1.  DNS 域名解析服务 

相较于由数字构成的 IP 地址，域名更容易被理解和记忆，所以我们通常更习惯通过域名的方式来访问网络中的资源。但是，网络中的计算机之间只能基于 IP 地址来相互识别对方的身份，而且要想在互联网中传输数据，也必须基于外网的 IP 地址来完成。 
为了降低用户访问网络资源的门槛，域名系统（Domain Name System，DNS）技术应运而生。这是一项用于管理和解析域名与 IP 地址对应关系的技术。简单来说，就是能够接受用户输入的域名或 IP 地址，然后自动查找与之匹配（或者说具有映射关系）的 IP 地址或域名，即将域名解析为 IP 地址（正向解析），或将 IP 地址解析为域名（反向解析）。这样一来，只需要在浏览器中输入域名就能打开想要访问的网站了。DNS 域名解析技术的正向解析也是我们最常使用的一种工作模式。 
鉴于互联网中的域名和 IP 地址对应关系数据库太过庞大，DNS 域名解析服务采用了类似目录树的层次结构来记录域名与 IP 地址之间的对应关系，从而形成了一个分布式的数据库系统，如图所示。

域名后缀一般分为国际域名和国内域名。原则上来讲，域名后缀都有严格的定义，但在实际使用时可以不必严格遵守。目前最常见的域名后缀有.com（商业组织）、.org（非营利组织）、.gov（政府部门）、.net（网络服务商）、.edu（教育机构）、.pub（公共大众）、.cn（中国国家顶级域名）等。 

DNS 技术作为互联网基础设施中重要的一环，为了为网民提供不间断、稳定且快速的域名查询服务，保证互联网的正常运转，提供了下面 3 种类型的服务器。 
➢ 主服务器 ：在特定区域内具有唯一性，负责维护该区域内的域名与 IP 地址之间的对应关系。 
➢ 从服务器 ：从主服务器中获得域名与 IP 地址的对应关系并进行维护，以防主服务器宕机等情况。 
➢ 缓存服务器 ：通过向其他域名解析服务器查询获得域名与 IP 地址的对应关系，并将经常查询的域名信息保存到服务器本地，以此来提高重复查询时的效率。 
简单来说，主服务器是用于管理域名和 IP 地址对应关系的真正服务器，从服务器帮助主服务器“打下手”，分散部署在各个国家、省市或地区，以便让用户就近查询域名，从而减轻主服务器的负载压力。缓存服务器不太常用，一般部署在企业内网的网关位置，用于加速用户的域名查询请求。 
DNS 域名解析服务采用分布式的数据结构来存放海量的“区域数据”信息，在执行用户发起的域名查询请求时，具有递归查询和迭代查询两种方式。所谓递归查询，是指 DNS 服务器在收到用户发起的请求时，必须向用户返回一个准确的查询结果。如果 DNS 服务器本地没有存储与之对应的信息，则该服务器需要询问其他服务器，并将返回的查询结果提交给用户。而迭代查询则是指，DNS 服务器在收到用户发起的请求时，并不直接回复查询结果，而是告诉另一台DNS 服务器的地址，用户再向这台 DNS 服务器提交请求，这样依次反复，直到返回查询结果。 
由此可见，当用户向就近的一台 DNS 服务器发起对某个域名的查询请求之后（这里以www.linuxprobe.com 为例），其查询流程大致如图所示。 

当用户向网络指定的 DNS 服务器发起一个域名请求时，通常情况下会有本地 DNS 服务器向上级的 DNS 服务器发送迭代查询请求；如果该 DNS 服务器没有要查询的信息，则会进一步向上级 DNS 服务器发送迭代查询请求，直到获得准确的查询结果为止。其中最高级、最权威的根 DNS 服务器总共有 13 台。

注：这里提到的 13 台根域服务器并非真的只有 13 台服务器，没有哪台服务器能独立承受住如此大的请求量，这是技术圈习惯的叫法而已。实际上用于根域名的服务器总共有 504 台，它们从 A 到 M 进行了排序，并共用 13 个 IP 地址，以此进行负载均衡，以抵抗分布式拒绝服务（DDoS）攻击。 

随着互联网接入设备数量的增长，原有的 IPv4 体系已经不能满足需求，IPv6 协议在全球开始普及。基于 IPv6 的新型地址结构为新增根服务器提供了契机。我国的“下一代互联网国家工程中心”于 2013 年联合日本、美国相关运营机构和专业人士发起“雪人计划”，提出以IPv6 为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系，并于 2017年 11 月在全球完成 25 台 IPv6 根服务器的架设（我国部署了其中的 4 台，打破了我国过去没有根服务器的困境）。 

2.  安装 bind 服务程序 

BIND（Berkeley Internet Name Domain，伯克利因特网名称域）服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。DNS 域名解析服务作为互联网基础设施服务，其责任之重可想而知，因此建议大家在生产环境中安装部署 bind 服务程序时加上 chroot（俗称牢笼机制）扩展包，以便有效地限制 bind 服务程序仅能对自身的配置文件进行操作，以确保整个服务器的安全。 

[root@linuxprobe~]# yum install bind-chroot 
Loaded plugins: langpacks, product-id, subscription-manager 
Updating Subscription Management repositories. 
Unable to read consumer identity 
This system is not registered to Red Hat Subscription Management. You can use  
subscription-manager to register. 
AppStream                                3.1 MB/s | 3.2 kB     00:00     
BaseOS                                   2.7 MB/s | 2.7 kB     00:00     
Dependencies resolved. 
=============================================================================== Package        Arch     Version           Repository      Size 
=============================================================================== 
Installing: bind-chroot   x86_64   32:9.11.4-16.P2.el8   AppStream  99 k 
Installing dependencies: bind          x86_64   32:9.11.4-16.P2.el8   AppStream  2.1 M Transaction Summary 
=============================================================================== 
Install  2 Packages 
………………省略部分输出信息……………… 
Installed: bind-chroot-32:9.11.4-16.P2.el8.x86_64      bind-32:9.11.4-16.P2.el8.x86_64 Complete! 

bind 服务程序的配置并不简单，因为要想为用户提供健全的 DNS 查询服务，要在本地保存相关的域名数据库，而如果把所有域名和 IP 地址的对应关系都写入到某个配置文件中，估计要有上千万条的参数，这样既不利于程序的执行效率，也不方便日后的修改和维护。因此在 bind 服务程序中有下面这 3 个比较关键的文件。 

➢ 主配置文件（/etc/named.conf） ：只有 59 行，而且在去除注释信息和空行之后，实际有效的参数仅有 30 行左右，这些参数用来定义 bind 服务程序的运行。 
➢ 区域配置文件（/etc/named.rfc1912.zones） ：用来保存域名和 IP 地址对应关系的所在位置。类似于图书的目录，对应着每个域和相应 IP 地址所在的具体位置，当需要查看或修改时，可根据这个位置找到相关文件。 
➢ 数据配置文件目录（/var/named） ：该目录用来保存域名和 IP 地址真实对应关系的数据配置文件。 
在 Linux 系统中，bind 服务程序的名称为 named。首先需要在/etc 目录中找到该服务程序的主配置文件，然后把第 11 行和第 19 行的地址均修改为 any，分别表示服务器上的所有 IP地址均可提供 DNS 域名解析服务，以及允许所有人对本服务器发送 DNS 查询请求。这两个地方一定要修改准确。 

[root@linuxprobe~]# vim /etc/named.conf 1 // 2 // named.conf 3 // 4 // Provided by Red Hat bind package to configure the BIND named DNS 5 // server as a caching only nameserver (as a localhost DNS resolver). 6 // 7 // See /usr/share/doc/bind*/sample/ for example configuration files. 8 // 9 10 options { 11         listen-on port 53 { any; }; 12         listen-on-v6 port 53 { ::1; }; 13         directory       "/var/named"; 14         dump-file       "/var/named/data/cache_dump.db"; 15         statistics-file "/var/named/data/named_stats.txt"; 16         memstatistics-file "/var/named/data/named_mem_stats.txt"; 17         secroots-file   "/var/named/data/named.secroots"; 18         recursing-file  "/var/named/data/named.recursing"; 19         allow-query     { any; }; 20 21         /*  22          - If you are building an AUTHORITATIVE DNS server, do NOT enable  recursion. 23          - If you are building a RECURSIVE (caching) DNS server, you need  to enable 24            recursion.  25          - If your recursive DNS server has a public IP address, you MUST  enable access 26            control to limit queries to your legitimate users. Failing to  do so will 27            cause your server to become part of large scale DNS amplification 28            attacks. Implementing BCP38 within your network would greatly 29            reduce such attack surface 30         */ 31         recursion yes; 32 33         dnssec-enable yes; 34         dnssec-validation yes; 35 36         managed-keys-directory "/var/named/dynamic"; 37 38         pid-file "/run/named/named.pid"; 39         session-keyfile "/run/named/session.key"; 40 41         /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */ 42         include "/etc/crypto-policies/back-ends/bind.config"; 43 }; 44 45 logging { 46         channel default_debug { 47                 file "data/named.run"; 48                 severity dynamic; 49         }; 50 }; 51 52 zone "." IN { 53         type hint; 54         file "named.ca"; 55 }; 56 57 include "/etc/named.rfc1912.zones"; 58 include "/etc/named.root.key"; 59 

bind 服务程序的区域配置文件（/etc/named.rfc1912.zones）用来保存域名和 IP地址对应关系的所在位置。在这个文件中，定义了域名与 IP 地址解析规则保存的文件位置以及服务类型等内容，而没有包含具体的域名、IP 地址对应关系等信息。服务类型有 3 种，分别为 hint（根区域）、master（主区域）、slave（辅助区域），其中常用的 master 和 slave 指的就是主服务器和从服务器。将域名解析为 IP 地址的正向解析参数和将 IP 地址解析为域名的反向解析参数分别如图 13-3 和图 13-4 所示。 

下面的实验中会分别修改 bind 服务程序的主配置文件、区域配置文件与数据配置文件。如果在实验中遇到了 bind 服务程序启动失败的情况，而您认为这是由于参数写错而导致的，则可以执行 named-checkconf 命令和 named-checkzone 命令，分别检查主配置文件与数据配置文件中语法或参数的错误。 

2.1  正向解析实验 

在 DNS 域名解析服务中，正向解析是指根据域名（主机名）查找到对应的 IP 地址。也就是说，当用户输入了一个域名后，bind 服务程序会自动进行查找，并将匹配到的 IP 地址返给用户，如图 所示。这也是最常用的 DNS 工作模式。 

第一步：编辑区域配置文件。该文件中默认已经有了一些无关紧要的解析参数，旨在让用户有一个参考。可以将下面的参数添加到区域配置文件的最下面。当然，也可以将该文件中的原有信息全部清空，而只保留自己的域名解析信息。 

[root@linuxprobe~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { type master; file "linuxprobe.com.zone"; allow-update {none;}; 
}; 

注：配置文件中的代码缩进仅是为了提升阅读体验，有无缩进对参数效果均没有任何影响。 

第二步：编辑数据配置文件。可以从/var/named 目录中复制一份正向解析的模板文件（named.localhost），然后把域名和 IP 地址的对应数据填写数据配置文件中并保存。在复制时记得加上-a 参数，这可以保留原始文件的所有者、所属组、权限属性等信息，以便让 bind 服务程序顺利读取文件内容。 

[root@linuxprobe~]# cd /var/named/ 
[root@linuxprobe named]# ls -al named.localhost 
-rw-r-----. 1 root named 152 Jun 21 2007 named.localhost 
[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.zone 

在保存并退出后文件后记得重启 named 服务程序，让新的解析数据生效。考虑到正向解析文件中的参数较多，而且相对都比较重要，每个参数后面都作了简要的说明。 

[root@linuxprobe named]# vim linuxprobe.com.zone 
[root@linuxprobe named]# systemctl restart named 
[root@linuxprobe named]# systemctl enable named 
Created symlink /etc/systemd/system/multi-user.target.wants/named.service→ / 
usr/lib/systemd/system/named.service. 

在解析文件中，A 记录类型表示将域名指向一个 IPv4 地址，而 AAAA 表示将域名指向一个 IPv6 地址。此外，还有 8 种记录类型，如表所示，供日后备查：

第三步：检验解析结果。为了检验解析结果，一定要先把 Linux 系统网卡中的 DNS 地址参数修改成本机 IP 地址，这样就可以使用由本机提供的 DNS 查询服务了。nslookup命令用于检测能否从 DNS 服务器中查询到域名与 IP 地址的解析记录，进而更准确地检验 DNS服务器是否已经能够为用户提供服务。 

[root@linuxprobe named]# nmcli connection up ens160 
Connection successfully activated (D-Bus active path: /org/freedesktop/ 
NetworkManager/ActiveConnection/4) 
[root@linuxprobe named]# nslookup 
Name:   www.linuxprobe.com 
Address: 192.168.10.10 
> ns.linuxprobe.com 
Server:         192.168.10.10 
Address:        192.168.10.10#53 Name:   ns.linuxprobe.com 
Address: 192.168.10.10 

若解析出的结果不是 192.168.10.10，则很有可能是虚拟机选择了联网模式，并由互联网DNS 服务器进行了解析。此时应确认服务器信息是否为“Address:  192.168.10.10#53”，即由本地服务器 192.168.10.10 的 53 端口号进行解析；若不是，则重启网络后再试一下。 

2.2  反向解析实验 

在 DNS 域名解析服务中，反向解析的作用是将用户提交的 IP 地址解析为对应的域名信息，它一般用于对某个 IP 地址上绑定的所有域名进行整体屏蔽，屏蔽由某些域名发送的垃圾邮件。它也可以针对某个 IP 地址进行反向解析，大致判断出有多少个网站运行在上面。当购买虚拟主机时，可以使用这一功能验证虚拟主机提供商是否有严重的超售问题。图示为对 IP 地址所关联的域名信息进行反推。 

第一步：编辑区域配置文件。在编辑该文件时，除了不要写错格式之外，还需要记住此处定义的数据配置文件名称，因为一会儿还需要在/var/named 目录中建立与其对应的同名文件。反向解析是把 IP 地址解析成域名格式，因此在定义 zone（区域）时应该要把 IP 地址反写，比如原来是192.168.10.0，反写后应该就是 10.168.192，而且只需写出 IP 地址的网络位即可。把下列参数添加至正向解析参数的后面。 

[root@linuxprobe~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { type master; file "linuxprobe.com.zone"; allow-update {none;}; 
}; 
zone "10.168.192.in-addr.arpa" IN { type master; file "192.168.10.arpa"; allow-update {none;}; 
}; 

第二步：编辑数据配置文件。首先从/var/named 目录中复制一份反向解析的模板文件（named.loopback），然后把下面的参数填写到文件中。其中，IP 地址仅需要写主机位，如图所示。 

[root@linuxprobe~]# cd /var/named 
[root@linuxprobe named]# cp -a named.loopback 192.168.10.arpa 
[root@linuxprobe named]# vim 192.168.10.arpa 
[root@linuxprobe named]# systemctl restart named 

第三步：检验解析结果。在前面的正向解析实验中，已经把系统网卡中的 DNS 地址参数修改成了本机 IP 地址，因此可以直接使用 nslookup 命令来检验解析结果，仅需输入 IP 地址即可查询到对应的域名信息。 

[root@linuxprobe~]# nslookup 
> 192.168.10.10 
10.10.168.192.in-addr.arpa name = www.linuxprobe.com. 
> 192.168.10.20 
20.10.168.192.in-addr.arpa name = bbs.linuxprobe.com. 

3.  部署从服务器 

作为重要的互联网基础设施服务，保证 DNS 域名解析服务的正常运转至关重要，只有这样才能提供稳定、快速且不间断的域名查询服务。在 DNS 域名解析服务中，从服务器可以从主服务器上获取指定的区域数据文件，从而起到备份解析记录与负载均衡的作用。因此，通过部署从服务器不仅可以减轻主服务器的负载压力，还可以提升用户的查询效率。 
在本实验中，主服务器与从服务器分别使用的操作系统和 IP 地址如表所示。 

第一步：在主服务器的区域配置文件中允许该从服务器的更新请求，即修改 allow-update {允许更新区域信息的主机地址;};参数，然后重启主服务器的 DNS 服务程序。 

[root@linuxprobe~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { type master; file "linuxprobe.com.zone"; allow-update { 192.168.10.20; }; 
}; 
zone "10.168.192.in-addr.arpa" IN { type master; file "192.168.10.arpa"; allow-update { 192.168.10.20; }; 
}; 
[root@linuxprobe~]# systemctl restart named 

第二步：在主服务器上配置防火墙放行规则，让 DNS 协议流量可以被顺利传递。 

[root@linuxprobe~]# iptables -F 
[root@linuxprobe~]# firewall-cmd --permanent --zone=public --add-service=dns 
success 
[root@linuxprobe~]# firewall-cmd --reload 
success 

第三步：在从服务器上安装 bind-chroot 软件包（输出信息省略）。修改配置文件，让从服务器也能够对外提供 DNS 服务，并且测试其与主服务器的网络连通性。 

[root@linuxprobe~]# dnf install bind-chroot 
[root@linuxprobe~]# vim /etc/named.conf 1 // 2 // named.conf 3 // 4 // Provided by Red Hat bind package to configure the BIND name DNS 5 // server as a caching only nameserver (as a localhost DNS resolver). 6 // 7 // See /usr/share/doc/bind*/sample/ for example configuration files. 8 // 9 10 options { 11         listen-on port 53 { any; }; 12         listen-on-v6 port 53 { ::1; }; 13         directory       "/var/named"; 14         dump-file       "/var/named/data/cache_dump.db"; 15         statistics-file "/var/named/data/named_stats.txt"; 16         memstatistics-file "/var/named/data/named_mem_stats.txt"; 17         secroots-file   "/var/named/data/named.secroots"; 18         recursing-file  "/var/named/data/named.recursing"; 19         allow-query     { any; }; 
………………省略部分输出信息……………… 
[root@linuxprobe~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 
64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=2.44 ms 
64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=3.31 ms 
64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.503 ms 
64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.359 ms --- 192.168.10.10 ping statistics --- 
4 packets transmitted, 4 received, 0% packet loss, time 15ms 
rtt min/avg/max/mdev = 0.359/1.654/3.311/1.262 ms 

第四步：在从服务器中填写主服务器的 IP 地址与要抓取的区域信息，然后重启服务。注意此时的服务类型应该是 slave（从），而不再是 master（主）。masters 参数后面应该为主服务器的 IP 地址，而且 file 参数后面定义的是同步数据配置文件后要保存到的位置，稍后可以在该目录内看到同步的文件。 

[root@linuxprobe~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { type slave; masters { 192.168.10.10; }; file "slaves/linuxprobe.com.zone"; 
}; 
zone "10.168.192.in-addr.arpa" IN { type slave; masters { 192.168.10.10; }; file "slaves/192.168.10.arpa"; 
}; 
[root@linuxprobe~]# systemctl restart named 

注：这里的 masters 参数比正常的主服务类型 master 多了个字母 s，表示可以有多个主服务器。请大家小心，不要漏掉。

第五步：检验解析结果。当从服务器的 DNS 服务程序在重启后，一般就已经自动从主服务器上同步了数据配置文件，而且该文件默认会放置在区域配置文件中所定义的目录位置中。随后修改从服务器的网络参数，把 DNS 地址参数修改成 192.168.10.20，这样即可使用从服务器自身提供的 DNS 域名解析服务。最后就可以使用 nslookup 命令顺利看到解析结果了。 

[root@linuxprobe~]# cd /var/named/slaves 
[root@linuxprobe slaves]# ls 
192.168.10.arpa linuxprobe.com.zone 
[root@linuxprobe slaves]# nslookup 
> www.linuxprobe.com 
Server:         192.168.10.20 
Address:        192.168.10.20#53 Name:   www.linuxprobe.com 
Address: 192.168.10.10 
> 192.168.10.10 
10.10.168.192.in-addr.arpa       name = www.linuxprobe.com. 

如果大家的解析地址与上面的不一致，很可能是从服务器的网络 DNS 地址没有指向到本机。修改一下就可以！ 

4.  安全的加密传输 

前文反复提及，域名解析服务是互联网基础设施中重要的一环，几乎所有的网络应用都依赖于 DNS 才能正常运行。如果 DNS 服务发生故障，那么即便 Web 网站或电子邮件系统服务等都正常运行，用户也无法找到并使用它们了。 

互联网中的绝大多数 DNS 服务器（超过 95%）都是基于 BIND 域名解析服务搭建的，而bind 服务程序为了提供安全的解析服务，已经对 TSIG（见 RFC 2845）加密机制提供了支持。TSIG 主要是利用了密码编码的方式来保护区域信息的传输（Zone Transfer），即 TSIG 加密机制保证了 DNS 服务器之间传输域名区域信息的安全性。 
接下来的实验依然使用了上一个实验中的两台服务器。 
前面在从服务器上配妥 bind 服务程序并重启后，即可看到从主服务器中获取到的数据配置文件。 

[root@linuxprobe~]# ls -al /var/named/slaves/ 
total 8 
drwxrwx---. 2 named named  56 Mar 12 09:53 . 
drwxrwx--T. 6 root  named 141 Mar 12 09:57 .. 
-rw-r--r--. 1 named named 436 Mar 12 09:53 192.168.10.arpa 
-rw-r--r--. 1 named named 282 Mar 12 09:53 linuxprobe.com.zone 
[root@linuxprobe~]# rm -rf /var/named/slaves/* 

第一步：在主服务器中生成密钥。dnssec-keygen 命令用于生成安全的 DNS 服务密钥，其格式为“dnssec-keygen [参数]”，常用的参数以及作用如表所示。

使用下述命令生成一个主机名称为 master-slave 的 128 位 HMAC-MD5 算法的密钥文件。在执行该命令后默认会在当前目录中生成公钥和私钥文件，我们需要把私钥文件中 Key 参数后面的值记录下来，一会儿要将其写入传输配置文件中。 

[root@linuxprobe~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave 
Kmaster-slave.+157+62533 
[root@linuxprobe~]# ls -l Kmaster-slave.+157+62533.* 
-rw-------. 1 root root  56 Mar 14 09:54 Kmaster-slave.+157+62533.key 
-rw-------. 1 root root 165 Mar 14 09:54 Kmaster-slave.+157+62533.private 
[root@linuxprobe~]# cat Kmaster-slave.+157+62533.private 
Private-key-format: v1.3 
Algorithm: 157 (HMAC_MD5) 
Key: NI6icnb74FxHx2gK+0MVOg== 
Bits: AAA= 
Created: 20210314015436 
Publish: 20210314015436 
Activate: 20210314015436 

第二步：在主服务器中创建密钥验证文件。进入 bind 服务程序用于保存配置文件的目录，把刚刚生成的密钥名称、加密算法和私钥加密字符串按照下面的格式写入 tansfer.key 传输配置文件中。为了安全起见，需要将文件的所属组修改成 named，并将文件权限设置得要小一点，然后设置该文件的一个硬链接，并指向/etc 目录。 

[root@linuxprobe~]# cd /var/named/chroot/etc/ 
[root@linuxprobe etc]# vim transfer.key 
key "master-slave" { algorithm hmac-md5; secret "NI6icnb74FxHx2gK+0MVOg=="; 
}; 
[root@linuxprobe etc]# chown root:named transfer.key 
[root@linuxprobe etc]# chmod 640 transfer.key 
[root@linuxprobe etc]# ln transfer.key /etc/transfer.key 

第三步：开启并加载 bind 服务的密钥验证功能。首先需要在主服务器的主配置文件中加载密钥验证文件，然后进行设置，使得只允许带有 master-slave 密钥认证的 DNS 服务器同步数据配置文件。 

[root@linuxprobe~]# vim /etc/named.conf 1 // 2 // named.conf 3 // 4 // Provided by Red Hat bind package to configure the BIND named DNS 5 // server as a caching only nameserver (as a localhost DNS resolver). 6 // 7 // See /usr/share/doc/bind*/sample/ for example configuration files. 8 // 9 include "/etc/transfer.key"; 10 options { 11         listen-on port 53 { any; }; 12         listen-on-v6 port 53 { ::1; }; 13         directory       "/var/named"; 14         dump-file       "/var/named/data/cache_dump.db"; 15         statistics-file "/var/named/data/named_stats.txt"; 16         memstatistics-file "/var/named/data/named_mem_stats.txt"; 17         secroots-file   "/var/named/data/named.secroots"; 18         recursing-file  "/var/named/data/named.recursing"; 19         allow-query     { any; }; 20         allow-transfer { key master-slave; }; 
………………省略部分输出信息……………… 
[root@linuxprobe~]# systemctl restart named 

至此，DNS 主服务器的 TSIG 密钥加密传输功能就已经配置完成。然后清空 DNS 从服务器同步目录中所有的数据配置文件，再次重启 bind 服务程序。这时就已经不能像刚才那样自动获取到数据配置文件了。 

[root@linuxprobe~]# rm -rf /var/named/slaves/* 
[root@linuxprobe~]# systemctl restart named 
[root@linuxprobe~]# ls  /var/named/slaves/ 

第四步：配置从服务器，使其支持密钥验证。配置 DNS 从服务器和主服务器的方法大致相同，都需要在 bind 服务程序的配置文件目录中创建密钥认证文件，并设置相应的权限，然后设置该文件的一个硬链接，并指向/etc 目录。 

[root@linuxprobe~]# cd /var/named/chroot/etc/ 
[root@linuxprobe etc]# vim transfer.key 
key "master-slave" { algorithm hmac-md5; secret "NI6icnb74FxHx2gK+0MVOg=="; 
}; 
[root@linuxprobe etc]# chown root:named transfer.key 
[root@linuxprobe etc]# chmod 640 transfer.key 
[root@linuxprobe etc]# ln transfer.key /etc/transfer.key 

第五步：开启并加载从服务器的密钥验证功能。这一步的操作步骤也同样是在主配置文件中加载密钥认证文件，然后按照指定的格式写上主服务器的 IP 地址和密钥名称。注意，密钥名称等参数位置不要太靠前，大约在第 51 行比较合适，否则 bind 服务程序会因为没有加载完预设参数而报错： 

[root@linuxprobe etc]# vim /etc/named.conf 1 // 2 // named.conf 3 // 4 // Provided by Red Hat bind package to configure the BIND named DNS 5 // server as a caching only nameserver (as a localhost DNS resolver ). 6 // 7 // See /usr/share/doc/bind*/sample/ for example configuration files. 8 // 9 include "/etc/transfer.key"; 10 options { 11         listen-on port 53 { any; }; 12         listen-on-v6 port 53 { ::1; }; 13         directory       "/var/named"; 14         dump-file       "/var/named/data/cache_dump.db"; 15         statistics-file "/var/named/data/named_stats.txt"; 16         memstatistics-file "/var/named/data/named_mem_stats.txt"; 17         secroots-file   "/var/named/data/named.secroots"; 18         recursing-file  "/var/named/data/named.recursing"; 19         allow-query     { any; }; 20 21         /*  22          - If you are building an AUTHORITATIVE DNS server, do NOT enable  recursion. 23          - If you are building a RECURSIVE (caching) DNS server, you need  to enable 24            recursion.  25          - If your recursive DNS server has a public IP address, you MUST  enable access 26            control to limit queries to your legitimate users. Failing to  do so will 27            cause your server to become part of large scale DNS amplification 28            attacks. Implementing BCP38 within your network would greatly 29            reduce such attack surface 30         */ 31         recursion yes; 32 33         dnssec-enable yes; 34         dnssec-validation yes; 35 36         managed-keys-directory "/var/named/dynamic"; 37 38         pid-file "/run/named/named.pid"; 39         session-keyfile "/run/named/session.key"; 40 41         /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */ 42         include "/etc/crypto-policies/back-ends/bind.config"; 43 }; 44 45 logging { 46         channel default_debug { 47                 file "data/named.run"; 48                 severity dynamic; 49         }; 50 }; 51 server 192.168.10.10 52 { 53         keys { master-slave; }; 54 }; 55 zone "." IN { 56         type hint; 57         file "named.ca"; 58 }; 59 60 include "/etc/named.rfc1912.zones"; 61 include "/etc/named.root.key"; 62 

第六步：DNS 从服务器同步域名区域数据。现在，两台服务器的 bind 服务程序都已经配置妥当，并匹配到了相同的密钥认证文件。接下来在从服务器上重启 bind 服务程序，可以发现又能顺利地同步到数据配置文件了。 

[root@linuxprobe~]# systemctl restart named 
[root@linuxprobe~]# ls /var/named/slaves/ 
192.168.10.arpa  linuxprobe.com.zone 

第七步：再次进行解析验证。功能正常。请大家注意观察，是由 192.168.10.20 从服务器进行解析的。

[root@linuxprobe etc]# nslookup www.linuxprobe.com 
Server:         192.168.10.20 
Address:        192.168.10.20#53 Name:   www.linuxprobe.com 
Address: 192.168.10.10 [root@linuxprobe etc]# nslookup 192.168.10.10 
10.10.168.192.in-addr.arpa      name = www.linuxprobe.com. 

5.  部署缓存服务器 

DNS 缓存服务器是一种不负责域名数据维护的 DNS 服务器。简单来说，缓存服务器就是把用户经常使用到的域名与 IP 地址的解析记录保存在主机本地，从而提升下次解析的效率。DNS 缓存服务器一般用于经常访问某些固定站点而且对这些网站的访问速度有较高要求的企业内网中，但实际的应用并不广泛。而且，缓存服务器是否可以成功解析还与指定的上级 DNS服务器的允许策略有关，因此当前仅需了解即可。

 第一步：配置系统的双网卡参数。前面讲到，缓存服务器一般用于企业内网，旨在降低内网用户查询 DNS 的时间消耗。因此，为了更加贴近真实的网络环境，实现外网查询功能，我们需要在缓存服务器中再添加一块网卡，并按照表所示的信息配置出两台 Linux 虚拟机系统。图 13-9 所示为缓存服务器实验环境的结构拓扑，客户端不局限于一台。 

第二步：还需要在虚拟机软件中将新添加的网卡设置为“桥接模式”，如图所示。然后设置成与物理设备相同的网络参数（此处需要大家按照物理设备真实的网络参数来配置）。图 13-11 所示为以 DHCP 方式获取 IP 地址与网关等信息，重启网络服务后的效果如图 13-12 所示。 

注：新添加的网卡设备默认没有配置文件，需要自行输入网卡名称和类型。另外，记得让新的网卡参数生效：

[root@linuxprobe~]# nmcli connection up ens192 
Connection successfully activated (D-Bus active path: /org/freedesktop 
/NetworkManager/ActiveConnection/5) 

第三步：在 bind 服务程序的主配置文件中添加缓存转发参数。在大约第 20 行处添加一行参数“forwarders { 上级 DNS 服务器地址; };”，上级 DNS 服务器地址指的是获取数据配置文件的服务器。考虑到查询速度、稳定性、安全性等因素，这里使用的是北京市公共 DNS 服务器的地址 210.73.64.1。如果大家也使用该地址，请先测试是否可以 ping 通，以免导致 DNS 域名解析失败。 

[root@linuxprobe~]# vim /etc/named.conf 1 // 2 // named.conf 3 // 4 // Provided by Red Hat bind package to configure the BIND named DNS 5 // server as a caching only nameserver (as a localhost DNS resolver). 6 // 7 // See /usr/share/doc/bind*/sample/ for example configuration files. 8 // 9 10 options { 11         listen-on port 53 { any; }; 12         listen-on-v6 port 53 { ::1; }; 13         directory       "/var/named"; 14         dump-file       "/var/named/data/cache_dump.db"; 15         statistics-file "/var/named/data/named_stats.txt"; 16         memstatistics-file "/var/named/data/named_mem_stats.txt"; 17         secroots-file   "/var/named/data/named.secroots"; 18         recursing-file  "/var/named/data/named.recursing"; 19         allow-query     { any; }; 20         forwarders { 210.73.64.1; }; 
………………省略部分输出信息……………… 
[root@linuxprobe~]# systemctl restart named 

如果您也将虚拟机系统还原到了最初始的状态，记得把防火墙的放行规则一并设置完成：

[root@linuxprobe~]# iptables -F 
[root@linuxprobe~]# iptables-save 
[root@linuxprobe~]# firewall-cmd --permanent --zone=public --add-service=dns 
success 
[root@linuxprobe~]# firewall-cmd --reload 
success 

第四步：重启 DNS 服务，验证成果。把客户端主机的 DNS 服务器地址参数修改为 DNS缓存服务器的 IP 地址 192.168.10.10，如图所示。这样即可让客户端使用本地 DNS 缓存服务器提供的域名查询解析服务。 

在将客户端主机的网络参数设置妥当后重启网络服务，即可使用 nslookup 命令来验证实验结果（如果解析失败，请读者留意是否是上级 DNS 服务器选择的问题）。其中，Server参数为域名解析记录提供的服务器地址，因此可见是由本地 DNS 缓存服务器提供的解析内容。

[root@linuxprobe~]# nmcli connection up ens160 
Connection successfully activated (D-Bus active path: /org/freedesktop/ 
NetworkManager/ActiveConnection/4) 
[root@linuxprobe~]# nslookup 
> www.linuxprobe.com 
Server:         192.168.10.10 
Address:        192.168.10.10#53 Non-authoritative answer: 
www.linuxprobe.com      canonical name = www.linuxprobe.com.w.kunlunno.com. 
Name:   www.linuxprobe.com.w.kunlunno.com 
Address: 139.215.131.226 

最后与大家分享一下实验心得。这个缓存 DNS 服务的配置参数只有一行参数，因此不存在写错的可能性。如果出错了，则大概率有两个可能：上述的 210.73.64.1 服务器可能停用，此时可以改为 8.8.8.8 或 114.114.114.114 再重新尝试；有可能是本地网络参数没有生效而导致的，需要检查 nslookup 输出结果中服务器的地址是否正确。 

6.  分离解析技术

为了满足不同国家的需求，可以购买多台服务器并分别部署在全球各地，然后再使用 DNS 服务的分离解析功能，即可让位于不同地理范围内的读者通过访问相同的网址，从不同的服务器获取到相同的数据。例如，我们可以按照表所示，分别为处于北京的 DNS服务器和处于美国的 DNS 服务器分配不同的 IP 地址，然后让国内读者在访问时自动匹配到北京的服务器，而让海外读者自动匹配到美国的服务器，如图所示。 

注：建议读者将虚拟机还原到初始状态，并重新安装 bind 服务程序，以免多个实验之间相互产生冲突。

第一步：修改 bind 服务程序的主配置文件，把第 11 行的监听端口与第 19 行的允许查询主机修改为 any。由于配置的 DNS 分离解析功能与 DNS 根服务器配置参数有冲突，所以需要把第 52～55 行的根域信息删除。 

[root@linuxprobe ~]# vim /etc/named.conf 
………………省略部分输出信息……………… 44  45 logging { 46         channel default_debug { 47                 file "data/named.run"; 48                 severity dynamic; 49         }; 50 }; 51  52 zone "." IN { 53         type hint; 54         file "named.ca"; 55 }; 56  57 include "/etc/named.rfc1912.zones"; 58 include "/etc/named.root.key"; 59  
………………省略部分输出信息……………… 

第二步：编辑区域配置文件。把区域配置文件中原有的数据清空，然后按照以下格式写入参数。首先使用 acl 参数分别定义两个变量名称（china 与 america），当下面需要匹配 IP 地址时只需写入变量名称即可，这样不仅容易阅读识别，而且也利于修改维护。这里的难点是理解 view 参数的作用。它的作用是通过判断用户的 IP 地址是中国的还是美国的，然后去分别加载不同的数据配置文件（linuxprobe.com.china 或 linuxprobe.com.america）。这样，当把相应的 IP 地址分别写入到数据配置文件后，即可实现 DNS 的分离解析功能。这样一来，当中国的用户访问 linuxprobe.com
域名时，便会按照 linuxprobe.com.china 数据配置文件内的 IP 地址找到对应的服务器。 

[root@linuxprobe~]# vim /etc/named.rfc1912.zones 
acl "china" { 122.71.115.0/24; }; 
acl "america" { 106.185.25.0/24; }; 
view "china"{ match-clients { "china"; }; zone "linuxprobe.com" { type master; file "linuxprobe.com.china"; }; 
}; 
view "america" { match-clients { "america"; }; zone "linuxprobe.com" { type master; file "linuxprobe.com.america"; }; 
};     

第三步：建立数据配置文件。分别通过模板文件创建出两份不同名称的区域数据文件，其名称应与上面区域配置文件中的参数相对应。 

[root@linuxprobe~]# cd /var/named 
[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.china 
[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.america 
[root@linuxprobe named]# vim linuxprobe.com.china 

[root@linuxprobe named]# vim linuxprobe.com.America 

其中，122.71.115.15 和 106.185.25.15 两台主机并没有在实验环节中配置，需要大家自行设置。如果不想太过麻烦，可以直接将 www.linuxprobe.com 域名解析到 122.71.115.10 和106.185.25.10 服务器上面，这样只需要准备一台服务器就够了。 

第四步：重新启动 named 服务程序，验证结果。将客户端主机（Windows 系统或 Linux系统均可）的 IP 地址分别设置为 122.71.115.1 与 106.185.25.1，将 DNS 地址分别设置为服务器主机的两个 IP 地址。这样，当尝试使用 nslookup 命令解析域名时就能清晰地看到解析结果，分别如图 13-15 与图 13-16 所示。