NTP時(shí)間服務(wù)器
作用:ntp主要是用于對(duì)計(jì)算機(jī)的時(shí)間同步管理操作����。
時(shí)間是對(duì)服務(wù)器來(lái)說(shuō)是很重要的���,一般很多網(wǎng)站都需要讀取服務(wù)器時(shí)間來(lái)記錄相關(guān)信息����,如果時(shí)間不準(zhǔn),則可能造成很大的影響��。
部署安裝NTP服務(wù)器
第一步:安裝服務(wù)
[root@ken ~]# yum install ntp -y
第二步:配置NTP文件
[root@ken ~]# vim /etc/ntp.conf
server 127.127.1.0 #以本機(jī)作為時(shí)間服務(wù)器�,也可以根據(jù)需要選擇阿里時(shí)間服務(wù)器
restrict 127.0.0.1 #允許本機(jī)使用時(shí)間服務(wù)器
restrict 172.20.10.7 mask 255.255.255.240 #允許172.20.10.7使用本機(jī)的時(shí)間服務(wù)器
第三步:重啟NTP服務(wù)
[root@ken ~]# systemctl restart ntpd
第四步:檢查NTP狀態(tài)
[root@ken ~]# ntpstat
synchronised to local net at stratum 6
time correct to within 7948 ms
polling server every 64 s
第五步:客戶端下載NTP客戶端程序
[root@host1 ~]# yum install ntpdate -y
第六步:客戶端進(jìn)行同步
當(dāng)前服務(wù)端時(shí)間
[root@ken ~]# date
Thu Feb 28 12:22:41 CST 2019
當(dāng)前客戶端時(shí)間
[root@host1 ~]# date
Thu Feb 28 20:34:34 CST 2019
客戶端進(jìn)行時(shí)間同步
[root@host1 ~]# ntpdate 172.20.10.6
28 Feb 12:24:52 ntpdate[7551]: step time server 172.20.10.6 offset -29488.471623 sec
[root@host1 ~]# date
Thu Feb 28 12:25:10 CST 2019
如果出現(xiàn)下面的錯(cuò)誤,稍等再次執(zhí)行即可
[root@ken ~]# ntpdate 192.168.1.163
6 Mar 23:12:36 ntpdate[1541]: no server suitable for synchronization found
DNS域名解析系統(tǒng)
DNS服務(wù)概述:
DNS(Domain Name System)域名系統(tǒng)���,在TCP/IP 網(wǎng)絡(luò)中有非常重要的地位���,能夠提供域名與IP地址的解析服務(wù)。
DNS 是一個(gè)分布式數(shù)據(jù)庫(kù)��,命名系統(tǒng)采用層次的邏輯結(jié)構(gòu)����,如同一棵倒置的樹(shù),這個(gè)邏輯的樹(shù)形結(jié)構(gòu)稱為域名空間�,由于DNS 劃分了域名空間,所以各機(jī)構(gòu)可以使用自己的域名空間創(chuàng)建DNS信息�。
注:DNS 域名空間中,樹(shù)的最大深度不得超過(guò)127 層���,樹(shù)中每個(gè)節(jié)點(diǎn)最長(zhǎng)可以存儲(chǔ)63 個(gè)字符��。
1��、域和域名
DNS 樹(shù)的每個(gè)節(jié)點(diǎn)代表一個(gè)域��,通過(guò)這些節(jié)點(diǎn)��,對(duì)整個(gè)域名空間進(jìn)行劃分���,成為一個(gè)層次結(jié)構(gòu)���。
域名空間的每個(gè)域的名字,通過(guò)域名進(jìn)行表示�。
域名:通常由一個(gè)完全合格域名(FQDN)標(biāo)識(shí)�����。FQDN能準(zhǔn)確表示出其相對(duì)于DNS 域樹(shù)根的位置�����,也就是節(jié)點(diǎn)到DNS 樹(shù)根的完整表述方式�����,從節(jié)點(diǎn)到樹(shù)根采用反向書(shū)寫(xiě),并將每個(gè)節(jié)點(diǎn)用“.”分隔�����,對(duì)于DNS 域google 來(lái)說(shuō)��,其完全正式域名(FQDN)
為google.com�。
例如,google為com域的子域�����,其表示方法為google.com�����,而www為google域中的子域����,可以使用www.google.com表示。
注意:通常���,F(xiàn)QDN 有嚴(yán)格的命名限制���,長(zhǎng)度不能超過(guò)256 字節(jié)�,只允許使用字符a-z,0-9,A-Z
和減號(hào)(-)�。點(diǎn)號(hào)(.)只允許在域名標(biāo)志之間(例如“google.com”)或者FQDN 的結(jié)尾使用。
域名不區(qū)分大小����。
由最頂層到下層,可以分成:根域�、頂級(jí)域、二級(jí)域���、子域����。
Internet 域名空間的最頂層是根域(root)����,其記錄著Internet 的重要DNS 信息�,由Internet域名注冊(cè)授權(quán)機(jī)構(gòu)管理,該機(jī)構(gòu)把域名空間各部分的管理責(zé)任分配給連接到Internet 的各個(gè)組織���。
“.”全球有13個(gè)根(root)服務(wù)器
DNS 根域下面是頂級(jí)域���,也由Internet 域名注冊(cè)授權(quán)機(jī)構(gòu)管理��。共有3 種類型的頂級(jí)域���。
組織域:采用3 個(gè)字符的代號(hào),表示DNS 域中所包含的組織的主要功能或活動(dòng)�。比如com 為商業(yè)機(jī)構(gòu)組織,edu 為教育機(jī)構(gòu)組織���,gov 為政府機(jī)構(gòu)組織�����,mil 為軍事機(jī)構(gòu)組織��,net 為網(wǎng)絡(luò)機(jī)構(gòu)組
織����,org 為非營(yíng)利機(jī)構(gòu)組織�����,int 為國(guó)際機(jī)構(gòu)組織����。
地址域:采用兩個(gè)字符的國(guó)家或地區(qū)代號(hào)��。如cn 為中國(guó)��,kr 為韓國(guó)���,us 為美國(guó)。
反向域:這是個(gè)特殊域��,名字為in-addr.arpa��,用于將IP 地址映射到名字(反向查詢)�����。
對(duì)于頂級(jí)域的下級(jí)域����,Internet 域名注冊(cè)授權(quán)機(jī)構(gòu)授權(quán)給Internet 的各種組織。當(dāng)一個(gè)組織獲得了對(duì)域名空間某一部分的授權(quán)后�����,該組織就負(fù)責(zé)命名所分配的域及其子域���,包括域中的計(jì)算機(jī)和其他設(shè)備��,并管理分配的域中主機(jī)名與IP 地址的映射信息�。
2��、區(qū)(Zone)
區(qū)是DNS 名稱空間的一部分���,其包含了一組存儲(chǔ)在DNS 服務(wù)器上的資源記錄�。
使用區(qū)的概念����,DNS 服務(wù)器回答關(guān)于自己區(qū)中主機(jī)的查詢,每個(gè)區(qū)都有自己的授權(quán)服務(wù)器���。
3�、主域名服務(wù)器與輔助域名服務(wù)器
當(dāng)區(qū)的輔助服務(wù)器啟動(dòng)時(shí)��,它與該區(qū)的主控服務(wù)器進(jìn)行連接并啟動(dòng)一次區(qū)傳輸�����,區(qū)輔助服務(wù)器定期與區(qū)主控服務(wù)器通信�,查看區(qū)數(shù)據(jù)是否改變���。如果改變了,它就啟動(dòng)一次數(shù)據(jù)更新傳輸����。
每個(gè)區(qū)必須有主服務(wù)器,另外每個(gè)區(qū)至少要有一臺(tái)輔助服務(wù)器��,否則如果該區(qū)的主服務(wù)器崩潰了��,就無(wú)法解析該區(qū)的名稱����。
輔助服務(wù)器的優(yōu)點(diǎn):
1)容錯(cuò)能力
配置輔助服務(wù)器后,在該區(qū)主服務(wù)器崩潰的情況下��,客戶機(jī)仍能解析該區(qū)的名稱�����。一般把區(qū)的主服務(wù)器和區(qū)的輔助服務(wù)器安裝在不同子網(wǎng)上�����,這樣如果到一個(gè)子網(wǎng)的連接中斷��,DNS 客戶機(jī)還能
直接查詢另一個(gè)子網(wǎng)上的名稱服務(wù)器。
2)減少?gòu)V域鏈路的通信量
如果某個(gè)區(qū)在遠(yuǎn)程有大量客戶機(jī)���,用戶就可以在遠(yuǎn)程添加該區(qū)的輔助服務(wù)器,并把遠(yuǎn)程的客戶機(jī)配置成先查詢這些服務(wù)器�,這樣就能防止遠(yuǎn)程客戶機(jī)通過(guò)慢速鏈路通信來(lái)進(jìn)行DNS 查詢。
3)減輕主服務(wù)器的負(fù)載
輔助服務(wù)器能回答該區(qū)的查詢����,從而減少該區(qū)主服務(wù)器必須回答的查詢數(shù)。
4�、DNS 相關(guān)概念
(1)DNS 服務(wù)器
運(yùn)行DNS 服務(wù)器程序的計(jì)算機(jī),儲(chǔ)存DNS 數(shù)據(jù)庫(kù)信息����。DNS 服務(wù)器會(huì)嘗試解析客戶機(jī)的查詢請(qǐng)求。
在解答查詢時(shí)��,如果DNS 服務(wù)器能提供所請(qǐng)求的信息����,就直接回應(yīng)解析結(jié)果,如果該DNS 服務(wù)器沒(méi)有相應(yīng)的域名信息�,則為客戶機(jī)提供另一個(gè)能幫助解析查詢的服務(wù)器地址,如果以上兩種方法均失敗�����,則回應(yīng)客戶機(jī)沒(méi)有所請(qǐng)求的信息或請(qǐng)求的信息不存在。
(2)DNS 緩存
DNS 服務(wù)器在解析客戶機(jī)請(qǐng)求時(shí)����,如果本地沒(méi)有該DNS 信息,則可以會(huì)詢問(wèn)其他DNS 服務(wù)器���,當(dāng)其他域名服務(wù)器返回查詢結(jié)果時(shí)�����,該DNS 服務(wù)器會(huì)將結(jié)果記錄在本地的緩存中�,成為DNS 緩存�����。
當(dāng)下一次客戶機(jī)提交相同請(qǐng)求時(shí)�,DNS 服務(wù)器能夠直接使用緩存中的DNS 信息進(jìn)行解析。
2)DNS查詢方式: 遞歸查詢和迭代查詢
看一個(gè)DNS查詢過(guò)程:
通過(guò)8個(gè)步驟的解析過(guò)程就使得客戶端可以順利訪問(wèn)www.163.com 這個(gè)域名���,但實(shí)際應(yīng)用中�,通常這個(gè)過(guò)程是非常迅速的
DNS查詢方式
<1> 客戶機(jī)提交域名解析請(qǐng)求�,并將該請(qǐng)求發(fā)送給本地的域名服務(wù)器�。
<2> 當(dāng)本地的域名服務(wù)器收到請(qǐng)求后���,就先查詢本地的緩存�����。如果有查詢的DNS 信息記錄,則直
接返回查詢的結(jié)果�����。如果沒(méi)有該記錄�,本地域名服務(wù)器就把請(qǐng)求發(fā)給根域名服務(wù)器。
<3> 根域名服務(wù)器再返回給本地域名服務(wù)器一個(gè)所查詢域的頂級(jí)域名服務(wù)器的地址���。
<4> 本地服務(wù)器再向返回的域名服務(wù)器發(fā)送請(qǐng)求��。
<5> 接收到該查詢請(qǐng)求的域名服務(wù)器查詢其緩存和記錄�,如果有相關(guān)信息則返回客戶機(jī)查詢結(jié)果����,否則通知客戶機(jī)下級(jí)的域名服務(wù)器的地址。
<6> 本地域名服務(wù)器將查詢請(qǐng)求發(fā)送給返回的DNS 服務(wù)器��。
<7> 域名服務(wù)器返回本地服務(wù)器查詢結(jié)果(如果該域名服務(wù)器不包含查詢的DNS 信息,查詢過(guò)程將重復(fù)<6>��、<7>步驟���,直到返回解析信息或解析失敗的回應(yīng))��。
<8> 本地域名服務(wù)器將返回的結(jié)果保存到緩存��,并且將結(jié)果返回給客戶機(jī)�����。
5�����、兩種查詢方式:
(1)遞歸查詢
遞歸查詢是一種DNS 服務(wù)器的查詢模式��,在該模式下DNS 服務(wù)器接收到客戶機(jī)請(qǐng)求��,必須使用一個(gè)準(zhǔn)確的查詢結(jié)果回復(fù)客戶機(jī)�。如果DNS 服務(wù)器本地沒(méi)有存儲(chǔ)查詢DNS信息��,那么該服務(wù)器會(huì)詢問(wèn)其他服務(wù)器,并將返回的查詢結(jié)果提交給客戶機(jī)�����。
(2)迭代查詢
DNS 服務(wù)器另外一種查詢方式為迭代查詢����,當(dāng)客戶機(jī)發(fā)送查詢請(qǐng)求時(shí),DNS 服務(wù)器并不直接回復(fù)查詢結(jié)果���,而是告訴客戶機(jī)另一臺(tái)DNS 服務(wù)器地址,客戶機(jī)再向這臺(tái)DNS 服務(wù)器提交請(qǐng)求�,依次循環(huán)直到返回查詢的結(jié)果為止。
正向解析與反向解析
1)正向解析
正向解析是指域名到IP 地址的解析過(guò)程��。
[root@ken ~]# ping www.baidu.com
PING www.a.shifen.com (119.75.217.109) 56(84) bytes of data.
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=1 ttl=54 time=4.84 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=2 ttl=54 time=5.81 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=3 ttl=54 time=6.79 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=4 ttl=54 time=8.14 ms
64 bytes from 119.75.217.109 (119.75.217.109): icmp_seq=5 ttl=54 time=5.73 ms
2)反向解析
反向解析是從IP 地址到域名的解析過(guò)程�����。反向解析的作用為服務(wù)器的身份驗(yàn)證�。
http://dns.aizhan.com/
7、DNS資源記錄
1)SOA 資源記錄
每個(gè)區(qū)在區(qū)的開(kāi)始處都包含了一個(gè)起始授權(quán)記錄(Start of Authority Record),簡(jiǎn)稱SOA 記錄�。
SOA 定義了域的全局參數(shù),進(jìn)行整個(gè)域的管理設(shè)置����。一個(gè)區(qū)域文件只允許存在唯一的SOA 記錄�����。
2)NS 資源記錄
NS(Name Server)記錄是域名服務(wù)器記錄�,用來(lái)指定該域名由哪個(gè)DNS服務(wù)器來(lái)進(jìn)行解析��。每個(gè)區(qū)在區(qū)根處至少包含一個(gè)NS 記錄�����。
3)A 資源記錄
地址(A)資源記錄把FQDN 映射到IP 地址���。 因?yàn)橛写擞涗?�,所以DNS服務(wù)器能解析FQDN域名對(duì)應(yīng)的IP 地址���。
4)PTR 資源記錄
相對(duì)于A 資源記錄,指針(PTR)記錄把IP地址映射到FQDN����。 用于反向查詢,通過(guò)IP地址���,找到域名�。
5)CNAME 資源記錄
別名記錄(CNAME)資源記錄創(chuàng)建特定FQDN 的別名。用戶可以使用CNAME 記錄來(lái)隱藏用戶網(wǎng)絡(luò)的實(shí)現(xiàn)細(xì)節(jié)��,使連接的客戶機(jī)無(wú)法知道真正的域名����。
6)MX 資源記錄
郵件交換(MX)資源記錄,為DNS 域名指定郵件交換服務(wù)器���。
郵件交換服務(wù)器是為DNS 域名處理或轉(zhuǎn)發(fā)郵件的主機(jī)�。處理郵件指把郵件投遞到目的地或轉(zhuǎn)交另一不同類型的郵件傳送者��。轉(zhuǎn)發(fā)郵件指把郵件發(fā)送到最終目的服務(wù)器��,用簡(jiǎn)單郵件傳輸協(xié)議SMTP 把郵件發(fā)送給離最終目的地最近的郵件交換服務(wù)器����,或使郵件經(jīng)過(guò)一定時(shí)間的排隊(duì)��。
以上是相關(guān)概念����。
模式: C/S 模式
資源記錄的通用格式
name [time] IN type value
name:要解析的目標(biāo)主機(jī)的名稱
time:解析結(jié)果的緩存時(shí)間
IN:關(guān)鍵詞
type:資源記錄類型
value:將目標(biāo)主機(jī)解析到哪個(gè)地址
例子:
www 86400 IN A 1.2.3.4
2、端口
[root@ken~]# vim /etc/services
端口:
tcp/53 udp/53 #用于客戶端查詢
tcp/953 udp/953 #用于DNS主從同步
BIND 簡(jiǎn)介
BIND 全稱為Berkeley Internet Name Domain(伯克利因特網(wǎng)名稱域系統(tǒng))。BIND 主要有三個(gè)版
本:BIND4���、BIND8�、BIND9���。
BIND8 融合了許多提高效率����、穩(wěn)定性和安全性的技術(shù)���,而B(niǎo)IND9 增加了一些超前的理念:IPv6支持�、密鑰加密�����、多處理器支持�、線程安全操作、增量區(qū)傳送等等��。
部署DNS
主配置文件(/etc/named.conf):只有58行�����,而且在去除注釋信息和空行之后,實(shí)際有效的參數(shù)僅有30行左右���,這些參數(shù)用來(lái)定義bind服務(wù)程序的運(yùn)行����。
區(qū)域配置文件(/etc/named.rfc1912.zones):用來(lái)保存域名和IP地址對(duì)應(yīng)關(guān)系的所在位置�。類似于圖書(shū)的目錄,對(duì)應(yīng)著每個(gè)域和相應(yīng)IP地址所在的具體位置��,當(dāng)需要查看或修改時(shí)���,可根據(jù)這個(gè)位置找到相關(guān)文件����。
數(shù)據(jù)配置文件目錄(/var/named):該目錄用來(lái)保存域名和IP地址真實(shí)對(duì)應(yīng)關(guān)系的數(shù)據(jù)配置文件�����。
第一步:下載bind
[root@ken ~]# yum install bind bind-utils -y
bind #該包為DNS 服務(wù)的主程序包��。
bind-utils #該包為客戶端工具�,默認(rèn)安裝���,用于搜索域名指令
第二步:編輯/etc/named.conf文件
[root@ken ~]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// See the BIND Administrator's Reference Manual (ARM) for details about the
// configuration located in /usr/share/doc/bind-{version}/Bv9ARM.html
options {
listen-on port 53 { any; }; #修改為any
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; }; #修改為any
/*
...
第一處修改為any表示:服務(wù)器上的所有IP地址均可提供DNS域名解析服務(wù)
第二處修改為any表示:允許所有人對(duì)本服務(wù)器發(fā)送DNS查詢請(qǐng)求
第三步:修改區(qū)域配置文件
[root@ken ~]# cat /etc/named.rfc1912.zones
// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and http://www.ietf.org/internet-drafts/draft-ietf-dnsop-default-local-zones-02.txt
// (c)2007 R W Franks
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
zone "ken.com" IN {
type master;
file "ken.com.zone";
allow-update { none; };
};
第四步:編輯數(shù)據(jù)配置文件
可以從/var/named目錄中復(fù)制一份正向解析的模板文件(named.localhost)���,然后把域名和IP地址的對(duì)應(yīng)數(shù)據(jù)填寫(xiě)數(shù)據(jù)配置文件中并保存�����。在復(fù)制時(shí)記得加上-a參數(shù)�����,這可以保留原始文件的所有者�����、所屬組��、權(quán)限屬性等信息��,以便讓bind服務(wù)程序順利讀取文件內(nèi)容
[root@ken ~]# cp -a /var/named/named.localhost /var/named/ken.com.zone
第五步:配置數(shù)據(jù)配置文件
[root@ken ~]# cat /var/named/ken.com.zone
$TTL 1D #生存周期為1天
@ IN SOA @ rname.invalid. (
#授權(quán)信息開(kāi)始 #DNS區(qū)域的地址 #管理員郵箱 0 ; serial #更新序列號(hào)
1D ; refresh #更新時(shí)間
1H ; retry #重試時(shí)間
1W ; expire #失效時(shí)間
3H ) ; minimum #無(wú)效解析記錄的緩存時(shí)間
NS @ #域名服務(wù)器記錄
A 127.0.0.1 #地址記錄
www IN A 192.168.4.190
bbb IN A 192.168.4.190
mail IN A 192.168.4.190
第六步:重啟服務(wù)
[root@ken ~]# systemctl restart named
第七步:修改網(wǎng)卡配置文件中的DNS為本機(jī)IP地址
[root@ken ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE="eth0"
ONBOOT=yes
NETBOOT=yes
BOOTPROTO=static
TYPE=Ethernet
IPADDR=192.168.4.190
NETMASK=255.255.255.0
GATEWAY=192.168.4.1
DNS1=192.168.4.190 #DNS地址修改為本機(jī)地址
第八步:重啟網(wǎng)絡(luò)
[root@ken ~]# systemctl restart network
第九步:測(cè)試
[root@ken ~]# nslookup
> www.ken.com
Server: 192.168.4.190
Address: 192.168.4.190#53
Name: www.ken.com
Address: 192.168.4.190
> bbb.ken.com
Server: 192.168.4.190
Address: 192.168.4.190#53
Name: bbb.ken.com
Address: 192.168.4.190
> mail.ken.com
Server: 192.168.4.190
Address: 192.168.4.190#53
Name: mail.ken.com
Address: 192.168.4.190
> wa.ken.com
Server: 192.168.4.190
Address: 192.168.4.190#53
** server can't find wa.ken.com: NXDOMAIN
