周 莉 張曉艷

（蘇州市職業(yè)大學(xué)計(jì)算機(jī)工程學(xué)院，江蘇 蘇州 215104）

基于Linux的中小企業(yè)網(wǎng)絡(luò)DDNS服務(wù)的研究和實(shí)現(xiàn)

周 莉 張曉艷

（蘇州市職業(yè)大學(xué)計(jì)算機(jī)工程學(xué)院，江蘇 蘇州 215104）

本文以動(dòng)態(tài)域名系統(tǒng)為研究對(duì)象，分析DDNS的工作原理及應(yīng)用范圍，以中小企業(yè)具體應(yīng)用為實(shí)例，根據(jù)不同企業(yè)需求，闡述DDNS實(shí)現(xiàn)方法、配置步驟和測試方法，并使用協(xié)議分析工具展示測試結(jié)果。

域名系統(tǒng)；動(dòng)態(tài)主機(jī)配置；動(dòng)態(tài)域名系統(tǒng)

1 概述

DNS服務(wù)器對(duì)域名進(jìn)行管理，當(dāng)DNS服務(wù)器所管轄域名區(qū)域內(nèi)發(fā)現(xiàn)變化，如增減主機(jī)、主機(jī)IP地址變動(dòng)，DNS服務(wù)器上的配置文件就要做出相應(yīng)的改變，這種改變涉及很多人工更新。隨著計(jì)算機(jī)普及和網(wǎng)絡(luò)規(guī)模擴(kuò)大，純粹依靠人工更新不現(xiàn)實(shí)[1]，DNS自動(dòng)更新也成為企業(yè)網(wǎng)絡(luò)中的基本需求，動(dòng)態(tài)域名系統(tǒng)DDNS正得到廣泛的應(yīng)用。

基于DDNS服務(wù)，管理員可以在地址發(fā)生變動(dòng)的主機(jī)上，使用命令來更新DNS服務(wù)器上對(duì)應(yīng)的記錄，這種情況適用于更新不頻繁且涉及范圍較小的地址變動(dòng)，如服務(wù)器地址的變化；更多的，主機(jī)名與IP地址綁定后，實(shí)現(xiàn)由IP地址動(dòng)態(tài)綁定的DHCP服務(wù)器向區(qū)域內(nèi)主DNS服務(wù)器發(fā)送更新通知；主DNS服務(wù)器更新后，可以通過主動(dòng)方式或被動(dòng)方式與從DNS服務(wù)器通信，實(shí)現(xiàn)從DNS服務(wù)器上的數(shù)據(jù)同步，到最終變動(dòng)的記錄在區(qū)域內(nèi)所有的DNS服務(wù)器上的更新。本文以兩個(gè)中小企業(yè)的DDNS應(yīng)用為例，闡述DDNS的實(shí)現(xiàn)和測試方法。

2 基于nsupdate的DDNS

企業(yè)網(wǎng)絡(luò)中管理員往往管理多臺(tái)服務(wù)器，除DNS服務(wù)器以外還包括WEB服務(wù)器、FTP服務(wù)器等等，這些服務(wù)器的地址相對(duì)穩(wěn)定，但是特定情況下IP地址也會(huì)發(fā)生變化，當(dāng)發(fā)生變化的時(shí)候，管理員可以使用命令自動(dòng)更新DNS服務(wù)器上對(duì)應(yīng)的記錄，這樣避免了手動(dòng)修改DNS服務(wù)器記錄并重啟DNS服務(wù)器的麻煩。本文以一個(gè)中小型企業(yè)網(wǎng)絡(luò)為例進(jìn)行闡述，企業(yè)網(wǎng)絡(luò)地址是192.168.0.0/24，公司域名為test.com，DNS服務(wù)器的地址是192.168.0.2，WWW服務(wù)器當(dāng)前的地址是192.168.0.4。

2.1 DNS服務(wù)器端的設(shè)置

（1）密鑰文件的生成

WWW服務(wù)器要更新DNS服務(wù)器上的記錄，就必須具有一個(gè)可靠的身份，取得DNS服務(wù)器的信任，那么在DDNS中，這種身份認(rèn)證通常是基于非對(duì)稱加密技術(shù)的，通過相應(yīng)的命令生成一對(duì)公鑰和私鑰，DNS密鑰的生成使用dnssec-kengen命令[2]，該命令可以指定算法、密鑰長度和更新類型，主要算法有RSAMD5、RSA、DSA、DH、HMAC-MD5等，類型有ZONE和HOST，ZONE表示客戶端可以更新任何標(biāo)志及整個(gè)ZONE，HOST表示客戶端僅可以針對(duì)自身的主機(jī)名更新；

//生成更新所需的密鑰文件，選用HMAC-MD5算法，密鑰長度512bit，更新A記錄

//查看生成的密鑰文件，公鑰文件以.key結(jié)尾，私鑰文件以.private結(jié)尾

（2）主配置文件的修改

主配置文件的修改主要包括添加密碼選項(xiàng)，在區(qū)域聲明中加入更新策略。打開Kdns-dhcp.+157+55691.key文件將其中的密鑰復(fù)制到DNS服務(wù)器的主配置文件，建立密鑰選項(xiàng)，在要更新的區(qū)域聲明中做更新策略配置。

//在原有的ZONE的聲明中加入update-policy

//grant這句表示在ZONE中，使用密鑰dns-www可以更新www.test.com的A標(biāo)志

（3）權(quán)限的開放

在更新的過程中，會(huì)涉及對(duì)從服務(wù)器相應(yīng)文件夾的讀寫操作，因此必須在DNS服務(wù)器上做出相應(yīng)的設(shè)置，否則會(huì)因?yàn)闄?quán)限問題而無法同步，設(shè)置方法如下：

[root@localhostdns-key]# chown named.named/var/ named/

//設(shè)/var/named的文件所有者和文件所屬的組

2.2 客戶端的更新

（1）密鑰文件的分發(fā)

密鑰文件生成之后，需要通過一種安全的方式從網(wǎng)絡(luò)上傳送給WWW服務(wù)器。SSH將待傳輸數(shù)據(jù)包進(jìn)行加密后，對(duì)其進(jìn)行網(wǎng)絡(luò)傳輸，適合對(duì)密鑰文件的分發(fā)，Linux默認(rèn)安裝了SSH程序OpenSSH，實(shí)現(xiàn)文件異地復(fù)制的命令是scp，配置過程如下：

在DNS服務(wù)器端，用scp命令將密碼文件用SSH傳遞給客戶端：

[root@localhost dns-key]#scp/root/dns-key/Kdns-www* ssh-user1@192.168.0.4:～

//將本地的Kdns-www公鑰、私鑰文件傳遞到www.test. com上ssh-usr1用戶主目錄中

（2）在WWW服務(wù)器上使用nsupdate遠(yuǎn)程更新DNS記錄

[root@localhost ddns]#nsupdate-k Kdns-www.+ 157+23545.key

//使用指定密鑰文件進(jìn)行更新

〉server 192.168.0.2//指定更新對(duì)象（給出DNS服務(wù)器的地址）

〉update delete www.test.com//刪除已有的www.test. comA記錄

〉update add www.test.com 600 A 192.168.0.5//增加新的www.test.comA記錄

〉send//將之前輸入的命令，遞交DNS服務(wù)器執(zhí)行（3）DDNS測試

使用host命令解析www.test.com，得出更新后的地址，說明DNS服務(wù)器端已更新成功：

通過Wireshark捕獲兩者之間的通信，可以看到DNS服務(wù)器和客戶端之間更新了www.test.com這條記錄：

圖1 基于nsupdate的DDNS更新過程

3基于DHCP服務(wù)的DDNS

在實(shí)際應(yīng)用中，更多的是DNS服務(wù)器與DHCP服務(wù)器之間互動(dòng)實(shí)現(xiàn)DDNS。本文以一個(gè)小型企業(yè)網(wǎng)絡(luò)為例，企業(yè)網(wǎng)絡(luò)地址為192.168.0.0/24，公司域名為test.com，網(wǎng)絡(luò)中DNS服務(wù)器地址為 192.168.0.2，DHCP服務(wù)器的地址為192.168.0.3，網(wǎng)絡(luò)中由DHCP服務(wù)器來自動(dòng)分配的IP地址池是192.168.0.50-192.168.0.200，有一臺(tái)客戶名完整的主機(jī)名即為alice.test.com，其IP地址由DHCP服務(wù)器自動(dòng)分配。

3.1 DNS服務(wù)器的配置

（1）密鑰文件的生成

DNS與DHCP服務(wù)器之間的自動(dòng)更新也需要身份的驗(yàn)證，同樣使用dnssec-kengen命令來生成兩者之間通信的密鑰文件：

//查看生成的公鑰文件和私鑰文件

（2）配置文件的修改

與基于nsupdate的DDNS相同，在配置文件中生成一個(gè)密鑰選項(xiàng)key，名為dns-dhcp，包含算法和Kdns-dhcp.+157+ 55691.key中的公鑰，在區(qū)域聲明中加入key選項(xiàng)和allow_update選項(xiàng)：

3.2 DHCP服務(wù)的安裝與配置

DHCP服務(wù)實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)IP地址的自動(dòng)分配，當(dāng)DHCP客戶端啟動(dòng)時(shí)，它會(huì)自動(dòng)與DHCP服務(wù)器通信，由DHCP服務(wù)器為DHCP客戶端提供自動(dòng)分配IP地址的服務(wù)。CentOS 6.5中dhcp服務(wù)可以使用rpm命令進(jìn)行安裝，在聯(lián)網(wǎng)的情況下，也可以使用yum命令進(jìn)行安裝：

3.3 自動(dòng)更新的測試

設(shè)置主機(jī)alice.test.com從DHCP處自動(dòng)獲得IP地址，如使用ifconfig命令查看，從DHCP服務(wù)器處獲得192.168.0.50，此 時(shí) 使 用 host命 令 來 解 析 alice.test.com，會(huì) 得 到192.168.0.50，通過Wireshark可以捕獲到DNS服務(wù)器和DHCP服務(wù)器之間相應(yīng)的通信，test.com域得到了更新，如圖2所示：

圖2 基于DHCP的DDNS

4 結(jié)束語

Linux作為一款優(yōu)秀的自由軟件正得到日益廣泛的應(yīng)用，越來越多的企業(yè)采用免費(fèi)、靈活、高效的Linux作為企業(yè)服務(wù)器的平臺(tái)，本文給出了Linux下DNS服務(wù)器的重要功能DDNS的實(shí)現(xiàn)，對(duì)企業(yè)Linux運(yùn)維人員具有一定的參考價(jià)值和指導(dǎo)意義。

[1]Behrouz A．Forouzan，Sophia Chung Fegan．TCP/IPF協(xié)議族(第2版)[M]．北京：清華大學(xué)出版社，2003．

[2]鳥哥．鳥哥的Linux私房菜—服務(wù)器架設(shè)篇[M].北京：機(jī)械工業(yè)出版社，2012．

[3]王小杰．基于Linux系統(tǒng)的DHCP服務(wù)器架構(gòu)[J]．電腦編程技巧與維護(hù)，2013，(10)：83-84．

Research and Implementation of DDNS Application in SMEs Based on Linux

Zhou LiZhang Xiaoyan
(Department of Computer Engineering,Suzhou Vocational University,Suzhou 215104,Jiangsu)

This paper focuses on the dynamic domain name system,analyzes DDNS working principle and applications,elaborates implementation,configuration procedures and test methods of DDNS according to different needs in SMEs’applications and gives test results by using protocol analysis tool.

DNS;DHCP;DDNS

TP368.5

A

1008-6609(2015)10-0035-03

周莉，女，江蘇江陰人，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與職業(yè)教育。

蘇州市職業(yè)大學(xué)教改課題“高職《Linux網(wǎng)絡(luò)管理》課程的優(yōu)化改革”，項(xiàng)目編號(hào)：SZDJG—14019。