《网络运维管理》/实验八:在园区网内提供DNS智能解析服务 《网络运维管理》——实验指导书 实验八:在园区网内提供DNS智能解析服务 实验简介 在园区网内添加DNs服务器,实现DNS查询和域名解析服务,并且针对相同域名的解析,能 够根据DNS请求来源的不同(不同网段的P地址),返回不同的|P地址。 二、实验目的 1、实现园区网内DNS服务器的部署 2、实现DNS智能解析服务 三、实验理论 1、什么是智能DNS 智能DNS解析是针对目前电信、联通、教育网互联互通不畅的问题推出的一种DNS解决方 案。具体实现是:把同样的域名如 hntcm. cn的A记录分别设置指向部署于电信、联通、教育网的 相应服务器的P,当电信的客户访问时,智能DNS会自动判断访问者来路,并返回相应的部署在 电信的服务器的IP地址;当联通的客户访问时会自动返回部署在联通的服务器P地址;当教育网 的客户访问时,会返回部署在教育网的服务器IP地址。 这样,就可以避免联通的客户去访问电信的网络,以及电信的客户去访问联通的网络等现象, 很好的解决了客户跨网访问不畅的问题 2.智能DNS的实现原理 (1)定义IP表:定义各个不同客户群的P表,以区别客户来源 (2)定义智能DNS解析:为每一种不同的客户来源定义一条个性化的DNS解析记录。使 他们之间访问的P地址不同 (3)BND配置:使用BⅠND来做智能DNS主要使用其Vew功能。自定义一个IP表,然 后通过view功能来进行区别。隶属于P表A的访问将得到一个地址,隶属于IP表B 的将得到另外一个不同的PP地址,但其都对应同一个域名。 3、智能DNS案例 以访问www.hntcm.cn为例。假设域名www.hntcm.cn的服务器在教育网(IP为2222),其 台镜像服务器在电信(IP地址为1.1.1.1),另一镜像服务器在联通(IP地址为3,3.3.3)。 电信用户访问过程如下: (1)首先网通用户向本机设定的DNS发起询问www.hntcm.cn的地 (2)之后本地DNS即电信DNS向智能DNS发起询问。 (3)智能DNS判断发起询问的DNS服务器的地址属于电信地址段,之后将1.1.1.1地址返 回给电信DNS服务器。 (4)电信DNS服务器将www.hntcmcn部署在电信的服务器地址1.1.1.1返回给电信用 户 (5)电信用户访问1.1.1.1的服务器,最终访问到www.hntcm.cn 同理可推:教育网及联通用户同理。 河南中医药大学信息技术学院|网络与信息系统科研工作室 第1页
《网络运维管理》 / 实验八:在园区网内提供 DNS 智能解析服务 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 《网络运维管理》—— 实验指导书 实验八:在园区网内提供 DNS 智能解析服务 一、实验简介 在园区网内添加 DNS 服务器,实现 DNS 查询和域名解析服务,并且针对相同域名的解析,能 够根据 DNS 请求来源的不同(不同网段的 IP 地址),返回不同的 IP 地址。 二、实验目的 1、实现园区网内 DNS 服务器的部署; 2、实现 DNS 智能解析服务 三、实验理论 1、什么是智能 DNS 智能 DNS 解析是针对目前电信、联通、教育网互联互通不畅的问题推出的一种 DNS 解决方 案。具体实现是:把同样的域名如 hntcm.cn 的 A 记录分别设置指向部署于电信、联通、教育网的 相应服务器的 IP,当电信的客户访问时,智能 DNS 会自动判断访问者来路,并返回相应的部署在 电信的服务器的 IP 地址;当联通的客户访问时会自动返回部署在联通的服务器 IP 地址;当教育网 的客户访问时,会返回部署在教育网的服务器 IP 地址。 这样,就可以避免联通的客户去访问电信的网络,以及电信的客户去访问联通的网络等现象, 很好的解决了客户跨网访问不畅的问题。 2. 智能 DNS 的实现原理 (1) 定义 IP 表:定义各个不同客户群的 IP 表,以区别客户来源。 (2) 定义智能 DNS 解析:为每一种不同的客户来源定义一条个性化的 DNS 解析记录。 使 他们之间访问的 IP 地址不同 (3) BIND 配置:使用 BIND 来做智能 DNS 主要使用其 View 功能。自定义一个 IP 表,然 后通过 View 功能来进行区别。隶属于 IP 表 A 的访问将得到一个地址,隶属于 IP 表 B 的将得到另外一个不同的 IP 地址,但其都对应同一个域名。 3、智能 DNS 案例 以访问 www.hntcm.cn 为例。假设域名 www.hntcm.cn 的服务器在教育网(IP 为 2.2.2.2),其 一台镜像服务器在电信(IP 地址为 1.1.1.1),另一镜像服务器在联通(IP 地址为 3.3.3.3)。 电信用户访问过程如下: (1) 首先网通用户向本机设定的 DNS 发起询问 www.hntcm.cn 的地址。 (2) 之后本地 DNS 即电信 DNS 向智能 DNS 发起询问。 (3) 智能 DNS 判断发起询问的 DNS 服务器的地址属于电信地址段,之后将 1.1.1.1 地址返 回给电信 DNS 服务器。 (4) 电信 DNS 服务器将 www.hntcm.cn 部署在电信的服务器地址 1.1.1.1 返回给电信用 户。 (5) 电信用户访问 1.1.1.1 的服务器,最终访问到 www.hntcm.cn。 同理可推:教育网及联通用户同理
《网络运维管理》/实验八:在园区网内提供DNS智能解析服务 智能DNs 请求 hntcm.cn的地址 返回 hotan.cn的地址 电信DNs 联通DNs 教育网DNs 返回地址 返回地址 返回地址 3.3.3,3 电信用户 教育网用户 联通用户 访问 访问 访问 电信镜像服 教育网服 联通镜像 务器 务器 服务器 1.111 2.2.2.2 3.3.3.3 图8-0-1智能DNS工作原理 下面给出本例中智能DNS相关配置文件的示例 (1)主配置文件 named. conf中的有关配置 options I directory "/var/named pid-file"/tmp/named pid version "Unsupported on this platform //通过ac命令定义联通用户的|P地址列表(列出部分地址作为示例) acI"CNC"[ 211.147.208.182/32 211.147.208.183/32; 58.16.0.0/16 58.17.0.0/17; 58.17.128.0/17 58.18.0.0/16 58.19.0.0/16 58.20.0.0/16; 58.21.0.0/16 58.22.0.0/15 222.163.128.0/17; //通过ac|命令定义教育网用户的|P地址列表(列出部分地址作为示例) :I"EDU"I 58154.0.0/15; 河南中医药大学信息技术学院|网络与信息系统科研工作室
《网络运维管理》 / 实验八:在园区网内提供 DNS 智能解析服务 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 图 8-0-1 智能 DNS 工作原理 下面给出本例中智能 DNS 相关配置文件的示例 (1)主配置文件 named.conf 中的有关配置 options { directory "/var/named"; pid-file "/tmp/named.pid"; version "Unsupported on this platform"; }; //通过 acl 命令定义联通用户的 IP 地址列表(列出部分地址作为示例) acl "CNC"{ 211.147.208.182/32; 211.147.208.183/32; 58.16.0.0/16; 58.17.0.0/17; 58.17.128.0/17; 58.18.0.0/16; 58.19.0.0/16; 58.20.0.0/16; 58.21.0.0/16; 58.22.0.0/15; 222.163.128.0/17; }; //通过 acl 命令定义教育网用户的 IP 地址列表(列出部分地址作为示例) acl "EDU"{ 58.154.0.0/15;
《网络运维管理》/实验八:在园区网内提供DNS智能解析服务 58.192.0.0/15 58.194.0.0/15 58.196.0.0/15 58.198.0.0/15 58.200.0.0/13 210.25.0.0/16 210.26.0.0/15 210.28.0.0/14 210.32.0.0/14 210.36.0.0/14; view "liantong"[ match- clients CNC;};//设置匹配本vew的客户端,CNC在ac中有定义; zone"hntcm cn"IN e master file "cnc. hntcm cn al low-update [ none include"/etc/named. rfc1912zones"; view" jiaoyu"( match- clients{EDU;};/)设置匹配本vew的客户端,EDU在al中有定义; zone"hntcm cn e master file edu. hntcm cn al low-update I none: I include etc/named. rfc1912zones view "any"[ //设置匹配本view的客户端,any指除了cN和EDU以外的|P; match-cl ients any: I zone "hntcm cn"IN I e master file" tel. hntcm cn al l ow none. include"/etc/named. rfc1912zones"; 注意 1、如果使用了View语句,则要把全部区域的声明语句(zone)放在View语句中。 2、也可以将每一个view中的关于根域的声明(即zong IN的内容),放在 河南中医药大学信息技术学院|网络与信息系统科研工作室 第3页
《网络运维管理》 / 实验八:在园区网内提供 DNS 智能解析服务 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 58.192.0.0/15; 58.194.0.0/15; 58.196.0.0/15; 58.198.0.0/15; 58.200.0.0/13; 210.25.0.0/16; 210.26.0.0/15; 210.28.0.0/14; 210.32.0.0/14; 210.36.0.0/14; }; view "liantong"{ match-clients{ CNC;}; //设置匹配本 View 的客户端,CNC 在 acl 中有定义; zone "hntcm.cn" IN { type master; file "cnc.hntcm.cn"; allow-update { none; }; }; include "/etc/named.rfc1912.zones"; }; view "jiaoyu"{ match-clients{ EDU;}; //设置匹配本 View 的客户端,EDU 在 acl 中有定义; zone "hntcm.cn" IN { type master; file "edu.hntcm.cn"; allow-update { none; }; include "/etc/named.rfc1912.zones"; }; }; view "any"{ //设置匹配本 View 的客户端,any 指除了 CNC 和 EDU 以外的 IP; match-clients{ any;}; zone "hntcm.cn" IN { type master; file "tel.hntcm.cn"; allow-update { none; }; }; include "/etc/named.rfc1912.zones"; }; 注意: 1、如果使用了 View 语句,则要把全部区域的声明语句(zone)放在 View 语句中。 2、也可以将每一个 view 中的关于根域的声明(即 zong “.” IN 的内容),放在
《网络运维管理》/实验八:在园区网内提供DNS智能解析服务 named.rfcl912. zones中。这样只需要在 named. rfcl912. zones中写一次即可 3、由于 named. rfcl912. zones文件中也有zone语句,因此在/etc/ named. conf文件中, 必须把 include"/etc/ named.rfc1912. zones";语句放在view中。 (2)在/var/ named目录下创建区域配置文件 vi /var/named/cnc. hntcm cn //以下是区域文件 cnc. hntcm cn的内容 SttI 1H IN SOA hntcm. cn. root hntcm. cn. 0 serial refresh retry expire 3H) minimum ns1. hntcm cn IN A 210.51.170.17 WWw IN A 1.1.1.1//给联通用户返回的|P地址 vi /var/named/edu. hntcm cn //以下是区域文件edu. hntcm. cn的内容 Stt IN SOA hntcm. cn. root. hntcm. cn. ser ial refresh retry expire minimum IN NS ns1. ca i xun. com 210.51.170.1 WwW IN A 2.2.2.2//给教育网用户返回的|P地址 /var/named/te l hnt //以下是区域文件tel. hntcm. cn的内容 IN SOA hntcm. cn. root. hntcm. cn. refresh 1H s1 caixu s1 IN A 210.51.170.17 Www IN A 33.3.3//给电信用户返回的|P地址 河南中医药大学信息技术学院|网络与信息系统科研工作室 第4页
《网络运维管理》 / 实验八:在园区网内提供 DNS 智能解析服务 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 named.rfc1912.zones 中。这样只需要在 named.rfc1912.zones 中写一次即可。 3、由于 named.rfc1912.zones 文件中也有 zone 语句,因此在/etc/named.conf 文件中, 必须把 include "/etc/named.rfc1912.zones";语句放在 view 中。 (2)在/var/named 目录下创建区域配置文件 vi /var/named/cnc.hntcm.cn //以下是区域文件 cnc.hntcm.cn 的内容 $ttl 1H @ IN SOA hntcm.cn. root.hntcm.cn.( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS ns1.hntcm.cn. ns1 IN A 210.51.170.17 www IN A 1.1.1.1 //给联通用户返回的 IP 地址 vi /var/named/edu.hntcm.cn //以下是区域文件 edu.hntcm.cn 的内容 $ttl 1H @ IN SOA hntcm.cn. root.hntcm.cn.( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS ns1.caixun.com. ns1 IN A 210.51.170.17 www IN A 2.2.2.2 //给教育网用户返回的 IP 地址 vi /var/named/tel.hntcm.cn //以下是区域文件 tel.hntcm.cn 的内容 $ttl 1H @ IN SOA hntcm.cn. root.hntcm.cn.( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS ns1.caixun.com. ns1 IN A 210.51.170.17 www IN A 3.3.3.3 //给电信用户返回的 IP 地址
《网络运维管理》/实验八:在园区网内提供DNS智能解析服务 4.智能DNS的优点和存在的问题 通过智能DNS,可以有以下应用: (1)镜象网站:在网通及电信的机房放置多个相同的镜象站点,让不同的地方客户访问不 同的站点 (2)负载均衡:对于流量比较大的网站,可以通过该功能把流量分配到几台不同的服务器 上,以提高网站的运行速度。 (3)个性化站点服务:比如通过IP表的重新定义,让国外的客户自动访问英文版的网站 让国内的客户自动访问中文版的网站 但是,智能DNS也有不足 智能dns的自动寻路功能的关键在于提供的p段列表和向智能dns发起询问的机器的p地址 通过这2个因素判断,进而返回不同p地址。但是在此机制下会产生一种问题,就是如果网通用 户自己本身的 client设定的dns是电信的dns,那么网通用户得到的地址也将是电信的地址,这个 智能dns无法进行有效判断 四、网络拓扑 互联网 互联网 O-R-1 o-R-2 园区网 RS-1 S-RS.2 A-RS-1 4 B-RS- RS-3 S-RS-4 A-SW-1 B-SW-1 A-AP-1 AC-1 Server -1 A-C-1A-C-2 B-C-1 B-C-2 STA-2 phone-2 图8-0-2网络拓扑 五、设计要求 在 Virtualbox中创建虚拟机,安装 Centos7操作系统,安装BIND,搭建DNS服务器: 、如图8-0-2所示,在园区网内部署DNS服务器(命名为DNS),并将其设置为园区网内用 户的本地DNS服务器 3、通过该DNS服务器,可以实现对互联网域名的查询,例如可以ping通www.baiducom, 并显示域名记录www.baidu.com对应的P地址; 、配置DNS服务器,在DNS服务器上配置 xuchenggang. net域名的智能解析,实现: 1)当域名(例如www.xuchenggang.net)解析请求来自A-C-1、AC-2,或通过AAP-1接 入园区网的无线终端用户时,返回的解析结果为 Server-1的IP地址,即此处访问 www.xuchenggang.net是访问的Server1); 河南中医药大学信息技术学院|网络与信息系统科研工作室
《网络运维管理》 / 实验八:在园区网内提供 DNS 智能解析服务 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 4. 智能 DNS 的优点和存在的问题 通过智能 DNS,可以有以下应用: (1) 镜象网站:在网通及电信的机房放置多个相同的镜象站点, 让不同的地方客户访问不 同的站点。 (2) 负载均衡:对于流量比较大的网站,可以通过该功能把流量分配到几台不同的服务器 上,以提高网站的运行速度。 (3) 个性化站点服务:比如通过 IP 表的重新定义, 让国外的客户自动访问英文版的网站; 让国内的客户自动访问中文版的网站。 但是,智能 DNS 也有不足。 智能dns 的自动寻路功能的关键在于提供的 ip段列表和向智能dns发起询问的机器的 ip地址。 通过这 2 个因素判断,进而返回不同 ip 地址。但是在此机制下会产生一种问题,就是如果网通用 户自己本身的 client 设定的 dns 是电信的 dns,那么网通用户得到的地址也将是电信的地址,这个 智能 dns 无法进行有效判断。 四、网络拓扑 五、设计要求 1、 在 VirtualBox 中创建虚拟机,安装 Centos7 操作系统,安装 BIND,搭建 DNS 服务器; 2、 如图 8-0-2 所示,在园区网内部署 DNS 服务器(命名为 DNS ),并将其设置为园区网内用 户的本地 DNS 服务器。 3、 通过该 DNS 服务器,可以实现对互联网域名的查询,例如可以 ping 通 www.baidu.com, 并显示域名记录 www.baidu.com 对应的 IP 地址; 4、 配置 DNS 服务器,在 DNS 服务器上配置 xuchenggang.net 域名的智能解析,实现: 1) 当域名(例如 www.xuchenggang.net)解析请求来自 A-C-1、A-C-2,或通过 A-AP-1 接 入园区网的无线终端用户时,返回的解析结果为 Server-1 的 IP 地址,即此处访问 www.xuchenggang.net 是访问的 Server-1); 图 8-0-2 网络拓扑