[系统运维]DNS精华，你真的理解DNS了吗，成功跳槽字节跳动

www：这个是服务器名，没啥多说的。

csdn.net：这个才是域名，用来定义网站的独一无二的名字

www.csdn.net：这个是网站名，由服务器名+域名组成

/：这个是根目录，也就是通过网站名找到服务器然后在服务器存放网页的个目录

https://www.csdn.net/：这是URL，统一资源定位符。用于定位网上资源。

3.既然能把IP地址转化为易于记忆的域名那么肯定可以正着转也可以反着转。

(1)DNS正向解析：

由域名转化为IP，开始实验啦！

1.安装DNS服务需要的包

[root@a ~]# yum install -y bind-chroot bind-utils

2.编辑dns主配置文件修改两项参数（允许任何IP访问dns的53端口，允许任何IP的请求）

[root@a ~]# vim /etc/named.conf

listen-on port 53 { any; };

allow-query     { any; };

3.为区域配置文件添加参数

[root@a ~]# vim /etc/named.rfc1912.zones（这个zone后面的名字和file的后面的可以随便起但是后文要相对应）

zone "caq.com" IN {

        type master;

        file "caq.test";

        allow-update { none; };

4.创建IP地址和域名解析关系的数据库文件

[root@a ~]# cd /var/named/ 

[root@a named]# vim caq.test

$TTL 1D

caq.com.       IN SOA  caq.com. root.caq.com. (

                                        0       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum

caq.com.           IN NS  ns.caq.com.

ns.caq.com.      IN A    192.168.10.10

www.caq.com.  IN A    192.168.30.10

bbs.caq.com.    IN A    192.168.20.10

5.重启服务进行正向解析测试

[root@a named]# systemctl restart named

[root@a named]# nslookup www.caq.com

Server:         127.0.0.1

Address:        127.0.0.1#53



Name:   www.caq.com

Address: 192.168.30.10



[root@a named]# nslookup bbs.caq.com

Server:         127.0.0.1

Address:        127.0.0.1#53



Name:   bbs.caq.com

Address: 192.168.20.10

（2）DNS反向解析：

由IP转化为域名，开始实验啦！

1.编辑区域配置文件

[root@a ~]# vim /etc/named.rfc1912.zones（这个zone后面的名字是固定的，意思是解析192.168.30这个网段的IP，file后面的名字也是随便定的）

zone "30.168.192.in-addr.arpa" IN {

        type master;

        file "caq.test2";

        allow-update { none; };

};

2.创建IP地址和域名解析关系的数据库文件

[root@a named]# vim caq.test2（这个caq.com.是DNS区域）

$TTL 1D

@       IN SOA  caq.com. root.caq.com. (

                             0       ; serial

                                        1D      ; refresh

                                        1H      ; retry

                                        1W      ; expire

                                        3H )    ; minimum



          NS        ns.caq.com.

100    IN PTR ns.caq.com.

10      IN PTR www.caq.com.

20      IN PTR bbs.caq.com.

30      IN PTR mail.caq.com.

3.重启服务开始测试

[root@a named]# systemctl restart named

[root@a named]# nslookup 192.168.30.10

10.30.168.192.in-addr.arpa      name = www.caq.com.



[root@a named]# nslookup 192.168.30.20

20.30.168.192.in-addr.arpa      name = bbs.caq.com.



[root@a named]# nslookup 192.168.30.30

30.30.168.192.in-addr.arpa      name = mail.caq.com.

二：DNS主从服务器

实验需要两台虚拟机一台为主服务器一台为从服务器，需要在同一网段，能互相ping通

1.修改主服务器区域配置文件

[root@a ~]# vim /etc/named.rfc1912.zones

zone "caq.com" IN {

       type master;

       file "caq.test";

       allow-update { 192.168.10.11; };

zone "30.168.192.in-addr.arpa" IN {

        type master;

        file "caq.test2";

        allow-update { 192.168.10.11; };

};

2.修改从服务器区域配置文件

[root@b ~]# yum install -y bind-chroot bind-utils

[root@b ~]# vim /etc/named.rfc1912.zones

zone "caq.com" IN {

       type slave;

       file "slaves/caq.test";

       masters { 192.168.10.10; };

zone "30.168.192.in-addr.arpa" IN {

        type slave;

        file "slaves/caq.test2";

        masters { 192.168.10.10; };

};

3.重启服务，在/var/named/slaves里有我们正反解析的文件。

[root@b ~]# systemctl restart named

[root@b ~]# cd /var/named/slaves

[root@b slaves]# ls

 caq.test caq.test2

三：TSIG

关闭防火墙！关闭selinux！

做这个实验之前首先要把之前在从服务器生成的文件删掉

[root@b ~]# rm -rf /var/named/slaves/*

1.在主服务器中生成密钥。dnssec-keygen命令用于生成安全的DNS服务密钥，其格式为“dnssec-keygen [参数]”，

[root@a ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master

Kmaster.+157+27327

2.查看私钥并记录key值

[root@a ~]# cat Kmaster.+157+27327.private

Private-key-format: v1.3

Algorithm: 157 (HMAC_MD5)

Key: LHViEY9SzJ8m+Sq16DBAyg==

Bits: AAA=

Created: 20200317211737

Publish: 20200317211737

Activate: 20200317211737