亲手缔造DNS体系，建立DNS私有根：DNS系列之六

时间 2021-01-22

标签服务器网络 ide 工具测试 url spa .net 设计 orm 栏目系统网络繁體版

原文原文链接

打造 DNS 私有根

咱们如今已经从前面的博文中了解到了不少DNS的相关知识，今天咱们用一个综合性的实验把前面的内容都串起来复习一下，这个有趣的实验就是DNS的私有根。私有根顾名思义是由我的或企业自行建立的DNS根服务器，这个根服务器属于建立者私有专用，不能象互联网上的根服务器那样为众多的网民服务。那么为何会有企业搭建私有根呢？直接用互联网上的根服务器不是很好吗？须要搭建私有根通常有下列缘由，例若有的单位如警察或军事部门出于保密须要，必须把单位的网络和互联网物理隔离，但又不肯使用IP地址来互相访问，这样就必须使用DNS私有根才能保证域名的正常应用；还有的大型企业为了管理方便，也在企业内设置私有根解析域名，这样能够省却去公网申请域名的麻烦。

对咱们来讲，建立私有根的意义在于能够经过这些操做更好地理解DNS的体系结构，能够亲自体验一下DNS的诞生过程。下面咱们准备用五台虚拟机来实现一个DNS的私有根，拓扑以下图所示，Florence充当私有根的根服务器，根服务器把.com区域的解析权委派给Berlin，把.net区域的解析权委派给Firenze。而后Berlin再把hexun.com的解析权委派给Istanbul，而Firenze把homeway.net的解析权委派给Perth。每台服务器的彻底合格域名和IP地址都在拓扑图中进行了标注。

一 负责根域的 DNS 服务器

咱们把建立根服务器这个伟大的任务交给了Florence，私有根服务器的诞生宣布了咱们使用了另一个域名空间，和公网域名空间彻底平行的另外一个名称空间，在这个本身建立的域名空间中，咱们可使用任意域名而不用担忧和公网上的同名区域发生冲突。以下图所示，咱们在Florence的DNS管理器中选择新建区域，准备在Florence上建立出根域。

出现新建区域向导，点击下一步继续。

区域类型固然选择“主要区域”。

区域的名称为 . ，哈哈，大名鼎鼎的根域原来如此简单。

根域的区域数据文件是root.dns，注意，咱们以后要修改这个文件。

区域建立完毕，这时，私有根已经诞生了。

咱们在根域中首先检查NS和SOA记录，都任何区域来讲，这两个记录都是不可或缺的。首先咱们检查NS记录，以下图所示，NS记录中描述了根域的DNS服务器是Florence.，因为Florence.并非一个彻底合格域名，所以咱们要对这个域名进行编辑。

按照拓扑图中的设计，咱们把根域的域名服务器改为了Florence.root.net.，IP地址是192.168.11.101。

而后对根域的SOA记录也进行修改，以下图所示，咱们把根域的主服务器设置为Florence.root.net.，这样，根域的NS记录和SOA记录就都设置好了。

接下来咱们就要在根域中设置区域委派了，按照拓扑要求，咱们应该把com区域委派给Berlin，把net区域委派给Firenze。咱们在根域的区域数据文件root.dns中设置委派，以下图所示，咱们把com的解析权委派给Berlin.root.net. ，把net的解析权委派给Firenze.root.net.。

修改了根域的区域数据文件后，咱们在DNS管理器中已经能够看到根域的委派结果了。

至此，咱们对根域的设置完成，主要工做是建立了根域以及在根域中设置了委派。

二负责 com 区域的 DNS 服务器

根服务器把com区域的解析权委派给了Berlin，接下来咱们就要在Berlin上进行设置了，首先咱们要作的就是让Berlin信任咱们新建立的根服务器，默认状况下，Berlin只认可互联网上的那13个根服务器。以下图所示，咱们在Berlin的DNS管理器中打开服务器属性中的根提示，发现了Berlin目前认可的13个根服务器。

以下图所示，咱们把13个根服务器删除，把Florence.root.net.做为惟一的DNS根服务器添加进来，这样，Berlin就认可咱们新建立的根服务器了。

Berlin认可了私有根后，咱们在Berlin上建立com区域，以下图所示，咱们在Berlin的DNS管理器中选择新建区域。

区域类型选择主要区域。

区域名称是com。

Com区域的区域数据文件是com.dns。

Com区域的建立很是简单，以下图所示，咱们已经完成了com区域的建立。

建立了com区域后，咱们接下来就要在com区域中检查NS记录和SOA记录的设置状况了。咱们检查com区域的区域数据文件com.dns，以下图所示，咱们发现com区域中的NS记录和SOA记录都把域名服务器设置为了Berlin.，但Berlin.并非一个彻底合格域名，所以咱们要对记录进行修改。

以下图所示，咱们经过编辑com.dns完成了两件工做，首先是把NS记录和SOA记录都用Berlin.root.net.这么个标准的彻底合格域名来表示，其次是在com区域中进行了委派操做，把hexun.com的解析权委派给了Istanbul.hexun.com。

以下图所示，咱们能够看到修改了com.dns后的结果。

至此，咱们在 Berlin 上完成了 DNS 服务器的设置，首先修改了根服务器，而后完善了 com 区域的 NS 记录和 SOA 记录，最后在 com 区域中设置了委派。

三负责 net 区域的 DNS 服务器

咱们在根域中把net区域的解析权委派给了Firenze，接下来咱们在Firenze上进行操做，首先Firenze要认可Florence是根服务器。以下图所示，咱们在Firenze属性的根提示中设置了惟一的根服务器，Florence.root.net.。

接下来在Firenze上建立net区域，以下图所示，咱们在Firenze的DNS管理器中选择新建区域。

区域名称是net。

区域数据文件是net.dns。

以下图所示，咱们看到net区域的NS记录和SOA记录都表示得不恰当，咱们在net的区域数据文件中进行修改。

以下图所示，咱们在区域数据文件中把net区域的NS记录和SOA记录都进行了修改，改为了firenze.root.net.，而后把homeway.net的解析权委派给了perth.homeway.net.。

至此， Firenze 的设置完成，基本上和 Berlin 的设置是相同的，也是从新设置了根服务器，建立了 net 区域，修改了区域的 NS 和 SOA 记录，同时设置了区域委派。

四负责 hexun.com 的服务器

Istanbul负责hexun.com区域的解析，咱们首先也是要设置Istanbul的根服务器，以下图所示，咱们设置Florence.root.net.是惟一的根服务器。

接下来须要在Istanbul上建立区域hexun.com，具体的建立过程再也不赘述，以下图所示，这是hexun.com区域建立后的结果，显然，咱们须要对其中的NS和SOA记录进行修改。

以下图所示，咱们编辑了hexun.com的区域数据文件hexun.com.dns。咱们把hexun.com区域的NS和SOA记录中的域名服务器都改成了istanbul.hexun.com.，并且在区域中添加了[url]www.hexun.com[/url]和mail.hexun.com两条A记录。

修改后的结果以下图所示。

在 Istanbul 上的设置相对简单一些，只是把根服务器从新设置了一下，同时对 hexun.com 区域中的记录进行了一些修改，没有涉及到区域委派。

五负责 homeway.net 的服务器

负责homeway.net的是Perth，咱们首先也是要在perth上修改根服务器,以下图所示,咱们把根服务器修改成florence.root.net.。

接下来在perth上建立区域homeway.net，具体过程再也不赘述，以下图所示就是homeway.net刚建立完的结果。

咱们修改区域数据文件homeway.net.dns，以下图所示，咱们修改了homeway.net的NS和SOA记录，用彻底合格域名来表示DNS服务器。而后还建立了两条A记录，[url]www.homeway.net[/url]和ftp.homeway.net。

修改后的结果以下图所示。

Perth的设置也比较简单，和Istanbul相似，只是简单地改了一下根服务器，同时对homeway.net的区域数据进行了一下修改。

六 私有根测试

咱们费了半天力气终于搭好了私有根，如今咱们来测试一下效果，理论上咱们使用任何一个DNS服务器均可以把私有名称空间内的任何域名都解析出来。咱们在perth上进行一个测试，用perth做为DNS服务器来解析[url]www.hexun.com[/url]。理论上分析，以hexun.com结尾的域名应该由Istanbul来解析，perth若是能解析出来，那确定是经过私有根找到了istanbul。测试结果以下图所示，咱们发现perth已经成功地解析了[url]www.hexun.com[/url]。

咱们用抓包工具记录一下perth的解析过程，咱们能够很清楚地看到，perth先是向私有根的根服务器192.168.11.101发出了查询请求，而后又向负责com区域的192.168.11.108发出了查询请求，最后向负责hexun.com的192.168.11.107申请查询，此次终于如愿以偿，查到了正确结果，过程和之前在公网上的解析彻底同样，咱们设置私有根成功了！