37-38天互联网核心服务-DNS域名服务全面深度解析

DNS名字解析服务介绍；

domain name server

应用层协议DNS起源与发展；

DNS服务迭代与递归查询原理；

• 迭代查询在接受请求时回复查询结果，如果本服务器没有，则向上查询。
• 递归查询在接受请求时，返回另一个服务器地址
  DNS服务器之间是迭代查询，用户与DNS服务器之间是递归查询。

DNS区域数据库文件资源记录A，AAAA，PTR，SOA，NS，CNAME，MX详解；

• A:将域名指向IP4地址
• AAAA:将域名指向IP6地址
• PTR:仅用于反向，指针记录
• SOA:授权信息开始
• NS:将子域名指向服务器地址
• CNAME:将域名指向另一个域名
• MX:将域名指向邮件服务器地址

主-辅DNS服务器配置基础及相关概念详解；

主服务器：在特定区域内具有唯一性，负责维护该区域内的域名与IP地址之间的对应关系。
从服务器：从主服务器中获得域名与IP地址的对应关系并进行维护，以防主服务器宕机等情况。

主服务器配置

安装bind
修改主配置文件
修改区域配置文件
修改数据配置文件

从服务器

1. 修改主服务器主配置文件(运行从服务器的更新请求)
2. 主服务器防火墙放行
3. 安装bind(bind-chroot)
4. 在从服务器中填写主服务器的IP地址与要抓取的区域信息，然后重启服务。注意此时的服务类型应该是slave。
5. 同上

bind程序的安装于使用；

BIND（Berkeley Internet Name Domain，伯克利因特网名称域）服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。

DNS正向区域、反向区域与缓存dns的配置演示；

1.修改区域配置文件
named.rfc1912.zones
2.修改数据配置文件
正向解析模板named.localhost
反向解析模板named.loopback
重启服务
3.缓存dns
在bind服务程序的主配置文件中添加缓存转发参数。在大约第20行处添加一行参数“forwarders { 上级DNS服务器地址; };”，上级DNS服务器地址指的是获取数据配置文件的服务器。

rndc、dig、host、nslookup工具使用；

dig 域名
nsloopup 域名
host 域名
rndc 

bind的从DNS服务器的配置子域授权；

bind中的基础安全相关的配置：

bind服务程序为了提供安全的解析服务，已经对TSIG（见RFC 2845）加密机制提供了支持。TSIG主要是利用了密码编码的方式来保护区域信息的传输（Zone Transfer），即TSIG加密机制保证了DNS服务器之间传输域名区域信息的安全性。

1. 第1步：在主服务器中生成密钥。dnssec-keygen命令用于生成安全的DNS服务密钥，其格式为“dnssec-keygen [参数]”，常用的参数以及作用如表13-4所示。
2. 第2步：在主服务器中创建密钥验证文件。进入bind服务程序用于保存配置文件的目录，把刚刚生成的密钥名称、加密算法和私钥加密字符串按照下面的格式写入tansfer.key传输配置文件中。为了安全起见，需要将文件的所属组修改成named，并将文件权限设置得要小一点，然后设置该文件的一个硬链接，并指向/etc目录。
3. 第3步：开启并加载bind服务的密钥验证功能。首先需要在主服务器的主配置文件中加载密钥验证文件，然后进行设置，使得只允许带有master-slave密钥认证的DNS服务器同步数据配置文件。
   至此，DNS主服务器的TSIG密钥加密传输功能就已经配置完成。然后清空DNS从服务器同步目录中所有的数据配置文件，再次重启bind服务程序。这时就已经不能像刚才那样自动获取到数据配置文件了。
4. 配置从服务器，使其支持密钥验证。配置DNS从服务器和主服务器的方法大致相同，都需要在bind服务程序的配置文件目录中创建密钥认证文件，并设置相应的权限，然后设置该文件的一个硬链接，并指向/etc目录。
5. 第5步：开启并加载从服务器的密钥验证功能。这一步的操作步骤也同样是在主配置文件中加载密钥认证文件，然后按照指定的格式写上主服务器的IP地址和密钥名称。注意，密钥名称等参数位置不要太靠前，大约在第51行比较合适，否则bind服务程序会因为没有加载完预设参数而报错：
6. 第6步：DNS从服务器同步域名区域数据。现在，两台服务器的bind服务程序都已经配置妥当，并匹配到了相同的密钥认证文件。接下来在从服务器上重启bind服务程序，可以发现又能顺利地同步到数据配置文件了。
7. 第7步：再次进行解析验证。功能正常。请大家注意观察，是由192.168.10.20从服务器进行解析的。

访问控制列表（acl）、访问控制指令

allow-query{}、allow-transfer{};allow-recursion{};、allow-update{}详解；

首先使用acl参数分别定义两个变量名称（china与america）

基于view的智能DNS实现；

view参数的作用。它的作用是通过判断用户的IP地址是中国的还是美国的，然后去分别加载不同的数据配置文件（linuxprobe.com.china或linuxprobe.com.america）。这样，当把相应的IP地址分别写入到数据配置文件后，即可实现DNS的分离解析功能。这样一来，当中国的用户访问linuxprobe.com域名时，便会按照linuxprobe.com.china数据配置文件内的IP地址找到对应的服务器。

（DNSpod一线厂商解决方案）利用PowerDNS实现DNS服务；

CDN工作原理；