? ? 為了簡(jiǎn)化運(yùn)維人員的負(fù)擔(dān)，使用Master/Slave DNS架構(gòu)的情況比較好，現(xiàn)在我們來(lái)簡(jiǎn)單敘述一下Master/Slaver DNS的特點(diǎn)

? ? ? ? ? ? ?主DNS服務(wù)器：維護(hù)所負(fù)責(zé)解析的域內(nèi)解析庫(kù)服務(wù)器；解析庫(kù)由管理員維護(hù)；

? ? ? ? ? ? ?從DNS服務(wù)器:從主DNS服務(wù)器或其它的從DNS服務(wù)器那里“復(fù)制”（區(qū)域傳遞）一份解析庫(kù)；

?? ??? ??? ??? ??? ?? ? 序列號(hào)：解析庫(kù)的版本號(hào)；前提：主服務(wù)器解析庫(kù)內(nèi)容發(fā)生變化；其序列號(hào)遞增；

?? ??? ??? ??? ??? ?? ? 刷新時(shí)間：從服務(wù)器從主服務(wù)器請(qǐng)求同步解析庫(kù)的時(shí)間間隔；

?? ??? ??? ??? ??? ?? ? 重試時(shí)長(zhǎng)：從服務(wù)器從主服務(wù)器請(qǐng)求同步解析庫(kù)失敗時(shí)，再次嘗試請(qǐng)求的時(shí)間間隔；

?? ??? ??? ??? ??? ?? ? 過(guò)期時(shí)長(zhǎng)：從服務(wù)器時(shí)鐘聯(lián)系不到服務(wù)器時(shí)，多久以后放棄從服務(wù)器角度，停止提供服務(wù)

?? ??? ??? ??? ??? ?? ??

?? ??? ??? ??? ??? ??? ?區(qū)域傳送：

?? ??? ??? ??? ??? ??? ??? ?? ? 全量傳送：傳遞整個(gè)解析庫(kù)

?? ??? ??? ??? ??? ??? ??? ?? ? 增量傳送：傳遞解析庫(kù)變化的那部分內(nèi)容

????????????

????環(huán)境準(zhǔn)備

????????centso 6.5主機(jī)兩臺(tái)

????????master主機(jī)IP地址192.168.1.1，主機(jī)名為master.test.com

????????slave主機(jī)IP地址為192.165.1.2，主機(jī)名為slave.test.com? ? ????? ?

?1.master DNS權(quán)限的開(kāi)放

? ? ? ? ? ? （1）提供Slave DNS服務(wù)器進(jìn)行zone transfer的服務(wù)器為master.test.com.

????????????????? (2) test.com及 1.1.168.in-addr-arpa兩個(gè)Zone提供給Slave DNS使用。（正解反解都要提供）

????????????????? (3) master.tst.com的named僅提供給slave.test.com這臺(tái)主機(jī)進(jìn)行zone transfer。

????????????????（4）Slave DNS假設(shè)在192.168.1.2這臺(tái)服務(wù)器上面。

????????????? ? ? 我們?cè)趍aster.test.com這臺(tái)服務(wù)器中除了named.conf需要調(diào)整之外，兩個(gè)zone file也需要調(diào)整，在named.conf當(dāng)中，需要設(shè)置哪個(gè)IP可以對(duì)我的zone進(jìn)行傳輸（allow-yransfer）,而在zone file中，只要加入一項(xiàng)NS記錄即可。

???????????? ? ? 進(jìn)入到/etc/named.conf,或者是/etc/named.rfc1912.zones文件中。

?????????????????備注：這兩個(gè)配置文件一個(gè)為根域的解析配置文件，一個(gè)為用戶自定義區(qū)域解析文件，二者都可以讓用戶添加新的區(qū)域解析信息。看個(gè)人使用習(xí)慣，決定在哪個(gè)文件中定義新的區(qū)域信息。在這里我們使用named.rfc1912.zones文件進(jìn)行zone記錄的添加

? ? ? ? ? ? ? ? ?在named.rfc1912.zones文件中創(chuàng)建兩條zone記錄test.com以及1.168.192.in-addr.arpa并為其指定配置文件路徑

??????????????????

???????????? ?備注：其中allow-transfer后面括號(hào)中的地址要填寫(xiě)為slave服務(wù)器的ip地址，有過(guò)個(gè)地址的話，中間用分號(hào)隔開(kāi)。

????????????????? ??

?2.?然后我們創(chuàng)建兩個(gè)zone file文件，在/var/named/目錄下面創(chuàng)建兩個(gè)zone file文件

????????????????編輯第一個(gè)文件test.com.zone

????????????

? ? ? ? ? ? ? 備注：其中@表示當(dāng)前區(qū)域主機(jī)名稱(chēng)即master.test.com

? ? ? ? ? ? 編輯反解的192.168.1.zone文件

? ? ? ? ? ? ?

3.設(shè)置完master服務(wù)器的配置后，我們來(lái)設(shè)置slaver服務(wù)器的配置文件

? ? ? ? ? ? ? ?編輯/etc/named.rfc1912.zones文件

? ? ? ? ? ? ? ?在文件中創(chuàng)建兩條zone記錄test.com以及1.168.192.in-addr.arpa

????????????? ?備注：這里因?yàn)槭菑腄NS服務(wù)器所以type類(lèi)型要設(shè)置為 slave;同時(shí)指名masters的正確IP地址。slave DNS的zone filename部分，由于zone file都是從Master取得的，通過(guò)named這個(gè)程序來(lái)主動(dòng)建立起需要的zone file，因此這個(gè)zone file的路徑只要設(shè)置為slaves/zone name即可。

????

? ? ? ? ??

? ? ? ? ??

????????如此一來(lái)Slave DNS就建立起來(lái)了，未來(lái)如果Master DNS要跟新數(shù)據(jù)庫(kù)時(shí)，只需要修改過(guò)序號(hào)，并重新啟動(dòng)named后，這臺(tái)Slave DNS就會(huì)跟著更新。

????????

??

? ? DNS的高級(jí)特性

1.?bind中基礎(chǔ)的安全相關(guān)配置：

????? ? ? ? ?acl：把一個(gè)或多個(gè)地址歸并為一個(gè)集合，并通過(guò)一個(gè)同一的名稱(chēng)調(diào)用；

? ? ? ? ? ? ?示例:

?? ??? ??? ??? ?? ? acl mynet{

?? ??? ??? ??? ??? ?? ? 172.16.0.0/16;

?? ??? ??? ??? ??? ??? ?};

? ? ? ? ? ?

? ? ? ? ? ?(1) 訪問(wèn)控制的指令：

?? ??? ??? ??? ??? ?? ? allow-query {};允許查詢的主機(jī)；白名單

??????????????

????????????備注：只允許定義的這幾個(gè)IP地址進(jìn)行查詢。一般來(lái)說(shuō)為any，因?yàn)镈NS主機(jī)應(yīng)該允許所有人查看其解析的主機(jī),注意將allow-query定義在zone中只能對(duì)一個(gè)zone生效，定義在/etc/named.conf的options中則對(duì)所有的zone都生效

? ? ? ? ? ?（2）只允許slaves中定義的主機(jī)進(jìn)行區(qū)域傳送；

? ? ? ? ? ??

? ? ? ? ? ?（3）allow-recursion{}:允許遞歸的主機(jī)；通常定義在options全局配置中；示例：自己定義mynet訪問(wèn)控制列表

? ? ? ? ? ?

? ? ? ? ? 備注： allow-update{}:允許更新區(qū)域數(shù)據(jù)庫(kù)中的內(nèi)容；通常設(shè)置為none,不允許任何人更新，zone中定義為 allow-update { none; };用YUM下載BIND安裝包，默認(rèn)會(huì)啟用dnssec,配置文件中dnssec-enable不能注釋掉；將后面的yes改為no，父域子域都要做更改。

? ? ? ? ? dnssec-enable no;

? ? ? ? ? dnssec-validation no;

????????

2.view視圖

? ? ? ? ? ? ? ? ? 視圖：

?? ??? ??? ??? ??? ?? ? 一個(gè)bind服務(wù)器可定義多個(gè)view,每個(gè)view可以有一個(gè)或多個(gè)zone;

?? ??? ??? ??? ??? ??? ?每個(gè)view用來(lái)匹配一組客戶端；

?? ??? ??? ??? ??? ?? ? 多個(gè)view內(nèi)可能需要對(duì)同一區(qū)域進(jìn)行解析，但使用不同的區(qū)域解析文件；

?? ??? ??? ??? ??? ?? ? view VIEW_NAME {

?? ??? ??? ??? ??? ??? ??? ?? ? match-clients {};? //匹配的客戶端

?? ??? ??? ??? ??? ??? ?};

?? ??? ??? ??? ??? ?? ? 注意：

?? ??? ??? ??? ??? ?? ? （1）一旦啟用了viwe,所有的zone都定義在view中；

?? ??? ??? ??? ??? ?? ? （2）僅有必要在匹配到允許遞歸請(qǐng)求的客戶所在viwe中定義根區(qū)域；

?? ??? ??? ??? ??? ??? ?（3）客戶端請(qǐng)求到達(dá)時(shí)，是自下而上檢查每個(gè)view所服務(wù)的客戶端列表；

????????????????????示例：

? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? 第一步：將named.conf中根區(qū)域的定義刪除將它定義到named.rfc1926.zones

? ? ? ? ? ? ?????????????options定義一個(gè)acl

? ? ? ?

? ? ? ? ? ? ? ?第二步：在named.rfc1925.zones定義view

? ? ? ? ??

? ? ? ? ? ? ? 上圖定義的文件表示對(duì)匹配到的客戶端同時(shí)對(duì)這些客戶端進(jìn)行遞歸查詢

? ? ? ? ? ? ? ? ? 添加一個(gè)新的view

? ? ? ? ??

? ? ? ? ? ? ? 配置文件不同，在/var/named/中從新定義一個(gè)區(qū)域資源文件

? ? ? ? ? ? ??vim external.zone

? ? ? ? ????????

? ? ? ? ? ? ?這樣通過(guò)BIND組件的view功能可以根據(jù)不同網(wǎng)段的IP請(qǐng)求轉(zhuǎn)發(fā)給不同的服務(wù)器進(jìn)行處理

轉(zhuǎn)載于:https://blog.51cto.com/11970509/2312406

總結(jié)

以上是生活随笔為你收集整理的DNS服务（4）Slave DNS及高级特性的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。