移动DNS维护手册.doc

泉州移动DNS维护手册Create Date：2010-4-30Modify date：2010-6-11 Modify date：2010-7-22Writer：zhuanh yue peiVersion:1.2目录泉州移动DNS维护手册1目录11专业术语介绍21.1DNS当前拓扑介绍21.2Dns作用21.3DNS类型21.4资源记录31.5DNS部分配置文件介绍41.6解析类型51.7Acl和view的概念52DNS配置文件介绍62.1named.conf主配置文件62.2zone区域信息配置92.3区域数据文件122.4Inclued文件123日常作业规范133.1DNS服务启动、关闭133.2named.conf主配置文件维护133.3zone区域文件维护153.3.1区域数据文件常见任务163.4委派授权解析163.5转发域174常用命令集174.1诊断方法174.2Dig诊断工具184.3Nslookup诊断工具195应急方案206DNS Debug介绍217其他tcpdump抓包工具介绍221 专业术语介绍1.1 DNS当前拓扑介绍1.2 Dns作用DNS(Domain Name System)叫做域名解析服务器，域名系统是分级的分布式的数据库，该数据库存放着域名所对应的IP地址，邮件路由信息和网络应用方面的数据，数据库以文件形式或是应用数据库形式存在。DNS负责将用户请求信息解析成相应的信息，比如，将域名解析成所对应的IP地址，或是将IP地址解析成所对应的域名，或是回答某个域名的邮件服务器的ip地址等。1.3 DNS类型一个 DNS 服务器可以同时作为多个域的主域名服务器和辅域名服务器，也可以只作为主，或只作为辅，或者做任何域的授权服务器而只使用自己的 cache 来提供查询解析。Master服务器也经常叫做 primary，slave 服务器也经常叫做 secondary。不论是 master/primary/主/一级域名服务器，还是 slave/secondary/辅/二级域名服务器，都是这个域的授权服务器。 所有的服务器都会将数据保存在缓存（cache）中，直到针对这些数据的 TTL（Time To Live）值过期。1.3.1 主域名服务器primary master server是一个 domain信息的最根本的来源。它是所有辅域名服务器进行域传输的源。主域名服务器是从本地硬盘文件中读起域的数据。1.3.2 辅域名服务器 就是 slave server，或叫作 secondary server。次级服务器使用一个叫做域转输的复制过程，调入其它服务器中域的内容。通常情况下，数据是直接从主服务器上传输过来的，但也可能是从本 地磁盘上的cache 中读到的。辅域名服务器可以提供必需的冗余服务。所有的辅域名服务器都应该写在这个域的 NS记录中。1.3.3 隐藏服务器stealth server 可以针对一个域的查询返回授权的记录，但是它并没有列在这个域的 NS记录里。Stealth 服务器可以用来针对一个域进行集中分发，这样可以不用在远程服务器上手工编辑这个域的信息了。在这种方式中，一个域的 master 文件在 stealth server 上存储的位置，经常叫做“hidden primary”配置。Stealth服务器也可以将域文件在本地做一个拷贝，从而可以在所有官方的域名服务器都不能访问的情况下，也能更快地读取域的记录。1.3.4 高速缓存域名服务器缓存服务器可以将它收到的信息存储下来，并再将其提供给其它的用户进行查询，直到这些信息过期。它的配置中没有任何本地的授权域的配置信息。它可以相应用户的请求，并询问其它授权的域名服务器，从而得到回答用户请求的信息。1.3.5 转发服务器1.4 资源记录DNS服务器的信息数据，按照分类进行存储，比如将域名解析成IP，这样信息存贮成A记录，而将IP地址解析成域名，这样的信息则存贮成PTR记录。还有MX、CNAME等资源记录。不同的资源记录是为了不同的资源解析而设的。1.4.1 NS资源记录名称服务器（NS）资源记录表示该区的授权服务器，用于说明该区域有哪些dns服务器负责解析，NS资源指的就是授权服务器。1.4.2 SOA资源记录可能有多台服务器负责一个域的DNS解析，比如163.com这个域，负责解析有台服务器：和。那么SOA记录就是指定这两台服务器中的哪一台为主服务器，而另外一台为辅助服务器。因为在一个授权域中，只能有一台负责解析。 1.4.3 A资源记录地址（A）资源记录把FQDN映射到IP地址，因而解析器能查询FQDN对应的IP地址。1.4.4 PTR资源记录相对于A资源记录，指针（PTR）记录把IP地址映射到FQDN。1.4.5 CNAME资源记录规范名字（CNAME）资源记录创建特定FQDN的别名。用户可以使用CNAME记录来隐藏用户网络的实现细节，使连接的客户机无法知道。1.4.6 MX资源记录指明某个域中那台服务器是邮件服务器。可以同时配置多个MX资源，DNS服务器会根据每个MX配置的权重的不同来决定轮询的次数。比如. IN MX 10 . IN MX 20 . IN A 32. IN A 331.5 DNS部分配置文件介绍泉州移动DNS服务器是使用bind软件进行安装服务的，当前版本是9.3rootns1 named# named -vBIND 9.3.3rc2Bind的主要配置文件是named.conf，该文件通常是位于/etc/named.conf，但是如果安装了bind-chroot安全包后，named.conf文件移到会在chroot目录下，在/etc/目录下的named.conf是一个符号连接到chroot目录下的named.conf.注意：使用了chroot后，由于Bind程序的虚拟根目录是/var/named/chroot/，因此下文提到所有的DNS服务器配置文件、区域数据文件和配置文件内的语句，都是相对这个虚拟根目录而言的。如下文提到的/etc/named.conf，其真正的路径是/var/named/chroot/etc/ named.conf；如目录/var/named/，其真正的路径是/var/named/chroot/var/named/。1.5.1 Named.conf主配置文件该文件是DNS服务器的主要配置文件，该文件位于/var/named/chroot/etc/ named.conf 。DNS后台进程named在53端口监听用户的请求，在收到解析请求后，会首先是查找named.conf文件，然后从named.conf文件中再定位所要查找的区域数据文件的位置，最后读取数据返回给客户。所以当named.conf文件丢失，或是格式错误都会导致服务启动失败。一般在对named.conf文件修改后，要验证下其格式是不是正确rootns1 named# named-checkconf /etc/named.conf或是rootns1 named# named-checkconf /var/named/chroot/etc/named.confNamed.conf包括了全局的参数配置、区域配置、DNS日志配置、还有一些区域配置相关的配置如acl、view等1.5.2 区域数据库文件详细的解析信息是存放在区域数据文件，比如A、PRT、NS、MX等解析信息都是存放在区域数据文件中。而区域数据文件的存放的位置是在named.conf的options的directory参数定义的，比如通常是定义成：directory “/var/named”;注意这边如果安装了chroot安全后，其/var/named的绝对路径是/var/named/chroot/var/named1.6 解析类型1.6.1 正向解析正向解析是指域名到IP地址的解析过程。1.6.2 反向解析反向解析是从IP地址到域名的解析过程。反向解析的作用为服务器的身份验证。1.7 Acl和view的概念1.7.1 ACLACL就是一个IP过滤器，默认是不允许所有的ip访问，只有在列表中的IP才可以访问DNS中的资源。ACL的格式：Acl “名称” ip列表1;ip列表2; ；/min_hui aclacl cm_min_hui /21;/21;/20; ;1.7.2 ViewView是bing9才有的一个的功能，可以根据用户的不同ip来提供不同的服务，最常用的就是智能分流了也叫做双线或是多线接入，根据用户IP的不同，访问统一个网站的域名解析成不同的IP地址。在泉州移动的DNS中，因为连接着不同IP提供商的网段，本地授权域名较少，大多是做转发，所以还有一个应用就是将不同用户段的IP，转到相应的IP提供商的DNS服务器来解析，比如铁通IP段，则转发到铁通的专门的DNS服务器来做解析。所以本地的DNS是做转发服务器，也叫缓存服务器。2 DNS配置文件介绍2.1 named.conf主配置文件rootns1 # cat /etc/named.conf options listen-on设置监听端口 port 53 0; directory设置区域数据文件存放路径，这是路径是相对于chroot的路径。绝对路径是:/var/named/chroot/var/named/ /var/named; dump-file设置当执行rndc dumpdb命令后的导出文件存放绝对路径,如果没有指定的话,缺省文件为named_dump.db,放在directory指定的目录下面 /var/named/data/cache_dump.db; statistics-file当执行rndc stats命令，其产生的数据存放的文件的路径 /var/named/data/named_stats.txt; memstatistics-file这是统计DNS内存使用情况时产生的数据存放的路径 /var/named/data/named_mem_stats.txt; query-source监听端口 port 53; datasize缓冲区的大小 300m; recursion是否开启全局的递归查询 yes; recursive-clients查询并发数。 2000; versionBind版本信息 _;logging 关于DNS日志的相关设置 channel default_debug file data/named.run versions 10 size 2m; severity dynamic; print-time yes; print-severity yes; print-category yes; ; channel all_log file data/all_log.run versions 5 size 10m; severity debug 3; print-time yes; print-severity yes; print-category yes; ; category general all_log; ; category client all_log; ; category queries all_log; ;view本地DNS 视图 localhost_resolver match-clients localhost这个是系统默认的ACL，是表示本地端口IP地址; ; match-destinations localhost; ; recursion yes; include /etc/named.rfc1912.zones;zone区域信息配置;/min_hui temporary acl include /etc/acl_temp;/jin_qiao acl 金桥的ACLacl cmnet /20;/22;/23;/24;/22;/20;/24;/24;/22;/23;/24;/21;/19; /21; /21; ;view 金桥的视图cm_qzgov IN match-clients所要匹配的源IP，这边是调用前面已经定义的金桥的ACL访问控制列表 cmnet;acl_temp; ; match-destinations所匹配的目标地址 any; ; recursion yes是否允许递归查询，如果关闭，则用户只能查询本地授权的域名。; forwarders转发列表，如果不是请求解析的域名不是本地的授权域名，则会被转发该列表中一个DNS做解析，再返回给用户 11;12; ; forward值有first和only两项, first则首先转发到forwarders中的服务器，然后在自己的授权域中查询，only则仅转发到 转发服务器列表中的服务器，不再自己查询 first; additional-from-auth yes; additional-from-cache yes; includezone区域信息配置，Include文件，该文件中包含了本地授权域名的信息 /etc/named.rfc1912.zones;/min_hui acl闽会的ACL acl cm_min_hui /20; ;view闽会的视图 cm_min_hui_view IN match-clients cm_min_hui; ; match-destinations any; ; recursion yes; forwarders 0;61; ; forward first; additional-from-auth yes; additional-from-cache yes; include /etc/named.rfc1912.zones;/tie_tongacl铁通的ACL tie_tong /21;/21;/19;/20;/21; ;view铁通的视图 tie_tong_view IN match-clients tie_tong; ; match-destinations any; ; recursion yes; forwarders 3;42; ; forward first; additional-from-auth yes; additional-from-cache yes; include /etc/named.rfc1912.zones;/cmnet_self acl acl 移动自用的ACLcmnet_self /20;/21;/20;/22;/19;/19;/19;/19;/18;/19;/20;/19;/22;/23; ;view移动自用的视图 cmnet_self_view IN match-clients cmnet_self; ; match-destinations any; ; recursion yes; forwarders 61;6; ; forward first; additional-from-auth yes; additional-from-cache yes; include /etc/named.rfc1912.zones;/cnc acl -acl 电信的ACLcnc 0;2;/18;view电信的视图 cn_qzgov IN match-clients cnc; ; match-destinations any; ; recursion yes; forwarders ;0; ; forward first; additional-from-auth yes; additional-from-cache yes; include /etc/named.rfc1912.zones_cn;2.2 zone区域信息配置区域信息默认是放在named.conf主配置文件中，但是因为zone信息可能会不断的增加，造成named.conf配置文件变成很大，不便管理和阅读。对以便以管理，特别将zone隔离出来，信息存放在一个单独的文件中，用include关键字来引用。下面是对include所引用的区域信息文件的部分内容做下解析(named.rfc1912.zones配置文件没有完全贴出来，重复的部分省去)rootns2 # cat /etc/named.rfc1912.zones zone这是根域信息 . IN type hinttype字段指定区域的类型; file信息存放的位置，这边写的是相对位置相对于directory /var/named;所设置的相对路径。所以这个文件绝对路径是：/var/named/cheroot/var/named/named.ca named.ca;zone localdomain IN type master; file localdomain.zone; allow-update表示不自动更新，因为这边没有配置主/辅负载均衡的结构，所以不必设置自动更新。 none; ;zone localhost IN type master; file localhost.zone; allow-update none; ;zone 0.0.127. IN type master; file named.local; allow-update none; ;zone 0.168.192. IN type master; file 0.168.192.zone; allow-update none; ;zone .......0.0.0. IN type master; file named.ip6.local; allow-update none; ;zone 255. IN type master; file named.broadcast; allow-update none; ;zone 0. IN type master; file named.zero; allow-update none; ;zone IN type master; file .zone; allow-update none; ;zone 137.207.218.反向解析 IN type master; file 137.207.218.zone; allow-update none; ;zone 128.207.218. IN type master; file 128.207.218.zone; allow-update none; ;/cmnet localhost server resolvezone 正向解析 IN type master; file .zone; allow-update none; ;zone IN type master; file .zone; allow-update none; ;zone IN type master; file .zone; allow-update none; ;Type的几种类型，一共分为六种： 2.2.1 Master主DNS服务器：拥有区域数据文件，并对此区域提供管理数据2.2.2 Slave辅助DNS服务器：拥有主DNS服务器的区域数据文件的副本，辅助DNS服务器会从主DNS服务器同步所有区域数据。2.2.3 Stubstub区域和slave类似，但其只复制主DNS服务器上的NS记录而不像辅助DNS服务器会复制所有区域数据。2.2.4 Forward一个forward zone是每个域的配置转发的主要部分。一个zone语句中的type forward可以包括一个forward和/或forwarders子句，它会在区域名称给定的域中查询。如果没有forwarders语句或者forwarders是空表，那么这个域就不会有转发，消除了options语句中有关转发的配置。2.2.5 Hint根域名服务器的初始化组指定使用线索区域hint zone，当服务器启动时，它使用根线索来查找根域名服务器，并找到最近的根域名服务器列表。如果没有指定class IN的线索区域，服务器使用编译时默认的根服务器线索。不是IN的类别没有内置的默认线索服务器。2.2.6 Delegation-only用于强制区域的delegation .ly状态。2.3 区域数据文件rootns1 named# cat .zone $TTL生存时间 86400 IN SOA localhost root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS localhostlocalhost IN A IN MX 10 smtpadmin IN A 5count IN A 52.4 Inclued文件可以使用include调用的信息有：ACL和区域信息。ACL信息可以放在单独数据文件中，比如将铁通的ACL列表存放在tietong_acl文件中，可以这样做：在/var/named/cheroot/etc/文件夹中建立tietong_acl文件。然后将/etc/named.conf中铁通的ACL删除，添加到tietong_acl中，并替换原来的ACL成：include “/var/named/cheroot/etc/tietong_acl”;acl铁通的ACL tie_tong /21;/21;/19;/20;/21; ;Named.conf改变后的配置include “/var/named/cheroot/etc/tietong_acl”;view铁通的视图 tie_tong_view IN match-clients tie_tong; ; match-destinations any; ; recursion yes; forwarders 3;42; ; forward first; additional-from-auth yes; additional-from-cache yes; include /etc/named.rfc1912.zones;3 日常作业规范3.1 DNS服务启动、关闭DNS是由后台守护进程named，在tcp53端口上监听，判断named服务器进程有没起来，可以使用下面的方法来判定：rootns1# netstat nltu|grep 53 或是rootns1# lsof i:53或是查看后台进程rootns1# ps ef |grep named由于DNS的高可用性是采用redhat的cluster的ha来实现的，所以启动、关闭、重启named服务器不能直接对named进程进行操作(禁止直接对named进行直接的操作，这样会导致named进程的异常)，只能通过ha的命令来进行重启。rootns1#clusvcadm R dns_ha -本地重启named服务rootns1#clusvcadm -d dns_ha -关闭本地的named服务rootns1#clusvcadm e dns_ha -启动本地的named服务rootns1#clusvcadm r dns_ha -切换到备用服务器上3.2 named.conf主配置文件维护有关named.conf主配置文件的维护，主要是acl和view的维护。举例：增加一个新的用户IP地址段的转发(铁通地址段),登入备用的DNS服务器进行作业。一般不允许对当前的DNS进行作业的操作，主要为了防止配置不当或是意外的因素，导致服务启动不起来。rootns2#vi /etc/named.conf然后在配置末尾插入铁通的地址段的ACL列表和相应转发的DNS列表/tie_tongacl铁通的ACL tie_tong /21;/21;/19;/20;/21; ;view铁通的视图 tie_tong_view IN match-clients tie_tong; ; match-destinations any; ; recursion yes; forwarders 3;42; ; forward first; additional-from-auth yes; additional-from-cache yes; include /etc/named.rfc1912.zones;退出保存文件rootns2# named-checkconf /etc/named.conf 验证所添加的数据格式是否正确然后再登入当前作业的DNS服务器上，进行服务的切换rootns1#注意这边是小写的-r参数，不是大写-R参数。大写-R参数是表示本地重启named服务器 clusvcadm r dns_ha然后在rootns2#确认named进程已经起来rootns1 # ps -ef|grep namedroot 9009 6263 0 16:20 pts/1 00:00:00 grep namednamed 18767 1 0 Apr16 ? 03:37:02 /usr/sbin/named -u named -t /var/named/chroot备用的DNS服务器进程确认已经起来后，再将备用新修改的数据同步到主DNS上。rootns2#scp /etc/named.conf 3: /etc/named.conf最后还要确认用户访问的数据流量有没有上来，查看日志文件rootns1 named# cd /var/named/chroot/var/named/data/rootns1 data# pwd/var/named/chroot/var/named/datarootns1 data# rootns1 data# rootns1 data# lsall_log.run all_log.run.2 cache_dump.db named.run.0 named.run.3 named.run.6 named.run.9all_log.run.0 all_log.run.3 named_mem_stats.txt named.run.1 named.run.4 named.run.7 named_stats.txtall_log.run.1 all_log.run.4 named.run named.run.2 named.run.5 named.run.8rootns1 data# cat all_log.run|grep 110.125.192|more确认流量已经上来04-May-2010 16:24:21.016 client: debug 3: client 29#1030: UDP request04-May-2010 16:24:21.016 client: debug 3: client 29#1030: view tie_tong_view: query04-May-2010 16:24:21.016 queries: info: client 29#1030: view tie_tong_view: query: IN A +04-May-2010 16:24:21.016 client: debug 3: client 29#1030: view tie_tong_view: send04-May-2010 16:24:21.016 client: debug 3: client 29#1030: view tie_tong_view: sendto04-May-2010 16:24:21.016 client: debug 3: client 29#1030: view tie_tong_view: senddone04-May-2010 16:24:21.016 client: debug 3: client 29#1030: view tie_tong_view: next04-May-2010 16:24:21.016 client: debug 3: client 29#1030: view tie_tong_view: endrequest04-May-2010 16:24:21.290 client: debug 3: client 29#1030: UDP request3.3 zone区域文件维护zone区域文件主要是维护任务是：增加zone、删除zone或是修改zone信息当增加一个zone时，就要相应增加该区域的数据信息。举例：增加一个zone，这边增加一个叫的域名，ip地址是3首先打开/etc/named.rfc1912.zonesrootns1#vi /etc/named.rfc1912.zones在该文件的末尾插入zone IN type master; file .zone; allow-update none; ;然后保存退出验证文件格式是否正确rootns1#named-confcheck /etc/named.rfc1912.zones接着添加区域数据文件rootns1#cd /var/named/cheroot/var/named/rootns1#touch .zonerootns1#chown d .zone编辑该文件rootns1#vi .zone$TTL 86400 IN SOA localhost root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS localhostlocalhost IN A www IN A 3然后在验证该文件格式是否正确rootns1#named-checkzone .zone添加符号连接rootns1#ln s cm-xxx