第14章域名系統(tǒng)DNS

1、第第14章章 域名系統(tǒng)域名系統(tǒng)dns 在internet上主機(jī)用ip地址來標(biāo)識(shí)。對(duì)于計(jì)算機(jī)ip地址操作方便，但對(duì)用戶來說，符號(hào)名字容易記憶，更方便。能否各用各的，皆大歡喜。 早期網(wǎng)上主機(jī)名與ip地址映射保存在。 internet的( omain ame ystem)提供主機(jī)名與ip地址之間的轉(zhuǎn)換服務(wù)。dns是今天在 internet 上成功運(yùn)作的。 internet 的應(yīng)用服務(wù)，如電子郵件系統(tǒng)，遠(yuǎn)程登錄，文件傳輸，www等都需要 dns 服務(wù)。域名系統(tǒng)域名系統(tǒng)dns(續(xù)續(xù))任何一個(gè)組織要接入 internet，就要加入internet 域名系統(tǒng) dns，必須在管理域名的 internet 機(jī)構(gòu)

2、申請(qǐng)、注冊(cè)某域名。中國(guó)大陸域名數(shù)達(dá)69萬。dns域名域名，域名的層次大致對(duì)應(yīng)網(wǎng)絡(luò)的管理層次。 是清華的域名。域名的特征： 由一組標(biāo)號(hào)(label)組成，以字母開始，以字母或數(shù)字結(jié)尾，中間允許字母、數(shù)字和“-”。 每個(gè)標(biāo)號(hào)不超過63字節(jié)。 標(biāo)號(hào)之間用句號(hào)“.”分開, 句號(hào)代表層次的邊界。 域名總長(zhǎng)不超過255字節(jié)。 從右向左代表從高到低的層次，最右是最頂層。dns域名域名(續(xù)續(xù)) 國(guó)家代碼由兩個(gè)字符的國(guó)別碼構(gòu)成，如 代表中國(guó)，代表加拿大，代表英國(guó)，等等。 除國(guó)家代碼外，dns的其它頂層域名、等如表所示。后來又增加了7個(gè)。 由于歷史原因，表中所列的域名在美國(guó)以外的其它國(guó)家一般不是最頂層域名，而往往

3、是次頂層域名，頂層域名是國(guó)家代碼。 現(xiàn)在其它國(guó)家也可以注冊(cè)以 、等為后綴的域名。例清華的bbs：。dns的頂層域名及其意義的頂層域名及其意義 域域 名名 意意 義義 edu 教育系統(tǒng) com 商業(yè)機(jī)構(gòu) gov 政府部門 mil 軍事團(tuán)體 net 主要的網(wǎng)絡(luò)支持中心 org 非贏利性組織dns域名空間域名空間 麻省理工學(xué)院mit注冊(cè)的域名為 ，因此mit在internet 上主機(jī)的域名以 為后綴。 清華大學(xué)注冊(cè)的域名為 。 ibm 注冊(cè)的域名是 。 這些域名的下層結(jié)構(gòu)和名稱由各機(jī)構(gòu)自由分配，不會(huì)重名。中國(guó)的域名(.cn)由cnnic注冊(cè)管理。

4、dns的域名空間是一棵倒著畫的樹。樹的每個(gè)結(jié)點(diǎn)有一個(gè)標(biāo)號(hào)，兄弟結(jié)點(diǎn)不能有同樣的標(biāo)號(hào)，非兄弟結(jié)點(diǎn)可使用相同標(biāo)號(hào)，。dns域名空間樹域名空間樹cncaeducomgovmilnetmit.ibm.pkutsinghua.acedu.csee.dns域名空間樹域名空間樹(續(xù)續(xù))。 因?yàn)楦Y(jié)點(diǎn)使用空標(biāo)號(hào)，所以域名以“.”結(jié)尾，在它后面其實(shí)還有一個(gè)空標(biāo)號(hào)。例如結(jié)點(diǎn)pku的域名是.，這種域名稱。 如果考慮域名空間的子樹，如下頁的子樹(a)和子樹(b)，子樹(b)中結(jié)點(diǎn)的域名，如，，子樹(a)中結(jié)點(diǎn)的域名，如等是相對(duì)于各子樹的域名，稱。相對(duì)域名的最后沒有“.”。域

5、名空間的子樹域名空間的子樹(a)(b)dns域名和域名空間域名和域名空間(續(xù)續(xù))。管理上將internet上的主機(jī)按其所屬部門分類。例如清華大學(xué)校園網(wǎng)的主機(jī)以所屬系、所分類，計(jì)算機(jī)系的主機(jī)域名都以 為后綴，電子工程系的主機(jī)域名都以 為后綴。這樣計(jì)算機(jī)系和電子工程系可以獨(dú)立地命名和管理他們的主機(jī)，不會(huì)有重名。 域的劃分也可反映地域的劃分。但域主要是為管理，是邏輯上的劃分，可獨(dú)立于物理網(wǎng)絡(luò)和拓?fù)?。層次結(jié)構(gòu)域名樹允許層次、分布式管理。dns數(shù)據(jù)庫和資源記錄數(shù)據(jù)庫和資源記錄。dns的每個(gè)域有其相關(guān)數(shù)據(jù)，包括該域所管理的及，等。這些數(shù)據(jù)組織成一條一條( esour

6、ceecord) 的形式存放。每條資源記錄rr由所有者owner、壽命ttl、類型type、類別class、資源數(shù)據(jù)rdata等組成。：本資源記錄所屬域名(即域名樹結(jié)點(diǎn))。：資源記錄的壽命值，32位整數(shù)值表示秒數(shù)，高度穩(wěn)定的信息被賦予較大的ttl值。：抽象資源類型，可取的值及含義如表。dns數(shù)據(jù)庫和資源記錄數(shù)據(jù)庫和資源記錄type 值值 含含 義義a a(address):(address):記錄主機(jī)記錄主機(jī) ipip 地址地址cnamecname(canonical name):記錄正規(guī)域名hinfohinfo(host infomation):記錄主機(jī) cpu 和操作系統(tǒng)mxmx(mail

7、 exchange)(mail exchange): :記錄本域郵件服務(wù)器域名記錄本域郵件服務(wù)器域名nsns(name server):記錄本域授權(quán)名字服務(wù)器域名ptrptr(pointer):指針，指向域名空間的另一部分soasoa(start of authority):標(biāo)識(shí)一個(gè)資源記錄集合(稱為授權(quán)區(qū)段)的開始dns數(shù)據(jù)庫和資源記錄數(shù)據(jù)庫和資源記錄(續(xù)續(xù))：16位編碼值，標(biāo)識(shí)協(xié)議類別，對(duì)于 internet，它的值和含義是：internet協(xié)議系統(tǒng)：代表資源數(shù)據(jù)，它與資源類型有關(guān)。下表的左列是資源類型 type，右列是資源數(shù)據(jù)rdata 的內(nèi)容。最重要的資源記錄類型是 (地址)，它記錄某

8、主機(jī)的 。其次重要的資源記錄類型是 ，它記錄替指定域接受郵件的。資源數(shù)據(jù)資源數(shù)據(jù)rdata類型及內(nèi)容類型及內(nèi)容數(shù)據(jù)類型數(shù)據(jù)類型 數(shù)據(jù)內(nèi)容數(shù)據(jù)內(nèi)容 a a3232 位位 ipip 地址地址 cnamecname域名 mxmx16 位優(yōu)先級(jí)(值小優(yōu)先級(jí)高)以及郵件服務(wù)器主機(jī)域名郵件服務(wù)器主機(jī)域名 nsns名字服務(wù)器主機(jī)域名 soasoamname：名字服務(wù)器域名，它是本區(qū)段數(shù)據(jù)來源rname：描述管理本區(qū)段的管理員郵箱serial：本區(qū)段的 32 位版本號(hào)，亦稱序列號(hào)refresh：32 位時(shí)間間隔，是區(qū)段的刷新周期retry：32 位時(shí)間間隔，刷新失敗后的重試周期expire：32 位時(shí)間間隔，

9、是區(qū)段的有效周期minimum：本區(qū)段的 rr 輸出時(shí)所帶的最小ttl 值 ptr ptr域名dns數(shù)據(jù)庫和資源記錄數(shù)據(jù)庫和資源記錄(續(xù)續(xù)) 域名樹的每個(gè)結(jié)點(diǎn)有一個(gè)資源記錄集合。這個(gè)大數(shù)據(jù)庫可以分成許多不重疊的(zone)分布存放、管理。區(qū)段是域名樹數(shù)據(jù)庫的一部分，它常包含一個(gè)域及其部分子域的資源記錄。是劃分給某機(jī)構(gòu)管轄的區(qū)段。 soa標(biāo)識(shí)一個(gè)資源記錄集合(稱授權(quán)區(qū)段) 的開始，它的資源數(shù)據(jù)是區(qū)段的管理參數(shù)，如管理員郵箱、序列號(hào)、刷新周期、有效周期等。管理員更新授權(quán)區(qū)段內(nèi)資源記錄后要增大序列號(hào)。域名樹劃分成不重疊的區(qū)段域名樹劃分成不重疊的區(qū)段資源記錄的例子資源記錄的例子 此資源記錄所屬域名是.

10、，協(xié)議族是in，資源類型是a，資源數(shù)據(jù)是00。此資源記錄表示域名的internet主機(jī)，其ip地址是00。此資源記錄指出是www.的正規(guī)域名，www.是其別名。授權(quán)區(qū)段的資源記錄例子授權(quán)區(qū)段的資源記錄例子$ origin .授權(quán)區(qū)段的資源記錄例子授權(quán)區(qū)段的資源記錄例子(續(xù)續(xù))$ origin .授權(quán)區(qū)段的資源記錄例子授權(quán)區(qū)段的資源記錄例子(續(xù)續(xù)) “$ origin”可以使域名的所書寫更簡(jiǎn)便，若它后面資源記錄所屬域名不是以“.”結(jié)尾，則該域名要后接$ origin中指定的域名。.是這個(gè)區(qū)段的頂結(jié)點(diǎn)。描述區(qū)段頂結(jié)點(diǎn)的資源記錄對(duì)區(qū)段管理特別重要，在例

11、子中它們是所屬域名為的 記錄、記錄以及兩個(gè) 記錄。 soa記錄指出區(qū)段的名字服務(wù)器、管理員郵箱、區(qū)段的序列號(hào)1999122211、刷新周期1800秒等。授權(quán)區(qū)段的資源記錄例子授權(quán)區(qū)段的資源記錄例子(續(xù)續(xù))記錄指出 是所屬域的名字服務(wù)器。 兩個(gè) 記錄指出所屬域的兩個(gè)郵件服務(wù)器，其中 的優(yōu)先級(jí)為0，最高，首先使用，若失敗則使用優(yōu)先級(jí)低的。管理域名的internet機(jī)構(gòu)為頂層域管理區(qū)段，并為其它機(jī)構(gòu)授權(quán)低層域的區(qū)段。只要上一級(jí)機(jī)構(gòu)同意，給某機(jī)構(gòu)授權(quán)包含一個(gè)結(jié)點(diǎn)的子區(qū)段，此機(jī)構(gòu)就獲得該區(qū)段的控制權(quán)。新區(qū)段可增大到任意大小，并可進(jìn)一步授權(quán)新的子區(qū)段。名字服務(wù)器名字服務(wù)器 一個(gè)名字服務(wù)器支持一個(gè)或多個(gè)dn

12、s區(qū)段，稱名字服務(wù)器被授權(quán)管轄這些區(qū)段。 每個(gè)區(qū)段信息至少由兩個(gè)名字服務(wù)器提供：(primary server)，以及(secondary server)，以保證在某服務(wù)器或某通信鏈路故障時(shí)仍可獲得區(qū)段信息。 名字服務(wù)器的主要任務(wù)就是利用它管轄的區(qū)段中的資源記錄回答查詢，若被查詢的數(shù)據(jù)不在管轄區(qū)段內(nèi)，則要追蹤到根名字服務(wù)器查詢。名字服務(wù)器名字服務(wù)器(續(xù)續(xù)) 為提高性能，名字服務(wù)器使用名字緩存(name caching)優(yōu)化查詢。每個(gè)名字服務(wù)器都有一個(gè)，其中存有根名字服務(wù)器的名字和地址，還存有從其它服務(wù)器來的曾經(jīng)查詢的答案，以回答將來對(duì)同一信息的查詢。 名字服務(wù)器緩存的數(shù)據(jù)是非授權(quán)數(shù)據(jù)，附有由授

13、權(quán)服務(wù)器附加的壽命值(ttl)。緩存數(shù)據(jù)是不完備的，與授權(quán)的區(qū)段數(shù)據(jù)不同，它通過超時(shí)機(jī)制丟棄。名字服務(wù)器名字服務(wù)器(續(xù)續(xù)) 名字服務(wù)器可被配置成主服務(wù)器(primary)、輔服務(wù)器(secondary)、名字緩存器(cache)。是給定域的區(qū)段信息的授權(quán)來源，區(qū)段信息來源于域管理員創(chuàng)建并維護(hù)的本地磁盤文件。域管理員在更新了文件中區(qū)段信息后必須增大soa記錄中的序列號(hào)。從主服務(wù)器獲得區(qū)段信息的拷貝，并按soa記錄中指定的刷新間隔周期地檢查主服務(wù)器區(qū)段的序列號(hào)，若序列號(hào)增大了則要從主服務(wù)器重新拷貝，即更新區(qū)段信息。名字服務(wù)器名字服務(wù)器(續(xù)續(xù)) 名字服務(wù)器是服務(wù)器進(jìn)程，在unix上它是

14、d 進(jìn)程。文件/etc/named.boot配置名字服務(wù)器及其參數(shù)。下面是named.boot的一個(gè)例子： (指出下列文件所在目錄)名字解析器名字解析器 名字解析器應(yīng)用戶的請(qǐng)求從名字服務(wù)器檢索域名數(shù)據(jù)庫，例如。 從用戶看來，域名樹數(shù)據(jù)庫是一個(gè)單一的信息集合，名字解析器為用戶隱藏了域名數(shù)據(jù)庫信息在名字服務(wù)器間的事實(shí)。 從名字解析器的觀點(diǎn)看，域名數(shù)據(jù)庫是分布在多個(gè)名字服務(wù)器的。名字解析器開始至少知道一個(gè)(本域)名字服務(wù)器，并將用戶的查詢提交給此服務(wù)器。名字解析器名字解析器(續(xù)續(xù)) 若名字解析器運(yùn)行在 unix下，解析器的配置文件為 ，它可能配置如下： ;指定域名 ;指定名字服務(wù)器ip地址 ;指定名

15、字服務(wù)器ip地址名字解析器名字解析器(續(xù)續(xù)) 若名字解析器運(yùn)行在 windows下，則在“”的“”的組件“”的“”中指定本域的名字服務(wù)器。 名字解析器進(jìn)程將待查的域名放在一個(gè)dns查詢報(bào)文中，并發(fā)給名字服務(wù)器，名字服務(wù)器返回一個(gè)dns回答報(bào)文，其中包括回答查詢的dns資源記錄。 名字解析器和名字服務(wù)器之間的被封裝成發(fā)送。即dns運(yùn)行在udp之上。域名解析域名解析名字解析器將用戶的查詢提交給本域的名字服務(wù)器，會(huì)出現(xiàn)三種情況： 被查詢的域名在該名字服務(wù)器的授權(quán)區(qū)段內(nèi)； 被查詢的域名不在該名字服務(wù)器的授權(quán)區(qū)段內(nèi)，名字服務(wù)器查看它的緩存器，若域名曾解析過，答案還保存，則返回信息，并加“未授權(quán)”標(biāo)志。 本域的名字服務(wù)器不能回答這個(gè)查詢，只能由其它名字服務(wù)器來回答。域名解析域名解析(續(xù)續(xù))對(duì)第三種情況的處理有兩種方式：(recursive)：由本域名字服務(wù)器向其它名字服務(wù)器追蹤查詢，并將結(jié)果返回給解析器。(iterative)：本域名字服務(wù)器向解