网络操作系统课程论文

题目：基于策略的DNS 技术及其应用摘要：DNS （Domain Name System，域名系统）主要用来提供域名与IP 地址相互映射的网络服务 关键词：域名系统 域名解析系别：计算机科学系 班级

题目：基于策略的DNS 技术及其应用

摘要：

DNS （Domain Name System，域名系统）主要用来提供域名与IP 地址相互映射的网络服务 关键词：域名系统 域名解析

系别：计算机科学系 班级：信息安全 姓名：xxx 学号：xxx

DNS ：是域名系统（Domain Name System）的缩写，指在Internet 中使用的分配名字和地址的机制。域名系统允许用户使用友好的名字而不是难以记忆的数字——IP 地址来访问Internet 上的主机。

DNS 使用了一个遍布全世界的层次型的分布式数据库，它包括了Internet 上所有域名及IP 的对应信息。数据库的层次性允许将域名空间划分成独立的管理部分，成为域；数据库的分布式特性则允许将数据库的各个不同部分分配到不同网络上的域名服务器上，这样各域名服务器可以实现独立的管理。

域名解析：就是将用户提出的名字变换成网络地址的方法和过程，从概念上说，域名解析是一个自上而下的过程。

域名的解析过程是域名解析服务器完成的。域名服务器通常管理域名空间中某部分的完整信息，该部分称为“区域”，其中的信息可能来自档案或另一个域名服务器。此域名服务器被称为具有该区域的管理权（authority ）。一个域名服务器可管理多个区域。在域名服务器上运行一个服务进程（在Unix 系统中，一般为named 进程），该进程为Internet 提供本区域内计算机域名解析服务。使用最多的是DNS 的正向解析，即将域名转换成IP 地址，将IP 地址转换成域名的功能称作反向解析。

一 基于策略的域名解析

用户在应用程序中输入主机域名时，DNS 服务器可以将此名称解析为与之对应地IP 地址。这种解析一般是静态的，即域名与IP 地址是一一对应地。

对于访问量比较大的服务器，可配置多台内容相同的服务器（镜像服务器），对用户访问进行分流，实现负载均衡，这样就出现一个域名对应多个IP 地址情况。DNS 配置文件中一般会有类似下面的内容： IN A 211.90.89.4 IN A 211.90.89.5

在这种查询方式中，DNS 服务器是以动态轮循的方式回应请求的，即对第一个请求回应的是地址211.90.89.4，下一个请求回应地址就是211.90.89.5，以此类推。但这种方法并不能算作策略域名解析。

基于策略的域名解析应比上面动态轮循方式要智能得多，DNS 服务器可以根据客户端所在网络的不同，返回不同的解析结果；或者是DNS 服务器根据客户端所在网络的不同，应用不同的安全策略，比如对内网用户提供递归解析服务的同时忽略外网用户的递归解析请求。

基于策略的域名解析，带来的最大好处就是可以在多线路接入网络环境下实现路由最优化。在Unix 平台下，利用ISC BIND （Berkeley Internet name domain ）软件架设的DNS 服务器，有以下2种比较简便的实现方法。

1. 利用Iptables BIND实现

该方法的核心思想在与：DNS 服务器上运行多个BIND ，每个BIND 具有不同

的配置文件和域名文件，分别监听在不同的端口上，为来自不同区域的用户提供解析。

缺省情况下，BIND 服务监听在53端口，通过配置可以让BIND 运行在不同的

IP 及端口上。在接到客户端DNS 请求时，根据客户的IP 地址将请求重定向至不同的BIND 服务端口。BIND 响应时，再改写相应包的服务端口为标准的53端口，这样就可以根据客户端的IP 地址将不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。其实现的关键在于运行不同的BIND 及运用Iptables 进行IP 地址及端口改写操作。

2 利用BIND9 view语句实现

对于BIND8以及以前的版本来讲，实现策略DNS 一般都采用第1中方法，但

从BIND9开始，提供了view 语句。通过view 语句和ACL （访问控制列表）语句协同工作，也可以实现根据预先定义好的策略，对来自不同网络的用户源IP ，解析出不同的服务器IP 。

二 基于策略的域名解析的实例

现以某大学DNS server作为应用实例，介绍如何利用BIND9实现基于策略的域名解析。

1 应用实例背景

由于通过CERNET 线路访问教育网以外资源时速度很慢，很多高校都会申请另一条线路来与CHINANET 或者UNINET 相连接，该大学城校园网采用的就是这样的双出口方案。采用双出口后，校园网访问公网速度慢的问题得到解决了，但反过来UNINET 用户访问校园网中服务器慢的问题却更加突出了。

2 解决方案

该大学的校园网服务器（域名为www.czdxc.edu.cn ）配置2个IP 地址：教育网IP 地址（210.27.60.3），联通网IP 地址（211.90.145.6），然后，在其DNS server 上增加相关配置，采用策略DNS 方式，使得当用户处于CERNET 网段访问时，会解析到210.27.60.3，处于其他网段的用户则会解析到211.90.145.6

4校园网WWW 服务器的具体配置方法

在联通网段和教育网网段各放一台校园网WWW 服务器是一个最简便的方法，但考虑到服务器的访问量不是很大，从节省投资角度出发，采用了为服务器增加双网卡的方案：

（1）为服务器配置两块网卡

第一块：IP 地址210.27.60.3，掩码255.255.255.0，网关210.27.60.1

第二块：IP 地址211.90.145.6，掩码255.255.255.224，网关211.90.145.30

（2）增加路由

routeadd-net 210.27.112.0 netmask 255.255.248.0 deveth0//到教育网的路由 routeadd-net 202.117.176.0 netmask 255.255.240.0 deveth0//到教育网的路由 routeadd default fw 211.90.145.30 dev eth1//到UNINET 的默认路由

将上述命令写入脚本，系统启动时就会加载这些路由信息。通过以上配置，

WWW 服务器就可以正常工作了，UNINET 用户就可以通过校园网的UNINET

高速链路访问WWW 服务器了。