Centos下内网DNS主从环境部署记录

 

一、DNS是什么?
DNS(Domain Name System),即域名系统。它使用层次结构的命名系统,将域名和IP地址相互映射,形成一个分布式数据库系统。

DNS采用C-S架构,服务器端工作在UDP协议端口53和TCP协议端口53上。FQDN(Fully Qualified Domain Name)完全限定域名,它是使用DNS的树状层级结构的完全路径域名来表示一个准确位置对应的主机。DNS提供正向解析(FQDN-->IP)和反向解析(IP-->FQDN)的功能。

全球有13组DNS根服务器、11台在美国、一组在挪威、一组在日本、DNS服务重兵把守、他的安全性有多重要、一旦被攻击全球都互联网中断、可想而知。

 查看全球13个根节点的服务:
  # dig -t NS .
DNS正反向解析
DNS(Domain Name Service)域名服务、就是域名解析服务器、所谓名称解析的过程就是某个应用程序基于某个搜索键在指定的数据库中查询、而后查询到某些对应的键以后与之对应的键导出来的过程。
NDS是互联网的基础设施类的服务、这是一种协议、协议最后是要实现的、协议实现的软件很多。可以用BIND来实现DNS的、它运行时监听在UDP的53号端口上、同时监听TCP的53号端口、两种协议的53号端口都被监听了。

域名:如 http://www.wangshibo.com/ --> IP地址

一级域分为三类
组织域:.com、.org、.mil、.gov、.edu、.net、
国家域:.cn、.hk、.tw、.us、.jp、.ir、.uk
反向域:.in-addr.arpa

二、互联网DNS访问模型

DNS服务器采用分布式数据结构保存着海量的名称,那么用户如何快速的在互联网上访问哪台服务器或者哪些服务器就能找到待解析的数据呢?

客户机发起对www.kernel.org的解析请求
1)客户机首先查看查找本地hosts文件,如果有则返回,否则进行下一步
2)客户机查看本地缓存,是否存在本条目的缓存,如果有则直接返回,不再向外发出请求,否则进行下一步,转发。
3)将请求转发本地DNS服务器。
4)查看域名是否本地解析,是则本地解析返回,否则进行下一步。
5)本地DNS服务器首先在缓存中查找,有则返回,无则进行下一步。
6)向全球某一个根域服务器发起DNS请求,根域返回org域的地址列表。
7)使用某一个org域的IP地址,发起DNS请求,org域返回kernel域服务器地址列表。
8)使用某一个kernel域IP地址,发起DNS请求,kernel域返回www.kernel.org主机的IP地址,本地DNS服务收到后,返回给客户机。
以上客户机和本地DNS服务器直接的查询方式,称为递归查询。
本地DNS服务器多次重复查询的方式,称为迭代查询。

1.1 DNS的分类:
主DNS服务器:就是一台存储着原始资料的DNS服务器。
从DNS服务器:使用自动更新方式从主DNS服务器同步数据的DNS服务器。也成辅助DNS服务器。
缓存服务器:不负责本地解析,采用递归方式转发客户机查询请求,并返回结果给客户机的DNS服务器。同时缓存查询回来的结果,也叫递归服务器。
转发器:这台DNS发现非本机负责的查询请求时,不再向根域发起请求,而是直接转发给指定的一台或者多台服务器。自身并不缓存查询结果。

1.2 RR(Resource Record)资源记录
DNS层级结构中,不管是节点还是叶子节点都是资源,对这些资源中的某一个的标识使用一定格式的多字段的一条记录来表示,这条记录就是资源记录RR。RR的标准记录在RFC 1034中。

1.3 RR的组成

1.4 RR中IN类(class)常见类型(type)

1.5 常用指令
1)$TTL
TTL 可以在SOA之前使用该指令,给出TTL秒数的32位整数值。
2)$ORIGIN
设定域名,它必须出现在任何一行省略书写的RR记录前。当一个区域文件第一次被读取时,隐含这个命令的值为<zone_name>.(必须是跟着一个半角句号),如果不设置它,就必须在区域文件中书写FQDN。
例如
$ORIGIN kernel.org.
www CNAME web-server
就等同于
www.kernel.org. CNAME web-server.kernel.org.
3)@符号
@符号等价于$ORIGIN。

1.6 SOA的RDATA格式

 

百度的SOA

1
2
3
4
5
6
7
a.shifen.com.        579    IN    SOA    dns.baidu.com. sa.baidu.com.  (    
                      1408010001 ; serial number    
                      5 ; refresh 5s    
                      5 ; retry 5s    
                      86400 ; expire 1d    
                      3600 ;min TTL 1h    
)

1.7 NS的RDATA格式
NSDName:DNS的FQDN
baidu.com. 64899 IN NS ns2.baidu.com.
baidu.com. 64899 IN NS ns4.baidu.com.
baidu.com. 64899 IN NS dns.baidu.com.
baidu.com. 64899 IN NS ns7.baidu.com.
baidu.com. 64899 IN NS ns3.baidu.com.
1.8 MX的RDATA格式
PREFERENCE:优先级,越小越高
EXCHANGE:邮件服务器FQDN
baidu.com. 7200 IN MX 20 jpmx.baidu.com.
baidu.com. 7200 IN MX 20 mx50.baidu.com.
baidu.com. 7200 IN MX 10 mx.n.shifen.com.
baidu.com. 7200 IN MX 20 mx1.baidu.com.
1.9 CNAME的RDATA格式
CNAME:权威名称,FQDN
www.baidu.com. 1154 IN CNAME www.a.shifen.com.
www.a.shifen.com是正式名称,而www.baidu.com是别名
2.0 A的RDATA格式
ADDRESS:IP V4地址
www.baidu.com. 1154 IN CNAME www.a.shifen.com.
www.a.shifen.com. 36 IN A 111.13.100.92
www.a.shifen.com. 36 IN A 111.13.100.91
2.1 PTR的RDATA格式
7.100.in-addr.arpa. IN PTR www.example.com.

三、BIND实现DNS服务

BIND是什么
1984年,加州大学伯克利分校的几个学生完成了Unix名称服务的实现,起名叫做Berkeley Internet Name Domain(BIND)。目前,它是互联网上使用最为广泛的DNS服务软件。
bind的发行版一般包含三个部分:域名服务器、域名解析器库、软件测试工具。

因为内网换了路由器,这个路由器不支持静态域名解析服务。所以考虑自己建立一个内网DNS,也方便了开发同学在代码中使用域名,避免直接使用ip地址所带来的不便和安全隐患。下面就记录下使用BIND部署内网NDS环境(主从)操作流程:

一般来说,可以使用rpm包来安装bind,但是rpm安装可能不符合我们的要求、比如说想用named的线程模式、想禁用IPv6、想启用某种特性,而rpm在编译时没有提供、那这时只能去手动编译安装了。
编译安装named有一个麻烦之处、所有的配置文件都得自己去建立,像/var/named/这个目录、编译安装时连这个目录都不会存在、得自己去创建这个目录、里面的各种配置文件、区域文件、像根的、甚至连
service启动脚本都没、所以不到万不得以最好别去编译它。最好的办法就是yum自动安装,这样配置文件就会自动创建的。下面我选择bind-9.10.5版本进行编译安装:

192.168.1.27          主DNS服务器
192.168.1.28          从DNS服务器
bind版本:             bind-9.10.5-P3.tar.gz                            http://www.isc.org/downloads/bind/

一、主DNS服务器的操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
首先同步下时间
[root@DNS-Master ~]# ntpdate ntp1.aliyun.com
  
检查一下安装环境所需要的开发包组、确保所依赖的开发包组都装有了
[root@DNS-Master ~]# yum -y groupinstall "Development Tools"
[root@DNS-Master ~]# yum -y groupinstall "Server Platform Development"
[root@DNS-Master ~]# yum grouplist
装好后查看一下、最主要两项:Development tools和Server Platform Development
  
这里注意一下,我们要去编译安装一个服务、首先要去看他的README、然后看他的INSTALL、大体了解一下有没有我们所需要的信息、当然我们这里就不多说了、直接往下走:
[root@DNS-Master ~]# tar -zvxf bind-9.10.5-P3.tar.gz
[root@DNS-Master ~]# cd bind-9.10.5-P3
[root@DNS-Master bind-9.10.5-P3]# ./configure --prefix=/data/bind9 --sysconfdir=/etc/named --enable-threads --enable-epoll --disable-chroot
[root@DNS-Master bind-9.10.5-P3]# make && make install
  
--prefix=/data/bind9:指定编译存放的路径
--sysconfdir=/etc/named:指定配置文件存放路径
--enable-threads:启用了多线程的功能
  
前面说过、编译安装named什么都得自己创建、用户也没有的、所以我们得给他创建一个用户先、而且用户是系统用户、要加-r、系统用户不会给他创建家目录的:
先创建用户组:
[root@DNS-Master ~]# groupadd -g 53 -r named
[root@DNS-Master ~]# useradd -g named -r named
  
先去创建named的工作目录、然后创建named.ca这个文件:
[root@DNS-Master ~]# mkdir /var/named
  
这里@后面的IP是能访问互联网的服务器、生成的数据存在到/var/named/named.ca中去(使用"yum -y install bind-utils"命令安装dig命令)
[root@DNS-Master ~]# dig -t NS . @8.8.8.8 > /var/named/named.ca       //这一步很关键,一定要保证能解析,否则无法forward转发那些NS(223.5.5.5或者8.8.8.8等)的解析,比如最后无法ping通www.baidu.com
[root@DNS-Master ~]# cat /var/named/named.ca                          //确保named.ca文件里有"...IN  NS"解析记录
  
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2 <<>> -t NS . @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36220
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0
  
;; QUESTION SECTION:
;.              IN  NS
.......
.......
  
然后再去编辑/etc/named/named.conf的配置文件、这个文件也没有、需要自己去编写的:
[root@DNS-Master ~]# vim /etc/named/named.conf
options {
        listen-on port 53 { any; };        //默认是any,表示允许所有网段的主机。可以改成自己所在的内网网段
        listen-on-v6 port 53 { ::1; };
        directory "/var/named";               //定义named的固定工作路径
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };        //表示接收所有网段
        recursion yes;
        forward first;                   //下面这两行配置很重要,这个配置后,当客户端采用我们自己配置的内网DNS的NS服务器后,当访问别的网站,内网NS解析不了的就转发给8.8.8.8的DS服务器解析,保证能正常上网。
        forwarders {
            223.5.5.5;             //阿里云的DNS服务器
            223.6.6.6;
            8.8.8.8;
            8.8.4.4;
          };
        };
  
logging {                           
        channel default_debug {
        file "data/named.run";
        severity dynamic;
        };
};
  
zone "."  {
        type hint;      
        file "named.ca";
        };
  
zone "wangshibo.cn"  {                              //定义一个统一的域名后缀。正向解析的区域。此处可以加后面IN,也可以不加IN        
        type master;                           //类型属于master、属于自己的      
        file "wangshibo.cn_zone";                    //指定正向解析的文件  
        allow-transfer {192.168.1.28;};         //允许192.168.1.28(从DNS服务器)传送 
};
zone "1.168.192.in-addr.arpa"  {              //定义反向解析的区域,注意写法。此处可以在后面加IN,也可以不加IN
        type master;                        
        file "192.168.1.zone";                //指定正向解析的文件
        allow-transfer {192.168.1.28;};   
 
zone "33.168.192.in-addr.arpa"  {       
        type master;
        file "192.168.33.zone";             
        allow-transfer {192.168.1.28;};
};
zone "34.168.192.in-addr.arpa"  {       
        type master;
        file "192.168.34.zone";             
        allow-transfer {192.168.1.28;};
};
zone "64.168.192.in-addr.arpa"  {       
        type master;
        file "192.168.64.zone";             
        allow-transfer {192.168.1.28;};
};
 
  
这里注意一下:
如果是多个网段的反向解析,这里就定义多个反向解析区域。
  
----------------------------------------------------------------------------------------------------------
温馨提示:
DNS BIND之forwarder转发:就是说,当自己内网NS服务器解析不了的域名,转发到别的NS如8.8.8.8的域名服务器上进行解析。
转发功能可以用来在一些服务器上产生一个大的缓存,从而减少到外部服务器链路上的流量。它可以使用在和internet没有直接连接的内部域名服务器上,用来提供对外部域名的查询。
只有当服务器是非授权的,并且缓存中没有相关记录时,才会进行转发。
1)转发机制
当你设置了转发器后,所有非本域的和在缓存中无法找到的域名查询都将转发到设置的DNS转发器上,由这台DNS来完成解析工作并做缓存,因此这台转发器的缓存中记录了丰富的域名信息。
因而对非本域的查询,很可能转发器就可以在缓存中找到答案,避免了再次向外部发送查询,减少了流量。
  
2)配置参数
1.forward
此选项只有当forwarders列表中有内容的时候才有意义。当值是First,默认情况下,使服务器先查询设置的forwarders,如果它没有得到回答,服务器就会自己寻找答案。如果设定的是only,
服务器就只会把请求转发到其它服务器上去。
2.forwarders
设定转发使用的ip地址。默认的列表是空的(不转发)。转发也可以设置在每个域上,这样全局选项中的转发设置就不会起作用了。用户可以将不同的域转发到服务器上,或者对不同的域可以实现
forward only或first的不同方式,也可以根本就不转发。
注:转发服务器的查询模式必须允许递归查询(即,recursion yes;),默认递归查询是开启的。
  
3)转发器的配置格式
options {
forward first;
forwarders{
8.8.8.8;
1.8.8.8;
};
};
注意:转发器本身不用做任何设置,而是对需要转发器的其他DNS server做以上配置。还有,如果该 DNS Server 无法联系到转发器,那么BIND会自己尝试解析。
如果要禁止BIND在无法联系到转发器时不做任何操作,那么你还可以使用 forward only 命令,这样BIND只能使用区的权威数据和缓存来响应查询了( 在连接不到转发器的情况下 )。
options {
forward only;
forwarders{
8.8.8.8;
1.8.8.8;
};
};
在 BIND 8.2 以后引入了一个新的特性:转发区( forward zone ),它允许你把 DNS 配置成只有查找特定域名的时候才使用转发器。( BIND 9 从9.1.0 才开始有转发区功能)
例如,你可以使你的服务器将所有对test.com结尾的域名查询都转发给test.com的两台名字服务器:
zone "test.com" {
type forward;
forwarders{
8.8.8.8;
1.8.8.8;
};
};
还有一种转发区设置和刚才的设置刚好相反,它允许你设置什么样的查询将不被转发,当然这只适用于在options语句中指定了转发器的 DNS 。配置如下:
options {
forwarders{
8.8.8.8;
1.8.8.8;
};
};
zone "test.com" {
type master;
file "zone.test.com";
forwarders {};
};
test.com这个区中,你授权了几个子域,例如:zx.test.com、lab.test.com等,那么在test.com的权威服务器上设置转发后,因为对 zx.test.com、lab.test.com这几个子域不是权威,
那么如果有对 www.zx.test.com这样的子域的域名查询,服务器也将转发。这完全是没有必要的,因为服务器上就有zx.test.org 子域的 NS 记录,何须再转发。
---------------------------------------------------------------------------------------------------------------
如果想用rndc远程登录可以生成一个/etc/named/rndc.conf的配置文件:
[root@DNS-Master ~]# /data/bind9/sbin/rndc-confgen -r /dev/urandom > /etc/named/rndc.conf
到这里别忘了给named.conf和rndc.conf修改属主属组和权限:
[root@DNS-Master ~]# chown -R root.named /data/bind9
[root@DNS-Master ~]# chown -R root.named /etc/named
[root@DNS-Master ~]# chown -R root.named /var/named            #另外注意:一定要保证/var/named/data的权限是named.named,这个目录下存放的是named.run,即named解析日志
[root@DNS-Master ~]# chmod 640 /etc/named/named.conf
[root@DNS-Master ~]# chmod 640 /etc/named/rndc.conf
[root@DNS-Master ~]# chmod 640 /var/named/*
  
为了方便、我们在PATH下加个的路径、/etc/profile.d/named.sh:
[root@DNS-Master ~]# cat /etc/profile.d/named.sh
export PATH=/data/bind9/bin:/data/bind9/sbin:$PATH
[root@DNS-Master ~]# source /etc/profile.d/named.sh
  
因为是一个服务、所以我们要为他提供一个服务脚本、以后可以利用脚本启动、编辑/etc/rc.d/init.d/named
[root@DNS-Master ~]# vim /etc/rc.d/init.d/named
#!/bin/bash
    #
    # description: named daemon
    # chkconfig: - 25 88  
  
    pidFile=/data/bind9/var/run/named.pid
    lockFile=/var/lock/subsys/named
    confFile=/etc/named/named.conf
  
        [ -r /etc/rc.d/init.d/functions ] && . /etc/rc.d/init.d/functions
    start() {
            if [ -e $lockFile ]; then
                    echo "named is already running..."
                    exit 0
            fi
            echo -n "Starting named:"
            daemon --pidfile "$pidFile" /data/bind9/sbin/named -u named -c "$confFile"
            RETVAL=$?
            echo
  
            if [ $RETVAL -eq 0 ]; then
                    touch $lockFile
                    return $RETVAL
            else
                    rm -f $lockFile $pidFile
                    return 1
            fi
    }
  
    stop() {
            if [ ! -e $lockFile ]; then
                    echo "named is stopped."
            fi
            echo -n "Stopping named:"
            killproc named
            RETVAL=$?
            echo
  
            if [ $RETVAL -eq 0 ];then
                    rm -f $lockFile $pidFile
                    return 0
            else
                    echo "Cannot stop named."
                    failure
                    return 1
            fi
    }
  
    restart() {
            stop
            sleep 2
            start
    }
  
    reload() {
            echo -n "Reloading named: "
            killproc named -HUP
            RETVAL=$?
            echo
            return $RETVAL
    }
  
    status() {
            if pidof named &> /dev/null; then
                    echo -n "named is running..."
                    success
                    echo
            else
                    echo -n "named is stopped..."
                    success
                    echo
            fi
    }
  
    usage() {
            echo "Usage: named {start|stop|restart|status|reload}"
    }
    case $1 in
    start)
            start ;;
    stop)
            stop ;;
    restart)
            restart ;;
    status)
            status ;;
    reload)
            reload ;;
    *)
            usage
            exit 4 ;;
    esac
  
[root@DNS-Master ~]# chmod 755 /etc/rc.d/init.d/named
[root@DNS-Master ~]# chkconfig named on
[root@DNS-Master ~]# chkconfig --list named
  
下面开始配置正向解析配置:
[root@DNS-Master ~]# vim /var/named/wangshibo.cn_zone     //这个文件是在上面named.conf里面定义的
$TTL 1D                                            //定义宏,通用变量,单位为秒(S)、小时(H),天数(D)
@       IN SOA  ns1.wangshibo.cn. root. (               //此处一般是写NS域名,邮件域名,或root.
                        2017071111           //序列号。这个参数很重要,要特别注意!!当主DNS修改解析文件时,必须要修改这个序列号,然后重启named服务后,从DNS才能正常同步过去!!
                         2H                           //刷新时间
                         10M                           //失败重试时间
                         7D                           //过期时间
                         1D )                          //否定答案时间
@                           IN      NS      ns1.wangshibo.cn.          
@                           IN      NS      ns2.wangshibo.cn.              //注意域名后面的.不能忘掉!    
ns1                         IN      A       192.168.1.27          
ns2                         IN      A       192.168.1.28            
www                         IN      A       192.168.4.21              //由于已经定义了根域名是wangshibo.cn,所以这里可以直接写域名前面的名称,也可以全部写出来。比如www或者写成www.wangshibo.cn.
nginx-web01                 IN      A       192.168.4.21              //如果写域名前的名称,就不需要带.符号,但如果是写域名全称,则需要带.符号,如nginx-web01.wangshibo.cn.
nginx-web02                 IN      A       192.168.4.22
athena-web02                IN      A       192.168.33.31
www-web01                   IN      A       192.168.34.29
www-web02                   IN      A       192.168.34.30
zabbix                      IN      A       192.168.1.21
zrx-web01                   IN      A       192.168.34.33
zrx-web02                   IN      A       192.168.34.32
athena-matrix02             IN      A       192.168.33.36
lx-db126                    IN      A       192.168.8.126
lx-db127                    IN      A       192.168.8.127
  
  
反向解析的配置(这里只列举一个):
[root@DNS-Master ~]# cat 192.168.1.zone
$TTL 600
@       IN SOA  ns1.wangshibo.cn. root. (
                        2017071101
                         2H          
                         10M          
                         7D          
                         1D )
@               IN      NS      ns1.wangshibo.cn.
@               IN      NS      ns2.wangshibo.cn.
27              IN      PTR     ns1.wangshibo.cn.
28              IN      PTR     ns2.wangshibo.cn.
21              IN      PTR     www.wangshibo.cn.
21              IN      PTR     zp.wangshibo.cn.
29              IN      PTR    puppet01.wangshibo.cn.
30              IN      PTR    puppet02.wangshibo.cn.
-------------------------------------------------------------------------------------------------------
温馨提示1:
对于主DNS的正反向解析文件中的序列号,每当做一次修改后,必须要同时修改这个序列号,这样才能触发主从同步机制!然后重启named服务,从DNS服务器那边才能同步过去,否则不能完成主从同步!
-------------------------------------------------------------------------------------------------------
  
然后修改一下权限和属主属组:
[root@DNS-Master ~]# chown root:named /var/named/wangshibo.cn_zone
[root@DNS-Master ~]# chmod 640 /var/named/wangshibo.cn_zone
  
检查主配置文件和区域数据文件有没有语法错误:
[root@DNS-Master ~]# named-checkconf     //这个是检查主配置文件语法的
[root@DNS-Master ~]#
  
这个是检查区域数据文件语法的、指定区域和指定文件
[root@DNS-Master ~]# named-checkzone "wangshibo.cn" /var/named/wangshibo.cn_zone
zone wangshibo.cn/IN: loaded serial 2017071111
OK
  
启动服务后、解析域名
[root@DNS-Master ~]# /etc/init.d/named start
[root@DNS-Master ~]# /etc/init.d/named status
[root@DNS-Master ~]# /etc/init.d/named restart
  
然后修改自己的DNS,进行正反向解析
[root@DNS-Master ~]# cat /etc/resolv.conf
domain wangshibo.cn      //域名和查询都要写成内网DNS的主域名
search wangshibo.cn
nameserver 192.168.1.27
  
[root@DNS-Master ~]# ping zrx-web02
PING zrx-web02.wangshibo.cn (192.168.34.32) 56(84) bytes of data.
64 bytes from 192.168.34.32: icmp_seq=1 ttl=62 time=1.11 ms
64 bytes from 192.168.34.32: icmp_seq=2 ttl=62 time=0.542 ms
  
  
[root@BJLX_16_27_V named]# dig -t A www.wangshibo.cn @192.168.1.27
  
; <<>> DiG 9.10.5-P3 <<>> -t A www.wangshibo.cn @192.168.1.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32976
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
  
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.wangshibo.cn.           IN  A
  
;; ANSWER SECTION:
www.wangshibo.cn.        86400   IN  A   192.168.4.21
  
;; AUTHORITY SECTION:
wangshibo.cn.        86400   IN  NS  ns2.wangshibo.cn.
wangshibo.cn.        86400   IN  NS  ns1.wangshibo.cn.
  
;; ADDITIONAL SECTION:
ns1.wangshibo.cn.        86400   IN  A   192.168.1.27
ns2.wangshibo.cn.        86400   IN  A   192.168.1.28
  
;; Query time: 0 msec
;; SERVER: 192.168.1.27#53(192.168.1.27)
;; WHEN: Thu Jul 20 10:45:15 CST 2017
;; MSG SIZE  rcvd: 124
  
  
[root@BJLX_16_27_V named]# nslookup
> set q=A
> www
Server:     192.168.1.27
Address:    192.168.1.27#53
  
Name:   www.wangshibo.cn
Address: 192.168.4.21
> zabbix
Server:     192.168.1.27
Address:    192.168.1.27#53
  
Name:   zabbix.wangshibo.cn
Address: 192.168.1.21
> lx-db126
Server:     192.168.1.27
Address:    192.168.1.27#53
  
Name:   lx-db126.wangshibo.cn
Address: 192.168.8.126
> 192.168.1.27
Server:     192.168.1.27
Address:    192.168.1.27#53
  
27.16.192.168.in-addr.arpa   name = ns1.wangshibo.cn.
> 192.168.1.21
Server:     192.168.1.27
Address:    192.168.1.27#53
  
21.16.192.168.in-addr.arpa   name = www.wangshibo.cn.
21.16.192.168.in-addr.arpa   name = zp.wangshibo.cn.
>
  
  
最后,客户机就可以修改自己的/etc/resolv.conf文件,然后使用这个内网DNS了
[root@Nginx-web1 ~]# cat /etc/resolv.conf
domain wangshibo.cn      //域名和查询都要写成内网DNS的主域名
search wangshibo.cn
nameserver 192.168.1.27
  
[root@Nginx-web1 ~]# ping zabbix
PING zabbix.wangshibo.cn (192.168.1.21) 56(84) bytes of data.
64 bytes from www.wangshibo.cn (192.168.1.21): icmp_seq=1 ttl=64 time=0.282 ms
64 bytes from www.wangshibo.cn (192.168.1.21): icmp_seq=2 ttl=64 time=0.223 ms
64 bytes from www.wangshibo.cn (192.168.1.21): icmp_seq=3 ttl=64 time=0.177 ms

named服务启动可能会出现下面两个错误

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
1)报错:
open: /etc/named/rndc.key: file not found
 
解决办法:
[root@DNS-Master ~]# rndc-confgen -r /dev/urandom -a
wrote key file "/etc/named/rndc.key"
[root@DNS-Master ~]# chown named.named /etc/named/rndc.key
 
2)报错
isc_stdio_open 'data/named.run' failed: file not found
 
解决办法:
[root@DNS-Master ~]# cd /var/named/
[root@DNS-Master named]# mkdir data
[root@DNS-Master named]# chown -R named.named data

二、从DNS服务器的操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
[root@DNS-Slave ~]# hwclock -s
[root@DNS-Slave ~]# yum -y groupinstall "Development Tools"
[root@DNS-Slave ~]# yum -y groupinstall "Server Platform Development"
[root@DNS-Slave ~]# yum grouplist
[root@DNS-Slave ~]# tar -zvxf bind-9.10.5-P3.tar.gz
[root@DNS-Slave ~]# cd bind-9.10.5-P3
[root@DNS-Slave bind-9.10.5-P3]# ./configure --prefix=/data/bind9 --sysconfdir=/etc/named --enable-threads --enable-epoll --disable-chroot
[root@DNS-Slave bind-9.10.5-P3]# make && make install
  
[root@DNS-Slave ~]# groupadd -g 53 -r named
[root@DNS-Slave ~]# useradd -g named -r named
  
[root@DNS-Slave ~]# mkdir /var/named
[root@DNS-Slave ~]# dig -t NS . @8.8.8.8 > /var/named/named.ca
[root@DNS-Slave ~]# vim /etc/named/named.conf
options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        forward first;
        forwarders {
            8.8.8.8;
            8.8.4.4;
          };
        };
  
logging {                           
        channel default_debug {
        file "data/named.run";
        severity dynamic;
        };
};
  
zone "." IN {
        type hint;      
        file "named.ca";
        };
  
zone "wangshibo.cn" IN {                    
        type slave;                          
        file "wangshibo.cn_zone";           
        masters {172.168.1.27;};       
};
zone "16.29.172.in-addr.arpa" IN {      
        type slave;
        file "172.168.1.zone";            
        masters {172.168.1.27;};
};
  
  
将主DNS的/etc/init.d/named启动脚本拷贝到从DNS服务器上。
[root@DNS-Slave ~]# cat /etc/init.d/named
#!/bin/bash
    #
    # description: named daemon
    # chkconfig: - 25 88  
  
    pidFile=/data/bind9/var/run/named.pid
    lockFile=/var/lock/subsys/named
    confFile=/etc/named/named.conf
  
        [ -r /etc/rc.d/init.d/functions ] && . /etc/rc.d/init.d/functions
    start() {
            if [ -e $lockFile ]; then
                    echo "named is already running..."
                    exit 0
            fi
            echo -n "Starting named:"
            daemon --pidfile "$pidFile" /data/bind9/sbin/named -u named -c "$confFile"
            RETVAL=$?
            echo
  
            if [ $RETVAL -eq 0 ]; then
                    touch $lockFile
                    return $RETVAL
            else
                    rm -f $lockFile $pidFile
                    return 1
            fi
    }
  
    stop() {
            if [ ! -e $lockFile ]; then
                    echo "named is stopped."
            fi
            echo -n "Stopping named:"
            killproc named
            RETVAL=$?
            echo
  
            if [ $RETVAL -eq 0 ];then
                    rm -f $lockFile $pidFile
                    return 0
            else
                    echo "Cannot stop named."
                    failure
                    return 1
            fi
    }
  
    restart() {
            stop
            sleep 2
            start
    }
  
    reload() {
            echo -n "Reloading named: "
            killproc named -HUP
            RETVAL=$?
            echo
            return $RETVAL
    }
  
    status() {
            if pidof named &> /dev/null; then
                    echo -n "named is running..."
                    success
                    echo
            else
                    echo -n "named is stopped..."
                    success
                    echo
            fi
    }
  
    usage() {
            echo "Usage: named {start|stop|restart|status|reload}"
    }
    case $1 in
    start)
            start ;;
    stop)
            stop ;;
    restart)
            restart ;;
    status)
            status ;;
    reload)
            reload ;;
    *)
            usage
            exit 4 ;;
    esac
  
启动named服务
[root@DNS-Slave ~]# /etc/init.d/named start/status/restart
  
启动后,就会发现在从DNS的/var/named目录下自动产生了wangshibo.cn_zone和192.168.1.zone的正反向解析文件
注意:当主DNS修改解析配置时,只需要将解析配置文件中的序列号改动下,就会自动触发主从同步机制!
  
[root@DNS-Slave ~]# ls
192.168.1.zone  wangshibo.cn_zone  data  db-9TWfGmpO  db-kHbKJg9L  named.ca
  
然后修改从的自己的DNS
[root@DNS-Slave ~]# cat /etc/resolv.conf
search wangshibo.cn
nameserver 192.168.1.28
  
然后测试正反向解析:
[root@DNS-Slave ~]# ping athena-web02
PING athena-web02.wangshibo.cn (192.168.33.31) 56(84) bytes of data.
64 bytes from 192.168.33.31: icmp_seq=1 ttl=62 time=0.712 ms
64 bytes from 192.168.33.31: icmp_seq=2 ttl=62 time=0.442 ms
  
[root@DNS-Slave ~]# nslookup
> lx-db127
Server:     192.168.1.28
Address:    192.168.1.28#53
  
Name:   lx-db127.wangshibo.cn
Address: 172.29.8.127
> 192.168.1.28
Server:     192.168.1.28
Address:    192.168.1.28#53
  
28.16.29.172.in-addr.arpa   name = ns2.wangshibo.cn.
  
这样,客户机可以将自己的DNS修改为上面配置的内网主从DNS地址
[root@test ~]# cat /etc/resolv.conf
#domain wangshibo.cn
search wangshibo.cn
nameserver 172.168.1.27
nameserver 172.168.1.28

也可以同时在两台主机上部署一样的配置(不需要如上配置主从同步),然后通过脚本进行正反向解析配置的同步!
=====如下是曾经管理过的一个内网DNS配置(两台DNS)实例=====

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
两台DNS服务器的信息如下
dns01.kevin.cn    10.0.11.21
dns02.kevin.cn    10.0.11.22
 
 
一、第一台DNS服务器(10.0.11.21)==========================================
[root@dns01 ~]# hostname
dns01.kevin.cn
[root@dns01 ~]# cd /etc/named/
[root@dns01 named]# ls
bind.keys  named.conf  rndc.conf  rndc.key
[root@dns01 named]# cat named.conf
options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        forward first;
        forwarders {
            223.5.5.5;
            223.6.6.6;
            8.8.8.8;
            8.8.4.4;
          };
        };
 
logging {                            
        channel default_debug {
        file "data/named.run";
        severity dynamic;
        };
};
 
zone "." {
        type hint;       
        file "named.ca"
        };
 
zone "kevin.cn" {                     
        type master;                           
        file "kevin.cn_zone";            
};
zone "11.0.10.in-addr.arpa" {       
        type master;
        file "10.0.11.zone";             
};
zone "52.0.10.in-addr.arpa" {
        type master;
        file "10.0.52.zone";
};
zone "40.0.10.in-addr.arpa" {
        type master;
        file "10.0.40.zone";
};
 
 
[root@dns01 named]# cd /var/named/
[root@dns01 named]# ls
10.0.11.zone 10.0.40.zone  named.ca  10.0.52.zone  data kevin.cn_zone
[root@dns01 named]# cat kevin.cn_zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.           
ns1                         IN      A       10.0.11.21   
ns2                         IN      A       10.0.11.22
dns01                       IN      A       10.0.11.21
dns02                       IN      A       10.0.11.22
inner-lb01                  IN      A       10.0.11.23
inner-lb02                  IN      A       10.0.11.24
bl-db01                     IN      A       10.0.40.80
bl-db02                     IN      A       10.0.40.81
bl-db82                     IN      A       10.0.40.82
nc-ftp01                    IN      A       10.0.52.23
nc-ftp02                    IN      A       10.0.52.24
nc-ftp                      IN      A       10.0.52.25
nc-db20                     IN      A       10.0.40.20
nc-db121                    IN      A       10.0.40.121
nc-db122                    IN      A       10.0.40.122
lvs01                       IN      A       10.0.52.200
lvs02                       IN      A       10.0.52.201
........
........
 
 
[root@dns01 named]# cat 10.0.40.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
80    IN  PTR   bl-db01.kevin.cn.
81    IN  PTR   bl-db02.kevin.cn.
82    IN  PTR   bl-db82.kevin.cn.
20    IN  PTR   nc-db20.kevin.cn.
121   IN  PTR   nc-db121.kevin.cn.
122   IN  PTR   nc-db122.kevin.cn.
 
[root@dns01 named]# cat 10.0.11.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
21    IN  PTR   ns1.kevin.cn.
22    IN  PTR   ns2.kevin.cn.
21    IN  PTR   dns01.kevin.cn.
22    IN  PTR   dns02.kevin.cn.
23    IN  PTR   inner-lb01.kevin.cn.
24    IN  PTR   inner-lb02.kevin.cn.
 
[root@dns01 named]# cat 10.0.52.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
21    IN  PTR   nc-app01.kevin.cn.
22    IN  PTR   nc-app02.kevin.cn.
23    IN  PTR   nc-ftp01.kevin.cn.
24    IN  PTR   nc-ftp02.kevin.cn.
25    IN  PTR   nc-ftp.kevin.cn.
200   IN  PTR   lvs01.kevin.cn.
201   IN  PTR   lvs02.kevin.cn.
 
---------------------------------------------------------------------------------------------
在10.0.11.21服务器上编写脚本,实现:
1)正向解析的A记录添加后,自动生成反向解析的PTR记录
2)10.0.11.21服务器上的DNS正反向解析配置同步到10.0.11.22服务器的DNS配置中
3)做10.0.11.21到10.0.11.22的ssh无密码信任关系
 
[root@dns01 ~]# cd /data/dns_rsync/
[root@dns01 dns_rsync]# ls
build_ptr.sh  dns_rsync.sh  ptr.zone
[root@dns01 dns_rsync]# cat ptr.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
 
[root@dns01 dns_rsync]# cat dns_rsync.sh
#!/bin/bash
rsync -e "ssh -p6666" -avpgolr /var/named/kevin.cn_zone root@10.0.11.22:/var/named
rsync -e "ssh -p6666" -avpgolr /var/named/10.0.* root@10.0.11.22:/var/named
rsync -e "ssh -p6666" -avpgolr /etc/named/named.conf root@10.0.11.22:/etc/named/
 
/usr/bin/ssh -p6666 root@10.0.11.22 "/etc/init.d/named restart"
[root@dns01 dns_rsync]# cat build_ptr.sh
#!/bin/bash
 
cd /var/named
 
for ipp in 11 40 52;
do
echo $ippp
cat /data/dns_rsync/ptr.zone > 10.0.$ipp.zone
cat /var/named/kevin.cn_zone |grep "10.0.$ipp"|awk '{print $4,"\t\tIN","\tPTR","\t"$1".kevin.cn."}'|sed "s#10.0.$ipp.##" >> 10.0.$ipp.zone
done
 
/etc/init.d/named restart
 
/bin/bash -x /data/dns_rsync/dns_rsync.sh
 
 
当10.0.11.21服务器上的DNS正向解析配置后,执行"sh -x /data/dns_rsync/build_ptr.sh"命令后,就会自动生成DNS反向解析配置,并自动同步到10.0.11.22机器上。
---------------------------------------------------------------------------------------------
 
---------------------------------------------------------------------------------------------
另外,对于新增的服务器,管理方式如下:
1)在10.0.11.21的DNS正向解析里添加域名配置,作为其主机域名。
2) 在10.0.11.21服务器上通过expect方式跟新服务器做批量信任。expect的部署参考:http://www.cnblogs.com/kevingrace/p/5900303.html
3)在10.0.11.21服务器上通过脚本批量配置新服务器的DNS和主机名。将新服务的DNS地址设置为10.0.11.21和10.0.11.22后,主机域名就可以直接解析了。
4)信任服务器的密码默认为123456
 
[root@dns01 mnt]# ls
hostname.sh  ip.list  noscp.exp  set_dns.sh  sshkey.exp  sshkey.sh
 
[root@dns01 mnt]# cat sshkey.sh
#!/bin/bash
for ip in `cat /mnt/ip.list`
do
/mnt/sshkey.exp $ip root 123456 |grep ssh-rsa >> ~/.ssh/authorized_keys
/mnt/noscp.exp ~/.ssh/authorized_keys $ip:~/.ssh root 123456
done
 
[root@dns01 mnt]# cat sshkey.exp
#!/usr/bin/expect
  
#sshkey.exp
  
if {$argc<3} {
puts stderr "Usage: $argv0 host user passwd "
exit 1
}
  
set host [ lindex $argv 0 ]
set user [ lindex $argv 1 ]
set pwd [ lindex $argv 2 ]
  
set timeout 30
  
#spawn ssh ${user}@${host} "rm -rf ~/.ssh/id_rsa*"
#
#expect {
# "*yes/no" { send "yes\r"; exp_continue }
# "*password:" { send "$pwd\r"; exp_continue }
#}
  
spawn ssh ${user}@${host} "ssh-keygen -t rsa"
  
expect {
"*yes/no" { send "yes\r"; exp_continue }
"*password:" { send "$pwd\r"; exp_continue }
"Enter file in which to save the key*" { send "\n\r"; exp_continue }
"Overwrite*" { send "y\n"; exp_continue }
"Enter passphrase (empty for no passphrase):" { send "\n\r"; exp_continue }
"Enter same passphrase again:" { send "\n\r" }
}
  
spawn ssh ${user}@${host} "cat ~/.ssh/id_rsa.pub"
  
expect {
"*yes/no" { send "yes\r"; exp_continue }
"*password:" { send "$pwd\r" }
}
  
expect eof
 
 
[root@dns01 mnt]# cat ip.list
10.0.11.23
10.0.11.24
10.0.11.25
10.0.40.81
10.0.40.82
10.0.52.200
10.0.52.201
 
[root@dns01 mnt]# cat set_dns.sh
#!/bin/bash
for i in `cat /mnt/ip.list`
do
ssh ${i} '>/etc/resolv.conf && echo "domain kevin.cn" >> /etc/resolv.conf && echo "search kevin.cn" >> /etc/resolv.conf && echo "nameserver 10.0.11.21" >> /etc/resolv.conf && echo "nameserver 10.0.11.22" >> /etc/resolv.conf && chattr +ai /etc/resolv.conf'
done
 
[root@dns01 mnt]# cat hostname.sh
#!/bin/bash
for i in `cat /mnt/ip.list`
do
domain=$(cat /var/named/kevin.cn_zone|grep -w ${i}|awk '{print $1}').kevin.cn
ssh $i "hostname $domain"
ssh $i "/bin/sed -i "/HOSTNAME/d" /etc/sysconfig/network"
ssh $i "echo HOSTNAME=$domain >>/etc/sysconfig/network"
ssh $i "echo "$i   $domain" >> /etc/hosts"
done
 
------------------------------------------------------------------------------------
待通过上面脚本修改新服务器的主机名和DNS地址后,可以使用下面的命令修改密码和ssh配置
echo '4GF2a5mr!GkU$njS' |passwd --stdin root
sed -i 's/#Port 22/Port 6666/g' /etc/ssh/sshd_config
sed -i 's/#   Port 22/Port 6666/g' /etc/ssh/ssh_config
/etc/init.d/sshd restart
------------------------------------------------------------------------------------
 
 
一、第二台DNS服务器(10.0.11.22)==========================================
 
[root@dns02 named]# ls
bind.keys  named.conf  rndc.conf  rndc.key
[root@dns02 named]# cat named.conf
options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        forward first;
        forwarders {
            223.5.5.5;
            223.6.6.6;
            8.8.8.8;
            8.8.4.4;
          };
        };
 
logging {                            
        channel default_debug {
        file "data/named.run";
        severity dynamic;
        };
};
 
zone "." {
        type hint;       
        file "named.ca"
        };
 
zone "kevin.cn" {                     
        type master;                           
        file "kevin.cn_zone";            
};
zone "11.0.10.in-addr.arpa" {       
        type master;
        file "10.0.11.zone";             
};
zone "52.0.10.in-addr.arpa" {
        type master;
        file "10.0.52.zone";
};
zone "40.0.10.in-addr.arpa" {
        type master;
        file "10.0.40.zone";
};
 
[root@dns02 named]# cd /var/named/
[root@dns02 named]# ls
10.0.11.zone 10.0.40.zone  named.ca  10.0.52.zone  data kevin.cn_zone
[root@dns02 named]# cat kevin.cn_zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.           
ns1                         IN      A       10.0.11.21   
ns2                         IN      A       10.0.11.22
dns01                       IN      A       10.0.11.21
dns02                       IN      A       10.0.11.22
inner-lb01                  IN      A       10.0.11.23
inner-lb02                  IN      A       10.0.11.24
bl-db01                     IN      A       10.0.40.80
bl-db02                     IN      A       10.0.40.81
bl-db82                     IN      A       10.0.40.82
nc-ftp01                    IN      A       10.0.52.23
nc-ftp02                    IN      A       10.0.52.24
nc-ftp                      IN      A       10.0.52.25
nc-db20                     IN      A       10.0.40.20
nc-db121                    IN      A       10.0.40.121
nc-db122                    IN      A       10.0.40.122
lvs01                       IN      A       10.0.52.200
lvs02                       IN      A       10.0.52.201
........
........
 
 
[root@dns02 named]# cat 10.0.40.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
80    IN  PTR   bl-db01.kevin.cn.
81    IN  PTR   bl-db02.kevin.cn.
82    IN  PTR   bl-db82.kevin.cn.
20    IN  PTR   nc-db20.kevin.cn.
121   IN  PTR   nc-db121.kevin.cn.
122   IN  PTR   nc-db122.kevin.cn.
 
[root@dns02 named]# cat 10.0.11.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
21    IN  PTR   ns1.kevin.cn.
22    IN  PTR   ns2.kevin.cn.
21    IN  PTR   dns01.kevin.cn.
22    IN  PTR   dns02.kevin.cn.
23    IN  PTR   inner-lb01.kevin.cn.
24    IN  PTR   inner-lb02.kevin.cn.
 
[root@dns02 named]# cat 10.0.52.zone
$TTL 600
@       IN SOA  ns.kevin.cn. root. (
                        2017071114
                         2H           
                         10M           
                         7D           
                         1D )
@                           IN      NS      ns1.kevin.cn.           
@                           IN      NS      ns2.kevin.cn.
21    IN  PTR   nc-app01.kevin.cn.
22    IN  PTR   nc-app02.kevin.cn.
23    IN  PTR   nc-ftp01.kevin.cn.
24    IN  PTR   nc-ftp02.kevin.cn.
25    IN  PTR   nc-ftp.kevin.cn.
200   IN  PTR   lvs01.kevin.cn.
201   IN  PTR   lvs02.kevin.cn.

===========踩过的一个坑===============

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
在dns的正向解析配置文件里添加一个解析,如下:
[root@dns01 named]# vim kevin.cn_zone
......
uatfastdfs_tracker01          IN      A       10.0.52.86
uatfastdfs_storage01          IN      A       10.0.52.87
 
然后成功重启了named服务
[root@dns01 named]# /etc/init.d/named start
 
最后,发现上面记录添加之后,所有机器解析都除了问题,都不能正常解析kevin.cn的域名了!!!
 
最后排查日志发现(最好在重启named服务的时候观察日志)错误如下:
[root@dns01 named]# tail -f /var/log/messages
......
Mar  1 21:39:50 localhost named[11111]: zone 50.16.172.in-addr.arpa/IN: loading from master file 192.168.10.zone failed: bad name (check-names)
Mar  1 21:39:50 localhost named[11111]: zone 50.16.172.in-addr.arpa/IN: not loaded due to errors.
Mar  1 21:39:50 localhost named[11111]: veredholdings.cn_zone:87: uatfastdfs_storage01.veredholdings.cn: bad owner name (check-names)
Mar  1 21:39:50 localhost named[11111]: zone veredholdings.cn/IN: loading from master file veredholdings.cn_zone failed: bad owner name (check-names)
 
产生原因:
在添加正反向解决记录的时候,域名不能使用_等特殊字符,可以使用-,但是绝不能使用_,因为DNS服务不能识别特殊字符命名的域名。
 
解决办法:修改域名即可
[root@dns01 named]# vim kevin.cn_zone
......
uatfastdfs-tracker01          IN      A       10.0.52.86
uatfastdfs-storage01          IN      A       10.0.52.87
 
[root@dns01 named]# /etc/init.d/named start

=============DNS压力测试(queryperf)==================
bind有专门的工具可以将配置文件的数据放入到数据库中,对于bind来讲,最常见的压力测试软件是querypery。此工具是bind源码包自带的一个工具,但安装完bind之后很有可能官方的包并没有提供,这就需要我们自己去手动安装了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
# wget https://www.isc.org/downloads/file/bind-9-9-4-p1-tar-gz/?version=tar.gz
# cd bind-9.9.4-P1/contrib/queryperf/
# make
gcc  -DHAVE_CONFIG_H -c queryperf.c
gcc  -DHAVE_CONFIG_H  queryperf.o -lnsl -lresolv  -lm -o queryperf
#不用直接make install 将queryperf 拷贝至/bin/目录即可
# cp queryperf /bin/
 
使用queryperf
首先创建文件,指定需要测试的域名和记录类型:
[root@dns01 ~]# cat /root/test
www.test.com    A
a.test.com      A
b.test.com      A
c.test.com      A
d.test.com      A
aa.test.com     A
bb.test.com     A
cc.test.com     A
test.com        NS
192.168.7.9     PTR
192.168.7.19    PTR
192.168.7.29    PTR
192.168.7.39    PTR
 
使用-d指定数据文件,做压力测试的时候,要对其解析哪些记录为基准型测试,-s 指定需要压测的服务器IP
[root@dns01 ~]# /data/bind9/bin/queryperf -d /root/test -s 192.29.16.127
 
DNS Query Performance Testing Tool
Version: $Id: queryperf.c,v 1.12 2007/09/05 07:36:04 marka Exp $
 
[Status] Processing input data                                 #正在读取数据
[Status] Sending queries (beginning with 192.29.16.127)        #发送查询请求
[Status] Testing complete
 
Statistics:
 
  Parse input file:     once
  Ended due to:         reaching end of file
 
  Queries sent:         3 queries                             #共发起了多少请求
  Queries completed:    3 queries                             #完成了多少请求
  Queries lost:         0 queries                             #丢失多少请求
  Queries delayed(?):   0 queries
 
  RTT max:              0.054551 sec                          #将请求发出去响应回过来最大的一次耗时多少
  RTT min:              0.000263 sec                          #最短一次
  RTT average:          0.018360 sec                          #平均多久
  RTT std deviation:    0.025597 sec
  RTT out of range:     0 queries
 
  Percentage completed: 100.00%                               #完成的比例
  Percentage lost:        0.00%                               #丢失的比例
 
  Started at:           Tue Jul 25 11:59:15 2017
  Finished at:          Tue Jul 25 11:59:15 2017
  Ran for:              0.054570 seconds
 
  Queries per second:   54.975261 qps                        #每秒钟平均能完成多少个请求
 
上面测试的数量太少,可以将/root/test文件的信息填满:
[root@dns01 ~]# cat /root/test
www.test.com    A
a.test.com      A
b.test.com      A
c.test.com      A
d.test.com      A
aa.test.com     A
bb.test.com     A
cc.test.com     A
mail.test.com   A
wang.test.com   A    #这个域名不存在
.....
test.com        NS
192.168.7.9     PTR
192.168.7.19    PTR
192.168.7.29    PTR
192.168.7.39    PTR
192.168.7.3     PTR
192.168.7.13    PTR
192.168.7.23    PTR
192.168.7.33    PTR
......
 
[root@dns01 ~]# wc -l /root/test
9877764 /root/test
 
[root@dns01 ~]# du -sh /root/test
104M    /root/test
 
再次进行压力测试
[root@dns01 ~]# /data/bind9/bin/queryperf -d /root/test -s 192.29.16.127
 
DNS Query Performance Testing Tool
Version: $Id: queryperf.c,v 1.12 2007/09/05 07:36:04 marka Exp $
 
[Status] Processing input data
[Status] Sending queries (beginning with 192.29.16.127)
[Status] Testing complete
 
Statistics:
 
  Parse input file:     once
  Ended due to:         reaching end of file
 
[Timeout]Query timed out: msg id 62
[Timeout]Query timed out: msg id 64
[Timeout]Query timed out: msg id 71
[Timeout]Query timed out: msg id 73
[Timeout]Query timed out: msg id 80
[Timeout]Query timed out: msg id 82
[Timeout]Query timed out: msg id 89
[Timeout]Query timed out: msg id 91
[Timeout]Query timed out: msg id 98
[Timeout]Query timed out: msg id 100
[Status]Testing complete
 
Statistics:
 
 Parse input file:     once
 Ended due to:         reaching end of file
 
 Queries sent:         2364 queries
 Queries completed:    2364 queries
 Queries lost:         0 queries
 Queries delayed(?):   0 queries
 
 RTT max:              0.347522sec
 RTT min:              0.000083 sec
 RTT average:          0.002009 sec
 RTT std deviation:    0.022389 sec
 RTT out of range:     0 queries
 
 Percentage completed: 100.00%
 Percentage lost:        0.00%
 
 Started at:           Wed Dec 18 20:40:35 2013
 Finished at:          Wed Dec 18 20:40:40 2013
 Ran for:              5.024620 seconds
 
 Queries per second:   470.483340 qps
 
#可以看到以下有很多包处于丢失状态
[Status]Processing input data
[Status]Sending queries (beginning with 10.0.10.60)
[Timeout]Query timed out: msg id 62
[Timeout]Query timed out: msg id 64
[Timeout]Query timed out: msg id 71
[Timeout]Query timed out: msg id 73
[Timeout]Query timed out: msg id 80
#----------略------------------
[Status]Testing complete
 
但是在本地测试不用考虑服务器端的带宽,查看本地服务器负载情况:
[root@dns01 ~]# uptime
20:51:07 up 2:27,  2 users,  load average: 2.20, 0.00, 0.00
 
发现利用率也不高,使用vmstat查看实时负载情况,可以看到,阻塞队列正常,bi 和 bo量偶尔会有所以中断和上下文切换量也很小,所以这些都不是问题,可是响应速度依然非常的慢
[root@dns01 ~]# vmstat 1
procs-----------memory---------- ---swap-- -----io---- --system-- -----cpu-----
r b   swpd   free  buff  cache   si  so    bi    bo  in   cs us sy id wa st
0 0      0  68720 53988 214796    0    0   26    15   25  23  0  0 96 3  0   
0 0      0  68712 53988 214800    0    0    0     0   18  20  0  0 100 0  0 
0 0      0  68712 53988 214800    0    0    0     0   19  13  0  0 100 0  0 
0 0      0  68712 53988 214800    0    0    0     0   15  14  0  1 99 0  0   
 
技术压力测试,切换到其它服务器对其进行压力测试
[root@nginx-web1 ~]# /data/bind9/bin/queryperf -d /root/test -s 192.29.16.127
依旧如此有一堆的timeout
Warning:RTT is out of range: 29.990839 [query=192.29.16.127/12, rcode=2]
Warning:RTT is out of range: 24.962086 [query=192.29.16.127/12, rcode=2]
Warning:RTT is out of range: 24.962383 [query=192.29.16.127/12, rcode=2]
[Timeout]Query timed out: msg id 223
[Timeout]Query timed out: msg id 224
[Timeout]Query timed out: msg id 212
[Timeout]Query timed out: msg id 193
 
接下来在被测试的服务器上使用rndcstatus查看named服务器的运行状况
[root@dns01 ~]# rndc status
version:9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6
CPUsfound: 1
workerthreads: 1
numberof zones: 21
debuglevel: 0
xfersrunning: 0
xfersdeferred: 0
soaqueries in progress: 0
querylogging is OFF                  #query log是关闭的
recursiveclients: 20/0/1000         #收到20个递归请求 tcp clien没有
tcpclients: 0/100
serveris up and running
 
怀疑是否是反向解析的问题,将/root/test包含反向解析的行全部使用sed删除
[root@dns01 ~]# sed -i '/^10/d' /root/test
[root@dns01 ~]# /data/bind9/bin/queryperf -d /root/test -s 192.29.16.127
 
DNSQuery Performance Testing Tool
Version:$Id: queryperf.c,v 1.12 2007/09/05 07:36:04 marka Exp $
 
[Status]Processing input data
[Status]Sending queries (beginning with 192.29.16.127)
[Timeout]Query timed out: msg id 1
[Timeout]Query timed out: msg id 2
[Timeout]Query timed out: msg id 3
[Timeout]Query timed out: msg id 4
[Timeout]Query timed out: msg id 5
[Timeout]Query timed out: msg id 6
[Timeout]Query timed out: msg id 7
[Timeout]Query timed out: msg id 8
[Timeout]Query timed out: msg id 9
 
Statistics:
 
 Parse input file:     once
 Ended due to:         reaching end of file
 
 Queries sent:         4548 queries
 Queries completed:    4548 queries
 Queries lost:         0 queries
 Queries delayed(?):   0queries
 
 RTT max:             0.004176sec
 RTT min:              0.000126 sec
 RTT average:          0.001663 sec
 RTT std deviation:    0.000515 sec
 RTT out of range:     0 queries
 
 Percentage completed: 100.00%
 Percentage lost:        0.00%
 
 Started at:           Wed Dec 18 20:59:48 2013
 Finished at:          Wed Dec 18 20:59:48 2013
 Ran for:              0.405095 seconds
 
 Queries per second:   11226.996137 qps           #总共每秒可以承受11226个查询请求
 
进一步压力测试:
可以看到,此服务器负载比刚才高出了一些
[root@dns01 ~]# wc -l /root/test
13633842/root/test
[root@dns01 ~]# /data/bind9/bin/queryperf -d /root/test -s 192.29.16.127
[root@test2~]# vmstat  1
procs-----------memory---------- ---swap-- -----io---- --system-- -----cpu-----
r b   swpd   free  buff  cache   si  so    bi    bo  in   cs us sy id wa st
1 0      0 314332  12800 60260    0    0    2     0 7686   59 25 95 0  0  0   
1 0      0 314332  12800 60260    0    0    0     0 7731   36 30 89 1  0  0   
1 0      0 314332  12800 60260    0    0    0     0 7494   40 36 84 0  0  0
得出结果:
DNSQuery Performance Testing Tool
Version:$Id: queryperf.c,v 1.12 2007/09/05 07:36:04 marka Exp $
 
[Status]Processing input data
[Status]Sending queries (beginning with 192.29.16.127)
[Status]Testing complete
 
Statistics:
 
 Parse input file:     once
 Ended due to:         reaching end of file
 
 Queries sent:         3774840 queries
 Queries completed:    3774840 queries
 Queries lost:         0 queries
 Queries delayed(?):   0 queries
 
 RTT max:             0.041022sec
 RTT min:              0.000037 sec
 RTT average:          0.001813 sec
 RTT std deviation:    0.000452 sec
 RTT out of range:     0 queries
 
 Percentage completed: 100.00%
 Percentage lost:        0.00%
 
 Started at:           Wed Dec 18 21:04:24 2013
 Finished at:          Wed Dec 18 21:10:16 2013
 Ran for:              351.908312 seconds
 
 Queries per second:   8726.771353 qps
可以将查询日志打开,再次进行压力测试,这里就不做演示了,打开后可以通过iostat 来查看负载情况,每秒读写的数据量多少,很有可能在某个磁盘上不停的写入数据,所以正是因为io子系统比较慢

=================dnstop工具=================
除了queryperf之外,还可以使用dnstop工具监视bind服务性能状态。使用dnstop可以用来实现观测dns响应请求查询时候的性能,用来监控DNS流量情况。
在维护DNS服务器时,用户往往希望知道到底是哪些用户在使用DNS服务器,同时也希望能对DNS状态查询做一个统计,以及时地知道DNS的工作情况和状态。
在传统的方式下,用户通常使用的是tcpdump等开源工具来进行抓包并通过查看53端口的流量来查看DNS数据包。由于tcpdump并没有针对DNS流量进行特殊定制,
因此使用起来可能不是非常方便。因此,用户可以使用专用于DNS的dnstop工具查询DNS服务器状态。

dnstop是一种非常优秀的开源软件,用户可以到网站http://dns.measurement-factory.com/tools/dnstop/src/上进行下载使用。
由于该软件依赖tcpdump和pcap抓包库(libpcap)对网络上传输的数据包进行截获和过滤,所以用户需要确保系统安装相应软件后才能正常安装和使用dnstop。
通常情况下,这两种必须的库都已经在系统中预装好了,使用下面的命令安装dnstop即可:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
安装dnstop
[root@dns01 ~]# wget http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
[root@dns01 ~]# tar -zvxf dnstop-20140915.tar.gz
[root@dns01 ~]# cd dnstop-20140915
[root@dns01 dnstop-20140915]# ./configure
[root@dns01 dnstop-20140915]# make &&  makeinstall
 
安装成功后,可以查看通过相应的网络接口来监控DNS网络流量。如下所示,开始抓包分析,对eth0接口的请求进行分析:
[root@dns01 ~]# dnstop -4 -Q eth0            #回车出现下面信息。
Queries: 0 new, 1 total                                                        Tue Jul 25 13:21:47 2017
 
Sources          Count      %   cum%
 
然后在另一个终端上使用queryperf进行压力测试,观察下面情况
[root@dns01 ~]# /data/bind9/bin/queryperf -s 192.29.16.127 -d /root/test
 
或者对其做dig查询
[root@dns01 ~]# dig -t A www.test.com @192.29.16.127
 
; <<>> DiG 9.10.5-P3 <<>> -t A www.test.com @192.29.16.127
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18840
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.test.com.          IN  A
 
;; ANSWER SECTION:
www.test.com.       600 IN  A   23.22.28.187
 
;; Query time: 54 msec
;; SERVER: 192.29.16.127#53(192.29.16.127)
;; WHEN: Tue Jul 25 13:24:42 CST 2017
;; MSG SIZE  rcvd: 57
 
再次查看dnstop监测状态:
[root@dns01 ~]# dnstop -4 -Q eth0
 
Queries: 0 new, 16 total                                                       Tue Jul 25 13:25:43 2017
 
Sources          Count      %   cum%
------------ --------- ------ ------
192.29.34.27        10   62.5   62.5
192.29.16.27         5   31.2   93.8
192.29.16.21         1    6.2  100.0
 
在运行dnstop的过程中,可以键入<S>、<D>、<T>、<1>、<2>、<Ctr+R>、<Ctr+X>等方式以交互方式来显示不同的信息:
S:记录发送DNS查询的客户端IP地址列表
D:记录DNS查询的目的服务器的IP地址表
T:记录查询详细类型
1:记录查询的顶级域名
2:记录查询的二级域名
Ctr+R:重新纪录
Ctr+X:退出
 
总结:
1)抓包时可以在NS服务器上对测试机进行压力测试观测效果);
2)建议做压力测试的时候对目标主机做分布式压力测试,效果更佳;
posted @   散尽浮华  阅读(7897)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示