RHEL7版-项目10-使用Unbound实现域名解析

“十二五”职业教育国家规划教材

RedHatEnterpriseLinux7.3〔RHEL7.3〕Linux网络操作系统配置与管理(第三版)主编：夏笠芹工程10使用Unbound提供域名解析课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(5套)红帽认证+全国技能大赛资料知识拓展&网络工程解决方案附赠光盘工程10使用Unbound实现域名解析【职业知识目标】了解:域名解析,域名空间的概念；DNS的类型熟悉:DNS效劳的工作过程,DNS客户机更新租约的过程掌握:安装、配置DNS效劳器的方法步骤,配置、测试DNS客户机的方法步骤【职业能力目标】会安装Unbound软件包能配置授权DNS、唯缓存DNS和转发器会配置DNS客户机能排除DNS效劳器的常见故障10.1工程描述在德雅职业学校的校园网中,已经搭建了网页浏览、文件传输、电子邮件等多种效劳功能的多台效劳器,为了方便校园网内的用户及Internet上的广阔用户能通过域名访问这些效劳器,有必要为校园网内的每台效劳器或每种效劳功能配置各自不同的域名,这样,校园网内外计算机之间便可通过域名间接地相互通信。要实现以上需求,网管员必须完成两件事:其一,向授权的DNS域名注册颁发机构申请并注册一个合法的二级域名(如“”);其二,为了加快域名解析的速度和减少出口带宽的流量,在校园网内至少搭建一台DNS效劳器,以实现域名与IP地址的相互转换。10.2工程知识准备10.2.1DNS效劳及域名空间http://www.sDNS服务器Web服务器的IP地址www.IP地址正向解析反向解析主机名域名10.2工程知识准备10.2.1DNS效劳及域名空间10.2工程知识准备10.2.2DNS域名解析的过程以查询“”为例介绍域名解析的过程如下：(1)当在客户端的浏览器地址栏输入“”域名后,客户端自动产生一个查询并将查询传给本机的缓存进行解析,假设查询信息可以被解析那么完成查询。客户端DNS缓存来源于本机的hosts文件,在客户端启动时,hosts文件中的名称与IP地址映射信息将被加载到缓存中。(2)如果在客户端的缓存内无法获得查询结果,客户端会将查询请求发送给自己所指向的本地DNS效劳器(你必须预先配置DNS客户端所使用的DNS效劳器)。本地DNS效劳器收到请求后,就先查询本地的缓存,如果有该纪录项,那么本地DNS效劳器就直接把查询的结果返回给客户端。如果本地的缓存没有,就在本地DNS效劳器管理的区域的记录中查找,如果找到相应的记录那么查询过程结束。(3)如果在本地DNS效劳器中仍无法查找到答案,那么根据本地DNS效劳器中是否设置了转发地址,其解析过程有以下两种不同的查询轨迹:未设转发地址：本地DNS效劳器将查询请求发至根域名DNS,根域名DNS收到请求后会判断这个“.edu”域名是由谁来授权管理,并将“.edu”域名DNS的IP地址返回给本地DNS效劳器,本地DNS效劳器将联系“.edu”域名DNS。“.edu”域名DNS收到请求后,如果自己无法解析,它会将“”域名DNS的地址返回给本地DNS效劳器。当本地DNS效劳器收到该地址后,就会找“”域名DNS继续查询,直至找到存有“”的DNS,并由该DNS将“”的IP地址返回给本地DNS效劳器,如图10-2所示。10.2工程知识准备10.2.2DNS域名解析的过程已设转发地址：本地DNS效劳器将查询请求转发至上一级DNS效劳器,由上一级DNS效劳器进行解析,当上一级DNS效劳器不能解析时,或找根域名DNS或把请求转至再上一级的DNS,以此循环,直至最后将结果返回给本地DNS效劳器。(4)本地DNS效劳器将“”的IP地址发送给客户端。(5)客户端在数据包中封装目标主机的IP地址,从而实现与域名为“”的目标主机进行通信。10.2工程知识准备10.2.2DNS域名解析的过程10.2.3DNS的查询模式与解析类型递归查询:DNS效劳器接收到查询请求时,要么做出查询成功的响应,要么做出查询失败的响应。在图10-2中,步骤(2)中客户端与本地DNS效劳器之间的查询关系就属于递归查询。迭代查询:DNS效劳器接收到查询请求后,假设该效劳器中不包含所需查询记录,它会告诉请求者另一台DNS效劳器的IP地址,使请求者转向另一台DNS效劳器继续查询,以此类推,直到查到所需记录为止,否那么由最后一台DNS效劳器通知请求者查询失败。在图10-2中,步骤(3)至(5)中本地DNS效劳器与其他DNS效劳器之间的查询那么属于迭代查询(反复查询)。按照查询内容的不同,DNS效劳器支持两种查询类型:正向查询(正向解析):由域名查找IP地址。反向查询(反向解析):由IP地址查找域名。一般不常用,只用于一些特殊场合,如:反垃圾邮件的验证。10.2工程知识准备10.2.4DNS效劳器的类型与hosts文件授权效劳器授权DNS效劳器是指对于某个或者多个区域具有授权的效劳器,授权效劳器保存着其所拥有授权的区域内的原始域名资源记录信息。主授权效劳器:是被配置成区域内数据发布源的授权效劳器。通常主授权效劳器不对外提供效劳,只用于保存授权效劳数据以及实现与辅授权效劳器数据的主辅更新。辅授权效劳器:是通过传送协议从主授权效劳器中获取(复制)区域数据的授权效劳器。一个区域内可以没有辅授权DNS,也可以有多台辅授权DNS。缓存域名效劳器主要功能是提供域名解析的缓存转发DNS效劳器但凡可以向其他DNS效劳器转发解析请求的DNS效劳器都称为转发DNS效劳器。hosts文件hosts文件是Linux或Windows系统中负责IP地址与域名快速解析的一个文件10.2工程知识准备

DNS资源记录及其种类资源记录是DNS区域中用于指定某个特定名称或对象的信息条目。一个资源记录包含5个字段,并按以下格式组织：10.2工程知识准备字段名称.内容Owner-name资源记录的名称,被解析对象的名称TTL资源记录的生存时间(秒),即在DNS服务器中缓存该资源记录的时间长度class资源记录所属的类,如“IN”表示标准DNS的Internet类type资源记录的类型,如SOA记录、NS记录、A记录、AAAA记录等data资源记录存储的数据,不同的资源记录类型有不同的存储数据Owner-name TTL class type dataDNS资源记录及其种类①SOA记录——起始授权(StartOfAuthority)记录,每个区域都有一条SOA记录,用于指定本区域内负责解析的DNS效劳器中哪个是主授权效劳器,以及管理区域的负责人的邮箱地址和主、辅授权DNS效劳器之间实现数据同步的控制参数,见表10-210.2工程知识准备参数作用主授权主机名(Mname)名称服务器的主机名,该名称服务器是区域内资源记录信息的原始来源邮箱地址(Rname)负责本区域内管理者的电子邮箱地址,该地址中的“@”改为“.”表示序列号(Serialnamber)每次修改区域记录时,都会增加序列号的值,它是辅授权DNS服务器更新数据的依据刷新时间(refresh)辅授权DNS服务器根据此时间间隔周期性地检查主授权DNS服务器的序列号是否改变,若有改变则更新自己的区域记录(以秒为单位)重试延时(Retry)当辅授权DNS服务器因与主授权DNS无法连通而导致更新区域记录信息失败后,要等待多长时间会再次请求刷新区域记录(以秒为单位)失效时间(Expire)若辅授权DNS服务器超过该时间仍无法与主授权DNS连通,则不再尝试,且辅授权DNS服务器不再响应客户端要求域名解析的请求(以秒为单位)无效缓存时间(Minimum)无效解析记录(查找名称且名称不存在的资源记录)在缓存中持续的时间(以秒为单位)主、辅授权效劳器进行数据同步的控制参数

DNS资源记录及其种类10.2工程知识准备②NS记录——域名效劳器(NameServer)记录,用于将域名映射到区域内的授权DNS效劳器。区域内每个公开的主/辅授权DNS效劳器都有一条NS记录。③A记录——也称正向解析记录,用于说明一个域名对应的IPv4地址是什么。④AAAA记录——用于说明一个域名对应的IPv6地址,即将域名映射到IPv6地址。⑤CNAME记录——别名(CanonicalName)记录,用于给主机设置另外一个新域名,该记录是新域名到原域名的映射。此前的原域名应设置过相应的A记录或AAAA记录。⑥PTR记录——也称指针记录或反向解析记录,用于将IP地址逆向映射到域名。⑦MX记录——邮件交换(MailExchange)记录,用于将属于该区域的邮件域(即邮箱地址@后面的字符串)映射到邮件效劳器的域名。⑧SRV记录——用于查找支持“Windows域”效劳的特定主机。10.3工程实施任务10-1Unbound效劳的安装与运行管理1．获得Unbound软件包RHEL7.x自带了Bind和Unbound两种DNS效劳包,Unbound是红帽公司推荐使用的DNS效劳器。目前,虽然Bind在全球拥有最多的用户,但这个老牌产品是针对简单网络设计的,随着网络的迅速开展,Bind系统已经越来越不适应在如今复杂的大规模网络环境下提供DNS效劳了。Unbound是FreeBSD(类Unix)操作系统下的默认DNS效劳器软件,它是一个功能强大、平安性高、跨平台(类Unix、Linux、Windows)、易于配置,以及支持验证、递归(转发)、缓存等功能的DNS效劳软件,其主要安装文件有:(1)unbound-1.4.20-28.el7.x86_64.rpm:DNS的主程序包。(2)unbound-libs-1.4.20-28.el7.x86_64:进行域名解析必备的库文件。2．检查是否已安装Unbound软件包任务10-1Unbound效劳的安装与运行管理[root@dyzx~]#rpm-qaunbound*3．

安装Unbound软件包[root@dyzx~]#mount/dev/cdrom/mnt[root@dyzx~]#4．Unbound效劳的运行管理(1)Unbound效劳的启动、停止、重启、重新加载和状态查询systemctlstart|stop|restart|reload|statusunbound.service(3)检查Unbound进程systemctlenable|disableunbound.servicess-tunap|grepunboundps-ef|grepunbound(2)Unbound效劳在系统开机时自动启动或不启动(4)查看Unbound效劳启动后侦听的端口使用Unbound软件部署DNS效劳器时,相关的配置文件及目录。任务10-2授权DNS效劳器的配置位置及名称作用/etc/unbound/unbound.conf主(全局)配置文件/etc/unbound/local.d/子配置文件所在目录。其中的*.conf文件用于定义正向解析记录和反向解析记录以及设置转发/etc/hosts用于指定IP地址与主机名的映射关系/etc/resolv.conf为Linux客户端指定DNS服务器的IP地址的配置文件/etc/nsswitch.conf/etc/nsswitch.conf文件的第39行“hosts:filesdns”规定了一台主机解析的顺序,首先找的是本地文件/etc/hosts,然后再是DNS。任务10-2授权DNS效劳器的配置【例10-1】为德雅职业学校搭建一台授权DNS效劳器,该效劳器能访问互联网中其他DNS效劳器,能解析校园网内搭建的所有效劳器的域名,并通过配置转发地址使校园网内的用户使用域名访问校园网内外的效劳器,网络连接方式及配置参数如图10-3和表10-4所示服务器完全合格域名IP地址授权DNS服务器纯缓存DNS服务器Web服务器FTP服务器邮件服务器步骤1:以root用户身份登录RHEL7系统→配置DNS效劳器网卡的IP地址为、主机名为。步骤2:安装.Unbound软件包→启动和开机自动启动Unbound效劳。[root@dns1~]#mount/dev/cdrom/mnt[root@dns1~]#[root@dns1~]#systemctlstartunbound[root@dns1~]#systemctlenableunbound步骤3:使用vim编辑配置文件unbound.conf,对效劳器全局参数进行配置[root@dns1~]#vim/etc/unbound/unbound.conf//配置区域的全局参数:interface://38行:设置监听的网络接口(默认监听localhost网络接口)access-control:/24allow //176行:允许allow或拒绝refuse给哪些地址提供解析效劳username:"” //211行:改成空字符串,表示任何用户均可访问domain-insecure:"" //372行:跳过验证域“”,以防止信任链验证失败include:/etc/unbound/local.d/*.conf //472行:将指定的其他可能的配置文件包含进当前文件任务10-2授权DNS效劳器的配置步骤4:配置正向解析记录和反向解析记录。可以在全局配置文件中配置,也可以在/etc/unbound/local.d目录中定义一个以.conf结尾的文件中(如/etc/unbound/local.d/domain.conf)配置(以全局配置文件中的第454行～第470行为格式模板)。在此,继续在全局配置文件中配置正向和反向解析记录。[root@dns1~]#vim/etc/unbound/unbound.conflocal-zone:"."static //455行:设置解析的区域名//添加以下7行local-data,以定义正向解析记录local-data:".86400 INSOA.11D1H1W1H"local-data:". INA"local-data:". INA"local-data:". INA"local-data:". INCNAME ."local-data:". INA"local-data:". IN MX5."//添加以下5行local-data-ptr,以定义反向解析记录local-data-ptr:""local-data-ptr:""local-data-ptr:""local-data-ptr:""任务10-2授权DNS效劳器的配置步骤5:配置转发。任何一台DNS效劳器能直接提供的解析记录都是有限的,当用户请求的解析记录超出了某台DNS效劳器所能解析的范围时,就需要在该DNS效劳器上设置转发功能,以便把超范围的用户解析请求转发给其他DNS效劳器代为解析。假设要将本DNS效劳器的解析请求转发给由ISP提供的IP地址为的公共DNS效劳器,那么只要在unbound.conf作以下修改便可。[root@dns1~]#vim/etc/unbound/unbound.confforward-zone: //547行:定义转发forwardname:"." //转发所有的查询forward-addr: //将解析请求转发到指定IP地址的DNS效劳器步骤6:检测配置文件是否有语法错误,没有错误后,重启效劳:[root@dns1~]#unbound-checkconfunbound-checkconf:noerrorsin/etc/unbound/unbound.conf[root@dns1~]#systemctlrestartunbound任务10-2授权DNS效劳器的配置步骤7:在效劳器端的防火墙中开放DNS效劳。[root@dns1~]#firewall-cmd--permanent--add-service=dns //设置防火墙开放DNS效劳[root@dns1~]#firewall-cmd--reload步骤8:Linux客户端测试。在客户端修改/etc/resolv.conf文件,将DNS效劳器的IP地址指向上述所配置的授权DNS效劳器的IP地址→使用nslookup命令验证DNS查询结果。[root@client~]#vim/etc/resolv.conf[root@client~]#nslookup> //验证正向解析记录Address: #53> //验证反向解析记录Address: #5392. name=.>settype=cname //验证别名记录的解析结果>Address: #53 canonicalname=任务10-2授权DNS效劳器的配置任务10-2授权DNS效劳器的配置>settype=mx //验证MX记录的解析结果>Address: #53 mailexchanger=5.> //验证转发功能的解析结果Address: #53Non-authoritativeanswer:baidu canonicalname=a.shifen.>exit //退出nslookup命令,结束测试步骤8:Linux客户端测试〔接上页〕。【例10-2】为了提高校园网内域名解析的效率,减少校园网出口流量,现搭建一台纯缓存DNS效劳器,配置参数如图10-3所示,其中递归查询转发到校园网内地址为的授权DNS效劳器。步骤1:以root用户身份登录RHEL7系统→配置DNS效劳器网卡的IP地址为、主机名为。步骤2:安装.Unbound软件包→启动和开机自动启动。任务10-3纯缓存DNS效劳器的配置[root@dns2~]#systemctlstartunbound[root@dns2~]#systemctlenableunbound步骤3:使用vim编辑全局配置文件unbound.conf。[root@dns2~]#vim/etc/unbound/unbound.conf//配置区域的全局参数:interface: //38行:设置DNS效劳监听所有网络接口msg-cache-size:8m //108行:缓存大小//177行:允许所有地址访问,refuse表示拒绝;allow表示允许username:"" //211行:改成空字符串,表示任何用户均可访问domain-insecure:"” //372行:跳过验证域"",以防止信任链验证失败forward-zone: //547行:除掉行首"#"号,配置转发name:".” //548行:除掉行首"#"号,并将"example"改为"."forward-addr: //549行:将所有解析请求转发给的授权DNS效劳器步骤4:检测配置文件是否有语法错误,确认无误后重新加载unbound效劳:任务10-3纯缓存DNS效劳器的配置[root@dns2~]#unbound-checkconfunbound-checkconf:noerrorsin/etc/unbound/unbound.conf[root@dns2~]#unbound-controlreload步骤5:配置防火墙允许DNS流量。[root@dns2~]#firewall-cmd--permanent--add-service=dns //设置防火墙开放DNS效劳[root@dns2~]#firewall-cmd--reload步骤6:验证纯缓存DNS效劳器。将客户端的DNS效劳器的IP地址设为纯缓存DNS效劳器的IP地址,然后使用nslookup命令测试正向解析和反向解析的效果。1.DNS故障诊断的常用工具或命令诊断DNS解析故障的四个常用命令工具:①unbound-checkconf:用于检查unbound效劳器配置文件的语法错误②unbound-control:是一个用于控制远程Unbound效劳器的工具。③nscd(nameservicecachedaemon,名称效劳缓存管理器):一种专门对DNS缓存进行管理的工具(RHEL7中默认未安装,可使用yum-yinstallnscd命令安装)。④dig(DomainInformationGroper,域信息搜索器):一种用于询问DNS效劳器的命令工具,他执行DNS搜索,显示从接收请求的域名效劳器返回的答复。任务10-4DNS效劳器的维护与故障排除1.DNS故障诊断的常用工具或命令dig命令的格式：任务10-4DNS效劳器的维护与故障排除dig[@server][type][name][-xaddr][-pport#]其中:server——待查询DNS效劳器的名称或IP地址,假设缺省此项那么根据本机/etc/resolv.conf文件中列举的DNS效劳器做出应答。name——指定要查询的域名。type——指定要查询的记录类型,如A、ANY、MX、NS、SOA等类型,默认值为A。-baddress——指定通过哪块网卡(IP地址)进行查询,适用于多网卡环境下指定网卡。-xaddress——表示要对指定的IP地址进行反向查询。-pport——指定DNS效劳器所使用的端口.用于当效劳器使用非标准DNS端口的状况。dig命令的输出信息包括以下内容:●第一行:显示当前dig的版本和查询内容。●第三行:全局设置选项为直接在窗口显示结果。●第四行到第六行:显示查询结果的信息。●QUESTIONSECTION(查询段),显示查询的条件和对象。●ANSWERSECTION(回应段):显示从效劳器上面得到的答复。●最后面是其它报告信息,如查询花费(微秒)、查询效劳器的IP地址、查询的时间以及回应数据包的大小。2.DNS故障点出错的原因任务10-4DNS效劳器的维护与故障排除其主要的故障原因有:①客户端指派了不正确的DNS效劳器的IP地址;②防火墙规那么阻止了53号端口的DNS流量;③Unbound效劳器配置文件出错;④DNS缓存滞后:当计算机访问某个网站或解析域名时,该解析条目会保存在计算机的DNS缓存中,但有时候会出现DNS效劳器中更改了IP地址,而用户本地的DNS缓存信息没有改变,这样就会出现DNS解析故障。⑤DNS劫持:又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否那么返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反响或访问的是假网址(钓鱼网站),从而实现窃取资料或者破坏原有正常效劳的目的。2.DNS故障点出错的原因任务10-4DNS效劳器的维护与故障排除⑥DNS污染:是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求那么立即伪装成目标域名的解析效劳器给查询者返回虚假结果。一些被禁止访问的网站根本是通过DNS污染来实现的。对于DNS污染,通常可以使用各种SSH加密代理,在加密代理里进行远程DNS解析或者使用VPN上网的方法解决,但这大多需要购置付费的VPN或SSH等,也可以通过修改主机中hosts文件的方法,手动设置域名对应的正确IP地址来排除故障。名称DNS服务器IP地址名称DNS服务器IP地址DNSPodDNS+9、16114DNS14、15阿里AliDNS、GoogleDNS、V2EXDNS22、10OpenDNS22、20CNNICSDNS、OpenerDNS0DNS派、百度BaiduDNS6DNS劫持故障的排除方法之一是将当前被劫持的DNS效劳器更换为其他公共DNS效劳器,常用公共DNS效劳器及其IP地址见下表：3.DNS缓存滞后的故障排除方法在Linux系统下DNS缓存滞后的故障排除步骤1:查看初始状态的Unbound效劳器的DNS缓存数据。任务10-4DNS效劳器的维护与故障排除步骤2:在客户端上,使用dig命令向纯缓存DNS效劳器请求解析两条资源记录。[root@dns2~]#unbound-controldump_cache

START_RRSET_CACHEEND_RRSET_CACHESTART_MSG_CACHEEND_MSG_C[root@client~]#…………[root@client~]#……. 3600 INCNAME .……步骤3:在缓存DNS效劳器端,显示查询后DNS缓存信息。将当前Unbound效劳器的DNS缓存数据转储到指定的文件中任务10-4DNS效劳器的维护与故障排除[root@dns2~]#unbound-controldump_cacheSTART_RRSET_CACHE;rrset35001083. 3500 IN CNAME .;rrset33631083END_RRSET_CACHESTART_MSG_CACHEmsg.INCNAME33152135003100.INCNAME0msg.INA33152133633100.INA0END_MSG_CACHEEOF步骤4:在效劳器端,对DNS缓存进行整理,删除缓存中陈旧或错误的资源记录→将整理后DNS缓存信息转储到指定文本文件,