DNS服务的部署与配置（2）

1、dns的安装及开启

dnf install bind.x86_64 -y #安装
#Berkeley Internet Name Domain (BIND)

systemctl enable --now named   #启用dns服务，服务名称叫named
firewall-cmd --permanent --add-service=dns #火墙设置
firewall-cmd --reload           #重启火墙
setenforce 0                   #调整内核级火墙为警告模式

2、配置dns服务使内网主机可以访问其dns资源

netstat -antlupe | grep named #可以查看dns开放端口

vim /etc/named.conf                           #编辑dns配置文件，对文件做以下修改
11行左右 listen-on port 53 { any; };        #在本地所有网络接口上开启53端口
19行左右 allow-query { any; };                #允许查询A记录的客户端列表，提供服务给所有主机
20行左右 forwarders { 114.114.114.114; };   #将源换为国内的，指定资源从114上取，这样速度会快一点
34行左右 dnssec-validation no;                #禁用dns检测使dns能够缓存外部信息到本机，开着会因为检测不合规返回不了“答案”
##每一个字符串一定要用分号结尾

systemctl restart named #重启服务

使用内网其他主机测试：

vim /etc/resolv.conf #编辑dns指向文件 nameserver 192.168.187.129

#添加我们配置的dns服务器的ip dig www.baidu.com

#解析测试我们的dns服务器配置是否成功

显示NOERROR就是没有问题！

3、DNS的正向解析

企业内部也需要对外提供dns做相应的解析工作！
准备工作：
在上个高速缓存配置的基础上，先编辑主配置文件vim /etc/named.conf，将源注释掉

然后使用命令nm-connection-editor将dns服务器在的主机和测试主机的ip都改为静态ip
dns服务器的IP改成：192.168.187.129
测试主机IP改为：192.168.187.136

修改配置并保存

（1）主机记录A记录

第一步：添加域名语句块

vim /etc/named.rfc1912.zone
##和主配置文件里的内容一样，里边有要维护域名的语句块
##主配置文件读取域名信息就会到这个文件里读取
##我们可以在这个文件里添加我们要维护的域名的语句块
添加：
zone "lucky.com" IN {            #维护的域名
type master;                    #当前服务器位主dns
file "lucky.com.zone";        #域名A记录文件，要解析域名时看的是这个文件
allow-update { none; };        #允许更新主机列表
};

第二步：编辑域名A记录文件

cd /var/named/ #进入数据目录
cp -p named.localhost lucky.com.zone #复制模板得到我们要的域名A记录文件，一定要加-p参数，所属组相同

vim lucky.com.zone #编辑A记录文件

A记录文件内容及解释如下：
$TTL 1D #TIME-TO-LIVE(dns地址保存时间长度)
@ IN SOA dns.lucky.com. root.lucky.com (        #SOA授权起始(Start of Authority)，谁授权的
#@符的值就是/etc/named.rfc1912.zone文件里我们编写的域名语句块引号里的内容
#不是以.结尾的字符串都会被自动补齐@符的值
0 ; serial            #域名版本序列号，下文dns集群会用到，有详细解释
1D ; refresh            #刷新时间（辅助dns）
1H ; retry            #重试时间（辅助dns）
1W ; expire            #过期时间（辅助dns,查询失败过期停止对辅助域名的应答）
3H ) ; minimum        #A记录最短有效期
        NS    dns.lucky.com.
dns    A    192.168.187.129
lucky.a A    192.168.187.97        ##正向解析记录
lucky.a A    192.168.187.99

复制并编辑A记录文件

第三步：重启并在另一台内网主机测试
systemctl restart named
另一台主机先检查下dns服务器是不是我们设置的

然后dig www.lucky.com，如图测试成功！
##多个ip会自动做轮调

（2）规范域名转换CNAME记录

当内部主机名不规范时，对外开放的是规范域名。
那么对外开放的域名只有一个，将对外开放的域名转换到内部主机再做解析

dns服务器端：
vim /var/named/lucky.com.zone #编辑A记录文件

添加：
www CNAME www.a.lucky.com.
#www.a.lucky.com.就是不规范域名

systemctl restart named #重启dns

客户端：
dig www.lucky.com #另一台主机测试

编辑文件

重启

另一台主机测试，如图设置成功！

（3）邮件解析MX记录

什么是MX记录？
当我们在发送邮件时，假设我们用的163.com邮箱，需要将163.com解析成ip才能进行数据传输，这个ip就叫这个域的mx记录（负责邮件发送和接收的ip）。

dns服务器端

vim /var/named/lucky.com.zone

#编辑A记录文件添加后保存退出：

lucky.com. MX 1 192.168.187.129.

systemctl restart named

#重启dns

添加时写的是服务器ip

客户端：

dnf install postfix mailx -y #安装提供邮件投递协议的软件postfix和发送邮件的客户端mailx systemctl start postfix #开启postfix服务

dig -t mx lucky.com #查看mx记录

查看mx记录，没有问题

发邮件给root@lucky.com(自行类比@qq.com)
##因为在dns服务器端25端口是自用的（回环），所以不会收到邮件，所以我们在测试端看发送队列看下效果即可
##如图即是正向解析成功

4、DNS的反向解析

逆向查询记录PTR记录

什么是PTR记录？
邮件接收方只会显示发送方的ip，需要做反向解析，显示真实的域名，让用户知道邮件从哪儿来的。从ip到域名就是ptr记录。

dns服务器端

vim /etc/named.rfc1912.zones #编辑文件
添加：
zone "187.168.192.in-addr.arpa" IN {
type master;
file "192.168.187.ptr";
allow-update { none; };
};

cd /var/named/
cp -p named.loopback 192.168.187.ptr #复制模板得到ptr文件

vim 192.168.187.ptr #编辑ptr记录文件
修改成下文：
$TTL 1D
@ IN SOA dns.lucky.com. rname.invalid. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS dns.lucky.com.
dns A 192.168.187.129
233 PTR www.lucky.com.
#反向解析IP192.168.187.233应该得到域名www.lucky.com

systemctl restart named #重启

编辑named.rfc1912.zones文件

编辑ptr记录文件

客户端：
dig -x 192.168.187.233测试如图成功！

5、DNS的双向解析

双向解析：
在内网中的主机解析得到内网的ip，
在外网中的主机解析得到外网的ip。
实验环境：
我们需要一台双网卡主机模拟内网，一台单网卡主机模拟外网
dns服务器端做内网主机：
添加一个网卡，将ip设为192.168.0.0/24网段的
原来的192.168.187.0/24网段的做内网ip

单网卡主机做外网主机：
ip改为192.168.0.0/24网段的，模拟外网主机，并且将网关设为dns服务器端192.168.0.0/24网段的ip，保证两台主机能相互通信

两台主机更改完网络后都需重启网络

nmcli connection reload

nmcli connection up

网络名例如客户端网卡名为ens160，那么就是

nmcli connection up ens160

设置完后ping一下通了即可

dns服务器端（内网主机）：

vim /etc/named.conf #编辑主配置文件

将下图内容注释掉：

注释掉后，在下边添加如下内容：
view localnet {
match-clients { 192.168.187.0/24; };
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
};

view internet {
match-clients { any; };
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones.inter";
};

拷贝/etc/named.rfc1912.zones文件得到/etc/named.rfc1912.zones.inter文件
cp -p /etc/named.rfc1912.zones /etc/named.rfc1912.zones.inter
vim /etc/named.rfc1912.zones.inter #编辑外网配置文件
做如下图更改：

拷贝A记录文件得到外网的A记录文件
cp -p /var/named/lucky.com.zone /var/named/lucky.com.inter
vim /var/named/lucky.com.inter #编辑外网A记录文件
做如下图更改：
#把ip都改成我们想让外网主机访问时看到的ip

重启systemctl restart named

vim /etc/resolv.conf #添加dns服务器

ip nameserver 192.168.187.129

#因为更改过网络，所以可能需要重新添加

客户端（外网主机）

vim /etc/resolv.conf #添加dns服务器

ip nameserver 192.168.187.129 #因为更改过网络，所以可能需要重新添加

测试：
dns服务器端（内网主机）：
`dig -x 192.168.187.233`测试，如图显示的内网ip，成功！

客户端（外网主机）：
dig -x 192.168.187.233测试，如图显示的外网ip，成功！

6、DNS集群

当我们的主dns服务器访问量过大时，服务器不足以支撑这么大的访问量，我们可以增加n台辅助dns来分担访问压力。
我们下面以增加一台辅助dns来实验如何使主辅dns同步更新！

辅助dns：

我以上面用过的客户端主机为辅助dns
先将其IP改为和主dns一个网段的，192.168.187.136

更改完网络后需重启网络

nmcli connection reload

nmcli connection up ens160

dnf install bind.x86_64 -y #也安装dns
#Berkeley Internet Name Domain (BIND)

vim /etc/named.conf #编辑主配置文件
注释掉11，12，19行

vim /etc/named.rfc1912.zones   #在文件中加入域名语句块
添加：
zone "lucky.com" IN {
type slave;               #类型是辅助dns
masters { 192.168.187.129; };   #主dns
file "slaves/lucky.com.zone";   #数据同步到slaves目录下
};

编辑主配置文件注释掉如图三行，就相当于全部都开启（any）

添加域名语句块

vim /etc/resolv.conf

nameserver 192.168.187.136 #将dns服务器改为自己的，为了看效果

systemctl restart named #重启dns服务

主dns：

我以上面配好的dns服务器192.168.187.129这台主机为主dns

先去掉上个实验的配置，防止影响

vim /etc/named.conf

#编辑主配置文件

注释掉如下图内容：

vim /etc/named.rfc1912.zones

在域名语句块内添加如下内容：

also-notify { 192.168.187.136; }; #辅助dns的ip

systemctl restart named #重启dns

测试：
辅助dns：
`dig www.lucky.com`得到如图结果：

主dns：

vim /var/named/lucky.com.zone

#编辑A记录文件更改下ip和serial值：

之后在辅助dns端重新dig看是否同步成功

serial值的作用:
每更改一次该值并重启主dns服务后，辅助dns就会重新同步A记录
即重新同步域名所对应ip
一天可以改99次
值可以任意写！
！！！！！但只能增量更改！！！！！

其他值解释：
1D ; refresh            #刷新时间（辅助dns）
1H ; retry            #重试时间（辅助dns）
1W ; expire            #过期时间（辅助dns,查询失败过期停止对辅助域名的应答）
3H ) ; minimum        #A记录最短有效期

辅助dns：
dig www.lucky.com得到如图结果：
测试成功！ip同步成功！

DNS（DHCP+DNS）动态域名解析

dhcp能自动分配ip，当重新分配时怎么让dns知道ip重新分配了呢？ddns可以解决这个问题，实现动态域名解析。
更新原理：制作一个key，让dhcp能更新dns的A记录，key是更新域名的钥匙。
在/var/named目录下生成一个更新数据，在系统读取A记录时会把.jnl结尾的更新文件与A记录文件整合实现。

ddns服务端

dnf install dhcp-server -y       #安装dhcp服务器
cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf       #复制模板得到配置文件
vim /etc/dhcpd/dhcpd.conf       #编辑dhcp配置文件
做如下图修改：
#修改最终结果是剩31行

systemctl start dhcpd #开启dhcp
接下来制作更新域的“钥匙”key：
#/etc/rndc.key是dns默认使用的key模板，用的是SHA-256加密，所以我们下面也要使用SHA-256加密
cd /mnt/
dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST luckykey
#SHA256加密方式是对称的，公钥和私钥是一样的

cp -p /etc/rndc.key /etc/lucky.key       #复制key模板得到key文件
vim /etc/lucky.key                       #编辑key文件
改成如下内容：
key "luckykey" {                       #我们前面取的key名字
algorithm hmac-sha256;           #加密方式
secret "/P/GVMVRb/dNIjtr2qYvMg==";       #我们前面生成的密钥，最好复制粘贴
};

vim /etc/named.conf #更改dns主配置文件加key文件指向

在第45行左右添加key文件指向：

include "/etc/lucky.key";

vim /etc/named.rfc1912.zones #域名语句块在这里

在域名语句块里添加key更新：

如下图：

systemctl restart named #重启dns

接下来测试一下该key能否更新dns：
nsupdate -k Kluckykey.+163+37031.private       #-k指定key，不指定send会失败
> update add hello.lucky.com 86400 A 192.168.187.111   #新增A记录
> send                                                   #成功
> update del hello.lucky.com                           #删除A记录
> send                                                   #成功
> quit                                                   #退出
测试成功！继续下一步

vim /etc/dhcp/dhcpd.conf #编辑dncp配置文件

打开dns更新的“开关”：
第14行取消注释，并改为interim（网络更新）：
ddns-update-style interim;

在最后指定key，相当于让dhcp拿到了dns更新的“钥匙”：
key luckykey { #我们前面取得key的名字，别写错了
algorithm hmac-sha256;
secret /P/GVMVRb/dNIjtr2qYvMg==; #最好直接复制前面我们生成的key文件里的防止出错
};

在最后加入key要更新的域：
zone lucky.com. {
primary 127.0.0.1; #dns在本机，所以直接写本机回环接口就可以了
key luckykey; #我们前面取得key的名字，别写错了
}