dns技术研讨班-94年DNS教育训练计画课件.ppt

1、TWNIC 94TWNIC 94年年DNSDNS教育訓練計畫教育訓練計畫 DNS DNS 技術研討班技術研討班TWNIC 技術組編撰2005.07.05 TWNIC DNS 教育訓練技術研討班內容:域名介紹網域名稱是什麼?l網域名稱是企業或個人在網路上的身份，l如同 IP 一樣，都具有唯一的特性l網域名稱比 IP 好記l好記的網域名稱成為大家申請的對象l字數少/特殊意義單字/諧音字l隨著 Internet 及 IPv6 的發展，網域名稱的作用將更顯得重要域名介紹中文網域名稱之優點l優點l就國人而言中文字較英文字好記 總統府=http:/www.president.gov.tw/中文域名 =ht

2、tp:/總統府.tw/l能和企業名稱一致 統一企業=http:/www.uni-.tw/中文域名 =http:/統一企業.tw國際域名(IDN)標準(1)l經過IETF IDN Working Group耗時3年多的討論，於2003年3月發布通過國際化域名(IDN)技術標準有關之3篇RFCs IDN標準協定IDNA-NAMEPREP-PUNYCODE，這3篇RFC的內容請參考：1.RFC 3490 IDNA:Internationalizing Domain Names in Applications 2.RFC 3491 Nameprep:A Stringprep Profile for I

3、nternationalized Domain Names3.RFC 3492 Punycode:A Bootstring encoding of Unicode for Internationalized Domain Names in Applications 國際域名(IDN)標準(2)國際域名(IDN)標準(3)l中文字應透過某種編碼方式轉換成英文字，並與舊有的 DNS 系統相容lDNS 設定及伺服器設定應都根據這個編碼定義l目前國際上認可的編碼為 AMC-ACE-Z，稱為 puny code(RFC 3492)EX:http:/xn-fiq43lrrlz83a.tw/台網中心.twh

4、ttp:/xn-fiq64bh55hj6p.tw/中華電信.twhttp:/xn-nqq28iuws7nz.tw/數位聯合.twhttp:/xn-pssu7c921afvu.tw/清華大學.tw國際域名(IDN)標準(4)l目前IDN標準所不足的部分l各語系的特定需求l中文缺少繁簡間的關係定義lUNICODE部分語系字符集有重疊狀況l中文，日文，韓文漢字部分使用相同字符集l解決方案lIDN Admin Guideline(draft-jseng-idn-admin-03)lCDNC 字表域名介紹域名之分類l分類:在區分不同的屬性 lTop Level Domain(TLD)頂級域名lgTLDs

5、:lcom/net/org/gov/edu/共13類lccTLDs:ltw/cn/jp/us 共 243 個lSecond Level Domain(第二層域名)lcom.tw/org.tw/等l目前 tw 之第二層域名lcom.tw/net.tw/org.tw/edu.tw/gov.tw/mil.twlidv.tw/game.tw/club.tw/ebiz.tw域名與Internet相關服務之關係 l為 Internet 服務最基礎的一環l提供機器名稱與 IP 位址雙向對映的機制lWWW 168.95.1.82lMAIL 168.95.4.211l網域名稱比 IP 容易記，且具代表意義l使用

6、網域名稱讓系統更具移值性，當 IP 變動，只需更改 DNS 設定即可，程式 網頁等不需更改l隨著 IPv6(16 bytes)的推展，更需要使用網域名稱域名介紹相關國際組織(1)lIANA:Internet Assigned Numbers Authority 一個由IAB所資助的組織，任務是管理與分配 IP 位址，ccTLD 的註冊與管理 lICANN The I Internet C Corporation for A Assigned N Names and N Numbers 負責 Internet IP address 分配及網域名稱架構規範的管理單位相關國際組織(2)lIETFIn

7、ternet Engineering Task Force 由與網際網路(Internet)相關的產業及學術機構人員所組成的組織，為網際網路最主要的標準制定組織，Internet Society下的一個委員會.lAPTLDAsia Pacific Top-level Domain Forum討論亞太區Domain Name，DNS，NIC相關議題.會員包括亞太區主要地區及國家:台灣、中國、日本、南韓、紐西蘭、澳洲、馬來西亞、泰國、新加坡、香港、越南等.相關國際組織(3)lAPNIC Asia-Pacific Network Information Center，亞太網路資訊中心l主要掌管亞太地

8、區的新IP address 申請，及反解網域註冊.詳情，請參考 http:/.l其他地區，例如歐洲由 RIPE 代管.美洲由 ARIN 代管相關國際組織(4)l各國NIC 各個國家地區往往都有類似的單位，如中國大陸(CNNIC)，日本(JPNIC)，韓國(KRNIC)，香港(HKNIC)，新加坡(SGNIC)，台灣(TWNIC)等.lCDNCl兩岸四家網路資訊中心（即中國的CNNIC、台灣的TWNIC、香港的HKNIC、澳門的MONIC）發起組建的中文域名協調聯合會，為一個獨立、非營利的組織，該機構將在國際上擔負起中文域名的協調和規範工作DNS基本概念及運作原理DNS 背景介紹lDNS 的歷史

9、lIP Network 的興起lhosts 檔l主機名稱的衝突l資訊的一致性l1984年Paul Mockapetris 建立了第一個DNS 的規範(RFC1034，RFC1035)DNS基本概念及運作原理DNS 運作模式l名稱查詢之服務l分散式l自己的資料由自己維護，而其他人的資料則分散在全球l沒有一台電腦會有全部的DNS資料l全球最大的分散式資料庫系統l以樹狀結構的方式找到目的位址(每個結點需要授權)lhttp:/www.root-servers.org/目前 Root Server 分布情形l穩定l負載平衡:可由 Master 主機自由的複製到 Slave 主機l備援:一個網域名稱可有多

10、台主機共同服務(輸流查詢)l樹狀結構l經由全球唯一的 Root Server 達到正確搜尋的目的lRoot Server 共十三部，每一部可能都有許多 Mirror(如 f.root- 有二三十部)l效率l使用 UDP 封包l查詢速度基本上都在 100 msec 內l經由 Cache 來加快 DNS 的查詢DNS 組成lDNS 系統如同一樹狀結構l每一個分支以“.”分隔l其限制l最多 127 層l每個分支最長63 字元(a-z，0-9，-)l總長 255 字元netcomripewwwwwweduisitislabsdisiws1ws2ftpsungooglemoonDNS 名稱表示法Full

11、y Qualified Domain Name(FQDN)WWW.EP.NET.WWW.EP.NET.l每一個名稱間以.隔開l一個 FQDN 可以對應到不同的位置或服務l一個名稱對應到多個 IP 稱為 Round Robinl一個名稱對應到不同的服務如 MXl每個 FQDN 如同 IP 一般皆具有唯一性注意結尾的點DNS 樹狀結構為網域名稱或機器名稱為上一層與下一層的委任關係Roottwcncom netbiz arpacom netgovtwnicwww whois cdns Zone1host1 host1in-addr ip6 e16421172211210註 DNS 的搜尋由上往下IP

12、v4 反解IPv6 反解網域名稱空間l網域即是一個名稱空間(namespaces)l在.com 之下的稱為 com 網域l在 之下的稱為 網域，同時也是.net 網域l此時 .可說是 net 的Zone(Subdomain)net domaincom domainnetcomripewwwwwweduisitislabsdisiws1ws2ftpsunmoongoogle授權關係授權關係網域授權關係l網域名稱的管理者可以建立不同的子網域給不同的部門或單位使用l如學校系所，或較大之公司l其亦可將此子網域授權他部門自行管理l在上一層的網域需指出這種授權的關係l以 NS 記錄達到授權關係l整個 DN

13、S 樹狀結構即是依此完成l如 ntcu.edu.tw 下系所 cise.nctu.edu.tw 等DNS基本概念及運作原理運作原理(1)l當被詢問到有關本域名之內的主機名稱的時候，DNS伺服器會直接做出回答(此一答案稱為權威回答(Authoritative Answer)，此一主機稱為權威主機)l如果所查詢的主機名稱屬於其它域名的話，會檢查快取(Cache)，看看有沒有相關資料 l如果沒有發現，則會轉向root伺服器查詢，然後root伺服器會將該域名之授權(authoritative)伺服器(可能會超過一台)的地址告知 運作原理(2)l本地伺服器然後會向其中的一台伺服器查詢，並將這些伺服器名單

14、存到記憶體中，以備將來之需(省卻再向root查詢的步驟)l遠方伺服器回應查詢 l將查詢結果回應給客戶，並同時將結果儲存一個備份在自己的快取記憶裡面 l如果Cache資料的時間尚未過期之前再接到相同的查詢，則以存放於快取記憶裡面的資料來做回應運作原理 圖示查詢.tw是否屬於自己的 DN?是則回應結果是否有 Cache 資料?是則回應結果皆非則向 root“.”詢問-得到的 DNS 資料及主機資料都會 Cache 以備下一次資料被查詢時使用root.tw詢問.tw 再哪?回應.tw 位址s 詢問 net.tw 再哪?回應 net.tw 位址net.tw詢問 .tw 再哪?回答 DNS 位置詢問 .

15、tw 到底再哪?.tw回答 210.17.9.228回應結果RecursiveNon-Recusiveping .tw.DNS解析流程(1)l讓我們一步一步來看DNS解析的步驟:P.tw 的IP是什麼?DNS解析流程(2)l個人電腦向他設定的DNS 168.95.1.1查詢.tw的IP168.95.1.1ping .tw.P.twDNS解析流程(3)l168.95.1.1會向root server M查詢.tw的IP addressm.root-ping .tw.P.tw 的IP是什麼?DNS解析流程(4)lM root server會回應.TW 的dns在那裡m.root-這裡有.TW DN

16、S的清單，請向其中之一查詢.ping .tw.P.tw168.95.1.1DNS解析流程(5)l168.95.1.1會向.TW name server:c.dns.tw查詢.tw的IP addressm.root-.tw 的IP是什麼?c.dns.twping .tw.P.tw168.95.1.1DNS解析流程(6)lc.dns.tw回應net.tw的DNS在那裡m.root-這裡有.NET.TW DNS的清單，請向其中之一查詢.ping .tw.P.tw168.95.1.1c.dns.twDNS解析流程(7)l168.95.1.1會向.TW name server:.tw查詢.tw的IP a

17、ddressm.root-.tw 的IP是什麼?ping .tw.P.tw168.95.1.1c.dns.twDNS解析流程(8).tw回應.tw的DNS在那裡m.root-這裡有.TWNIC.NET.TW DNS的清單，請向其中之一查詢.ping .tw.P.twDNS解析流程(9)l168.95.1.1會向查詢.tw的IP addressm.root-ping .tw.P.tw 的IP是什麼?DNS解析流程(10)回應.tw的IP是什麼m.root-ping .tw.P.tw 的IP是.tw 的IP是111.222.333.444DNS解析流程(11)l168.95.1.1回應.tw .t

18、w的IP是111.222.333.444m.root-ping .tw.PDNS解析流程Caching(1)l在前次查詢後168.95.1.1知道了下列紀錄:lTW的dns及其IPlNET.TW的dns及其IPlTWNIC.NET.TW的dns及其IPlWWW.TWNIC.NET.TW的IPl讓我們看下一次的解析流程ping .tw.P.tw 的IP是什麼?DNS解析流程Caching(2)l個人電腦向他設定的DNS 168.95.1.1查詢.tw的IPm.root-ping .tw.P.tw 的IP是什麼?DNS解析流程Caching(3)l168.95.1.1已經有.tw的NS紀錄，所以直

19、接過去詢問.tw的IPm.root-ping .tw.PDNS解析流程Caching(4)回應.tw的IP是什麼m.root-ping .tw.P.tw 的IP是.tw 的IP是222.333.444.555DNS解析流程Caching(5)l168.95.1.1回應.tw .tw的IP是222.333.444.555m.root-ping .tw.P.tw 的IP是222.333.444.555DNS解析流程Caching(5)l168.95.1.1回應.tw .tw的IP是222.333.444.555m.root-ping .tw.PDNS基本概念及運作原理DNS 的平台lUNIXl常見

20、為ISC BINDl共約發行三十幾個版本(4.X9.X)l最新版本 4.9.9(不再維護)，8.4.1，9.2.2l建議使用 9.2.2 版本l穩定，可靠，最多人使用lWindowsl可見於Windows Server 級的版本l簡單設定是其優點lGUI 設定l根據 BIND 4.x 修改而來,並持續更新名稱伺服器類型l權威主機(Authoritative)l可管理或回答其網域名稱之答案lMaster 主機指 DNS 所管轄的資料是從檔案(Zone File)中而來lSlave 主機指 DNS 所管轄的資料是以轄區傳送(Zone Transfer，簡稱 AXFR)從 Master 而來lCac

21、he-Only 主機l即沒有管理任何的網域名稱，接受查詢與回應並將其快取以備使用Zone FilemasterslaveslaveInternet轄區傳送轄區傳送DNS基本概念及運作原理正解/反解之意義與原理l正解(forward domain):由機器名稱對應至 IPl反解(reverse domain):由 IP 對應至網域名稱l反解的 DNS Query 遠比正解高出許多，這是一般人常忽略之處l正反解一致有其必要l國內的系統較不嚴謹，比較不會檢查正反解的一致性，但國外有許多比例都會進行這個部分的確認l由來源 IP 查反解名稱，依結果再查正解，並檢驗其結果l有部分的Mail Server也

22、會使用正反解確認的機制來減少SPAM的問題l網路上的 DNS 查詢何種較多?l反解多，正比反約 2:3，原因是多數的服務皆會進行 IP 來源的反查所致(Ex:WWW，MAIL，Firewall.)正解之原理l正解 edunetarpa twnetcom orgedu twnic 反解之原理l反解 250.210.72.211.in-edunettw arpain-addrip6 211 72210250 反解之原理(以IPv6為例)lIPv6 l共 16 bytes，以十六進制表示，每兩個 bytes 為一組，每組間以:相隔2001:288:1:1002:2e0:18ff:fe77:f174舊

23、用法:4.7.1.f.7.7.e.f.f.f.8.1.0.e.2.0.2.0.0.1.1.0.0.0.8.8.2.0.1.0.0.2.ip6.int.新用法:4.7.1.f.7.7.e.f.f.f.8.1.0.e.2.0.2.0.0.1.1.0.0.0.8.8.2.0.1.0.0.2.ip6.arpa.TWNIC 域名的申請與DNS指定各類網域名稱申請資格(1).tw依公司法登記之公司或依商業登記法登記之商號；外國公司依其本國法設立登記者，亦同.tw 具第一類電信事業特許執照或網路建(架)設許可證或第二類電信事業許可執照者.l.org.tw 依法登記之財團法人或社團法人；外國非營利組織依其本國

24、法設立登記者，亦同.l.tw在中華民國立案之公司行號、組織機構或具中華民國國籍之國民均得申請.各類網域名稱申請資格(2)l.game.tw 不限制申請人資格，註冊人可自行依其需求擇定屬性，惟需利用電子郵件方式確認身分.l.ebiz.tw 不限制申請人資格，註冊人可自行依其需求擇定屬性，惟需利用電子郵件方式確認身分.l.club.tw 不限制申請人資格，註冊人可自行依其需求擇定屬性，惟需利用電子郵件方式確認身分.l.idv.tw 凡自然人均可申請，惟需利用電子郵件方式確認身分.TWNIC 域名的申請與DNS指定TWNIC DNS設定模式介紹lDNS 設定代管lDNS 模式 l即為一般的 DNS

25、指定，使用者需在其指定之 IP 上架設 DNS 伺服器，提供名稱解析l代管模式(主機模式)l使用者不需自設 DNS 伺服器，所指定之主機資料將由代管主機回應結果TWNIC DNS相關服務介紹l動態 DNSl提供下載 Clientl固定時間與伺服器間更新 IP 資訊l可能受限於 FireWall 及 NAT 環境l僅提供 www.DN 及 DN 之 A(Address)記錄l適合沒有固定IP的主機使用l網頁轉址l以 frameset 的方式將您的網頁轉至網頁空間l如 http:/.tw，其實看到的是 pchome 的免費網頁空間TWNIC 域名的申請與DNS指定常見之錯誤(1)lDNS 指定:D

26、NS 模式 指定了 .tw 及 .tw 為 NameServer(NS)，但實際上並沒有架設 DNS Serverl問題 這樣的設定是不正確的，上層的DNS已經將網域委任出去，但是下層卻沒有可以回應的機器，會造成整個網域找不到的現象l正確做法 需自設 DNS 伺服器或改用代管模式常見的錯誤(2)lDNS 指定:DNS 模式 將 DNS 指定到別人的 Server，如 HINET/SEEDNETl問題 會發生 Lame Server 的狀況，該 ISP 並不管理您的域名資料，這是一種不良的委任關係，發生原因多是因為使用者需指定兩部以上之主機，而其第二部不知要指向何處而為之，造成DNS的解析發生錯

27、誤l解決方法 確認該 ISP 同意代管您的域名或為您的 Slave 主機，或是提供兩部以上主機之要求DNS設定介紹 用 BIND 還是用 Windows DNS?WindowsBIND操作GUI的設定方式入門容易可用 Windows 其他服務結合(WINS/AD)設定以文字編輯進行較易出錯Unix 環境為一般人所不熟悉效率查詢數字無統計資料每秒可處理上萬次查詢Multi-thread/SSL穩定性視 OS 表現基本上可符合一般企業需求穩定性佳版本更新速度較快安全性隨系統版本更新而更新版本可從設定面加強安全性較能預防DNS Spoofing佔有率在台灣兩者相當在全世界佔大宗其他Root Serv

28、er 皆以 BIND 為主BIND 版本差異建議使用 BIND 9.x 的理由l新架設DNS Serverl視需求而定l可使用自動變數簡化管理lBIND8已經是一個維護的版本不會再有新的功能加入l是否使用 IPv6l是否使用新的資源紀錄(NAPTR，A6，DNAME)l對安全的要求等級(DNSSEC，TSIG)DNS設定介紹 BIND 的工具程式lnamed DNS 伺服器的服務程式，查詢服務lh2n 將/etc/hosts 轉成 bind 的 正/反 解檔lnamed-xfer 轄區傳送的工具程式lndc named 的啟動/停止程式ldig DNS 查詢的工具程式lnsupdate 動態更

29、新程式(請參考 Oreilly DNS 一書)lnslookup DNS 查詢程式ldns*另有許多 dns 開頭之工具，主要用於產生用於認 證之 KEY，如 TSIG/DNSSEC 等lnamed-checkconf 檢查 named.conf 語法的工具lnamed-checkzone 檢查 zone file 語法的工具lnamed-bootconf 將 4.X 的 named.boot 轉成 8.X named.conf 檔DNS設定介紹 設定檔:named.confl路徑l/etc/named.conf 或/usr/local/etc/named.conflBIND(named)環境

30、之主要設定檔l作用l定義 named 的功能項目 (options)l定義 root server 位置 (zone)l定義所管轄之網域名稱 (zone)l定義反解 (zone)l其他，如系統記錄/存取控制列表等named.conf:optionsdirectory zone file 檔案存放位置(預設為/etc)pid-file DNS 啟動時記錄行程代號(PID)之檔案allow-transfer 轄區傳送之設定，定義那些 IP 可與此部 DNS 做 AXFR(未定義則全開，形同 DNS 資料外流)l常犯錯誤loptions 忘了加“s”，前後以 括住l有關檔案或路徑名稱皆要加“”號l每

31、一行的結尾需有“;”號l有關 IP 等設定項目亦需加;號lpid-file 所指路徑的權限問題要注意#/etc/named.confoptions directory/var/named;pid-file“/var/named/named.pid”;allow-transfer 211.72.211.71/32;211.72.210/24;DNS設定介紹 在named.conf設定根伺服器 l所有的 DNS 伺服器皆需要知道根伺服器位罝l根伺服器為所有 DNS 查詢之起源l根伺服器列表可由ftp:/ 取得lhint 字面為暗示之意，即向 DNS 表示如果你沒有資料，可以到根伺服器詢問l一部 D

32、NS 僅能有一 hint typezone“.”type hint;file“named.cache”;在named.conf設定正解網域zone“.tw”type master;file“.tw.hosts”;allow-transfer 168.95.1.1;168.95.192.1;q此一域名需上層授權(com.tw)後別人方可查得到q若您有多個網域名稱即添加類似設定即可q此例為 master 主機設定，slave 主機設定於後述qfile 未定路徑即表參照 directory 參數q注意;號問題q此處的 allow-transfer 僅對此網域有效，而options 中的 allow-

33、transfer 則對此部 DNS 有效在named.conf設定反解網域zone“0.0.127.in-addr.apra”type master;file“named.local”;zone“210.72.211.in-addr.arpa”type master;file“211.72.210.rev”;qDNS 反解搜尋由後往前(後序)，故原 127.0.0.x 及 211.72.210.x 之 IP 要反寫qin-addr 為 Internet Address 之意，用於 IPv4 之反解，IPv6 則使用 ip6 qapra 為反解之起源named.conf 完整內容範例#/etc/

34、named.confoptions directory/var/named;pid-file“/var/named/named.pid”;allow-transfer 211.72.211.71/32;211.72.210/24;zone“.”type hint;file“named.cache”;zone“.tw”type master;file“.tw.hosts”;allow-transfer 168.95.1.1;168.95.192.1;zone“0.0.127.in-addr，apra”type master;file“named.local”;zone“210.72.211.in

35、-addr.arpa”type master;file“211.72.210.rev”;named.conf 回顧loptions/root server/正解/反解 為基本設定l注意 Zone Transfer 問題l若欲為 Cache-Only 主機則可拿掉 正解/反解設定即可(即保留 options/root/localhost)l語法及;“”等問題需注意(初學常犯)l可使用工具程式 named-checkconf，named-checkzone 幫您做語法檢查DNS設定介紹 Zone file:正解檔l正解檔是 DNS 中最重要的檔案l如下面的例，我們將其轉換成 DNS Zone .t

36、w .tw .tw domainns2ns1imapl資源記錄(RR，Resource Record)l名稱(FQDN)l快取時間(TTL，Time to Live)l網路類別(class)，l資料類型(type)l答案(rdata)lTTL 是此一筆資料被別的 DNS Cache 的時間值lIN 即是 Internetl資料類型分許多種l下列為一筆資源紀錄的內容正解:什麼是資源記錄FQDNTTL.tw.3600 IN A .tw.38400 IN SOASOA .tw.(2001061501 ;Serial 43200 ;Refresh 12 hours 14400 ;Retry 4 hou

37、rs 345600 ;Expire 4 days 7200 ;Negative cache 2 hours ).tw.86400 IN NS .tw.86400 IN NS .tw.ns1.xxxcom.tw.86400 IN A .tw.86400 IN A 211.72.211.2；以下略正解:資源記錄範例q資源記錄的 TYPE 有許多不同類型DNS設定介紹 正解:SOA RRlSOA(Start Of Authority)記錄用於DNS自身lSOA 提供此一 Zone 之基本資料及更新時間參數供 Slave DNS 更新使用.tw 1D IN SOASOA .tw.(2001061501

38、;serial 43200 ;refresh14400 ;retry345600 ;expire172800 ;min ttl)網域名稱，可用 代替SOA 記錄Master 主機名稱網域管理 Email，原 用.代替 TTL=一天正解:NS/A RRlNS(Name Server)用於 DNS 的搜尋l每個 Zone File 如何 SOA 一般，皆要有 NS RR，且接於 SOA 之後NS 記錄之 RDATA 若屬同一個zone以內者需接一 A(Address)RR，以標明其 IP Addressl您在TWNIC 的指定內容(DNS 模式)需反應在這個 NS 記錄上,意即上下層的 NS 記錄

39、要一致lNS 記錄說明了那些主機管理此一網域名稱(權威主機)，需與上層(如 TWNIC)的指定一致lNS 記錄之 RDATA 需接一 FQDN 記錄，不可用 IP，也不可接到一 CNAME 記錄(RFC 規範)lNS 記錄的取用順序是隨機決定的，而非取用第一筆lA 記錄為指出某一 FQDN 其 IP 為何.tw.IN NS .tw.IN NS .tw.IN A .tw.IN A 211.72.211.2正解:CNAME RRlCNAME 用於機器別名，如查詢 FTP，則會查到 WWW 位址l建議使用 A 記錄來替 CNAME，以避免 NS/MX 等出現問題lCNAME Chain 問題，雖沒有

40、禁止使用，但會導致效率變差甚至錯誤.tw.3600 IN A .tw.3600 IN CNAME .tw.正解:MX RRlMX(Mail eXchange)記錄為 SMTP 服務所使用，其中的 10，20 表示郵件交換時的優先順序(數字小者優先)lmail 或 imap 亦需接一 A 記錄，而不可使用 CNAME，這是FAQ最常見的問題l亦可使用 A 記錄來代 MX使用(即 DN=FQDN)，但如此僅能使用一部機器當 Mail Server IN A 211.72.211.25 IN A 211.72.211.25 IN MX 10 mail IN MX 20 imapmail IN A 2

41、11.72.211.25imap IN A 211.72.211.143;此時不可用如 mail IN CNAME www 語法DNS設定介紹 .tw.86400 IN SOA .tw.(2002021301 ;serial 1D ;refresh 1H ;retry 1W ;expiry 2D ;min ttl).tw.86400 IN NS .tw.86400 IN NS .tw.N.tw.86400 IN A 211.72.211.1N.tw.86400 IN A .tw.86400 IN A .tw.86400 IN CNAME .tw.86400 IN MX 10 .tw.86400

42、 IN MX 20 .tw.86400 IN A .tw.86400 IN A .tw.86400 IN A .tw.86400 IN A 211.72.211.102正解檔完整內容範例q從上述來看是不是又臭又長呢?正解:以$TTL/$ORIGIN 來簡化設定$TTL 86400 ;預設 TTL 值，原來每筆 RR 之 TTL 值可以此值代替$ORIGIN .tw.;預設附加字尾 IN SOA ns1 root(2002021301 ;serial 1D ;refresh 1H ;retry 1W ;expiry 2D ;min ttl)IN NS ns1 IN NS ns2 IN NS .I

43、N MX 10 mail IN MX 20 imapns1 IN A 211.72.211.1ns2 IN A 211.72.211.2www IN A 211.72.211.80ftp IN CNAME wwwmail IN A 211.72.211.25imap IN A 211.72.211.143$ORIGIN .tw.ws1 38400 IN A 211.72.211.111ws2 38400 IN A 211.72.211.112正解:子網域的分割l上述例子 dept1 要自建一 Sub-domain，以管理自己部門之 DNS 資料，需以 NS 記錄再授權出去l原在上頁 Zone

44、File 中的 ws1/ws2 等資料應從 .tw.中移除，避免 DNS 混淆l於 .tw 及 ns2 上再建立 .tw.的 Zone File，並做好 Master/Slave 之區分l可參考實例 http:/phorum.study-area.org/viewtopic.php?t=17969&highlight=glue;在 .tw.的 Zone File 內$ORIGIN .tw.IN NS ns1 IN NS ns2ns1 IN A 211.72.211.1ns2 IN A 211.72.211.2$ORIGIN .tw.IN NS ns1 IN NS ns2ns1 IN A 211

45、.72.211.101ns2 IN A 211.72.211.102正解:Master/Slave 如何實現#/etc/named.conf#其他略zone“.tw”type master;file“.tw.hosts”;allow-transfer allow-transfer 211.72.211.2/32;211.72.211.2/32;.tw#/etc/named.conf#其他略zone“.tw”type slave;type slave;masters masters 211.72.211.1;211.72.211.1;file“.tw.hosts”;allow-transfer

46、none;allow-transfer none;l一般而言 Slave 主機應不允許 AXFRlSlave 主機啟動後即會和 Master 同步資料，而後資料的同步即是參考 SOA 資訊lMaster 主機更改了資料請務必記得序號需加大，否則即使時間到了 Slave 不會同步資料正解:Master/Slave 的同步問題lAXFR 只有一個方向，由 Slave 向 Master 發出要求l如果 Master 更改了資料，以上述 Zone File 的範例而言，最長要一天後 Slave 才會更新，顯然不夠即時l解決方法l降低 Refresh 之值：或可改善但仍會有時間差l使用 Bind 8.x

47、/9.x 之 notify 功能l當 Master 重新啟動時，即會送出 notify 訊息至所有 Zone File 中的 NS RR，告知這些機器進行 AXFRl這個功能在 Bind 9.x 中預設即巳啟動，若欲關閉 options .options .notify no;notify no;Zone File:反解 l反解 Subnet 211.72.210.0/24 之反解樹lZone 名稱表示為 210.72.211.in-addr.apracomedunettw arpain-addre164ip6211212 213 214 72210 x 反解:域名設定Zone“210.72.

48、211.in-addr.arpa”type master;file“210.72.211.rev”;q反解依然有 master/slave 主機之分，與正解同理q上例為一 Class C 反解，若為 Class B 則可寫成 72.211.in-addr.arpa.q若不滿一個 Class C，在 DNS 來說則狀況較特殊，於後面補述反解:Zone File 內容範例$TTL 86400$ORIGIN 211.72.211.in-addr.apra.IN SOA .tw.R.tw.(20030421;86400;3600;864000;2D;)IN NS .tw.IN NS .tw.1 IN

49、PTR .tw.2 IN PTR .tw.3 IN PTR .tw.;以下類推.q反解之 Zone File 內容與正解類似q反解之 TYPE 為 PTR(Pointer)，指出這個 IP 對應什麼名稱q建議正反解最好一致反解:利用$GENERATE 變數簡化;前 SOA 及 NS RR 略1 IN PTR .tw.2 IN PTR .tw.3 IN PTR .tw.31 IN PTR .tw.l上述例子可以 BIND 9.X 之$GENERATE 功能表示為:$GENERATE 1-31$PTR$GENERATE 1-31$PTR pc$.twpc$.tw.;$;$即即表表 1-311-31

50、，將會自動展開成，將會自動展開成 31 31 行的行的 PTRPTR;BIND 9.X;BIND 9.X 可可省略省略 IN(Class)IN(Class)不寫不寫l$GENERATE 亦可用於正解部分，語法相同反解:不滿一個 Class C 怎麼辨(1)l一般而言 ISP 應提供設定功能l如 HINET/SeedNet(僅舉例)http:/ (網頁上直接填寫)http:/.tw/ip_check.htm(以1個 IP 授權)l反解授權還是可以小於 Class Cl如果將 211.72.211/24 切割為 16 個 subnet(即/28)或更小，分配給 16 家公司，DNS 反解應如何設呢