第9章 域名系统(DNS)

1、Page 1问题的提出问题的提出 主机的物理地址和主机的物理地址和IP地址都是数字形式的，人难于理地址都是数字形式的，人难于理解和记忆，解和记忆，TCP/IP在应用层采用字符型的主机名称，在应用层采用字符型的主机名称，称为称为域名域名。因此，。因此，TCP/IP形成了形成了三个层次的主机标识三个层次的主机标识。 如某个网络服务器：如某个网络服务器：35-A3-90-17-B4-FC ， 1， IP地址与物理地址的映射可以使用网络层的地址与物理地址的映射可以使用网络层的ARP和和RARP协议，那么应用层的域名和网络层的协议，那么应用层的域名和网络层的IP地址如地址如何映射

2、呢？何映射呢？ 因特网早期采用主机文件实现映射，而现在因特网采因特网早期采用主机文件实现映射，而现在因特网采用用域名系统域名系统DNS进行映射。进行映射。Page 2第第9章章 域名系统域名系统(DNS)9.1 命名机制与名字管理命名机制与名字管理9.2 因特网域名因特网域名9.3 DNS服务器服务器9.4 域名解析域名解析9.5 DNS报文格式报文格式9.6 DNS资源记录资源记录9.7 DNS配置及数据库文件配置及数据库文件Page 39.1 命名机制与名字管理命名机制与名字管理 网络中网络中通常采用的命名机制有两种通常采用的命名机制有两种：无层次命名机制：无层次命名机制和层次型命名机制。

3、和层次型命名机制。 无层次无层次(flat)命名机制：命名机制：早期因特网采用，主机名用一早期因特网采用，主机名用一个个字符串字符串表示，表示，没有任何结构没有任何结构。 为了保证名字的全局为了保证名字的全局惟一性，采用惟一性，采用集中式管理方式集中式管理方式，名字，名字地址映射通常地址映射通常通过通过主机文件主机文件完成。完成。 缺点缺点：不适合大型网络，随着网络中对象的增加，管：不适合大型网络，随着网络中对象的增加，管理机构的工作量也会增加，而且容易出现名字冲突。理机构的工作量也会增加，而且容易出现名字冲突。Page 4 层次型命名机制：层次型命名机制：将名字空间分成若干子空间，将名字空间

4、分成若干子空间，每个机构负责一个子空间的管理。每个机构还每个机构负责一个子空间的管理。每个机构还可以将子名字空间进行进一步划分，授权给下可以将子名字空间进行进一步划分，授权给下一级机构，而下一级又可以继续划分他所管理一级机构，而下一级又可以继续划分他所管理的名字空间。这样一来，的名字空间。这样一来，名字空间呈一种树形名字空间呈一种树形结构结构，树上的每一个节点都有一个相应的标号。，树上的每一个节点都有一个相应的标号。Page 5 Root 图9-1 层次型名字空间 cn edu njust serv edu com arpa cn. . . . 域名 标号 顶级域 次级域 子域 主机 层次 P

5、age 6 树的根是惟一的，所以不需要标号。树的叶结点树的根是惟一的，所以不需要标号。树的叶结点是那些需要根据名字去寻址的主机（通常是网络是那些需要根据名字去寻址的主机（通常是网络上的服务器）。上的服务器）。 惟一性惟一性：每个机构或子机构向上申请自己的名字：每个机构或子机构向上申请自己的名字空间，并向下分配子名字空间。每个机构或子机空间，并向下分配子名字空间。每个机构或子机构只要构只要保证自己所管理的下一级标号不发生重复保证自己所管理的下一级标号不发生重复就可以保证所有的名字不重复。就可以保证所有的名字不重复。 管理管理：通过层次化的名字结构，将名字空间的管：通过层次化的名字结构，将名字空间

6、的管理工作理工作分散分散到多个不同层次的管理机构上，减轻到多个不同层次的管理机构上，减轻了单个管理机构的工作量，提高了效率。了单个管理机构的工作量，提高了效率。 映射映射：每个机构内都有域名服务器每个机构内都有域名服务器用于存储某个用于存储某个范围内设备的名字范围内设备的名字-地址映射信息。地址映射信息。 当前当前因特网采用就是这种层次型命名机制因特网采用就是这种层次型命名机制。Page 79.2 因特网域名因特网域名 根据系统采用的是无层次命名机制还是层次型根据系统采用的是无层次命名机制还是层次型命名机制，主机名可以通过命名机制，主机名可以通过主机文件主机文件或者或者域名域名系统系统DNS进

7、行转换。进行转换。 用主机文件进行名字解析时，每个需要进行名用主机文件进行名字解析时，每个需要进行名字解析的主机都拥有一个字解析的主机都拥有一个HOSTS文件。因特网文件。因特网早期使用，现在，小型网络仍然可以采用这种早期使用，现在，小型网络仍然可以采用这种方式。方式。 下面是下面是Windows系统中的系统中的HOSTS文件。文件。Page 8# This is a sample HOSTS file used by Microsoft # TCP/IP for Windows.# This file contains the mappings of IP addresses to # ho

8、st names. # Each entry should be kept on an individual line. The # IP address should be placed in the first column # followed by the corresponding host name.# The IP address and the host name should be# separated by at least one space.# Additionally, comments (such as these) may be # inserted on ind

9、ividual lines or following the machine # name denoted by a # symbol.# For example:# 7 # source server# 0 # x client host localhostPage 9域名系统域名系统DNS是在是在1984年为取代年为取代HOSTS文件文件而创建的层次型名字系统。而创建的层次型名字系统。 域名系统的层次结构域名系统的层次结构： 根域根域（Root）位于）位于DNS的最高层，一般不出的最高层，一般不出现在域名中。现在域名中。 顶级域

10、顶级域又称为又称为一级域一级域，顶级域可以分为类：，顶级域可以分为类：通通用顶级域名用顶级域名gTLD、国家代码顶级域名国家代码顶级域名ccTLD和和反向域反向域。1. 通用顶级域名通用顶级域名gTLD： com、org和和net：任何国家的用户都可申：任何国家的用户都可申请注册它们下面的二级域名。请注册它们下面的二级域名。mil、gov和和edu只向美国专门机构开放。只向美国专门机构开放。int是用于国际化机构是用于国际化机构的顶级域名（的顶级域名（iTLD）。）。Page 10 通用顶级域名通用顶级域名 域名 域 com 商业组织商业组织 net 主要网络支持中心主要网络支持中心 org

11、上述以外的组织上述以外的组织 edu 教育机构教育机构(美国美国) gov 政府部门政府部门(美国美国) mil 军事部门军事部门(美国美国) int 国际组织国际组织Page 11上述上述7个通用顶级域供不应求，后来又新增了个通用顶级域供不应求，后来又新增了7个通用顶个通用顶级域：级域：biz、info、name、pro、aero、coop和和museum。2. 国家代码顶级域名国家代码顶级域名ccTLD：由二个字母来表示。由二个字母来表示。ukuk代表英国，代表英国，hkhk代表香港代表香港( (地区地区) )， sgsg代表新加坡。代表新加坡。3. 反向域：反向域：顶级域名为顶级域名为a

12、rpa，用于实现，用于实现IP地址到域名地址到域名的反向解析。的反向解析。 次级域次级域又叫又叫二级域二级域，次级域与具体的公司或组织相关联。，次级域与具体的公司或组织相关联。 子域子域是次级域下面的域，是各个组织将名字空间进行的是次级域下面的域，是各个组织将名字空间进行的进一步划分。进一步划分。 主机名主机名(Host Name)是最末级的名字。是最末级的名字。Page 12域和区域是不同的概念。每个域和区域是不同的概念。每个域域/子域子域对应一棵子树，对应一棵子树，而而区域区域（Zone）是名字空间的管理中采用的概念，）是名字空间的管理中采用的概念，通常是指一个通常是指一个DNS服务器所管

13、理的名字空间。服务器所管理的名字空间。 域是一棵完整的子树域是一棵完整的子树，而，而区域可以是子树中的任何区域可以是子树中的任何一部分一部分。根根INTCNMILNETCOMJPIBMintelengwwwjackedunetnjustwwwftp域与区域域与区域Page 13DNSDNS由由3 3个部分个部分构成：构成：名字解析器名字解析器(resolver)(resolver)：DNSDNS客户机。名字客户机。名字解析器请求名字服务器的服务，目的是获得解析器请求名字服务器的服务，目的是获得目标主机的目标主机的IPIP地址。地址。名字服务器名字服务器(name server)(name se

14、rver)：DNSDNS服务器。服务器。名字服务器用于保存域名名字服务器用于保存域名/IP/IP地址的映射信地址的映射信息，响应名字解析请求。息，响应名字解析请求。域名空间域名空间：用树形结构组织的：用树形结构组织的DNSDNS数据库，数据库，是名字服务器给出响应的依据。是名字服务器给出响应的依据。返回返回Page 149.3 DNS服务器服务器DNS服务器服务器获取域名获取域名-地址映射信息的方法地址映射信息的方法： 由管理员编辑一个原始区域文件由管理员编辑一个原始区域文件 从其他名字服务器那里复制区域文件从其他名字服务器那里复制区域文件 通过向其他名字服务器查询来获取具有一定时效的通过向其

15、他名字服务器查询来获取具有一定时效的缓存信息缓存信息 名字服务器名字服务器的三种主要的三种主要类型类型： 主名字服务器主名字服务器 次名字服务器次名字服务器 惟高速缓存名字服务器惟高速缓存名字服务器Page 15 主名字服务器主名字服务器：拥有区域文件原始版本的服务器。：拥有区域文件原始版本的服务器。关于该区域文件的任何变更都在这个主名字服务关于该区域文件的任何变更都在这个主名字服务器的原始版本上进行。器的原始版本上进行。 次名字服务器：次名字服务器：从某个主名字服务器那里从某个主名字服务器那里复制一复制一个区域文件个区域文件，该区域文件是一个，该区域文件是一个只读版本只读版本。次名。次名字服

16、务器通过区域传输跟随主名字服务器上区域字服务器通过区域传输跟随主名字服务器上区域文件的变化。文件的变化。 惟高速缓存名字服务器惟高速缓存名字服务器上没有区域文件，它的职上没有区域文件，它的职责是帮助名字解析器完成名字解析，并责是帮助名字解析器完成名字解析，并缓存解析缓存解析结果结果。此类服务器对名字的解析是。此类服务器对名字的解析是非授权非授权的。此的。此类服务器在启动之后，类服务器在启动之后，通过通过缓存缓存相关查询结果来相关查询结果来逐渐建立逐渐建立DNS信息信息。缓存条目的生存期。缓存条目的生存期TTL由授由授权解析的名字服务器决定。权解析的名字服务器决定。Page 169.4 域名解析

17、域名解析 域名解析包括：域名解析包括： 正向解析正向解析：根据域名查询其对应的：根据域名查询其对应的IP地址或其他相地址或其他相关信息关信息 反向解析反向解析：根据：根据IP地址查询其对应的域名地址查询其对应的域名 解析的过程：解析的过程： 递归解析递归解析（Recursive resolution） 反复解析反复解析（iterative resolution）Page 179.4.1 递归解析递归解析 递归解析递归解析强迫强迫DNS服务器对请求做出响应，该服务器对请求做出响应，该响应或者是一个失败响应，或者是一个包含解响应或者是一个失败响应，或者是一个包含解析结果的成功响应。析结果的成功响应

18、。 客户端计算机的解析器通常会发出递归查询客户端计算机的解析器通常会发出递归查询。Page 18域名的递归解析域名的递归解析假设域名为假设域名为的客户的客户机要解析域名为机要解析域名为的的计算机的计算机的IP地址地址客户edu根服务器 Page 199.4.2 反复解析反复解析特点：由客户端本身反复寻求名字服务器的服务特点：由客户端本身反复寻求名字服务器的服务来获得最终的解析结果。来获得最终的解析结果。名字服务器收到请求后，名字服务器收到请求后，若能够给出解析结果，则发回结果，若无法给出若能够给出解析结果，则发回结果，若无法给出解析结果，则向查询者提供

19、它认为能够给出解析解析结果，则向查询者提供它认为能够给出解析结果的服务器的结果的服务器的IP地址。请求者收到后将向该地地址。请求者收到后将向该地址发解析请求。此过程一直进行下去，直到获得址发解析请求。此过程一直进行下去，直到获得最终解析结果或失败响应。最终解析结果或失败响应。 当一个名字服务器试图解析它所在区域之外的名当一个名字服务器试图解析它所在区域之外的名字时，往往会发送反复查询。字时，往往会发送反复查询。Page 20域名的反复解析域名的反复解析如：客户如：客户要解析要解析的域名时的域名时客户edu根服务器 12435678910Page 21

20、9.4.3 反向解析反向解析 反向解析：由主机的反向解析：由主机的IP地址求得其域名的过地址求得其域名的过程程。为此。为此DNS在名字空间中设置了一个称为在名字空间中设置了一个称为 的特殊域，专门用于反向解析。的特殊域，专门用于反向解析。 为了与正向解析使用相同的查找方法，反为了与正向解析使用相同的查找方法，反向解析将向解析将IP地址的字节颠倒过来写，构成反向地址的字节颠倒过来写，构成反向解析的解析的“名字空间名字空间”。26的的IP地地址在反向解析请求中应该这样写：址在反向解析请求中应该这样写： 02.in-addr.a

21、rpa. 处理反向域的服务器也是分级的。处理反向域的服务器也是分级的。Page 22 Root 图9-5 IP 地址为26的主机的逆向解析域名 cn edu serv edu com arpa in-addr 202 119 80 126 域名 njust arpa. 02.. 80.119.202.. 119.202.. 202.. . Page 239.4.4 解析效率解析效率为了提高解析效率：为了提高解析效率： 1. 采用

22、了采用了两步名字解析机制：两步名字解析机制：解析时，第一步解析时，第一步先通过本地名字服务器进行解析，若不行，再先通过本地名字服务器进行解析，若不行，再搜索各级名字服务器。搜索各级名字服务器。 2. 在各名字服务器中使用了在各名字服务器中使用了高速缓存技术高速缓存技术，存，存放最近解析过的本服务器区域之外的映射和解放最近解析过的本服务器区域之外的映射和解析该映射的服务器位置信息，可避免每次解析析该映射的服务器位置信息，可避免每次解析非本地名字时都进行自顶向下的搜索。非本地名字时都进行自顶向下的搜索。Page 24 高速缓存的有效性问题：高速缓存的有效性问题：若授权名字服务器中的映射若授权名字服

23、务器中的映射信息已发生变化而高速缓存未能作相应刷新，则会导信息已发生变化而高速缓存未能作相应刷新，则会导致解析错误。致解析错误。 解决方法解决方法： 服务器向解析器给出缓冲中的地址映射信息时，服务器向解析器给出缓冲中的地址映射信息时，必须必须注明该信息是非授权的信息注明该信息是非授权的信息，同时还指出能，同时还指出能够给出授权信息的名字服务器的地址。若解析器够给出授权信息的名字服务器的地址。若解析器仅注重效率，它可以立即使用此非授权的结果；仅注重效率，它可以立即使用此非授权的结果；若解析器注重解析的准确性，则可以立即向授权若解析器注重解析的准确性，则可以立即向授权服务器发出解析请求，以便获得准

24、确的结果。服务器发出解析请求，以便获得准确的结果。 高速缓存中的高速缓存中的每一条映射信息都有一个生存时间每一条映射信息都有一个生存时间TTL，一旦某条目的，一旦某条目的TTL时间到，便将它从缓冲区时间到，便将它从缓冲区中删除。中删除。 事实上，由于域名事实上，由于域名地址映射关系具有稳定性，名字地址映射关系具有稳定性，名字缓存机制还是非常有效的。缓存机制还是非常有效的。Page 259.5 DNS报文格式报文格式DNS协议属于协议属于TCP/IP模型的模型的应用层应用层，DNS既可以使用既可以使用UDP，也，也可以使用可以使用TCP来进行通信来进行通信，使用，使用UDP/TCP的的53号熟知

25、端口号熟知端口。DNS报文包括报文包括请求报文请求报文和和响应报文响应报文。请求报文和响应报文的。请求报文和响应报文的格格式是相同的式是相同的。DNS报文的首部由报文的首部由6个字段构成：个字段构成： 标识字段标识字段长度为长度为16比特，用于匹配请求和响应。比特，用于匹配请求和响应。 标志字段标志字段长度为长度为16比特，划分为如图比特，划分为如图9-7所示的若干子字段。所示的若干子字段。 QR子字段子字段(1比特比特)：用来区别请求和响应。：用来区别请求和响应。0表示请求报文，表示请求报文，1表示响应报文。表示响应报文。 OpCode子字段子字段(4比特比特)：用来定义操作类型。：用来定义

26、操作类型。 0表示标准查询（正向解析）表示标准查询（正向解析） 1表示反向查询（反向解析）表示反向查询（反向解析） 2表示服务器状态请求。表示服务器状态请求。Page 26 标 识 标 志 问 题 记 录 数 回 答 记 录 数 授 权 记 录 数 附 加 记 录 数 问 题 部 分 回 答 部 分 授 权 部 分 附 加 信 息 图 9-6 DNS 报文格式 0 16 31 首部 QR OpCode AA TC RD RA 0 0 0 rCode 图 9-7 DNS 报文标志字段的格式 1 4 4 1 1 1 1 1 1 1 Page 27标识标识参数参数问题数问题数管理机构数管理机构数附加

27、信息数附加信息数回答数回答数问题部分问题部分回答部分回答部分管理机构部分管理机构部分附加信息部分附加信息部分报头报头用于解析器匹配请求和响应用于解析器匹配请求和响应标识标识参数参数问题数问题数管理机构数管理机构数附加信息数附加信息数回答数回答数问题部分问题部分回答部分回答部分管理机构部分管理机构部分附加信息部分附加信息部分问题数问题数管理机构数管理机构数附加信息数附加信息数回答数回答数域名解析询问（域名解析询问（2 21616 1 1）个）个 服务器给出的响应服务器给出的响应 对应于做出响应的服务器对应于做出响应的服务器 询问域名询问域名 询问类型询问类型 询问类询问类回答部分回答部分管理机构

28、部分管理机构部分附加信息部分附加信息部分询问域名询问域名长度可变长度可变询问类型询问类型问题的类型，如问题的类型，如1= IPv4地址，地址，12=指指针针询问类询问类所选的协所选的协议类型，议类型，1=因特网因特网参数域位参数域位 意意 义义0 0 （QRQR） 操作：操作：0-0-询问，询问，1-1-响应响应1-4 1-4 询问类型：询问类型：（OpcodeOpcode） 0-0-标准标准 1-1-逆向逆向 2-2-服务器状服务器状 态请求态请求5 5（AAAA） 如果权威性回答则置位如果权威性回答则置位6 6（TCTC） 如果报文被截断则置位如果报文被截断则置位7 7（RDRD） 如果希

29、望递归则置位如果希望递归则置位8 8（RARA） 如果可以递归则置位如果可以递归则置位9-11 9-11 保留保留12-15 12-15 （rCoderCode） 响应类型：响应类型： 0-无错无错 1-1-询问格式错询问格式错 2- 服务器故障服务器故障 3-名字不存在名字不存在 4-查询类型不支持查询类型不支持 5-管理上禁止管理上禁止Page 28DNS报文首部的后面是可变部分，包括四个小部分。报文首部的后面是可变部分，包括四个小部分。 问题部分问题部分由一组问题记录组成。问题记录格式如图由一组问题记录组成。问题记录格式如图 询 问 名 询 问 类 型 询 问 类 图 9-8 DNS 报

30、文问题记录格式 0 16 31 询问名字段可变长，询问名由标号序列构成，每个标号前有询问名字段可变长，询问名由标号序列构成，每个标号前有一个字节指出该标号的字节长度。一个字节指出该标号的字节长度。 询问类（询问类（query class）16比特，比特，1表示因特网协议表示因特网协议(IN)。 询问类型（询问类型（query type）16比特，定义询问希望得到的回答比特，定义询问希望得到的回答类型。域名虽然主要针对主机而言，但由于域名系统的通用类型。域名虽然主要针对主机而言，但由于域名系统的通用性，域名解析既可以用于获取性，域名解析既可以用于获取IP地址，也可以用于获取名字地址，也可以用于获

31、取名字服务器和主机信息等。为了区分这些不同类型的对象，域名服务器和主机信息等。为了区分这些不同类型的对象，域名系统中每一命名条目都被赋予类型属性。系统中每一命名条目都被赋予类型属性。(表表9-3) Page 29表表9-3 常用的类型常用的类型A 1 IPv4地址地址 用于域名到用于域名到IPv4地址的转换地址的转换NS 2 名字服务器名字服务器 标识区域的授权名字服务器标识区域的授权名字服务器CNAME 5 正规名正规名 定义主机正规名的别名定义主机正规名的别名SOA 6 授权开始授权开始 标识授权的开始标识授权的开始PTR 12 指针指针 指向其他域名空间的指针指向其他域名空间的指针HIN

32、FO 13 主机信息主机信息 标识主机使用的标识主机使用的CPU和和OSMX 15 邮件交换邮件交换 标识用于域的邮件交换资源标识用于域的邮件交换资源AAAA 28 IPv6地址地址 用于域名到用于域名到IPv6地址的转换地址的转换AXFR 252 区域传输区域传输 请求传输整个区域请求传输整个区域ANY 255 全记录请求全记录请求 请求所有的记录请求所有的记录 记录别名记录别名 数值数值 记录类型记录类型描描 述述Page 30 DNS报文的报文的其余三个部分其余三个部分是回答部分、授权部是回答部分、授权部分和附加信息部分，附加信息包含回答部分和分和附加信息部分，附加信息包含回答部分和授权

33、部分返回的资源所要求的附加信息（如授权部分返回的资源所要求的附加信息（如IP地址）。地址）。 这三部分均由一组这三部分均由一组资源记录资源记录组成，而且仅在应组成，而且仅在应答报文中出现。一条资源记录答报文中出现。一条资源记录描述一个域名描述一个域名，格式如图。格式如图。 域 名 类 型 类 生 存 时 间 资 源 数 据 长 度 资 源 数 据 图 9-9 DNS 资源记录格式 0 16 31 Page 31类型类型类类生存时间生存时间资源数据长度资源数据长度资源数据资源数据 域名域名域名域名本资源记录所涉及的域名，长度可变本资源记录所涉及的域名，长度可变指出资指出资源记录源记录中所含中所含

34、的数据的数据(域域)类类型型类型类型类类指出数指出数据据(域域)类类生存时间生存时间指出本资指出本资源记录可源记录可被缓冲区被缓冲区保存的时保存的时间（秒）间（秒）资源数据资源数据域名解析域名解析结果结果Page 32 在响应报文中，回答的域名往往与问题中的域在响应报文中，回答的域名往往与问题中的域名相同。为了节省响应报文的空间，服务器对名相同。为了节省响应报文的空间，服务器对回答的域名采用回答的域名采用压缩格式压缩格式，对相同的域名只存，对相同的域名只存放一个拷贝，其他放一个拷贝，其他采用指针表示采用指针表示。若开始的两个二进制位为若开始的两个二进制位为“11”，则接下去，则接下去的的14比

35、特为指针，该指针指向存放在报文中比特为指针，该指针指向存放在报文中另一位置的域名字符串。另一位置的域名字符串。若开始的两个二进制位为若开始的两个二进制位为“00”，则接下去，则接下去的的6比特指出紧跟在计数字节后面的标号的比特指出紧跟在计数字节后面的标号的长度。长度。Page 33 图9-10 DNS请求报文 0 x1234（标识） 0 x0100（标志） 1（问题记录数） 0（回答记录数） 0（授权记录数） 0（附加信息数） 4 “s” “e” “r” “v” 5 “n” “j” “u” “s” “t” 3 “e” “d” “u” 2 “c” “n” 0 1（Type=A） 1（Class=

36、IN） 首部 问题 标志：QR OpCode AA TC RD RA 保留 rCode 0 0000 0 0 1 0 000 0000 0 x0100 解析域名解析域名的的请求报文请求报文Page 34解析域名解析域名的的响应报文响应报文 图 9-11 D N S 响 应 报 文 0 x1234（ 标 识 ） 0 x8180（ 标 志 ） 1（ 问 题 记 录 数 ） 1（ 回 答 记 录 数 ） 0（ 授 权 记 录 数 ） 0（ 附 加 信 息 数 ） 4 “ s” “ e” “ r” “ v” 5 “ n” “ j” “ u” “ s” “ t” 3 “ e” “ d” “ u” 2 “

37、 c” “ n” 0 1（ Ty p e=A ） 1（ C lass=IN ） 0 xC 00C （ 指 针 ） 1（ Ty p e=A ） 1（ C lass=IN ） 1600（ T T L） 4（ 数 据 长 度 ） 202 119 80 126 首 部 问 题 标 志 ： Q R O p C ode A A T C R D R A 保 留 rC ode 1 0000 0 0 1 1 000 0000 0 x8180 回 答 Page 35分配给分配给PCPC的的IPIP地址是地址是79(N1)79(N1)DNS1DNS1的的IPIP地址是

38、地址是0(N2)0(N2)网关网关R1R1的的IPIP地址是地址是77(N11)77(N11)DNS2设设N1，N11， N12，N21，N22，N31，N32，N3，N4是是IP地址地址设相应的设相应的MAC地址是地址是P1，P11， P12，P21，P22，P31，P32，P3，PR1R3R2PCwwwDNS1N11N12N21N22N32N31N1N2N3N4Page 36网络接口层IP层TCP层应用层输入输入WWW.NJU.EDU.CN进行域名解析进行域名解析,在本在本地缓冲区中查找地缓冲区

39、中查找生成生成UDP报文报文生成生成IP数据报数据报(无以太网地址无以太网地址)对对DNS1进行地址进行地址解析解析,在在ARP缓冲缓冲区中查找区中查找,找不到找不到生成地址生成地址解析报文解析报文用广播地址封装用广播地址封装成帧成帧,广播广播收到收到ARP 响应响应域名服务器域名服务器DNS1的以太网的以太网地址存入缓冲区地址存入缓冲区用该地址封装成帧用该地址封装成帧,发给发给DNS1收到收到域名域名解析解析结果结果把把IP地址地址存入存入缓冲缓冲区区没找到，生成域名解没找到，生成域名解析报文析报文Page 37网络接口层IP层TCP层应用层输入输入WWW.NJU.EDU.CN收到收到域名域

40、名解析解析结果结果把把IP地址地址存入存入缓冲缓冲区区生成生成TCP报文报文生成生成IP数据报数据报(无以太网地址无以太网地址)对对R1进行地址解进行地址解析析,在在ARP缓冲区缓冲区中查找中查找,找不到找不到生成地址生成地址解析报文解析报文用广播地址封装用广播地址封装成帧成帧,广播广播收到收到ARP 响应响应路由器路由器R1的以太的以太网地址存入缓冲网地址存入缓冲区区用该地址封装成帧用该地址封装成帧,发给发给R1Page 38举例 1 解析器向本地服务器发送查询报文，要找出主机“ ”的IP地址。0 x13330 x01001000 4 c h a n 4 x y z

41、 u 3 e d u 0 1 101QR OpCode AA TC RD RA 保留保留 rCode 0 0000 00 1 0 000 0000询问类型询问类型:地址地址询问类询问类:因特网因特网Page 39举例 1 本地服务器发回回答报文，给出主机“ ”的IP地址。0 x13330 x81801001 4 c h a n 4 x y z u 3 e d u 0 1 1010 xc00 x0c10112000 4153 18 8 105QR OpCode AA TC RD RA 保留保留 rCode 1 0000 00 1 1 000 0000询问类型询问类型:地

42、址地址询问类询问类:因特网因特网域类域类:因特网因特网域类型域类型:地址地址生存时间生存时间数据长度数据长度Page 40举例 2 FTP服务器收到从IP地址的FTP客户发来的分组,想查证该客户是否是授权的客户,它查找授权客户的清单,但这个文件只包含域名。FTP服务器要求解析器发送逆向查询给DNS服务器以询问这个FTP客户的域名。53.Page 41举例 2:询问报文0 x12000 x09001000 1 9 1 7 1 2 3 1 5 3 7 i n - a d d r 4 a r p a 0112查询类型查询类型:PTR类类: 因特

43、网因特网QR OpCode AA TC RD RA 保留保留 rCode 0 0001 00 1 0 000 0000Page 42举例 2:响应报文0 x12000 x8d801001 1 9 1 7 r p a 01120 xc00c121 4 m h h e 3 c o m 0 1024000 查询类型查询类型:PTR类类: 因特网因特网查询类型查询类型:PTR类类: 因特网因特网QR OpCode AA TC RD RA 保留保留 rCode 1 0001 10 1 1 000 0000生存时间生存时间资源数据长度资源数据长度资源数据资源数据Page 439.6 DNS资源记录资源记录

44、DNS响应报文中的回答部分、授权部分和响应报文中的回答部分、授权部分和附加信息部分由资源记录构成，资源记录存放附加信息部分由资源记录构成，资源记录存放在名字服务器的数据库中。在名字服务器的数据库中。DNS具有具有20多种不多种不同类型的资源记录，下面给出几种常用的资源同类型的资源记录，下面给出几种常用的资源记录的格式。记录的格式。 授权开始（授权开始（ SOA）资源记录定义在域中充当主）资源记录定义在域中充当主名字服务器的主机及相关参数。语法如下：名字服务器的主机及相关参数。语法如下： IN SOA ( )Page 44符号指明名字服务器所负责的域，通过引导符号指明名字服务器所负责的域，通过引

45、导文件可以查到域名。文件可以查到域名。IN和和SOA分别指明资源记录的类和类型。分别指明资源记录的类和类型。 名字服务器名字服务器(NS)资源记录指明哪一个资源记录指明哪一个DNS服务服务器对于域是授权服务器。要确保在主名字服务器对于域是授权服务器。要确保在主名字服务器和次名字服务器内包含器和次名字服务器内包含NS资源记录。语法：资源记录。语法： IN NS 指明名字服务器所对应的域指明名字服务器所对应的域的名称。的名称。指定域名的授权名字指定域名的授权名字服务器的完全合格域名服务器的完全合格域名FQDN。 地址地址(A)资源记录指明主机的资源记录指明主机的IP地址。语法：地址。语法： IN

46、A 指明主机名。指明主机名。定义定义主机的主机的IPv4地址。地址。IPv6的资源记录类型为的资源记录类型为AAAA。Page 45 正规名（正规名（CNAME）资源记录提供为主机创建别名的能资源记录提供为主机创建别名的能力。通过使用别名，可以使提供多种服务的主机以不同力。通过使用别名，可以使提供多种服务的主机以不同的名字提供不同的服务。语法：的名字提供不同的服务。语法： IN CNAME ：主机的别名。：主机的别名。：实际主机名。：实际主机名。 邮件交换邮件交换(MX)资源记录描述该域的邮件服务器。一个资源记录描述该域的邮件服务器。一个域可以有域可以有多个多个MX资源记录，以便实现指定域的资

47、源记录，以便实现指定域的email服服务的务的负载均衡和容错负载均衡和容错。语法：。语法： IN MX 是邮件交换服务器处理邮件的域名。是邮件交换服务器处理邮件的域名。是邮件交换服务器的代价值，代价值代表服务是邮件交换服务器的代价值，代价值代表服务器的优先级。代价值越小，优先级越高。相同的代价值：器的优先级。代价值越小，优先级越高。相同的代价值：进行负载均衡。仅当低代价值的邮件交换服务器不可达进行负载均衡。仅当低代价值的邮件交换服务器不可达时，邮件才被送往高代价的邮件交换服务器。时，邮件才被送往高代价的邮件交换服务器。字段代表邮件交换服务器的主机名。字段代表邮件交换服务器的主机名。 Page

48、469.7 DNS配置及数据库文件配置及数据库文件 BIND(Berkeley Internet Name Daemon)软件软件是一个客户是一个客户/服务系统，服务系统，客户端客户端称为称为解析器解析器或或转转换程序换程序(resolver)，解析器，解析器产生产生域名信息的查域名信息的查询请求，并将信息询请求，并将信息发送发送给服务器，服务器回答给服务器，服务器回答解析器的查询。解析器的查询。BIND的的服务器服务器是一个称为是一个称为named的守护进程。的守护进程。 BIND DNS服务器的配置依赖于几个文本文件。服务器的配置依赖于几个文本文件。可以用文本编辑器直接生成这些文件或者是从

49、可以用文本编辑器直接生成这些文件或者是从基本模板修改而得到。基本模板修改而得到。DNS必须配置的文件包必须配置的文件包括括DNS配置文件配置文件（又称引导文件）、（又称引导文件）、DNScache文件文件、DNS正向查询文件正向查询文件和和DNS反反向查询文件向查询文件。Page 479.7.1 DNS配置文件配置文件BIND的的DNS服务器用配置文件服务器用配置文件named.conf来来包含如下的包含如下的信息信息：（1）其他）其他DNS文件所在的文件所在的路径路径。（2）包含因特网）包含因特网根服务器映像根服务器映像的的cache文件的文件的名字。名字。（3）DNS服务器授权的任何服务器

50、授权的任何主域域名主域域名以及包含以及包含那个域的资源记录的那个域的资源记录的数据库文件名数据库文件名。（4）DNS服务器授权的任何服务器授权的任何次域域名次域域名、包含那、包含那个域的资源记录的个域的资源记录的数据库文件名数据库文件名以及对应的以及对应的主主名字服务器的名字服务器的IP地址地址。Page 48options directory “/etc/db”;zone “.” type hint; file “named.cache”;zone “” type master; file “named.hosts”;BIND-8.x配置文件配置文件named.conf的一个例子。的一个例子

51、。zone “0.0.127.” type master; file “named.local”;zone “85.119.202.” type master; file “named.rev”; zone “” type slave; file “slavenet.njust”; masters 0; ;Page 499.7.2 DNScache文件文件 ；last update： Aug 22，1997 ；related version of root zone： 1997082200 ；formerly NS.INT

52、ERNIC.NET 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A ；formerly NSl.ISI.EDU 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 07 3600000 NS C.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 2 3600000 NS D.ROOT-SERVERS.NET. D.ROOT-SERVERS.N

53、ET. 3600000 A 0DNScache文件包含一系列的根域名服务器。该文件文件包含一系列的根域名服务器。该文件应该随根域名服务器的不断更新而更新。以下是应该随根域名服务器的不断更新而更新。以下是DNScache文件文件(named.cache)的一个版本。的一个版本。Page 50 3600000 NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 0 3600000 NS F.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. 3600000 A 41 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 3600000 NS H.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 3 3600000 NS I.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 7 3600000 NS J.ROOT-SERVERS.NET. J.ROOT