DNS建置与维护

# A simple BIND 8 configuration logging { channel SEC_log { file “/var/log/dns-security.log” versions 3 size 10m; severity info; }; category security { SEC_log; }; category lame-servers { null; }; }; acl NTU-Campus { localhost; 140.112.0.0/16; } options { directory "/var/named"; allow-query { NTU-Campus; }; allow-recursion { NTU-Campus; }; allow-transfer { none; }; };
DNS簡介
DNS的前身—hosts.txt—not scalable Hierarchical vs. Flat name space
使用者 2. .tw 名稱伺服 器 3. 140.112.2.3 TCP 5. 140.112.2.3 IP 1. user@.tw 郵件程式 4. 140.112.2.3
com edu gov mil net org int
商業組織，如IBM（） 教育組織，如柏克萊大學（） 政府單位，如NASA（）及國家科學基 金會（） 軍事單位，如美國陸軍（）及海軍 （） 網路組織，如NSFNET（） 非營利性組織，如美國國家公園 （） 國際性組織，如NATO（nato.int）
// 可能是其他secondary name server
DNS Resource Records
– 從/products/BIND/下載 – 解壓縮 zcat bind-src.tar.gz | tar xf – – Compile :
./configure make
– 啟動 /usr/sbin/named（通常設定檔預設位置是 /etc/named.conf） – 啟動時指定設定檔位置
"" IP address 15.16.192.152 arpa in-addr 0 15 0 255 255
16 255 192
0
0 152
255
hostname
Caching機制
在name resolution過程中得知的zone authorization資訊會被cache下來 縮短name resolution的程序 Negative caching Zone data的TTL
ntu
cc
ee
me
ccie
mse
ntu domain
名稱伺服器的種類
Primary server
– 從檔案讀取zone data – Authoritative for zones in charge
Secondary server
– 從另一個負責該zone的name server取得zone data – Authoritative for zones in charge
DNS建置與維護
台灣大學計資中心
邵喻美
madeline@.tw
2010/9/7
Outline
DNS概念 BIND介紹 實例解說
Part I
DNS 概念
DNS概念
DNS簡介 DNS運作原理 DNS建置與規劃
Domian Name Service
IP位址 vs. 主機名稱 應用程式與底層網路間的middleware 最基本的網路應用程式 user-friendly vs. router-friendly
設定行及註解
– 設定行以分號結束 – 註解以#或//為行首
設定行選項
acl
– 定義一個IP位址表列，用於存取控制及其他用途
logging
– 指定name server將記錄何種資訊，以及儲存於何 處
options
– 控制全面性的server設定選項，並設定其他控制行 的預設值
zone
– 定義zone data
nctu
授權（Delegate）
– 將domain劃分為sub-domain並將管理權責 交給其他組織
Zone
– Name server管理domain name space中某 部分的完整資訊 – 以授權劃分範圍
""
edu tw com
edu edu.tw Zone ntu nctu .tw Zone nsysu .tw Zone edu.tw Domain delegation
edu Zone berkeley edu Zone =delegation
Байду номын сангаасcc
ce
cs
me me.berkeley. edu Zone
cc.berkeley. ce.berkeley. ce.berkeley. edu Zone edu Zone edu Zone
ntu zone
"" "" name server
tw name server
tw
jp
uk
name server
edu.tw name server
edu
com
.tw name server
ntu nctu
nccu
resolver
1. Name server A receives a query from the resolver 2. A queries B 3. B refers A to other name servers, including C 4. A queries C 5. C refers A to other name servers, including D 6. A queries D 7. D answers 8. A returns answer to resolver
BIND安裝
下載BIND
– ISC Bind最新版是9.2.1(released on May 1, 2002)，但BIND 8仍被廣泛使用（最新版是8.3.2, released on June 19, 2002） – 支援中文的dns : .tw
安裝BIND
coop biz aero
企業或公司(http://www.nic.coop) 商業用途（已於6/21/2001正式啟用, ） 航空運輸業(已於3/18/2002開始服務, www.nic.aero)
museu 博物館(http://www.nic.museum) m 所有使用者（已於6/21/2001正式啟用, ） Info pro name 專門職業(http://www.nic.pro) 供個人名稱之用，如筆名()
B
3. referal 2. query 4. query 6. query 7. answer
C
5. referal
A
1. query 8. answer
D
resolver
Reverse Query
Mapping addresses to names Domain name space以domain name為 index in-addr.arpa domain : 以address為node label
DNS建置與規劃
軟體架設平台 硬體配置
– 記憶體 – 網路卡
配合網路架構架設DNS 多台DNS供backup
Part II
BIND介紹
BIND介紹
ISC BIND (Berkeley Internet Name Domain) BIND安裝 BIND設定 DNS Resource Records
/usr/sbin/named –c /somewhereelse/named.conf
BIND設定
設定檔 named.conf 定義負責區域（zone）及運作設定
– access control list – categorized logging – Options can applied to zones selectively
Domain
– A subtree in domain name space – 包含所有領域名稱屬於該領域的主機 – 一個領域名稱可屬於多個領域
"" tw com edu ntu cc .tw 領域 edu.tw 領域 .tw 領域 or .tw主機 com gov edu
Name server除了回答負責區域內的資料 外，也可在整個domain name space中 找尋其他區域的資料 Recursive resolution
– Server必須提供查詢結果
Iterative resolution
– Server只提供已知的最佳答案
query for address of .tw referal to tw name server query for address of .tw referal to edu.tw name server query for address of .tw referal to .tw name server resolver query answer query for address of .tw address of .tw
/ usr etc bin system local etc
DNS database tw edu ntu cc john
""
UNIX Filesystem usr
/
local bin imake
.tw
/usr/local/bin/imake
DNS運作原理
Domain Name Space
Caching-only server
– lookuping up data and caching them – Not authoritative for any domains (except 0.0.127.in-addr.arpa) zone transfer
Name Resolution
DNS架構
大型分散式資料庫
– 複製與快取
主從式架構
– 名稱伺服器（domain name server） – 解析程式（resolver）
結構類似於Unix檔案系統
– Inverted tree
DNS Database com edu
""
gov
mil
UNIX filesystem etc bin bin
// for BIND 9
zone ".tw" in { type master; file "master/dns.ntu"; allow-query { any; }; allow-transfer { …; }; }; zone ".tw” in { type slave; file "slave/"; masters { 140.112.1.1; }; allow-query { any; }; }; zone "." in { type hint; file "named.cache"; }; zone "0.0.127.in-addr.arpa" in { type master; file "master/127.0.0"; };
– The inverted tree – Internet Domain Name Space – gTLD (generic Top-Level Domain)
Domain Name
– The path of an inverted tree : from leaf to root – Fully Qualified Domain Name (FQDN)