NTP服務和DNS服務（week3_day3）--技術流ken

 

NTP時間服務器

 

做用：ntp主要是用於對計算機的時間同步管理操做。

 

時間是對服務器來講是很重要的，通常不少網站都須要讀取服務器時間來記錄相關信息，若是時間不許，則可能形成很大的影響。

 

部署安裝NTP服務器

第一步：安裝服務

[root@ken ~]# yum install ntp -y

 

第二步：配置NTP文件

[root@ken ~]# vim /etc/ntp.conf
  server 127.127.1.0 #本地時鐘地址，以本機做爲時間服務器，也能夠根據須要選擇阿里時間服務器 restrict 127.0.0.1 #容許本機使用時間服務器 restrict 172.20.10.7 mask 255.255.255.240 #容許172.20.10.7使用本機的時間服務器

 

第三步：重啓NTP服務

[root@ken ~]# systemctl restart ntpd

 

第四步：檢查NTP狀態

[root@ken ~]# ntpstat 
synchronised to local net at stratum 6 time correct to within 7948 ms polling server every 64 s

 

第五步：客戶端下載NTP客戶端程序

[root@host1 ~]# yum install ntpdate -y

 

第六步：客戶端進行同步

 

當前服務端時間

[root@ken ~]# date
Thu Feb 28 12:22:41 CST 2019

 

當前客戶端時間

[root@host1 ~]# date
Thu Feb 28 20:34:34 CST 2019

 

客戶端進行時間同步

[root@host1 ~]# ntpdate 172.20.10.6
28 Feb 12:24:52 ntpdate[7551]: step time server 172.20.10.6 offset -29488.471623 sec
[root@host1 ~]# date Thu Feb 28 12:25:10 CST 2019

 

若是出現下面的錯誤，稍等再次執行便可

[root@ken ~]# ntpdate  192.168.1.163
 6 Mar 23:12:36 ntpdate[1541]: no server suitable for synchronization found

 

DNS域名解析系統

 

DNS服務概述：

DNS（Domain Name System）域名系統，在TCP/IP 網絡中有很是重要的地位，可以提供域名與IP地址的解析服務。

 

DNS 是一個分佈式數據庫，命名系統採用層次的邏輯結構，如同一棵倒置的樹，這個邏輯的樹形結構稱爲域名空間，因爲DNS 劃分了域名空間，因此各機構可使用本身的域名空間建立DNS信息。

注：DNS 域名空間中，樹的最大深度不得超過127 層，樹中每一個節點最長能夠存儲63 個字符。

 

 

 

 一、域和域名

DNS 樹的每一個節點表明一個域，經過這些節點，對整個域名空間進行劃分，成爲一個層次結構。

域名空間的每一個域的名字，經過域名進行表示。

 

域名：一般由一個徹底合格域名（FQDN）標識。FQDN能準確表示出其相對於DNS 域樹根的位置，也就是節點到DNS 樹根的完整表述方式，從節點到樹根採用反向書寫，並將每一個節點用「.」分隔，對於DNS 域google 來講，其徹底正式域名（FQDN）

爲google.com。

例如，google爲com域的子域，其表示方法爲google.com，而www爲google域中的子域，可使用www.google.com表示。

 

注意：一般，FQDN 有嚴格的命名限制，長度不能超過256 字節，只容許使用字符a-z,0-9,A-Z

和減號（-）。點號（.）只容許在域名標誌之間（例如「google.com」）或者FQDN 的結尾使用。

域名不區分大小。

由最頂層到下層，能夠分紅：根域、頂級域、二級域、子域。

 

Internet 域名空間的最頂層是根域（root），其記錄着Internet 的重要DNS 信息，由Internet域名註冊受權機構管理，該機構把域名空間各部分的管理責任分配給鏈接到Internet 的各個組織。

 「.」全球有13個根(root)服務器

DNS 根域下面是頂級域，也由Internet 域名註冊受權機構管理。共有3 種類型的頂級域。

組織域：採用3 個字符的代號，表示DNS 域中所包含的組織的主要功能或活動。好比com 爲商業機構組織，edu 爲教育機構組織，gov 爲政府機構組織，mil 爲軍事機構組織，net 爲網絡機構組

織，org 爲非營利機構組織，int 爲國際機構組織。

 

地址域：採用兩個字符的國家或地區代號。如cn 爲中國，kr 爲韓國，us 爲美國。

反向域：這是個特殊域，名字爲in-addr.arpa，用於將IP 地址映射到名字（反向查詢）。

對於頂級域的下級域，Internet 域名註冊受權機構受權給Internet 的各類組織。當一個組織得到了對域名空間某一部分的受權後，該組織就負責命名所分配的域及其子域，包括域中的計算機和其餘設備，並管理分配的域中主機名與IP 地址的映射信息。

 

二、區(Zone)

區是DNS 名稱空間的一部分，其包含了一組存儲在DNS 服務器上的資源記錄。

使用區的概念，DNS 服務器回答關於本身區中主機的查詢，每一個區都有本身的受權服務器。

 

三、DNS 相關概念

（1）DNS 服務器

運行DNS 服務器程序的計算機，儲存DNS 數據庫信息。DNS 服務器會嘗試解析客戶機的查詢請求。

在解答查詢時，若是DNS 服務器能提供所請求的信息，就直接回應解析結果，若是該DNS 服務器

沒有相應的域名信息，則爲客戶機提供另外一個能幫助解析查詢的服務器地址，若是以上兩種方法

均失敗，則迴應客戶機沒有所請求的信息或請求的信息不存在。

（2）DNS 緩存

DNS 服務器在解析客戶機請求時，若是本地沒有該DNS 信息，則能夠會詢問其餘DNS 服務器，當

其餘域名服務器返回查詢結果時，該DNS 服務器會將結果記錄在本地的緩存中，成爲DNS 緩存。

當下一次客戶機提交相同請求時，DNS 服務器可以直接使用緩存中的DNS 信息進行解析。

 

2）DNS查詢方式： 遞歸查詢和迭代查詢

看一個DNS查詢過程：

經過8個步驟的解析過程就使得客戶端能夠順利訪問www.163.com 這個域名，但實際應用中，一般這個過程是很是迅速的

 

 

<1> 客戶機提交域名解析請求，並將該請求發送給本地的域名服務器。

<2> 當本地的域名服務器收到請求後，就先查詢本地的緩存。若是有查詢的DNS 信息記錄，則直

接返回查詢的結果。若是沒有該記錄，本地域名服務器就把請求發給根域名服務器。

<3> 根域名服務器再返回給本地域名服務器一個所查詢域的頂級域名服務器的地址。

<4> 本地服務器再向返回的域名服務器發送請求。

<5> 接收到該查詢請求的域名服務器查詢其緩存和記錄，若是有相關信息則返回客戶機查詢結

果，不然通知客戶機下級的域名服務器的地址。

<6> 本地域名服務器將查詢請求發送給返回的DNS 服務器。

<7> 域名服務器返回本地服務器查詢結果（若是該域名服務器不包含查詢的DNS 信息，查詢過程

將重複<6>、<7>步驟，直到返回解析信息或解析失敗的迴應）。

<8> 本地域名服務器將返回的結果保存到緩存，而且將結果返回給客戶機。

 

五、兩種查詢方式：

（1）遞歸查詢

遞歸查詢是一種DNS 服務器的查詢模式，在該模式下DNS 服務器接收到客戶機請求，必須使用一

個準確的查詢結果回覆客戶機。若是DNS 服務器本地沒有存儲查詢DNS 信息，那麼該服務器會詢

問其餘服務器，並將返回的查詢結果提交給客戶機。

 

（2）迭代查詢

DNS 服務器另一種查詢方式爲迭代查詢，當客戶機發送查詢請求時，DNS 服務器並不直接回複查詢結果，而是告訴客戶機另外一臺DNS 服務器地址，客戶機再向這臺DNS 服務器提交請求，依次循環直到返回查詢的結果爲止。

 

正向解析與反向解析

 

1）正向解析

正向解析是指域名到IP 地址的解析過程。

[root@ken ~]# ping www.baidu.com
PING www.a.shifen.com (119.75.217.109) 56(84) bytes of data.
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=1 ttl=54 time=4.84 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=2 ttl=54 time=5.81 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=3 ttl=54 time=6.79 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=4 ttl=54 time=8.14 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=5 ttl=54 time=5.73 ms

 

2）反向解析

反向解析是從IP 地址到域名的解析過程。反向解析的做用爲服務器的身份驗證。

http://dns.aizhan.com/

 

 

七、DNS資源記錄

1）SOA 資源記錄

每一個區在區的開始處都包含了一個起始受權記錄（Start of Authority Record）,簡稱SOA 記錄。

SOA 定義了域的全局參數，進行整個域的管理設置。一個區域文件只容許存在惟一的SOA 記錄。

起始受權機構SOA資源記錄老是處於任何標準區域中的第一位，它表示最初建立它的DNS服務器或如今是這個截獲的主服務器的DNS服務器。它還用於存儲會影響區域更新或過時的其餘屬性，如版本信息和計時，這些屬性會影響在這個區域的域名服務器之間進行同步數據的頻繁程度

 

2）NS 資源記錄

NS（Name Server）記錄是域名服務器記錄，用來指定該域名由哪一個DNS服務器來進行解析。每一個區在區根處至少包含一個NS 記錄。

 

3）A 資源記錄

地址（A）資源記錄把FQDN 映射到IP 地址。 由於有此記錄，因此DNS服務器能解析FQDN域名對應的IP 地址。

 

4）PTR 資源記錄

相對於A 資源記錄，指針（PTR）記錄把IP地址映射到FQDN。 用於反向查詢，經過IP地址，找到域名。

 

5）CNAME 資源記錄

別名記錄（CNAME）資源記錄建立特定FQDN 的別名。用戶可使用CNAME 記錄來隱藏用戶網絡的實現細節，使鏈接的客戶機沒法知道真正的域名。

 

6）MX 資源記錄

郵件交換（MX）資源記錄，爲DNS 域名指定郵件交換服務器。

郵件交換服務器是爲DNS 域名處理或轉發郵件的主機。處理郵件指把郵件投遞到目的地或轉交另外一不一樣類型的郵件傳送者。轉發郵件指把郵件發送到最終目的服務器，用簡單郵件傳輸協議SMTP 把郵件發送給離最終目的地最近的郵件交換服務器，或使郵件通過必定時間的排隊。

以上是相關概念。

 

模式： C/S 模式

 

資源記錄的通用格式

name  [time]  IN   type   value

 

name：要解析的目標主機的名稱

time：解析結果的緩存時間

IN：關鍵詞

type：資源記錄類型

value：將目標主機解析到哪一個地址

 

例子：

www   86400   IN   A   1.2.3.4

 

二、端口

[root@ken~]# vim /etc/services

端口：

tcp/53   udp/53    #用於客戶端查詢

tcp/953   udp/953   #用於DNS主從同步

 

 

BIND 簡介

BIND 全稱爲Berkeley Internet Name Domain(伯克利因特網名稱域系統)。BIND 主要有三個版

本：BIND四、BIND八、BIND9。

BIND8 融合了許多提升效率、穩定性和安全性的技術，而BIND9 增長了一些超前的理念：IPv6支持、密鑰加密、多處理器支持、線程安全操做、增量區傳送等等。

 

部署DNS正向解析

 

主配置文件（/etc/named.conf）：只有58行，並且在去除註釋信息和空行以後，實際有效的參數僅有30行左右，這些參數用來定義bind服務程序的運行。

區域配置文件（/etc/named.rfc1912.zones）：用來保存域名和IP地址對應關係的所在位置。相似於圖書的目錄，對應着每一個域和相應IP地址所在的具體位置，當須要查看或修改時，可根據這個位置找到相關文件。

數據配置文件目錄（/var/named）：該目錄用來保存域名和IP地址真實對應關係的數據配置文件。

 

1. 主配置文件： /etc/named.conf
2. 區域配置文件： /etc/named.rfc1912.zones
3. 正向解析模板文件： /var/named/named.localhost
4. 反向解析模板文件： /var/named/named.loopback

 

第一步：下載bind

[root@ken ~]# yum install bind bind-utils -y

bind   #該包爲DNS 服務的主程序包。

bind-utils  #該包爲客戶端工具，默認安裝，用於搜索域名指令

 

第二步：編輯/etc/named.conf文件

[root@ken ~]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html

options {
    listen-on port 53 { any; };          #修改成any
    listen-on-v6 port 53 { ::1; };
    directory     "/var/named";
    dump-file     "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    recursing-file  "/var/named/data/named.recursing";
    secroots-file   "/var/named/data/named.secroots";
    allow-query     { any; };             #修改成any

    /* 
...

第一處修改成any表示：服務器上的全部IP地址都可提供DNS域名解析服務

第二處修改成any表示：容許全部人對本服務器發送DNS查詢請求

 

第三步：修改區域配置文件

[root@ken ~]# cat /etc/named.rfc1912.zones
// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package 
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt
// (c)2007 R W Franks
// 
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

zone "ken.com" IN {
    type master;
    file "ken.com.zone";
    allow-update { none; };
};

 

第四步：編輯數據配置文件

能夠從/var/named目錄中複製一份正向解析的模板文件（named.localhost），而後把域名和IP地址的對應數據填寫數據配置文件中並保存。在複製時記得加上-a參數，這能夠保留原始文件的全部者、所屬組、權限屬性等信息，以便讓bind服務程序順利讀取文件內容

[root@ken ~]# cp -a /var/named/named.localhost /var/named/ken.com.zone

 

第五步：配置數據配置文件

[root@ken ~]# cat /var/named/ken.com.zone
$TTL 1D  #生存週期爲1天
@    IN SOA             @          rname.invalid. (
    #受權信息開始    #DNS區域的地址    #管理員郵箱        0    ; serial  #更新序列號
                                                   1D    ; refresh  #更新時間
                                                   1H    ; retry    #重試時間
                                                   1W    ; expire   #失效時間
                                                 3H )    ; minimum  #無效解析記錄的緩存時間
    NS    @    #域名服務器記錄
    A    127.0.0.1 #地址記錄
www   IN A     192.168.4.190
bbb   IN A     192.168.4.190
mail  IN A     192.168.4.190

 

第六步：重啓服務

[root@ken ~]# systemctl restart named

 

第七步：修改網卡配置文件中的DNS爲本機IP地址

[root@ken ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 
DEVICE="eth0"
ONBOOT=yes
NETBOOT=yes
BOOTPROTO=static
TYPE=Ethernet
IPADDR=192.168.4.190
NETMASK=255.255.255.0
GATEWAY=192.168.4.1
DNS1=192.168.4.190   #DNS地址修改成本機地址

 

第八步：重啓網絡

[root@ken ~]# systemctl restart network

 

第九步：測試

[root@ken ~]# nslookup 
> www.ken.com 
Server:        192.168.4.190
Address:    192.168.4.190#53

Name:    www.ken.com
Address: 192.168.4.190
> bbb.ken.com
Server:        192.168.4.190
Address:    192.168.4.190#53

Name:    bbb.ken.com
Address: 192.168.4.190
> mail.ken.com
Server:        192.168.4.190
Address:    192.168.4.190#53

Name:    mail.ken.com
Address: 192.168.4.190
> wa.ken.com
Server:        192.168.4.190
Address:    192.168.4.190#53

** server can't find wa.ken.com: NXDOMAIN

 

部署DNS反向解析

 

第一步：修改區域配置文件

[root@ken ~]# vim /etc/named.rfc1912.zones
...
zone "10.20.172.in-addr.arpa" IN {
        type master;
        file "ken.com.zone";
        allow-update { none; };
};
...

 

第二步：編輯數據配置文件

[root@ken ~]# cd /var/named/
[root@ken named]# cp named.localhost ken.com.zone -a
[root@ken named]# vim ken.com.zone
$TTL 1D
@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      @
        A       127.0.0.1
2   IN    PTR     bbn.ken.com
2   IN    PTR     www.ken.com
2    IN   PTR     mail.ken.com
3    IN   PTR     aaa.ken.com

 

第三步：重啓DNS

[root@ken named]# systemctl restart named

 

第四步：寫入網卡配置文件

[root@ken named]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 
TYPE="Ethernet"
BOOTPROTO="static"
DEVICE="eth0"
ONBOOT="yes"
IPADDR=172.20.10.2
NETMASK=255.255.255.240
GATEWAY=172.20.10.1
DNS1=172.20.10.2   #DNS地址爲本機IP
[root@ken named]# systemctlr restart network

 

第五步：測試

[root@ken named]# nslookup 172.20.10.2
Server:        172.20.10.2
Address:    172.20.10.2#53

2.10.20.172.in-addr.arpa    name = bbn.ken.com.10.20.172.in-addr.arpa.
2.10.20.172.in-addr.arpa    name = mail.ken.com.10.20.172.in-addr.arpa.
2.10.20.172.in-addr.arpa    name = www.ken.com.10.20.172.in-addr.arpa.

[root@ken named]# nslookup 172.20.10.3
Server:        172.20.10.2
Address:    172.20.10.2#53

3.10.20.172.in-addr.arpa    name = aaa.ken.com.10.20.172.in-addr.arpa.