- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-域名解析配置
本章節下載: 04-域名解析配置 (404.61 KB)
目 錄
域名係統(DNS,Domain Name System)是一種用於TCP/IP應用程序的分布式數據庫,提供域名與IP地址之間的轉換。通過域名係統,用戶進行某些應用時,可以直接使用便於記憶的、有意義的域名,而由網絡中的域名解析服務器將域名解析為正確的IP地址。
域名解析分為靜態域名解析和動態域名解析,二者可以配合使用。在解析域名時,首先采用靜態域名解析(查找靜態域名解析表),如果靜態域名解析不成功,再采用動態域名解析。由於動態域名解析可能會花費一定的時間,且需要域名服務器的配合,因而可以將一些常用的域名放入靜態域名解析表中,這樣可以大大提高域名解析效率。
靜態域名解析就是手工建立域名和IP地址之間的對應關係。當用戶使用域名進行某些應用(如telnet應用)時,係統查找靜態域名解析表,從中獲取指定域名對應的IP地址。
動態域名解析是通過對域名服務器的查詢完成的。解析過程如下:
(1) 當用戶使用域名進行某些應用時,用戶程序首先向DNS客戶端中的解析器發出請求。
(2) DNS客戶端收到請求後,首先查詢本地的域名緩存。如果存在已解析成功的映射項,就將域名對應的IP地址返回給用戶程序;如果沒有發現所要查找的映射項,就向域名服務器(DNS Server)發送查詢請求。
(3) 域名服務器首先從自己的數據庫中查找域名對應的IP地址。如果判斷該域名不屬於本域範圍之內,就將請求交給上一級的域名解析服務器處理,直到完成解析,並將解析的結果返回給DNS客戶端。
(4) DNS客戶端收到域名服務器的響應報文後,將解析結果返回給應用程序。
用戶程序、DNS客戶端及域名服務器的關係如圖1-1所示,其中解析器和緩存構成DNS客戶端。用戶程序、DNS客戶端在同一台設備上,而DNS客戶端和服務器一般分布在兩台設備上。
動態域名解析支持緩存功能。每次動態解析成功的域名與IP地址的映射均存放在動態域名緩存區中,當下一次查詢相同域名的時候,就可以直接從緩存區中讀取,不用再向域名服務器進行請求。緩存區中的映射在一段時間後會被老化刪除,以保證及時從域名服務器得到最新的內容。老化時間由域名服務器設置,DNS客戶端從協議報文中獲得老化時間。
動態域名解析支持域名後綴列表功能。用戶可以預先設置一些域名後綴,在域名解析的時候,用戶隻需要輸入域名的部分字段,係統會自動將輸入的域名加上不同的後綴進行解析。舉例說明,用戶想查詢域名aabbcc.com,那麼可以先在後綴列表中配置com,然後輸入aabbcc進行查詢,係統會自動將輸入的域名與後綴連接成aabbcc.com進行查詢。
使用域名後綴的時候,根據用戶輸入域名方式的不同,查詢方式分成以下幾種情況:
· 如果用戶輸入的域名中沒有“.”,比如aabbcc,係統認為這是一個主機名,會首先加上域名後綴進行查詢,如果所有加後綴的域名查詢都失敗,將使用最初輸入的域名(如aabbcc)進行查詢。
· 如果用戶輸入的域名中間有“.”,比如www.aabbcc,係統直接用它進行查詢,如果查詢失敗,再依次加上各個域名後綴進行查詢。
· 如果用戶輸入的域名最後有“.”,比如aabbcc.com.,表示不需要進行域名後綴添加,係統直接用輸入的域名進行查詢,不論成功與否都直接返回。就是說,如果用戶輸入的字符中最後一個字符為“.”,就隻根據用戶輸入的字符進行查找,而不會去匹配用戶預先設置的域名後綴,因此最後這個“.”,也被稱為查找終止符。帶有查詢終止符的域名,稱為FQDN(Fully Qualified Domain Name,完全合格域名)。
目前,設備支持靜態域名解析和動態域名解析的客戶端功能。
如果域名服務器上配置了域名的別名,設備可以通過別名來解析主機的IP地址。
DNS代理(DNS proxy)用來在DNS client和DNS server之間轉發DNS請求和應答報文。局域網內的DNS client把DNS proxy當作DNS server,將DNS請求報文發送給DNS proxy。DNS proxy將該請求報文轉發到真正的DNS server,並將DNS server的應答報文返回給DNS client,從而實現域名解析。
使用DNS proxy功能後,當DNS server的地址發生變化時,隻需改變DNS proxy上的配置,無需改變局域網內每個DNS client的配置,從而簡化了網絡管理。
DNS proxy的典型應用環境如圖1-2所示。
圖1-2 DNS代理典型組網應用
DNS代理的工作過程如下:
(1) DNS client把DNS proxy當作DNS server,將DNS請求報文發送給DNS proxy,即請求報文的目的地址為DNS proxy的IP地址。
(2) DNS proxy收到請求報文後,首先查找本地的靜態域名解析表和動態域名解析表,如果存在請求的信息,則DNS proxy直接通過DNS應答報文將域名解析結果返回給DNS client。
(3) 如果不存在請求的信息,則DNS proxy將報文轉發給DNS server,通過DNS server進行域名解析。
(4) DNS proxy收到DNS server的應答報文後,記錄域名解析的結果,並將報文轉發給DNS client。DNS client利用域名解析的結果進行相應的處理。
隻有DNS proxy上存在域名服務器地址,並存在到達域名服務器的路由,DNS proxy才會向DNS server發送域名解析請求。否則,DNS proxy不會向DNS server發送域名解析請求,也不會應答DNS client的請求。
圖1-3 DNS spoofing典型應用場景
DNS spoofing主要應用於圖1-3所示的撥號網絡。在該網絡中:
· Device通過撥號接口連接到PSTN/ISDN等撥號網絡。隻有存在通過撥號接口轉發的報文時,才會觸發撥號接口建立連接。
· Device作為DNS proxy。在Host上將Device指定為DNS服務器;撥號接口建立連接後,Device通過DHCP等方式動態獲取DNS服務器地址。
Device上沒有使能DNS spoofing功能時,Device接收到Host發送的域名解析請求報文後,如果不存在對應的靜態域名解析表項和動態域名解析表項,則需要向DNS server發送域名解析請求。但是,由於此時撥號接口尚未建立連接,Device上不存在DNS server地址,Device不會向DNS server發送域名解析請求,也不會應答DNS client的請求。從而,導致域名解析失敗,且沒有流量觸發撥號接口建立連接。
DNS spoofing功能可以解決上述問題。使能DNS spoofing功能後,即便Device上不存在域名服務器地址或到達DNS server的路由,Device也會利用指定的IP地址作為域名解析結果,應答DNS client的域名解析請求。DNS client後續發送的報文可以用來觸發撥號接口建立連接。
圖1-3所示網絡中,Host訪問HTTP server的報文處理流程為:
(1) Host通過域名訪問HTTP server時,首先向Device發送域名解析請求,將HTTP server的域名解析為IP地址。
(2) Device接收到域名解析請求後,在本地沒有找到對應的靜態域名解析表項和動態域名解析表項,且撥號接口尚未建立連接,Device上不存在DNS server地址,則Device利用DNS spoofing中指定的IP地址作為域名解析結果,應答DNS client的域名解析請求。該域名解析應答的老化時間為0。並且,應答的IP地址滿足如下條件:Device上存在到達該IP地址的路由,且路由的出接口為撥號接口。
(3) Host接收到Device的應答報文後,向應答的IP地址發送HTTP請求。
(4) Device通過撥號接口轉發HTTP請求時,觸發撥號接口建立連接,並通過DHCP等方式動態獲取DNS server的地址。
(5) 域名解析應答老化後,Host再次發送域名解析請求。
(6) 之後,Device的處理過程與DNS proxy工作過程相同,請參見“1.1.3 2. DNS代理的工作機製”。
(7) Host獲取到正確的HTTP server地址後,可以正常訪問HTTP server。
由於DNS spoofing功能指定的IP地址並不是待解析域名對應的IP地址,為了防止DNS client上保存錯誤的域名解析表項,該IP地址對應域名解析應答的老化時間為0。
配置靜態域名解析就是通過配置使主機名與IPv4地址相互對應。當使用Telnet等應用時,可以直接使用主機名,由係統解析為IPv4地址。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置主機名和對應的IPv4地址 |
ip host hostname ip-address |
必選 缺省情況下,靜態域名解析表中沒有主機名及IPv4地址的對應關係 |
· 每個主機名隻能對應一個IPv4地址,當對同一主機名進行多次配置時,最後配置的IPv4地址有效。
· 最多可配置50條IPv4靜態域名解析信息。
如果用戶需要使用動態域名解析功能,可以使用下麵的命令使能動態域名解析功能,並配置域名服務器,這樣才能將查詢請求報文發送到正確的服務器進行解析。
用戶還可以配置域名後綴,以便實現隻輸入域名的部分字段,而由係統自動加上預先設置的後綴進行解析。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟動態域名解析功能 |
dns resolve |
必選 缺省情況下,動態域名解析功能處於關閉狀態 |
|
|
配置域名服務器的IPv4地址 |
係統視圖下 |
dns server ip-address |
二者至少選擇其一 缺省情況下,沒有配置域名服務器的IPv4地址 |
|
接口視圖下 |
interface interface-type interface-number |
||
|
dns server ip-address |
|||
|
quit |
|||
|
配置域名後綴 |
dns domain domain-name |
可選 缺省情況下,沒有配置域名後綴,即隻根據用戶輸入的域名信息進行解析 |
|
· 包括IPv6域名服務器在內,係統視圖下最多可配置6個域名服務器;所有接口下配置的域名服務器總數不能超過6。
· DNS server的優先級順序為:係統視圖下配置的DNS server優先級高於接口視圖下配置的DNS server;在同一視圖下先配置的DNS server優先級高於後配置的DNS server;設備上手工配置的DNS server優先級高於通過DHCP等方式動態獲取的DNS server。設備首先向優先級最高的DNS server發送查詢請求,失敗後再依次向其他DNS server發送查詢請求。
· 設備上最多可以配置10個域名後綴。
表1-3 配置DNS proxy
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟DNS proxy功能 |
dns proxy enable |
必選 缺省情況下,DNS proxy功能處於關閉狀態 |
|
|
配置域名服務器的IPv4地址 |
係統視圖下 |
dns server ip-address |
二者至少選擇其一 缺省情況下,沒有配置域名服務器的IPv4地址 |
|
接口視圖下 |
interface interface-type interface-number |
||
|
dns server ip-address |
|||
通過dns server命令可以指定多個DNS server。DNS proxy接收到客戶端的查詢請求後,首先向優先級最高的DNS server轉發查詢請求,失敗後再依次向其他DNS server轉發查詢請求。
隻有在以下條件均滿足的情況下,DNS spoofing功能才會生效:
· 設備上使能了DNS proxy功能
· 設備上沒有指定域名服務器地址或不存在到達域名服務器的路由
因此,配置DNS spoofing前,需要先使能DNS proxy功能。
表1-4 配置DNS spoofing
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DNS spoofing功能,並指定應答的IP地址 |
dns spoofing ip-address |
必選 缺省情況下,DNS spoofing功能處於關閉狀態 |
在IPv4報文頭中,包含一個8bit的ToS字段,用於標識IP報文的服務類型。RFC 2474對這8個bit進行了定義,將前6個bit定義為DSCP優先級,最後2個bit作為保留位。在報文傳輸的過程中,DSCP優先級可以被網絡設備識別,並作為報文傳輸優先程度的參考。
用戶可以對DNS報文的DSCP優先級進行配置。
表1-5 配置DNS報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置發送的DNS報文的DSCP優先級 |
dns dscp dscp-value |
可選 缺省情況下,發送的DNS報文的DSCP優先級為0 |
缺省情況下,設備根據DNS server的地址,通過路由表查找報文的出接口,並將該出接口的主IP地址作為發送到該服務器的DNS查詢報文的源地址。根據DNS server的地址不同,發送報文的源地址可能會發生變化。在某些特殊的組網環境中,DNS server隻應答來自特定源地址的DNS請求報文。這種情況下,必須指定DNS報文的源接口。如果為設備配置了DNS報文的源接口,則設備在發送DNS報文時,將固定使用該接口的主IP地址作為報文的源地址。
表1-6 配置DNS報文的源接口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置DNS報文的源接口 |
dns source-interface interface-type interface-number |
必選 缺省情況下,未指定DNS報文的源接口,設備根據DNS server的地址,通過路由表查找報文的出接口,並將該出接口的主IP地址作為發送到該服務器的DNS查詢報文的源地址。 |
在完成上述配置後,在任意視圖下執行display命令可以顯示IPv4域名解析配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除動態域名緩存信息。
|
操作 |
命令 |
|
顯示IPv4靜態域名解析表 |
display ip host [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv4域名服務器信息 |
display dns server [ dynamic ] [ | { begin | exclude | include } regular-expression ] |
|
顯示域名後綴列表信息 |
display dns domain [ dynamic ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv4動態域名緩存信息 |
display dns host ip [ | { begin | exclude | include } regular-expression ] |
|
清除IPv4動態域名緩存信息 |
reset dns host ip |
為了避免記憶複雜的IP地址,Device希望通過便於記憶的主機名訪問某一主機。在Device上手工配置IP地址對應的主機名,利用靜態域名解析功能,就可以實現通過主機名訪問該主機。
在本例中,Device訪問的主機IP地址為10.1.1.2,主機名為host.com。
圖1-4 靜態域名解析配置組網圖
# 配置主機名host.com對應的IP地址為10.1.1.2。
<Sysname> system-view
[Sysname] ip host host.com 10.1.1.2
# 執行ping host.com命令,Device通過靜態域名解析可以解析到host.com對應的IP地址為10.1.1.2。
[Sysname] ping host.com
PING host.com (10.1.1.2):
56 data bytes, press CTRL_C to break
Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=128 time=1 ms
Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=128 time=4 ms
Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=128 time=3 ms
Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=128 time=2 ms
Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=128 time=3 ms
--- host.com ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/2/4 ms
為了避免記憶複雜的IP地址,Device希望通過便於記憶的域名訪問某一主機。如果網絡中存在域名服務器,則可以利用動態域名解析功能,實現通過域名訪問主機。
在本例中:
· 域名服務器的IP地址是2.1.1.2/16,域名服務器上存在com域,且com域中包含域名“host”和IP地址3.1.1.1/16的對應關係。
· Device作為DNS客戶端,使用動態域名解析功能,將域名解析為IP地址。
· Device上配置域名後綴com,以便簡化訪問主機時輸入的域名,例如通過輸入host即可訪問域名為host.com、IP地址為3.1.1.1/16的主機Host。
· 在開始下麵的配置之前,假設設備與主機之間的路由可達,設備和主機都已經配置完畢,接口IP地址如圖1-5所示。
· 不同域名服務器的配置方法不同,下麵僅以Windows Server 2000為例,說明域名服務器的配置方法。
(1) 配置域名服務器
# 進入域名服務器配置界麵。
在開始菜單中,選擇[程序/管理工具/DNS]。
# 創建區域com。
如圖1-6所示,右鍵點擊[正向查找區域],選擇[新建區域],按照提示創建新的區域com。
# 添加域名和IP地址的映射。
如圖1-7所示,右鍵點擊區域com。
選擇[新建主機],彈出如圖1-8的對話框。按照圖1-8輸入域名host和IP地址3.1.1.1。
圖1-8 添加域名和IP地址的映射
(2) 配置DNS客戶端Device
# 開啟動態域名解析功能。
<Sysname> system-view
[Sysname] dns resolve
# 配置域名服務器的IP地址為2.1.1.2。
[Sysname] dns server 2.1.1.2
# 配置域名後綴com。
[Sysname] dns domain com
(3) 驗證配置結果
# 在設備上執行ping host命令,可以ping通主機,且對應的目的地址為3.1.1.1。
[Sysname] ping host
Trying DNS resolve, press CTRL_C to break
Trying DNS server (2.1.1.2)
PING host.com (3.1.1.1):
56 data bytes, press CTRL_C to break
Reply from 3.1.1.1: bytes=56 Sequence=1 ttl=126 time=3 ms
Reply from 3.1.1.1: bytes=56 Sequence=2 ttl=126 time=1 ms
Reply from 3.1.1.1: bytes=56 Sequence=3 ttl=126 time=1 ms
Reply from 3.1.1.1: bytes=56 Sequence=4 ttl=126 time=1 ms
Reply from 3.1.1.1: bytes=56 Sequence=5 ttl=126 time=1 ms
--- host.com ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/3 ms
某局域網內擁有多台設備,每台設備上都指定了域名服務器的IP地址,以便直接通過域名訪問外部網絡。當域名服務器的IP地址發生變化時,網絡管理員需要更改局域網內所有設備上配置的域名服務器IP地址,工作量將會非常巨大。
通過DNS proxy功能,可以大大減少網絡管理員的工作量。當域名服務器IP地址改變時,隻需更改DNS proxy上的配置,即可實現局域網內設備通過新的域名服務器解析域名。
在本例中,具體配置步驟為:
(1) 局域網中的某台設備Device A配置為DNS proxy,DNS proxy上指定域名服務器IP地址為真正的域名服務器的地址4.1.1.1
(2) 局域網中的其他設備(如Device B)上,域名服務器的IP地址配置為DNS proxy的地址,域名解析報文將通過DNS proxy轉發給真正的域名服務器。
在開始下麵的配置之前,假設設備與域名服務器、主機之間的路由可達,並已按照圖1-9配置各接口的IP地址。
(1) 配置域名服務器
不同的域名服務器的配置方法不同。Windows Server 2000作為域名服務器時,配置方法請參見“1.8.2 動態域名解析配置舉例”。
(2) 配置DNS代理Device A
# 配置域名服務器的IP地址為4.1.1.1。
<DeviceA> system-view
[DeviceA] dns server 4.1.1.1
# 開啟DNS proxy功能。
[DeviceA] dns proxy enable
(3) 配置DNS客戶端Device B
# 開啟動態域名解析功能。
<DeviceB> system-view
[DeviceB] dns resolve
# 配置域名服務器的IP地址為2.1.1.2。
[DeviceB] dns server 2.1.1.2
(4) 驗證配置結果
# 在Device B上執行ping host.com命令,可以ping通主機,且對應的目的地址為3.1.1.1。
[DeviceB] ping host.com
Trying DNS resolve, press CTRL_C to break
Trying DNS server (2.1.1.2)
PING host.com (3.1.1.1):
56 data bytes, press CTRL_C to break
Reply from 3.1.1.1: bytes=56 Sequence=1 ttl=126 time=3 ms
Reply from 3.1.1.1: bytes=56 Sequence=2 ttl=126 time=1 ms
Reply from 3.1.1.1: bytes=56 Sequence=3 ttl=126 time=1 ms
Reply from 3.1.1.1: bytes=56 Sequence=4 ttl=126 time=1 ms
Reply from 3.1.1.1: bytes=56 Sequence=5 ttl=126 time=1 ms
--- host.com ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/3 ms
配置了動態域名解析,但不能根據域名解析到正確的IP地址。
DNS客戶端需要和域名服務器配合使用,才能根據域名解析到正確的IP地址。
· 執行命令display dns host ip,檢查動態域名緩存信息是否存在指定域名。
· 如果不存在要解析的域名,檢查DNS客戶端是否和域名服務器通信正常,域名服務器是否工作正常,動態域名解析功能是否已經開啟。
· 如果存在要解析的域名,但地址不對,則檢查DNS客戶端所配置的域名服務器的IP地址是否正確。
· 檢查域名服務器所設置的域名和地址映射表是否正確。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
