寫在正文之前:
DNS:域名系統
DNS功能:提供域名及IP地址的解析查詢服務
正向解析:已知域名www.abc.com,查詢其對應的IP地址。
反向解析:已知IP地址,查詢該服務器上配置的域名信息。
常用工具:nslookup
域名記錄: NS記錄:解析服務器記錄,用於聲明解析該域名的服務器。例dns.abc.com
MX記錄:郵件交換記錄,用於指向該域名下的郵件服務器。例mail.abc.com
A記錄:正向解析記錄
CNAME記錄:別名記錄
PTR記錄:反向解析記錄
SVR記錄:一種資源記錄類型,(應用較少)
TXT記錄:設置文本說明,可用於防止對方將該域名視爲垃圾郵件。
主流DNS服務器:1、Windows server 的dns服務器(操作簡單)
2、Linux下搭建的bind服務器(操作複雜)
3、由DNS廠商出產的圖形界面的DND服務器設備(基於Linux搭建)
常見DNS應用環境:
1、 簡單環境
1、配合企業內網郵箱解析內部郵箱域名。
2、配置企業域名對公網提供權威解析,或同時對內網用戶提供域名解析。
3、配置企業域名並對外提供智能解析,即對不同運營商的用戶將同一域名解析爲不同運營商的應用服務器的IP地址。
4、單臺DNS服務器爲若干域名提供在線權威解析。
2、 較爲複雜的環境
部署兩臺DNS服務器互爲主被模式或互爲主輔模式,
對公網提供權威解析,實現不同運營商的智能解析,
多運營商接入環境中,若其中一運營商線路故障則將該運營商下的解析切換至另外運營商線路。
對內網用戶提供公網域名的解析服務,將本地域名解析爲應用服務器的內網IP
針對內網用戶組A、用戶組B源IP不同,解析公網域名記錄www.xyz.com時,A組解析至聯通DNS服務器,得到www.xyz.com的聯通地址,B組解析至電信DNS服務器,得到www.xyz.com的電信地址。
根據客戶需求實現特定域名重定向。
將不同域名記錄解析至同一應用服務器IP地址的不同端口。
正文:
普通企業域名解析多依託於域名提供商,常見的DNS搭建環境爲高校網絡,高校的DNS建設背景:
1、 高校擁有至少一個域名,其中必備的是edu域名,如:abc.edu.cn,或許有abc.net等域名。
2、 高校網絡爲多線路接入,會有教育網與聯通或電信或移動同時接入。
3、 傳統高校網站存在各系部網站不統一情況,不同系部有不同網站服務器,另外校內各應用服務器較多,故DNS服務器由學校自行搭建管理更爲方便。
4、 校內用戶量龐大,校內用戶解析學校網站時,解析成網站服務器的內網IP,會優化網絡流量。
5、 高校內教師信息技術水平通常較高,比較容易就能搭建起自己的DNS服務器,由於Windows的DNS服務器不能實現分運營商智能解析功能,大多學校選用基於Linux的bind服務器,其操作較爲複雜,故出現可操作界面的專業DNS服務器設備。
6、現在網絡設備廠商的中高端設備如負載均衡等,也已經集成了DNS功能。
下面通過較爲常見的一個高校網絡環境對DNS的應用進行總結分析,該校網絡環境爲教育網EDU、聯通CNC、電信TEL三條運行商接入,學校域名爲abc.edu.cn註冊地址爲教育網222.1.1.3, 網站服務器www.abc.edu.cn爲教育網地址222.1.1.2,同時www在聯通備案地址111.1.1.2,在電信備案地址123.1.1.2。 在出口路由配置端口映射,如圖所示:
本文僅提供思路,不提供配置。
實現功能及配置思路:
1、 DNS服務器上配置四個地址庫:分別爲 EDU:包含國內所有教育網網段
CNC:包含國內聯通地址庫
TEL:包含國內電信地址庫
LAN:包含學校內網所有網段
2、 域名abc.edu.cn配置權威智能解析:
配置DNS server IP地址,並測試連通性。
配置 記錄:NS記錄:dns.abc.edu.cn 並配置對應的A記錄:222.1.1.3
MX記錄:mail.abc.edu.cn
配置主機頭爲www的A記錄 EDU對應地址:222.1.1.2; LAN對應:222.1.1.2
CNC對應地址:111.1.1.2 ;TEL對應的地址:123.1.1.2
配置主機頭爲mail的A記錄 LAN對應地址:172.16.1.2 ;CNC對應111.1.1.2 ;TEL對應地址:123.1.1.2;
EDU對應地址:111.1.1.2(或123.1.1.2)(因爲mail服務器地址爲私網地址無教育網地址故教育網用戶通過外網訪問只能通過電信或聯通進入網絡)
配置完成後實現效果:
內網PCC 解析www.abc.edu.cn 得到222.1.1.2 解析mail.abc.edu.cn得到172.16.1.2
教育網用戶PCA解析www.abc.edu.cn 得到222.1.1.2 解析mail.abc.edu.cn得到111.1.1.2
聯通網用戶PCB解析www.abc.edu.cn得到111.1.1.2 解析mail.abc.edu.cn得到111.1.1.2
電信網絡用戶解析www.abc.edu.cn得到123.1.1.2 解析mail.abc.edu.cn得到123.1.1.2
聯通用戶PCB解析www.abc.edu.cn得到111.1.1.2的解析過程爲:
PCB 發起www.abc.edu.cn的查詢請求到本地聯通DNS服務器。
聯通DNS服務器查詢本機緩存,若能找到緩存記錄則返回地址給PCB。
聯通DNS服務器本機緩存沒有記錄,則進行遞歸查詢,第一步查詢跟服務器 .
根服務器.返回結果告訴聯通服務器到cn.服務器查詢
聯通DNS服務器到cn.服務器查詢www.abc.edu.cn,
cn.服務器返回結果告訴聯通DNS到edu.cn.服務器查詢
聯通DNS服務器到edu.cn.服務器查詢www.abc.edu.cn,
Edu.cn.服務器將 將abc.edu.cn的註冊IP:222.1.1.3 返回給聯通DNS服務器
聯通DNS服務器到IP地址爲222.1.1.3的DNS服務器:dns.abc.edu.cn進行查詢www.abc.edu.cn;
Dns.abc.edu.cn收到查詢請求數據包,判斷數據包源IP爲聯通地址存在CNC地址庫中,則將www.abc.edu.cn對應的IP111.1.1.2 返回給聯通DNS
聯通服務器將www.abc.edu.cn的IP111.1.1.2 返回給PCB
3、 校內PCC用戶配置本機DNS地址爲:222.1.1.3
PCC 解析www.abc.edu.cn 得到IP:222.1.1.2 (正確)
PCC解析www.sina.com.cn 會得到什麼地址呢???
說明:像sina等大公司的服務器大部分會在聯通、電信、移動、教育網都有鏡像服務器,並對www.abc.edu.cn做智能解析。
則:PCC解析www.sina.com.cn 基本會得到sina 放在教育網的鏡像地址。
若校內有負載均衡設備,PCC訪問www.abc.edu.cn會走教育網到sina的教育網服務器。
大多數高校的教育網帶寬通常很小,校內用戶訪問非教育網資源肯定要走聯通或電信出去。
若該校聯通帶寬爲1000M,電信爲50M,讓校內用戶解析非教育網地址儘可能爲聯通資源地址。
解決方案爲:在出口路由配置策略路由:源地址爲222.1.1.3 下一跳爲聯通網關,由聯通口出公網。