下载文档原格式
尔斤 线譬 运维管理 H制橘 实践应,}l 行业动仑 为用户提供可信、安全、可靠的DNS服务,满足“业务可用、解析正确、状态可视”的需求。 关键词:DNS Bind多层次冗余
1背景 随着国家三网融合战略的持续推 进,广电与传统电信运营商在互联网 业务领域竞争激烈,作为三网融合试 点地区之一,近几年广西广电网络公 司在互联网业务的发展速度很快,互 联网出口带宽和用户规模日益增加, 用户对互联网业务的品质要求也越来 越高,域名系统(DNS,Domain Name System)作为互联网基础设施,在互 联网服务中占据着越来越重要的地位, 保障域名系统高效安全运行对于维护 互联网安全、提升客户体验具有重要 意义。 DNS是十分重要的互联网基础设 施,是互联网的基石,是互联网的起 点和入口,是全球互联网通信的基础, 基于互联网的各种Web服务、E—mail 服务、路由服务都依赖或者间接依赖 DNS。DNS的作用相当于互联网的中 枢神经系统,域名系统的故障会导致 互联网陷入瘫痪。域名系统就像是“空 气”,平时我们感觉不到它的存在, 但是一旦出现问题,其影响可能是“致 命”的。 前期由于公司互联网业务尚处于 起步阶段,一直没有建设本地DNS系 统,都是依靠出口商提供的其他运营 商的DNS服务器给用户提供服务,长 期使用其他运营商的DNS服务器,主 要面I临以下几个问题: (1)使用其他运营商的DNS系统 性能无法保证,由于租用的互联网出 口基本都经过长途传输,网络抖动和 延迟对DNS的解析速度有影响,最直 接影响用户打开网页速度。 (2)随着用户规模的扩大,DNS 的请求数量激增,其他运营商会出于 安全考虑,首先保证网内用户体验, 对外来DNS请求进行限制,一旦DNS 请求被其他运营商限制或封堵,就会 直接导致用户无法打开网页。 (3)无法做资源调度,用户访问 请求数据掌握在其他运营商手中,无 法对网内用户访问行为进行分析和统 计 2解决思路 面对以上问题,如何保障DNS系 统的安全可靠迫在眉睫、势在必行, 公司迫切需要建设自己的本地DNS系 统,为用户提供可信、安全、可靠的 DNS服务,满足“业务可用、解析正确、 状态可视”的需求。 通过对DNS系统体系结构的基础 研究,掌握DNS系统的基本原理和协 议,并采用国际主流的开源软件Bind (Berkeley Internet Name Domain)作为 服务软件,同时还借鉴其他运营商的 经验,采用负载均衡器作为前置服务 设备,用户终端只与负载均衡器通讯, 由负载均衡器与后端真实服务器完成 数据交换,最终形成多层次冗余的可 靠DNS体系,并提供稳定可靠的商用 DNS服务。
DNS协议详解协议名称:DNS协议详解一、引言DNS(Domain Name System)协议是互联网中用于将域名转换为IP地址的一种协议。
本协议旨在详细解释DNS协议的工作原理、协议格式和相关概念。
二、协议概述DNS协议是一个分布式的命名系统,用于将域名映射为IP地址。
它是互联网中最重要的基础设施之一,为用户提供了便捷的域名访问方式。
DNS协议基于客户端-服务器模型,客户端通过发送DNS查询请求,服务器则负责返回相应的DNS解析结果。
三、协议工作原理1. DNS查询过程1.1 客户端向本地DNS服务器发送DNS查询请求。
1.2 本地DNS服务器查询自身的缓存,若有相应的解析结果则直接返回给客户端。
1.3 若本地DNS服务器没有缓存,它将向根域名服务器发送查询请求。
1.4 根域名服务器返回顶级域名服务器的地址给本地DNS服务器。
1.5 本地DNS服务器向顶级域名服务器发送查询请求。
1.6 顶级域名服务器返回次级域名服务器的地址给本地DNS服务器。
1.7 本地DNS服务器向次级域名服务器发送查询请求。
1.8 次级域名服务器返回授权域名服务器的地址给本地DNS服务器。
1.9 本地DNS服务器向授权域名服务器发送查询请求。
1.10 授权域名服务器返回解析结果给本地DNS服务器。
1.11 本地DNS服务器将解析结果返回给客户端。
2. DNS协议格式DNS协议使用UDP或TCP作为传输层协议,其数据包由报头和数据部分组成。
报头包含以下字段:- 标识字段:用于标识DNS查询和响应的关联。
- 标志字段:用于指示查询或响应类型。
- 问题字段:包含查询的域名和查询类型。
- 回答字段:包含域名的IP地址或其他资源记录。
- 权威字段:指示响应的授权域名服务器。
- 附加字段:包含其他相关信息。
四、协议相关概念1. 域名(Domain Name):用于标识互联网上的计算机和服务的字符串。
2. IP地址(Internet Protocol Address):用于标识互联网上的设备的一组数字。
DNS over IP Anycast技术说明书目录1 前言 (3)2 DNS四层交换机部署方式 (4)2.1传统部署方式 (4)2.2存在的问题 (5)2.2.1防火墙能力不足 (5)2.2.2四层交换机能力不足 (5)2.2.3整个节点层次太多 (5)2.2.4业务冗灾能力不足 (5)2.2.5故障影响可控性不足 (5)3 DNS over IPAnycast部署方式 (6)3.1 IP Anycast技术介绍 (6)3.2 IP Anycast组网方案 (6)3.2.1 IP Anycast架构原理 (6)3.2.2 DNS over IPAnycast组网方案 (7)3.3 IP Anycast组网优势 (8)4总结 (10)1 前言概述本文档基于当前DNS系统组网往IP Anycast网络架构发展的趋势,有针对性的对传统基于四层交换机DNS部署方式的缺点以及IP Anycast部署方式的组网方案和该组网方式带来的优点进行说明。
读者对象本文档主要适用于以下工程师:●DNS销售工程师●DNS技术工程师修订记录2 DNS四层交换机部署方式2.1传统部署方式基于社会经济的发展趋势,早期各大运营商业务网络,主要是为满足传统语音业务的需求,对于数据业务的需求相对较小,技术也相对不成熟,所以早期各大运用商对于DNS系统的网络部署,一般采用四层交换机技术建立服务器集群,提供集中式的域名解析服务。
运营商典型的L4部署方式,如下图所示:IP BEAR NETWORKFirewall FirewallL4 SW L4 SWDNS Cluster DNS Cluster 运用商在两个节点建设两套互备的DNS系统,每套系统都采用四层交换机技术建立DNS服务器集群,两套DNS分别采用不同的DNS服务IP A和IP B,通过告知客户主备DNS 服务器地址的IP来实现冗灾。
每个节点DNS系统采用防火墙/流量清洗、四层交换机、DNS服务器群的三层架构,防火墙用来保护整个系统的安全防止黑客的攻击;四层交换机用来将用户DNS请求平均分配到集群内每台DNS服务器,完成流量负载均衡作用;DNS服务器用来完成最终的地址解析。
DNS协议详解一、引言DNS(Domain Name System)是互联网中用于将域名转换为IP地址的协议。
它是分布式的命名系统,用于解析域名并提供域名与IP地址之间的映射关系。
本协议旨在详细介绍DNS协议的工作原理、消息格式、查询类型以及相关的扩展功能。
二、协议工作原理1. DNS层次结构:DNS采用层次结构的命名空间,由根域名服务器、顶级域名服务器、权威域名服务器和本地域名服务器组成。
根域名服务器负责管理顶级域名服务器的地址,顶级域名服务器负责管理权威域名服务器的地址,权威域名服务器则存储着具体域名与IP地址的映射关系。
2. DNS解析过程:当用户输入一个域名时,本地域名服务器首先查询本地缓存,如果缓存中不存在相应的映射关系,则向根域名服务器发起查询请求。
根域名服务器返回顶级域名服务器的地址,本地域名服务器再向顶级域名服务器发起查询,直到找到权威域名服务器并获取映射关系。
3. DNS消息格式:DNS消息由报头和查询/响应部分组成。
报头包含标识字段、标志字段、问题数、回答数、授权数和附加数等信息。
查询/响应部分包含查询类型、查询类别、资源记录等字段。
三、查询类型1. A记录:将域名映射为IPv4地址。
2. AAAA记录:将域名映射为IPv6地址。
3. CNAME记录:将域名映射为另一个域名。
4. MX记录:指定接收该域名邮件的邮件服务器。
5. NS记录:指定该域名的权威域名服务器。
6. PTR记录:用于反向解析,将IP地址映射为域名。
7. SOA记录:指定该域名的起始授权机构。
8. TXT记录:用于存储任意文本信息。
四、扩展功能1. DNSSEC:用于验证域名解析的安全性,通过数字签名确保域名解析结果的完整性和真实性。
2. EDNS:用于扩展DNS协议的功能,支持更大的报文长度、更多的查询类型和响应码。
3. DNS over HTTPS(DoH):将DNS流量加密并通过HTTPS传输,提高DNS解析的安全性和隐私性。
网络信息安全体系架构一、安全保障体系的总体架构网络信息安全涉及立法、技术、管理等许多方面, 包括网络信息系统本身的安全问题, 以及信息、数据的安全问题。
信息安全也有物理的和逻辑的技术措施, 网络信息安全体系就是从实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全等层面上进行综合的分析和管理。
安全保障体系总体架构如下图所示:安全保障体系架构图二、安全保障体系层次按照计算机网络系统体系结构,我们将安全保障体系分为7个层面:(1)实体安全实体安全包含机房安全、设施安全、动力安全、等方面。
其中,机房安全涉及到:场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁;设施安全如:设备可靠性、通讯线路安全性、辐射控制与防泄露等;动力包括电源、空调等。
这几方面的检测优化实施过程按照国家相关标准和公安部颁发实体安全标准实施。
(2)平台安全平台安全包括:操作系统漏洞检测与修复(Unix系统、Windows系统、网络协议);网络基础设施漏洞检测与修复(路由器、交换机、防火墙);通用基础应用程序漏洞检测与修复(数据库、Web/ftp/mail/DNS/其它各种系统守护进程);网络安全产品部署(防火墙、入侵检测、脆弱性扫描和防病毒产品);整体网络系统平台安全综合测试、模拟入侵与安全优化。
(3)数据安全数据安全包括:介质与载体安全保护;数据访问控制(系统数据访问控制检查、标识与鉴别);数据完整性;数据可用性;数据监控和审计;数据存储与备份安全。
(4)通信安全既通信及线路安全。
为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化;安装网络加密设施;设置通信加密软件;设置身份鉴别机制;设置并测试安全通道;测试各项网络协议运行漏洞等方面。
(5)应用安全应用安全包括:业务软件的程序安全性测试(bug分析);业务交往的防抵赖;业务资源的访问控制验证;业务实体的身份鉴别检测;业务现场的备份与恢复机制检查;业务数据的唯一性/一致性/防冲突检测;业务数据的保密性;业务系统的可靠性;业务系统的可用性。
⽹络数据原来是这么传输的(结合动画解析)前⾔世界上第⼀个互联⽹web⽹页诞⽣于1990年12⽉25⽇(次年8⽉对外开放),⾄今⼤约有28年的历史,它是由万维⽹之⽗蒂姆·伯纳斯·李(Tim Berners-Lee)与罗伯特·卡⾥奥在CERN(欧洲核⼦研究委员会)⼀起打造,⾸次成功通过因特尔⽹络实现HTTP代理与服务器通讯。
⽽这次通讯成功,标志着互联⽹的到来,具有划时代的意义。
从1990年,世界上第⼀个互联⽹Web⽹页诞⽣,到现在2021年,已经过去了30多个年头。
我们每天都可以通过互联⽹搜索信息,查看新闻,打游戏,办公。
互联⽹的使⽤已经融⼊我们的⽣活,再也离不开了(特别是我们这⼀批依赖于互联⽹⽣存的程序员)那么对于互联⽹中数据的传输过程,你了解多少呢?⾯试遇到类似的问题你能答上来吗?今天我将结合动画形式和⼤家聊聊⽹络传输数据的过程。
应⽤层(从输⼊⽹址开始)当我们在浏览器中输⼊我们的⽹址,⽹络就开始数据传输了。
那么浏览器就会根据我们输⼊的这个URL,进⾏解析。
⼀般⼀个URL的格式如下::80/s?ie=utf-8其中:http属于协议类型属于服务器地址80属于端⼝号/s属于路径ie=utf-8属于携带参数经过这样的解析,最后会形成⼀个叫做请求消息的东西,也叫请求报⽂。
这个请求报⽂的⼀般格式是这样的:(请求⾏)GET /s HTTP/1.1(请求头Header)Host: Content-Type: text/plain(请求体Body)name=123请求⾏(包括请求⽅法、请求路径、HTTP版本)请求头Header(包括域名、数据类型、cookie、等等)请求体Body(⼀般存储post请求时候的⼀些参数数据)到此⼀个请求报⽂,或者叫HTTP请求消息,就⽣成好了。
但是浏览器的⼯作还没完成哦,在这之后,浏览器还做了⼀件事,就是去DNS服务器上查询这个域名对应的IP地址。
当然浏览器本⾝是查询不了的,需要借助电脑上的DNS解析器,其实就是⼀个DNS客户端。
剖析IPv6时代的域名系统(上)IPv6协议是取代IPv4的下一代网络协议,它具有许多新的特性与功能。
域名系统(D NS)是Internet的基础架构,IPv6的新特性也需要DNS的支持。
因此,DNS必须升级以满足IPv6的需求。
本文将从IPv6 DNS的体系结构、IPv6的地址解析、IPv6地址自动配置和即插即用、IPv4到IPv6的过渡等几方面对IPv6时代的DNS进行分析和研究。
一、IPv6优势简介域名系统(Domain Name System,简称DNS)的主要功能是通过域名和IP地址之间的相互对应关系来精确定位网络资源,即根据域名查询IP地址,反之亦然。
DNS是当今I nternet的基础架构,众多的网络服务都是建立在DNS体系基础之上的。
业界权威人士说:“只有理解了DNS,才真正懂得了Internet。
” IPv6协议是用来取代IPv4的互联网协议。
相比I Pv4,IPv6具有很多优点。
首先,它提供了巨大的地址空间;其次,IPv6的地址结构和地址分配采用严格的层次结构,以便于进行地址聚合,从而使路由器中路由表的规模大幅度“瘦身”;再次,IPv6协议支持网络节点地址的自动配置,可以实现即插即用功能。
此外,IPv6协议对主机移动性有较好的支持,适合于越来越多的互联网移动应用;IPv6协议在安全性、对多媒体流的支持性等方面都具有超过IPv4的优势。
IPv6网络中的DNS非常重要,一些IPv6的新特性和DNS的支持密不可分。
本文从IP v6 DNS的体系结构、IPv6的地址解析、IPv6地址自动配置和即插即用、IPv4到IPv6的过渡等几方面对IPv6时代的DNS进行了分析和研究。
二、IPv6域名系统的体系结构IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的,都采用树型结构的域名空间(如图1所示)。
IPv4协议与IPv6协议的不同并不意味着需要单独应用IPv4 DNS体系和IPv6 DNS体系,相反,它们的DNS体系和域名空间必须保持一致,即IPv4和IPv6共同拥有统一的域名空间。
DNS是什么?工作原理、工作流程总结目录HTTP网络请求过程:DNS处于请求的哪个位置呢?DNS基本工作:具体如何查找呢?总结域名解析过程:HTTP网络请求过程:1.域名解析2.TCP三次握手3.tcp连接后发出Http请求4.服务器响应Http请求5.浏览器解析,并请求相对应资源6.渲染页面DNS处于请求的哪个位置呢?他在过程中是第一步域名解析如下图,在解析域名对应的地址时,在TCP三次握手之前。
DNS基本工作:接受客户端的查询消息根据消息能容返回响应DNS服务器会从域名与IP地址的对照表中寻找相应的记录,并返回IP地址客户端的消息包含以下三种消息1.域名 = cc2.Class = IN3.记录类型 = A具体如何查找呢?从域名与IP地址的对照表中寻找相应的记录,并返回IP地址1.首先访问最近的一台DNS服务器(客户端的TCP/IP设置中填写的DNS服务器地址)2.如果没有就会重新寻找(1)理想状态:从顶层向下查找,即根域DNS服务器,如果没有,他通过判断知道你是com域的,就会告诉你去我管理的com域问问,于是最近的DNS服务器就去发送查询消息,以此类推就找到了最终IP地址。
如下图(2)现实中:一台DNS服务器管理多个域,上级域可能与下级域在一台服务器,并且DNS服务器还有缓存功能,直接查找,如果查找不到,缓存本身会记录相关信息,可以直接从缓存记录的位置开始查找,不用从根域开始寻找。
总结域名解析过程:按顺序查找,找到则成功退出1.浏览器的DNS缓存查找,没有则22.操作系统的DNS缓存查找,没有则33.host文件查找,没有则44.TCP/IP设置的本地DNS服务器查找,没有则55.DNS服务器的缓存,如果缓存中也没找到,没有则66.13台根DNS,同上问讲的理想状态寻找,一层域,一层域找,就像俄罗斯套娃一样。
环球(中国)集团股份有限公司DNS解决方案目录目录一、DNS解决方案 (4)1.现状分析 (4)2.重点考虑的问题 (5)2.1安全稳定问题 (5)2.2解析能力问题 (5)2.3快速高效问题 (5)2.4线性扩容问题 (5)2.5管理运维问题 (6)2.6数据分析问题 (6)2.7二次开发问题 (6)3.方案设计 (6)4.方案说明 (7)5.方案优势 (8)5.1整体系统响应快速性 (8)5.2整体系统稳定可靠性 (8)5.3整体系统的高安全性 (9)5.4整体系统的高可用性 (9)5.5数据统计分析和挖掘 (10)5.6整体系统预警应急处理 (10)5.7整体系统的可扩展性 (11)5.8整体系统二次开发性 (11)6.方案实施 (11)6.1整体实施 (11)6.2分步实施 (12)7.DNS混用的解决 (14)二、DNS配置 (16)一、DNS解决方案1. 现状分析随着公司业务的飞速发展迅速,业务遍布全国各地,对网络的要求也在不断提高。
目前公司两大平台的域名解析是由第三方来完成的,存在着严重的安全和稳定的隐患,存在速度低下(至少是不理想)的访问效率问题,不仅影响公司的形象,也会严重影响到我们公司业务的快速发展,具体表现为:●跨运营商访问速度缓慢/跨地区访问速度缓慢造成访问过慢的主要是有以下几点造成的:跨网访问应用服务器跨网访问会存在延时,造成访问速度低下。
可以通过智能DNS判断用户的源IP,进行解析,从面避免用户夸网进行访问跨地域访问应用服务器如果一个海南的用户访问北京的一台应用服务器,即使同一运营商,也会存在访问速度很慢的现象。
通过智能DNS,可以让用户就近访问应用服务器,从而提高打开应用服务的速度●宕机的处理和避免在保证单体DNS服务器稳定的同时,通过各个站点、节点均采用双机或者多机热备的模式,来避免个别DNS出现异常给用户解析带来的影响。
●部分用户存在混用DNS问题DNS混用是指用户设置了非本地运营商提供的DNS地址,而造成智能DNS在解析时不能准确的判断其真实的来源。
DNS的工作原理及解析DNS(Domain Name System,域名系统)是一种用于将域名解析为IP地址的分布式数据库系统。
它是互联网的基础设施之一,用于向用户提供域名解析服务,使用户能够通过域名访问特定的网站或服务。
本文将介绍DNS的工作原理及解析过程。
1.工作原理:DNS采用了分层的设计,由全球范围内的多个DNS服务器组成一个庞大的网络。
这些服务器之间相互连接,形成一个层次结构的体系。
DNS的工作原理大致可以分为以下几个步骤:Step 1: 用户发起域名解析请求:当用户在浏览器中输入一个网址时,DNS解析过程就开始了。
浏览器首先会发送一个DNS请求到本地DNS服务器。
Step 2: 本地DNS服务器查询缓存:本地DNS服务器会先检查自己的缓存,查找是否有该域名对应的记录。
如果找到了,就直接返回给用户;如果没有找到,则继续下一步。
Step 5: 本地DNS服务器查询顶级域名服务器:本地DNS服务器向顶级域名服务器发送请求,询问它关于域名的DNS记录。
Step 7: 本地DNS服务器查询次级域名服务器:本地DNS服务器向次级域名服务器发送请求,询问它关于域名的DNS记录。
Step 8: 次级域名服务器返回IP地址:次级域名服务器收到请求后,会将域名对应的IP地址返回给本地DNS服务器。
Step 9: 本地DNS服务器返回IP地址给用户:本地DNS服务器获得IP地址后,将其返回给用户的浏览器,浏览器随即开始建立与该IP地址对应网站的连接,用户最终得以访问该网站。
2.解析过程:DNS解析过程主要涉及两个主要的资源记录类型:A记录和CNAME记录。
- A记录(Address Record):将域名解析为IPv4地址。
- CNAME记录(Canonical Name Record):将域名解析为另一个域名。
Step 2: 本地DNS服务器查询缓存,若找到对应的记录,则返回给用户所查询的记录。
Step 3: 若缓存中未找到对应的记录,本地DNS服务器发起递归查询。
浅谈DNS体系结构:DNS系列之一DNS是目前互联网上最不可或缺的服务器之一,每天我们在互联网上冲浪都需要DNS的帮助。
DNS服务器能够为我们解析域名,定位电子邮件服务器,找到域中的域控制器……面对这么一个重要的服务器角色,我们有必要对它进行一番深入研究,本文尝试探讨一下DNS的体系结构,从而让大家能更好地了解DNS的原理。
DNS的主要工作是域名解析,也就是把计算机名翻译成IP地址,这样我们就可以直接用易于联想记忆的计算机名来进行网络通讯而不用去记忆那些枯燥晦涩的IP地址了。
现在我们给出一个问题,在DNS出现之前,互联网上是如何进行计算机名称解析的?这个问题显然是有实际意义的,描述DNS的RFC882和883出现在1984年,但1969年11月互联网就诞生了,难道在DNS出现之前互联网的先驱们都是互相用IP地址进行通讯的?当然不是,但早期互联网的规模确实非常小,最早互联网上只有4台主机,分别在犹他大学,斯坦福大学,加州洛杉矶分校和加州圣芭芭拉分校,即使在整个70年代互联网上也只有几百台主机而已。
这样一来,解决名称解析的问题就可以使用一个非常简单的办法,每台主机利用一个Hosts文件就可以把互联网上所有的主机都解析出来。
这个Hosts文件现在我们还在使用,路径就在\Windows\System32\Drivers\etc目录下,如下图所示就是一个Hosts文件的例子,我们在图中可以很清楚地看到Hosts文件把[url][/url]解析为202.108.22.5。
在一个小规模的互联网上,使用Hosts文件是一个非常简单的解决方案,一般情况下,斯坦福大学的主机管理员每周更新一次Hosts文件,其他的主机管理员每周都定时下载更新的Hosts文件。
但显然这种解决方案在互联网规模迅速膨胀时就不太适用了,就算现在的互联网上有一亿台主机,想想看,如果每个人的计算机中都要有一个容纳一亿台主机的Hosts文件!呵呵,是不是快要崩溃了!互联网的管理者们及时为Hosts文件找到了继任者-DNS,DNS的设计要求使用分布式结构,既可以允许主机分散管理数据,同时数据又可以被整个网络所使用。
管理的分散有利于缓解单一主机的瓶颈,缓解流量压力,同时也让数据更新变得简单。
DNS还被设计使用有层次结构的名称空间为主机命名,以确保主机域名的唯一性。
DNS的设计要求您已经看到了,下面我来具体解释一下。
DNS的前身Hosts文件是一个完全的分散解析方案,每台主机都自己负责名称解析,这种方法已经被我们否定了。
那我们能否使用一个完全集中的解析方案呢?也就是全世界只有一个Hosts文件,互联网用户都利用这个文件进行名称解析!这个方案咋一听还是有可取之处的,至少大家都解脱出来了,不用每台计算机都更新那个Hosts文件了,全世界只要把这个唯一的Hosts文件维护好就完事大吉了。
实际上仔细考虑一下,有很多的问题,例如这台存放Hosts文件的主机会成为性能瓶颈,面临巨大的流量压力,而且每个域名解析的结果都要通过这个文件进行更新,更新的速度可想而知不会太及时。
因此,DNS也没有采用这种完全集中的解析方案。
目前DNS采用的是分布式的解析方案。
具体是这样的,互联网管理委员会规定,域名空间的解析权都归根服务器所有,也就是说,根服务器对互联网上所有的域名都享有完全的解析权!且慢,有读者要提问了,那这个根服务器不就相当于全世界唯一的Hosts文件了吗?呵呵,不要着急,根服务器用了一个简单的操作,就改变了这种结构。
根服务器使用的是什么操作?委派!下图就是根服务器委派的示意图,如下图所示,根服务器把com结尾的域名解析权委派给其他的DNS服务器,以后所有以com结尾的域名根服务器就都不负责解析了,而由被委派的服务器负责解析。
而且根服务器还把以net,org,edu,gov等结尾的域名都一一进行了委派,这些被委派的域名被称为顶级域名,每个顶级域名都有预设的用途,例如com域名用于商业公司,edu域名用于教育机构,gov域名用于政府机关等等,这种顶级域名也被称为顶级机构域名。
根服务器还针对不同国家进行了域名委派,例如把所有以CN结尾的域名委派给中国互联网管理中心,以JP结尾的域名委派给日本互联网管理中心,CN,JP这些顶级域名被称为顶级地理域名。
每个被委派的DNS服务器同样使用委派的方式向下发展,例如和讯公司想申请使用域名,这时和讯就要向负责.com域名的DNS服务器提出申请,只要还没有被其他公司或个人使用,而且申请者按时足额缴纳了费用,负责.com域名的服务器就会把域名委派到和讯公司自己的DNS服务器60.28.251.1。
只要DNS服务器使用委派,域名空间就会逐步形成现有的分布式解析架构。
这种架构把域名解析权下放到各公司自己的DNS服务器上,既有利于及时更新记录,同时对平衡流量压力也很有好处。
那么,在这种分布式的解析结构中,DNS服务器如何进行域名解析呢?换句话说,其他的DNS服务器怎么知道由60.28.251.1负责解析的域名呢?如果一个互联网用户想解析域名[url][/url],过程是怎么样的呢?如下图所示,用户把解析请求发送到自己使用的DNS服务器上,DNS服务器发现自己无法解析[url][/url]这个域名,于是就把这个域名发送到根服务器请求解析,根服务器发现这个域名是以com结尾的,于是告诉查询者这个域名应该询问负责com的DNS服务器。
这时查询者会转而向负责com的域名服务器发出查询请求,负责com域名的DNS服务器回答说[url][/url]是以结尾的域名,以结尾的域名已经被委派到DNS服务器60.28.251.1了,因此这个域名的解析应该询问60.28.251.1。
于是查询者最后向60.28.251.1发出查询请求,这次应该可以如愿以偿了,60.28.251.1会告诉查询者所需要的答案,查询者拿到这个答案后,会把这个查询结果放入自己的缓存中,如果在缓存的有效期内有其他DNS客户再次请求这个域名,DNS服务器就会利用自己缓存中的结果响应用户,而不用再去根服务器那里跑一趟了。
以上介绍的域名解析过程我们可以通过一个实验来加以说明,Berlin是一个DNS 服务器,IP地址为192.168.1.200,其他IP参数如下图所示。
我们现在用Berlin 来解析一个域名,我们用抓包工具ethereal追踪一下域名解析的轨迹。
在DNS服务器上查询[url][/url],如下图所示,DNS服务器已经解析了这个域名,但到底解析的过程是什么样的呢?向下看!打开抓包工具Ethereal,如下图所示,我们看到第8条记录显示DNS服务器Berlin向198.41.0.4发出了一个查询请求,请求解析[url][/url],198.41.0.4何许人也,13个根服务器之一!接下来看第9条记录,198.41.0.4给Berlin一个回应,告诉了Berlin这个域名解析问题应该询问负责com区域的DNS服务器,而且198.41.0.4还给出了负责com区域服务器的域名和IP地址。
接下来的第10条记录显示了Berlin向192.55.83.30发出了域名解析请求,从上图可知,192.55.83.30就是负责com区域的域名服务器之一,这次查询会有什么样的回应呢?从下图的第11条记录可以看出,负责com区域的域名服务器告诉Berlin,以结尾的域名已经委派出去,现在有四个服务器负责,Berlin可以向这四个服务器中的任何一个提出查询请求。
从第12条记录可以看出,Berlin这次向59.173.14.26提出了查询请求,59.173.14.26就是上图中提到的负责区域的四个服务器之一。
这次查询会有什么样的结果呢?如下图的第13条记录所示,这次查询终于有了结果,负责的59.173.14.26终于告诉Berlin,[url][/url]对应的IP是60.28.250.55。
通过这个实验,希望大家能够更好地理解DNS的分布式结构,下篇博文中我们要讨论一下如何DNS服务器的常用记录类型。
详解DNS的常用记录(上):DNS系列之二在上篇博文中,我们介绍了DNS服务器的体系结构,从中我们了解到如果我们希望注册一个域名,那么必须经过顶级域名服务器或其下级的域名服务器为我们申请的域名进行委派,把解析权委派到我们的DNS服务器上,这样我们才可以获得对所申请域名的解析权。
本文中我们将再进一步,假设我们已经为公司成功申请了一个域名,现在的解析权被委派到公司的DNS服务器202.99.16.1,那我们在202.99.16.1服务器上该进行什么样的配置呢?一安装DNS服务器首先我们要在服务器上安装DNS组件,服务器的TCP/IP配置如下图所示。
安装DNS组件非常简单,依次点击控制面板-添加或删除程序-添加/删除Windows组件-网络服务,如下图所示,选择“域名系统”即可。
二创建区域DNS服务器创建完毕之后,我们接下来就要创建DNS区域了,区域是DNS服务器所负责的名称空间,DNS服务器有正向区域和反向区域,正向区域负责把域名解析为IP,而反向区域负责把IP解析为域名。
DNS区域有三种类型,正向区域,反向区域和存根区域。
要理解区域类型,先要明白DNS服务器有主服务器和辅助服务器的区别。
一般情况下,企业申请域名时会考虑配备两个DNS服务器,一个是主服务器,另一个是辅助服务器。
一般的解析请求由主服务器负责,辅助服务器的数据是从主服务器复制而来的,辅助服务器的数据是只读的,当主服务器出现故障或由于负载太重无法响应客户机的解析请求时,辅助服务器会挺身而出担负起域名解析的任务。
现在我们回过头来解释一下什么是主要区域,主服务器使用的区域就是主要区域,同样,辅助服务器使用的区域是辅助区域。
存根区域可以看做是一个特殊的,简化的辅助区域,具体区别我们在后续博文中会加以介绍。
一般我们使用较多的是正向区域,而且从逻辑上考虑,必然是先创建主要区域,因为辅助区域和存根区域都需要从主要区域复制数据,因此我们现在的任务是要为区域创建一个正向的主要区域。
如下图所示,我们在DNS服务器上选择创建一个正向区域。
出现新建区域向导,点击下一步继续。
选择创建一个主要区域。
区域名称和申请的域名是一样的,。
区域数据文件是.dns,区域内的所有记录都存储在这个文件里,注意,这个文件我们以后会用到的。
向导询问是否允许区域动态更新,一般来说,如果DNS区域在企业内网使用,我们会允许动态更新;如果用于Internet,那么一般不需要动态更新。
如下图所示,区域创建完毕。
区域创建完毕之后,如下图所示,区域中只有一个NS记录和一个SOA记录,我们接下来要做的工作就是在区域中创建适当的DNS记录。
三创建记录DNS记录是DNS区域数据的具体表现形式,我们接下来为大家介绍几种最常见的DNS记录,大家掌握了这些记录就可以基本掌握DNS的基本应用了。
