任何技能都是从模仿开始，逐步升华。

BIND 10提供一个DNS的C++库和很多提供服务的守护进程、动态 DNS、zone 转换和域名服务等等。

dnspod-sr 是一个运行在 Linux 平台上的高性能的递归 DNS 服务器软件，强烈公司内网或者服务器内网使用dnspod-sr，具备高性能、高负载、易扩展的优势，非BIND、powerdns 等软件可以比拟。

Atomia DNS是一个开源的、免费的，多租户DNS管理系统，易于使用，可靠，可扩展，通过编程接口处理大量的DNS数据。Atomia DNS还包含同步代理确保该数据命中所有的dns服务器。推荐PowerDNS和BIND-DLZ DNS服务器，PowerDNS是默认代理选项。

DLZ不是一个dns服务器，只是bind9的一个补丁，为简化了管理，减少了内存的使用和启动时间。使用DLZ可以将ZONE文件数据库数据存储在数据库，当数据库变化时，可以及时通知bind，并更新数据，不需要重启或重新加载配置。DLZ支持数据库 PostgreSQL, MySQL, Berkeley DB, ODBC (thus Firebird, DB2, Oracle, Sybase, SAPDB) and LDAP，它也可以使用一个标准的文件系统作为数据库，如果现有的驱动不满足，也支持API实现自定义驱动

当我们把DNS服务器配置好后，我们肯定会想测试一下DNS服务器的性能如何，上线后如果请求数够多服务器还能否响应？于是，我们可以使用软件模拟环境，对DNS服务器作评估性的测试。在bind中，有一款自带的压力测试软件，queryperf。使用这款软件可以对DNS服务器作请求测试，并且使用方法简单，我们可以使用queryperf测试多次，取一个平均值，这样就算结果不准确，也不会和实际情况相差太大。

上一节我们讲了关于bind的智能解析的chroot配置，本节我们将通过脚本来实现动态添加域名及解析记录。

智能DNS的原理很简单：在用户解析一个域名的时候，判断一下用户的IP，然后跟DNS服务器内部的IP表匹配一下，看看用户是电信还是网通用户，然后给用户返回对应的IP地址。目前的域名服务运营商不提供智能DNS服务，所以必须自行架设DNS服务或者使用网上免费的智能DNS服务，如DNSPOD.

bind的是通过ACL+View实现域名的智能解析，实现流程即：客户端发送dns解析请求，bind通过acl过滤客户端Ip到对应view，然后查询该view下的配置zone解析出域名地址返回给客户端。所以智能解析的准确性很大程度取决于IP地址划分的准确性。目前IP地址信息获取途径主要通过apnic、cnnic、IP138等地址库获取。

对于一个互联网企业来说，搭建一个公司内部的DNS服务器是很必要的，一来可以通过公司内网的DNS缓存提高公司内部的DNS解析效率，二来域名服务商提供的解析服务并不可靠，为了安全起见，自己搭建（当然也有不错的第三方DNS解析服务，如DNSpod，但需要收费），三来公司内部有一些服务在内网需要解析成内网IP，对于公网的用户访问就需要访问公网的IP，这样可以通过DNS配置轻松实现，当然还有其他很多实现方式。

dnsjava是DNS的一个Java实现。支持所有定义的记录类型包括DNSSEC类型，和未知类型。它还可以用于查询，区域传输，动态更新。dnsjava还包含一个客户端使用的缓存，一个小型DNS服务器。它支持TSIG身份验证的消息，部分DNSSEC验证和EDNS0。

nsupdate是一个动态DNS更新工具，可以向DNS服务器提交更新记录的请求，它可以从区文件中添加或删除资源记录，而不需要手动进行编辑区文件。

rndc（Remote Name Domain Controllerr）是一个远程管理bind的工具，通过这个工具可以在本地或者远程了解当前服务器的运行状况，也可以对服务器进行关闭、重载、刷新缓存等操作。

Transaction signatures(TSIG)通常是一种确保DNS消息安全，并提供安全的服务器与服务器之间通讯(通常是在主从服务器之间)的机制。TSIG可以保护以下类型的DNS服务器：Zone转换、Notify、动态升级更新、递归查询邮件。TSIG适用于BIND v8.2及以上版本。TSIG使用共享秘密和单向散列函数来验证的DNS信息。 TSIG是易于使用的轻便解析器和命名机制。TSIG是一个安全的访问控制机制，保护信息在传输的过程中不会被改变。

为了提高DNS服务的可用性，我们通常会部署DNS主辅同步以实现数据备份，或用以实现读写分离，DNS主辅可以部署为一主多辅，同步可以控制到具体的zone。

为了方便管理bind，编写shell脚本，实现bind的start、stop、restart、status操作，并可以将脚本复制到/etc/rc.d/init.d/，添加以服务启动，并设置bind服务为开机启动。

本节将主要针对常用的几种特殊（直接域名、泛域名与子域）的域名解析记录介绍。

一个区域内的所有数据，包括主机名和对应IP地址、刷新间隔和过期时间等，都必须要存放在DNS服务器内，而用来存放这些数据的文件就称为区域文件。DNS服务器的区域数据文件一般存放在/var/named目录下。一台DNS服务器内可以存放多个区域文件，同一个区域文件也可以存放在多台DNS服务器中。

BIND主配置文件由named进程运行时首先读取，文件名为named.conf，默认在/etc目录下。该文件只包括Bind的基本配置，并不包含任何DNS的区域数据。named.conf配置文件由语句与注释组成，每一条主配置语句均有自己的选项参数。这些选项参数以子语句的形式组成，并包含在花括号内，作为主语句的组成部分。每一条语句，包括主语句和子语句，都必须以分号结尾。

bind中我们可以通过配置logging来记录日志信息，以便以后对服务器的分析及问题的跟踪。logging语句为域名服务器设定了一个多样性的logging选项。它的channel短语对应于输出方式、格式选项和分类级别，它的名称可以与category短语一起定义多样的日志信息。

上一节我们演示了根节点的dnssec配置，下面我们配置dev节点的dnssec。

上一节我们对dnssec有了一定的认识，下面我们通过实例来说明尝试一下dnssec的配置。

Domain Name System Security Extensions (DNSSEC)DNS安全扩展，是由IETF提供的一系列DNS安全认证的机制（可参考RFC2535）。它提供了一种来源鉴定和数据完整性的扩展，但不去保障可用性、加密性和证实域名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。

DNS负载均衡的优点是简单易行，而且实现代价小。它在DNS服务器中为同一个域名配置多个IP地址（即为一个主机名设置多条A资源记录），在应答DNS查询时，DNS服务器对每个查询将以DNS文件中主机记录的IP地址按顺序返回不同的解析结果，将客户端的访问引导到不同的计算机上去，从而达到负载均衡的目的。

一般客户机和服务器之间属递归查询，当客户机向DNS服务器发出请求后,若DNS服务器本身不能解析,则会向另外的DNS服务器发出查询请求，得到结果后转交给客户机。主机向本地域名服务器的查询一般都是采用递归查询。默认情况下bind关闭了转发查询,但是递归查询是开启的。

转发功能可以用来在一些服务器上产生一个大的缓存，从而减少到外部服务器链路上的流量。它可以使用在和internet没有直接连接的内部域名服务器上，用来提供对外部域名的查询。只有当服务器是非授权的，并且缓存中没有相关记录时，才会进行转发。

bind-utils是bind软件提供的一组DNS工具包，里面有一些DNS相关的工具。主要：dig，host，nslookup，nsupdate。使用这些工具可以进行域名解析和DNS调试工作。

bind-chroot是bind的一个功能,使bind可以在一个chroot的模式下运行.也就是说,bind运行时的/(根)目录,并不是系统真正的/(根)目录,只是系统中的一个子目录而已.这样做的目的是为了提高安全性.因为在chroot的模式下,bind可以访问的范围仅限于这个子目录的范围里,无法进一步提升,进入到系统的其他目录中。bind的默认启动方式就是chroot方式。

BIND (Berkeley Internet Name Domain)是一款开放源码的DNS服务器软件，由美国加州大学Berkeley分校开发和维护的，按照ISC的调查报告，BIND是世界上使用最多最广泛的域名服务系统。不论你的邮件服务器，WEB服务器或者其他的services如何的安全可靠，DNS的故障会给你带来用户根本无法访问这些服务。

DNS（Domain Name System，域名系统），因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析（或主机名解析）。DNS协议运行在UDP协议之上，使用端口号53。在RFC文档中RFC 2181对DNS有规范说明，RFC 2136对DNS的动态更新进行说明，RFC 2308对DNS查询的反向缓存进行说明。