相校於由數字構成的IP 地址，域名更容易被理解和記憶，所以我們通常更習慣通過域名的方式來訪問網路中的資源。但是，網路中的計算機之間只能基於IP 地址來相互識別對方的身份，而且想要在網際網路中傳輸資料，也必須基於外網的IP 地址來完成。

        為了降低使用者訪問網路資源的門檻，DNS（Domain Name System，域名系統）技術應運而生。這是一項用於管理和解析域名與IP 地址對應關係的技術，簡單來說，就是能夠接受使用者輸入的域名或IP 地址，然後自動查詢與之匹配（或者說具有對映關係）的IP 地址或域名，即將域名解析為IP 地址（正向解析），或將IP 地址解析為域名（反向解析）。這樣一來，我們只需要在瀏覽器中輸入域名就能開啟想要訪問的網站了。DNS 域名正向解析也是我們最長使用的一種工作模式。

一、Bind 域名解析服務搭建

        BIND（Berkeley Internet Name Domain，伯克利因特網名稱域）服務時全球範圍內使用最廣泛、最安全可靠且高效的域名解析服務程式。DNS 域名解析服務作為網際網路基礎設施服務，其責任之重可想而知，因此建議在生產環境中安裝部署bind 服務程式時加上chroot（俗稱牢籠機制）擴充套件包，以便有效地限制bind 服務程式僅能對自身的配置檔案進行操作，以確保整個伺服器的安全。

1. 將真機作為路由器，使虛擬機器能夠上網

檢視真機防火牆資訊

將真機路由功能開啟，為虛擬機器充當路由器

然後開啟真機的路由分發功能

配置虛擬機器網絡卡與連線檔案，設定閘道器為真機ip 地址，同時設定域名解析服務地址

然後重啟網路生效，此時虛擬機器即可上網

2. 配置yum 源，安裝Bind 服務相應軟體，並啟動服務

第一次啟動Bind 服務時需要輸入一些字元

關閉虛擬機器防火牆

3. 修改服務的配置檔案

其中，listen-on port 53 { any; }; 為控制named 服務監聽的ipv4 地址

allow-query { any; }; 為控制哪些客戶端可以向DNS 伺服器詢問資訊

forwarders { 114.114.114.114; }; 為外部域名解析伺服器地址

dnssec-validation no; 為無需對DNS 進行檢測

重啟服務生效

4. 測試

在客戶端更改域名解析服務的地址為，已經配置好域名解析DNS 服務的地址

同時在服務端也將域名解析服務的地址改為服務端的ip 地址

然後詢問一個網址，進行測試

然後再次詢問相同的網址會發現，時間減少為0，這說明伺服器將先前詢問過的域名資訊進行儲存，當再次詢問時，直接訪問伺服器已經儲存過的資訊，不會再去外網獲取資訊，這樣就會節省大量的時間，因此稱其為快取記憶體DNS 伺服器

二、DNS 本地正向解析

1. 註釋forwarders { 114.114.114.114; }; 使詢問本地域名時，不會去外網詢問

2. 新增自己所需要維護的域名空間資訊

設定域名，同時設定域名空間的配置檔名

3. 建立域名空間檔案

將已有的檔案複製為新的域名空間檔案，同時要複製相應的許可權，否則域名服務無法訪問或修改檔案資訊

4. 編輯域名空間檔案

其中@ 為先前設定的“westos.com” 域名，SOA 後為域名授權起始主機，如果域名後有“.” 說明不會補充“westos.com” 域名，若沒有“.” ，則會自動補充

重啟服務

5. 測試

對本地域名進行詢問

三、輪詢

1. 域名轉換

編輯資料配置檔案

其中，CNAME 可將規範名稱轉換為非規範名稱

然後重啟服務，測試

再次測試時，會發現ip 地址會調換位置

四、郵件地址解析

1. 編輯資料配置檔案

在檔案中加入郵箱地址交換記錄

其中，MX 代表郵箱交換記錄，數字10代表優先順序

也可寫成如下形式

2. 重啟服務，併發郵件進行測試

其中，利用mail 命令向某個域名的某個使用者發郵件，“. ”代表郵件結束

再利用mail 命令檢視本地使用者的郵件，若為空，說明發送成功

檢視郵件佇列，可以看到先前傳送的郵件

3. 詢問郵箱地址交換記錄

五、DNS 本地反向解析

        在DNS 域名解析服務中，反向解析的作用時將使用者提交的IP 地址解析為對應的域名資訊，它一般用於對某個IP 地址上繫結的所有域名進行整體遮蔽，遮蔽由某些域名傳送的垃圾郵件。它也可以針對某個IP 地址進行反向解析，大致判斷出有多少個網站執行在上面。當購買虛擬主機時，可以使用這一功能驗證虛擬主機提供商是否有嚴重的超售問題。

1. 編輯區域配置檔案

在49行應該將域名所在地址網路位反寫，51行寫出反向解析資料配置檔名

2. 編輯反向解析資料配置檔案

首先複製一份反向解析的模板檔案，同時還要複製其原有的許可權資訊

在配置檔案中加入反向解析的記錄

3. 重啟服務並測試

六、分離解析技術

        該技術可以讓位於不同地理範圍內的使用者通過訪問相同的網址，而從不同的伺服器獲取到相同的資料。

1. 在服務端配置另一個IP 地址，同時在另一臺客戶端配置統一網段的IP 地址

重啟網路檢視多個ip 地址

在另一臺客戶端配置同一網段的ip 地址，使DNS服務指向服務端地址

2. 編輯內部網路（1.1.1.0/24網段）的資料配置檔案

複製已有模板及其許可權

編輯資料配置檔案，替換原有網路位

3. 編輯內部網路的區域配置檔案

複製已有模板及其許可權

編輯區域配置檔案，使檔案指向剛才建立的內部網路的資料配置檔案

4. 編輯主配置檔案，使不同網路詢問時，回答不同的結果

當客戶端地址為（1.1.1.0/24）網段內時，區域配置檔案指向inter，其他客戶端則指向zones

5. 重啟服務並測試

在內部網路內詢問

在其他網路內詢問

七、部署從屬伺服器

1. 恢復主配置檔案，並配置另一臺虛擬機器的ip 地址

2. 在另一臺虛擬機器中安裝bind 服務軟體，使其充當從屬伺服器

設定從屬伺服器主機名稱

配置從屬伺服器主配置檔案

3. 編輯從屬伺服器區域配置檔案

設定其主伺服器ip 地址，同時設定其資料配置檔名（該檔案從主伺服器自動獲取，無需建立）

然後啟動服務

編輯域名服務配置檔案，使地址指向本機

測試

當主伺服器資料配置檔案更改時，從屬伺服器資訊無法同步，需要將從屬伺服器資料配置檔案刪除，然後重啟服務才能同步

4. 主從伺服器同步

在主伺服器中，配置區域配置檔案，allow-transfer 為允許傳輸區域資訊到某伺服器上，also-notify 為當主伺服器資訊變化時自動通知某伺服器

此時主伺服器資訊變更時，只需更改主伺服器資料配置檔案的更新序列號，然後重啟主伺服器服務即可和從屬伺服器同步

注：serial 為更新序列號，只要該序列號在主從伺服器中不一致，即可更新資訊

八、遠端更新主伺服器記錄

1. 備份主伺服器的資料配置檔案

2. 修改主伺服器區域配置檔案

其中，allow-update 為允許哪臺主機更新

然後重啟服務

並更改主伺服器資料配置檔案目錄的許可權，使得named 組可以對該目錄進行修改

3. 在被允許更新的主機上進行測試

當主伺服器的selinux 開啟時，需要開啟named 服務的寫開關，此能遠端更新主伺服器資訊

在被允許更新的主機上更新資訊

然後詢問剛才新增的記錄

在主伺服器上重啟服務，即可檢視資料配置檔案中更新了記錄

九、加密更新

1. 刪除已有的資料配置檔案，並從備份檔案複製

2. 對資料配置檔案進行加密

檢視生成的金鑰檔案

3. 複製已有的金鑰模板檔案

修改名稱和加密字元

4. 修改服務主配置檔案

同時，修改區域配置檔案，使只有擁有westoskey 鑰匙的使用者才能更新資訊

5. 傳送金鑰檔案至需要更跟新主伺服器資訊的主機處

6. 在獲得金鑰檔案的主機上進行測試

檢視主伺服器資料配置檔案

十、動態域名解析（花生殼）

1. 在主伺服器上安裝dhpc 服務軟體並配置服務

複製已有的配置模板檔案

編輯dhcp 服務配置檔案，設定域名和域名解析服務的地址

其中，ddns-update-style interim; 為可以使得dns 動態更新

設定網路位、子網掩碼、非配的ip 地址範圍和閘道器地址

並在最後加入金鑰資訊

同時加入要更新的dns的域資訊

然後儲存退出，啟動dhcp 服務

2. 修改客戶端網路配置

使其網路分配方式為dhcp 自動分配

檢視分配到的ip 地址

3. 測試

在一臺主機上，設定主機名為：xxx. 域名. com

然後詢問該主機名看 解析到的地址

重新設定dhcp 服務的ip 地址分配範圍

然後重啟客戶端主機網路

檢視網路，並檢視解析