基于Linux5多出口智能DNS的配置

摘要：通过策略解析解决来自不同网段的计算机返回不同的IP地址。DNS策略解析最基本的功能是可以智能的判断访问网站的用户，然后根据不同的访问者把域名分别解析成不同的IP地址。

关键词：DNS 智能DNS ZONE

中图分类号：TP39 文献标识码：A 文章编号：1007-9416(2011)12-0232-02

由于电信网和教育网的互联问题，致使学校一条链路访问教育网资源及招生时网速非常慢。考虑到上述情况，我们学校开通了教育网、电信网和移动网，教育网出口主要用于访问教育网资源和招生而电信网和移动网主要于访问其他公网资源。这样解决了学校内部访问外部资源速度的问题。，但出现了新问题就是公网用户访问校内资源时仍就是单一线路访问，学院WEB网站、精品课程以及企业邮箱的访问流量不断增加。越来越多的访问者不仅仅要求在教育网能够访问WEB站点，同时也可以在公网快速的访问站点，而智能DNS可以根据不同网络的用户给予他们最优的链路，使访问的速度加快。

1、校园网智能DNS设计目的和原则

1.1 校园网智能DNS设计目的

根据学校需求分析，本次智能DNS服务，主要通过策略解析解决来自不同网段的计算机返回不同的IP地址。满足一一对应的原则，DNS策略解析最基本的功能是可以智能的判断访问网站的用户，然后根据不同的访问者把域名分别解析成不同的IP地址。如访问者是公网用户，DNS策略解析服务器会把域名对应的公网IP地址解析给这个访问者。如果用户是教育网用户，DNS策略解析服务器会把域名对应的教育网IP地址解析给这个访问者。

1.2 校园网智能DNS设计原则

系统要有较高的可靠性和可用性，保障苏州农业职业技术学院域名解析的正常运行。为此，智能DNS服务器运行在HP DL380服务器上，选择的系统平台为REDHAT LINUX操作系统。并且分别在不同的两台物理主机上做了热备份。当主DNS服务器宕机后，从 DNS服务器会担任DNS的域名解析工作。保证用户在访问网站时，不受影响。当主DNS服务器恢复正常工作后，从服务器会自动切回从机状态。大大提高了系统的可靠性和容错性。

2、校园网智能DNS系统设计

2.1 DNS层次结构

DNS是Internet的一项核心服务，在 DNS中采用分层结构，包括根域、顶级域、二级域及主机名称。域名空间的层次结构类似一个倒置树，其中，根座位最高级别。每个区域都是域名空间的一部分。每一层称作一个域，每个域用一个点好“.”分开。

2.2 DNS查询过程

DNS查询过程是指在客户端通过DNS服务器将一个IP地址转化为一个FQDN、将一个FQDN转化为一个IP地址或查询一个区域的邮件服务器过程。

2.3 苏州农业职业技术学院 DNS 架构

根据以上需求分析以及相关DNS原理，现设计该架构，两台服务器一台为主，IP地址为211.87.53.52；另外一台为辅，IP地址为 211.87.53.152均运行REDHAT LINUX系统平台，服务软件为BIND。分别加载策略，完成教育网用户访问www.szai.省略 返回IP地址为 211.87.53.2；公网用户（Internet）访问www.szai.省略，返回IP地址为 221.224.34.36。

3、智能DNS系统配置

3.1 主要区域配置过程

考虑到该项目因为做双线路的DNS解析工作，对安全性要求较高。所以，我们安装了chroot,引入了chroot安全机制。Chroot是内核中的一个系统调用，软件可以通过调用函数 chroot，来更改某个进程所能见到的根目录。所以主配置文件 named.conf的路径为/var/named/chroot/etc。

通过编辑器打开named.conf之后可以看见源代码（部分）；

acl"public"{any;};#定义除以下 intranet、cernet网段以外来源均为any段

acl "intranet" { 192.168.0.0/16; };#定义校园内网来自 192.168.0.0 的源地址为 intranet

acl "cernet" { 58.192.0.0/14; #定义 cernet 的 IP 地址段

58.196.0.0/15; 58.200.0.0/13; 59.64.0.0/12; 121.48.0.0/15; ……

listen-on port 53 { localhost; 127.0.0.1; 211.87.53.52; any; };

#监听服务器地址以及相应端口

listen-on-v6 port 53 { ::1; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

query-source port 53; query-source-v6 port 53; ……

指定view块，根据前面定义不同的IP地址段对应不同的 view

match-clients { cernet; }; match-destinations { any; }; recursion yes; ……

3.2 zone文件配置

Zone配置文件的路径为：/var/named/chroot/var/named

包含：211.87.53.cernet 221.224.34.public szai.省略.cernet

szai.省略.public 四个配置文件。

(1)211.87.53.cernet文件

$TTL 86400

@IN SOA dns1.szai.省略. root.dns1.szai.省略 (42; serial (d.adams)

3H;refresh 15M;retry 1W;expiry 1D); minimum

IN NS dns1.szai.省略.

52 IN PTR dns1.szai.省略.

2 IN PTR www.szai.省略.

9 IN PTR mail.szai.省略.

5 IN PTR jpkc.szai.省略.

(2) 221.224.34.public 文件

$TTL 86400

@ IN SOA dns1.szai.省略. root.dns1.szai.省略. (

42;serial (d.adams) 3H;refresh 15M;retry 1W;expiry 1D); minimum

IN NS dns1.szai.省略.

52 IN PTR dns1.szai.省略.

2 IN PTR www.szai.省略.

38 IN PTR mail.szai.省略.

41 IN PTR jpkc.szai.省略.

(3) szai.省略.cernet 文件

$TTL 86400

szai.省略. IN SOA dns1.szai.省略. root@szai.省略. (

42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum

IN NS dns1.szai.省略

IN MX 10 mai1.szai.省略.

dns1 IN A 211.87.53.52

www IN A 211.87.52.2

mail IN A 211.87.53.9

jpkc IN A 211.87.53.5

(4) szai.省略.public 文件

$TTL 86400

$ORIGIN szai.省略.

@ IN SOA dns1.szai.省略. root (

42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum

IN NS dns1.szai.省略.

IN MX 10 mail.szai.省略.

dns1 IN A 211.87.53.52

www IN A 211.87.52.2

mail IN A 221.224.34.38

jpkc IN A 221.224.34.41

4、配置分析

以上配置可以有效的解决了公网用户访问校园网资源瓶颈问题，但是公网的地址列表变动时，要更新IP。做不到负载均衡，一个出口堵塞时对应的用户不能访问所需服务。

作者简介

胡元军，男，1983-，本科，助理工程师，从事计算机网络的教学与研究工作。