当前位置：文档之家› DNS功能说明手册V2.1

DNS功能说明手册V2.1

泉州移动DNS维护手册

Create Date：2010-4-30

Modify date：2011-1-7

Writer：IDC-GROUP

Version:2.1 目录

泉州移动DNS维护手册 (1)

目录 (1)

1专业术语介绍 (2)

1.1DNS当前拓扑介绍 (2)

1.2Dns作用 (2)

1.3DNS类型 (2)

1.4资源记录 (3)

1.5DNS部分配置文件介绍 (4)

1.6解析类型 (5)

1.7Acl和view的概念 (5)

2DNS配置文件介绍 (6)

2.1named.conf主配置文件 (6)

2.2zone区域信息配置 (10)

2.3区域数据文件 (14)

2.4Inclued文件 (15)

3日常作业规范 (15)

3.1DNS服务启动、关闭 (15)

3.2named.conf主配置文件维护 (16)

3.3zone区域文件维护 (17)

3.4区域数据文件常见任务 (19)

3.5委派授权解析 (19)

3.6转发域 (20)

4常用命令集 (20)

4.1诊断方法 (20)

4.2Dig诊断工具 (23)

4.3Nslookup诊断工具 (24)

5应急方案 (24)

6DNS Debug介绍 (25)

7其他—tcpdump抓包工具介绍 (26)

1专业术语介绍

1.1DNS当前拓扑介绍

1.2Dns作用

DNS(Domain Name System)叫做域名解析服务器，域名系统是分级的分布式的数据库，该数据库存放着域名所对应的IP地址，邮件路由信息和网络应用方

面的数据，数据库以文件形式或是应用数据库形式存在。DNS负责将用户请求信

息解析成相应的信息，比如，将域名解析成所对应的IP地址，或是将IP地址解

析成所对应的域名，或是回答某个域名的邮件服务器的ip地址等。

1.3DNS类型

一个DNS 服务器可以同时作为多个域的主域名服务器和辅域名服务器，也可以只作为主，或只作为辅，或者做任何域的授权服务器而只使用自己的cache

来提供查询解析。Master服务器也经常叫做primary，slave 服务器也经常叫做

secondary。不论是master/primary/主/一级域名服务器，还是slave/secondary/辅/

二级域名服务器，都是这个域的授权服务器。

所有的服务器都会将数据保存在缓存（cache）中，直到针对这些数据的TTL

（Time To Live）值过期。

1.3.1 主域名服务器

primary master server是一个domain信息的最根本的来源。它是所有辅域名服务器进行域传输的源。主域名服务器是从本地硬盘文件中读起域的数据。

1.3.2 辅域名服务器

就是slave server，或叫作secondary server。次级服务器使用一个叫做域转输的复制过程，调入其它服务器中域的内容。通常情况下，数据是直接从主服务器上传输过来的，但也可能是从本地磁盘上的cache 中读到的。辅域名服务器可以提供必需的冗余服务。所有的辅域名服务器都应该写在这个域的NS记录中。

1.3.3 隐藏服务器

stealth server 可以针对一个域的查询返回授权的记录，但是它并没有列在这个域的NS记录里。Stealth 服务器可以用来针对一个域进行集中分发，这样可以不用在远程服务器上手工编辑这个域的信息了。在这种方式中，一个域的master 文件在stealth server 上存储的位置，经常叫做“hidden primary”配置。Stealth 服务器也可以将域文件在本地做一个拷贝，从而可以在所有官方的域名服务器都不能访问的情况下，也能更快地读取域的记录。

1.3.4 高速缓存域名服务器

缓存服务器可以将它收到的信息存储下来，并再将其提供给其它的用户进行查询，直到这些信息过期。它的配置中没有任何本地的授权域的配置信息。它可以相应用户的请求，并询问其它授权的域名服务器，从而得到回答用户请求的信息。

1.3.5 转发服务器

1.4资源记录

DNS服务器的信息数据，按照分类进行存储，比如将域名解析成IP，这样信息存贮成A记录，而将IP地址解析成域名，这样的信息则存贮成PTR记录。

还有MX、CNAME等资源记录。不同的资源记录是为了不同的资源解析而设的。

1.4.1 NS资源记录

名称服务器（NS）资源记录表示该区的授权服务器，用于说明该区域有哪些dns服务器负责解析，NS资源指的就是授权服务器。

1.4.2 SOA资源记录

可能有多台服务器负责一个域的DNS解析，比如https://www.doczj.com/doc/3013241066.html,这个域，负责解析有台服务器：https://www.doczj.com/doc/3013241066.html,和https://www.doczj.com/doc/3013241066.html,。那么SOA记录就是指定这两台

服务器中的哪一台为主服务器，而另外一台为辅助服务器。因为在一个授权域

中，只能有一台负责解析。

1.4.3 A资源记录

地址（A）资源记录把FQDN映射到IP地址，因而解析器能查询FQDN对应的IP地址。

1.4.4 PTR资源记录

相对于A资源记录，指针（PTR）记录把IP地址映射到FQDN。

1.4.5 CNAME资源记录

规范名字（CNAME）资源记录创建特定FQDN的别名。用户可以使用CNAME记录来隐藏用户网络的实现细节，使连接的客户机无法知道。

1.4.6 MX资源记录

指明某个域中那台服务器是邮件服务器。可以同时配置多个MX资源，DNS

服务器会根据每个MX配置的权重的不同来决定轮询的次数。

比如

1.5DNS部分配置文件介绍

泉州移动DNS服务器是使用bind软件进行安装服务的，当前版本是9.3

Bind的主要配置文件是named.conf，该文件通常是位于/etc/named.conf，但是

如果安装了bind-chroot安全包后，named.conf文件移到会在chroot目录下，

在/etc/目录下的named.conf是一个符号连接到chroot目录下的named.conf.

注意：使用了chroot后，由于Bind程序的虚拟根目录是/var/named/chroot/，

因此下文提到所有的DNS服务器配置文件、区域数据文件和配置文件内的语

句，都是相对这个虚拟根目录而言的。如下文提到的/etc/named.conf，其真正

的路径是/var/named/chroot/etc/ named.conf；如目录/var/named/，其真正的路径

是/var/named/chroot/var/named/。

1.5.1 Named.conf主配置文件

该文件是DNS服务器的主要配置文件，该文件位于/var/named/chroot/etc/

named.conf 。DNS后台进程named在53端口监听用户的请求，在收到解析

请求后，会首先是查找named.conf文件，然后从named.conf文件中再定位所

要查找的区域数据文件的位置，最后读取数据返回给客户。所以当named.conf

文件丢失，或是格式错误都会导致服务启动失败。

一般在对named.conf文件修改后，要验证下其格式是不是正确

Named.conf包括了全局的参数配置、区域配置、DNS日志配置、还有一

些区域配置相关的配置如acl、view等

1.5.2 区域数据库文件

详细的解析信息是存放在区域数据文件，比如A、PRT、NS、MX等解析信息都是存放在区域数据文件中。而区域数据文件的存放的位置是在named.conf的options 的directory参数定义的，比如通常是定义成：directory ―/var/named‖;

1.6解析类型

1.6.1 正向解析

正向解析是指域名到IP地址的解析过程。

1.6.2 反向解析

反向解析是从IP地址到域名的解析过程。反向解析的作用为服务器的身份验

证。

1.7Acl和view的概念

1.7.1 ACL

ACL就是一个IP过滤器，默认是不允许所有的ip访问，只有在列表中的IP

才可以访问DNS中的资源。

ACL的格式：

1.7.2 View

View是bing9才有的一个的功能，可以根据用户的不同ip来提供不同的服务，

最常用的就是智能分流了—也叫做双线或是多线接入，根据用户IP的不同，

访问统一个网站的域名解析成不同的IP地址。

在泉州移动的DNS中，因为连接着不同IP提供商的网段，本地授权域名较少，

大多是做转发，所以还有一个应用就是将不同用户段的IP，转到相应的IP提

供商的DNS服务器来解析，比如铁通IP段，则转发到铁通的专门的DNS服

务器来做解析。

所以本地的DNS是做转发服务器，也叫缓存服务器。

2DNS配置文件介绍

2.1named.conf主配置文件

[root@ns1 ~]# cat /etc/named.conf

options {

listen-on port 53 { 192.168.0.40;};

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

query-source port 53;

datasize 300m;

recursion yes;

recursive-clients 2000;

version "[^_^]";

};

logging {

channel default_debug {

file "data/named.run" versions 10 size 2m;

severity dynamic;

print-time yes;

print-severity yes;

print-category yes;

};

channel all_log {

file "data/all_log.run" versions 5 size 10m;

severity debug 3;

print-time yes;

print-severity yes;

print-category yes;

};

category general { all_log; };

category client { all_log; };

category queries { all_log; };

};

view localhost_resolver {

match-clients { localhost; };

match-destinations { localhost; };

recursion yes;

include "/etc/named.rfc1912.zones";

};

//min_hui temporary acl

include "/etc/acl_temp";

//jin_qiao acl

acl "cmnet" {

180.178.192.0/20;

180.188.16.0/22;

180.188.20.0/23;

180.188.22.0/24;

180.188.28.0/22;

180.188.64.0/20;

180.188.70.0/24;

180.188.71.0/24;

180.188.80.0/22;

180.188.84.0/23;

180.188.87.0/24;

180.188.88.0/21;

113.18.64.0/19;

113.18.104.0/21;

113.18.144.0/21; };

view "cm_qzgov" IN {

match-clients { cmnet;acl_temp; };

match-destinations { any; };

recursion yes;

forwarders { 123.125.9.211;123.125.9.212; };

forward first;

additional-from-auth yes;

additional-from-cache yes;

include "/etc/named.rfc1912.zones";

};

//min_hui acl

acl "cm_min_hui" { 122.48.176.0/20; };

view "cm_min_hui_view" IN {

match-clients { cm_min_hui; };

match-destinations { any; };

recursion yes;

forwarders { 219.141.136.10;211.138.151.161; };

forward first;

additional-from-auth yes;

include "/etc/named.rfc1912.zones";

};

//tie_tong

acl "tie_tong" { 122.91.8.0/21;

122.91.16.0/21;

110.125.192.0/19;

110.125.224.0/20;

111.142.64.0/21; };

view "tie_tong_view" IN {

match-clients { tie_tong; };

match-destinations { any; };

recursion yes;

forwarders { 222.47.29.93;222.47.62.142; };

forward first;

additional-from-auth yes;

additional-from-cache yes;

include "/etc/named.rfc1912.zones";

};

//cmnet_self acl

acl "cmnet_self" { 211.143.144.0/20;

211.138.136.0/21;

211.138.144.0/20;

211.138.132.0/22;

211.143.160.0/19;

211.143.192.0/19;

211.148.224.0/19;

218.207.96.0/19;

218.207.128.0/18;

218.207.192.0/19;

112.5.16.0/20;

112.5.32.0/19;

180.188.23.0/22;

180.188.27.0/23; };

view "cmnet_self_view" IN {

match-clients { cmnet_self; };

match-destinations { any; };

recursion yes;

forwarders { 211.138.151.161;211.138.156.66; };

forward first;

2.1.1 logging日志

在日志中主要有两个概念：通道（channel）和类别（category）。通道指定了应该向哪里发送日志数据：是发送给syslog，还是写在一个文件里，或是发送给named的标准错误输出，还是发送到位存储桶（bit bucket）。类别则规定了哪些

定义了某个级别后，系统会记录包括该级别以及比该级别更严重的级别的所有消息。比如定义级别为error，则会记录critical和error两个级别的信息。一般情况下，我们记录到info级别就可以了。print-time是设定在日志中是否需要写入时间，print-severity是设定在日志中是否需要写入消息级别，print-category是

这些不属于任何类别的消息属于下面列出的这些类别。

general

包括所有未明确分类的BIND消息。

client

处理客户端请求。

config

配置文件分析和处理。

database

同BIND内部数据库相关的消息，用来存储区数据和缓存记录。

dnssec

处理DNSSEC签名的响应。

lame-servers

发现错误授权。

network

网络操作

notify

异步区变动通知。

queries

查询日志

resolver

名字解析，包括对来自解析器的递归查询的处理。

security

认可/非认可的请求。

update

动态更新事件。

xfer-in

从远程名字服务器到本地名字服务器的区传送。

xfer-out

从本地名字服务器到远程名字服务器的区传送。

2.2zone区域信息配置

区域信息默认是放在named.conf主配置文件中，但是因为zone信息可能会不断的增加，造成named.conf配置文件变成很大，不便管理和阅读。对以便以管理，特别将zone隔离出来，信息存放在一个单独的文件中，用include关键字来引用。

下面是对include所引用的区域信息文件的部分内容做下解析

(named.rfc1912.zones配置文件没有完全贴出来，重复的部分省去)

type master;

file "localdomain.zone";`

allow-update { none; };

};

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

zone "0.168.192.in-addr.arpa" IN {

type master;

file "0.168.192.zone";

allow-update { none; };

};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master;

file "named.ip6.local";

allow-update { none; };

};

zone "255.in-addr.arpa" IN {

type master;

file "named.broadcast";

allow-update { none; };

};

zone "0.in-addr.arpa" IN {

type master;

file "named.zero";

allow-update { none; };

};

zone "https://www.doczj.com/doc/3013241066.html," IN {

type master;

file "https://www.doczj.com/doc/3013241066.html,.zone";

allow-update { none; };

};

zone "137.207.218.in-addr.arpa" IN {

type master;

file "137.207.218.zone";

allow-update { none; };

};

zone "128.207.218.in-addr.arpa" IN {

type master;

file "128.207.218.zone";

allow-update { none; };

};

//cmnet localhost server resolve

zone "https://www.doczj.com/doc/3013241066.html," IN {

type master;

file "https://www.doczj.com/doc/3013241066.html,.zone";

allow-update { none; };

};

zone "https://www.doczj.com/doc/3013241066.html," IN {

type master;

file "https://www.doczj.com/doc/3013241066.html,.zone";

allow-update { none; };

};

zone "https://www.doczj.com/doc/3013241066.html," IN {

type master;

file "https://www.doczj.com/doc/3013241066.html,.zone";

allow-update { none; };

};

Type的几种类型，一共分为六种：

2.2.1 Master

主DNS服务器：拥有区域数据文件，并对此区域提供管理数据

2.2.2 Slave

辅助DNS服务器：拥有主DNS服务器的区域数据文件的副本，辅助DNS 服务器会从主DNS服务器同步所有区域数据。

2.2.3 Stub

stub区域和slave类似，但其只复制主DNS服务器上的NS记录而不像辅助DNS服务器会复制所有区域数据。

2.2.4 Forward

一个forward zone是每个域的配置转发的主要部分。一个zone语句中的type forward可以包括一个forward和/或forwarders子句，它会在区域名称给定的域中查询。如果没有forwarders语句或者forwarders是空表，那么这个域就不会有转发，消除了options语句中有关转发的配置。

BIND 提供了很多非常好的特性，包括：转发（Forwarder ）。

某些网络连接，不鼓励向本地以外发送很大的数据流量，这要么是因为网络连接是按流量计费的，或网络连接本身是带宽不足。

在这样的情况下，如果想将发往外部的DNS 流量限制到尽可能的小，就需要使用BIND 的转发机制。或者你的网络中只有一台机器能连接到Internet ，而你在这台机器上运行了BIND ，那么你可以将这台BIND 作为内部网络中的其他BIND 的转发器，使得其他DNS 也能查找Internet 域名。

转发机制的这样的：当你设置了转发器后，所有非本域的和在缓存中无法找到的域名查询都将转发到设置的DNS 转发器上，由这台DNS 来完成解析工作并做缓存，因此这台转发器的缓存中记录了丰富的域名信息。

因而对非本域的查询，很可能转发器就可以在缓存中找到答案，避免了再次向外部发送查询，减少了流量。

这里要注意，转发器本身不用做任何设置，而是对需要转发器的其他DNS server 做以上配置。还有，如果该DNS Server 无法联系到转发器，那么BIND 会自己尝试解析。

如果你要禁止BIND 在无法联系到转发器时不做任何操作，那么你还可以使用forward only 命令，这样BIND 只能使用区的权威数据和缓存来响应

转发区（forward zone ），它允许你把DNS 配置成只有查找特定域名的时候才使用转发器。

（BIND 9 从9.1.0 才开始有转发区功能）

例如，你可以使你的服务器将所有对https://www.doczj.com/doc/3013241066.html, 结尾的域名查询都转发给https://www.doczj.com/doc/3013241066.html, 的两台名字服务器：

zone "https://www.doczj.com/doc/3013241066.html," {

type forward;

forwarders { 210.52.83.228; 210.52.83.229; };

};

这样的功能有什么用呢？

假设https://www.doczj.com/doc/3013241066.html, 和你的网络有一个私有的连接，

而https://www.doczj.com/doc/3013241066.html, 又没有连接上Internet ，那么你从Internet 是无法查到https://www.doczj.com/doc/3013241066.html, 后缀的域名的，这时你就要使用转发区的功能了。

还有一种转发区设置和刚才的设置刚好相反，它允许你设置什么样的查询将不

被转发，当然这只适用于在options 语句中指定了转发器的DNS 。配置如下：

options {

directory "/var/named";

forwarders { 192.168.24.35; 192.168.24.36; };

};

zone "https://www.doczj.com/doc/3013241066.html," {

type master;

file "https://www.doczj.com/doc/3013241066.html,";

forwarders {};

};

你可能会问为什么你要在自己的权威区里禁止转发？

难道不是自己回答查询而不使用转发器吗？

有这样一种情况，在https://www.doczj.com/doc/3013241066.html, 这个区中，你授权了几个子域，例如：

https://www.doczj.com/doc/3013241066.html,、https://www.doczj.com/doc/3013241066.html, 等，那么在https://www.doczj.com/doc/3013241066.html, 的权威服务器上设置转发后，

因为对https://www.doczj.com/doc/3013241066.html,、https://www.doczj.com/doc/3013241066.html, 这几个子域不是权威，那么如果有对

https://www.doczj.com/doc/3013241066.html, 这样的子域的域名查询，服务器也将转发。这完全是没有必

要的，因为服务器上就有https://www.doczj.com/doc/3013241066.html, 子域的NS 记录，何须再转发。

2.2.5 Hint

根域名服务器的初始化组指定使用线索区域hint zone，当服务器启动时，它使用根线索来查找根域名服务器，并找到最近的根域名服务器列表。如果没

有指定class IN的线索区域，服务器使用编译时默认的根服务器线索。不是IN

的类别没有内置的默认线索服务器。

2.2.6 Delegation-only

用于强制区域的delegation .ly状态。

2.3区域数据文件

2.4Inclued文件

可以使用include调用的信息有：ACL和区域信息。

ACL信息可以放在单独数据文件中，比如将铁通的ACL列表存放在tietong_acl 文件中，可以这样做：在/var/named/cheroot/etc/文件夹中建立tietong_acl文件。

3日常作业规范

3.1DNS服务启动、关闭

DNS是由后台守护进程named，在tcp53端口上监听，判断named服务器进

程有没起来，可以使用下面的方法来判定：

由于DNS的高可用性是采用redhat的cluster的ha来实现的，所以启动、关

闭、重启named服务器不能直接对named进程进行操作(禁止直接对named进

行直接的操作，这样会导致named进程的异常)，只能通过ha的命令来进行重

启。

3.2named.conf主配置文件维护

有关named.conf主配置文件的维护，主要是acl和view的维护。

举例：

增加一个新的用户IP地址段的转发(铁通地址段),登入备用的DNS服务器进行

作业。一般不允许对当前的DNS进行作业的操作，主要为了防止配置不当或

是意外的因素，导致服务启动不起来。

然后在[root@ns2~]#确认named进程已经起来

[root@ns1 ~]# ps -ef|grep named

root 9009 6263 0 16:20 pts/1 00:00:00 grep named

named 18767 1 0 Apr16 ? 03:37:02 /usr/sbin/named -u named -t

/var/named/chroot

备用的DNS服务器进程确认已经起来后，再将备用新修改的数据同步到主DNS上。

[root@ns2~]#scp /etc/named.conf 192.168.0.23: /etc/named.conf

最后还要确认用户访问的数据流量有没有上来，查看日志文件

[root@ns1 named]# cd /var/named/chroot/var/named/data/

[root@ns1 data]# pwd

/var/named/chroot/var/named/data

[root@ns1 data]#

[root@ns1 data]# ls

all_log.run all_log.run.2 cache_dump.db named.run.0 named.run.3

named.run.6 named.run.9

all_log.run.0 all_log.run.3 named_mem_stats.txt named.run.1 named.run.4

named.run.7 named_stats.txt

all_log.run.1 all_log.run.4 named.run named.run.2 named.run.5

named.run.8

[root@ns1 data]# cat all_log.run|grep 110.125.192|more

04-May-2010 16:24:21.016 client: debug 3: client 110.125.192.229#1030: UDP request