Linux校园网设计方案.doc

Linux校园网设计方案一、校园网的现状及需求1、由于各网络应用系统是各系根据本系自己的教学、实验、工作的需求组建的，因而各种信息既有大量的冗余，又有相互冲突。同时由于各套网络系统的开发单位不同，技术水平参差不齐，因此信息的规范化程度低，各部门信息无法共享，交互操作的难度很大。2、各系、各工作终端有自己的传输线路，传输速率不等，速率低且安全性、可靠性差，不利于统一管理，随着工作终端的增多，此问题将日益突出。3、由于当时组建网络时都是由本专业自己开发，因此存在多种机型，多种操作系统，多种协议，网络异构等情况。所以很难实现资源共享、系统互访、统一管理，对于后期的开发难度很大，这将影响实现办公自动化。4、由于大部分系统没有实现客户/服务器模式。因此系统远程互访时，需要较大的带宽。5、由于校园内计算机之间对INTERNET都只能通过自己使用拨号网络方式连接，而目前学校已经拥有了自己的INTERNET 网络出口与自己的IP地址。这使得这些优势资源大家不能实现共享。6、随着多媒体教学、远程教育、图象监控等业务的开展，校园网本身的业务范围不断扩大，对学校的网络性能提出了新的要求。由于现有应用系统存在上述缺陷，而实际发展需求不可能在短时间内对所有网络系统进行更换，因此必须对目前的现状和需求进行科学的分析，制定出全局网络的规划，既能满足发展，又要容纳现有系统，具体要求如下：1、不对目前各网络系统做大规模修改，各系自己的网络系统应能平滑地过渡到整个校园网中。2、提供各种灵活多变的连网方式，系统要有一定的可扩充性和可扩展性。3、提供高速平台与足够的带宽，为将来的OA系统、图象系统、Internet/Intranet、远程教学、多媒体教学应用等系统提供一条可靠、健壮的“信息高速公路。4、必须对整个校园网进行有效的集中资源管理和网络管理。5、可以为校园内各个系之间提供邮件服务、BBS服务、文件服务、WEB服务等多种INTERNET服务。6、根据分析该校园内共有多媒体教室100间、自习室50间、计算机机房10间（每机房60台计算机），全部课程都使用多媒体授课，所以必须得架设小型的局域网，使每个教室机房都在一个小型区域内，这样才能到达局部内的资源和网络共享，并将每个多媒体机房中装上Apache、DNS、DHCP、FTP 服务器，并选择适当的操作系统，因为Linux 操作系统是安全性很高的操作系统，并且是开源性的，所以各个服务器都安装在Linux操作系统上二、系统总体设计目标综合以上的各种信息，结合当前的国外各类计算机系统应用情况，本网要实现的目标是：满足日常工作的处理电子化、日常办公自动化、领导决策科学化，和信息交流快捷方便化。即实现业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。即：以先进的计算机及通讯为手段建立内部网络，纵向向上与Internet互联网相连，向下与各管理子网点相连接，横向与其它单位相连接的计算机综合网络系统。在统一思想、统一信息交换标准、统一技术规范的原则下，系统达到以下目标： 为各办公室提供宽带网络支持 提供公用信息交换平台提供Web发布信息等Internet的信息服务; 提供日常工作的处理网络化、电子化的日常办公自动化环境 电子档案的信息查询，提供先进和更多的服务手段, 提高效率和质量； 为调控、科学决策提供有力的支持; 为内部网提供有力的技术保障，增加内部系统的安全性 增强校园的教学信息的领先优势。三、系统总体设计原则网络系统总体设计目标是最大限度的满足应用系统的需求，与计算机及网络技术发展水平相适应。建立网络系统主要是完成将所有网络设备连网工作，即通过网络设备将信息点与中心网络系统可靠地连接起来，为当前的各种应用环境系统和应用软件系统提供运行环境支持。由于网络系统对工作的运作与发展具有非常重要的作用，因此网络改造系统的先进性、可靠性、安全性、易维护、易升级等方面均有一定的要求，网络系统对先进性的要求是在计算机技术突飞猛进的今天，提供达几年甚至更长时间的可用性。网络系统设计必须满足其应用的要求，网络总体设计、建设的原则如下：1、开放性：当前计算机技术的发展日新月异，各种硬件和软件产品层出不穷。但总体上看，整个计算机仍然在开放式系统的概念下不断趋于统一，新模式主要有如下特点：开放式系统越来越为广大用户所接受，传统的封闭式厂商也开始走向开放式道路，开放式体系结构已经发展成为计算机技术的主流。网络互联技术成熟，推动了分布式运算环境的建立，如TCP/IP的迅速发展，已成为异种机型互联的标准。关系型数据库发展已非常成熟，已成为数据库管理的主流工具。在开放系统环境OSE(Open System Environment) 中有两个最基本的特点：一是开放系统所采用的规范是厂家中立的，或者说是与厂家无关的； 二是开放系统允许不同厂家的计算机系统和软件系统可以互换，并可组成一个集成的操作环境。OSE包括了多种功能，它能在不同厂家的网络上实现计算机应用的互操作性、可移植性和集成性。 对于用户来说，选择开放系统的意义深远，它包括：应用系统独立于平台外部环境，不受厂家的约束。 可以在不同厂家的产品中随意地选用最佳产品。 能较快地获得新技术。因为对厂家来说，在一个标准平台上开发产品成本较底。减少了购置新计算机及网络设备的投资，因为系统和应用软件可以从原有计算机上移植。 2、 标准化在方案设计中，所有计算机网络软硬件产品必须坚持标准化原则，遵从国际标准化组织所制订的各种国际标准及各种工业标准。3、 简洁性对于网络系统，在设计过程中要考虑系统的能够适应不断的新的发展需要，并使系统能适应多种硬件平台和多种网络结构，而且网络拓扑结构简洁，硬件和软件按需要能进行灵活的配置。4、可扩展性 目前设计的网络系统不仅仅用于当前，同时在今后的一段时间内，将是校园电子化的主要系统。因此，设计时一定得考虑将来的发展，除了当前设计得有一定的超前外，还需要考虑系统的可扩充性，易于系统以后的发展。网络系统必须有足够的扩展性，使得将来增加信息点时，只需很少变动。如当网络设备增加、通信网络升级时，所有设备要保证仍能继续使用，而不能以弃掉已有设备为升级的代价。采用的产品具有充分的可扩充性及升级能力，具有足够的先进网络技术过渡的能力。5、安全性安全性是指可靠性、保密性和数据一致性。校园网对安全性的要求较高，计算机系统的安全性主要包括以下几个方面:硬件平台安全性：当计算机的元器件突然发生故障，或计算机系统工作环境设备突然发生故障时，计算机系统能继续工作或迅速恢复。 网络通迅系统安全性：网络的安全性主要包括采取以下安全措施：认证措施，包括网点认证和人员认证；数据保密措施如传输加密；存取控制措施如防止非法操作。 操作系统安全性：操作系统选用正版的可升级维护的WINDOWS系统。数据库安全性：数据库要有以下安全机制：磁盘镜像、数据备份、恢复机制、事务日志、内部一致性检查、锁机制以及审计机制等安全保障体制，确保数据库的安全。 应用软件系统的安全性： 认同用户和鉴别，确认用户的真实身份，防止非法用户进入系统。 存取控制，当用户已注册登录后，核对用户权限，根据用户对该项资源被授予的权限对其进行存取控制。 审计，系统能记录用户所进行的操作及其相关数据，能记录操作结果，能判断违反安全的事件是否发生，如果发生则能记录备查。 保障数据完整性，对数据库操作保证数据的一致性和数据的完整性。 6、技术先进性网络系统不能够一经实现即落后，应当至少处于现今先进水平，只有这样才能在计算机技术迅速发展的今天不落伍，不会在竞争激烈的今天，因计算机技术的不足而影响工作的进行开展。应至少保持系统具备几年的领先性。采用先进而成熟的网络技术和产品，适应大量数据和多媒体信息传输、处理、交换的需要，使网络系统具有较强的生命力。7、实用性网络的建设要强调网络系统与网络应用并重，以应用推动建设，信息资源的开发、利用和效果。产品应选择主流产品，并且具有成熟、稳定、实用的特点。能充分满足日常使用、科学决策、对外交流、以及信息自动化管理等各方面的需要。8、网络可靠性网络可靠性需要从以下方面来保证：设备的硬件制造品质与运行软件的成熟性。网络设备必须选用已经证实，并在实际应用中得到普遍应用的产品，只有这样，才可能提供不间断运行的能力。网络产品应具备在线热更换的能力，当某一板卡出现故障时，应能带电更换，而不需进行停机操作。9、易维护管理性网络管理应走向科学化，采用先进的网络管理系统，实现“在网络中心即能实时控制、监测整个系统的运行状况，能够自动发现故障点”的目标，并具有良好的人-机操作界面。10、保护投资在网络方案设计时充分考虑现有的硬件和软件资源，尽量把各期投资和未来发展的兼容性容于系统方案中。保护投资从如下几个方面考虑：直接的硬件设备、软件系统的投资 应用系统开发的人力、物力、财力和时间上的投资 人员培训投资 原有运行系统和业务数据的有效兼容。四、网络详细设计方案1. 主干网络技术选择在网络工程中，主要考虑的是该网络在完成日常办公和现代化管理及对外交流中充分的功能，应用现有的、先进的网络技术，利用最新的交换式网络设备，充分拓展带宽，以满足日益增长的需求。同时，该网络是建立在综合布线基础上的，采用了世界上最流行的 PDS 综合布线系统，为网络的架设提供良好的平台。2.网络拓扑结构计算机网络技术种类很多，采用星型结构的以太网是目前最为安全成熟的技术，并且，从应用角度讲，星形结构是综合布线系统的推荐网络拓扑结构，可以与综合布线系统紧密结合，得整个网络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。在中央设备之间，而采用交换以太网络设备配合星形结构来实现对局域网络的需求，使得中央结点与卫星结点的网络吞吐能力大大加强，对多媒体的支持也更加完美，既而提高整个系统的吞吐能力。所以在网络方案中，整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。这种拓扑结构与以往的总线结构相比具有以下特点：1 网络的可靠性增强，如果在网络中的一个站点或一条线路的发生故障时，不会影响到其它接点的正常工作； 2 网络的可扩展性强，如要扩充网络结点，则只要有一条线即可将扩充结点联接到网络上，且不影响其它结点的工作。 3 网络便于日常的管理和维护。 4 网络便于维护，可远程管理和配置网络。5 网络带宽容易扩展，配备光纤接口和千兆位接口扩展口。6 与公网连接链路的网络安全考虑。为此，在分析了网络工程需求和实地考察的基础上，结合综合布线系统，我们将利用先进的快速以太网交换机产品，组建一个多级星型结构的交换以太网，来构成整个网络系统。3.快速交换以太网技术主干1000M骨干采用100M的交换式以太网做为一种融合技术具有许多优点，可以兼容现在及以后网络技术，大幅度提高网络的通信性能。因此我们选用交换式以太网技术，做为改造网络的主干技术主体，在源端口与目标端之间提供直接的连接，它提供给每个端口用户独享的按需带宽。交换式以太网具有以下优点：1 可以提供从原有以太网的平滑过渡功能。即可以利用目前市场上的现有网卡、电缆、软件，现有的所有网络操作系统及主机系统均可得到支持。 2 低时延特性。数据包在通过交换机时，数据得以快速的转发，从而可以避免可能的数据包延时过大或应用程序执行缓慢。 3 交换机可以提供给每一端口独占的带宽避免了碰撞及数据包丢失的发生。 4 可以融合原有的以太网、快速以太网、令牌网、FDDI 以及ATM 于一体。任何一种协议如100BaseT、100VGAnyLAN、FDDI/CDDI、TOKENING、ATM 等都可以实现交换技术。 5 智能过滤及虚拟网络（VLAN）支持、可以防止网络无用信息的传播及支持将实际地理位置不同的用户组织在一个虚网内。 “网络就是计算机”意味着计算机网络流量模式的重大改变。从集中式处理到客户机/服务器，从单一文字应用到多媒体应用，这些都促使网络建设的不断发展，现代化的信息通信对网络的基础建设提出了越来越高的要求。随着发展，信息流量也可能会越来越大，而源于高通信带宽、低时间延迟、高升级能力及完整网络管理这四个因素而产生的交换式网络技术是适应局域网络发展的优选技术，因此，选择交换式网络作为网络的主干网络。4.网络设备选择网络设备的选型是网络运行性能和售后服务的关键，根据我的实践经验，对于设备选型基于以下几点考虑： 1网络中心的中心设备，承担着整个网络性能好坏的关键，我建议选用比较高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题；又能保证几年之内设备不会过时；2选择品牌时考虑比较多的是：生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品（这将决定用户接收产品熟悉产品的成本和产品的通用性）、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。在本方案中，网络结构采用星型，主干速率采用1000M，所以我们选用国际上著名的3com或arlotto网络产品作为网络的中心交换、路由和分支交换设备：主交换机设备选用锐捷的高端千兆三层中心交换机； 网络中心下连的其它子系统，配置的边缘100M交换机边缘交换机与主中心交换机的连接速率为1000M；。我们将把全校的所有网络设备和计算机设备（其中包括服务器、工作站、外设等）有机地连接在一起，使其发挥相应的作用，形成一个综合性的、统一的一体化现代园区高速网络系统。 这样就组建了目前技术先进的千兆以太网1000BASE-TX，速度1000M，各科室为快速以太网，速度为100M/200M。各楼层之间网络连接的主干线采用千兆线路，主要考虑网络的速度、将来网络的扩容以及与有关网络连接，其它分支采用100M双绞线。采用AMP结构化布线系统（PDS）进行网络布线 中心交换机使用千兆机；连接边缘高速百兆交换机；整个网络以一级千兆为中心，组成一个星型网络；这样就组建了目前先进、流行的千兆以太网和以太网（Ethernet）、快速以太网（Fast Ethernet）网络的组合,主干是1000M网络。其它分支为快速以太网 100BASE-TX，速度 100M/200Mbps。心服务器：由于集中式的管理可能对中心网络造成的压力较大，有可能使服务器的访问速率下降，所以我们将主服务器直接与中心交换机的高速模块相连，使用1000BASE-T的1000M速率（将交换机的全双工方式打开，速率为2000M）；与中央交换机的直接相连，从而解决了的访问瓶颈问题，使各网络工作站可以快速访问服务器。五、服务器配置描述1. Apache 服务器的配置通过以下三种方法安装Apache服务器。1如果你安装的Linux版本中带用Apache的话，就在选择所要安装的服务器的时候，将httpd这个服务选上，Linux安装程序将自动完成Apache的安装工作，并做好基本的配置。2使用可执行文件软件包，这比较适合那些对编译工作不是太熟悉的初级用户，因为它相对比较简单。下载软件包apache_1.2.4.e.tar.gztar xvzf apache_1.2.4.e.tar.gzhttpd.conf是主配置文件。它告诉服务器将如何运行。最重要的配置选项ServerType standalone | inetd 这个配置选项指定如何运行WEB服务器。Apache可以使用两种方法来运行服务器：standalone(独立的)和inetd(由inetd运行的)。standalone参数表示WEB服务进程以一个单独的守候进程的方式在后台侦听是否有客户端的请求，如果有就生成一个子进程来为其服务。 inetd参数表示WEB服务不是以一个单独的守候进程的形式支持。而是由Inetd这个超级服务器守候进程进行代劳，当它收到一个客户端的WEB服务请求的时候，再启动一个WEB服务进程为其服务。从功能的角度看，这两种方法几乎是相同的。但它们之间实际有很大区别，区别在于服务器的性能。一个由 inted运行的服务器进程在它结束对请求服务的同时立刻退出。而在standalone模式下，子WWW服务器进程在退出之前要挂起一段时间，这就给它们提供了机会，可以重新用来服务新的请求。为用户开辟个人主页空间如果我们利用了LINUX系统架设了一台WEB服务器，我们不仅可以存放公司的主页，而且还可以为公司的每一个员工提供一块个人主页的空间。首先，为需要个人主页空间的员工在LINUX上开设一个帐号。这样，它就拥有了一个用户主目录/home/用户帐号名。addusr 用户帐号名passwd 用户帐号名在用户主目录下建立一个目录public_html，然后为其设置相应的权限。cd 用户帐号名mkdir public_htmlchmod 755 public_html确认在srm.conf文件中的UserDir命令设置的是public_html目录。让员工将自己的个人主页上传到自己用户主目录下的public_html目录中。现在就可以使用/用户帐号名来访问员工的个用Apache实现虚拟主机服务配置步骤假设，我们用来实现虚拟主机服务的机器，首先已经为自己提供了WEB服务，现在将为新的一家提供虚拟主机服务。规划IP地址：为虚拟主机申请新的IP地址。（假设本机IP地址为） 2) 让ISP作好相应的域名解析工作。3) 为网卡设置IP别名：/sbin/ifconfig eth0:0 netmask 4) 重新设置/etc/httpd/conf/httpd.conf,在文件中加入：ServerAdmin DocumentRoot /home/httpd/ServerName ErrorLog /var/log/httpd//error.log5）建立相应的目录。mkdir /home/httpd/mkdir /var/log/httpd//error.log6)将相应的主页内容存放在相应的目录中即可。配置代理服务器为了允许Apache作为代理服务器，需要将ProxyRequests设为On，然后根据你希望代理服务器做什么而增加什么附加配置。无论你希望做什么，你所选的代理配置都应该放入一个特殊?lt;Directory容器中。实例一：将私有IP网连到互联网假设私有网上只有一台计算机被分配了互联网上合法的IP地址，这台计算机运行Apache代理服务器，ProxyRequest设置为On，并且不需要附加其他配置，所有请求均可由这台代理服务器代理服务。实例二：让Apache允当远程WWW站点的缓冲第一步：将ProxyRequest设置为On第二步：创建配置如下：CacheRoot /www/cacheCacheSize 1024CacheMaxExpire 24这里的意思是设置Cache目录为/www/cache；大小为1024KB，即1MB；缓冲中的内容在24小时后失效。实例三：建立镜像站点（其实这也就是所谓的逆向代理服务器）第一步：将ProxyRequest设置为On第二步：创建配置如下：ProxyPass / /CacheRoot /www/cacheCacheDefaultExpire 242. DHCP服务器配置rootserver # rpm -qa | grep dhcp dhcpv6_client-0.10-14_EL4 将光盘mount上去，然后安装DHCP服务端软件 rootserver # mount /media/cdrom mount: block device /dev/hdc is write-protected, mounting read-only rootserver RPMS# find /media/cdrom -name dhcp* /media/cdrom/RedHat/RPMS/dhcpv6-0.10-14_EL4.i386.rpm /media/cdrom/RedHat/RPMS/dhcpv6_client-0.10-14_EL4.i386.rpm /media/cdrom/RedHat/RPMS/dhcp-3.0.1-58.EL4.i386.rpm /media/cdrom/RedHat/RPMS/dhcp-devel-3.0.1-58.EL4.i386.rpm rootserver RPMS# rpm -ivh /media/cdrom/RedHat/RPMS/dhcp-3.0.1-58.EL4.i386.rpm rootserver RPMS# rpm -qa | grep dhcp dhcp-3.0.1-58.EL4 dhcpv6_client-0.10-14_EL4 查看一下，都有那些文件 rootserver RPMS# rpm -ql grep dhcp . /etc/dhcpd.conf -dhcp配置文件 /etc/rc.d/init.d/dhcpd /etc/rc.d/init.d/dhcrelay /etc/sysconfig/dhcpd /etc/sysconfig/dhcrelay /usr/bin/omshell /usr/sbin/dhcpd /usr/sbin/dhcrelay /usr/share/doc/dhcp-3.0.1 /usr/share/doc/dhcp-3.0.1/README /usr/share/doc/dhcp-3.0.1/RELNOTES /usr/share/doc/dhcp-3.0.1/dhcpd.conf.sample-dhcp配置文件的模板 /usr/share/man/man1/omshell.1.gz /usr/share/man/man5/dhcp-eval.5.gz /usr/share/man/man5/dhcpd.conf.5.gz /usr/share/man/man5/dhcpd.leases.5.gz /usr/share/man/man8/dhcpd.8.gz /usr/share/man/man8/dhcrelay.8.gz /var/lib/dhcp /var/lib/dhcp/dhcpd.leases -分配IP的那个日志文件 rootserver RPMS# more /etc/dhcpd.conf 这儿有没有什么东东的，还是把模板文件COPY过来吧 rootserver RPMS# cp /usr/share/doc/dhcp-3.0.1/dhcpd.conf.sample /etc/dhcpd.conf 查看配置文件，并根据自己的要求更改 rootserver RPMS# more /etc/dhcpd.conf ddns-update-style interim; ignore client-updates; subnet netmask # - default gateway option routers ; option subnet-mask ; # option nis-domain ; option domain-name ; Option domain-name-servers 0,; option time-offset -18000; # Eastern Standard Time # option ntp-servers ; # option netbios-name-servers ; # - Selects point-to-point node (default is hybrid). Dont change this unless # - you understand Netbios very well # option netbios-node-type 2; range dynamic-bootp 28 54; default-lease-time 21600; max-lease-time 43200; # we want the nameserver to appear at a fixed address host ns next-server ; hardware ethernet 12:34:56:78:AB:CD; fixed-address 54; 上面都已经很明了，该配置的都配置了 启动DHCP服务器啦 rootserver RPMS# service dhcpd start Starting dhcpd: OK 查看日志，看看是否有错 rootserver RPMS# tail -20 /var/log/messages Dec 9 18:05:19 server dhcpd: Wrote 0 deleted host decls to leases file. Dec 9 18:05:19 server dhcpd: Wrote 0 new dynamic host decls to leases file. Dec 9 18:05:19 server dhcpd: Wrote 0 leases to leases file. Dec 9 18:05:19 server dhcpd: Internet Systems Consortium DHCP Server V3.0.1 Dec 9 18:05:19 server dhcpd: Dec 9 18:05:19 server dhcpd: Copyright 2004 Internet Systems Consortium. Dec 9 18:05:19 server dhcpd: All rights reserved. Dec 9 18:05:19 server dhcpd: For info, please visit /sw/dhcp/ Dec 9 18:05:19 server dhcpd: Wrote 0 deleted host decls to leases file. Dec 9 18:05:19 server dhcpd: Wrote 0 new dynamic host deckles to leases file. Dec 9 18:05:19 server dhcpd: Listening on LPF/eth0/00:0c:29:c5:06:fc/192.168.0/24 Dec 9 18:05:19 server dhcpd: Wrote 0 leases to leases file. Dec 9 18:05:19 server dhcpd: Listening on LPF/eth0/00:0c:29:c5:06:fc/192.168.0/24 Dec 9 18:05:19 server dhcpd: Sending on LPF/eth0/00:0c:29:c5:06:fc/192.168.0/24 Dec 9 18:05:19 server dhcpd: Sending on LPF/eth0/00:0c:29:c5:06:fc/192.168.0/24 Dec 9 18:05:19 server dhcpd: Dec 9 18:05:19 server dhcpd: Sending on Socket/fallback/fallback-net Dec 9 18:05:19 server dhcpd: Sending on Socket/fallback/fallback-net Dec 9 18:05:19 server dhcpd: Dec 9 18:05:20 server dhcpd: dhcpd startup succeeded3. DNS服务器配置创建密钥要实现DNS的动态更新，首先要考虑的是怎样保证安全地实现DDNS。由ISC给出的方法是创建进行动态更新的密钥，在进行更新时通过该密钥加以验证。为了实现这一功能，需要以root身份运行以下命令： rootslack9:/etc# dnssec-keygen -a HMAC-MD5 -b 128 -n USER myddns Kmyddns.+157+37662上述dnssec-keygen命令的功能就是生成更新密钥，其中参数-a HMAC-MD5是指密钥的生成算法采用HMAC-MD5；参数-b 128是指密钥的位数为128位；参数-n USER myddns是指密钥的用户为myddns。该命令生成的一对密钥文件如下： -rw- 1 root root 48 Jan 14 18:26 Kmyddns.+157+37662.key -rw- 1 root root 81 Jan 14 18:26 Kmyddns.+157+37662.private可以查看刚生成的密钥文件内容：rootslack9:/etc# cat Kmyddns.+157+37662.key myddns.INKEY02157 4gEF1Mkmn5hrlwYUeGJV3g= rootslack9:/etc# cat Kmyddns.+157+37662.private Private-key-format: v1.2 Algorithm: 157 (HMAC_MD5) Key: 4gEF1Mkmn5hrlwYUeGJV3g=仔细阅读该密钥文件就会发现，这两个文件中包含的密钥是一样的，该密钥就是DHCP对DNS进行安全动态更新时的凭据。后面需要将该密钥分别添加到DNS和DHCP的配置文件中。修改DNS的主配置文件密钥生成后就要开始对/etc/named.conf文件进行编辑修改，主要目的是将密钥信息添加到DNS的主配置文件中。本文给出修改后的/etc/named.conf的一个实例：options directory /var/named; file:/指定区域数据库文件的存放目录; zone . IN type hint; file caching-example/named.ca; ; zone localhost IN type master; file caching-example/localhost.zone; allow-update none; ; ; zone 0.0.127. IN type master; file caching-example/named.local; allow-update none; ; ; key myddns algorithm HMAC-MD5.SIG-ALG.REG.INT; file:/指明生成密钥的算法 secret 4gEF1Mkmn5hrlwYUeGJV3g=; file:/指明密钥; zone IN type master; file ; file:/正向区域文件名，后文会用到该文件 allow-update key myddns; ; file:/指明采用key myddns作为密钥的用户可以动态更新该区域“” ; zone 1.22.10. IN type master; file ;/反向区域文件名 allow-update key myddns; ; file:/指明采用key myddns作为密钥的用户可以动态更新该区域“1.22.10.” ;在/etc/named.conf中可以定义多个区域，只要在允许动态更新的区域中增加allow-update key myddns; 指令，即可实现动态更新，并且只有拥有key myddns实体（在本文的实现中该实体就是拥有同样密钥的DHCP服务器）才能实现对该区域进行安全地动态更新。相比原来只限定IP地址的方法，该方法要安全得多。 至此完成对DNS服务器的配置，可以执行#named运行DNS服务。修改DHCP的配置文件DHCP的主要功能是为DHCP客户动态地分配IP地址、掩码、网关等内容。正是由于DHCP的动态特性，在实现DDNS时，DHCP成为首选方案。给出修改后的/etc/dhcpd.conf的一个实例：# dhcpd.conf # Sample configuration file for ISC dhcpd # option definitions common to all supported networks. option domain-name ; option domain-name-servers 23; default-lease-time 600; max-lease-time 800; ddns-update-style interim; file:/指明实现动态DNS的方法为interim subnet netmask range 0 9;/地址池 option broadcast-address 55; option routers 00; key myddns /指明密钥生成的算法及密钥 algorithm HMAC-MD5.SIG-ALG.REG.INT; secret 4gEF1Mkmn5hrlwYUeGJV3g=; zone . primary 23; key myddns;/指明更新时采取的密钥key myddns zone 1.22.10.. primary 23; key myddns;/指明更新时采取的密钥key myddns 说明：1ddns-update-style interim 由ISC开发的DHCP服务器目前主要支持interim方法来进行DNS的动态更新，另外一种称为ad-hoc的方法基本上已经不再采用。因此，实际上，interim方法是目前Linux环境下通过DHCP实现安全DDNS更新的惟一方法。2key myddns /指明密钥生成的算法及密钥 algorithm HMAC-MD5.SIG-ALG.REG.INT; secret 4gEF1Mkmn5hrlwYUeGJV3g=; 此段内容与/etc/named.conf中的完全一样。需要注意的是，在编辑/etc/dhcpd.conf时，的末尾没有“；”，这是与/etc/named.conf中不一样的地方。3在/etc/dhcpd.conf中指明的区域名称后面一定要以“.”结尾。因此zone .中的cn和zone 1.22.10..中的arpa后面一定要有“.”。 /etc/dhcpd.conf配置完成，可以执行#dhcpd将DHCP服务运行起来。测试DDNS经过上述服务器的配置，现在可以检测一下DDNS的实现过程。当DNS配置成支持动态更新后，在/var/named/目录下会多出两个以.jnl结尾的二进制格式区域文件。这两个文件是当前正在工作的区域文件的运行时文件，所有动态更新的纪录都会最先反映到这两个文件中，然后经过大约15分钟左右才将更新的内容反映到文本形式的区域文件中，即以.jnl结尾的区域文件中是最新的内容。在本文所举实例中，/var/named/目录下的区域文件为： 正向区域文件。 反向区域文件。 .jnl 临时工作的二进制正向区域文件（新增）。 .jnl 临时工作的二进制反向区域文件（新增）。1以Windows 2000作为DHCP客户端测试（1）设客户机的主机名为kill-virus，执行ipconfig /all显示所获得的IP地址为9。 （2）在客户端执行nslookup测试。C:Documents and SettingsAdministratornslookup Default Server: Address: 23 kill-virus.tcbuu.