DNS的 基本功能配置

一、实验目的

实现主DNS服务器的域名转发、自定义DNS的acl的访问控制和智能DNS bind视图的应用。

二、实验内容

实验1 定义DNS转发器

实验2 定义DNS的ACL访问控制

实验3 智能DNS服务器

三、实验环境与准备

实验1 准备四台虚拟机，其中三台为linux（centos 7）系统，分别作为：主服务器、缓存服务器、内网测试机，一台为windows（win-7）系统，做外网测试机。

实验2 配置同实验1，在实验1 的基础上加上ACL访问控制列表。

实验3 配置同实验2，在实验2的基础上加上智能控制。（视图所在域都必须在view中）

四、实验分析与设计思路

实验1  主要是先配置好主DNS服务器、带有中继路由功能的缓存服务器和内网测试机，以及外网测试机（win 7），其中主DNS服务器和内网测试机仅有一块网卡，并且设置成仅主机模式；缓存服务器有两块网卡，分别设置成仅主机和桥接；外网测试机有一块网卡并设置成桥接模式。此外还要在主DNS服务器上加上转发至缓存服务器的参数。

实验2 在实验1的基础上，在主服务器的主配置文件上加入acl控制列表。

实验3 配置同实验2，在实验2的基础上加上智能控制。所实现的功能是：访问相同的领域，根据不同的客户来源，解析为不同的结果，也就是说所显示的区域ip不一致。

五：主要实验过程

实验1  主要是先配置主DNS服务器、缓存服务器和内网测试机，以及外网测试机（win 7）

其中，在网卡设置上：主DNS服务器设置为仅主机；缓存服务设置成中继路由，有两块网卡，一块桥接，另一块仅主机；内网测试机设置为仅主机；外网测试机设置为桥接。在主配置文件中（/etc/named.conf）和辅助配置文件中（/etc/named.rfc1912.zones）中加入相应的参数，以实现转发至缓存服务器的功能。

1. 基本配置主DNS服务器（注意配置区域解析库时，要用cp -p）
2. 配置网络

2. 下载DNS相关软件

3. 查看软件包信息

4. 写入主配置文件

区域解析库的配置文件

5. 配置辅助配置文件（添加自己的区域）

6. 配置区域解析库

7. 启动DNS服务

8. 在服务器上进行测试

2. 基本配置缓存服务器（两块网卡，一张桥接，一张仅主机（10.110））
3. 网络配置

输入： vi /etc/sysconfig/network-scripts/ifcfg-ens32

2. 下载DNS服务相关软件

（3）查看软件包信息

4. 配置主配置文件

输入：vi /etc/named.conf

（5）检查语法并重启DNS服务

（5）查看端口信息

（6）开启中继路由功能并测试

3. 配置测试机
4. 配置网络

2. 重启网络并查看ip

3. 下载DNS测试端（客户端）软件

（4）查看软件信息

4. 重启服务并测试

4. 配置win7测试机

win7测试机为内网，设置为桥接，基本配置如下图所圈

此处错误要用69

5、在主DNS服务器上定义转发器

（1）配置主配置文件

DNS主服务器没有找根递归的能力

输入： vi /etc/named.conf

3. 重载DNS服务

输入：rndc reload

6、缓存服务器接收

7. 验证 192.168.10.100转发给192.168.10.110的递归转发效果（主机、内网和外网测试机）

win7外网测试端

内网测试机测试

实验2  定义自定义acl访问控制列表，实现访问控制

概述：是在主DNS服务器上（192.168.10.100）操作，更改其主配置文件（/etc/named.conf）,具体是在 options 之前加入acl控制列表，并更改允许通过的权限（即 allow-query）。

1. 配置主DNS的acl列表，实现解析控制

（1）编辑主配置文件：

2. 检查语法

3. 重载DNS服务

2. 测试 （分别在本机、内网测试机waiwang测试机测试）

外网测试

3. 配置主DNS服务，验证内网可以递归，外网测试机只能解析权威答案，不允许递归的效果，在 /etc/named.conf 进行操作

（1）配置主配置文件

2、测试

分别在本机（192.168.10.100)，内网测试机（192.168.10.120），外网测试机（10.10.69.144）上进行测试解析结果

dig -t A ​​www.woqu.com​​ @192.168.10.100 均可以成功

dig -t A ​​www.baidu.com​​ @192.168.10.100 只能本机和内网测试机都能递归成功，外网测试机（win -7）不能解析。

实验3智能DNS解析

智能DNS解析：访问相同的区域，可以根据不同客户端来源，解析为不同的结果，主要是通过对主服务器的主配置文件和辅助配置文件进行修改，以实现其功能。

1. 对主DNS服务器的配置文件进行配置（主配置和辅助配置均操作）
2. 先将主配置文件中的根区域（即zone里的内容），复制到辅助配置中zone的最前方

具体操作如下：

1. 输入：vim -O /etc/named.conf /etc/named.rfc1912.zones，垂直打开两个配置文件。
2. 将光标移至主配置文件最后，zone的第一行，按下 4yy 进行复制根区域的内容。
3. 同时按下 Ctrl和w，按两次，光标移至右边的辅助配置文件中，将光标移至辅助配置文件的zone的最上方，按下：p，粘贴。
4. 按下 ESC，输入wq，保存退出。
5. 将主配置文件的的根区域文件注解掉。
6. 将所有zone划分到一个视图里面去，可以定义视图的名称，例如internal。
7. 加入新的区域解析库内容 ，定义新的名称，例如external。

检查语法

重载服务

相同区域的新的区域解析库的参数

2. 定义相同区域的新的区域解析库

2. 测试

分别在内网测试机和外网测试机（win-7）测试结果，看是否形成不同结果

dig -t A ​​www.ujiuye123.com​​ @192.168.10.100

内网解析结果  192.168.10.100

外网解析结果  2.2.2.100

六、实验结果及分析

1. 通过实验1，可以学到主DNS服务器的转发和缓存DNS服务器的接收的具体操作，均是在DNS主配置文件（/etc/named.conf）里操作。
2. 通过实验2，可以学会设置acl访问控制，以限制通过主DNS服务器的解析和递归的设备。
3. 通过实验3，可以学会通过bind 视图（视图域均在view中，内部：internal，外部：external）来实现不同地域，不通的解析，以ip来直观展示。

七、总结

通过本次实验，学习到在 ，而且在实验过程中思路一定要清晰。

遇到的问题：

1、在主服务器上自己dig 自己，如果不出现 aa，在排除了三个配置文件（主配置文件、辅助配置文件和区域解析库文件）和网络文件后，就查看一下 区域解析库文件的所有者和所属组（即 ​​​woqu.com.zone​​​）,使用 chown 所有者：所属组 文件名 ，来更改，然后重启DNS（systemctl restart named）服务并重载DNS服务（rndc reload）。

2. 主服务器的的网关要写对，要细心。
3. dig 能通，ping不通。是正常的，因为仅主机无法ping外网。
4. 一定要细心，参数要正确，比如下图：

5.中继路由功能会受网络服务的影响

每次重启网络服务后，就要重新开启一下

echo 1 > /proc/sys/net/ipv4/ip_forward 。

6.记得在acl访问控制，子网掩码要写，网段要写对，写不对的话，解析不了。