中小企業自建DNS伺服器解決方案（待續）

中小企業自建DNS伺服器解決方案

目錄：

1.背景分析

2.技術分解

  2.1 網絡架構

  2.2 基礎概念

  2.3 DNS架構

  2.4 DNS主從結構

3. 安全防護

  3.1 配置規範

  3.2 入侵防護

  3.3 DDos防護

  3.4 劫持防護

4.實施方案

  4.1 一期項目

  4.2 二期項目

  4.3 三期項目

5.商業參考

  5.1 DNSPOD

  5.2 CLOUDXNS

一.背景分析

    随着企業業務量的日益增長，伺服器數量逐漸龐大，分布在全國各地成千上萬台的伺服器管理已是IT運維人員不得不面對的問題，尤其是IPV6的普及，更是增加DNS服務的難度。自動化運維時代裡execl表格統計衆多伺服器IP位址已無法滿足運維需求，是以借助網際網路發展過程中對IP的管理思路和比較著名的域名商（ALiDNS、DNSPOD、CLOUDXNS等）的服務架構及政策，在企業内部搭建私有DNS系統服務内部伺服器，友善運維人員對業務伺服器IP位址的記憶，提高運維管理效率。

二.技術分解

    企業在不同省市資料中心部署相應的伺服器，各資料中心通過vxlan 技術将衆多伺服器邏輯意義上形成大型區域網路，企業總部部署監控管理平台，子公司資料中心部署局部監控管理平台，子公司管理平台針對日常故障進行處理，總部監控管理平台可針對全國各個資料中心資源綜合排程協調，各業務子產品綜合調試統一部署、統一管理，且更加輕松和友善的整體把控全國各個資料中心資源使用情況、業務通路情況、安全模型搭建情況等。

   企業内部伺服器架構如下圖2-1：

                                  圖2-1企業伺服器架構圖   

   2.2.1 正常概念

   soa記錄：soa是授權伺服器回複給查詢者，表明自己管理此zone并告知：序列号、重新整理時間、過期時間等

   A記錄:指定主機名或域名對應的IP位址；

   AAAA記錄:指定主機名或域名對應的IPV6位址；

   NS記錄:是域名伺服器記錄，用來指定該域名由哪個DNS伺服器來進行解析； 

   cname記錄:是域名指向其他域名的記錄，如某網一個站點可以有多個域名。

   日常工作中，如果在godaddy購買域名後，可以在goddaddy上做域名解析，也可以進行域名托管，如果是托管需要在goddaddy的DNS管理中，自定義添加域名伺服器位址，相當于添加NS記錄，如将域名托管給dnspod的域名伺服器：f1g1ns1.dnspod.net、f1g1ns1.dnspod.net，然後在dnspod添加自己的域名，并指定NS記錄f1g1ns1.dnspod.net、f1g1ns1.dnspod.net，讓指定伺服器進行解析，最後添加A記錄完成托管。

   其中在DNS網站中經常會遇見域名伺服器，其實域名伺服器就是domain name server DNS伺服器，另外在做域名解析時，優化域名解析經常采用泛域名解析，使用通配符将輸出一定意義上錯誤主機名後回應正确的IP位址。

   2.2.2 全局轉發和特定區域轉發

    DNS伺服器有子域時，子域伺服器正确情況下找父域時通過根伺服器進行查找，是以效率較為緩慢，此時配置全局轉發或特定區域轉發，将查找父域的域名直接轉發給父域的域名伺服器，避免向根疊代查詢浪費帶寬和時間。

   全局轉主要作用：實作對非權威解析（已緩存的除外）都轉發到特定DNS伺服器，另外全局轉發有兩種模式first|only，first模式是收到使用者請求時，若自己有對應的域名記錄，則進行回應，若自己沒有對應的域名記錄則轉交給特定的域名伺服器進行解析而不是直接交給13個根伺服器進行解析，only模式是若自己有請求的記錄，則給于回應，若沒有對應的記錄，則回應解析失敗，不交給13台根伺服器進行解析，具體配置模式如下：

                                    Options {

                                          forward first|only;

                                          forwarders { ip;};

                                      };

   特定區域轉發是僅轉發特定區域的請求進行轉發，域的範圍比全局轉發小，但是優先級比全局轉發高，可以了解為全局轉發中的特殊區域，但二者并無沖突，伺服器可以配置為全局轉發對所有域進行轉發，也可以配置為特定區域僅對特定的域做轉發。

   2.2.3 tcp/udp端口

   DNS的查詢主要占用UDP協定53号端口，DNS的主從複制共同占用TCP協定的53端口和UDP協定的53端口，是以在建設DNS伺服器時，如若僅提供查詢，則需防火牆放對外防行UDP協定53号端口，如有主從複制則確定内網TCP和UDP協定的53号端口處于正常通路狀态。

   根據長期的業務規劃，企業自建DNS伺服器架構參考網際網路DNS架構，建設根伺服器、頂級域伺服器和二級域伺服器，其中根伺服器和頂級域伺服器分别采用兩台伺服器做主被模式，增加其容錯性和負載均衡，二級域名伺服器采用多台伺服器組成，其中在每個資料中心放置一台二級域名伺服器，企業總部二級master伺服器，其他子資料中心為slave伺服器，增加不同資料中心域名解析的快速高效性。具體DNS結構如圖2-2

                                     圖2-2 企業DNS架構圖 

    因成千上萬台伺服器的業務不同，在頂級域名設計時根據不同的業務類型進行規劃，如根據業務類型、業務功能等劃分不同的頂級域，

     DNS主從結構設計主要防止其中一台伺服器當機後，域名解析失敗，是以在大型企業内部建設主從結構，在中小型企業中可以單台主DNS伺服器即可，

    主要是單台伺服器配置

   （提供配置清單）

    主要是組織結構配置

    （提供架構的配置）

     動态+資料庫結構設計（帶）

    （提供整體配置方案）

  ----參考https://www.zhihu.com/question/23246882