DNS域名服务协议和其实现Bind应用

1、DNS概述

DNS（Domain Name Service，域名服务）是一种应用层协议，客户端和DNS服务器是C/S架构模式，监听在TCP的53号端口和UDP的53号端口上。tld（Top Level Domain）顶层域分为组织域（.com, .net, .org, .gov, .edu, .mil）和国家域（.iq, .tw, .hk, .jp, .cn, …）。类似于www.magedu.com，是FQDN（Full Qualified Domain Name）全量域名。

2、DNS原理

（1）DNS查询类型分为递归查询和迭代查询。
DNS名称解析方式分为正向解析（名称 --> IP）和反向解析（IP --> 名称）。
注意：二者的名称空间，非为同一个空间，即非为同一棵树，因此，也不是同一个解析库。
（2）DNS服务器类型
1）负责解析至少一个域的DNS服务器分为主名称服务器和辅助名称服务器；
2）不负责名称解析的DNS服务器为缓存名称服务器。
（3）一次完整的查询请求经过的流程
Client --> hosts文件 --> DNS Local Cache --> DNS Server (recursion) -->
自己负责解析的域：直接查询数据库并返回答案；
不是自己负责解析域：Server Cache --> iteration（迭代）；
解析答案分为肯定答案（查询到了域的键对应的值）和否定答案（不存在查询的键，因此，不存在与其查询键对应的值）；
权威答案：由直接负责的DNS服务器返回的答案；
非权威答案：通过查询DNS缓存获取的答案。
（4）主-辅DNS服务器
主DNS服务器：维护所负责解析的域数据库的那台服务器，读写操作均可进行；
从DNS服务器：从主DNS服务器那里或其它的从DNS服务器那里“复制”一份解析库，但只能进行读操作；
“复制”操作的实施方式：
序列号：serial, 也即是数据库的版本号；主服务器数据库内容发生变化时，其版本号递增；
刷新时间间隔：refresh, 从服务器每多久到主服务器检查序列号更新状况；
重试时间间隔：retry, 从服务器从主服务器请求同步解析库失败时，再次发起尝试请求的时间间隔；
过期时长：expire，从服务器始终联系不到主服务器时，多久之后放弃从主服务器同步数据；停止提供服务；
否定答案的缓存时长：查询不到键对应的值的答案的缓存时长；
主服务器”通知“从服务器随时更新数据；
（5）区域传送
全量传送：axfr，传送整个数据库；
增量传送：ixfr，仅传送变量的数据；
区域(zone)和域(domain)：
FQDN --> IP：正向解析库（区域）；
IP --> FQDN：反向解析库（区域）；
而域名是一个域。
（6）区域数据库文件
资源记录：Resource Record, 简称rr；
记录有类型：A， AAAA， PTR， SOA， NS， CNAME， MX；
SOA：Start Of Authority，起始授权记录，一个区域解析库有且只能有一个SOA记录，而且必须放在第一条；
NS：Name Service，域名服务记录，一个区域解析库可以有多个NS记录，其中一个为主的；
A： Address, 地址记录，FQDN --> IPv4；
AAAA：地址记录， FQDN --> IPv6；
CNAME：Canonical Name，别名记录；
PTR：Pointer，IP --> FQDN；
MX：Mail eXchanger，邮件交换器；优先级：0-99，数字越小优先级越高；
（7）资源记录的定义格式
语法： name [TTL] IN RR_TYPE value
SOA：
name: 当前区域的名字，例如”magedu.com.”，或者“2.3.4.in-addr.arpa.”；
value：有多部分组成；
1）当前区域的区域名称（也可以使用主DNS服务器名称）；
2）当前区域管理员的邮箱地址，但地址中不能使用@符号，一般使用点号来替代；
3）(主从服务协调属性的定义以及否定答案的TTL)
例如：

magedu.com.  86400   IN      SOA     magedu.com.     admin.magedu.com.  (2017010801  ; serial2H      ; refresh10M        ; retry1W       ; expire1D      ; negative answer ttl )

NS：
name：当前区域的区域名称；
value：当前区域的某DNS服务器的名字，例如ns.magedu.com.；
注意：一个区域可以有多个ns记录；
例如：

magedu.com.  86400   IN  NS      ns1.magedu.com.
magedu.com.     86400   IN  NS      ns2.magedu.com.

MX：
name: 当前区域的区域名称；
value：当前区域某邮件交换器的主机名；
注意：MX记录可以有多个；但每个记录的value之前应该有一个数字表示其优先级；
例如：

magedu.com.      IN  MX  10      mx1.magedu.com.
magedu.com.         IN  MX  20      mx2.magedu.com.

A：
name：某FQDN，例如www.magedu.com.；
value：某IPv4地址；
例如：

www.magedu.com.      IN  A   1.1.1.1
www.magedu.com.     IN  A   1.1.1.2
bbs.magedu.com.     IN  A   1.1.1.1

AAAA：
name：FQDN；
value: IPv6；
PTR：
name：IP地址，有特定格式，IP反过来写，而且加特定后缀；例如1.2.3.4的记录应该写为4.3.2.1.in-addr.arpa.；
value：FQND；
例如：

4.3.2.1.in-addr.arpa.    IN  PTR www.magedu.com.

CNAME：
name：FQDN格式的别名；
value：FQDN格式的正式名字；
例如：

web.magedu.com.      IN      CNAME  www.magedu.com.

注意：
(1) TTL可以从全局继承；
(2) @表示当前区域的名称；
(3) 相邻的两条记录其name相同时，后面的可省略；
(4) 对于正向区域来说，各MX，NS等类型的记录的value为FQDN，此FQDN应该有一个A记录；

3、Bind

（1）BIND概述
BIND（Berkeley Internet Name Domain）由ISC.org开源组织维护。
dns是域名解析协议，而bind是dns协议的一种实现，named是bind程序的运行的进程名。
（2）Bind的组成
Bind共有以下程序包：
bind-libs：被bind和bind-utils包中的程序共同用到的库文件；
bind-utils：bind客户端程序集，例如dig，host，nslookup等；
bind：提供的dns server程序、以及几个常用的测试程序；
bind-chroot：选装，让named运行于jail模式下；
Bind的主配置文件为/etc/named.conf，辅助配置文件为/etc/named.iscdlv.key，/etc/named.rfc1912.zones和/etc/named.root.key。解析库文件位于/var/named/目录下，一般名字为：ZONE_NAME.zone。
注意：
1）一台DNS服务器可同时为多个区域提供解析；
2）必须要有根区域解析库文件： named.ca；
3）还应该有两个区域解析库文件：localhost和127.0.0.1的正反向解析库；
正向解析库：named.localhost，反向解析库：named.loopback。
（3）rndc
rndc（remote name domain contoller），远程域名控制器，监听于TCP的953端口，但默认监听于127.0.0.1地址，因此仅允许本地使用。
（4）Bind的启动和关闭
bind程序安装完成之后，默认即可做缓存名称服务器使用；如果没有专门负责解析的区域，直接即可启动服务；
CentOS 6: service named start
CentOS 7: systemctl start named.service
（5）主配置文件格式：
全局配置段：options { … }
日志配置段：logging { … }
区域配置段：zone { … }，配置那些由本机负责解析的区域或转发的区域；
注意：每个配置语句必须以分号结尾；
（6）缓存名称服务器的配置
监听能与外部主机通信的地址：
listen-on port 53;
listen-on port 53 { 172.16.100.67; };
（7）学习时，建议关闭dnssec

dnssec-enable no;
dnssec-validation no;
dnssec-lookaside no;

（8）关闭仅允许本地查询：
//allow-query { localhost; };
（9）检查配置文件语法错误：
named-checkconf [/etc/named.conf]
（10）测试工具：dig, host, nslookup等
1）dig命令：用于测试dns系统，因此其不会查询hosts文件；
dig [-t RR_TYPE] name [@SERVER] [query options]
查询选项：
+[no]trace：跟踪解析过程；
+[no]recurse：进行递归解析；
注意：反向解析测试：dig -x IP
模拟完全区域传送：dig -t axfr DOMAIN [@server]
2）host命令：host [-t RR_TYPE] name SERVER_IP
3）nslookup命令：nslookup [-options] [name] [server]
交互式模式：
nslookup>
server IP：以指定的IP为DNS服务器进行查询；
set q=RR_TYPE：要查询的资源记录类型；
name：要查询的名称；
4）rndc命令：named服务控制命令
rndc status
rndc flush

4、区域解析配置

（1）配置解析一个正向区域（以magedu.com域为例）
1）定义区域，在主配置文件中或主配置文件辅助配置文件中实现；

zone  "ZONE_NAME"  IN  {type  {master|slave|hint|forward};file  "ZONE_NAME.zone";
};

注意：区域名字即为域名；
2）建立区域数据文件（主要记录为A或AAAA记录）
在/var/named目录下建立区域数据文件：/var/named/magedu.com.zone

$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com.   dnsadmin.magedu.com. (20170108011H10M3D1D )IN      NS      ns1IN      MX   10 mx1IN      MX   20 mx2
ns1     IN      A       172.16.100.67
mx1     IN      A       172.16.100.68
mx2     IN      A       172.16.100.69
www     IN      A       172.16.100.67
web     IN      CNAME   www
bbs     IN      A       172.16.100.70
bbs     IN      A       172.16.100.71

3）权限及属组修改：
# chgrp named /var/named/magedu.com.zone
# chmod o= /var/named/magedu.com.zone
4）检查语法错误：
# named-checkzone ZONE_NAME ZONE_FILE
# named-checkconf
5）让服务器重载配置文件和区域数据文件
# rndc reload 或# systemctl reload named.service
（2）配置解析一个反向区域
1）定义区域，在主配置文件中或主配置文件辅助配置文件中实现；

zone  "ZONE_NAME"  IN  {type  {master|slave|hint|forward};file  "ZONE_NAME.zone";
};

注意：反向区域的名字为反写的网段地址.in-addr.arpa ，例如100.16.172.in-addr.arpa。
2）定义区域解析库文件（主要记录为PTR）
示例：区域名称为100.16.172.in-addr.arpa；

$TTL 3600
$ORIGIN 100.16.172.in-addr.arpa.
@       IN      SOA     ns1.magedu.com.  nsadmin.magedu.com. (20170108011H10M3D12H )IN      NS      ns1.magedu.com.
67      IN      PTR     ns1.magedu.com.
68      IN      PTR     mx1.magedu.com.
69      IN      PTR     mx2.magedu.com.
70      IN      PTR     bbs.magedu.com.
71      IN      PTR     bbs.magedu.com.
67      IN      PTR     www.magedu.com.

3）权限及属组修改：
# chgrp named /var/named/172.16.100.zone
# chmod o= /var/named/172.16.100.zone
4）检查语法错误：
# named-checkzone ZONE_NAME ZONE_FILE
# named-checkconf
5）让服务器重载配置文件和区域数据文件
# rndc reload 或# systemctl reload named.service
（3）主从服务器配置
注意：从服务器是区域级别的概念；
1）配置一个从区域（On Slave）：
定义一个从区域：

zone "ZONE_NAME"  IN {type  slave;file  "slaves/ZONE_NAME.zone";masters  { MASTER_IP; };
};

配置文件语法检查：named-checkconf
重载配置：
rndc reload
systemctl reload named.service
2）配置主区域（On Master）：
确保区域数据文件中为每个从服务配置NS记录，并且在正向区域文件需要每个从服务器的NS记录的主机名配置一个A记录，且此A后面的地址为真正的从服务器的IP地址；
时间同步：ntpdate命令；
（4）子域授权
正向解析区域授权子域的方法：

ops.magedu.com.          IN  NS  ns1.ops.magedu.com.
ops.magedu.com.         IN  NS  ns2.ops.magedu.com.
ns1.ops.magedu.com.     IN  A   IP.AD.DR.ESS
ns2.ops.magedu.com.     IN  A   IP.AD.DR.ESS

定义转发（被转发的服务器必须允许为当前服务做递归）：
1）区域转发：仅转发对某特定区域的解析请求；

zone  "ZONE_NAME"  IN {type  forward;forward  {first|only};forwarders  { SERVER_IP; };
};

first：首先转发；转发器不响应时，自行去迭代查询；
only：只转发；
2）全局转发：针对凡本地没有通过zone定义的区域查询请求，通通转给某转发器；

options {... ...forward  {only|first};forwarders  { SERVER_IP; };.. ...
};

（5）bind中的安全相关的配置
acl：访问控制列表，把一个或多个地址归并一个命名的集合，随后通过此名称即可对此集全内的所有主机实现统一调用；

acl  acl_name  {ip;net/prelen;
};

示例：

acl  mynet {172.16.0.0/16;127.0.0.0/8;
};

bind有四个内置的acl，分别如下：
none：没有一个主机；
any：任意主机；
local：本机；
localnet：本机所在的IP所属的网络；
访问控制指令：
allow-query {};：允许查询的主机；白名单；
allow-transfer {};：允许向哪些主机做区域传送；默认为向所有主机；应该配置仅允许从服务器；
allow-recursion {};：允许哪此主机向当前DNS服务器发起递归查询请求；
allow-update {};：用于DDNS，允许动态更新区域数据库文件中内容；
（6）bind view
语法：

view  VIEW_NAME {zonezonezone
}

示例：

view internal  {match-clients { 172.16.0.0/8; };zone "magedu.com"  IN {type master;file  "magedu.com/internal";};
};
view external {match-clients { any; };zone "magecdu.com" IN {type master;file "magedu.com/external";};
};