DNS 服务器学习笔记:核心总结与实验指南 📌 一、文章核心重点总结 1. DNS 基础知识 什么是 DNS? DNS(Domain Name System,域名系统)是互联网的“电话簿”,负责将人类易记的域名(如www.baidu.com)转换为机器可读的 IP 地址(如110.242.68.66)。
DNS 三大组成部分 组件 说明 域名 主机的字符标识方式,例如www.google.com 域名解析服务器 存储域名与 IP 映射关系的数据库服务器 分布式系统 没有单点故障,每个服务器只保存部分映射记录
DNS 查询的两种方式 查询类型 别称 工作方式 发起方 接收方 递归查询 “甩锅式” 客户端只发一次请求,DNS 服务器负责查到底 客户端 本地 DNS 服务器 迭代查询 “跑腿式” 客户端依次询问多个 DNS 服务器,自己跑完全程 本地 DNS 服务器 根/顶级/权威 DNS 服务器
🌟实际互联网流程 :客户端 → 本地DNS(递归)→ 根/顶级/权威(迭代)→ 返回结果
2. DNS 层次结构与术语 根域 (.) ├── 顶级域 (TLD) │ ├── .com (通用顶级域 gTLD) │ ├── .cn (国家代码顶级域 ccTLD) │ └── .org └── 二级域 (如 laogao.cloud) └── 子域 (如 lab.laogao.cloud)术语 含义 Domain DNS 命名空间的整个子树 Subdomain 另一个域的完整子树 Zone 特定名称服务器直接负责的域(可委派子域)
3. DNS 资源记录类型详解 资源记录通用模板 owner-name TTL class type data server.laogao.cloud. 300 IN A 192.168.1.10常用记录类型速查表 类型 用途 示例 A 域名 → IPv4 地址 server.laogao.cloud. IN A 172.25.254.254AAAA 域名 → IPv6 地址 a.root-servers.net. IN AAAA 2001:503:ba3e::2:30CNAME 别名指向规范名称 www-dev IN CNAME lab.laogao.cloud.PTR IP → 域名(反向解析) 10.1.8.10.in-addr.arpa. IN PTR dns.laogao.cloud.NS 指定权威名称服务器 laogao.cloud. IN NS dns.laogao.cloud.SOA 起始授权机构,区域运行信息 包含序列号、刷新时间等 MX 邮件交换服务器 laogao.cloud. IN MX 10 mail.laogao.cloud.TXT 任意文本(验证、SPF等) "v=spf1 mx -all"SRV 服务定位 _ldap._tcp.laogao.cloud. IN SRV 0 100 389 server0
4. 常用 DNS 客户端命令 命令 功能 示例 ping测试连通性并显示解析 IP ping www.huawei.comipconfig/displaydns查看 Windows DNS 缓存 ipconfig/displaydns | findstr huaweiipconfig/flushdns清空 Windows DNS 缓存 ipconfig/flushdnswhois查询域名注册信息 whois qq.comhost简单 DNS 查询 host -t NS huawei.comdig强大的 DNS 调试工具 dig +short www.qq.comnslookup交互/非交互式查询 nslookup www.qq.com 114.114.114.114getent按系统顺序解析主机名 getent hosts student.laogao.cloud
🧪 二、实验部分详细指南 实验拓扑规划 主机名 IP 地址 角色 dns-server10.1.8.10/24 权威名称服务器 (BIND) dns-client10.1.8.11/24 DNS 客户端 cache-server10.1.8.20/24 缓存名称服务器 (可选 Unbound/Dnsmasq)
实验一:搭建 BIND 权威名称服务器 步骤 1:安装 BIND 软件包 # 在 dns-server 上执行 [ root@dns-server ~] # yum install -y bind bind-utils # 软件包说明: # bind - DNS 服务端主程序 # bind-utils - DNS 客户端工具集(dig, nslookup, host) 步骤 2:编辑主配置文件/etc/named.conf [ root@dns-server ~] # vim /etc/named.conf # 定义访问控制列表(给 IP 段起别名) acl trusted-nets{ 10.1 .8.0/24; # 允许局域网段 127.0 .0.1; # 允许本机 } ; options{ # 监听哪些 IP 地址的 53 端口 listen-on port53 { 127.0 .0.1; 10.1 .8.10; } ; listen-on-v6 port53 { ::1; } ; # 允许所有主机查询(权威服务器必须开放) allow-query{ any; } ; # 只允许可信网段递归查询 recursionyes ; allow-recursion{ trusted-nets; } ; # 限制区域传输(防止数据泄露) allow-transfer{ none; } ; # 关闭 DNSSEC 验证(实验环境简化) dnssec-enable no; dnssec-validation no; } ; # 定义正向解析区域 zone"laogao.cloud" { type master; # 主服务器角色 file "laogao.cloud.zone" ; # 区域文件路径(相对于 /var/named) } ; # 定义反向解析区域(10.1.8.0/24 网段) zone"8.1.10.in-addr.arpa" { type master; file "10.1.8.zone" ; } ; 步骤 3:创建正向区域文件/var/named/laogao.cloud.zone [ root@dns-server ~] # touch /var/named/laogao.cloud.zone [ root@dns-server ~] # vim /var/named/laogao.cloud.zone $TTL 3600 # 默认缓存时间 1 小时 @ IN SOA dns.laogao.cloud. root.laogao.cloud.( 2025010101 ; Serial# 序列号,每次修改必须增大 1D; Refresh# 从服务器刷新间隔 1 天 1H; Retry# 刷新失败重试间隔 1 小时 1W; Expire# 数据过期时间 1 周 3H; Minimum# 否定缓存时间 3 小时 ) @ IN NS dns.laogao.cloud.# 指定权威 NS 记录 ; A 记录(域名 → IPv4) dns IN A10.1 .8.10# DNS 服务器自身 server IN A10.1 .8.10# 通用服务器别名 client IN A10.1 .8.11# 客户端 www IN A10.1 .8.200# 网站服务器 mail IN A10.1 .8.253# 邮件服务器 ; CNAME 记录(别名) student IN CNAME client.laogao.cloud.# student 是 client 的别名 ; MX 记录(邮件交换器,数字越小优先级越高) @ IN MX10 mail.laogao.cloud.步骤 4:创建反向区域文件/var/named/10.1.8.zone [ root@dns-server ~] # vim /var/named/10.1.8.zone $TTL 1D @ IN SOA dns.laogao.cloud. root.laogao.cloud.( 2025010101 ; Serial 1D; Refresh 1H; Retry 1W; Expire 3H; Minimum) @ IN NS dns.laogao.cloud.; PTR 记录(IP → 域名),只需写 IP 的最后一段10 IN PTR dns.laogao.cloud.10 IN PTR server.laogao.cloud.11 IN PTR client.laogao.cloud.200 IN PTR www.laogao.cloud.253 IN PTR mail.laogao.cloud.步骤 5:设置文件权限和 SELinux 标签 [ root@dns-server ~] # chmod 640 /var/named/*.zone [ root@dns-server ~] # chown root:named /var/named/*.zone [ root@dns-server ~] # chcon -t named_zone_t /var/named/*.zone 步骤 6:验证配置并启动服务 # 验证主配置文件语法 [ root@dns-server ~] # named-checkconf # 无输出表示语法正确 # 验证正向区域文件 [ root@dns-server ~] # named-checkzone laogao.cloud /var/named/laogao.cloud.zone zone laogao.cloud/IN: loaded serial2025010101 OK# 验证反向区域文件 [ root@dns-server ~] # named-checkzone 8.1.10.in-addr.arpa /var/named/10.1.8.zone zone8.1 .10.in-addr.arpa/IN: loaded serial2025010101 OK# 启动并启用服务 [ root@dns-server ~] # systemctl enable named --now # 配置防火墙放行 DNS 服务 [ root@dns-server ~] # firewall-cmd --add-service=dns --permanent [ root@dns-server ~] # firewall-cmd --reload # 查看服务状态 [ root@dns-server ~] # systemctl status named 实验二:客户端测试 DNS 解析 方法 1:配置客户端使用自定义 DNS # 在 dns-client 上配置 DNS 服务器地址 [ root@dns-client ~] # nmcli connection modify ens33 \ ipv4.method manual\ ipv4.address10.1 .8.11/24\ ipv4.gateway10.1 .8.2\ ipv4.dns10.1 .8.10\ autoconnectyes [ root@dns-client ~] # nmcli connection up ens33 # 测试正向解析(域名 → IP) [ root@dns-client ~] # ping -c 2 dns.laogao.cloud PING dns.laogao.cloud( 10.1 .8.10) 56 ( 84 ) bytes of data.64 bytes from dns.laogao.cloud( 10.1 .8.10) :icmp_seq = 1 ttl = 64 time = 0.251 ms# 测试 CNAME 别名 [ root@dns-client ~] # ping -c 2 student.laogao.cloud PING client.laogao.cloud( 10.1 .8.11) 56 ( 84 ) bytes of data.# 测试反向解析(IP → 域名) [ root@dns-client ~] # host 10.1.8.10 10.8 .1.10.in-addr.arpa domain name pointer dns.laogao.cloud.# 使用 getent 按系统顺序解析 [ root@dns-client ~] # getent hosts student.laogao.cloud 10.1 .8.11 client.laogao.cloud student.laogao.cloud方法 2:使用 dig 工具详细查询 # 如果客户端没有 dig,先安装 [ root@dns-client ~] # yum install -y bind-utils # 查询 A 记录(指定 DNS 服务器) [ root@dns-client ~] # dig @10.1.8.10 www.laogao.cloud # 查询 NS 记录(权威名称服务器) [ root@dns-client ~] # dig @10.1.8.10 laogao.cloud NS # 查询 MX 记录(邮件服务器) [ root@dns-client ~] # dig @10.1.8.10 laogao.cloud MX # 查询 PTR 记录(反向解析) [ root@dns-client ~] # dig @10.1.8.10 -x 10.1.8.200 # 只显示精简结果 [ root@dns-client ~] # dig +short @10.1.8.10 www.laogao.cloud 10.1 .8.200# 只显示回答部分 [ root@dns-client ~] # dig +nocmd +noall +answer @10.1.8.10 www.laogao.cloud www.laogao.cloud.3600 IN A10.1 .8.200方法 3:使用 nslookup 交互式查询 [ root@dns-client ~] # nslookup > server10.1 .8.10# 指定 DNS 服务器 Default server:10.1 .8.10> set type = A# 设置查询类型为 A 记录 > www.laogao.cloud# 查询域名 Server:10.1 .8.10 Address:10.1 .8.10#53 Name: www.laogao.cloud Address:10.1 .8.200> set type = PTR# 切换为反向查询 > 10.1 .8.200 Server:10.1 .8.10 Address:10.1 .8.10#53 200.8 .1.10.in-addr.arpa name= www.laogao.cloud.> exit # 退出交互模式 实验三:搭建缓存名称服务器(Unbound) 为什么需要缓存服务器? 减少跨互联网的 DNS 流量 加速重复查询的响应速度 作为局域网内的 DNS 代理 安装与配置 Unbound # 在 cache-server (10.1.8.20) 上执行 [ root@cache-server ~] # yum install -y unbound # 编辑配置文件 [ root@cache-server ~] # vim /etc/unbound/unbound.conf server:# 监听所有网络接口 interface:0.0 .0.0 interface: ::0 interface-automatic: no# 访问控制:只允许局域网客户端查询 access-control:127.0 .0.0/8 allow access-control:10.1 .8.0/24 allow access-control:0.0 .0.0/0 refuse# 拒绝其他所有 # 转发所有查询到权威 DNS 服务器 forward-zone: name:"." forward-addr:10.1 .8.10# 转发到我们自己的权威服务器 # 跳过 DNSSEC 验证(实验环境) domain-insecure:"laogao.cloud" harden-dnssec-stripped: no# 验证配置文件语法 [ root@cache-server ~] # unbound-checkconf unbound-checkconf: no errorsin /etc/unbound/unbound.conf# 启动服务 [ root@cache-server ~] # systemctl enable unbound --now # 配置防火墙 [ root@cache-server ~] # firewall-cmd --add-service=dns --permanent [ root@cache-server ~] # firewall-cmd --reload 缓存管理命令 # 导出当前缓存到文件 [ root@cache-server ~] # unbound-control dump_cache > /tmp/dns_cache.txt # 查看缓存内容 [ root@cache-server ~] # head -20 /tmp/dns_cache.txt # 清空特定域名的缓存 [ root@cache-server ~] # unbound-control flush student.laogao.cloud ok# 清空整个区域的缓存 [ root@cache-server ~] # unbound-control flush_zone laogao.cloud ok# 从文件导入缓存 [ root@cache-server ~] # unbound-control load_cache < /tmp/dns_cache.txt 客户端测试缓存服务器 # 在 dns-client 上临时使用缓存服务器测试 [ root@dns-client ~] # dig @10.1.8.20 client.laogao.cloud # 第一次查询(缓存未命中,会稍慢) ; ; Query time:45 msec# 第二次查询(缓存命中,很快) [ root@dns-client ~] # dig @10.1.8.20 client.laogao.cloud ; ; Query time:0 msec实验四:配置 Dnsmasq 轻量级缓存服务器 Dnsmasq 特点 集 DNS 缓存、DHCP、TFTP 于一体 配置简单,适合小型网络 可指定不同域名使用不同上游 DNS 配置示例 # 安装 Dnsmasq [ root@cache-server ~] # yum install -y dnsmasq # 备份默认配置 [ root@cache-server ~] # cp /etc/dnsmasq.conf /etc/dnsmasq.conf.bak # 编辑配置文件 [ root@cache-server ~] # vim /etc/dnsmasq.conf # 监听地址(本机所有接口) listen-address= 0.0 .0.0# 上游 DNS 服务器配置文件 resolv-file= /etc/resolv.dnsmasq.conf# 严格按顺序使用上游 DNS strict-order# 自定义解析(屏蔽广告) address = /ad.youku.com/127.0.0.1address = /ad.iqiyi.com/127.0.0.1# 特定域名使用特定 DNS server = /laogao.cloud/10.1.8.10# 内网域名用自己的服务器 server = /google.com/8.8.8.8# Google 域名用公共 DNS server = /baidu.com/114.114.114.114# 国内网站用国内 DNS # 缓存大小(默认 150 条,这里设 1000 条) cache-size= 1000 # 不允许 /etc/hosts 覆盖 # no-hosts # 日志记录 log-queries log-facility= /var/log/dnsmasq.log# 创建上游 DNS 配置文件 [ root@cache-server ~] # cat > /etc/resolv.dnsmasq.conf << EOF nameserver114.114 .114.114 nameserver8.8 .8.8 EOF# 测试配置语法 [ root@cache-server ~] # dnsmasq --test dnsmasq: syntax check OK.# 启动服务 [ root@cache-server ~] # systemctl enable dnsmasq --now # 查看日志 [ root@cache-server ~] # tail -f /var/log/dnsmasq.log 🔧 三、DNS 故障排查技巧 1. 常见问题速查表 现象 可能原因 排查命令 dig超时防火墙阻止 UDP 53 firewall-cmd --list-all返回SERVFAIL 权威服务器不可达 dig +trace domain.com返回NXDOMAIN 域名不存在或孤立 CNAME dig domain.com+ 检查区域文件返回REFUSED 访问控制拒绝 检查allow-query指令 反向解析失败 缺少 PTR 记录 dig -x IP+ 检查反向区域主从数据不一致 序列号未更新 检查 SOA 中的 Serial 值
2. 故障排查命令实战 # 1. 检查本地 DNS 配置 [ root@client ~] # cat /etc/resolv.conf nameserver10.1 .8.10# 2. 测试网络连通性 [ root@client ~] # ping -c 3 10.1.8.10 # 3. 测试 UDP 53 端口 [ root@client ~] # nc -vzu 10.1.8.10 53 Connection to10.1 .8.1053 port[ udp/domain] succeeded! # 4. 跟踪完整解析路径(从根域开始) [ root@client ~] # dig +trace www.baidu.com # 5. 强制使用 TCP 模式查询 [ root@client ~] # dig +tcp www.laogao.cloud # 6. 查看 DNS 服务器日志 [ root@dns-server ~] # journalctl -u named -f # 7. 测试区域传输(AXFR)- 验证从服务器同步 [ root@client ~] # dig axfr @10.1.8.10 laogao.cloud # 8. 对比权威答案和缓存答案 [ root@client ~] # dig @10.1.8.10 www.laogao.cloud +aaonly # 只接受权威答案 3. 检查系统名称解析顺序 # 查看 nsswitch.conf 配置 [ root@client ~] # cat /etc/nsswitch.conf | grep hosts hosts: files dns myhostname# 解析顺序:/etc/hosts → DNS → 本机主机名 # 使用 getent 验证实际解析结果 [ root@client ~] # getent hosts www.laogao.cloud 10.1 .8.200 www.laogao.cloud# 对比 dig 结果(如果不同,说明可能是 hosts 文件影响) [ root@client ~] # dig +short www.laogao.cloud 10.1 .8.200📚 四、关键配置文件速查 文件路径 用途 所属服务 /etc/named.confBIND 主配置文件 bind /var/named/*.zone区域数据库文件 bind /etc/unbound/unbound.confUnbound 配置文件 unbound /etc/dnsmasq.confDnsmasq 配置文件 dnsmasq /etc/resolv.conf客户端 DNS 配置 system /etc/nsswitch.conf名称解析顺序 glibc /etc/hosts本地静态解析 system /var/log/messages系统日志(含 named 错误) rsyslog
✅ 五、实验验证清单 完成实验后,请逐项验证:
🎯 总结 通过本文的学习和实验,你应该掌握了:
DNS 核心原理 :层次结构、递归与迭代查询、资源记录类型权威 DNS 搭建 :BIND 的安装、配置、区域文件编写缓存 DNS 搭建 :Unbound 和 Dnsmasq 两种方案客户端工具 :dig、nslookup、host、getent 的使用故障排查 :常见错误码分析、日志查看、跟踪查询DNS 是互联网基础设施的核心,深入理解其工作原理对于网络运维和系统管理至关重要。建议在生产环境部署前,先在实验环境中充分测试配置。
