DNS培训.docx
- 文档编号:8211126
- 上传时间:2023-01-29
- 格式:DOCX
- 页数:19
- 大小:541.50KB
DNS培训.docx
《DNS培训.docx》由会员分享,可在线阅读,更多相关《DNS培训.docx(19页珍藏版)》请在冰豆网上搜索。
DNS培训
DNS相关学习与实践
简介
DOMAINNAMESYSTEM:
域名系统
TCP/IP网络中的功能实体,通过该服务器,用户只通过域名就可以访问对应的服务器。
在TCP/IP网络中域名与IP地址一一对应,域名便于记忆,但网络中的服务器间只能通过IP地址相互识别,域名和IP地址之间的转换称为域名解析,域名解析需要通过专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
起源
<摘录>20世纪70年代的美国,此时的ARPAnet,这个由美国国防部出资兴建的网络,只是一个拥有几百台主机的很小很友好的网络。
那么这几百台主机如何相互串门儿呢?
原来每一台主机都有一个通讯录,记录这其他主机的地址。
每当要访问另外一台主机时,先从自己的通讯录上查出目地主机的地址,然后去访问。
这一切都如此顺畅。
正如你所知,“但是”马上就要来了。
但是,随着ARPAnet采用了TCP/IP协议簇,网络上的新增主机如雨后春笋般层出不穷。
从几百台很快发展到了成千上万台,而且还在不断增加。
这么多台主机间如何访问呢?
那位说了,该咋访问咋访问呗,不是每台主机有通讯录么?
只要扩充通讯录就行了。
这样行吗?
短期内是可以凑合的,但会带来很多问题。
比如说,网络上的一台主机要改变自己的地址了,那么剩下的几万台主机如果还想正常访问这台主机的话,那么必须要更新自己的通讯录,这个代价是很大的。
再比如,网络上如果有两台主机的名字一样,那么就会造成名字冲突,可是又很难保证每台主机的名字都不一样。
最关键的问题是通讯录文件的线性结构并不是很好。
这些问题在网络主机少的时候根本不是问题,但是如果网络规模爆炸式增长,那么这个问题就变得刻不容缓了。
如果不能妥善解决,那么终将限制网络的发展。
时代开始呼唤新的“通讯录”。
新的“通讯录”应该具备什么样的特性才能满足网络的发展呢?
通讯录已经不能满足需求了,应该是一个更高深的东西,名曰“系统”,才能搞定问题。
新系统应该允许本地管理数据,同时数据又能被整个网络所使用。
管理的分散化能消除单一主机的瓶颈,缓解流量问题。
同时本地管理能使及时更新数据变得简单得多。
新系统应该使用层次结构的名字空间来为主机命名,从而确保名字的惟一性。
在南加州大学的信息科学所一位巨牛的主导下,新系统很快被设计了出来。
正如你知,这就是我们今天故事的主角:
DNS-------DOMAINNAMESYSTEM。
实际上,DNS是一个分布式数据库。
它允许对整个数据库的各个部分进行本地控制;同时整个网络也能通过客户—服务器方式访问每个部分的数据。
借助备份和缓存机制,DNS将具有强壮性和足够的性能。
结构
DNS是标准的树结构,是非常标准的树结构,它将在课本学到的树结构完美的实现了出来,它既没有森林的复杂,也没有图、矩阵等的强方向性,异常清晰的框架结构注定了DNS功能的强大,也为当前DNS在网络中愈加重要的地位打下了坚实的基础。
看一幅“域名空间”图,就是一棵树:
树中每个节点都有一个可以长达63个字符的文本标号(textlabel)(不含“.”)。
空标号(长度为0)是为根保留的。
树中任何一个节点的完整域名(domainname)都是从该节点到根的路径上所有节点标号的顺序连接。
域名总是从节点向根(向上)的方向读,并用“.”来分隔路径上所出现的各个名字(文本标号)。
如果根节点的标号出现在一个节点的域名中,那么这个名字看上去就像以“.”结束,比如.,但它实际上是以分隔符“.”和根的空标号结束的。
当根的空标号单独出现时,简写成一个单独的点“.”。
因而,有些软件将域名末端出现的“.”解释为这个域名是绝对(absolute)域名。
绝对域名是相对于根而言的,它惟一确定一个节点在层次结构中的位置。
绝对域名也用以指代全限定域名(fullyqualifieddomainname),通常简写成FQDN。
不以“.”结束的域名有时被解释为是相对于某个非根域的。
也叫相对域名。
一个域(domain)就是域名空间中的一棵子树。
域的名字也就是这棵子树的顶端节点的域名。
在上图中,每一个节点以及它的子节点就构成了一个域。
要想判断一个域是否是另一个域的子域,很简单,只用比较它们的域名即可。
子域的域名是以其父域的域名来结尾的。
例如,域一定是的子域,因为是以结尾的。
同样地,它也是com的子域。
顺便普及一下GTLD域名空间:
com商业组织,如IBM()
edu教育组织,如柏克莱大学(berkeley.edu)
gov政府单位,如NASA(nasa.gov)及国家科学基金会(nsf.gov
mil军事单位,如美国陆军(army.mil)及海军(navy.mil)
net网络组织,如NSFNET()
org非营利性组织,如美国国家公园(nationalpark.org)
int国际性组织,如NATO(nato.int)
特点
由于DNS的这种树形结构,使它具有了以下特点:
1)每个域名服务器只维护其下一级的服务器的信息
这是至关重要的,因为此点,对于某台DNS服务器,它只需要管理它的子节点,对上只要知道它父节点的信息即可。
举个例子,对于陕西DNS来说,陕西DNS只用关心省内几套DNS的信息以及根DNS即可,对陕西DNS来说,邻省、外省、外国是一个概念,即山西、河南和印尼对陕西DNS来说都是一样的。
2)数据库可以无限扩容
横向树是可以无限延伸的。
3)可以提供无限的查询能力(QPS)
有序的树结构给予查询带来了极大方便,深度、广度优先、哈夫曼树等,给查询提供了无限可能。
GPRS域名空间
看一眼GPRS域名空间的局部片段,可以很好的理解整个DNS架构与其优越性。
由上往下
第一级:
MCC这一级的域名通过MCC区分不同国家的GPRS网络。
例如460代表中国。
第二级:
MNC这一级的域名通过MNC区分同一国家不同的GPRS网络。
例如001是中国联通,002是中国移动TD。
第三级:
根据其用途规划格式,如定义全网通用APN,像CMWAP,如地区APN,像LN,如区分位置区,像LAC。
第四级及以下层级:
皆根据第三级的配置自行规划,但是总层级不超过127级。
由这样一个清晰的树形结构连接起来各个设备信息,使整个网络的域名更加规范化,可以更加高效快速的索引。
DNS作用
在流程当中可以更清晰的体现DNS的作用。
还是以GPRS网络为例,会在以下流程中用到域名解析,也就是会经过DNS:
PDP上下文激活流程
(1)MS发起PDP上下文激活请求,激活消息中携带了APN名称,如CMNET。
(2)SGSN接收到PDP上下文激活请求,向DNSServer发起域名解析请求,需要解析的域名为完整的APN,如CMNET.MNC000.MCC460.GPRS。
(3)DNSServer将解析结果返回给SGSN,解析结果为GGSN信令面的IP地址,如10.161.234.254。
(4)SGSN根据解析结果,发送激活请求给目标GGSN,消息中携带了APN。
(5)GGSN接收到激活请求后,根据APN为MS分配IP地址,并将分配的IP地址返回给SGSN。
(6)SGSN将GGSN分配的IP地址发送给MS,激活成功。
(7)激活成功后,MS可以使用分配的IP地址与外部网络进行通信。
SGSN间路由区更新流程(InterRAU)
(1)MS从一个SGSN的路由区移动到另一个SGSN的路由区,发起RAU请求,请求消息中携带了OldRAI,如46000123401。
(2)新SGSN接收到RAU请求,向DNSServer发起域名解析请求,需要解析的域名由RAI转化得到,如RAC0001.LAC1234.MNC0000.MCC0460.GPRS。
(3)DNSServer将解析结果返回给新SGSN,解析结果为旧SGSN的信令面IP地址,如10.161.234.254。
(4)新SGSN根据解析结果,向旧SGSN请求MS的信息。
(5)旧SGSN收到请求后,将保存的MS的各类信息发送给新SGSN。
(6)新SGSN以UpdateLocation消息通知HLRSGSN的改变。
(7)HLR发送UpdateLocationAck消息给新SGSN确认UpdateLocation消息。
(8)新SGSN发送RAU接受给MS,RAU成功。
SGSN间SRNS重定位流程(Inter-SGSNSRNSRelocation)
(1)SRNS根据无线网络情况,确定需要发起ServingRNC重定位,向源SGSN发起RELOCATIONREQUIRED消息,请求使用目标RNC为MS提供服务。
RELOCATIONREQUIRED消息中携带了目标RNCID,如1111。
(2)源SGSN接收到需要重定位消息后,向DNSServer发起域名解析请求,需要解析的域名由目标RNCID转化得到,如RNC1111.MNC0000.MCC0460.GPRS。
(3)DNSServer将解析结果返回给源SGSN,解析结果为目标SGSN的信令面IP地址,如10.161.234.254。
(4)源SGSN根据解析结果,向目标SGSN请求进行重定位。
(5)目标SGSN收到请求后,进行重定位准备,准备完成后,发送重定位准备完成给源SGSN。
(6)源SGSN进行后续的重定位流程。
域名解析过程
记录与查询
在DNS系统中使用资源记录映射DNS系统所提供的域名(或IP地址)
1)A记录
通过DNSserver查询出Hostname所对应的IP地址。
可以理解成,发给DNS一个名字,DNS返回一个地址
2)NS记录
通过Hostname查询出NameServer所对应的IP地址。
可以理解成,发给DNS一个名字,DNS发现这个名字自己不认识,但是这个DNS知道别的DNS认识这个名字,那么本DNS把认识这个名字的DNS地址返回。
(NS+A)
3)NAPTR记录
通过DNSserver查询出Domainname所对应的Hostname的集合。
可以理解成,发给DNS一个名字,DNS发现这个名字对应的其实是另一个名字,把这个名字返回。
4)SRV记录
可以理解成,发给DNS一个名字,DNS发现这个名字对应的是一系列名字,把这一系列名字返回。
比较特殊的是这些名字之间权值会有些差别。
5)AAAA、MX、CNAME等记录,不太常用
AAAA:
DNSServer查询出AAAA记录中域名所对应的IPv6地址
MX:
查询邮件交换服务器的IP地址
CNAME:
为正规域名配置别名的记录
后续DNS的查询就是这里的单一记录查询或者多种记录以各种方式的混合查询。
资源记录RR(ResourceRecord)是一组与域名相关的资源信息。
域名服务器中保存了大量的资源记录,域名的解析就是通过对资源记录的查询进行的。
除了单一的记录查询外还有2种类型的查询
1)递归查询
能够自动查询到Domainname所对应的最终结果。
DNSserver查询出Domainname所属的DNSServer并向其发起逐级查询,直到得到最终所需的IP地址或Hostname的集合。
以树的角度很好理解,就是对树的遍历。
给出一个目标节点,直接遍历到该节点取值返回。
2)迭代查询
DNSserver查询出Domainname所属的DNSServer返回给Client,指示Client向该Server发起查询。
与递归的不同在于发起查询的DNS不同,比如A->B->C->D,A要查D的地址,那么A找B,如果是递归,B会找C,C再找到D,把D的地址返回;如果是迭代,B会告诉C的地址给A,A自己发起对C的查询。
SOA以及五元组
看一个现网的SOA
cmnet.lte.mnc007.mcc460.gprsINSOAsndns07bhw.sn.mnc000.mcc460.gprs..(
2013122379;serial
10800;refresh(3hours)
3600;retry(1hour)
1814400;expire(3weeks)
86400;minimum(1day)
)
对应关系如下:
因为没有邮件地址所以上例子gprs后面是2个点,其他都是字面意思
一般在配置子域时才提供SOA主机名。
不提供SOA主机名表示配置的区域为本地域的区域,默认取系统参数中的主DNS域名作为该区域的SOA主机名。
此主机名必须是完整域名(以“.”结束)。
SOA可以通过命令修改,修改完需SAV。
一条资源记录就是一个五元组,它包括域名、生存期、信息类型(class)、资源记录类型(type)、值(value)五项。
PS:
资源记录的ORIGIN表示在下一个ORIGIN或者结束前,将ORIGIN后面的字符拼接到下面首字符串的后面。
例如:
$ORIGINhb.mnc0000.mcc0460.gprs.
hbdns01berA221.177.160.241
hbdns02berA221.177.160.242
hbdns03bhwA221.177.161.65
hbdns04bhwA221.177.161.66
hbdns01ber要接上hb.mnc0000.mcc0460.gprs.,即hbdns01ber.hb.mnc0000.mcc0460.gprs.
聚合记录
在配置省际记录,比如LAC等,因为其记录是有规律的,比如4700-47FF都是属于内蒙DNS,那么可以通过聚合记录一次执行等效于普通记录批量执行。
举个例子:
ADDGENRES:
TYPE=NS,ZONE="mnc0000.mcc0460.gprs",BEGIN=0,END=255,DOMAIN="lac47$",SRV="nmdns01bhw.nm.mnc0000.mcc0460.gprs.",OFFSET=1,WIDTH=2,BASE=Hex;
该条记录实现了增加给内蒙dns01的从lac4700-lacFF共256条记录。
聚合记录在被添加后,会在/opt/dns/generate.dat记录其相关信息,但是与该条聚合记录等效的资源文件会记录在named文件夹里。
也就是说,增加了一条聚合记录就等效与增加了多条资源记录,在业务功能上没有任何差别。
根
DNS服务器无法解析的域名将提交给根DNS进行递归或迭代解析。
目前中国有2根,252和253,在北京和广东。
根会在Forward区域配置。
Forward区域是每个域的配置转发的主要部分。
一个zone语句中的typeforward可以包括一个forward和/或forwarders子句,它会在区域名称给定的域中查询,但是它没有区域文件,不能添加资源记录文件。
。
根和Forward会在named.conf里配置
options{
directory"/var/named";
pid-file"/var/named/named.pid";
forwarders{
221.177.253.41;
221.177.252.41;
};
DNS进程
服务器软件运行在SUNSolaris或Linux操作系统上,由三个进程组成:
Knl_proc:
完成Om_proc、Bind_proc的管理,进程间通讯控制。
Om_proc:
实现OM接口,提供服务器和LMT之间的连接。
告警、日志、统计、MML也在该进程处理。
Bind_proc:
完成域名解析处理。
干掉命令:
#kill-95724
#kill-95725
#kill-95726
5725,5724,5726为om_proc,knl_proc,bind_proc进程号。
启动:
/etc/rc3.d/S9810dns.server
顺带提一下重启服务器:
/usr/sbin/shutdown-y-g0-i6
还有另外一种关闭DNS服务:
/opt/dns/stopDNS
DNS软件服务器结构
/etc/named.conf
DNS区域配置文件
/var/named
DNS各个区域的资源配置文件
/etc/resolv.conf
DNS主备信息配置文件
/etc/rndc.conf
DNS管理工具配置文件
/opt/dns
DNS服务器软件包安装路径
/var/other/log/oper
操作日志存放路径
/var/other/log/sec
安全日志存放路径
查看系统日志
可以在/var/adm下,查看messages来查看系统日志信息
javaw进程问题
新装DNS客户端时,尤其在移动4A上客户端混杂这种特殊环境下,经常会安装失败,提示是
问题原因是DNS相关进程并没有完全关掉,还有以下进程需要干掉,尤其是javaw进程,该进程被多个客户端使用,易遗漏。
MSDEV.EXE
devenv.exe
ilmt_tray.exe
lmt_server.exe
lmt_client.exe
trace_review.exe
monitor_review.exe
javaw.exe
java.exe
VirtualBam.exe
SNMP弱口令
SimpleNetworkManagementProtocol,简单网络管理协议。
用于管理IP网络上结点的协议。
几乎所有的网络设备和网络操作系统都支持SNMP。
而因为SNMP的广泛性,就出现了SNMP的弱口令被发现被利用,所以在大的平台上对会对SNMP进行弱口令检测,此次DNS就被检测出SNMP弱口令。
修改方法如下:
在Solaris系统下,
1)修改/etc/snmp/conf/snmpd.conf中缺省的口令,然后执行下列命令使之生效:
#/etc/init.d/init.snmpdxstop
#/etc/init.d/init.snmpdxstart
2)检查snmpd.conf文件中的”rocommunity”部分,查看是否具有弱口令
#more/etc/sma/snmp/snmpd.conf
在修改该文件前备份该文件
#cp-p/etc/sma/snmp/snmpd.conf/etc/sma/snmp/snmpd.conf_bak
通过vi修改该文件
#vi/etc/sma/snmp/snmpd.conf
修改rocommunitypublic为其他连接串
重启SNMP服务:
#/etc/init.d/init.smastop
#/etc/init.d/init.smastart
PS:
在Solaris系统下,执行下列命令可以禁止SNMP服务:
#/etc/init.d/init.snmpdxstop
#mv/etc/rc3.d/S76snmpdx/etc/rc3.d/s76snmpdx
集团规范配置
DNS记录规划如下
1、APN域记录规划
Ø<2/3G通用APN>.mnc<000/002/004/007/008>.mcc460.gprs
用于2、3G网络下用户激活公共APN,目标地址为各省各自的GGSNGn地址。
Ø<4G通用APN>.apn.epc.mnc<000/002/004/007/008>.mcc460.3gppnetwork.org
用于LTE用户附着时创建承载的公共APN,目的地址为各省自己的PGW地址。
Ø<省份简称>.mnc<000/002/004/007/008>.mcc460.gprs
用于各省自己的行业APN,目标地址为各省各自的GGSN地址。
Ø<省级简称>.apn.epc.mnc<000/002/004/007/008>.mcc460.3gppnetwork.org
用于各省自己的行业APN,目标地址为各省各自的PGW地址。
需要规划关于4G行业APN的NAPTR记录。
2、RAI/RNCID域规划
Ø在mnc0000.mcc<0460/01cc>.gprs下
lrac
用于GT网络RAU时(含跨省),新侧SGSN获取老侧SGSN地址,此记录对于改造局点应该已经配置。
用于TD网络relocation流程中(含跨省),源侧SGSN获取目标侧SGSN的地址,此域名对于改造局点应该已经配置。
3、MMEID域规划
Ømme.epc.mnc000.mcc460.3gppnetwork.org
用于LTE用户在LTE网络下附着或TAU时(含跨省),新MME获取老MME地址。
4、TAI域规划
Øtac.epc.mnc000.mcc460.3gppnetwork.org
用于LTE用户在LTE网络下创建承载时选择SGW。
(非优化方案)
用于跨省MME切换时,源侧MME通过切换请求中的TAI构建此域名,查询目标侧MME地址。
5、网关域名规划
NAPTR和SRV权重规划
NAPTR记录返回顺序和偏爱,SRV记录返回优先级和权重,USN网元逐级分配的方式进行负荷分担。
Ø<省份简称>.node.epc.mnc000.mcc460.3gppnetwork.org
PGW域名规划:
l
org
用于配置通用APN接入网关PGWPOOL
l
3gppnetwork.org
用于配置省内行业APN接入网关PGWPOOL
l
mnc000.mcc460.3gppnetwork.org
用于配置PGWhostname的IP地址
SGW域名规划
l
3gppnetwork.Org
用于配置TAI服务的SGWPOOL
l
mnc000.mcc460.3gppnetwork.org
用于配置SGWs5接口的IP地址
l<主机设备名>.<地市简称>.<省份简称>.node.epc.mnc000.mcc460.3gppnetwork.org
用于查询重新构造的SGWFQDN
l
mnc000.mcc460.3gppnetwork.org
用于配置SGWs11接口的IP地址
基于终端能力选择网关
方案一:
A记录方案
Ø<2/3G通用APN>.lte.mn
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DNS 培训