中小企業自建DNS服務器解決方案（待續）

中小企業自建DNS服務器解決方案

---

目錄：

1.背景分析

2.技術分解

  2.1 網絡架構

  2.2 基礎概念

  2.3 DNS架構

  2.4 DNS主從結構

3. 安全防護

  3.1 配置規範

  3.2 ***防護

  3.3 DDos防護

  3.4 劫持防護

4.實施方案

  4.1 一期項目

  4.2 二期項目

  4.3 三期項目

5.商業參考

  5.1 DNSPOD

  5.2 CLOUDXNS

---

一.背景分析

    隨着企業業務量的日益增長，服務器數量逐漸龐大，分佈在全國各地成千上萬臺的服務器管理已是IT運維人員不得不面對的問題，尤其是IPV6的普及，更是增加DNS服務的難度。自動化運維時代裏execl表格統計衆多服務器IP地址已無法滿足運維需求，因此藉助互聯網發展過程中對IP的管理思路和比較著名的域名商（ALiDNS、DNSPOD、CLOUDXNS等）的服務架構及策略，在企業內部搭建私有DNS系統服務內部服務器，方便運維人員對業務服務器IP地址的記憶，提高運維管理效率。

二.技術分解

  2.1 網絡架構

    企業在不同省市數據中心部署相應的服務器，各數據中心通過vxlan 技術將衆多服務器邏輯意義上形成大型局域網，企業總部部署監控管理平臺，子公司數據中心部署局部監控管理平臺，子公司管理平臺針對日常故障進行處理，總部監控管理平臺可針對全國各個數據中心資源綜合調度協調，各業務模塊綜合調試統一部署、統一管理，且更加輕鬆和方便的整體把控全國各個數據中心資源使用情況、業務訪問情況、安全模型搭建情況等。

   企業內部服務器架構如下圖2-1：

                                  圖2-1企業服務器架構圖   

  2.2 基礎概念

   2.2.1 常規概念

   soa記錄：soa是授權服務器回覆給查詢者，表明自己管理此zone並告知：序列號、刷新時間、過期時間等

   A記錄:指定主機名或域名對應的IP地址；

   AAAA記錄:指定主機名或域名對應的IPV6地址；

   NS記錄:是域名服務器記錄，用來指定該域名由哪個DNS服務器來進行解析；               

   cname記錄:是域名指向其他域名的記錄，如某網一個站點可以有多個域名。

   日常工作中，如果在godaddy購買域名後，可以在goddaddy上做域名解析，也可以進行域名託管，如果是託管需要在goddaddy的DNS管理中，自定義添加域名服務器地址，相當於添加NS記錄，如將域名託管給dnspod的域名服務器：f1g1ns1.dnspod.net、f1g1ns1.dnspod.net，然後在dnspod添加自己的域名，並指定NS記錄f1g1ns1.dnspod.net、f1g1ns1.dnspod.net，讓指定服務器進行解析，最後添加A記錄完成託管。

   其中在DNS網站中經常會遇見域名服務器，其實域名服務器就是domain name server DNS服務器，另外在做域名解析時，優化域名解析經常採用泛域名解析，使用通配符將輸出一定意義上錯誤主機名後迴應正確的IP地址。

   2.2.2 全局轉發和特定區域轉發

    DNS服務器有子域時，子域服務器正確情況下找父域時通過根服務器進行查找，因此效率較爲緩慢，此時配置全局轉發或特定區域轉發，將查找父域的域名直接轉發給父域的域名服務器，避免向根迭代查詢浪費帶寬和時間。

   全局轉主要作用：實現對非權威解析（已緩存的除外）都轉發到特定DNS服務器，另外全局轉發有兩種模式first|only，first模式是收到用戶請求時，若自己有對應的域名記錄，則進行迴應，若自己沒有對應的域名記錄則轉交給特定的域名服務器進行解析而不是直接交給13個根服務器進行解析，only模式是若自己有請求的記錄，則給於迴應，若沒有對應的記錄，則迴應解析失敗，不交給13臺根服務器進行解析，具體配置模式如下：

                                    Options {
                                          forward first|only;
                                          forwarders { ip;};
                                      };
   特定區域轉發是僅轉發特定區域的請求進行轉發，域的範圍比全局轉發小，但是優先級比全局轉發高，可以理解爲全局轉發中的特殊區域，但二者並無衝突，服務器可以配置爲全局轉發對所有域進行轉發，也可以配置爲特定區域僅對特定的域做轉發。

   2.2.3 tcp/udp端口

   DNS的查詢主要佔用UDP協議53號端口，DNS的主從複製共同佔用TCP協議的53端口和UDP協議的53端口，因此在建設DNS服務器時，如若僅提供查詢，則需防火牆放對外防行UDP協議53號端口，如有主從複製則確保內網TCP和UDP協議的53號端口處於正常訪問狀態。

  2.3 DNS架構

   根據長期的業務規劃，企業自建DNS服務器架構參考互聯網DNS架構，建設根服務器、頂級域服務器和二級域服務器，其中根服務器和頂級域服務器分別採用兩臺服務器做主被模式，增加其容錯性和負載均衡，二級域名服務器採用多臺服務器組成，其中在每個數據中心放置一臺二級域名服務器，企業總部二級master服務器，其他子數據中心爲slave服務器，增加不同數據中心域名解析的快速高效性。具體DNS結構如圖2-2

                                     圖2-2 企業DNS架構圖 

    因成千上萬臺服務器的業務不同，在頂級域名設計時根據不同的業務類型進行規劃，如根據業務類型、業務功能等劃分不同的頂級域，

  2.4 DNS主從結構

     DNS主從結構設計主要防止其中一臺服務器宕機後，域名解析失敗，因此在大型企業內部建設主從結構，在中小型企業中可以單臺主DNS服務器即可，

3. 安全防護

  3.1 配置規範

  3.2 ***防護

  3.3 DDos防護

  3.4 劫持防護

4.實施方案

  4.1 一期項目

    主要是單臺服務器配置

   （提供配置清單）

  4.2 二期項目

    主要是組織結構配置

    （提供架構的配置）

  4.3 三期項目

     動態+數據庫結構設計（帶）

    （提供整體配置方案）

  ----參考https://www.zhihu.com/question/23246882

5.商業參考

  5.1 DNSPOD

  5.2 CLOUDXNS