中小企业自建DNS服务器解决方案(待续)

中小企业自建DNS服务器解决方案


目录:

1.背景分析

2.技术分解

2.1 网络架构

2.2 基础概念

2.3 DNS架构

2.4 DNS主从结构

3. 安全防护

3.1 配置规范

3.2 入侵防护

3.3 DDos防护

3.4 劫持防护

4.实施方案

4.1 一期项目

4.2 二期项目

4.3 三期项目

5.商业参考

5.1 DNSPOD

5.2 CLOUDXNS


一.背景分析

随着企业业务量的日益增长,服务器数量逐渐庞大,分布在全国各地成千上万台的服务器管理已是IT运维人员不得不面对的问题,尤其是IPV6的普及,更是增加DNS服务的难度。自动化运维时代里execl表格统计众多服务器IP地址已无法满足运维需求,因此借助互联网发展过程中对IP的管理思路和比较著名的域名商(ALiDNS、DNSPOD、CLOUDXNS等)的服务架构及策略,在企业内部搭建私有DNS系统服务内部服务器,方便运维人员对业务服务器IP地址的记忆,提高运维管理效率。

二.技术分解

  2.1 网络架构

企业在不同省市数据中心部署相应的服务器,各数据中心通过vxlan 技术将众多服务器逻辑意义上形成大型局域网,企业总部部署监控管理平台,子公司数据中心部署局部监控管理平台,子公司管理平台针对日常故障进行处理,总部监控管理平台可针对全国各个数据中心资源综合调度协调,各业务模块综合调试统一部署、统一管理,且更加轻松和方便的整体把控全国各个数据中心资源使用情况、业务访问情况、安全模型搭建情况等。

企业内部服务器架构如下图2-1:

图2-1企业服务器架构图

  2.2 基础概念

   2.2.1 常规概念

soa记录:soa是授权服务器回复给查询者,表明自己管理此zone并告知:序列号、刷新时间、过期时间等

A记录:指定主机名或域名对应的IP地址;

AAAA记录:指定主机名或域名对应的IPV6地址;

NS记录:是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析;

cname记录:是域名指向其他域名的记录,如某网一个站点可以有多个域名。

日常工作中,如果在godaddy购买域名后,可以在goddaddy上做域名解析,也可以进行域名托管,如果是托管需要在goddaddy的DNS管理中,自定义添加域名服务器地址,相当于添加NS记录,如将域名托管给dnspod的域名服务器:f1g1ns1.dnspod.net、f1g1ns1.dnspod.net,然后在dnspod添加自己的域名,并指定NS记录f1g1ns1.dnspod.net、f1g1ns1.dnspod.net,让指定服务器进行解析,最后添加A记录完成托管。

其中在DNS网站中经常会遇见域名服务器,其实域名服务器就是domain name server DNS服务器,另外在做域名解析时,优化域名解析经常采用泛域名解析,使用通配符将输出一定意义上错误主机名后回应正确的IP地址。

   2.2.2 全局转发和特定区域转发

    DNS服务器有子域时,子域服务器正确情况下找父域时通过根服务器进行查找,因此效率较为缓慢,此时配置全局转发或特定区域转发,将查找父域的域名直接转发给父域的域名服务器,避免向根迭代查询浪费带宽和时间。

   全局转主要作用:实现对非权威解析(已缓存的除外)都转发到特定DNS服务器,另外全局转发有两种模式first|only,first模式是收到用户请求时,若自己有对应的域名记录,则进行回应,若自己没有对应的域名记录则转交给特定的域名服务器进行解析而不是直接交给13个根服务器进行解析,only模式是若自己有请求的记录,则给于回应,若没有对应的记录,则回应解析失败,不交给13台根服务器进行解析,具体配置模式如下:

Options {
                                          forward first|only;
                                          forwarders { ip;};
                                      };
   特定区域转发是仅转发特定区域的请求进行转发,域的范围比全局转发小,但是优先级比全局转发高,可以理解为全局转发中的特殊区域,但二者并无冲突,服务器可以配置为全局转发对所有域进行转发,也可以配置为特定区域仅对特定的域做转发。

   2.2.3 tcp/udp端口

   DNS的查询主要占用UDP协议53号端口,DNS的主从复制共同占用TCP协议的53端口和UDP协议的53端口,因此在建设DNS服务器时,如若仅提供查询,则需防火墙放对外防行UDP协议53号端口,如有主从复制则确保内网TCP和UDP协议的53号端口处于正常访问状态。

  2.3 DNS架构

根据长期的业务规划,企业自建DNS服务器架构参考互联网DNS架构,建设根服务器、顶级域服务器和二级域服务器,其中根服务器和顶级域服务器分别采用两台服务器做主被模式,增加其容错性和负载均衡,二级域名服务器采用多台服务器组成,其中在每个数据中心放置一台二级域名服务器,企业总部二级master服务器,其他子数据中心为slave服务器,增加不同数据中心域名解析的快速高效性。具体DNS结构如图2-2

图2-2 企业DNS架构图

因成千上万台服务器的业务不同,在顶级域名设计时根据不同的业务类型进行规划,如根据业务类型、业务功能等划分不同的顶级域,

  2.4 DNS主从结构

DNS主从结构设计主要防止其中一台服务器宕机后,域名解析失败,因此在大型企业内部建设主从结构,在中小型企业中可以单台主DNS服务器即可,

3. 安全防护

3.1 配置规范

3.2 入侵防护

3.3 DDos防护

3.4 劫持防护

4.实施方案

4.1 一期项目

主要是单台服务器配置

(提供配置清单)

4.2 二期项目

主要是组织结构配置

(提供架构的配置)

4.3 三期项目

动态+数据库结构设计(带)

(提供整体配置方案)

----参考https://www.zhihu.com/question/23246882

5.商业参考

5.1 DNSPOD

5.2 CLOUDXNS

时间: 2024-10-11 21:34:04

中小企业自建DNS服务器解决方案(待续)的相关文章

自建DNS服务器使用二级域名转发内网服务器

1.1,安装DNS服务 [[email protected] ~]# yum install bind bind-bind-libs 1.2,修改/etc/named.conf配置文件 [[email protected] ~]#vim /etc/named.conf // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a cachi

2-7-搭建DNS服务器实现域名解析

学习服务的方法: 了解服务的作用:名称,功能,特点 安装服务 配置文件的位置,端口 服务开启和关闭的脚本 修改配置文件(实战举例) 排错(从上到下,从内到外) ---------------------------------------- 大纲: DNS服务器常见概念 DNS服务器安装及相关配置 实战:配置DNS服务器解析 实战:使用DNS支持递归查询. 实战:搭建DNS转发服务器 实战:搭建DNS主从服务器 实战:zone文件中的其它记录信息. 通过DNS做负载均衡 实战:DNS主从密钥认证

2-5-搭建DNS服务器实现域名解析

学习一个服务的过程: 1.  此服务器的概述:名字,功能,特点,端口号 2.  安装 3.  配置文件的位置 4.  服务启动关闭脚本,查看端口 5.  此服务的使用方法 6.  修改配置文件,实战举例 7.  排错(从下到上,从内到外) 本节所讲内容: ?        DNS服务器常见概念 ?        DNS服务器安装及相关配置文件 ?        实战:为公司内网搭建一个DNS服务器 ?        实战:设置DNS递归查询和迭代查询 ?        实现:搭建DNS主从服务器

Skype for Business Server 2015-04-前端服务器-5-创建DNS记录

申明:文章中部分内容有涉及官方帮助或者网上资源整合,如有违权,请速与作者联系,谢谢! 作者:[email protected] 培训:Skype for Business Server 2015-项目实战-培训-QQ群:65235615.(学员群,非所有人员都加.) 参照: Create DNS records https://technet.microsoft.com/en-us/library/dn951375.aspx 1. 规划 2. 配置-DNS A记录 3. 在域名系统 (DNS)

用python自建一个DNS服务器

前段日子一直在做公司的DNS调度程序,不过由于性能比较差,方案最终废弃掉了.两个半月心血,不想白白浪费掉,于是改了改,把商业秘密相关的部分去掉,变成了一个公共的DNS服务器.其实说的简单点,就是一个可以做DNS解析和应答的程序(废话,DNS服务器不就是干这个的).功能比较简单,只做了A地址和CNAME的解析,安全性不涉及,性能也没有测试过,因为本身是个玩具,测性能没有意义(理论上如果用pypy的话,水平一般的机器也能跑到1万以上的QPS).本程序多处借鉴了 isnowfy 同学的程序(相关博客:

自建mail服务器之一:dns解析

1,maradns服务器安装和设置 mararc文件 # Win32-specific MaraRC file; this makes a basic recursive DNS # server. hide_disclaimer = "YES" ipv4_bind_addresses = "127.0.0.1,192.168.2.100" recursive_acl = "127.0.0.1/8" timestamp_type = 2 csv2

Linux DNS服务器子域授权、转发器和转发域配置实例(三)

DNS子域授权: 这里我们只演示正向解析的子域授权   父域能够解析子域的A记录(不是权威的,因为不是自身解析的),  子域不能解析父域的A记录,如果非要解析父域中的地址过程是:先去找互联网的根域在层层到下查找.(但是我们可以在子域建立转发,使能够解析父域的A记录) 实例: 说明父域为:ning.com子域1为:ning1.ning.com 子域2为:ning2.ning.com  补充说明:父域和子域只要能通信即可,没有必要在同一网段,我们这里为了方便操作放在一个网段了..小伙伴们明白!  实

架设DNS服务器 实战指南(主、从、子、定向转发多图)

一.DNS基础知识(先科普一下): 1.DNS出现的环境: TCP/IP协议通信是基于IP地址的,但是网络管理员无法记住那一串串单调的数字.因此大家基本上是通过访问计算机域名,然后通过 DNS服务器将计算机域名解析为IP地址来实现的.     2.什么是DNS: DNS:域名系统(Domain  Name  System)用于命名组织到域层次结构中的计算机和网络服务.DNS命名用于TCP/IP网络中,通过用户友好的名称查找计算机.当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与

搭建dns服务器

前言: 我们在一台服务器上搭建了两个web站点,并且是以域名作为区分的虚拟主机,当我们输入服务器的ip访问时,默认进入的是第一个虚拟主机,而且wordpress虚拟主机是要通过https验证证书的,所以必须得通过域名访问,所以接下来我们搭建一个域名服务器,解析www.a.com和www.b.com. 正文: 此次搭建dns服务器我们使用bind,首先第一步当然是安装程序啦~我们依然时候搭建http服务器的那个设备,ip为172.16.53.183 yum install bind 第一步,先进行