协议 - DNS

1 DNS

DNS是域名系统(Domain Name System)的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，一个IP地址可以同时对应多个域名，但IP地址不一定有域名。

域名解析就是域名到IP地址的转换过程。域名解析工作由DNS服务器完成。

C/S架构，同时使用TCP、UDP的53号端口，每一级的域名长度限制为63个字符，总长度不超过253个字符。

为什么既使用TCP又使用UDP？
首先了解一下TCP与UDP传送字节的长度限制：
UDP报文的最大长度为512字节，而TCP则允许报文长度超过512字节。当DNS查询超过512字节时，协议的TC标志出现删除标志，这时则使用TCP发送。通常传统的UDP报文一般不会大于512字节。

区域传送时使用TCP，主要有一下两点考虑：
1.辅域名服务器会定时（一般时3小时）向主域名服务器进行查询以便了解数据是否有变动。如有变动，则会执行一次区域传送，进行数据同步。区域传送将使用TCP而不是UDP，因为数据同步传送的数据量比一个请求和应答的数据量要多得多。
2.TCP是一种可靠的连接，保证了数据的准确性。

域名解析时使用UDP协议：
客户端向DNS服务器查询域名，一般返回的内容都不超过512字节，用UDP传输即可。不用经过TCP三次握手，这样DNS服务器负载更低，响应更快。虽然从理论上说，客户端也可以指定向DNS服务器查询的时候使用TCP，但事实上，很多DNS服务器进行配置的时候，仅支持UDP查询包。

1.1 DNS发展史

本地配置文件：hosts

早期利用hosts文件将主机名与 IP 对应，通过主机名来解析主机的 IP 。

缺点就是主机名与 IP 的对应无法自动于所有的计算机内更新，且要将主机名加入该档案仅能向 INTERNIC 注册，若 IP 数量太多时，该档案会大到不象话，也就更不利于其他主机同步化了。

如下图所示，客户端计算机每次都得要重新下载一次档案才能顺利联网！

图 19.1-1、早期透过单一档案进行网络联机的示意图

基本上该档案内容就是『IP 主机名主机别名一主机别名二...』。在里面最重要的就是 localhost 对应到 127.0.0.1 这个咚咚！你千万不能删除该笔记录的。这里也再次强调，在你的私有网域内部，最好将所有的私有 IP 与主机名对应都写入这个档案中啦！

DNS 系统 ---Berkeley Internet Name Domain, BIND

DNS 是一种因特网的通讯协议名称，至于 Bind 则是提供这个 DNS 服务的软件

DNS 利用类似树状目录的架构，将主机名的管理分配在不同层级的 DNS 服务器当中，经由分层管理，所以每一部 DNS 服务器记忆的信息就不会很多，而且若有 IP 异动时也相当容易修改！因为你如果已经申请到主机名解析的授权，那么在你自己的 DNS 服务器中，就能够修改全世界都可以查询到的主机名了！

由于目前的 IPv4 已经接近发送完毕的阶段，因此未来那个 128bits 的 IPv6 会逐渐热门起来。那么你需要背 128bits 的 IP 来上网吗？想必是不可能的！因此这个可以透过主机名就解析到 IP 的 DNS 服务，可以想象的到，它会越来越重要。此外，目前全世界的 WWW 主机名也都是透过 DNS 系统在处理 IP 的对应，所以，当 DNS 挂点时，我们将无法透过主机名来联机，那就几乎相当于没有 Internet 了！

完整主机名： Fully Qualified Domain Name (FQDN)

以一个常见的域名为例说明，baidu网址是由二部分组成，标号“baidu”是这个域名的主域名，而最后的标号“com”则是该域名的后缀，代表的这是一个com国际域名，是顶级域名。而前面的www.是网络名，为www的域名。

DNS规定，域名中的标号都由英文字母和数字组成，每一个标号不超过63个字符，也不区分大小写字母。标号中除连字符（-）外不能使用其他的标点符号。级别最低的域名写在最左边，而级别最高的域名写在最右边。由多个标号组成的完整域名总共不超过255个字符。

一些国家也纷纷开发使用采用本民族语言构成的域名，如德语，法语等。中国也开始使用中文域名，但可以预计的是，在中国国内今后相当长的时期内，以英语为基础的域名（即英文域名）仍然是主流。

域名语法

域名系统是分层的，允许定义的子域。域组成的至少一个字，标签。如果有多个标签，标签必须用点分开。在一个域名中，最右边的标签，必须选择从列表中的名称的顶级域名，也被称为顶级域（中英文顶级域名或TLD）。前极右翼组成的标签，标签上有一些限制

主机名与域名 (hostname and domain name)，由这两者组成的完整主机名 Fully Qualified Domain Name, FQDN ：

以区域来区分同名同姓者的差异：网络世界其实有很多人自称为『鸟哥』的，包括敝人在下小生我啦！那么你怎么知道此鸟哥非彼鸟哥呢？这个时候你可以利用每个鸟哥的所在地来作为区分啊，比如说台南的鸟哥与台北的鸟哥等。那万一台南还有两个人自称鸟哥怎么办？没关系，你还可以依照乡镇来区分呢！比如说台南北区的鸟哥及台南中区的鸟哥。如果将这个咚咚列出来，就有点像这样：

是否就可以分辨每个鸟哥的不同点了呢？呵呵！没错！就是这样！那个地区就是『领域 (domain) 』，而鸟哥就是主机名啦！

以区域号码来区分相同的电话号码：另外一个例子可以使用电话号码来看，假如高雄有个 1234567 而台南也有个 1234567，那么(1)你在高雄直接拨接 1234567 时，他会直接挂入高雄的 1234567 电话中，(2)但如果你要拨到台南去，就得加入 (06) 这个区码才行！我们就是使用区码来做为辨识之用的！此时那个 06 区码就是 domain name，而电话号码就是主机名啦！

我们上面讲到，DNS 是以树状目录分阶层的方式来处理主机名，那我们知道树状目录中，那个目录可以记录文件名。领域名底下还可以记录各个主机名，组合起来才是完整的主机名 (FQDN)。

举例来说，我们常常会发现主机名都是 www 的网站，例如 www.google.com.tw, www.seednet.net, www.hinet.net 等等，那么我们怎么知道这些 www 名称的主机在不同的地方呢？就需要给他域名啰！也就是 .google.com.tw, .seednet.net, .hinet.net 等等的不同，所以即使你的主机名相同，但是只要不是在同一个领域内，那么就可以被分辨出不同的位置啰！

我们知道目录树的最顶层是根目录 (/)，那么 DNS 既然也是阶层式的，最顶层是啥呢？每一层的 domain name 与 hostname 又该怎么分？我们举鸟哥所在的昆山科大的 WWW 服务器为例好了 (www.ksu.edu.tw) ：

图 19.1-2、分阶层的 DNS 架构，以昆山科大为例 (hostname & domain name)

在上面的例子当中，由上向下数的第二层里面，那个 .tw 是 domain name ，而 com, edu, gov 则是主机的名称，而在这个主机的名称之管理下，还有其他更小网域的主机，所以在第三层的时候，基本上，那个 edu.tw 就变成了 domain name 了！而昆山科大与成大的 ksu, ncku 则成为了 hostname 啰！

以此类推，最后得到我们的主机那个 www 是主机名，而 domain name 是由 ksu.edu.tw 那个名字所决定的！自然，我们的主机就是让管理 ksu.edu.tw 这个 domain name 的 DNS 服务器所管理的啰！这样是否了解了 domain name 与 hostname 的不同了呢？

1.2 DNS 的主机名对应 IP 的查询流程

DNS 的： (1)架构是怎样？ (2)查询原理是怎样？

整体的 DNS 阶层架构。

DNS 架构与 TLD

我们依旧使用台湾学术网络的 DNS 服务器所管理的各 domain 为例，将最上层到昆山科大 (ksu) 时，之间的各层绘制如下图：

图 19.1-3、从最上层到昆山科大之间的 DNS 阶层示意图

在整个 DNS 系统的最上方一定是 . (小数点) 这个 DNS 服务器 (称为 root)，最早以前它底下管理的就只有 (1)com, edu, gov, mil, org, .net 这种特殊领域以及 (2)以国家为分类的第二层的主机名了！这两者称为 Top Level Domains (TLDs) 喔！

一般最上层领域名 (Generic TLDs, gTLD)：例如 .com, .org, .gov 等等
国码最上层领域名 (Country code TLDs, ccTLD)：例如 .tw, .uk, .jp, .cn 等

先来谈谈一般最上层领域 (gTLD) 好了，最早 root 仅管理六大领域名，分别如下：

com,org,edu,gov,net,mil

但是因特网成长的速度太快了，因此后来除了上述的六大类别之外，还有诸如 .asia, .info, .jobs (注1) 等领域名的开放。此外，为了让某些国家也能够有自己的最上层领域名，因此，就有所谓的 ccTLD 了。这样做有什么好处呢？因为自己的国家内有最上层 ccTLD ，所以如果有 domain name 的需求，则只要向自己的国家申请即可，不需要再到最上层去申请啰！

授权与分层负责

既然 TLD 这么好，那么是否我们可以自己设定 TLD 呢？当然不行！因为我们得向上层 ISP 申请域名的授权才行。例如台湾地区最上层的领域名是以 .tw 为开头，管理这个领域名的机器 IP 是在台湾，但是 .tw 这部服务器必须向 root (.) 注册领域名查询授权才行 (如上图 19.1-3 所示)。

那么每个国家之下记录的主要下层有哪些领域呢？基本上就是原先 root 管理的那六大类。不过，由于各层 DNS 都能管理自己辖下的主机名或子领域，因此，我们的 .tw 可以自行规划自己的子领域名喔！例如目前台湾 ISP 常提供的 .idv.tw 的个人网站就是一例啊！

.tw 只记录底下那一层的这数个主要的 domain 的主机而已！至于例如 edu.tw 底下还有个 ksu.edu.tw 这部机器，那就直接授权交给 edu.tw 那部机器去管理了！也就是说『每个上一层的 DNS 服务器所记录的信息，其实只有其下一层的主机名而已！』至于再下一层，则直接『授权』给下层的某部主机来管理啰！呵呵！所以你就应该会知道 DNS 到底是如何管理的吧！

好处就是：每部机器管理的只有下一层的 hostname 对应 IP 而已，所以减少了管理上的困扰！而下层 Client 端如果有问题，只要询问上一层的 DNS server 即可！不需要跨越上层，除错上面也会比较简单呢！

透过 DNS 查询主机名 IP 的流程

刚刚说过 DNS 是以类似『树状目录』的型态来进行主机名的管理的！所以每一部 DNS 服务器都『仅管理自己的下一层主机名的转译』而已，至于下层的下层，则『授权』给下层的 DNS 主机来管理啦！这样说好像很绕口，好吧！我们就以下图来说一说原理啰：

图 19.1-4、透过 DNS 系统查询主机名解译的流程

首先，当你在浏览器的网址列输入 http://www.ksu.edu.tw 时，你的计算机就会依据相关设定 (在 Linux 底下就是利用 /etc/resolv.conf 这个档案) 所提供的 DNS 的 IP 去进行联机查询了。由于目前最常见的 DNS 服务器就属 Hinet 的 168.95.1.1 这个 DNS，所以我们就拿他来做例子吧！嗯！这个时候，hinet 的这部服务器会这样工作：

收到用户的查询要求，先查看本身有没有纪录，若无则向 . 查询：

由于 DNS 是阶层式的架构，每部主机都会管理自己辖下的主机名解译而已。因为 hinet 并没有管理台湾学术网络的权力，因此就无法直接回报给客户端。此时 168.95.1.1 就会向最顶层，也就是 . (root) 的服务器查询相关 IP 信息。

向最顶层的 . (root) 查询：

168.95.1.1 会主动的向 . 询问 www.ksu.edu.tw 在哪里呢？但是由于 . 只记录了 .tw 的信息 (因为台湾只有 .tw 向 . 注册而已)，此时 . 会告知『我是不知道这部主机的 IP 啦，不过，你应该向 .tw 去询问才对，我这里不管！我跟你说 .tw 在哪里吧！』

向第二层的 .tw 服务器查询：

168.95.1.1 接着又到 .tw 去查询，而该部机器管理的又仅有 .edu.tw, .com.tw, gov.tw... 那几部主机，经过比对后发现我们要的是 .edu.tw 的网域，所以这个时候 .tw 又告诉 168.95.1.1 说：『你要去管理 .edu.tw 这个网域的主机那里查询，我有他的 IP ！』

向第三层的 .edu.tw 服务器查询：

同理可证， .edu.tw 只会告诉 168.95.1.1 ，应该要去 .ksu.edu.tw 进行查询，这里只能告知 .ksu.edu.tw 的 IP 而已。

向第四层的 .ksu.edu.tw 服务器查询：

等到 168.95.1.1 找到 .ksu.edu.tw 之后， Bingo ！.ksu.edu.tw 说：『没错！这部主机名是我管理的～我跟你说他的 IP 是...所以此时 168.95.1.1 就能够查到 www.ksu.edu.tw 的 IP 啰！

记录暂存内存并回报用户：

查到了正确的 IP 后，168.95.1.1 DNS 先记录一份查询的结果在自己的cacha当中，以方便响应下一次的相同要求啊！最后则将结果回报给 client 端！当然啦，那个记忆在 cache 当中的数据，其实是有时间性的，当过了 DNS 设定记忆的时间 (通常可能是 24 小时)，那么该记录就会被释放喔！

整个分层查询的流程就是这样，总是得要先经过 . 来向下一层进行查询，最终总是能得到答案的。这样分层的好处是：

主机名修改的仅需自己的 DNS 更动即可，不需通知其他人：

当一个『合法』的 DNS 服务器里面的设定修改了之后，来自世界各地任何一个 DNS 的要求，都会正确无误的显示正确的主机名对应 IP 的信息，因为他们会一层一层的寻找下来。所以，要找你的主机名对应的 IP 就一定得要透过你的上层 DNS 服务器的纪录才行！因此，只要你的主机名字是经过上层『合法的 DNS』服务器设定的，那么就可以在 Internet 上面被查询到啦！呵呵！很简单维护吧，机动性也很高。

DNS 服务器对主机名解析结果的快取时间：

由于每次查询到的结果都会储存在 DNS 服务器的高速缓存中，以方便若下次有相同需求的解析时，能够快速的响应。不过，查询结果已经被快取了，但是原始 DNS 的主机名与 IP 对应却修改了，此时若有人再次查询，系统可能会回报旧的 IP 喔！所以，在快取内的答案是有时间性的！通常是数十分钟到三天之内。这也是为什么我们常说当你修改了一个 domain name 之后，可能要 2 ~ 3 天后才能全面的启用的缘故啦！

可持续向下授权 (子领域名授权)：

每一部可以记录主机名与 IP 对应的 DNS 服务器都可以随意更动他自己的数据库对应，因此主机名与域名在各个主机底下都不相同。举例来说， idv.tw 是仅有台湾才有这个 idv 的网域～因为这个 idv 是由 .tw 所管理的，所以只要台湾 .tw 维护小组同意，就能够建立该网域喔！

例题：

透过 dig 实作出本小节谈到的 . --> .tw --> .edu.tw --> .ksu.edu.tw --> www.ksu.edu.tw 的查询流程，并分析每个查询阶段的 DNS 服务器有几部？

答：

使用追踪功能 (+trace) 就能够达到这个目的了。使用方式如下：

最终的结果有找到 A (Address) 是 120.114.100.101，不过这个例题的重点是，要让大家瞧瞧整个 DNS 的搜寻过程！在 dig 加上 +trace 的选项后，就能够达到这个目的。至于其他的都是服务器 (NS) 的设定值与追踪过程喔！有没有很清楚啊？^_^。至于 A 与 NS 等相关的数据，我们在后续的 DNS 数据库介绍中，再分别介绍啰。

[root@www ~]# dig +trace www.ksu.edu.tw
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>>+trace www.ksu.edu.tw
;; global options:  printcmd
.                       486278  IN      NS      a.root-servers.net.
.                       486278  IN      NS      b.root-servers.net.
....(底下省略)....
# 上面的部分在追踪 . 的服务器，可从 a ~ m.root-servers.net.
;; Received 500 bytes from 168.95.1.1#53(168.95.1.1) in 22 ms

tw.                     172800  IN      NS      ns.twnic.net.
tw.                     172800  IN      NS      a.dns.tw.
tw.                     172800  IN      NS      b.dns.tw.
....(底下省略)....
# 上面的部分在追踪 .tw. 的服务器，可从 a ~ h.dns.tw. 包括 ns.twnic.net.
;; Received 474 bytes from 192.33.4.12#53(c.root-servers.net) in 168 ms

edu.tw.                 86400   IN      NS      a.twnic.net.tw.
edu.tw.                 86400   IN      NS      b.twnic.net.tw.
# 追踪 .edu.tw. 的则有 7 部服务器
;; Received 395 bytes from 192.83.166.11#53(ns.twnic.net) in 22 ms

ksu.edu.tw.             86400   IN      NS      dns2.ksu.edu.tw.
ksu.edu.tw.             86400   IN      NS      dns3.twaren.net.
ksu.edu.tw.             86400   IN      NS      dns1.ksu.edu.tw.
;; Received 131 bytes from 192.83.166.9#53(a.twnic.net.tw) in 22 ms

www.ksu.edu.tw.         3600    IN      A       120.114.100.101
ksu.edu.tw.             3600    IN      NS      dns2.ksu.edu.tw.
ksu.edu.tw.             3600    IN      NS      dns1.ksu.edu.tw.
ksu.edu.tw.             3600    IN      NS      dns3.twaren.net.
;; Received 147 bytes from 120.114.150.1#53(dns2.ksu.edu.tw) in 14 ms

DNS协议端口号：53

Linux: cat /etc/services | grep domain

通常 DNS 查询的时候，是以 udp 这个较快速的数据传输协议来查询的，但是万一没有办法查询到完整的信息时，就会再次的以 tcp 这个协定来重新查询的！所以启动 DNS 的 daemon (就是 named 啦) 时，会同时启动 tcp 及 udp 的 port 53 喔！所以，记得防火墙也要同时放行 tcp, udp port 53 呢！

1.3 合法 DNS 的关键：申请域名查询授权

DNS 服务器的搭建有『合法』与『不合法』之分

向上层领域注册取得合法的领域查询授权

让我们归纳一下，要让你的主机名对应 IP 且让其他计算机都可以查询的到，你有两种方式：

上层 DNS 授权领域查询权，让你自己设定 DNS 服务器，或者是；
直接请上层 DNS 服务器来帮你设定主机名对应！

拥有领域查询权后，所有的主机名信息都以自己为准，与上层无关

很多朋友可能都有过申请 DNS 领域查询授权的经验，在申请时，ISP 就会要你填写 (1)你的 DNS 服务器名称以及 (2)该服务器的 IP。既然已经在 ISP 就填写了主机名与 IP 的对应，所以，即使我的 DNS 服务器挂点了，在 ISP 上面的主机名应该还是查到的 IP 吧？答案是：『错！』查不到的！为什么呢？

DNS 系统记录的信息非常的多，不过重点其实有两个，一个是记录服务器所在的 NS (NameServer) 标志，另一个则是记录主机名对应的 A (Address) 标志。我们在网络上面查询到的最终结果，都是查询 IP (IP Address) 的，因此最终的标志要找的是 A 这个记录才对！我们以鸟哥注册的 .vbird.org 来说明好了，鸟哥去注册时，记录在 ISP 的 DNS 服务器名称为 dns.vbird.org，该笔记录其实就是 NS ，并非 A ，如下图所示：

图 19.1-5、记录的授权主机名与实际 A 记录的差异

上图中，虽然在 godaddy 服务器内有记录一笔『要查询 .vbird.org 时，请到 dns.vbird.org (NS) 去查，这个管理者的 IP 是 140.116...』，但是这笔记录只是告诉我们要去下一个服务器找，并不是最终的 A (IP Address) 的答案，所以还得要继续往下找 (随时记得图 19.1-4 的查询流程)。此时，有几种结果会导致 dns.vbird.org 的 IP 找不到，或者是最终的 IP 与 godaddy 记录的不同的结果喔！那就是：

dns.vbird.org 服务器挂点时：如果 dns.vbird.org 这部主机挂点，那么在上图显示『查询』箭头的步骤会被中断，因此就会出现『联机不到 dns.vbird.org 的 IP』的结果。因为无论如何，DNS 系统都会去找到最后一个含有 A 地址的记录啊！

dns.vbird.org 服务器内的数据库忘记补上数据时：如果鸟哥在自己的服务器数据库中，忘记加上 dns.vbird.org 的记录时，最终的结果还是会显示『找不到该服务器的 IP』；

dns.vbird.org 服务器内的数据库数据编写不一致时：如果是在鸟哥自己服务器的数据库内的 dns.vbird.org 所记录的 IP 与 godaddy 的不同，最终的结果会以鸟哥记录的为准。

总之，你在 ISP 上面填写的主机名只是一个参考用的，最终还是要在你自己 DNS 服务器当中设定好才行！虽然可以自己恶搞一下，不过，通常大家还是会让 ISP 上面的 DNS 服务器主机名与自己的数据库主机名一致，亦即上图中，中间与最下面方框内的 dns.vbird.org 的 NS 及 A 都对应到同一个 IP 就是了。

1.4 ISP域名托管 or 自己搭建 DNS 服务器

需要架设 DNS 的时机：

你所负责需要连上 Internet 的主机数量庞大：例如你一个人负责整个公司十几部的网络 Server，而这些 Server 都是挂载你的公司网域之下的。这个时候想要不架设 DNS 也粉难啦！
你可能需要时常修改你 Server 的名字，或者是你的 Server 有随时增加的可能性与变动性；
不需要架设 DNS 的时机：
网络主机数量很少：例如家里或公司只有需要一部 mail server 时；
你可以直接请上层 DNS 主机管理员帮你设定好 Hostname 的对应时；
你对于 DNS 的认知不足时，如果架设反而容易造成网络不通的情况；
架设 DNS 的费用很高时！

13台根服务器

平时我们进行域名解析所用到的DNS服务器，是面对客户的一线服务器。

DNS服务器是(Domain Name System或者Domain Name Service)域名系统或者域名服务，域名系统为Internet上的主机分配域名地址和IP地址。

用户使用域名地址，该系统就会自动把域名地址转为IP地址。域名服务是运行域名系统的Internet工具。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。

在服务器家族里还有一种叫做“DNS根服务器”的服务器。

全球共有13台根域名服务器。这13台根域名服务器中名字分别为“A”至“M”，其中10台设置在美国，另外各有一台设置于英国、瑞典和日本。

根服务器主要用来管理互联网的主目录，全世界只有13台。

1个为主根服务器，放置在美国。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。

所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。

DNS根服务器架构

根服务器架构

这13台根服务器可以指挥Firefox或Internet Explorer这样的Web浏览器和电子邮件程序控制互联网通信。

由于根服务器中有经美国政府批准的260个左右的互联网后缀（如．com、．net等）和一些国家的指定符（如法国的．fr、挪威的．no等），自成立以来，美国政府每年花费近50多亿美元用于根服务器的维护和运行，承担了世界上最繁重的网络任务和最巨大的网络风险。

因此可以实事求是地说：没有美国，互联网将是死灰一片。

世界对美国互联网的依赖性非常大，当然这也主要是由其技术的先进性和管理的科学性所决定的。

所谓依赖性，从国际互联网的工作机理来体现的，就在于“根服务器”的问题。

从理论上说，任何形式的标准域名要想被实现解析，按照技术流程，都必须经过全球“层级式”域名解析体系的工作，才能完成。

“层级式”域名解析体系第一层就是根服务器，负责管理世界各国的域名信息，在根服务器下面是顶级域名服务器，即相关国家域名管理机构的数据库，如中国的CNNIC，然后是在下一级的域名数据库和ISP的缓存服务器。

一个域名必须首先经过根数据库的解析后，才能转到顶级域名服务器进行解析。

作用与影响

这13台根服务器可以指挥浏览器（比如.internet explorer）和电子邮件程序（比如.Firefox）以控制互联网通信。由于根服务器中有经美国政府批准的260个左右的互联网后缀（如．com、．net等）和一些国家的指定符，美国政府对其管理拥有很大发言权。这使得我们显得相当被动。

中国用户在访问带有.com等后缀的国外网站时，大多仍需要经过国外的域名服务器进行解析，中美海底光缆一旦发生断裂，便会发生解析问题，中国东部、太平洋西海岸地区，属于地震多发地带，再加上台风等环境因素影响，形势显得更加严峻。

一位互联网资深专家解释说，美国控制了域名解析的根服务器，也就控制了相应的所有域名，如果美国不想让人访问某些域名，就可以屏蔽掉这些域名，使它们的IP地址无法解析出来，那么这些域名所指向的网站就相当于从互联网的世界中消失了。比如，2004年4月，由于“.ly”域名瘫痪，导致利比亚从互联网上消失了3天。

注意，13台中除了欧洲两台、日本一台之外，其余全部位于美国。也就是说，只要美国愿意，他就可以切断全世界的网络。虽然网络是无国界的，但服务器是有国界的。

关于DNS根镜像服务器

指的就是DNS根服务器的镜像服务器

镜像服务器(Mirror server)与主服务器的服务内容都是一样的，只是放在一个不同的地方，分担主机的负载。

简单来说就是和照镜子似的，能看，但不是原版的。在网上内容完全相同而且同步更新的两个或多个服务器，除主服务器外，其余的都被称为镜像服务器。

分布地点

下表是这些机器的管理单位、设置地点及最新的IP地址：

名称	管理单位及设置地点	IP地址
A	INTERNIC.NET（美国，弗吉尼亚州）	198.41.0.4
B	美国信息科学研究所（美国，加利弗尼亚州）	128.9.0.107
C	PSINet公司（美国，弗吉尼亚州）	192.33.4.12
D	马里兰大学（美国马里兰州）	128.8.10.90
E	美国航空航天管理局（美国加利弗尼亚州）	192.203.230.10
F	因特网软件联盟（美国加利弗尼亚州）	192.5.5.241
G	美国国防部网络信息中心（美国弗吉尼亚州）	192.112.36.4
H	美国陆军研究所（美国马里兰州）	128.63.2.53
I	Autonomica公司（瑞典，斯德哥尔摩）	192.36.148.17
J	VeriSign公司（美国，弗吉尼亚州）	192.58.128.30
K	RIPE NCC（英国，伦敦）	193.0.14.129
L	IANA（美国，弗吉尼亚州）	198.32.64.12
M	WIDE Project（日本，东京）	202.12.27.33

主要作用

在根域名服务器中虽然没有每个域名的具体信息，但储存了负责每个域（如COM、NET、ORG等）的解析的域名服务器的地址信息，如同通过北京电信你问不到广州市某单位的电话号码，但是北京电信可以告诉你去查020114。

世界上所有互联网访问者的浏览器的将域名转化为IP地址的请求（浏览器必须知道数字化的IP地址才能访问网站）理论上都要经过根服务器的指引后去该域名的权威域名服务器(authoritative name server, 如haier.com的权威域名服务器是dns1.hichina.com)上得到对应的IP地址，当然现实中提供接入服务的ISP的缓存域名服务器上可能已经有了这个对应关系（域名到IP地址）的缓存。

根域名服务器是架构因特网所必须的基础设施。

在国外，许多计算机科学家将根域名服务器称作“真理”（TRUTH），足见其重要性。

但是攻击整个因特网最有力、最直接，也是最致命的方法恐怕就是攻击根域名服务器了。

早在1997年7月，这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单，然而这份清单实际上是空白的。

这一人为失误导致了因特网出现最严重的局部服务中断，造成数天之内网面无法访问，电子邮件也无法发送。

遭遇攻击

在2002年的10月21日美国东部时间下午4:45开始，这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。

此次受到的攻击是DDoS攻击，超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对网络通信的处理能力，另外两台也紧随其后陷于瘫痪。

10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。

如果仅从此次事件的“后果”来分析，也许有人认为“不会所有的根域名服务器都受到攻击，因此可以放心”，或者“根域名服务器产生故障也与自己没有关系”，还为时尚早。

但他们并不清楚其根本原因是：

并不是所有的根域名服务器全部受到了影响；
攻击在短时间内便告结束；
攻击比较单纯，因此易于采取相应措施。

由于目前对于DDoS攻击还没有什么特别有效的解决方案，设想一下如果攻击的时间再延长，攻击再稍微复杂一点，或者再多有一台服务器瘫痪，全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。

而且，我们更应该清楚地认识到虽然此次事故发生的原因不在于根域名服务器本身，而在于因特网上存在很多脆弱的机器，这些脆弱的机器植入DDoS客户端程序（如特洛伊木马），然后同时向作为攻击的根域名服务器发送信息包，从而干扰服务器的服务甚至直接导致其彻底崩溃。

但是这些巨型服务器的漏洞是肯定存在的，即使现在没有被发现，以后也肯定会被发现。

而一旦被恶意攻击者发现并被成功利用的话，将会使整个互联网处于瘫痪之中。

为什么只有13台dns根服务器

最后，让我们了解下全球DNS根服务器为什么只有13台。

DNS协议的最初定义要从20世纪80年代未期开始算起，它使用了端口上的UDP和TCP协议。

UDP通常用于查询和响应，TCP用于主服务器和从服务器之间的区传送.遗憾的是，在所有UDP实现中能保证正常工作的最大包长是512字节，对于在每个包中必须含有数字签名的一些DNS新特性（例如，DNSSEC）来说实在是太小了。

512字节的限制还影响了根服务器的数量和名字。

要让所有的根服务器数据能包含在一个512字节的UDP包中，根服务器只能限制在13个，而每个服务器要使用字母表中的单个字母命名。

以太网数据的长度必须在46-1500字节之间，这是由以太网的物理特性决定的。

事实上，这个1500字节就是网络层IP数据包的长度限制，理论上，IP数据包最大长度是65535字节。

这是由IP首部16比特总长度所限制的，去除20字节IP首部和8个字节UDP首部，UDP数据包中数据最大长度为65507字节。

在Internet数据传输中，UDP数据长度控制在576字节（Internet标准MTU值），而在许多UDP应用程序设计中数据包被限制成512字节或更小。这样可以防止数据包的丢失。

许多解析器首先发送一条UDP查询，如果它们接收到一条被截断的响应，则会用TCP重新发送该查询。

这个过程绕过了512字节的限制，但是效率不高。您或许认为DNS应该避开UDP，总是使用TCP，但是TCP连接的开销大得多。

一次UDP名字服务器交换可以短到两个包：一个查询包、一个响应包。一次TCP交换则至少包含7个包：三次握手初始化TCP会话、一个查询包、一个响应包以及最后一次握手来关闭连接。

1.5 DNS 数据库的记录：正解, 反解, Zone 的意义

从前面的图 19.1-4 的查询流程中，我们知道最重要的就是 .ksu.edu.tw 那部 DNS 服务器内的记录信息了。这些记录的咚咚我们可以称呼为数据库，而在数据库里面针对每个要解析的领域 (domain)，就称为一个区域 (zone)。基本上，有从主机名查到 IP 的流程，也可以从 IP 反查到主机名的方式。因为最早前 DNS 的任务就是要将主机名解析为 IP，因此：

从主机名查询到 IP 的流程称为：正解
从 IP 反解析到主机名的流程称为：反解
不管是正解还是反解，每个领域的记录就是一个区域 (zone)

举例来说，昆山科大 DNS 服务器管理的就是 *.ksu.edu.tw 这个领域的查询权，任何想要知道 *.ksu.edu.tw 主机名的 IP 都得向昆山科大的 DNS 服务器查询，此时 .ksu.edu.tw 就是一个『正解的领域』。而昆山科大有申请到几个 class C 的子域，例如 120.114.140.0/24，如果这 254 个可用 IP 都要设定主机名，那么这个 120.114.140.0/24 就是一个『反解的领域』！另外，每一部 DNS 服务器都可以管理多个领域，不管是正解还是反解。

正解的设定权以及 DNS 正解 zone 记录的标志

那谁可以申请正解的 DNS 服务器架设权呢？答案是：都可以！只要该领域没有人使用，那你先抢到了，就能够使用了。不过，因为国际 INTERNIC 已经定义出 gTLD 以及 ccTLD 了，所以你不能自定义例如 centos.vbird 这种网域的！还是得要符合上层 DNS 所给予的领域范围才行。举例来说，台湾个人网站就常使用 *.idv.tw 这样的领域名。

那正解文件的 zone 里面主要记录了什么东西呢？因为正解的重点在由主机名查询到 IP，而且每部 DNS 服务器还是得要定义清楚，同时，你可能还需要架设 master/slave 架构的 DNS 环境，因此，正解 zone 通常具有底下几种标志：

SOA：就是开始验证 (Start of Authority) 的缩写，相关资料本章后续小节说明；
NS：就是名称服务器 (NameServer) 的缩写，后面记录的数据是 DNS 服务器的意思；
A：就是地址 (Address) 的缩写，后面记录的是 IP 的对应 (最重要)；

反解的设定权以及 DNS 反解 zone 记录的标志

正解的领域名只要符合 INTERNIC 及你的 ISP 规范即可，取得授权较为简单 (自己取名字)。那反解呢？反解主要是由 IP 找到主机名，因此重点是 IP 的所有人是谁啦！因为 IP 都是 INTERNIC 发放给各家 ISP 的，而且我们也知道，IP 可不能乱设定 (路由问题)！所以啰，能够设定反解的就只有 IP 的拥有人，亦即你的 ISP 才有权力设定反解的。那你向 ISP 取得的 IP 能不能自己设定反解呢？答案是不行！除非你取得的是整个 class C 以上等级的 IP 网段，那你的 ISP 才有可能给你 IP 反解授权。否则，若有反解的需求，就得要向你的直属上层 ISP 申请才行！

那么反解的 zone 主要记录的信息有哪些呢？除了服务器必备的 NS 以及 SOA 之外，最重要的就是：

PTR：就是指向 (PoinTeR) 的缩写，后面记录的数据就是反解到主机名啰！

每部 DNS 都需要的正解 zone： hint

现在你知道一个正解或一个反解就可以称为一个 zone 了！那么有没有那个 zone 是特别重要的呢？有的，那就是 . 啊！从图 19.1-4 里面我们就知道，当 DNS 服务器在自己的数据库找不到所需的信息时，一定会去找 . ，那 . 在哪里啊？所以就得要有记录 . 在哪里的记录 zone 才行啊！这个记录 . 的 zone 的类型，就被我们称为 hint 类型！这几乎是每个 DNS 服务器都得要知道的 zone 喔！

所以说，一部简单的正解 DNS 服务器，基本上就要有两个 zone 才行，一个是 hint ，一个是关于自己领域的正解 zone。举鸟哥注册的 vbird.org 为例，在鸟哥的 DNS 服务器内，至少就要有这两个 zone：

hint (root)：记录 . 的 zone；
vbird.org：记录 .vbird.org 这个正解的 zone。

你会发现我没有 vbird.org 这个 domain 所属 IP 的反解 zone ，为什么呢？请参考上面的详细说明吧！简单的说，就是因为反解需要要求 IP 协议的上层来设定才行！

事实上，需要正反解成对需求的大概仅有 mail server 才需要吧！由于目前网络带宽老是被垃圾、广告邮件占光，所以 Internet 的社会对于合法的 mail server 规定也就越来越严格。如果你想要架设 mail server 时，最好具有固定 IP ，这样才能向你的 ISP 要求设定反解喔！以 hinet 为例的反解申请：

http://hidomain.hinet.net/top1.html

1.6 DNS 数据库的类型：hint, master/slave 架构

但是，如果有两部以上的 DNS 服务器，那么网络上会搜寻到哪一部呢？答案是，不知道！因为是随机的～所以，如果你的领域有两部 DNS 服务器的话，那这两部 DNS 服务器的内容就得完全一模一样，否则，由于是随机找到 DNS 来询问，因此若数据不同步，很可能造成其他用户无法取得正确数据的问题。

为了解决这个问题，因此在 . (root) 这个 hint 类型的数据库档案外，还有两种基本类型，分别是 Master (主) 数据库与 Slave (从) 数据库类型。这个 Master/Slave 就是要用来解决不同 DNS 服务器上面的数据同步问题的。所以底下让我们来聊聊 Master/Slave 吧！

Master：

这种类型的 DNS 数据库中，里面所有的主机名相关信息等，通通要管理员自己手动去修改与设定，设定完毕还得要重新启动 DNS 服务去读取正确的数据库内容，才算完成数据库更新。一般来说，我们说的 DNS 架设，就是指设定这种数据库的类型。同时，这种类型的数据库，还能够提供数据库内容给 slave 的 DNS 服务器喔！

Slave：

如前所述，通常你不会只有一部 DNS 服务器，例如我们前面的例题查询到的 .ksu.edu.tw 就有 3 部 DNS 服务器来管理自己的领域。那如果每部 DNS 我们都是使用 Master 数据库类型，当有用户向我要求要修改或者新增、删除数据时，一笔数据我就得要做三次，还可能会不小心手滑导致某几部出现错误，此时可就伤脑筋了～因此，这时使用 Slave 类型的数据库取得方式就很有用！

Slave 必须要与 Master 相互搭配，若以 .ksu.edu.tw 的例子来说，如果我必须要有三部主机提供 DNS 服务，且三部内容相同，那么我只要指定一部服务器为 Master ，其他两部为该 Master 的 Slave 服务器，那么当要修改一笔名称对应时，我只要手动更改 Master 那部机器的配置文件，然后，重新启动 BIND 这个服务后，呵呵！其他两部 Slave 就会自动的被通知更新了！这样一来，在维护上面可就轻松写意的多了～

Master / Slave 的查询优先权？

另外，既然我的所有 DNS 服务器是需要同时提供 internet 上面的领域名解析的服务，所以不论是 Master 还是 Slave 服务器，他都必须要可以同时提供 DNS 的服务才好！因为在 DNS 系统当中，领域名的查询是『先抢先赢』的状态，我们不会晓得哪一部主机的数据会先被查询到的！为了提供良好的 DNS 服务，每部 DNS 主机都要能正常工作才好啊！而且，每一部 DNS 服务器的数据库内容需要完全一致，否则就会造成客户端找到的 IP 是错误的！

Master / Slave 数据的同步化过程

那么 Master/Slave 的数据更新到底是如何动作的呢？请注意，Slave 是需要更新来自 Master 的数据啊！所以当然 Slave 在设定之初就需要存在 Master 才行喔！基本上，不论 Master 还是 Slave 的数据库，都会有一个代表该数据库新旧的『序号』，这个序号数值的大小，是会影响是否要更新的动作唷！至于更新的方式主要有两种：

Master 主动告知：例如在 Master 在修改了数据库内容，并且加大数据库序号后，重新启动 DNS 服务，那 master 会主动告知 slave 来更新数据库，此时就能够达成数据同步；

由 Slave 主动提出要求：基本上， Slave 会定时的向 Master 察看数据库的序号，当发现 Master 数据库的序号比 Slave 自己的序号还要大 (代表比较新)，那么 Slave 就会开始更新。如果序号不变，那么就判断数据库没有更动，因此不会进行同步更新。

由上面的说明来看，其实设计数据库的序号最重要的目的就是让 master/slave 数据的同步化。那我们也知道 slave 会向 master 提出数据库更新的需求，问题是，多久提出一次更新，如果该次更新时由于网络问题，所以没有查询到 master 的序号 (亦即更新失败)，那隔多久会重新更新一次？这个与 SOA 的标志有关，后续谈到正、反解数据库后，再来详细说明吧！

如果你想要架设 Master/Slave 的 DNS 架构时，两部主机 (Master/Slave) 都需要你能够掌控才行！网络上很多的文件在这个地方都有点『闪失』，请特别的留意啊！因为鸟哥的 DNS 服务器常常会听到某些其他 DNS 的数据库同步化需求，真觉得烦吶！

2 Client端配置

2.1 配置文件

/etc/hosts ：本地域名解析配置文件
/etc/resolv.conf ：配置Linux系统DNS服务器的配置文件
/etc/nsswitch.conf： /etc/hosts 与 /etc/resolv.conf 优先级设定

一般而言， Linux 的预设主机名与 IP 的对应搜寻都以 /etc/hosts 为优先，为什么呢？你可以查看一下 /etc/nsswitch.conf ，并找到 hosts 的项目：

上面那个 files 就是使用 /etc/hosts，而最后的 dns 则是使用 /etc/resolv.conf 的 DNS 服务器来进行搜寻啦！因此，你可以先以 /etc/hosts 来设定 IP 对应！

/etc/resolv.conf 假设你在台湾，使用的是 hinet 的 168.95.1.1 这部 DNS 服务器，所以你应该这样写：

DNS 服务器的 IP 可以设定多个，为什么要设定多个呢？因为当第一部 (照设定的顺序) DNS 挂点时，我们客户端可以使用第二部 (上述是 139.175.10.20) 来进行查询，这多少有点像 DNS 备援功能。通常建议至少填写两部 DNS 服务器的 IP，不过在网络正常使用的情况下，永远只有第一部 DNS 服务器会被使用来查询，其他的设定值只是在第一部出问题时才会被使用。

例题：

我的主机使用 DHCP 取得 IP ，很奇怪的，当我修改过 /etc/resolv.conf 之后，隔不多久这个档案又会恢复成原本的样子，这是什么原因？该如何处理？

答：

因为使用 DHCP 时，系统会主动的使用 DHCP 服务器传来的数据进行系统配置文件的修订。因此，你必须告知系统，不要使用 DHCP 传来的服务器设定值。此时，你得要在 /etc/sysconfig/network-scripts/ifcfg-eth0 等相关档案内，增加一行：『PEERDNS=no』，然后重新启动网络即可。

此外，如果你有启动 CentOS 6.x 的 NetworkManager 服务，有时候也可能会产生一些奇特的现象哩！所以鸟哥是建议关掉它的！^_^

2.2 DNS 的正、反解查询指令： host, nslookup, dig

host

[root@www ~]# host [-a] FQDN [server]
[root@www ~]# host -l domain [server]选项与参数：
-a ：代表列出该主机所有的相关信息，包括 IP、TTL 与除错讯息等等
-l ：若后面接的那个 domain 设定允许 allow-transfer 时，则列出该 domain 
     所管理的所有主机名对应数据！
server：这个参数可有可无，当想要利用非 /etc/resolv.conf 内的 DNS 主机
        来查询主机名与 IP 的对应时，就可以利用这个参数了！# 1. 使用默认值来查出 linux.vbird.org 的 IP 
[root@www ~]# host linux.vbird.org
linux.vbird.org has address 140.116.44.180             <==这是 IP
linux.vbird.org mail is handled by 10 linux.vbird.org. <==这是 MX (后续章节说明)# 2. 查出 linux.vbird.org 的所有重要参数
[root@www ~]# host -a linux.vbird.org
Trying "linux.vbird.org"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56213
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;linux.vbird.org.               IN      ANY

;; ANSWER SECTION:
linux.vbird.org.        145     IN      A       140.116.44.180

;; AUTHORITY SECTION:
vbird.org.              145     IN      NS      dns.vbird.org.
vbird.org.              145     IN      NS      dns2.vbird.org.

Received 86 bytes from 168.95.1.1#53 in 15 ms<==果然是从 168.95.1.1 取得的资料# 看样子，不就是 dig 的输出结果？所以，我们才会说，使用 dig 才是王道！# 3. 强制以 139.175.10.20 这部 DNS 主机来查询
[root@www ~]# host linux.vbird.org 139.175.10.20
Using domain server:
Name: 139.175.10.20
Address: 139.175.10.20#53
Aliases:

linux.vbird.org has address 140.116.44.180
linux.vbird.org mail is handled by 10 linux.vbird.org.

看到最后一个范例，有注意到上面输出的特殊字体部分吗？很多朋友在测试自己的 DNS 时，常常会『指定到错误的 DNS 查询主机』了～因为他们的 /etc/reslov.conf 忘记改，所以老是找不到自己设定的数据库 IP 数据。所以你要仔细看啊！

怎么会无法响应呢？这样的响应是因为管理 vbird.org 领域的 DNS 并不许我们的领域查询，毕竟我们不是 vbird.org 的系统管理员，当然没有权限可以读取整个 vbird.org 的领域设定啰！这个『 host -l 』是用在自己的 DNS 服务器上，本章稍后谈到服务器设定后，使用这个选项就能够读取相关的数据了。

nslookup

[root@www ~]# nslookup [FQDN] [server]
[root@www ~]# nslookup选项与参数：
1. 可以直接在 nslookup 加上待查询的主机名或者是 IP ，[server] 可有可无；
2. 如果在 nslookup 后面没有加上任何主机名或 IP ，那将进入 nslookup 的查询功能
   在 nslookup 的查询功能当中，可以输入其他参数来进行特殊查询，例如：
   set type=any ：列出所有的信息『正解方面配置文件』
   set type=mx  ：列出与 mx 相关的信息！# 1. 直接搜寻 mail.ksu.edu.tw 的 IP 信息 
[root@www ~]# nslookup mail.ksu.edu.tw
Server:         168.95.1.1
Address:        168.95.1.1#53  <==还是请特别注意 DNS 的 IP 是否正确！

Non-authoritative answer:
Name:   mail.ksu.edu.tw
Address: 120.114.100.20        <==回报 IP 给你啰！

nslookup 可单纯的将 hostname 与 IP 对应列出而已，不过，还是会将查询的 DNS 主机的 IP 列出来的！如果想要知道更多详细的参数，那可以直接进入 nslookup 这个软件的操作画面中，如下范例：

[root@www ~]# nslookup<==进入 nslookup 查询画面
> 120.114.100.20<==执行反解的查询
> www.ksu.edu.tw<==执行正解的查询# 上面这两个仅列出正反解的信息，没有啥了不起的地方啦！
> set type=any  <==变更查询，不是仅有 A，全部信息都列出来
> www.ksu.edu.tw
Server:         168.95.1.1
Address:        168.95.1.1#53

Non-authoritative answer:
Name:   www.ksu.edu.tw
Address: 120.114.100.101  <==这是答案

Authoritative answers can be found from: <==这是相关授权 DNS 说明
ksu.edu.tw      nameserver = dns2.ksu.edu.tw.
ksu.edu.tw      nameserver = dns1.ksu.edu.tw.
dns1.ksu.edu.tw internet address = 120.114.50.1
dns2.ksu.edu.tw internet address = 120.114.150.1
> exit<==离开吧！皮卡丘

在上面的案例当中，请注意，如果你在 nslookup 的查询画面当中，输入 set type=any 或其他参数，那么就无法再进行反解的查询了！这是因为 any 或者是 mx 等等的标志都是记录在正解 zone 当中的缘故！

[root@www ~]# dig [options] FQDN [@server]选项与参数：
@server ：如果不以 /etc/resolv.conf 的设定来作为 DNS 查询，可在此填入其他的 IP
options：相关的参数很多，主要有 +trace, -t type 以及 -x 三者最常用
  +trace ：就是从 . 开始追踪，在 19.1.2 里面谈过了！回头瞧瞧去！
  -t type：查询的数据主要有 mx, ns, soa 等类型，相关类型 19.4 来介绍
  -x     ：查询反解信息，非常重要的项目！# 1. 使用默认值查询 linux.vbird.org 吧！
[root@www ~]# dig linux.vbird.org
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> linux.vbird.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37415
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:<==提出的问题的部分
;linux.vbird.org.               IN      A

;; ANSWER SECTION:<==主要的回答阶段
linux.vbird.org.        600     IN      A       140.116.44.180

;; AUTHORITY SECTION:<==其他与此次回答有关的部分
vbird.org.              600     IN      NS      dns.vbird.org.
vbird.org.              600     IN      NS      dns2.vbird.org.

;; Query time: 9 msec
;; SERVER: 168.95.1.1#53(168.95.1.1)
;; WHEN: Thu Aug  4 14:12:26 2011
;; MSG SIZE  rcvd: 86

在这个范例当中，我们可以看到整个显示出的讯息包括有几个部分：

QUESTION(问题)：显示所要查询的内容，因为我们是查询 linux.vbird.org 的 IP，所以这里显示 A (Address)；
ANSWER(回答)：依据刚刚的 QUESTION 去查询所得到的结果，答案就是回答 IP 啊！
AUTHORITY(验证)：由这里我们可以知道 linux.vbird.org 是由哪部 DNS 服务器所提供的答案！结果是 dns.vbird.org 及 dns2.vbird.org 这两部主机管理的。另外，那个 600 是啥咚咚？图 19.1-4 提到过的流程，就是允许查询者能够保留这笔记录多久的意思 (快取)，在 linux.vbird.org 的设定中，预设可以保留 600 秒。

# 2. 查询 linux.vbird.org 的 SOA 相关信息吧！
[root@www ~]# dig -t soa linux.vbird.org
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> -t soa linux.vbird.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57511
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;linux.vbird.org.               IN      SOA

;; AUTHORITY SECTION:
vbird.org.              600     IN      SOA     dns.vbird.org. root.dns.vbird.org.
 2007091402 28800 7200 720000 86400

;; Query time: 17 msec
;; SERVER: 168.95.1.1#53(168.95.1.1)
;; WHEN: Thu Aug  4 14:15:57 2011
;; MSG SIZE  rcvd: 78

由于 dig 的输出信息实在是太丰富了，又分成多个部分去进行回报，因此很适合作为 DNS 追踪回报的一个指令呢！你可以透过这个指令来了解一下你所设定的 DNS 数据库是否正确，并进行除错喔！ ^_^！此外，你也可以透过『 -t type 』的功能去查询其他服务器的设定值，可以方便你进行设定 DNS 服务器时的参考喔！正解查询完毕，接下来玩一玩反解吧！

# 3. 查询 120.114.100.20 的反解信息结果
[root@www ~]# dig -x 120.114.100.20
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> -x 120.114.100.20
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60337
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 3

;; QUESTION SECTION:
;20.100.114.120.in-addr.arpa.   IN      PTR

;; ANSWER SECTION:
20.100.114.120.in-addr.arpa. 3600 IN    PTR     mail-out-r2.ksu.edu.tw.
20.100.114.120.in-addr.arpa. 3600 IN    PTR     mail-smtp-proxy.ksu.edu.tw.
20.100.114.120.in-addr.arpa. 3600 IN    PTR     mail.ksu.edu.tw.

;; AUTHORITY SECTION:
100.114.120.in-addr.arpa. 3600  IN      NS      dns1.ksu.edu.tw.
100.114.120.in-addr.arpa. 3600  IN      NS      dns3.twaren.net.
100.114.120.in-addr.arpa. 3600  IN      NS      dns2.ksu.edu.tw.

;; ADDITIONAL SECTION:
dns1.ksu.edu.tw.        3036    IN      A       120.114.50.1
dns2.ksu.edu.tw.        2658    IN      A       120.114.150.1
dns3.twaren.net.        449     IN      A       211.79.61.47

;; Query time: 29 msec
;; SERVER: 168.95.1.1#53(168.95.1.1)
;; WHEN: Thu Aug  4 14:17:58 2011
;; MSG SIZE  rcvd: 245

反解相当有趣！从上面的输出结果来看，反解的查询目标竟然从 120.114.100.20 变成了 20.100.114.120.in-addr.arpa. 这个模样～这是啥鬼东西？不要怕，这等我们讲到反解时再跟大家进一步解释。你现在要知道的是，反解的查询领域名，跟正解不太一样即可，尤其是那个怪异的 in-addr.arpa. 结尾的数据，可以先记下来。

2.3 查询领域管理者相关信息： whois

上个小节谈到的是主机名的正反解查询指令，那如果你想要知道整个领域的设定，使用的是『 host -l 领域名』去查，那如果你想要知道的是『这个领域是谁管的』的信息呢？那就得要使用 whois 这个指令才行喔！在 CentOS 6.x 当中， whois 是由 jwhois 这个软件提供的，因此，如果找不到 whois 时，请用 yum 去安装这个软件吧！

whois

[root@www ~]# whois [domainname]<==注意啊！是 domain 而不是 hostname
[root@www ~]# whois centos.org
[Querying whois.publicinterestregistry.net]
[whois.publicinterestregistry.net]
# 这中间是一堆 whois 服务器提供的讯息告知！底下是实际注册的数据
Domain ID:D103409469-LROR
Domain Name:CENTOS.ORG
Created On:04-Dec-2003 12:28:30 UTC
Last Updated On:05-Dec-2010 01:23:25 UTC
Expiration Date:04-Dec-2011 12:28:30 UTC<==记载了建立与与失效的日期
Sponsoring Registrar:Key-Systems GmbH (R51-LROR)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:P-8686062
Registrant Name:CentOS Domain Administrator
Registrant Organization:The CentOS Project
Registrant Street1:Mechelsesteenweg 170
# 底下则是一堆联络方式，鸟哥将它取消了，免得多占篇幅～

whois 这个指令可以查询到当初注册这个 domain 的用户的相关信息。不过，由于近年来很多网络信息安全的问题，这个 whois 所提供的信息真的是太详细了，为了保护使用者的隐私权，所以，目前这个 whois 所查询到的信息已经不见得是完全正确的了～而且，在显示出 whois 的信息之前，还会有一段宣告事项的告知呢～ ^_^y

如果使用 whois 来检查鸟哥所注册的合法 domain 会是如何呢？看看：

[root@www ~]# whois vbird.idv.tw
[Querying whois.twnic.net]
[whois.twnic.net]           <==这个 whois 服务器查到的数据
Domain Name: vbird.idv.tw   <==这个 domain 的信息

   Contact:                 <==联络者的联络方式
      Der-Min Tsai
      vbird@pc510.ev.ncku.edu.tw

   Record expires on 2018-09-17 (YYYY-MM-DD)
   Record created on 2002-09-13 (YYYY-MM-DD)

Registration Service Provider: HINET

呵呵！这个 domain 会在 2018/09/17 失效的意思啦！报告完毕！无论如何，我们都可以透过 nslookup, host, dig 等等的指令来查询主机名与 IP 的对应，这些指令的用法可以请你以 man command 来查询更多的用法喔！

3 DNS 服务器的软件、种类与 cache only DNS 服务器设定

缓存DNS 服务器 (Caching only DNS server)

3.1 DNS软件(Berkeley Internet Name Domain, BIND)

bind-libs <==给 bind 与相关指令使用的函式库 bind-utils <==提供对dns服务器的测试工具程序

bind <==就是 bind 主程序所需软件提供域名服务的主要程序及相关文件

bind-chroot <==将 bind 主程序关在家里面！为bind提供一个伪装的根目录以增强安全性

上面比较重要的是那个『 bind-chroot 』啦！所谓的 chroot 代表的是『 change to root(根目录) 』的意思，root 代表的是根目录。早期的 bind 默认将程序启动在 /var/named 当中，但是该程序可以在根目录下的其他目录到处转移，因此若 bind 的程序有问题时，则该程序会造成整个系统的危害。为避免这个问题，所以我们将某个目录指定为 bind 程序的根目录，由于已经是根目录，所以 bind 便不能离开该目录！所以若该程序被攻击，了不起也是在某个特定目录底下搞破坏而已。 CentOS 6.x 默认将 bind 锁在 /var/named/chroot 目录中喔！

我们主程序是由 bind, bind-chroot 所提供，那前一小节提到的，每部 DNS 服务器都要有的 . (root) 这个 zone file 在哪里？它也是由 bind 所提供的喔！ (CentOS 4.x, 5.x 所提供的 caching-nameserver 软件并不存在 CentOS 6.x 当中了喔！已经被涵盖于 bind 软件内！)

3.2 BIND 的默认路径设定与 chroot

要架设好 BIND 需要什么设定数据呢？基本上有两个主要的数据要处理：

BIND 本身的配置文件：主要规范主机的设定、zone file 的所在、权限的设定等；
正反解数据库档案 (zone file)：记录主机名与 IP 对应的等。

BIND 的配置文件为 /etc/named.conf，在这个档案里面可以规范 zone file 的完整檔名喔！也就是说，你的 zone file 其实是由 /etc/named.conf 所指定的，所以 zone file 档名可以随便取啦！只要 /etc/named.conf 内规范为正确即可。一般来说， CentOS 6.x 的默认目录是这样的：

/etc/named.conf ：这就是我们的主配置文件啦！
/etc/sysconfig/named ：是否启动 chroot 及额外的参数，就由这个档案控制；
/var/named/区域名称：数据库档案默认放置在这个目录解析库文件
/var/run/named ：named 这支程序执行时默认放置 pid-file 在此目录内。

/etc/rc.d/init.d/named 服务脚本

/etc/sysconfig/named 与 chroot 环境

不过，为了系统的安全性考虑，一般来说目前各主要 distributions 都已经自动的将你的 bind 相关程序给他 chroot 了！那你如何知道你 chroot 所指定的目录在哪里呢？其实是记录在 /etc/sysconfig/named 里面啦！你可以先查阅一下：

[root@www ~]# cat /etc/sysconfig/named
ROOTDIR=/var/named/chroot

事实上该档案内较有意义的就只有上面这一行，意思是说：『我要将 named 给他 chroot ，并且变更的根目录为 /var/named/chroot 』喔！由于根目录已经被变更到 /var/named/chroot 了，但 bind 的相关程序是需要 /etc, /var/named, /var/run ...等目录的，所以实际上咱们 bind 的相关程序所需要的所有数据会是在：

/var/named/chroot/etc/named.conf
/var/named/chroot/var/named/zone_file1
/var/named/chroot/var/named/zone_file.....
/var/named/chroot/var/run/named/...

哇！真是好麻烦～不过，不要太担心！因为新版本的 CentOS 6.x 已经将 chroot 所需要使用到的目录，透过 mount --bind 的功能进行目录链接了 (参考 /etc/init.d/named 内容)，举例来说，我们需要的 /var/named 在启动脚本中透过 mount --bind /var/named /var/named/chroot/var/named 进行目录绑定啰！所以在 CentOS 6.x 当中，你根本无须切换至 /var/named/chroot/ 了！使用正规的目录即可喔！就是这样简单！^_^

3.3 单纯的 cache-only DNS 服务器与 forwarding 功能

单纯修改配置文件，而不必设计 zone file 的环境，那就是不具有自己正反解 zone 的仅进行缓存的 DNS 服务器。

什么是 cache-only 与 forwarding DNS 服务器呢？

有个只需要 . 这个 zone file 的简单 DNS 服务器，我们称这种没有自己公开的 DNS 数据库的服务器为 cache-only (仅快取) DNS server！顾名思义，这个 DNS server 只有快取搜寻结果的功能，也就是说，他本身并没有主机名与 IP 正反解的配置文件，完全是由对外的查询来提供他的数据源！

那如果连 . 都不想要呢？那就得要指定一个上层 DNS 服务器作为你的 forwarding (转递) 目标，将原本自己要往 . 查询的任务，丢给上层 DNS 服务器去烦恼即可。如此一来，我们这部具有 forwarding 功能的 DNS 服务器，甚至连 . 都不需要了！因为 . 有记录在上层 DNS 上头了嘛！

如同刚刚提到的，cache only 的 DNS 并不存在数据库 (其实还是存在 . 这个 root 领域的 zone file)，因此不论是谁来查询数据，这部 DNS 一律开始从自己的快取以及 . 找起，整个流程与图 19.1-4 相同。那如果具有 forwarding 功能呢？果真如此，那即使你的 DNS 具有 . 这个 zone file，这部 DNS 还是会将查询权『委请』上层 DNS 查询的，这部 DNS 服务器当场变成客户端啦！查询流程会变这样喔：

图 19.3-1、具有 forwarding 功能的 DNS 服务器查询方式

观察上图的查询方向，你会发现到，具有 forwarding 机制时，查询权会委请上层 DNS 服务器来处理，所以根本也不需要 . 这个位置所在的 zone 啦。一般来说，如果你的环境需要架设一个 cache-only 的 DNS 服务器时，其实可以直接加上 forwarding 的机制，让查询权指向上层或者是流量较大的上层 DNS 服务器即可。那既然 cache only 的服务器并没有数据库， forwarding 机制甚至不需要 . 的 zone ，那干嘛还得要架设这样的 DNS 呢？是有理由的啦！

什么时候有架设 cache-only DNS 的需求？

在某些公司行号里头，为了预防员工利用公司的网络资源作自己的事情，所以都会针对 Internet 的联机作比较严格的限制。当然啦，连 port 53 这个 DNS 会用到的 port 也可能会被挡在防火墙之外的～这个时候，你可以在『防火墙的那部机器上面，加装一个 cache-only 的 DNS 服务！』

这是什么意思呢？很简单啊！就是你自己利用自己的防火墙主机上的 DNS 服务去帮你的 Client 端解译 hostname <--> IP 啰！因为防火墙主机可以设定放行自己的 DNS 功能，而 Client 端就设定该防火墙 IP 为 DNS 服务器的 IP 即可！哈哈！这样就可以取得主机名与 IP 的转译啦！所以，通常架设 cache only DNS 服务器大都是为了系统安全啰。

实际设定 cache-only DNS server

那如何在你的 Linux 主机上架设一个 cache-only 的 DNS 服务器呢？其实真的很简单的啦！因为不需要设定正反解的 zone (只需要 . 的 zone 支持即可)，所以只要设定一个档案 (就是 named.conf 主配置文件) 即可！真是快乐得不得了吶！另外，cache-only 只要加上个 forwarders 的设定即可指定 forwarding 的数据，所以底下我们将设定具有 forwarding 的 cache-only DNS 服务器吧！

编辑主要配置文件： /etc/named.conf

虽然我们具有 chroot 的环境，不过由于 CentOS 6.x 已经透过启动脚本帮我们进行档案与目录的挂载链接，所以请你直接修改 /etc/named.conf 即可呦！不要再去 /var/named/chroot/etc/named.conf 修改啦！在这个档案中，主要是定义跟服务器环境有关的设定，以及各个 zone 的领域及数据库所在文件名。在鸟哥的这个案例当中，因为使用了 forwarding 的机制，所以这个 cache-only DNS 服务器并没有 zone (连 . 都没有)，所以我们只要设定好跟服务器有关的设定即可。设定这个档案的时候请注意：

批注数据是放置在两条斜线『 // 』后面接的数据
每个段落之后都需要以分号『 ; 』来做为结尾！

鸟哥将这个档案再简化如下的样式：

[root@www ~]# cp /etc/named.conf /etc/named.conf.raw
[root@www ~]# vim /etc/named.conf// 在预设的情况下，这个档案会去读取 /etc/named.rfc1912.zones 这个领域定义档
// 所以请记得要修改成底下的样式啊！options {
        listen-on port 53  { any; };     //可不设定，代表全部接受directory          "/var/named";//数据库默认放置的目录所在
        dump-file          "/var/named/data/cache_dump.db"; //一些统计信息
        statistics-file    "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query        { any; };     //可不设定，代表全部接受
        recursion yes;                   //将自己视为客户端的一种查询模式forward only;//可暂时不设定forwarders {                     //是重点！
                168.95.1.1;              //先用中华电信的 DNS 当上层
                139.175.10.20;           //再用 seednet 当上层
        };};//最终记得要结尾符号！

鸟哥将大部分的数据都予以删除，只将少部分保留的数据加以小部分的修订而已。在 named.conf 的结构中，与服务器环境有关的是由 options 这个项目内容设定的，因为 options 里面还有很多子参数，所以就以大括号 { } 包起来啰。至于 options 内的子参数在上面提到的较重要的项目简单叙述如下：

listen-on port 53 { any; };

监听在这部主机系统上面的哪个网络接口。预设是监听在 localhost，亦即只有本机可以对 DNS 服务进行查询，那当然是很不合理啊！所以这里要将大括号内的数据改写成 any。记得，因为可以监听多个接口，因此 any 后面得要加上分号才算结束喔！另外，这个项目如果忘记写也没有关系，因为默认是对整个主机系统的所有接口进行监听的。

directory "/var/named";

意思是说，如果此档案底下有规范到正、反解的 zone file 档名时，该档名预设应该放置在哪个目录底下的意思。预设放置到 /var/named/ 底下。由于 chroot 的关系，最终这些数据库档案会被主动链接到 /var/named/chroot/var/named/ 这个目录。

dump-file, statistics-file, memstatistics-file

与 named 这个服务有关的许多统计信息，如果想要输出成为档案的话，预设的档名就如上所述。鸟哥自己很少看这些统计资料，所以，这三个设定值写不写应该都是没有关系的。

allow-query { any; };

这个是针对客户端的设定，到底谁可以对我的 DNS 服务提出查询请求的意思。原本的档案内容预设是针对 localhost 开放而已，我们这里改成对所有的用户开放 (当然啦，防火墙也得放行才行)。不过，预设 DNS 就是对所有用户放行，所以这个设定值也可以不用写。

forward only ;

这个设定可以让你的 DNS 服务器仅进行 forward，即使有 . 这个 zone file 的设定，也不会使用 . 的资料，只会将查询权交给上层 DNS 服务器而已，是 cache only DNS 最常见的设定了！

forwarders { 168.95.1.1; 139.175.10.20; } ;

既然有 forward only，那么到底要对哪部上层 DNS 服务器进行转递呢？那就是 forwarders (不要忘记那个 s) 设定值的重要性了！由于担心上层 DNS 服务器也可能会挂点，因此可以设定多部上层 DNS 服务器喔！每一个 forwarder 服务器的 IP 都需要有『 ; 』来做为结尾！

很简单吧！至于更多的参数我们会在后续篇幅当中慢慢介绍的。这样就已经设定完成了最简单的 cache only DNS server 了！

启动 named 并观察服务的埠口

启动总不会忘记吧？赶快去启动一下吧！同时启动完毕之后，观察一下由 named 所开启的埠口，看看到底哪些埠口会被 DNS 用到的！

# 1. 启动一下 DNS 这玩意儿！
[root@www ~]# /etc/init.d/named start
Starting named:                     [  OK  ]
[root@www ~]# chkconfig named on# 2. 到底用了多少埠口呢？
[root@www ~]# netstat -utlnp | grep named
Proto Recv-Q Send-Q Local Address       Foreign Address  State  PID/Program name
tcp        0      0 192.168.100.254:53  0.0.0.0:*        LISTEN 3140/named
tcp        0      0 192.168.1.100:53    0.0.0.0:*        LISTEN 3140/named
tcp        0      0 127.0.0.1:53        0.0.0.0:*        LISTEN 3140/named
tcp        0      0 127.0.0.1:953       0.0.0.0:*        LISTEN 3140/named
tcp        0      0 ::1:953             :::*             LISTEN 3140/named
udp        0      0 192.168.100.254:53  0.0.0.0:*               3140/named
udp        0      0 192.168.1.100:53    0.0.0.0:*               3140/named
udp        0      0 127.0.0.1:53        0.0.0.0:*               3140/named

我们知道 DNS 会同时启用 UDP/TCP 的 port 53，而且是针对所有接口，因此上面的数据并没有什么特异的部分。不过，怎么会有 port 953 且仅针对本机来监听呢？其实那是 named 的远程控制功能，称为远程名称解析服务控制功能 (remote name daemon control, rndc)。预设的情况下，仅有本机可以针对 rndc 来控制。我们会在后续的章节再来探讨这个 rndc 啦，目前我们只要知道 UDP/TCP port 53 有启动即可。

检查 /var/log/messages 的内容讯息 (极重要！)

named 这个服务的记录文件就直接给他放置在 /var/log/messages 里面啦，所以来看看里面的几行登录信息吧！

[root@www ~]# tail -n 30 /var/log/messages | grep namedAug  4 14:57:09 www named[3140]: starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named
 -t /var/named/chroot<==说明的是 chroot 在哪个目录下！
Aug  4 14:57:09 www named[3140]: adjusted limit on open files from 1024 to 1048576
Aug  4 14:57:09 www named[3140]: found 1 CPU, using 1 worker thread
Aug  4 14:57:09 www named[3140]: using up to 4096 sockets
Aug  4 14:57:09 www named[3140]: loading configuration from '/etc/named.conf'
Aug  4 14:57:09 www named[3140]: using default UDP/IPv4 port range: [1024, 65535]
Aug  4 14:57:09 www named[3140]: using default UDP/IPv6 port range: [1024, 65535]
Aug  4 14:57:09 www named[3140]: listening on IPv4 interface lo, 127.0.0.1#53
Aug  4 14:57:09 www named[3140]: listening on IPv4 interface eth0, 192.168.1.100#53
Aug  4 14:57:09 www named[3140]: listening on IPv4 interface eth1, 192.168.100.254#53
Aug  4 14:57:09 www named[3140]: generating session key for dynamic DNS
Aug  4 14:57:09 www named[3140]: command channel listening on 127.0.0.1#953
Aug  4 14:57:09 www named[3140]: command channel listening on ::1#953
Aug  4 14:57:09 www named[3140]: the working directory is not writable
Aug  4 14:57:09 www named[3140]: running

上面最重要的是第一行出现的『-t ...』那个项目指出你的 chroot 目录啰。另外，上面表格中特殊字体的部分，有写到读取 /etc/named.conf，代表可以顺利的加载 /var/named/etc/named.conf 的意思。如果上面有出现冒号后面接数字 (:10)，那就代表某个档案内的第十行有问题的意思，届时再进入处理即可。要注意的是，即使 port 53 有启动，但有可能 DNS 服务是错误的，此时这个登录档就显的非常重要！每次重新启动 DNS 后，请务必查阅一下这个档案的内容！！

Tips:
如果你在 /var/log/messages 里面一直看到这样的错误信息：
couldn't add command channel 127.0.0.1#953: not found
那表示你还必需要加入 rndc key ，请参考本章后面的 利用 RNDC 指令管理 DNS 服务器 的介绍，将他加入你的 named.conf 中！

测试：

如果你的 DNS 伺服器具有连上因特网的功能，那么透过『 dig www.google.com @127.0.0.1 』这个基本指令执行看看，如果有找到 google 的 IP ，并且输出数据的最底下显示『 SERVER: 127.0.0.1#53(127.0.0.1) 』的字样，那就代表应该是成功啦！其他更详细的测试请参考：19.2 小节的内容

特别说明：Forwarders 的好处与问题分析

关于 forwarder 的好处与坏处，其实有很多种的意见！大致的意见可分为这两派：

利用 Forwarder 的功能来增进效能的理论：

这些朋友们认为，当很多的下层 DNS 服务器都使用 forwarder 时，那么那个被设定为 forwarder 的主机，由于会记录很多的查询信息记录 (请参考图 19.1-4 的说明)，因此，对于那些下层的 DNS 服务器而言，查询速度会增快很多，亦即会节省很多的查询时间！因为 forwarder 服务器里面有较多的快取记录了，所以包括 forwarder 本身，以及所有向这部 forwarder 要求数据的 DNS 服务器，都能够减少往 . 查询的机会，因此速度当然增加。

利用 Forwarder 反而会使整体的效能降低：

但是另外一派则持相反的见解！这是因为当主 DNS 本身的『业务量』就很繁忙的时候，那么你的 cache only DNS 服务器还向他要求数据，因为他原本的数据传输量就太大了，带宽方面可能负荷不量，而太多的下层 DNS 还向他要求数据，所以他的查询速度会变慢！因为查询速度变慢了，而你的 cache only server 又是向他提出要求的，所以自然两边的查询速度就会同步下降！

很多种说法啦！鸟哥本人也觉得很有趣哩！只是不知道哪一派较正确就是了，不过可以知道的是，如果上层的 DNS 速度很快的话，那么他被设定为 forwarder 时，或许真的可以增加不少效能哩！

4 DNS 服务器的配置

好了，经过上面的说明后，我们大概知道 DNS 的几个小细节是这样的：

DNS 服务器的架设需要上层 DNS 的授权才可以成为合法的 DNS 服务器；
配置文件位置：目前 bind 程序已进行 chroot，相关目录可参考 /etc/sysconfig/named；
named 主要配置文件是 /etc/named.conf；
每个正、反解领域都需要一个数据库档案，而文件名则是由 /etc/named.conf 所设定；
当 DNS 查询时，若本身没有数据库档案，则前往 root (.) 或 forwarders 服务器查询；
named 是否启动成功务必要查阅 /var/log/messages 内的信息！

其中第一点很重要，因为我们尚未向上层 ISP 注册合法的域名，所以我们当然就没有权利架设合法的 DNS 服务器了。而由于担心我们的 DNS 服务器会与外部因特网环境互相干扰，所以底下鸟哥将主要以一个 centos.vbird 的领域名来架设 DNS 服务器，如此一来咱们就可以好好的玩一玩自己局域网络内的 DNS 啦！

4.1 正解文件记录的数据 (Resource Record, RR)

既然 DNS 最早之前的目的就是要从主机名去找到 IP，所以就让我们先从正解 zone 来谈起吧。既然要谈正解，那么就应该要了解正解档案记录的信息有哪些吧？在这个小节里面，我们就先来谈谈正解 zone 常常记录的数据有哪些吧。

正解文件资源记录 (resource record, RR) 格式

我们从前面几个小节的 dig 指令输出结果中，可以发现到一个有趣的咚咚，那就是输出的数据格式似乎是固定的！举例来说，查询 www.ksu.edu.tw 的 IP 时，输出的结果为：

[root@www ~]# dig www.ksu.edu.tw....(前面省略)....
;; ANSWER SECTION:
www.ksu.edu.tw.         2203    IN      A       120.114.100.101

;; AUTHORITY SECTION:
ksu.edu.tw.             911     IN      NS      dns1.ksu.edu.tw.....(后面省略)....
# 上面的输出数据已经被简化过了，重点是要大家了解 RR 的格式

在答案的输出阶段，主要查询得到的是 A 的标志，在认证阶段，则是提供 ksu.edu.tw 的 NS 服务器为哪一部的意思。格式非常接近，只是 A 后面接 IP，而 NS 后面接主机名而已。我们可以将整个输出的格式简化成为如下的说明：

[domain]   [ttl]          IN [[RR type]  [RR data]]
[待查数据] [暂存时间(秒)] IN [[资源类型] [资源内容]]

上表中，关键词 IN 是固定的，而 RR type 与 RR data 则是互有关连性的，例如刚刚才提过的 A 就是接 IP 而不是主机名啊。此外，在 domain 的部分，若可能的话，请尽量使用 FQDN，亦即是主机名结尾加上一个小数点的 (.) 就被称为 FQDN 了！例如刚刚 dig www.ksu.edu.tw 的输出结果中，在答案阶段时，搜寻的主机名会变成 www.ksu.edu.tw. 喔！注意看最后面有个小数点喔！那个小数点非常重要！

至于 ttl 就是 time to live 的缩写，意思就是当这笔记录被其他 DNS 服务器查询到后，这个记录会保持在对方 DNS 服务器的快取中，保持多少秒钟的意思。所以，当你反复执行 dig www.ksu.edu.tw 之后，就会发现这个时间会减少！为什么呢？因为在你的 DNS 快取中，这笔数据能够保存的时间会开始倒数，当这个数字归零后，下次有人再重新搜寻这笔记录时，你的 DNS 就会重新沿着 . (root) 开始重来搜寻一遍，而不会从快取里面捉取了 (因为快取内的资料会被舍弃)。

由于 ttl 可由特定的参数来统一控管，因此在 RR 的记录格式中，通常这个 ttl 的字段是可以忽略的。那么常见的 RR 有哪些呢？我们将正解文件的 RR 记录格式汇整如下：

# 常见的正解文件 RR 相关信息
[domain]    IN  [[RR type]  [RR data]]
主机名.   IN  A           IPv4 的 IP 地址
主机名.   IN  AAAA        IPv6 的 IP 地址
领域名.   IN  NS          管理这个领域名的服务器主机名字.
领域名.   IN  SOA         管理这个领域名的七个重要参数(容后说明)
领域名.   IN  MX          顺序数字  接收邮件的服务器主机名字
主机别名.   IN  CNAME       实际代表这个主机别名的主机名字.

接下来我们以昆山科大的 DNS 设定，包括 ksu.edu.tw 这个领域 (domain, zone)，以及 www.ksu.edu.tw 这个主机名 (FQDN) 的查询结果来跟大家解释每个 RR 记录的信息为何呦！

A, AAAA ：查询 IP 的记录

这个 A 的 RR 类型是在查询某个主机名的 IP，也是最长被查询的一个 RR 标志喔！举例来说，要找到 www.ksu.edu.tw 的 A 的话，就是这样查：

[root@www ~]# dig [-t a] www.ksu.edu.tw
;; ANSWER SECTION:
www.ksu.edu.tw.         2987    IN      A       120.114.100.101
# 主机FQDN.             ttl                     这部主机的 IP 就是这里# 仅列出答案阶段的资料，后续的 RR 相关标志也是这样显示的喔！
# 指令列中的 [-t a] 可以不加，而最左边主机名结尾都会有小数点喔！

左边是主机名，当然，你也可以让你的 domain 拥有一个 A 的标志，例如『 dig google.com 』也能找到 IP。不过，咱们昆山科大的 ksu.edu.tw 则没有设定 IP 就是了。要再次特别强调的，主机名如果是全名，结尾部分请务必加上小数点。如果你的 IP 设定的是 IPv6 的话，那么查询就得要使用 aaaa 类型才行。

NS ：查询管理领域名 (zone) 的服务器主机名

如果你想要知道 www.ksu.edu.tw 的这笔记录是由哪部 DNS 服务器提供的，那就得要使用 NS (NameServer) 的 RR 类型标志来查询。不过，由于 NS 是管理整个领域的，因此，你得要查询的目标将得输入 domain，亦即 ksu.edu.tw 才行喔！举例如下：

[root@www ~]# dig -t ns ksu.edu.tw
;; ANSWER SECTION:
ksu.edu.tw.             1596    IN      NS  dns1.ksu.edu.tw.

;; ADDITIONAL SECTION:
dns1.ksu.edu.tw.        577     IN      A   120.114.50.1
# 除了列出 NS 是哪部服务器之外，该服务器的 IP 也会额外提供！

前面提过，DNS 服务器是很重要的，因此至少都会有两部以上。昆山科大共有三部 DNS 服务器，鸟哥仅列出第一部提供参考。 NS 后面会加服务器名称，而这个服务器的 IP 也会额外提供才对！因此 NS 经常伴随 A 的标志啊！这样你才能到 NS 去查询数据嘛！这样说有理解吧？ ^_^

SOA ：查询管理领域名的服务器管理信息

如果你有多部 DNS 服务器管理同一个领域名时，那么最好使用 master/slave 的方式来进行管理。既然要这样管理，那就得要宣告被管理的 zone file 是如何进行传输的，此时就得要 SOA (Start Of Authority) 的标志了。先来瞧瞧昆山科大的设定是怎样：

[root@www ~]# dig -t soa ksu.edu.tw
;; ANSWER SECTION:
ksu.edu.tw.       3600   IN     SOA    dns1.ksu.edu.tw.   abuse.mail.ksu.edu.tw. 
  2010080369 1800 900 604800 86400
# 上述的输出结果是同一行喔！

SOA 主要是与领域有关，所以前面当然要写 ksu.edu.tw 这个领域名。而 SOA 后面共会接七个参数，这七个参数的意义依序是：

Master DNS 服务器主机名：这个领域主要是哪部 DNS 作为 master 的意思。在本例中， dns1.ksu.edu.tw 为 ksu.edu.tw 这个领域的主要 DNS 服务器啰；

管理员的 email：那么管理员的 email 为何？发生问题可以联络这个管理员。要注意的是，由于 @ 在数据库档案中是有特别意义的，因此这里就将 abuse@mail.ksu.edu.tw 改写成 abuse.mail.ksu.edu.tw ，这样看的懂了吗？

序号 (Serial)：这个序号代表的是这个数据库档案的新旧，序号越大代表越新。当 slave 要判断是否主动下载新的数据库时，就以序号是否比 slave 上的还要新来判断，若是则下载，若不是则不下载。所以当你修订了数据库内容时，记得要将这个数值放大才行！为了方便用户记忆，通常序号都会使用日期格式『YYYYMMDDNU』来记忆，例如昆山科大的 2010080369 序号代表 2010/08/03 当天的第 69 次更新的感觉。不过，序号不可大于 2 的 32 次方，亦即必须小于 4294967296 才行喔。

更新频率 (Refresh)：那么啥时 slave 会去向 master 要求数据更新的判断？就是这个数值定义的。昆山科大的 DNS 设定每 1800 秒进行一次 slave 向 master 要求数据更新。那每次 slave 去更新时，如果发现序号没有比较大，那就不会下载数据库档案。

失败重新尝试时间 (Retry)：如果因为某些因素，导致 slave 无法对 master 达成联机，那么在多久的时间内，slave 会尝试重新联机到 master。在昆山科大的设定中，900 秒会重新尝试一次。意思是说，每 1800 秒 slave 会主动向 master 联机，但如果该次联机没有成功，那接下来尝试联机的时间会变成 900 秒。若后来有成功，则又会恢复到 1800 秒才再一次联机。

失效时间 (Expire)：如果一直失败尝试时间，持续联机到达这个设定值时限，那么 slave 将不再继续尝试联机，并且尝试删除这份下载的 zone file 信息。昆山科大设定为 604800 秒。意思是说，当联机一直失败，每 900 秒尝试到达 604800 秒后，昆山科大的 slave 将不再更新，只能等待系统管理员的处理。

快取时间 (Minumum TTL)：如果这个数据库 zone file 中，每笔 RR 记录都没有写到 TTL 快取时间的话，那么就以这个 SOA 的设定值为主。

除了 Serial 不可以超过 2 的 32 次方之外，有没有其它的限制啊针对这几个数值？是有的，基本上就是这样：

Refresh >= Retry *2
Refresh + Retry < Expire
Expire >= Rrtry * 10
Expire >= 7Days

一般来说，如果 DNS RR 资料变更情况频繁的，那么上述的相关数值可以订定的小一些，如果 DNS RR 是很稳定的，为了节省带宽，则可以将 Refresh 设定的较大一些。

CNAME ：设定某主机名的别名 (alias)

有时候你不想要针对某个主机名设定 A 的标志，而是想透过另外一部主机名的 A 来规范这个新主机名时，可以使用别名 (CNAME) 的设定喔！举例来说，追踪 www.google.com 时，你会发现这样：

意思是说，当你要追查 www.google.com 时，请找 www.1.google.com 那个主机，而那个主机的 A 就上面第二行的显示了。鸟哥常常开玩笑的说，你知道鸟哥的身份证字号吗？你到户政事务所去查『鸟哥』时，他会说：『没这个人啊！因为没有人姓鸟...』，这个『鸟哥』就是别名 (CNAME) ，而对应到的名称就是『蔡某某』，这个蔡某某才真的有身份字号的意思～一层一层去追踪啰～

这个 CNAME 有啥好处呢？用 A 就好了吧？其实还是有好处的，举例来说，如果你有一个 IP，这个 IP 是给很多主机名使用的。那么当你的 IP 更改时，所有的数据就得通通更新 A 标志才行。如果你只有一个主要主机名设定 A，而其他的标志使用 CNAME 时，那么当 IP 更改，那你只要修订一个 A 的标志，其他的 CNAME 就跟着变动了！处理起来比较容易啊！

[root@www ~]# dig www.google.com
;; ANSWER SECTION:
www.google.com.         557697  IN      CNAME   www.l.google.com.www.l.google.com.       298     IN      A       72.14.203.99

MX ：查询某领域名的邮件服务器主机名

MX 是 Mail eXchanger (邮件交换) 的意思，通常你的整个领域会设定一个 MX ，代表，所有寄给这个领域的 email 应该要送到后头的 email server 主机名上头才是。先看看昆大的资料：

[root@www ~]# dig -t mx ksu.edu.tw
;; ANSWER SECTION:
ksu.edu.tw.             3600    IN      MX      8 mx01.ksu.edu.tw.

;; ADDITIONAL SECTION:
mx01.ksu.edu.tw.        3600    IN      A       120.114.100.28

上头的意思是说，当有信件要送给 ksu.edu.tw 这个领域时，则预先将信件传送给 mx01.ksu.edu.tw 这部邮件服务器管理，当然啦，这部 mx01.ksu.edu.tw 自然就是昆大自己管理的邮件服务器才行！MX 后面接的主机名通常就是合法 mail server，而想要当 MX 服务器，就得要有 A 的标志才行～所以上表后面就会出现 mx01.ksu.edu.tw 的 A 啊！

那么在 mx01 之前的 8 是什么意思？由于担心邮件会遗失，因此较大型的企业会有多部这样的上层邮件服务器来预先收受信件。那么到底哪部邮件主机会先收下呢？就以数字较小的那部优先啰！举例来说，如果你去查 google.com 的 MX 标志，就会发现他有 5 部这样的服务器呢！

4.2 反解文件记录的 RR 数据

讲完了正解来谈谈反解吧！在讲反解之前，先来谈谈正解主机名的追踪方式。以 www.ksu.edu.tw. 来说，整个网域的概念来看，越右边出现的名称代表网域越大！举例来说，.(root) > tw > edu 以此类推。因此追踪时，是由大范围找到小范围，最后，我们就知道追踪的方向如图 19.1-4 所示那样。

但是 IP 则不一样啊！以昆大的 120.114.100.101 来说好了，当然是 120 > 114 > 100 > 101 ，左边的网域最大！与预设的 DNS 从右边向左边查询不一样啊！那怎办？为了解决这个问题，所以反解的 zone 就必须要将 IP 反过来写，而在结尾时加上 .in-addr.arpa. 的结尾字样即可。所以，当你想要追踪反解时，那么反解的结果就会是：

[root@www ~]# dig -x 120.114.100.101
;; ANSWER SECTION:
101.100.114.120.in-addr.arpa. 3600 IN   PTR     www.ksu.edu.tw.

例如上述的结果中，我们要查询的主机名竟然变成了 IP 反转的模样！所以才称为反解嘛！而反解的标志最重要的就是 PTR 了！

PTR ：就是反解啊！所以是查询 IP 所对应的主机名

进行反解时，要注意的就是 zone 的名称了！要将 IP 反转过来写，并且结尾加上 .in-addr.arpa. 才行！例如 120.114.100.0/24 这个 class C IP 网段的反解设定，就必须要写成： 100.114.120.in-addr.arpa. 这样的 zone 名称才行。而 PTR 后面接的自然就是主机名啰！

在反解最重要的地方就是：后面的主机名尽量使用完整 FQDN，亦即加上小数点 (.) ！为什么呢？举 100.114.120.in-addr.arpa. 为例，如果你只是填写主机名，并没有填写领域名，那么当人家追踪你的主机名时，你的主机名会变成： www.100.114.120.in-addr.arpa. 的怪模样。这是比较需要注意的地方。

4.3 步骤一：DNS 的环境规划：正解、反解 zone 的预先定义案例说明

现在假设鸟哥的区网环境中想要设定 DNS 服务器，鸟哥的区网原本规划的域名就是 centos.vbird，且搭配的 IP 网段为 192.168.100.0/24 这一段，因此主要的正解网域为 centos.vbird，而反解的网域则为 192.168.100.0/24，鸟哥的这部 DNS 服务器想要自己找寻 .(root) 而不透过 forwarders 的辅助，因此还得要 . 的领域正解档。综合起来说，鸟哥需要设定到的档案就有这几个：

named.conf (主要配置文件)
named.centos.vbird (主要的 centos.vbird 的正解檔)
named.192.168.100 (主要的 192.168.100.0/24 的反解檔)
named.ca (由 bind 软件提供的 . 正解檔)

如果我还想要加入其他的领域，例如 niki.vbird 可不可以啊？当然可以啊！就再多一个数据库正解档案即可！还有，鸟哥上头这个设定资料为内部私有的，所以你可以完全照着玩！并不会影响到外部的因特网啦！只是，因特网也查不到你的 DNS 设定就是了～反正是练功嘛！^_^

至于数据库的正、反解对应上，依据实际的测试环境，规划如下 (亦请参考第三章图 3.2-1)：

：

操作系统与IP	主机名与 RR 标志	说明
Linux (192.168.100.254)	master.centos.vbird (NS, A) www.centos.vbird (A) linux.centos.vbird (CNAME) ftp.centos.vbird (CNAME) forum.centos.vbird (CNAME) www.centos.vbird (MX)	DNS 设置是使用 master.centos.vbird 这个 DNS 服务器名称。至于这部主机的另一个主要名称是 www.centos.vbird，其他的都是 CNAME，这样未来比较好修改。同时给予一个 MX 的标志给主要主机名喔
Linux (192.168.100.10)	slave.centos.vbird (NS, A) clientlinux.centos.vbird(A)	未来作为 slave DNS 的接班人～
WinXP (192.168.1.101)	workstation.centos.vbird (A)	一部经常用来工作的工作机
WinXP (192.168.100.20)	winxp.centos.vbird (A)	一部用来测试的 Windows XP
Win7 (192.168.100.30)	win7.centos.vbird (A)	一部用来测试的 Windows 7

请

请特别留意啊，一个 IP 可以对应给多个主机名，同样的，一个主机名可以给予多个 IP 喔！主要是因为那部 www.centos.vbird 的机器未来的用途相当的多，鸟哥希望那一部主机有多个名称，以方便未来额外的规划啊。所以就对该 IP 对应了四个主机名啊！

Tips:
在自家设的没有经过合法授权的 DNS 最好不要以 Internet 上面已经存在的领域名来练习架设！ 举例来说，假设今天你以 192.168.100.254 那部机器来架设 *.yahoo.com 的领域， 因为我将 192.168.100.254 放置在第一位，导致每次的查询其实 yahoo.com 这个领域的数据都是直接由 192.168.100.254 所提供，这很不好～因为可能会造成你的客户端的不便～

4.4 步骤二：主配置文件 /etc/named.conf 的设置

这个配置文件较多的 options 参数我们已经在 19.3.3 里面谈过，在我们目前的案例中，则必须要将 forwarders 相关功能取消，并加上禁止传输 zone file 的参数即可。至于 zone 的设定上，必须要包含上个小节谈到的三个主要的 zone 喔！因此这个档案的任务是：

options：全局配置规范 DNS 服务器的权限 (可否查询、forward 与否等)；
zone：设定出 zone (domain name) 以及 zone file 的所在 (包含 master/slave/hint)；
其他：设定 DNS 本机管理接口以及其相关的密钥档案 (key file)。(本章稍后进阶应用再谈)

那就直接看一下鸟哥的范本吧：

[root@www ~]# vim /etc/named.conf
options {
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        allow-transfer  { none; };// 不许别人进行 zone 转移
};

zone "." IN {
        type hint;
        file "named.ca";
};
zone "centos.vbird" IN {            // 这个 zone 的名称
        type master;                // 是什么类型
        file "named.centos.vbird";  // 档案放在哪里
};
zone "100.168.192.in-addr.arpa" IN {
        type master;
        file "named.192.168.100";
};

在 options 里面仅新增一个新的参数，就是 allow-transfer，意义为：

allow-transfer ( none; };

是否允许来自 slave DNS 对我的整个领域数据进行传送？这个设定值与 master/slave DNS 服务器之间的数据库传送有关。除非你有 slave DNS 服务器，否则这里不要开放喔！因此这里我们先设定为 none。

至于在 zone 里面的设定值，主要则有底下几个：

zone 内的相关参数说明
设定值	意义
type	该 zone 的类型，主要的类型有针对 . 的 hint，以及自己手动修改数据库档案的 master，与可自动更新数据库的 slave。
file	就是 zone file 的檔名啊！(注意 chroot 与否呦！)
反解 zone	主要就是 in-addr.arpa 这个玩意儿！请参考 19.4.2 的解释

为何档名都是 named 开头呢？这只是个习惯而已，你也可以依据自己的习惯来订定档名的。经过上面的

为何档名都是 named 开头呢？这只是个习惯而已，你也可以依据自己的习惯来订定档名的。经过上面的说明，所以我们会知道，zone file 档名都是透过 named.conf 这个配置文件来规范的啊！

19.4.5 步骤三：最上层 . (root) 数据库档案的设定

从图 19.1-4 可以知道 . 的重要性！那么这个 . 在哪里呢？事实上，它是由 INTERNIC 所管理维护的，全世界共有 13 部管理 . 的 DNS 服务器呢！相关的最新设定在：

ftp://rs.internic.net/domain/named.root

要不要下载最新的资料随你便，因为我们的 CentOS 6.x 内的 bind 软件已经提供了一个名为 named.ca 的档案了，鸟哥是直接使用系统提供的数据啦。这个档案的内容有点像这样：

[root@www ~]# vim /var/named/named.ca
. <==这里有个小数点     518400  IN      NS      A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.     3600000 IN      A       198.41.0.4
# 上面这两行是成对的！代表点由 A.ROOT-SERVERS.NET. 管理，并附上 IP 查询
. <==这里有个小数点     518400  IN      NS      M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.     3600000 IN      A       202.12.27.33
M.ROOT-SERVERS.NET.     3600000 IN      AAAA    2001:dc3::35
# 上面这三行是成对的，代表 M 开头的服务器有 A 与 AAAA 的记录

相关的正解标志 NS, A, AAAA 意义，请回 19.4.1 去查询，这里不再解释。比较特殊的是，由于考虑 IPv6 未来的流行性，因此很多部 . 服务器都加上 AAAA 的 IPv6 功能啰。这个档案的内容你不要修改啊～因为这个内容是 Internet 上面通用的数据，一般来说，也不会常常变动，所以不需要更动他，将他放置到正确的目录并改成你所指定的档名即可啊！接下来可以看看其他正解档案啦！

19.4.6 步骤四：正解数据库档案的设定

再来开始正解档的设定吧！正解文件一定要有的 RR 标志有底下几个喔：

关于本领域的基础设定方面：例如快取记忆时间 (TTL)、领域名 (ORIGIN) 等；
关于 master/slave 的认证方面 (SOA)；
关于本领域的领域名服务器所在主机名与 IP 对应 (NS, A)；
其他正反解相关的资源记录 (A, MX, CNAME 等)。

相关的 RR 意义请回 19.4.1 去查询。此外，这个档案的特殊符号也得跟大家报告一下：

：

字符	意义
一定从行首开始	所有设定数据一定要从行首开始，前面不可有空格符。若有空格符，代表延续前一个 domain 的意思～非常重要～
@	这个符号代表 zone 的意思！例如写在 named.centos.vbird 中，@ 代表 centos.vbird.，如果写在 named.192.168.100 档案中，则 @ 代表 100.168.192.in-addr.arpa. 的意思 (参考 named.conf 内的 zone 设定)
.	这个点 (.) 很重要！因为他代表一个完整主机名 (FQDN) 而不是仅有 hostname 而已。举例来说，在 named.centos.vbird 当中写 www.centos.vbird 则代表 FQDN 为 www.centos.vbird.@ ==> www.centos.vbird.centos.vbird. 喔！因此当然要写成 www.centos.vbird. 才对！
;	代表批注符号～似乎 # 也是批注～两个符号都能使用

鸟哥打算沿用系统提供的一些配置文件，然后据以修改成为鸟哥自己需要的环境。整个 DNS 是由 master.centos.vbird 这部服务器管理的，而管理者的 email 为 vbird@www.centos.vbird 这个。整个正解档最终有点像这样：

[root@www ~]# vim /var/named/named.centos.vbird# 与整个领域相关性较高的设定包括 NS, A, MX, SOA 等标志的设定处！$TTL    600
@                       IN SOA   master.centos.vbird. vbird.www.centos.vbird. (2011080401 3H 15M 1W 1D ); 与上面是同一行
@                       IN NS    master.centos.vbird.; DNS 服务器名称
master.centos.vbird.    IN A     192.168.100.254; DNS 服务器 IP
@                       IN MX 10 www.centos.vbird.; 领域名的邮件服务器# 针对 192.168.100.254 这部主机的所有相关正解设定。
www.centos.vbird.       IN A     192.168.100.254
linux.centos.vbird.     IN CNAME www.centos.vbird.
ftp.centos.vbird.       IN CNAME www.centos.vbird.
forum.centos.vbird.     IN CNAME www.centos.vbird.

# 其他几部主机的主机名正解设定。
slave.centos.vbird.       IN A    192.168.100.10
clientlinux.centos.vbird. IN A    192.168.100.10
workstation.centos.vbird. IN A    192.168.1.101
winxp.centos.vbird.       IN A    192.168.100.20
win7                      IN A    192.168.100.30; 这是简化的写法！

再次强调，一个正解的数据库设定中，至少应该要有 $TTL, SOA, NS (与这部 NS 主机名的 A)，鸟哥将这些基本要用到的标志写在上表的第一部份。至于其他的，则是相关的主机名正解设定啰。如果这些设定值你看不懂，那么，可以肯定的是，请回 19.4.1 去瞧瞧吧！底下强调一下之前没有讲到的设定值项目：

：

关于本领域的一些设定值
设定值	说明
$TTL	为了简化每笔 RR 记录的设定，因此我们将 TTL 挪到最前面统一设定。因为鸟哥的 DNS 服务器还在测试中，所以 TTL 写了个比较小的数值，可以存在对方 DNS 服务器的快取 600 秒而已。
$ORIGIN	这个设定值可以重新指定 zone 的定义。在预设的情况下，这个正反解数据库档案中的 zone 是由 named.conf 所指定的，就是 zone 那个参数的功能。不过，这个 zone 是可以改的，就是用 $ORIGIN 来修订就是了。通常这个设定值不会用到的

老实说，初次设定 DNS 的朋友大概都会被那个小数点 (.) 玩死～其实你不要太紧张，只要记住：『加上了 . 表示这是个完整的主机名 (FQDN)，亦即是 "hostname + domain name" 了，如果没有加上 . 的话，表示该名称仅为 "hostname" 而已！因为我们这个配置文件的 zone 是 centos.vbird，所以上表的最后一行，鸟哥只写出主机名 (win7) ，因为没有小数点结尾，因此完整的 FQDN 要加上 zone，所以主机名 win7 代表的是： win7.centos.vbird. 喔！

19.4.7 步骤五：反解数据库档案的设定

反解跟正解一样，还都需要 TTL, SOA, NS 等等的，但是相对于正解里面有 A，反解里面则仅有 PTR 喔！另外，由于反解的 zone 名称是很怪 zz.yy.xx.in-addr.arpa. 的模样，因此只要在反解里面要用到主机名时，务必使用 FQDN 来设定啊！更多与反解有关的资料，请到 19.4.2 去查阅喔！至于 192.168.100.0/24 这个网域的 DNS 反解则成为：

[root@www ~]# vim /var/named/named.192.168.100
$TTL    600
@       IN SOA  master.centos.vbird. vbird.www.centos.vbird. (
                2011080401 3H 15M 1W 1D )
@       IN NS   master.centos.vbird.
254     IN PTR  master.centos.vbird.; 将原本的 A 改成 PTR 的标志而已

254     IN PTR  www.centos.vbird.     ; 这些是特定的 IP 对应
10      IN PTR  slave.centos.vbird.
20      IN PTR  winxp.centos.vbird.
30      IN PTR  win7.centos.vbird.

101     IN PTR  dhcp101.centos.vbird.  ; 可能针对 DHCP (第十二章) 的 IP 设定
102     IN PTR  dhcp102.centos.vbird.
....(中间省略)....
200     IN PTR  dhcp200.centos.vbird.

因为我们的 zone 是 100.168.192.in-addr.arpa. 这一个，因此 IP 的全名部分已经含有 192.168.100 了，所以在上表当中的最左边，数值只需要存在最后一个 IP 即可。因此 254 就代表 192.168.100.254 啰！此外，为了担心 DHCP 自动分配的 IP 没有对应的主机名，所以这里也附挂了 192.168.100.{101~200} 的主机名对应喔！

4.8 步骤六：DNS 的启动、观察与防火墙

DNS 的启动也太简单了吧？就直接利用系统提供的启动 script 即可！

[root@www ~]# /etc/init.d/named restart<==也可能是需要 restart 喔
[root@www ~]# chkconfig named on

但即使画面上出现的是『确定』或『OK』，都不见得你的 DNS 服务是正常的。所以，请你『务必』查阅 /var/log/messages 的内容才行！基本上，内容会有点像这样：

[root@www ~]# tail -n 30 /var/log/messages | grep named
named[3511]: starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named -t 
/var/named/chroot
named[3511]: adjusted limit on open files from 1024 to 1048576
named[3511]: found 1 CPU, using 1 worker thread
named[3511]: using up to 4096 sockets
named[3511]: loading configuration from '/etc/named.conf'
named[3511]: using default UDP/IPv4 port range: [1024, 65535]
named[3511]: using default UDP/IPv6 port range: [1024, 65535]
named[3511]: listening on IPv4 interface lo, 127.0.0.1#53
named[3511]: listening on IPv4 interface eth0, 192.168.1.100#53
named[3511]: listening on IPv4 interface eth1, 192.168.100.254#53
named[3511]: command channel listening on 127.0.0.1#953
named[3511]: command channel listening on ::1#953
named[3511]: the working directory is not writable
named[3511]: zone 100.168.192.in-addr.arpa/IN: loaded serial 2011080401
named[3511]: zone centos.vbird/IN: loaded serial 2011080401
named[3511]: running

上面的输出讯息中，你得要特别注意有画底线的部分。包括 -t chroot_dir 是设定 chroot 目录的位置，而配置文件 (configuration) 则是 /etc/named.conf，最重要的是你的所有的 zone (hint 类型的 . 除外) 的序号 (serial) 号码要跟你的数据库内容一致才行！而且不能够有出现『设定的档名:数字』的内容，否则肯定就是配置文件有问题～上面的讯息看起来还算 OK 啦！

在上述的输出数据当中因为信息太长了，所以鸟哥将登录的时间与主机的字段拿掉了！上面是顺利启动时的状况，如果出现问题怎办？通常出现问题的原因是因为：

语法设定错误：

这个问题好解决，因为在 /var/log/messages 里面有详细的说明，按照内容去修订即可；

逻辑设定错误：

这个就比较困扰了！为什么呢？因为他主要发生在你设定 DNS 主机的时候，考虑不周所产生的问题！例如忘记加上 (.)，系统不会显示错误讯息，但是却会造成查询的误判，而 MX 设定的主机名错误，也不会出现有问题的讯息，但是 mail server 就是会收不到信等等～这些错误都需要很详细的 DNS client 的测试才能知道问题的所在。

我们这里先就语法设定错误方面进行介绍，至于逻辑设定的问题，那个就需要多多的进行测试才能知道了～底下的错误讯息都会记录在 /var/log/messages 里面喔！

named: /etc/named.conf:8: missing ';' before '}'
# 注意到上面提到的文件名与数字吗？说明的是 /etc/named.conf 的第 8 行，
# 至于错误是因为缺少分号 (;) 所致！去修正一下即可。

dns_rdata_fromtext: named.centos.vbird:4: near eol: unexpected end of input
zone centos.vbird/IN: loading master file named.centos.vbird: unexpected end of input
_default/centos.vbird/IN: unexpected end of input
# 指的是 named.centos.vbird 的第 4 行有问题，察看档案内容第 4 行是 SOA 的项目，
# 通常是 SOA 那五个数字没有完全！赶紧去修订一下即可啊！

dns_rdata_fromtext: named.centos.vbird:7: near 'www.centos.vbird.': 
not a valid number
# 说明第 7 行在 www.centos.vbird 附近需要有一个合法的数字！刚好是 MX ，
# 所以，赶紧加上一个合法的数字，去瞧瞧改改即可！

通常最大的问题是...打错字！所以，务必要慢慢打字，慢慢察看清楚，尤其是登录文件内的信息喔！都处理完毕之后，也能够透过 netstat 去查到 port 53 有在监听，再来就是要放行人家的查询了！所以，又得要修改防火墙啰！假设你还是安装鸟哥的防火墙脚本，那么接下来就是：

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule# 找到如下两行，将批注拿掉即可！
iptables -A INPUT -p UDP -i $EXTIF --dport  53  --sport 1024:65534 -j ACCEPT
iptables -A INPUT -p TCP -i $EXTIF --dport  53  --sport 1024:65534 -j ACCEPT

[root@www ~]# /usr/local/virus/iptables/iptables.rule

4.9 步骤七：测试与数据库更新

在上面的设定都搞定，并且启动之后，你的 DNS 服务器应该是已经妥当的在运作了。那你怎么知道你的设定是否合理？当然要作测试喔！测试有两种方式，一种是藉由 client 端的查询功能，目的是检验你的数据库设定有无错误；另外你也可以连上底下这个网站：

http://thednsreport.com/

这个网站可以帮你检验你的 DNS 服务器的主要设定是否有问题！不过，这个网站的检验主要是以合法授权的 zone 为主，我们自己乱搞的 DNS 是没有办法检查的啦！真是可惜～好了，就让我们来测试测试结果吧！首先，得将 DNS 服务器自己的 /etc/resolv.conf 改成如下模样较佳：

[root@www ~]# vim /etc/resolv.confnameserver 192.168.100.254<==自己的 IP 一定要最早出现！
nameserver 168.95.1.1

接下来，就让我们针对上面较重要的正、反解信息进行检测吧！同样的，鸟哥也仅列出答案的部分而已！

# 1. 检查 master.centos.vbird 以及 www.centos.vbird 的 A 标志
[root@www ~]# dig master.centos.vbird
;; ANSWER SECTION:
master.centos.vbird.    600     IN      A       192.168.100.254
[root@www ~]# dig www.centos.vbird
;; ANSWER SECTION:
www.centos.vbird.       600     IN      A       192.168.100.254# 2. 检查 ftp.centos.vbird 与 winxp 等等的 A 标志
[root@www ~]# dig ftp.centos.vbird
;; ANSWER SECTION:
ftp.centos.vbird.       600     IN      CNAME   www.centos.vbird.
www.centos.vbird.       600     IN      A       192.168.100.254
[root@www ~]# dig winxp.centos.vbird
;; ANSWER SECTION:
winxp.centos.vbird.     600     IN      A       192.168.100.20# 3. 检查 centos.vbird 这个 zone 的 MX
[root@www ~]# dig -t mx centos.vbird
;; ANSWER SECTION:
centos.vbird.           600     IN      MX      10 www.centos.vbird.# 4. 检查 192.168.100.254 及 192.168.100.10 的反解
[root@www ~]# dig -x 192.168.100.254
;; ANSWER SECTION:
254.100.168.192.in-addr.arpa. 600 IN    PTR     www.centos.vbird.
254.100.168.192.in-addr.arpa. 600 IN    PTR     master.centos.vbird.
[root@www ~]# dig -x 192.168.100.10
;; ANSWER SECTION:
10.100.168.192.in-addr.arpa. 600 IN     PTR     slave.centos.vbird.

测试要成功才行呦！什么是成功呢？除了要真的有数据显示之外，该资料是否正是你要的模样？那才是顺利成功。如果有出现错误的信息，例如找不到 www.centos.vbird 之类的，那就失败了，得要找出问题才行。

另外，如果你的数据库需要更新时，应该做哪些举动啊？举例来说，你的某个主机 IP 或者主机名要变更，也可能是新增某个主机名与 IP 的对应呢！很简单啦，通常这样做就好了：

先针对要更改的那个 zone 的数据库档案去做更新，就是加入 RR 的标志即是！
更改该 zone file 的序号 (Serial) ，就是那个 SOA 的第三个参数 (第一个数字)，因为这个数字会影响到 master/slave 的判定更新与否喔！
重新启动 named ，或者是让 named 重新读取配置文件即可。

就这么简单啊！不过大家常常会忘记第二个步骤啦！就是将序号变大啊！如果序号没有变大，那 master/slave 的数据库可能不会主动的更新，会造成一些困扰喔！

19.5 协同工作的 DNS： Slave DNS 及子域授权设定

我们在本章一开始就曾谈过，DNS 大概是未来最重要的网络服务之一，因为所有的主机名需求都得要 DNS 提供才行。因此，ISP 在提供 domain name 注册时，就强调得要有两部以上的 DNS 服务器才行。而为了简化 DNS 管理人员的负担，使用 Master/Slave DNS 架构的情况会比较好！为什么呢？让我们再回忆一下 Slave DNS 的特色：

为了不间断的提供 DNS 服务，你的领域至少需要有两部 DNS 服务器来提供查询的功能；
承上，这几部 DNS 服务器应该要分散在两个以上的不同 IP 网域才好；
为方便管理，通常除了一部主要 Master DNS 之外，其他的 DNS 会使用 slave 的模式；
slave DNS 服务器本身并没有数据库，他的数据库是由 master DNS 所提供的；
master/slave DNS 必需要可以相互传输 zone file 的相关信息才行，这部份需要 /etc/named.conf 之设定辅助。

除此之外，如果你有朋友或者是学生想要跟你要一个子域，那又该如何设定另一部 DNS 服务器呢？就让我们依序来谈谈啰～

19.5.1 master DNS 权限的开放

我们使用 19.4.3 的案例，继续来架设一部支持该案例的 slave DNS 吧！基本的假设为：

提供 slave DNS 服务器进行 zone transfer 的服务器为 master.centos.vbird
centos.vbird 及 100.168.192.in-addr.arpa 两个 zone 都提供给 slave DNS 使用
master.centos.vbird 的 named 仅提供给 slave.centos.vbird 这部主机进行 zone transfer
Slave DNS server 架设在 192.168.100.10 这部服务器上面 (所以 zone file 要修订)

如上所示，我们的 master.centos.vbird 这部服务器除了 named.conf 需要调整之外，两个 zone file 也都需要调整！在 named.conf 当中，需要设定哪个 IP 可以对我的 zone 进行传输 (allow-transfer)，而在 zone file 当中，就是各加入一笔 NS 的记录即可！增加的部分如下所示：

# 1. 修订 named.conf，主要修改 zone 参数内的 allow-transfer 项目
[root@www ~]# vim /etc/named.conf....前面省略....
zone "centos.vbird" IN {
        type master;
        file "named.centos.vbird";
        allow-transfer { 192.168.100.10; };// 在这里新增 slave 的 IP
};
zone "100.168.192.in-addr.arpa" IN {
        type master;
        file "named.192.168.100";
        allow-transfer { 192.168.100.10; };// 在这里新增 slave 的 IP
};

在上头所列示的那两个数据库档案当中，你必须要新增所需要的 NS 标志才行！NS 对应的主机名为 slave.centos.vbird， IP 则是 192.168.100.10 呦！结果如下：

# 2. 在 zone file 里面新增 NS 标志，要注意需要有 A(正解) 及 PTR(反解) 的设定
[root@www ~]# vim /var/named/named.centos.vbird
$TTL    600
@                       IN SOA   master.centos.vbird. vbird.www.centos.vbird. (
                                 2011080402 3H 15M 1W 1D )
@                       IN NS    master.centos.vbird.
@                       IN NS    slave.centos.vbird.
master.centos.vbird.    IN A     192.168.100.254
slave.centos.vbird.     IN A     192.168.100.10
@                       IN MX 10 www.centos.vbird.
....(底下省略)....

[root@www ~]# vim /var/named/named.192.168.100
$TTL    600
@       IN SOA  master.centos.vbird. vbird.www.centos.vbird. (
                2011080402 3H 15M 1W 1D )
@       IN NS   master.centos.vbird.
@       IN NS   slave.centos.vbird.
254     IN PTR  master.centos.vbird.
10      IN PTR  slave.centos.vbird.....(底下省略)....
# 要特别注意一件事，那就是，你的 zone file 内的序号要增加！鸟哥测试日期是 8/4，
# 第 2 次进行，所以序号就以该天的日期为准来设计的！最后记得 restart 一下啦！

[root@www ~]# /etc/init.d/named restart
[root@www ~]# tail -n 30 /var/log/messages | grep named
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named -t /var/named/chroot
....(中间省略)....
zone 100.168.192.in-addr.arpa/IN: loaded serial 2011080402
zone centos.vbird/IN: loaded serial 2011080402
zone 100.168.192.in-addr.arpa/IN: sending notifies (serial 2011080402)
zone centos.vbird/IN: sending notifies (serial 2011080402)

反正重新启动过 named 后，直觉记得就是要查阅 messages 登录信息就对了。从上表的输出来看，会多一个 sending notifies (传送注意事项) 关键词的数据，那就是提醒 slave DNS 来比对序号大小了！所以，你说，序号有没有很重要呢？当然很重要啊！连登录讯息都会告知序号的大小哩！这样 master DNS 就设定妥当啰！接下来玩玩 Slave 的设定吧！

19.5.2 Slave DNS 的设定与数据库权限问题

既然 Slave DNS 也是 DNS 服务器嘛！所以，当然也是需要安装 bind, bind-chroot 等等的软件！这部份回去 19.3.1 里面瞧瞧即可，反正记得使用 yum 安装就对了。接下来得要设定 named.conf 吧？而既然 Master/Slave 的数据库是相同的，所以，理论上， named.conf 内容就是大同小异啰～唯一要注意的就是 zone type 类型的差异，以及宣告 master 在哪里就是了。至于 zone filename 部分，由于 zone file 都是从 master 取得的，透过 named 这个程序来主动建立起需要的 zone file，因此这个 zone file 放置的目录权限就很重要！让我们直接来处理看看：

# 1. 准备 named.conf 的内容：
[root@clientlinux ~]# vim /etc/named.conf....(前面的部分完全与 master.centos.vbird 相同，故省略)....
zone "centos.vbird" IN {
        type slave;
        file "slaves/named.centos.vbird";
        masters { 192.168.100.254; };
};
zone "100.168.192.in-addr.arpa" IN {
        type slave;
        file "slaves/named.192.168.100";
        masters { 192.168.100.254; };
};

# 2. 检查 zone file 预计建立的目录权限是否正确！底下目录为系统默认值：
[root@clientlinux ~]# ll -d /var/named/slavesdrwxrwx---. 2 named named 4096 2011-06-25 11:48 /var/named/slaves
# 注意权限、使用者以及群组三个字段的数据！需要与 named 这个用户及群组有关！

[root@clientlinux ~]# ll -dZ /var/named/slaves
drwxrwx---. named named system_u:object_r:named_cache_t:s0 /var/named/slaves
# 也不要忘记与 SELinux 有关的事情！

为了方便使用者设定，CentOS 预设在 /var/named/slaves/ 处理好了相关权限～所以你可以轻松的处理权限问题～我们就建议你的 slave zone file 放置在该目录下！所以上表当中的 file 参数才会这么写～此外，那个 masters 结尾有个 s 喔！这里最容易写错～那么要不要处理 zone file 呢？除了 named.ca 这个 . 需要主动存在之外，另外两个 type slave 的数据库档案，当然不必存在啊！因为会从 master 处取得嘛！接下来，就让我们来启动 named 并进行观察吧！

[root@clientlinux ~]# /etc/init.d/named start
[root@clientlinux ~]# chkconfig named on
[root@clientlinux ~]# tail -n 30 /var/log/messages | grep named
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named -t /var/named/chroot
loading configuration from '/etc/named.conf'
....(中间省略)....
running
zone 100.168.192.in-addr.arpa/IN: Transfer started.
zone 100.168.192.in-addr.arpa/IN: transferred serial 2011080402
zone centos.vbird/IN: Transfer started.
zone centos.vbird/IN: transferred serial 2011080402<==注意序号正确否# 你会看到如上的讯息，重点是还有告知序号喔！非常重要！

[root@clientlinux ~]# ll /var/named/slaves
-rw-r--r--. 1 named named 3707 2011-08-05 14:12 named.192.168.100
-rw-r--r--. 1 named named  605 2011-08-05 14:12 named.centos.vbird
# 这两个 zone file 会主动被建立起来呢！

[root@clientlinux ~]# dig master.centos.vbird @127.0.0.1
[root@clientlinux ~]# dig -x 192.168.100.254 @127.0.0.1# 上述两个检测的指令如果是正确的显示出 A 与 PTR 的话，那就完成了！

你瞧！如此一来你的 zone file 就会主动的被建立起来喔！未来如果你的 master DNS 要更新数据库时，只要修改过序号，并重新启动 named 后，这部 slave DNS 就会跟着更新啦！啊！真是『福气啦！』！！不过，如果你发现到启动 slave DNS 时，你的登录信息竟然是这样：

zone centos.vbird/IN: Transfer started.
transfer of 'centos.vbird/IN' from 192.168.100.254#53: connected using 
192.168.100.10#58187
dumping master file: tmp-a1bYfCd3i3: open: permission denied
transfer of 'centos.vbird/IN' from 192.168.100.254#53: failed while receiving 
responses: permission denied
transfer of 'centos.vbird/IN' from 192.168.100.254#53: end of transfer

如果出现类似这样的讯息时，不必怀疑啦！肯定是权限错误啦！请再次检查你的数据库档案所放置的目录权限是否可以让 named 写入啊！处理处理就好了！现在，你的 DNS 会变的更加强壮啰！因为有类似的备援系统啰～不过仍然要注意的是，网络查询 centos.vbird 时，master 与 slave 的地位是相同的，并不是 master 挂点才使用 slave 来查询喔！所以，这两部服务器的相同 domain 的数据库内容要完全一致才行！

19.5.3 建置子域 DNS 服务器：子域授权课题

除了 Master/Slave 需要协同 DNS 服务器共同提供服务之外，DNS 之间如果有上层、下属的关系时，该如何设定？亦即，假设我的网域很大，我只想要负责上层的 DNS 而已，下层希望直接交给各单位的负责人来负责，要怎么设定呢？举个例子来说，以成大为例，成大计中仅管理各个系所的 DNS 服务器 IP 而已，由于各个系所的主机数量可能很大，如果每个人都要请计中来设定，那么管理员可能会疯掉，而且在实际设计上也不太人性化。

所以啰，计中就将各个 subdomain (子域) 的管理权交给各个系所的主机管理员去管理，如此一来，各系所的设定上面会比较灵活，且上层 DNS 服务器管理员也不用太麻烦吶！

好了，那么如何开放子域授权呢？我们以刚刚在 master 上面建立的 centos.vbird 这个 zone 为例，假设今天你是个 ISP ，有个人想要跟妳申请 domain name ，他要的 domain 是『 niki.centos.vbird 』，那你该如何处理？

上层 DNS 服务器：亦即是 master.centos.vbird 这一部，只要在 centos.vbird 那个 zone file 内，增加指定 NS 并指向下层 DNS 的主机名与 IP (A) 即可，而 zone file 的序号也要增加才行；

下层 DNS 服务器：申请的领域名必须是上层 DNS 所可以提供的名称，并告知上层 DNS 管理员，我们这个 zone 所需指定的 DNS 主机名与对应的 IP 即可。然后就开始设定自己的 zone 与 zone file 相关数据。

假设我们管理 niki.centos.vbird 的服务器主机名为 dns.niki.centos.vbird ，而这部主机的 IP 为 192.168.100.200，那接下来就让我们实际来设定吧！

上层 DNS 服务器：只需新增 zone file 的 NS 与 A 即可

上层 DNS 的处理真是简单到爆炸！我们只要修改 master DNS (www.centos.vbird 那一部) 里面的 named.centos.vbird 这个正解档案即可。slave DNS 不用修改，是因为他会自动更新嘛！新增如下的数据即可：

[root@www ~]# vim /var/named/named.centos.vbird
@                       IN SOA   master.centos.vbird. vbird.www.centos.vbird. (
                                 2011080501 3H 15M 1W 1D )
# 上面的 SOA 部分序号加大，底下新增这两行即可 (原本的数据都保留不动)！niki.centos.vbird.      IN NS    dns.niki.centos.vbird.
dns.niki.centos.vbird.  IN A     192.168.100.200

[root@www ~]# /etc/init.d/named restart
[root@www ~]# tail -n 30 /var/log/messages | grep named
Aug  5 14:22:36 www named[9564]: zone centos.vbird/IN: loaded serial 2011080501# 登录档的关键是上面的序号部分～必须是我们填写的新的序号才对！

[root@www ~]# dig dns.niki.centos.vbird @127.0.0.1# 你会发现是错误的！找不到 A 喔！

上层 DNS 的设定非常简单！只要修改 zone file 即可～不过，由于 zone file 指定的是 NS 的查询权功能，因此，最后那个指令在 dig dns.niki.centos.vbird 时，却会找不到 A 喔！那是正常的～因为 192.168.100.200 尚未设定好 niki.centos.vbird 这个领域嘛！所以追踪的结果并没有发现在 192.168.100.200 有 niki.centos.vbird 的 zone 啊！所以当然找不到。此时数据库的管理权在 192.168.100.200 上啦！这样可以理解吗？再来处理下层 DNS 吧！

下层 DNS 服务器：需要有完整的 zone 相关设定

下层的 DNS 设定就与 19.4 的详细内容一样了！所以在这里我们仅列出重要的项目：

# 1. 修改 named.conf ，增加 zone 的参数，假设档名为 named.niki.centos.vbird
[root@niki ~]# vim /etc/named.conf....(前面省略)....zone "niki.centos.vbird" IN {
        type master;
        file "named.niki.centos.vbird";
};# 2. 建立 named.niki.centos.vbird
[root@niki ~]# vim /var/named/named.niki.centos.vbird$TTL   600
@      IN SOA   dns.niki.centos.vbird. root.niki.centos.vbird. (
                2011080501 3H 15M 1W 1D )
@      IN NS    dns.niki.centos.vbird.
dns    IN A     192.168.100.200
www    IN A     192.168.100.200
@      IN MX 10 www.niki.centos.vbird.
@      IN A     192.168.100.200# 为了简化整个版面，所以鸟哥都使用 hostname 而非 FQDN！请见谅！# 3. 启动并观察相关登录信息
[root@niki ~]# /etc/init.d/named restart
[root@niki ~]# tail -n 30 /var/log/messages | grep named....(前面省略)....
zone niki.centos.vbird/IN: loaded serial 2011080501....(底下省略)....
# 同时，记得处理一下防火墙的放行问题！否则测试会失败！！

[root@niki ~]# dig www.niki.centos.vbird @192.168.100.254# 上述的动作必须要有响应才行！否则就会出问题～

5.4 依不同接口给予不同的 DNS 主机名： view 功能的应用

想象一个环境，以我们目前的局域网络服务器来说，我的 master.centos.vbird 有两个界面，分别是 192.168.100.254/24 (对内) 及 192.168.1.100/24 (对外)，那当我外边的用户想要了解到 master.centos.vbird 这部服务器的 IP 时，取得的竟然是 192.168.100.254，因此还得要透过 NAT 才能联机到该接口，但明明 192.168.100.254 与外部的 192.168.1.100 是同一台服务器主机嘛！干嘛还得要经过 NAT 转到内部接口呢？有没有办法让外部的查询找到 master.centos.vbird 是 192.168.1.100 而内部的找到则回应 192.168.100.254 呢？可以的！那就透过 view 的功能！

view：让不同来源的用户，能够取得他们自己的所在区域 zone 响应。

举例来说，当用户来自 10.0.0.1 时，这个来源不可能是内部 (192.168.100.0/24) ，因此这个来源就会使用外部的 zone file 内容来响应。因此，我们就得要准备同一个 zone 需要两个不同的设定，再将个别的设定带入自己的客户端查询当中。

现在我们针对这个概念，对于鸟哥的区网设定 view 的原则是这样的：

建立一个名为 intranet 的名字，这个名字代表客户端为 192.168.100.0/24 的来源；
建立一个名为 internet 的名字，这个名字代表客户端为非 192.168.100.0/24 的其他来源
intranet 使用的 zone file 为本章前面各小节所建立的 zone filename，internet 使用的 zone filename 则在原本的档名后面累加 inter 的扩展名，并修订各标志的结果。

再次强调，最终的结果当中，从内网查到的 www.centos.vbird IP 应该是 192.168.100.254，而只要不是鸟哥内网来源的客户端，查到的 www.centos.vbird IP 应该是 192.168.1.100 才对！那就让我们来实际设定此一项目吧！

上表中，有些数据是重复的，有些则需要经过修改。现在，让我们来改改 named.centos.vbird.inter 吧！

[root@www ~]# vim /etc/named.conf
options {
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
        allow-transfer  { none; };
};

acl intranet { 192.168.100.0/24; };        <==针对 intranet 给予的来源 IP 指定
acl internet { ! 192.168.100.0/24; any; };<==加上惊叹号 (!) 代表反向选择的意思view "lan" {                            <==只是一个名字，代表的是内网
        match-clients { "intranet"; };<==吻合这个来源的才使用底下的 zone
        zone "." IN {
                type hint;
                file "named.ca";
        };
        zone "centos.vbird" IN {
                type master;
                file "named.centos.vbird";
                allow-transfer { 192.168.100.10; };
        };
        zone "100.168.192.in-addr.arpa" IN {
                type master;
                file "named.192.168.100";
                allow-transfer { 192.168.100.10; };
        };
};

view "wan" {                           <==同样，只是个名字而已！
        match-clients { "internet"; };<==代表的则是外网的 internet 来源
        zone "." IN {
                type hint;
                file "named.ca";
        };
        zone "centos.vbird" IN {
                type master;
                file "named.centos.vbird.inter";<==档名必须与原有的不同！
        };
        // 外网因为没有使用到内网的 IP，所以 IP 反解部分可以不写于此};

上表中，有些数据是重复的，有些则需要经过修改。现在，让我们来改改 named.centos.vbird.inter 吧！

[root@www ~]# cd /var/named
[root@www named]# cp -a named.centos.vbird named.centos.vbird.inter
[root@www named]# vim named.centos.vbird.inter
$TTL    600
@                       IN SOA   master.centos.vbird. vbird.www.centos.vbird. (
                                 2011080503 3H 15M 1W 1D )
@                       IN NS    master.centos.vbird.
master.centos.vbird.    IN A     192.168.1.100
@                       IN MX 10 www.centos.vbird.

www.centos.vbird.       IN A     192.168.1.100
linux.centos.vbird.     IN CNAME www.centos.vbird.
ftp.centos.vbird.       IN CNAME www.centos.vbird.
forum.centos.vbird.     IN CNAME www.centos.vbird.
workstation.centos.vbird. IN A    192.168.1.101

[root@www named]# /etc/init.d/named restart
[root@www named]# tail -n 30 /var/log/messages
[root@www named]# dig www.centos.vbird @192.168.100.254
www.centos.vbird.       600     IN      A       192.168.100.254# 要得到上面的 IP 才是对的喔！因为接口来自于 192.168.100.0/24 网段

[root@wwww named]# dig www.centos.vbird @192.168.1.100
www.centos.vbird.       600     IN      A       192.168.1.100# 要得到上面的 IP 才是对的喔！因为接口来自非 192.168.100.0/24 网段

有没有很简单！这样就能让你的 DNS 依据不同的用户来源，分别给予同一个主机名的不同解析呢！

例题：
你的网站读者非常的多，但是分布在世界各地。你想让亚洲区的读者联机到台湾的站台，而其他国家的联机则连到美国的站台， 但又不想要让使用者自己挑选不同的主机名，想使用同一组主机名，此时该如何是好？
答：
鸟哥可以想到的最简单的方案，就是透过 DNS 来设定相同主机名的不同 IP 目标，亦即是透过 view 来规范即可。 不过，与上述鸟哥的区网简单范例不同，我们得要收集亚洲区的 IP 才行，这些区段可能可以透过底下的网站来取得：
五大洲的 IP 管理所属人：http://www.iana.org/numbers/
每个单位的 IP 分布：
http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml
台湾地区 IP 分布：
http://rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet_aton%28Startip%29
然后再透过 acl 以及 view 来规范即可。鸟哥的收集资料如下，如果有误，还请告知！
如上所示，加入 asia 与 nonasia 的相关设定，再使用 view 来处理相关的 zone ，并修改 zone file 内容， 就能够处理好这个案例的需求啰！

acl asia { 1.0.0.0/8;  14.0.0.0/8;  27.0.0.0/8;  36.0.0.0/8;  39.0.0.0/8;
          42.0.0.0/0;  49.0.0.0/8;  58.0.0.0/8;  59.0.0.0/8;  60.0.0.0/8;
          61.0.0.0/8; 101.0.0.0/8; 103.0.0.0/8; 106.0.0.0/8; 110.0.0.0/8;
         111.0.0.0/8; 112.0.0.0/8; 113.0.0.0/8; 114.0.0.0/8; 115.0.0.0/8;
         116.0.0.0/8; 117.0.0.0/8; 118.0.0.0/8; 119.0.0.0/8; 120.0.0.0/8;
         121.0.0.0/8; 122.0.0.0/8; 123.0.0.0/8; 124.0.0.0/8; 125.0.0.0/8;
         126.0.0.0/8; 175.0.0.0/8; 180.0.0.0/8; 182.0.0.0/8; 183.0.0.0/8;
         202.0.0.0/8; 203.0.0.0/8; 210.0.0.0/8; 211.0.0.0/8; 218.0.0.0/8;
         219.0.0.0/8; 220.0.0.0/8; 221.0.0.0/8; 222.0.0.0/8; 223.0.0.0/8;
         139.175.0.0/16; 140.0.0.0/8;150.116.0.0/16;150.117.0.0/16;
         163.0.0.0/8; 168.95.0.0/16;192.0.0.0/8; 
};
acl nonasia { ! "asia"; any; };

6 DNS 服务器的高级应用

1 架设一个合法授权的 DNS 服务器，域名注册，设置DNS解析

2 LAME Server 的问题禁用LAME报警

3 RNDC:数字证书验证远程管理 DNS 服务器工具

4 搭建动态 DNS 主机：让你成为 ISP 啦！

6.1 架设一个合法授权的 DNS 服务器

合法 DNS 服务器：上游的 DNS 服务器将子域的查核权开放给你来设定就对啦！

如何来架设一个合法的 DNS 服务器呢？

举例来说，鸟哥的 vbird.idv.tw 就是鸟哥自己管理的哩～底下我们就来谈一谈，如何向 ISP 申请一个合法授权的 DNS 服务器，或者是合法的主机名啊！

1. 申请一个合法的 domain name ...就是要花钱！

既然是要建立一个合法的 DNS server，自然就要向合法的 ISP 申请授权啰！目前你可以到底下的地方去申请喔！

http://www.twnic.net/index3.php

其实 TWNIC 已经将台湾地区的一些 domain 授权给各大 ISP 管理了，所以你连接上述的网站之后，可以点选里头相关的连结到各大 ISP 去注册！例如鸟哥就在 Hinet 注册了 vbird.idv.tw 这个网域！现在鸟哥就以 Hinet 的注册做为说明吧：

进入主画面：

直接连结到底下的网页去： http://domain.hinet.net

选择需要的域名，并查询该网域是否已存在：

因为网域必需是独一无二的，所以你必需使用该网页当中提供的查询功能，去查询一下你想要的网域是否已经被注册了呢？一定要没有被注册的网域才可以喔！

逐步进行注册：

你可以选择很多种类的领域来注册，如果想要注册个人网站，请按下图所指的 (1) 处，如果想要注册类似 vbird.tw 这种网域的话，则可以选择 (2) 所指的那个项目。然后以该网站提供的功能一步一步的往下去进行，例如以鸟哥的『个人网址』之注册为例，按下个人网址之后，会出现流程步骤为：

图 19.6-1、以 Hinet 网站为依据介绍注册 domain 的方法

请依序一步一步的将他完成，最后你会得到一组账号密码，就能够修改自己的领域啦！

选择网站代管或架设 DNS 模式：

我们可以直接请 ISP 帮我们设定好 host 对应 IP 就好(最多三部)，当然也可以自行设定一下我们所需要的 DNS 服务器啦！如果未来你可能会架设 mail server ，所以还是自行设定 DNS 主机好了！你可以选择图 19.6-1 在 (3) 所指的『DNS异动与查询』项目，会出现下面图标。记得选择『DNS』及填写你的 hostname 与正确的 IP 即可喔！注意：要填选这个项目，最好你的 IP 是固定制的，浮动制的 IP 不建议用这个选项！

图 19.6-2、以 Hinet 网站为依据介绍注册 domain 的方法

2. 以 DNS 服务器的详细设定 (19.4) 之设定内容来设定你的主机：

如果你已经以 DNS 服务器的方式申请了一个 domain name ，那么你就必须要设定你的 DNS 主机了！请注意，这个情况之下，你只要设定你的注册的网域的正解即可！反解部分则先不要理会，当然，如果你有办法的话，最好还是请上层的 ISP 帮你设定啰！

3. 测试：

设定一部合法的 DNS 完毕后，建议你可以到这个网站去查询一下你的设定是否妥当：

http://thednsreport.com/

如此一来，你的 DNS 主机上面设定的任何信息，都可以透过 Internet 上面的任何一部主机来查询到喔！够棒吧！心动了吗？赶快去试看看吧！ ^_^

6.2 LAME Server 的问题

或许你曾经在 /var/log/messages 里面看到类似这样的讯息：

more /var/log/messages
1 Oct  5 05:02:30 test named[432]: lame server resolving '68.206.244.205.
  in-addr.arpa' (in '206.244.205.in-addr.arpa'?): 205.244.200.3#53
2 Oct  5 05:02:31 test named[432]: lame server resolving '68.206.244.205.
  in-addr.arpa' (in '206.244.205.in-addr.arpa'?): 206.105.201.35#53
3 Oct  5 05:02:41 test named[432]: lame server resolving '68.206.244.205.
  in-addr.arpa' (in '206.244.205.in-addr.arpa'?): 205.244.112.20#53

根据官方提供的文件资料来看 ( 在你的 CentOS 6.x 的系统下，请察看这个档案『 /usr/share/doc/bind-9.7.0/arm/Bv9ARM.ch06.html 』 )，当我们的 DNS 服务器在向外面的 DNS 系统查询某些正反解时，可能由于『对方』 DNS 主机的设定错误，导致无法解析到预期的正反解结果，这个时候就会发生所谓的 lame server 的错误！

那么这个错误会让我们的 DNS 服务器发生什么严重的后果吗？既然仅是对方的设定错误，所以自然就不会影响我们的 DNS 服务器的正常作业了。只是我们的 DNS 主机在查询时，会发生无法正确解析的警告讯息而已，这个讯息虽然不会对我们的 Linux 主机发生什么困扰，不过，对于系统管理员来说，要天天查询的 /var/log/messages 档案竟然有这么多的登录信息，这是很讨厌的一件事！

好了，我们知道 lame server 是对方主机的问题，对我们主机没有影响，但是却又不想要让该讯息出现在我们的登录档 /var/log/messages 当中，怎么达到这样的功能呢？呵呵！就直接利用 BIND 这个软件所提供的登录文件参数啊！动作很简单，在你的

/etc/named.conf 档案当中的最底下，加入这个参数即可：

# 1. 修改 /etc/named.conf
[root@www ~]# vim /etc/named.conf// 加入底下这个参数：logging {
        category lame-servers { null; };
};# 2. 重新启动 bind
[root@www ~]# /etc/init.d/named restart

基本上，那个 logging 是主机的登录文件记录的一个设定项目，因为我们不要 lame server 的信息，所以才将他设定为无 (null) ，这样就改完了！记得重新启动 named 之后，还是要察看一下 /var/log/messages 喔！以确定 named 的正确启动与否！然后，嘿嘿，以后就不会看到 lame server 咯！

6.3 利用 RNDC 指令管理 DNS 服务器

不知道你会不会觉得很奇怪，那就是为啥启动 DNS 后，在 /var/log/messages 老是看到这一句话：*

command channel listening on 127.0.0.1#953

而且在本机端的 port 953 还多了个 named 所启动的服务，那是啥？那就是所谓的 rndc 了。这个 rndc 是 BIND version 9 以后所提供的功能啦，他可以让你很轻松的管理你自己的 DNS 服务器喔！包括可以检查已经存在 DNS 快取当中的资料、重新更新某个 zone 而不需要重新启动整个 DNS ，以及检查 DNS 的状态与统计资料等等的，挺有趣的！

不过，因为 rndc 可以很深入的管理你的 DNS 服务器，所以当然要进行一些控管啦！控管的方式是经过 rndc 的设定来建立一支密钥 (rndc key)，并将这支密钥相关的信息写入你的 named.conf 配置文件当中，重新启动 DNS 后，你的 DNS 就能够藉由 rndc 这个指令来管理啰！事实上，新版的 distributions 通常已经帮你主动的建立好 rndc key 了，所以你不需要忙碌～不过，如果你还是在登录档当中发现一些错误，例如：

couldn't add command channel 127.0.0.1#953: not found

那就表示你 DNS 的 rndc key 没有设定好啦！那要如何设定好？很简单～只要先建立一把 rndc key ，然后加到 named.conf 当中去即可！你可以使用 bind 提供的指令来进行这样的工作喔！

# 1. 先建立 rndc key 的相关数据吧！
[root@www ~]# rndc-confgen# Start of rndc.conf <==底下没有 # 的第一部份请复制到 /etc/rndc.conf 中
key "rndc-key" {
        algorithm hmac-md5;
        secret "UUqxyIwui+22CobCYFj5kg==";
};

options {
        default-key "rndc-key";
        default-server 127.0.0.1;
        default-port 953;
};
# End of rndc.conf

# 至于底下的 key 与 controls 部分，则请复制到 named.conf 且解开 # 喔！
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#       algorithm hmac-md5;
#       secret "UUqxyIwui+22CobCYFj5kg==";
# };
#
# controls {
#       inet 127.0.0.1 port 953
#               allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
# 请注意，这个 rndc-confgen 是利用随机数计算出加密的那把 key ，
# 所以每次执行的结果都不一样。所以上述的数据与你的屏幕会有点不同。# 2. 建立 rndc.key 档案
[root@www ~]# vim /etc/rndc.key# 在这个档案当中将原本的数据全部删除，并将刚刚得到的结果给他贴上去key "rndc-key" {
        algorithm hmac-md5;
        secret "UUqxyIwui+22CobCYFj5kg==";
};# 3. 修改 named.conf
[root@www ~]# vim /etc/named.conf# 在某个不被影响的角落建置如下的内容：key "rndc-key" {
       algorithm hmac-md5;
       secret "UUqxyIwui+22CobCYFj5kg==";
};
controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndc-key"; };
};

[root@www ~]# /etc/init.d/named restart

建立了rndc key 并且启动 DNS ，同时你的系统也已经有 port 953 之后，我们就可以在本机执行 rndc 这个指令了。这个指令的用法请直接输入 rndc 来查询即可：

[root@www ~]# rndc
Usage: rndc [-c config] [-s server] [-p port]
        [-k key-file ] [-y key] [-V] command

command is one of the following:

  reload        Reload configuration file and zones.
  stats         Write server statistics to the statistics file.
  dumpdb        Dump cache(s) to the dump file (named_dump.db).
  flush         Flushes all of the server's caches.
  status        Display status of the server.
# 其他就给他省略啦！请自行输入这个指令来参考啰！

那如何使用呢？我们举几个小例子来说明吧！

# 范例一：将目前 DNS 服务器的状态显示出来
[root@www ~]# rndc status
version: 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1
CPUs found: 1
worker threads: 1
number of zones: 27         <==这部 DNS 管理的 zone 数量
debug level: 0              <==是否具有 debug 及 debug 的等级
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF        <==是否具有 debug 及 debug 的等级
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running    <==是否具有 debug 及 debug 的等级# 范例二：将目前系统的 DNS 统计数据记录下来
[root@www ~]# rndc stats# 此时，预设会在 /var/named/data 内产生新档案，你可以去查阅：
[root@www ~]# cat /var/named/data/named_stats.txt
+++ Statistics Dump +++ (1312528012)
....(中间省略)....
++ Zone Maintenance Statistics ++
                   2 IPv4 notifies sent
++ Resolver Statistics ++
....(中间省略)....
++ Cache DB RRsets ++
[View: lan (Cache: lan)]
[View: wan (Cache: wan)]
[View: _bind (Cache: _bind)]
[View: _meta (Cache: _meta)]
++ Socket I/O Statistics ++
                   5 UDP/IPv4 sockets opened
                   4 TCP/IPv4 sockets opened
                   2 UDP/IPv4 sockets closed
                   1 TCP/IPv4 sockets closed
                   2 TCP/IPv4 connections accepted
++ Per Zone Query Statistics ++
--- Statistics Dump --- (1312528012)

# 范例三：将目前高速缓存当中的数据记录下来
[root@www ~]# rndc dumpdb# 与 stats 类似，会将 cache 的数据放置成为一个档案，你可以去查阅：
# /var/named/data/cache_dump.db

如果你在执行 rndc 指令时老是出现如下错误：

rndc: connection to remote host closed
This may indicate that the remote server is using an older version of
the command protocol, this host is not authorized to connect,
or the key is invalid.

这表示你的 /etc/rndc.key 与 /etc/rndc.conf 内密钥的编码不同所致。请你自行以上述的 rndc-confgen 的方式自行处理你的 rndc key ，并重新启动 named 即可啊！用这东西管理，你就不需要每次都重新启动 named 啰！ ^_^

6.4搭建动态DNS服务器 --- 动态 DNS (Dynamic DNS, DDNS)

什么是动态域名？

从专业角度来说，域名解析是静态的，也就是说如果用户要在Internet上搭建一个网站，需要有一个固定的IP地址来进行解析。

动态域名的功能主要是帮助用户实现域名解析，用户每一次上网都会得到新的IP地址，之后动态域名软件就要将这个新的IP地址发送到动态域名解析服务器，如果Internet上的其他人要访问这个域名时，动态域名解析服务器会向其他人返回正确的IP地址。

一般情况下，用户使用的IP地址都是动态的，用户可以借助域名申请，利用动态域名解析服务，把申请的域名与自己上网的计算机绑定在一起，这样就可以在家里或公司里搭建一个固定的网络，便于使用。

端口映射知识点

　　内网的一台电脑要上因特网对外开放服务或接收数据，都需要端口映射。

　　端口映射分为动态和静态.动态端口映射：内网中的一台电脑要访问花生壳官网，会向NAT网关发送数据包，包头中包括对方（就是花生壳官网）IP、端口和本机IP、端口，NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口，并且会记下这个映射关系，为以后转发数据包使用。然后再把数据发给花生壳官网，花生壳官网收到数据后做出反应，发送数据到NAT网关的那个未使用的端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯。当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的连接可以继续使用。

动态端口映射其实也就是NAT网关的工作方式。

动态域名解析是指将域名解析到动态IP。使用花生壳可以实时将域名解析到本地IP，即使IP变化，也会实时解析到新的IP。花生壳（内网版）能够穿透内网，在内网IP和公网IP环境下都能使用。

如果我们本身是以拨接制的 ADSL 连上 Internet 时，我们的 IP 通常是 ISP 随机提供的，因此每次上网的 IP 都不固定，所以，我们没有办法以上面的 DNS 设定来给予这种连上 Internet 的方法一个适当的主机名。如果我们想要利用这种没有固定 IP 的联机方法架设网站时，就得要有特殊的管道了～其中之一的方法就是利用 Internet 上面已经提供的免费动态 IP 对应主机名的服务！

原理:DNS 主机还是得要提供 Internet 相关的 zone 的主机名与 IP 的对应数据才行，所以，DDNS 主机就必须要提供一个机制，让客户端可以透过这个机制来修改他们在 DDNS 主机上面的 zone file 内的资料才行。

BIND 9 就有提供类似的机制啦！那就是利用 update-policy 这个选项，配合认证用的 key 来进行数据文件的更新。简单的说， 1) 我们的 DDNS 主机先提供 Client 一把 Key (就是认证用的数据，你可以将他想成是账号与密码的概念)， 2) Client 端利用这把 Key ，并配合 BIND 9 的 nsupdate 指令，就可以连上 DDNS 主机，并且修改主机上面的 Zone file 内的对应表了。

1. DDNS Server 端的设定：

假设我有一个朋友，他使用的 Linux 主机的 IP 是会随时变动的，但是他想要架设 Web 网站，所以他向我申请了一个域名，那就是 web.centos.vbird ，此时我必需要给他一把密钥，并且设定我的 named.conf 让 centos.vbird 这个 zone 能够接受来自客户端的数据更新才行！首先来建立这把密钥吧！

[root@www ~]# dnssec-keygen -a [算法] -b [密码长度] -n [类型] 名称选项与参数：
-a ：后面接的 [type] 为演算方式的意思，主要有 RSAMD5, RSA, DSA, DH
     与 HMAC-MD5 等。建议你可以使用常见的 HMAC-MD5 来演算密码；
-b ：你的密码长度为多少？通常给予 512 位的 HMAC-MD5；
-n ：后面接的则是客户端能够更新的类型，主要有底下两种，建议给 HOST 即可：
     ZONE：客户端可以更新任何标志及整个 ZONE；
     HOST：客户端仅可以针对他的主机名来更新。

[root@www ~]# cd /etc/named
[root@www named]# dnssec-keygen -a HMAC-MD5 -b 512 -n HOST web
Kweb.+157+36124
[root@www named]# ls -l 
-rw-------. 1 root root 112 Aug  5 15:22 Kweb.+157+36124.key
-rw-------. 1 root root 229 Aug  5 15:22 Kweb.+157+36124.private
# 上面那把是公钥，下面那把则是私钥档案！

[root@www named]# cat Kweb.+157+36124.key<==看一下公钥！
web. IN KEY 512 3 157 xZmUo8ozG8f2OSg/cqH8Bqxk59Ho8....3s9IjUxpFB4Q==# 注意到最右边的那个密码长度，等一下我们要复制的仅有那个地方！

接下来你必需要：将公钥的密码复制到 /etc/named.conf 当中，将私钥传给你的 web.centos.vbird 那部主机上！好了，那就开始来修改 named.conf 内的相关设定吧！

[root@www ~]# vim /etc/named.conf// 先在任意地方加入这个 Key 的相关密码信息！key "web" {
        algorithm hmac-md5;
        secret "xZmUo8ozG8f2OSg/cqH8Bqxk59Ho8....3s9IjUxpFB4Q==";
};// 然后将你原本的 zone 加入底下这一段宣示
        zone "centos.vbird" IN {
                type master;
                file "named.centos.vbird";
                allow-transfer { 192.168.100.10; };
                update-policy {
                        grant web name web.centos.vbird. A;
                };
        };

[root@www ~]# chmod g+w /var/named
[root@www ~]# chown named /var/named/named.centos.vbird
[root@www ~]# /etc/init.d/named restart
[root@www ~]# setsebool -P named_write_master_zones=1

注意到上头的 grant web name web.centos.vbird. A; 那一行， grant 后面接的就是 key 的名称，也就是说，我这把 web 的 key 在这个 zone (centos.vbird) 里面可以修改主机名 web.centos.vbird 的 A 的标志，亦即是修改主机的 IP 对应啦！语法也就是： grant [key_name] name [hostname] 标签也就是说，我的一把 key 其实可以给予多种权限喔！就看你如何规范了。

设定好之后，由于未来客户端传来的信息是由我们主机的 named 所写入，写入的目录在 /var/named/ 当中，所以你必需要修改一下权限喔！给他重新启动 DNS，然后观察一下 /var/log/messages 里面有没有错误即可！如此一来，DDNS 主机端就设定妥当啰！

2. Client 端的更新：

首先，你必须要由 Server 端取得刚刚建立的那两个档案，请将刚刚建立的 Kweb.+157+36124.key 及 Kweb.+157+36124.private 利用 SSH 的 sftp 传送到客户端，亦即是那部 web.centos.vbird 主机上头，假设你已经将这两个档案放置到 /usr/local/ddns 里面去，然后测试看看：

[root@web ~]# cd /usr/local/ddns
[root@web ddns]# nsupdate -k Kweb.+157+36124.key
> server 192.168.100.254
> update delete web.centos.vbird                   <==删除原有的
> update add web.centos.vbird 600 A 192.168.100.200<==更新到最新的
> send
> 最后在此按下 [ctrl]+D 即可

请注意到『 update add web.centos.vbird 600 A 192.168.100.200 』这行，他的意义说的是，新增一笔数据， ttl 是 600 ，给予 A 的标签，对应到 192.168.100.200 的意思～至于 nsupdate -k 后面加的则是我们在 Server 端产生的那个 key 档案！

然后你就会发现到在 DNS 服务器端的 /var/named/ 里面多出一个暂存档，那就是 named.centos.vbird.jnl 当然，/var/named/named.centos.vbird 就会随着客户端的要求而更新数据喔！

由于手动更新好像挺麻烦的，我们就让 Client 自动更新吧！利用底下这个 script 即可！

[root@web ~]# vim /usr/local/ddns/ddns_update.sh
#!/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
export PATH

# 0. keyin your parameters
basedir="/usr/local/ddns"                  # 基本工作目录
keyfile="$basedir"/"Kweb.+157+36124.key"   # 将档名填进去吧！
ttl=600                                    # 你可以指定 ttl 的时间喔！
outif="eth0"                               # 对外的联机接口！
hostname="web.centos.vbird"                # 你向 ISP 取得的那个主机名啦！
servername="192.168.100.254"               # 就是你的 ISP 啊！

# Get your new IP
newip=`ifconfig "$outif" | grep 'inet addr' | \
        awk '{print $2}' | sed -e "s/addr\://"`
checkip=`echo $newip | grep "^[0-9]"`
if [ "$checkip" == "" ]; then
        echo "$0: The interface can't connect internet...."
        exit 1
fi

# create the temporal file
tmpfile=$basedir/tmp.txt
cd $basedir
echo "server $servername"                       >  $tmpfile
echo "update delete $hostname A "               >> $tmpfile
echo "update add    $hostname $ttl A $newip"    >> $tmpfile
echo "send"                                     >> $tmpfile

# send your IP to server
nsupdate -k $keyfile -v $tmpfile

你只要将上述的程序里面，特殊字体的部分给他修改一下，就能够以 /etc/crontab 的方式在你的系统内自动执行了

利用 BIND 9 所提供的这个服务，我们只要具有一组固定的 IP ，并向 ISP 申请一个合法授权的 domain name，就可以提供不论是固定或者是非固定的 IP 使用者，一个合法的主机名了！并且，使用者也可以自行透过 nsupdate 来修改自己的 IP 对应！以让自己的主机 IP 永远与主机名保持正确的对应！这对只有拨接制上网的用户来说，真是方便啊！

posted @ 2018-07-28 13:25 依忆伊意壹懿阅读(693) 评论(0) 编辑收藏举报

刷新页面返回顶部