【计算机网络原理·实验·第九章】搭建内网域名解析服务器

理论部分：【计算机网络】第九章：应用层

企业内部可以不搭建域名解析服务器，直接通过互联网中的域名解析服务器来实现网络交互也可以。但是如果没有内部的域名解析服务器，则相当于内网内每一台设备，如果要在短时间内访问同一个网站，则对于每一个设备都有找根服务器并且委派子域名解析服务器的过程。这些流量会占据部分带宽，影响性能。但是，如果有本地的域名解析服务器，则第一台设备访问后，会将域名解析结果放入DNS服务器的缓存中，此时接下来其它设备访问同一网站时，速度更快且节省带宽。
内网内的域名解析服务器可以随意命名，比如我想用baidu.com做我的内网域名，也可以。因为外网的人不会访问到本地服务器，而baidu.com作为本地域名就相当于内网IP可以在外网存在一样，即便已经注册也无所谓。只不过当你真的想要访问百度的时候，你的DNS解析结果会是内网的服务器，这样的命名方式会令你不能访问真正的对应服务器，但是从命名原则上来说是完全可以的。


图中PC1和PC2所在内网，访问同一个网站，他们需要分别做一次相同步骤的域名解析，找就近的域名解析服务器，找根，找委派服务器。而PC3和PC4因为内网的本地域名解析服务器，第二台以后的设备访问时，可以通过缓存直接读取结果。从而节省带宽与时间。

虚拟机设置域名服务器

既然这台虚拟机即将成为域名解析服务器，那么DNS就可以设置为自己。DNS服务和DNS客户端是两回事，并不会因为DNS服务器指向自己，其他设备的计算机通过该设备就出不去网络，之所以内网域名解析服务器可以解析域名，是因为有根提示。通过根提示找根，费劲千辛万苦找到对应的网络中的域名解析服务器并缓存才是内网域名解析服务器的真正意义。
安装方法：

然后我们要测试网络是否连通，如果不能上网，自然域名解析也没有意义。

然后我们把另一台设备的DNS指向这一台设备。现在这一台srv2003就是内网域名解析服务器了。

添加后我们查看本机的根提示，发现根提示为了容错有多个根，互联网中的根与子域名解析服务器（负责.com/.cn/.net的都为了容错每一种会配置多台服务器）是大量存在的。

然后我们尝试上网，发现网络是通的。然后尝试进行域名解析，这里使用nslookup命令

域名解析结果我们可以发现，得到的都是非权威应答，也就说全部都是通过找根域名解析服务器后逐级委派得到的结果。且默认服务器虽然说位置，其实通过IP地址就确认了该地址是我设置的虚拟机。

此时查看服务器的缓存，阔以找到对应的缓存。以后其他设备在短间隔内访问这些网站时，就不需要再次解析，直接做类似权威应答的回复。

说一下监视里面的简单查询和递归查询。DNS服务器只要能正常工作，则简单查询就能通过；而递归查询简单来说就是是否网络通，网络不通则无法找根然后再找委派。如果这两项都失败，应该尝试重装DNS服务器。

正/反向查找区

记录

1.A记录
又称IP指向，用户可以在此设置子域名并指向到自己的目标主机地址上，从而实现通过域名找到服务器。指向的目标主机地址类型只能使用IP地址。
2. CNAME
通常称别名指向。可以为一个主机设置别名。比如设置web.abc.com，用来指向一个主机www.abc.com那么以后就可以用web.abc.com来代替访问www.abc.com了。
CNAME的目标主机地址只能使用主机名，不能使用IP地址；A记录优先于CNAME记录。即如果一个主机地址同时存在A记录和CNAME记录，则CNAME记录不生效。
3.MX记录
邮件交换记录。用于将以该域名为结尾的电子邮件指向对应的邮件服务器以进行处理。如：用户所用的邮件是以域名abc.com为结尾的，则需要在管理界面中添加该域名的MX记录来处理所有以@abc.com结尾的邮件。
说明：MX记录可以使用主机名或IP地址；·MX记录可以通过设置优先级实现主辅服务器设置，“优先级”中的数字越小表示级别越高。也可以使用相同优先级达到负载均衡的目的；·如果在“主机名”中填入子域名则此MX记录只对该子域名生效。

正向查找区

从域名查找IP地址


创建后，在该文件夹下可以找到dns文件。其中闪存就是起到缓存作用。
1.添加一个镜像web站点实现负载均衡。


这是一个www.abc.com为FQDN的服务器。它有两个等价的IP地址实现负载均衡。
使用另一台设备查看。

验证负载平衡成功。（解析的IP地址顺序不同，每次选取第一个，动态实现负载平衡）
2.邮件服务器mx类记录

此时可以解析到目标邮件服务器的主机名以及IP地址。

但是注意，在type=mx时无法查询a类记录，此时查找www.xxx.com的结果如下

需要set type=a

反向查找区

由IP地址查找域名。逆向解析的应用场景：防火墙设置了不让内网的设备访问某一个网站，然后内部技术人员通过IP地址访问这个网站，防火墙虽然禁止了域名但是没禁止对应的IP地址，此时应用这种反向查找区。通过IP地址解析对应的域名，如果是想要禁用的域名则添加到防火墙内，可以屏蔽内网用户上指定网站。

权威

权威DNS服务器，在自己的配置文件中直接写名了域名与主机对应关系并被授权管理该域时，可以认为这个dns是该域的权威dns。
如果权威DNS无法解析到目标地址，则也不会再通过互联网上的根进行解析，也就是说可以通过权威DNS来限制内网用户访问外网。
首先通过出口路由器限制内网内其他设备，拒绝他们想要使用互联网中的域名解析服务器的请求，只允许使用内网域名解析服务器。然后把内网域名解析服务器中想要禁用的域名添加到正向查找区，这里以taobao为例。

查找区taobao.com无内容。也就说域名解析必定失败，则内网用户访问淘宝网站必定无法解析到对应ip地址，则无法通过域名访问淘宝。

更极端的禁用方法：根限定。新建一个.为域名的域且内无内容。


这样设置意味着只要这台域名解析服务器里没有的，就都不再进行域名解析。换言之，进行了大范围过滤筛选，使内网设备只能访问本地DNS服务器中有的域名。

分析DNS数据包格式

首先，区分两个概念。递归查询和迭代查询。
（1）递归查询
递归查询是一种DNS 服务器的查询模式，在该模式下DNS 服务器接收到客户机请求，必须使用一个准确的查询结果回复客户机。如果DNS 服务器本地没有存储查询DNS 信息，那么该服务器会询问其他服务器，并将返回的查询结果提交给客户机。
（2）迭代查询
DNS 服务器另外一种查询方式为迭代查询，DNS 服务器会向客户机提供其他能够解析查询请求的DNS 服务器地址，当客户机发送查询请求时，DNS 服务器并不直接回复查询结果，而是告诉客户机另一台DNS 服务器地址，客户机再向这台DNS 服务器提交请求，依次循环直到返回查询的结果为止。
报文格式：


QR 1个比特位用来区分是请求（0）还是应答（1）

OPCODE 4个比特位用来设置查询的种类，应答的时候会带相同值，可用的值如下：
0 标准查询 (QUERY)
1 反向查询 (IQUERY)
2 服务器状态查询 (STATUS)
3-15 保留值，暂时未使用

AA 授权应答(Authoritative Answer) - 这个比特位在应答的时候才有意义，指出给出应答的服务器是查询域名的授权解析服务器。注意因为别名的存在，应答可能存在多个主域名，这个AA位对应请求名，或者应答中的第一个主域名。

TC 截断(TrunCation) - 用来指出报文比允许的长度还要长，导致被截断。一般为512byte。

RD 期望递归(Recursion Desired) - 这个比特位被请求设置，应答的时候使用的相同的值返回。如果设置了RD，就建议域名服务器进行递归解析，递归查询的支持是可选的。为1是递归查询，为0是迭代查询。

RA 支持递归(Recursion Available) - 这个比特位在应答中设置或取消，用来代表服务器是否支持递归查询。

Z 保留值，暂时未使用。在所有的请求和应答报文中必须置为0。

RCODE 应答码(Response code) - 这4个比特位在应答报文中设置，代表的含义如下：
0 没有错误。
1 报文格式错误(Format error) - 服务器不能理解请求的报文。
2 服务器失败(Server failure) - 因为服务器的原因导致没办法处理这个请求。
3 名字错误(Name Error) - 只有对授权域名解析服务器有意义，指出解析的域名不存在。
4 没有实现(Not Implemented) - 域名服务器不支持查询类型。
5 拒绝(Refused) - 服务器由于设置的策略拒绝给出应答。比如，服务器不希望对某些请求者给出应答，或者服务器不希望进行某些操作（比如区域传送zone transfer）。
6-15 保留值，暂时未使用。

问题数QDCOUNT 无符号16位整数表示报文请求段中的问题记录数。
资源记录数ANCOUNT 无符号16位整数表示报文回答段中的回答记录数。
授权资源记录数NSCOUNT 无符号16位整数表示报文授权段中的授权记录数。
额外资源记录数ARCOUNT 无符号16位整数表示报文附加段中的附加记录数。

接下来是设备Win ping www.baidu.com的过程。

我们将这个数据包表达的流程用图表示出来

然后我们来看报文格式。
*1.请求数据包

两个重点：
1.期望递归标记位，1代表期望递归，最好直接给出结果，尽量不转发其他域名解析服务器。
2.查询目标的域名信息。
*2.最终返回数据包

可以看到返回的结果。以及第一位标识符为1表示是一个请求数据包。
3.其他过程的往返数据包
请求DNS数据包

可以看到期望递归位为0.意味着没有要求目标DNS返回一个确切的结果，如果没有结果则可以委派找其他DNS服务器。
返回DNS数据包：

可以看到负责解析baidu.com的有以下这些DNS服务器。这些服务器用域名的形式表达（ns），并且把对应域名对应的IP地址也写上了。