此根域名伺服器部署方案是否可行

火星人 @ 2014-03-04 , reply:0


此根域名伺服器部署方案是否可行

  有一覆蓋全國的「中央-省-市-縣」四級大型樹型內部互聯網,域名規劃是使用各省、市、縣的拼音縮寫,如山東省濟南市天橋區的域是tq.jn.sd.
  由於DNS協議限制根域名伺服器最多為13台,為確保當中央與省之間的鏈路發生故障時,各省內DNS服務仍可用,可否採用以下根域名伺服器部署方案,會不會出現不一致和錯誤?
  在中央部署3台主根域名伺服器,在大陸31個省份分別部署1台輔根域名伺服器,分成3組分別從中央的3台主根域名伺服器接收區域傳送數據。根域名伺服器創建根域,其下創建31個區域委派,委派各頂級域名伺服器提供各頂級域的解析服務。經手工配置確保3台主根域名伺服器中31個頂級域區域委派信息的一致。每個省份部署1台頂級域名伺服器,如北京市部署BJ.域域名伺服器,負責解析BJ.域。
  中央分別從3台根域名伺服器導出3個根提示文件,供3組省份內各非根域名伺服器下載使用。
《解決方案》

我是覺得沒必要修改 root zone server 。
盡可能發揮 cache 跟 forwarders 就不錯了。
《解決方案》

這是內聯網(Intranet),自成體系,與網際網路(Internet)物理隔離。如果不「修改 root zone server 」,如何「盡可能發揮 cache 跟 forwarders 」,從而在這個四級內聯網內部署DNS服務,實現各級單位域名的解析?如:www.sd, www.gz.gd, www.wc.wh.hb等,分別為山東省單位、廣東省廣州市單位、湖北省武漢市武昌區單位的WEB網站。

要求:
1、所有單位均能用域名訪問任意其他單位的網站;
2、各省與中央的網路連接中斷後,各省內用戶仍能用域名訪問本省內各單位網站;
3、各地級市與省的網路連接中斷後,各地級市內用戶仍能用域名訪問本地級市內各單位網站;
4、各單位與外單位的網路連接暫時中斷後,各單位區域網內用戶仍能用域名訪問本單位網站。

謝謝!

[ 本帖最後由 xkwui 於 2007-4-22 23:39 編輯 ]
《解決方案》

如果是完全跟 internet 老死不相往來,那的確可以修改 root zone server 來做。
但如果有朝一日(世事難料啊)又需要跟 internet 打交到(天曉得領導的頭殼某天會不會被雷打到突發異想),那又的回到起點重新規劃。
當然,那個時候,或許那個做領導的是你,而手忙腳亂的則是你招兵買馬進來的"操"人...  ^_^

你上面用的 domain name 在規劃設計上比較缺乏彈性。
舉個例子:
某跨國公司 xyz.com 要發展每個國家的事業,domain name 有兩個選擇:
1) xyz.com.cc
2) cc.xyz.com
如果用前者,那必需在每個國家下註冊 domain ;後者則只需註冊一個 gTDL ,將來就算發展到月球或火星上,還能適用。

那回到你的例子:
1)用各省作尾碼,如: www.sd, www.gz.gd
2)在省碼後面再增加一個 common name ,如:www.sd.xyz, www,gz,gd,xyz
3)在原有的 internet domain 下延伸你的地域:www,sd.xyz.com.cn, www.gz.gd.xyz.com.cn

如果你採方案1,那你可以修改 root server,或在本省 server 上加設每一個其他省的 forward zone:
zone "sd" IN { type master; file "named.sd"; };
zone "gd" IN { type forward; forwarders { 1.2.3.1; }; };
zone "gx" IN { type forward; forwarders { 1.2.4.1; }; };
...
或是以上只在中央 server 設各省 forward zone,然後每省在 options 上設一個  global forwarder 指到中央:
options { directory "/var/named"; forwarders { 1.2.1.1; };

如果用方案2,也可以為每省設 forward zone;但也可以不設,只需為 xyz 設 forward zone 指回中央(或 global forwarder),然後中央用 ns 授權給每一個省(或用 forward zone)。
省:
zone "xyz" IN { type forward; forwarders { 1.2.1.1; }; };
zone "sd.xyz" IN { type master; file "named.sd.xyz"; };
中央:
zone "xyz" { type master; file "named.xyz"; };
然後 zone file 裡:
sd IN NS ns.sd.xyz.
ns.sd IN A 1.2.2.1
gd IN NS ns.gd.xyz.
ns.gd IN A 1.2.3.1
..

方案3跟2類似。

當然,做法不是只有這些,你自己再慢慢想囉~~~
《解決方案》

此網路是某部門系統的內部政務辦公網,為防泄密,要求嚴格與Internet物理隔離。為方便記憶和輸入網址,域名空間規劃已確定採用方案1,即「用各省作尾碼,如: www.sd, www.gz.gd」。

DNS解析採用「forward zone」方案,下列配置是否正確可行?
湖北省武漢市武昌區的DNS:
zone "." IN { type forward; forwarders { 1.1.1.1; }; };
zone "hb." IN { type forward; forwarders { 2.2.2.2; }; };
zone "wh.hb." IN { type forward; forwarders { 3.3.3.3; }; };
zone "wc.wh.hb." IN { type master; file "named.wc.wh.hb"; };
湖北省武漢市的DNS:
zone "." IN { type forward; forwarders { 1.1.1.1; }; };
zone "hb." IN { type forward; forwarders { 2.2.2.2; }; };
zone "wh.hb." IN { type master; file "named.wh.hb"; };
湖北省的DNS:
zone "." IN { type forward; forwarders { 1.1.1.1; }; };
zone "hb." IN { type master; file "named.hb"; };
中央用 ns 授權給每一個省,省授權給下轄市,市授權給下轄區縣。

以上配置能否實現湖北省武漢市武昌區用戶訪問武漢地區各區縣單位網站,用武漢DNS作為轉發器;訪問湖北省內各單位網站,用湖北省級單位的DNS作為轉發器;訪問外省網站,用中央的DNS作為轉發器?

如果採用修改Root Server的方案,一樓的「3個主根域伺服器」方案,在「經手工配置確保3台主根域名伺服器中31個頂級域區域委派信息的一致」的前提下,會不會產生衝突和混亂?

[ 本帖最後由 xkwui 於 2007-4-23 14:48 編輯 ]
《解決方案》

如果可以接受 .x 做結尾(多兩個字母),那我會建議你用方案 2 。
要記住,cache 的作用很大的,只要之前問到的,就不需要再問第二次,直到 ttl 結束為止。
如果你要修改 root zone,那就只改 zone "." 就好了,其他 forwarder 都不用設。
然後在中央那邊 ns 授權下來。
或是,直接在 zone "." 的 data file 裡面,hard code 每個省的 glue record 。

[ 本帖最後由 網中人 於 2007-4-23 15:27 編輯 ]
《解決方案》

方案2與方案1,似乎沒什麼本質區別啊,區別只在於中央DNS是作為根域的權威伺服器還是作為xyz.域的權威伺服器?

採用修改Root Server的方案,如何確保各省與中央的連接中斷後,各省內的域名在本省仍能正常解析?需要在各省內分別放置一台輔助根域伺服器吧?

這個網路在縣級就有三千多個點,且各單位缺乏電腦專業技術人員,所以需要儘可能簡單的方案,方便部署和日常維護。絕大部分是Windows 2000 Server,雖然BIND有Windows版,但還是Windows DNS配置比較簡單吧? 而Windows 2000 DNS不支持forward zone。所以比較傾向於採用修改Root Server的方案,麻煩網中人幫我考慮一下,這個方案是否確實可行?如果不可行,就要再考慮其他方案了。

[ 本帖最後由 xkwui 於 2007-4-23 16:16 編輯 ]
《解決方案》

差別就在將來可以比較輕鬆接入 internet 。

不管用甚麼方案,都建議你在 test enviroment 做好測試。
《解決方案》

原帖由 網中人 於 2007-4-23 15:23 發表
如果可以接受 .x 做結尾(多兩個字母),那我會建議你用方案 2 。


用這個方案可以方便將來接入Internet嗎?方案3才是吧?

要搭建測試環境,至少需要2台主根伺服器+13台輔根伺服器+1台客戶機。如果能先從理論上分析,確認無誤最好了。
另,這個網路分配的IP是129.0.0.0/8——161.0.0.0/8,要接入Internet是很困難的,在設計之初就沒打算將來接入Internet。

[ 本帖最後由 xkwui 於 2007-4-23 22:45 編輯 ]
《解決方案》

好吧,看來你已經有自己的 idea 了。那就好好實作吧。

good luck!



[火星人 via ] 此根域名伺服器部署方案是否可行已經有70次圍觀

http://www.coctec.com/docs/service/show-post-26510.html