1、详细描述一次加密通讯的过程，结合图示最佳。

SSL协议基础：
SSL协议位于TCP/IP协议与各种应用层协议之间，本身又分为两层：
1）SSL记录协议：建立在可靠传输层协议（TCP）之上，为上层协议提供数据封装、压缩、加密等基本功能。
2）SSL握手协议：在SSL记录协议之上，用于实际数据传输前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议通信过程：
1）浏览器发送一个连接请求给服务器；服务器将自己的证书（包含服务器公钥S_PuKey）、对称加密算法种类及其他相关信息返回客户端。
2）客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是，执行第4步；否则，给客户一个警告信息：询问是否继续访问
3）客户端浏览器比较证书里的信息，如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否一致；如果一致，则浏览器完成对服务器的身份认证.
4）服务器要求客户端发送客户端证书（包含客户端公钥C_PuKey）、支持的对称加密方案及其他相关信息。收到后，服务器进行相同的身份认证，若没有通过验证，则拒绝连接；
5）服务器根据客户端浏览器发送到密码种类，选择一种加密程度最高的方案，用客户端公钥C_PubKey加密后通知到浏览器；
6）客户端通过私钥C_prKey解密后，得知服务器选择的加密方案，并选择一个通话密钥Key，接着用服务器公钥S_PuKey加密后发送服务器；
7）服务器接收到的浏览器传送到消息，用私钥S_PrKey解密，获得通话密钥key。
8）接下来的数据传输都使用该对称密钥Key进行加密。
上面所述的是双向认证SSL协议的具体通讯过程，服务器和用户双方必须都有证书。由此可见，SSL协议是通过非对称密钥机制保证双方身份认证，并完成建立连接，在实际数据通信时通过对称密钥机制保障数据安全性。

2、描述创建私有CA的过程，以及为客户端发来的证书请求进行办法证书。

配置文件：/etc/pki/tls/openssl.cnf
1）创建所需要的文件
[root@Server ~]# cd /etc/pki/CA
[root@Server CA]# touch index.txt
[root@Server CA]# echo 01 > serial
2）CA自签证书
[root@Server CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
[root@Server CA]# openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
-new：生成新证书签署请求；
-x509：专用于CA生成自签证书；
-key：生成请求时用到的私钥文件；
-days n：证书的有效期限；
-out /PATH/TO/SOMECERTFILE：证书的保存路径
3）发证
（a）客户端生成证书请求
[root@Client ~]# mkdir /etc/httpd/ssl
[root@Client ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
[root@Client ~]# cd /etc/httpd/ssl/
[root@Client ssl]# openssl req -new  -key httpd.key -days 365 -out httpd.csr
（b）把请求文件传输给CA
[root@Client ssl]# scp httpd.csr 192.168.1.61:/tmp/
（c）CA签署证书，并将证书发还给请求者
[root@Server CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
[root@Server CA]# scp /etc/pki/CA/certs/httpd.crt 192.168.1.62:/etc/httpd/ssl/

3、描述DNS查询过程以及DNS服务器类别。

DNS查询过程：
1）浏览器缓存
当用户通过浏览器访问某域名时，浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址（若曾经访问过该域名且没有清空缓存便存在）
2）系统缓存
当浏览器缓存中无域名对应IP则会自动检查用户计算机系统中hosts（linux:/etc/hosts,Windows: C:\Windows\System32\drivers\etc\hosts）文件中是否有该域名对应的IP
3）路由器缓存
当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查，以下三步均为客户端的DNS缓存
4）ISP（互联网服务提供商）DNS缓存
当在客户端查找不到域名对应IP地址，则将进入ISP DNS缓存中进行查询。如果用的是电信网络，则会进入电信的DNS缓存服务器中进行查找。
5）根域名服务器
如果以上均为完成，则进入根服务器进行查询。全球13台根域名服务器，1个主根服务器，12个辅根域名服务器。根域名收到请求后会查询区域文件记录，若无则将其管辖范围内的顶级域名（.com）服务器IP地址告诉本地DNS服务器；
6）顶级域名服务器
顶级域名服务器收到请求后查看区域文件记录，或无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器；
7）二级域名服务器
主域名服务器接受到请求后查询自己的缓存，如果没有则进入下一级域名服务器进行查询，重复该步骤直到找到正确刻录；
8）保存结果至缓存
本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时将该结果反馈给客户端，客户端通过这个IP地址与web服务器建立链接。
DNS服务器类别：
1）主DNS服务器：维护所负责解析的域内解析库服务器；解析库由本地管理员管理维护。
2）辅助DNS服务器：从主DNS服务器或其它的从DNS服务器那里“复制”（区域传递）一份解析库。
3）缓存DNS服务器：
可运行域名服务器软件但没有域名数据库。它从某个远程服务器取得每次域名服务器的查询回答，一旦获取一个答案，就将它放在高速缓存中，以后查询相同信息时就用它予以回答。缓存域名服务器不是权威性服务器，因为提供的所有信息都是间接信息。
4）转发器：
负责所有非本地域名的本地查询。转发域名服务器接到查询请求时，在其缓存中查找，如果找不到就把请求依次转发到指定的域名服务器，直到查询到结果为止，否则返回无法查找到结果

。

4、搭建一套DNS服务器，负责解析magedu.com域名（自行设定主机名及IP）

  (1)、能够对一些主机名进行正向解析和逆向解析；

  (2)、对子域cdn.magedu.com进行子域授权，子域负责解析对应子域中的主机名；

  (3)、为了保证DNS服务系统的高可用性，请设计一套方案，并写出详细的实施过程

  [root@Master ~]# yum -y install bind常用的配置文件有：/etc/named.conf#主配置文件/etc/named.rfc1912.zones#区域配置文件/etc/rc.d/init.d/named#启动脚本/var/named#存放区域数据文件[root@Master ~]# vim /etc/named.conf options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory   "/var/named";
dump-file   "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     { any; };
recursion yes;
//  dnssec-enable yes;
//  dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
listen-on port 53 { any; };表示监听本地IP的53端口，允许所用地址访问本地53端口
allow-query     { any; };允许所有地址查询
recursion yes;是否递归，如果是no那么这台DNS服务器将不会递归解析，yes或注释掉不写，表是允许，默认是允许的
include "/etc/named.rfc1912.zones";加载区域配置文件
正向和反向区域解析[root@Master ~]# vim /etc/named.rfc1912.zones在配置文件的末尾添加正向和反向配置zone "magedu.com" IN { type master;file "magedu.com.zone";allow-transfer { 192.168.1.65; };
};
zone "1.168.192.in-addr.arpa" IN {type master;file "1.168.192.zone";allow-transfer { 192.168.1.65; };
};
allow-transfer { 192.168.1.65; };表示只允许192.168.1.65这个主机同步数据，也就是作它的辅助DNS，多个IP用“；”隔开；
编辑正向解析的zone文件
[root@Master ~]# vim /var/named/magedu.com.zone
$TTL    86400
$ORIGIN     magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016092101
1H
5M
7D
1D )
IN      NS      ns1
IN      NS      ns2
IN      MX 10   mx1
IN      MX 20   mx2
IN A 192.168.1.64
ns1     IN      A       192.168.1.64
ns2     IN      A       192.168.1.65
mx1     IN      A       192.168.1.66
mx2     IN      A       192.168.1.67
www     IN      A       192.168.1.64
www     IN      A       192.168.1.65
ftp     IN      CNAME   www
反向解析zone文件
[root@Master ~]# vim /var/named/1.168.192.zone
$TTL    86400
$ORIGIN     1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com.     admin.magedu.com. (
2016092101
1H
5M
7D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
64      IN      PTR     ns1.magedu.com.
65      IN      PTR     ns2.magedu.com.
66      IN      PTR     mx1.magedu.com.
67      IN      PTR     mx2.magedu.com.
64      IN      PTR     www.magedu.com.
65      IN      PTR     www.magedu.com.
[root@Master ~]# service named start
正向解析：
[root@Master ~]# dig @192.168.1.64 www.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.61 www.magedu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54957
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.magedu.com.                        IN      A
;; ANSWER SECTION:
www.magedu.com.         86400   IN      A       192.168.1.64
www.magedu.com.         86400   IN      A       192.168.1.65
;; AUTHORITY SECTION:
magedu.com.             86400   IN      NS      ns1.magedu.com.
magedu.com.             86400   IN      NS      ns2.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.1.64
ns2.magedu.com.         86400   IN      A       192.168.1.65
;; Query time: 0 msec
;; SERVER: 192.168.1.61#53(192.168.1.64)
;; WHEN: Mon Sep 26 21:15:11 2016
;; MSG SIZE  rcvd: 132
反向解析
[root@Master ~]# dig -x 192.168.1.64 @192.168.1.64
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -x 192.168.1.64
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23623
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;64.1.168.192.in-addr.arpa.     IN      PTR
;; ANSWER SECTION:
64.1.168.192.in-addr.arpa. 86400 IN     PTR     ns1.magedu.com.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400   IN      NS      ns2.magedu.com.
1.168.192.in-addr.arpa. 86400   IN      NS      ns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.1.64
ns2.magedu.com.         86400   IN      A       192.168.1.65
;; Query time: 0 msec
;; SERVER: 192.168.1.64#53(192.168.1.64)
;; WHEN: Wed Sep 21 21:56:14 2016
;; MSG SIZE  rcvd: 135
配置主从同步
[root@Slave ~]# vim /etc/named.rfc1912.zones
在末尾添加
zone "magedu.com" IN {
type slave;
masters { 192.168.1.64; };
file "slaves/magedu.com.zone";
allow-transfer { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.1.64; };
file "slaves/1.168.192.zone";
allow-transfer { none; };
};
批定type类型为slave，并指定主服务器为192.168.1.64
[root@Slave ~]# service named start
服务启动后，会在/var/named/slaves/自动添加magedu.com.zone和1.168.192.zone文件
[root@Slave ~]# ll /var/named/slaves/
总用量 8
-rw-r--r-- 1 named named 436 9月  26 22:13 1.168.192.zone
-rw-r--r-- 1 named named 502 9月  26 22:13 magedu.com.zone
子域授权
新增一台IP为192.168.1.61的服务器为子域
在父域的区域文件中添加NS和A记录
[root@Server ~]# vim /var/named/magedu.com.zone
添加
cdn     IN      NS      ns1.cdn.magedu.com.
ns1.cdn IN      A       192.168.1.61
[root@cdn ~]# yum -y install bind
[root@cdn ~]# scp 192.168.1.64:/etc/named.conf /etc/
[root@cdn ~]# vim /etc/named.rfc1912.zones
在末尾添加
zone "cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone";
};
zone "magedu.com" IN {
type forward;
forward only;
forwarders { 192.168.1.64; };
};
[root@cdn ~]# vim /var/named/cdn.magedu.com.zone
$TTL    86400
@       IN      SOA     ns.cdn.magedu.com.  admin.cdn.magedu.com. (
2016092201
2H
5M
7D
12H )
IN      NS      ns.cdn.magedu.com.
IN      MX 10   mx1.cdn.magedu.com.
IN A192.168.1.61
ns      IN      A       192.168.1.61
mx1     IN      A       192.168.1.61
www     IN      A       192.168.1.61
测试
1）子域测试
[root@Cdn ~]# dig @192.168.1.61  www.cdn.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.65 www.cdn.magedu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33720
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;www.cdn.magedu.com.            IN      A
;; ANSWER SECTION:
www.cdn.magedu.com.     86400   IN      A       192.168.1.61
;; AUTHORITY SECTION:
cdn.magedu.com.         86400   IN      NS      ns.cdn.magedu.com.
;; ADDITIONAL SECTION:
ns.cdn.magedu.com.      86400   IN      A       192.168.1.61
;; Query time: 0 msec
;; SERVER: 192.168.1.65#53(192.168.1.61)
;; WHEN: Mon Sep 26 22:16:44 2016
;; MSG SIZE  rcvd: 85
2）父域测试
[root@Cdn ~]# dig -t www.magedu.com
;; Warning, ignoring invalid type www.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -t www.magedu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27354
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;.                              IN      NS
;; ANSWER SECTION:
.                       518239  IN      NS      b.root-servers.net.
.                       518239  IN      NS      i.root-servers.net.
.                       518239  IN      NS      j.root-servers.net.
.                       518239  IN      NS      k.root-servers.net.
.                       518239  IN      NS      l.root-servers.net.
.                       518239  IN      NS      e.root-servers.net.
.                       518239  IN      NS      h.root-servers.net.
.                       518239  IN      NS      f.root-servers.net.
.                       518239  IN      NS      c.root-servers.net.
.                       518239  IN      NS      m.root-servers.net.
.                       518239  IN      NS      d.root-servers.net.
.                       518239  IN      NS      a.root-servers.net.
.                       518239  IN      NS      g.root-servers.net.
;; Query time: 0 msec
;; SERVER: 192.168.1.61 #53(192.168.1.65)
;; WHEN: Mon Sep 26 22:18:26 2016
;; MSG SIZE  rcvd: 228