使用Bind提供域名解析服务2部署缓存服务器

[b]13.6 部署缓存服务器[/b]缓存服务器(Caching DNS Server)是一种不负责域名数据维护，也不负责域名解析的DNS服务类型，缓存服务器是将用户经常使用到得域名与IP地址解析记录保存在主机本地中，提升下次解析的效率，所以一般用于对高品质上网有需求的内网之中，配置流程为：第1步:配置系统的双网卡参数。
第2步:在主配置文件中添加缓存转发参数。
第3步:重启DNS服务后验证成果。试验环境中主机名称与IP地址（两台）

主机名称	操作系统	IP地址
缓存服务器	红帽RHEL7操作系统	网卡(外网):根据实际情况DHCP或手工指定IP地址与网关等信息。
		网卡(内网):192.168.10.10
客户端	红帽RHEL7操作系统	192.168.10.20

第1步:配置系统的双网卡参数。如前面介绍的缓存服务器一般用于企业内网中，起到减少内网用户查询DNS的消耗，那么为了更加的贴近实际网络环境、实现外网查询功能，需要为缓存服务器中再添加一块网卡。请您按照下面的幻灯片逐步操作，可点击图片两侧箭头或下方小圆点“○”切换步骤。



第1步：点击“编辑虚拟机设置”。



第2步：添加新的设备——“网络适配器”



第3步：将网络类型修改为“仅主机模式”



第4步：将原先第一块网卡类型修改为“桥接模式”

1

2

3

4

<

>

使用nmtui工具将第1块网卡的IP地址方法修改为dhcp模式（请读者根据实际上网环境来设置）：

新添加的网卡(第2块)在nmtui工具列表中还没有显示，需要聪明的读者们动手添加下：请您按照下面的幻灯片逐步操作，可点击图片两侧箭头或下方小圆点“○”切换步骤。



第1步：添加一块新的网卡设备。



第2步：选择网络链接类型。



第3步：填写网络名称与IP地址等信息。



第4步：看到添加成功后退出即可。



第5步：点击“激活一个网络链接”。



第6步：激活后退出，再次查看网卡信息。

1

2

3

4

5

6

<

>

当各位读者配置成功后网卡应该都会显示出正确的IP地址啦：


第2步:在主配置文件中添加缓存转发参数。缓存服务器的配置步骤非常简单，首先安装bind服务(yum install bind-chroot -y)，然后编辑主配置文件：[root@linuxprobe ~]# vim /etc/named.conf将监听IP端口与允许查询主机修改为any,再添加一行"forwarders { 上游DNS服务器地址; };"上游DNS服务器地址指的是从何处取得区域数据文件，主要对比查询速度、稳定性、安全性等因素。本次使用北京市DNS服务器:"210.73.64.1"，请读者选择前先Ping下能否通信，否则可能会导致解析失败!!

因为在红帽RHCSA、RHCE或RHCA考试后都要重启您的实验机再执行判分脚本。所以请读者在日常工作中也要记得将需要的服务加入到开机启动项中:”systemctl enable named“。第3步:重启DNS服务后验证成果。
将客户端的网卡DNS地址指向缓存服务器(192.168.10.10)，配置网卡应该已经很熟练，很简单了吧：

修改完主配置文件后请将named服务重启：

[root@linuxprobe ~]# systemctl restart named

使用nslookup命令验证实验成果(如果解析不成功，请读者多留意下是不是上游DNS选择的问题)：

[root@linuxprobe ~]# nslookup
> www.linuxprobe.com
Server: 192.168.10.10
Address: 192.168.10.10#53

Non-authoritative answer:
Name: www.linuxprobe.com
Address: 113.207.76.73
Name: www.linuxprobe.com
Address: 116.211.121.154

再来尝试下反向查询吧（此为google的免费DNS服务器地址）：

> 8.8.8.8
Server: 192.168.10.10
Address: 192.168.10.10#53

Non-authoritative answer:
8.8.8.8.in-addr.arpa name = google-public-dns-a.google.com.

Authoritative answers can be found from:
in-addr.arpa nameserver = f.in-addr-servers.arpa.
in-addr.arpa nameserver = b.in-addr-servers.arpa.
in-addr.arpa nameserver = a.in-addr-servers.arpa.
in-addr.arpa nameserver = e.in-addr-servers.arpa.
in-addr.arpa nameserver = d.in-addr-servers.arpa.
in-addr.arpa nameserver = c.in-addr-servers.arpa.
a.in-addr-servers.arpa internet address = 199.212.0.73
a.in-addr-servers.arpa has AAAA address 2001:500:13::73
b.in-addr-servers.arpa internet address = 199.253.183.183
b.in-addr-servers.arpa has AAAA address 2001:500:87::87
c.in-addr-servers.arpa internet address = 196.216.169.10
c.in-addr-servers.arpa has AAAA address 2001:43f8:110::10
d.in-addr-servers.arpa internet address = 200.10.60.53
d.in-addr-servers.arpa has AAAA address 2001:13c7:7010::53
e.in-addr-servers.arpa internet address = 203.119.86.101
e.in-addr-servers.arpa has AAAA address 2001:dd8:6::101
f.in-addr-servers.arpa internet address = 193.0.9.1
f.in-addr-servers.arpa has AAAA address 2001:67c:e0::1

[b]13.7 分离解析技术[/b]假如喜欢《Linux就该这么学》的海外留学生越来越多，但网站服务器架设在北京市，那么留学生访问起来速度一定很慢，而将服务器架设在美国，那又会让国内用户访问变得很麻烦，于是我们便可以采用分离解析的办法，虽然访问的是相同的网址，但国内用户访问北京服务器，而留学生则直接访问美国服务器。分离解析:当来自于不同IP地址的用户查询相同域名时会为其提供不同的解析结果，大致流程为：第1步：在区域信息文件中填写不同的Zone区域信息。
第2步：建立独立的区域数据文件。
第3步：重新启动named服务并验证结果。那么为了解决《Linux就该这么学》访问速度的问题，站务管理员已经在美国架设好了网站服务器，请您部署DNS服务器并实现分离解析功能，北京用户与美国用户访问相同域名时解析出不同的IP地址，拓扑如下：DNS分离解析拓扑

主机名称	操作系统	IP地址
DNS服务器	红帽RHEL7操作系统	北京网络:122.71.115.10
		美国网络:106.185.25.10
北京用户	Windows7	122.71.115.1
海外用户	Windows7	106.185.25.1

请读者先动手安装下BIND服务("yum install bind-chroot -y")，并将其加入到开机启动项中。第1步：在区域信息文件中填写不同的Zone区域信息。
修改主配置文件"/etc/named.conf"，将监听端口与允许查询主机修改为any，并将约在51行的根域信息删除掉:

zone "." IN {
type hint;
file "name.ca";
};

编辑区域信息文件"/etc/named.rfc1912.zones"，清空该文件所有默认的数据并添加以下内容：

//ACL定义了china与american分别对应的IP地址，以下就不需要写IP地址了。
acl "china" { 122.71.115.0/24; };
acl "american" { 106.185.25.0/24;};
//匹配所有china内的IP地址，对应的域名数据文件为linuxprobe.com.china。
view "china"{
match-clients { "china"; };
zone "linuxprobe.com" {
type master;
file "linuxprobe.com.china";
};
};
//匹配所有american内的IP地址，对应的域名数据文件为linuxprobe.com.american。
view "american" {
match-clients { "american"; };
zone "linuxprobe.com" {
type master;
file "linuxprobe.com.american";
};
};

这样来自不同IP地址的用户访问linuxprobe.com域时就会访问不同的区域数据文件，从而达到了分离解析的作用。
第2步：建立独立的区域数据文件。
切换工作目录到named服务目录中：

[root@linuxprobe ~]# cd /var/named

分别复制出两份域名区域文件数据的模板：

[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.china
[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.american

编辑对中国用户有效的域名区域数据文件vim linuxprobe.com.china：

$TTL 1D	#生存周期为1天
@	IN SOA	linuxprobe.com.	root.linuxprobe.com.	(
	#授权信息开始:	#DNS区域的地址	#域名管理员的邮箱(不要用@符号)
				0;serial	#更新序列号
				1D;refresh	#更新时间
				1H;retry	#重试延时
				1W;expire	#失效时间
				3H;minimum	#无效解析记录的缓存时间
	NS	ns.linuxprobe.com.	#域名服务器记录
ns	IN A	122.71.115.10	#地址记录(ns.linuxprobe.com.)
www	IN A	122.71.115.15	#地址记录(www.linuxprobe.com.)

编辑对美国用户有效的域名区域数据文件vim linuxprobe.com.american：

$TTL 1D	#生存周期为1天
@	IN SOA	linuxprobe.com.	root.linuxprobe.com.	(
	#授权信息开始:	#DNS区域的地址	#域名管理员的邮箱(不要用@符号)
				0;serial	#更新序列号
				1D;refresh	#更新时间
				1H;retry	#重试延时
				1W;expire	#失效时间
				3H;minimum	#无效解析记录的缓存时间
	NS	ns.linuxprobe.com.	#域名服务器记录
ns	IN A	106.185.25.10	#地址记录(ns.linuxprobe.com.)
www	IN A	106.185.25.15	#地址记录(www.linuxprobe.com.)

第3步：重新启动named服务并验证结果。
开启两台windows7系统的虚拟机，分别模拟中国与美国IP地址后执行"nslookup www.linuxprobe.com"，看看效果吧：





出现问题?大胆提问!因读者们硬件不同或操作错误都可能导致实验配置出错，请耐心再仔细看看操作步骤吧，不要气馁~Linux技术交流请加A群：560843(满)，B群：340829(推荐)，C群：463590（推荐），点此查看全国群。*本群特色：通过口令验证确保每一个群员都是《Linux就该这么学》的读者，答疑更有针对性，不定期免费领取定制礼品。本章节的复习作业(答案就在问题的下一行哦，用鼠标选中即可看到的~)1:DNS服务有三种服务形式，分别为？答案：主服务器、从服务器与缓存服务器。2:DNS服务器之间传输区域数据文件时，使用的是递归查询还是迭代查询？答案：迭代查询。3:主服务器可以设置允许查询的主机名或限制仅某一部分主机可以查询？答案：是的。4:使用TSIG加密机制可以实现DNS服务器与用户间传输区域数据文件不被嗅探拦截。答案：错误，TSIG加密保证的是DNS服务器与DNS服务器之间迭代查询的安全。5:分离解析功能最常使用的情况是？答案：为用户就近选择服务器，加速解析效率，减少查询传输消耗。