时在westosb中dig 域名可以看到解析ip会自动同步更改,不需要重启westosb的dns(named)服务,westosb中/var/named/slaves目录下同步的解析记录文件会在主dns解析记录文件更改后自动更新同步
3.ddns(dns+dhcp)安全动态域名解析
动态域名解析服务,是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候,客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现动态域名解析。就是说DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样域名就可以始终解析到非固定IP的服务器上
实验:
1、在westosa中安装并启动dhcp服务,复制dhcp配置文件模板并修改,设定域名和dns服务器IP,设置分配网络的网段、子网掩码及网络池,重启dhcpd服务
2、删除westosb中原有的网络连接,为其添加工作方式为dhcp的网络连接,重启网络连接后westosb自动获取到IP为172.25.254.50
3、编写dns服务器westosa中的解析A记录文件 /var/named/westos.org.zone,为主机域名为westosb.westos.org的虚拟主机westosb添加A记录,重启westosa的dns(named)服务
4、将westosb的/etc/resolv.conf中的域名解析指向设置为dns服务器westosa的ip,此时在westosb中dig其自身域名可以解析得到westosb的ip
5、修改dhcp服务器westossa中dhcp配置文件网络池分配网络的范围,重启dhcpd服务,重启westosb网络连接,westosb重新获取到的新IP为72.25.254.60,但此时在westosb中dig其自身域名解析得到的ip仍为之前的ip,重新编写dns服务器westosa中的解析A记录文件,删除主机域名为westosb.westos.org的虚拟主机westosb的A记录(必须删除否则会和之后动态域名解析冲突),设置ddns动态域名解析
6、dns设定——查看/etc/rndc.key中默认的dns更新许可密钥的加密方式,切换到一个空目录这里使用/mnt,dnssec-keygen为dns生成更新许可密钥(-a指定加密方式,选择默认加密方式;-b指定生成的密钥长度;-n指定密钥的名称类型,这里是为本机HOST生成密钥),复制dns更新密钥指定模板,修改生成更新密钥指定文件westos.key
接着编辑dns服务的主配置文件添加读取更新密钥指定文件语句
再编辑/etc/named.rfc1912.zones在维护域模块中修改allow-update参数的值,设定拥有指定密钥才可以更新dns的解析A记录文件
7、dhcp设定——编辑dhcp配置文件,开启dhcp更新dns的功能,为dhcp分发更新dns的认证密钥,指定使用密钥的域(由于dns是在本机westosa搭建,所以这里可以使用回环接口进行通信)
8、设定完成后,重启westosa的dhcpd、dns(named)服务,重启westosb网络连接,此时在westosb中dig其自身域名解析得到的ip与其当前分配到的ip一致,ddns动态域名解析设置成功