3-10DNS子域授权

• 说明
• 3.10.1配置子域授权
• 3.10.2递归/迭代查询

本节主要介绍DNS的子域授权及配置，介绍DNS递归查询和迭代查询的过程和配置方法

一、子域授权介绍
-适用于同一个DNS组织
-父/子域的解析工作由不同的DNS服务器负责
-父DNS服务器应该有为子域迭代的能力

二、启用子域授权

虚拟机B（开启虚拟机B的DNS服务）
[root@pc207 ~]# yum -y install bind bind-chroot.x86_64  #安装DNS的软件包
[root@pc207 ~]# vim /etc/named.conf 
options {
        directory       "/var/named";
};
zone "bj.tedu.cn" IN {
        type master;
        file "bj.tedu.cn.zone"; #为方便区分父子域，使用此域名
};
[root@pc207 ~]# named-checkconf /etc/named.conf  #检查主配置文件
[root@pc207 ~]# cd /var/named/  #切换到地址库文件目录
[root@pc207 named]# cp -p named.localhost bj.tedu.cn.zone #复制地址库模板文件
[root@pc207 named]# vim bj.tedu.cn.zone  #修改地址库文件
$TTL 1D
@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
bj.tedu.cn.    NS       pc207
pc207          A        192.168.4.207
www            A        9.9.9.9
:wq
[root@pc207 ~]# named-checkzone bj.tedu.cn /var/named/bj.tedu.cn.zone #检查地址库文件是否正确
zone bj.tedu.cn/IN: loaded serial 0
OK

[root@pc207 ~]# systemctl start named #重启DNS服务
[root@pc207 ~]# echo nameserver 192.168.4.7 > /etc/resolv.conf  #修改虚拟机B的DNS为192.168.4.7，让192.168.4.7变成虚拟机B的首选DNS服务器地址

虚拟机A（开启子域授权，告知虚拟机A，虚拟机B是专门维护bj.tedu.cn的DNS服务器）
[root@svr7 named]# vim tedu.cn.zone #修改虚拟机A的地址库文件，开启虚拟机A对虚拟机B的子域授权
$TTL 1D
@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
tedu.cn.        NS    svr7
bj.tedu.cn.      NS    pc207  
pc207          A     192.168.4.207
svr7           A     192.168.4.7
:wq

[root@svr7 ~]# named-checkzone tedu.cn /var/named/tedu.cn.zone #检查地址文件是否正确
zone tedu.cn/IN: loaded serial 0
OK

[root@svr7 named]# systemctl restart named #重启DNS服务

注意：
子域授权是默认开启递归查询的

一、递归查询
客户端发送请求给首选DNS服务器，首选DNS服务器与其他的DNS服务器交互，最终将解析结果带回来的过程，递归查询是默认开启的

二、开启递归查询

虚拟机B（开启虚拟机B的DNS服务）
[root@pc207 ~]# yum -y install bind bind-chroot.x86_64  #安装DNS的软件包，部署DNS服务
[root@pc207 ~]# vim /etc/named.conf  #修改主配置文件
options {
        directory       "/var/named";
};
zone "bj.tedu.cn" IN {
        type master;
        file "bj.tedu.cn.zone";
};
[root@pc207 ~]# named-checkconf /etc/named.conf  #检测主配置文件
[root@pc207 ~]# cd /var/named/ #进入地址库文件目录
[root@pc207 named]# cp -p named.localhost bj.tedu.cn.zone #复制地址库文件模板
[root@pc207 named]# vim bj.tedu.cn.zone #修改地址库文件
$TTL 1D
@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
bj.tedu.cn.    NS       pc207
pc207        A        192.168.4.207
www         A        9.9.9.9
:wq
[root@pc207 ~]# named-checkzone bj.tedu.cn /var/named/bj.tedu.cn.zone #检查地址库文件是否正确

[root@pc207 ~]# systemctl start named #重启DNS服务
[root@pc207 ~]# echo nameserver 192.168.4.7 > /etc/resolv.conf #修改虚拟机B的首选DNS

虚拟机A（开启子域授权，告知虚拟机A，虚拟机B是专门维护bj.tedu.cn的DNS服务器）
[root@svr7 named]# vim tedu.cn.zone #修改地址库文件
$TTL 1D
@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
tedu.cn.        NS    svr7
bj.tedu.cn.     NS    pc207  
pc207         A     192.168.4.207
svr7           A     192.168.4.7
:wq
[root@svr7 ~]# named-checkzone tedu.cn /var/named/tedu.cn.zone #检查地址文件是否正确
[root@svr7 named]# systemctl restart named #重启DNS服务

虚拟机B
[root@pc207 ~]# nslookup www.bj.tedu.cn #查询www.bj.tedu.cn服务器的IP地址
Server:		192.168.4.7
Address:	192.168.4.7#53

Non-authoritative answer: #非权威回答，因为首选DNS没有该域名，去找的pc207去要的这个解析结果，所以属于非权威回答
Name:	www.bj.tedu.cn
Address: 9.9.9.9

三、禁止递归查询

虚拟机A
[root@svr7 ~]# vim /etc/named.conf #修改主配置文件
options {
        directory       "/var/named";
        recursion no;  #禁止DNS进行递归查询，yes表示允许，默认是yes状态
};

zone "tedu.cn" IN {
        type master;
        file "tedu.cn.zone";
};
[root@svr7 ~]# named-checkconf /etc/named.conf #检查主配置文件是否书写正确
[root@svr7 ~]# systemctl restart named #重启DNS服务

虚拟机B
[root@pc207 ~]# nslookup www.bj.tedu.cn #解析www.bj.tedu.cn的域名，就无法解析到了
Server:		192.168.4.7
Address:	192.168.4.7#53

Non-authoritative answer:
*** Can't find www.bj.tedu.cn: No answer

四、迭代查询
客户端发送请求给首选DNS服务器，首选DNS服务器告知下一个服务器的IP地址

说明
当递归查询被禁止后，就会使用迭代查询的方式，使用dig命令，可以看到告知的服务器的地址

[root@pc207 ~]# dig www.bj.tedu.cn #查询首选服务器将www.bj.tedu.cn的域名迭代的IP地址
，使用dig命令
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> www.bj.tedu.cn
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16024
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.bj.tedu.cn.			IN	A

;; AUTHORITY SECTION:
bj.tedu.cn.		86400	IN	NS	pc207.tedu.cn.  

;; ADDITIonAL SECTION:
pc207.tedu.cn.		86400	IN	A	192.168.4.207  #迭代查询的IP地址

;; Query time: 1 msec
;; SERVER: 192.168.4.7#53(192.168.4.7)
;; WHEN: Sat Oct 09 10:35:04 PDT 2021
;; MSG SIZE  rcvd: 79

五、DNS的工作方式