用bind 解决智能DNS.docx

1、用bind 解决智能DNS用bind 解决智能DNS中国的南北网络问题，是许多做网站的人的心病除了使用双通或者多通机房以外，还可以通过多台镜像服务器的方法来提高用户的访问速度但是，如果使用的双通机房并不是单IP的，或者使用多台镜像的做法，就会面临多个不同的服务器IP的问题最早的时候，很多镜像服务器都是使用不同的域名的，比如说www1和www2，或者www和cnc这样的做法，对用户相当不友好，而且不方便推广，比如说，你要告诉朋友一个网站，还要问他是什么线路才能给网址吗，或者可能你还不知道这个网站有一个专为网通的线路所设置的镜像用统一的域名，然后根据用户的线路自动判断引导到不同的镜像服务器，正是智

2、能DNS的功用（智能DNS其实是CDN的其中一部分，是最前端的部分）现在还是有一些地方使用多域名，比如说下载网站的下载镜像服务器，因为智能DNS有一定的缺陷（并不一定选择到正确的线路，下面说），也提供给用户自由选择线路的权利目前也有一些公司提供智能DNS解释服务，把你的域名NS指到他们服务器，然后输入网通和电信服务器的IP就ok了也有一些公司提供比较完整的CDN服务，比如比较出名的就是chinacache，不少中型网站是使用他们的服务最初的bind是不支持通过来源选择不同的ip的，因此只能通过iptables的辅助来实现智能DNS，方法也很简单，在DNS服务器上面启动两 份bind，都不要用默

3、认的端口，两份分别解析不同的线路，然后再用iptables将默认端口的DNS请求根据来源IP发送到不同的bind实例这种方法缺点很明显，需要多个bind实例，如果需要更多的线路解释那就还要再开bind实例，另外iptables对来源的解释也会导致iptables太多规则现在的bind支持了根据来源选择的功能，我不确定是不是bind9的新特性，不过bind9是重写过的，相比漏洞百出的bind8来说，稳定和安全很多，以下的配置以bind9为基础我使用的是CentOS，由于bind服务没有其他服务（比如apache，squid）要求那么高，所以也没有必要自己编译一份，我是用过yum安装的，版本不是最

4、新的稳定版装好之后，可以用过/etc/init.d/named start成功启动服务有一个文件named.conf出现在/etc下，就是bind的主config文件，我们只要改动他（我只说明智能DNS实现部分，其他的bind设置自行修改，呵呵）另外一个小技巧，可以通过/usr/sbin/named -g -u named来启动bind，可以立刻看到输出信息，方便调试我们是通过bind9的view功能来分离判断的首先，我们需要一份网通的IP列表，这是一份在网上流传的列表，呵呵acl “CNC” 58.16.0.0/16;58.17.0.0/17;58.17.128.0/17;58.18.0.0

5、/16;58.19.0.0/16;58.20.0.0/16;58.21.0.0/16;58.22.0.0/15;58.240.0.0/15;58.242.0.0/15;58.244.0.0/15;58.246.0.0/15;58.248.0.0/13;60.0.0.0/13;60.8.0.0/15;60.10.0.0/16;60.11.0.0/16;60.12.0.0/16;60.13.0.0/18;60.13.128.0/17;60.14.0.0/15;60.16.0.0/13;60.24.0.0/14;60.30.0.0/16;60.31.0.0/16;60.208.0.0/13;60.2

6、16.0.0/15;60.218.0.0/15;60.220.0.0/14;61.48.0.0/13;61.133.0.0/17;61.134.96.0/19;61.134.128.0/17;61.135.0.0/16;61.137.128.0/17;61.138.0.0/17;61.138.128.0/18;61.139.128.0/18;61.148.0.0/15;61.156.0.0/16;61.159.0.0/18;61.161.0.0/18;61.161.128.0/17;61.162.0.0/16;61.163.0.0/16;61.167.0.0/16;61.168.0.0/16;

7、61.176.0.0/16;61.179.0.0/16;61.181.0.0/16;61.182.0.0/16;61.189.0.0/17;125.32.0.0/16;125.40.0.0/13;202.96.0.0/18;202.96.64.0/21;202.96.72.0/21;202.97.128.0/18;202.97.224.0/21;202.97.240.0/20;202.98.0.0/21;202.98.8.0/21;202.99.64.0/19;202.99.96.0/21;202.99.128.0/19;202.99.160.0/21;202.99.168.0/21;202.

8、99.176.0/20;202.99.208.0/20;202.99.224.0/21;202.99.232.0/21;202.99.240.0/20;202.102.128.0/21;202.102.224.0/21;202.102.232.0/21;202.106.0.0/16;202.107.0.0/17;202.108.0.0/16;202.110.0.0/17;202.111.128.0/18;203.93.8.0/24;203.93.192.0/18;210.13.128.0/17;210.14.160.0/19;210.14.192.0/19;210.15.32.0/19;210

9、.15.96.0/19;210.15.128.0/18;210.21.0.0/16;210.52.128.0/17;210.53.0.0/17;210.53.128.0/17;210.74.96.0/19;210.74.128.0/19;210.82.0.0/15;218.8.0.0/14;218.12.0.0/16;218.21.128.0/17;218.24.0.0/14;218.56.0.0/14;218.60.0.0/15;218.67.128.0/17;218.68.0.0/15;218.104.0.0/14;219.154.0.0/15;219.156.0.0/15;219.158

10、.0.0/17;219.158.128.0/17;219.159.0.0/18;220.252.0.0/16;221.0.0.0/15;221.2.0.0/16;221.3.0.0/17;221.3.128.0/17;221.4.0.0/16;221.5.0.0/17;221.5.128.0/17;221.6.0.0/16;221.7.0.0/19;221.7.32.0/19;221.7.64.0/19;221.7.96.0/19;221.8.0.0/15;221.10.0.0/16;221.11.0.0/17;221.11.128.0/18;221.11.192.0/19;221.12.0.

11、0/17;221.12.128.0/18;221.13.0.0/18;221.13.64.0/19;221.13.96.0/19;221.13.128.0/17;221.14.0.0/15;221.192.0.0/15;221.194.0.0/16;221.195.0.0/16;221.196.0.0/15;221.198.0.0/16;221.199.0.0/19;221.199.32.0/20;221.199.128.0/18;221.199.192.0/20;221.200.0.0/14;221.204.0.0/15;221.206.0.0/16;221.207.0.0/18;221.2

12、07.64.0/18;221.207.128.0/17;221.208.0.0/14;221.212.0.0/16;221.213.0.0/16;221.216.0.0/13;222.128.0.0/14;222.132.0.0/14;222.136.0.0/13;222.160.0.0/15;222.162.0.0/16;222.163.0.0/19;222.163.32.0/19;222.163.64.0/18;222.163.128.0/17;如果觉得有哪些部分不是很准确的话，可以自行修改由于这个部分太长了，所以写在一个专门的文件然后include进named.conf比较容易维护例如，

13、我们把上面这段配置保存为cnc_acl.conf然后在named.conf写入include “/data/named/cnc_acl.conf”;即可接下来就是view的配置，假设域名是，呵呵view “view_cnc” match-clients CNC; ;zone “” type master;file “/data/named/cnc_xyz”;view “view_any” match-clients any; ;zone “” type master;file “/data/named/any_xyz”;就这样就足够了然后我们需要cnc_xyz和any_xyz两个具体的zone

14、 file两个文件基本是一模一样的，就是指向不同的ip$TTL 2h. IN SOA . . (200710222h40m1w2h). IN NS . IN MX 1 .ns IN A 1.1.1.1mail IN A 1.1.1.1www IN A 1.1.1.1根据不同的线路把www指向不同的IP即可这样，我们就实现了自己的智能DNS后话，目前许多大型网站都是用这个来实现不同的线路来源访问不同的镜像，甚至还做到地区级别，例如，在佛山机房部署了一台镜像服务器，就将广东省的访问都指向这台服务器另外，刚刚提到智能DNS也有缺陷，这里详细描述一下，bind9通过用户的来源IP来返回不同的解释IP，

15、而实际上，并不是实际用户直接访问我们的 DNS，而是用户所使用的DNS（比如说广州ADSL用户的默认DNS）负责访问我们的DNS，网通的DNS就保存有我们网通的IP，如果用户自行修改了 DNS，比如说电信的用户硬要用网通的DNS，或者网通的用户使用国外的DNS（比如opendns之类的），就会导致判断失误带主从复制的bind智能DNS转自：比如，让浏览 这个网站上的网通用户浏览架设在网通线路上的主机：192.168.0.1，而让电信用户/其他未知网络用户访问时浏览架设在电信网络上的主机：192.168.0.201 。主 DNS 服务器:192.168.0.158Bindview主服务器搭建:

16、需要安装的 rpm 包 bind,bind-utils,bind?chroot 因为安装 chroot 包，所以默认配置文件和 zone 存放位置，都会改变到/var/named/chroot/下编辑配置文件#vi/var/named/chroot/etc/named.confoptions directory “/var/named”;include“/etc/dx.cfg”;/指定一张允许电信用户访问的列表的存放目录include“/etc/wt.cfg”;/指定一张允许网通用户访问的列表的存放目录）view“dxzone”/定义了一个 view match-clientsdx;/指定了指

17、向 dezoneview 的 IP，这里是 dx.cfg 里的一个变量dx zone“” type master; file “dx/.zone”; ；view“wtzone” match-clientswt; zone “” type master; file “wt/.zone”; ;view“otherszone” match-clientsany; recursion yes; zone “” type master; file “dx/.zone”; ;建立 chroot 目录 etc 下的这 2 个文件，分别指定允许的用户 IP 表:电信区域 ip 配置文件#vidx.cfg写入a

18、cldx192.168.0.2;/自行修改允许的 ip 列表网通区域 ip 配置文件#viwt.cfg网通区域 ip 配置文件#viwt.cfg写入 aclwt192.168.0.3;/自行修改允许的 ip 列表在 chroot 目录 var/named/目录下建立 2 个存放 zone 的目录#cd/var/named/chroot/var/named#mkdirdxwt 创建 2 个目录下的 zone 文件：.zone 并将他们指向不同的主机电信用户/其他网络用户访问 .zone 文件#vidx/.zone IN NS . . IN A 192.168.0.201www IN A 192.

19、168.0.201网通用户访问 .zone 文件#viwt/.zone IN NS . . IN A 192.168.0.1www IN A 192.168.0.1重启 named 服务,使其生效#servicenamedrestart 分别用 3 台机器测试 ，将它们的 DNS 解析服务器设为你刚配置的主服务器ip 地址。然后用 nslookup 命令测试：假设你使用测试机 ip 为 192.168.0.2192.168.0.4192.168.0.2结果应该是 192.168.0.201192.168.0.3结果应该是 192.168.0.1192.168.0.4结果应该是 192.168.

20、0.201Bindview 主从服务器搭建 原理：从服务器使用transfer-source参数来指定使用本地的那个ip到主服务器上去同步，而主服务器上根据从服务器的两个不同IP来解析不同的IP 从属服务器服务器要有 2个ip地址。我们假设你的从属服务器有 ip 地址192.168.0.5、192.168.0.6.如果你没有两个 ip 地址，请先设置两个 ip 地址。注意不要和其他人重复导致 ip 冲突。#ifconfigeth0:1192.168.0.5#ifconfigeth0:2192.168.0.6 按照主服务器的安装方法将从属服务器安装起来。前期配置和主服务器一样！ 配置主服务器，将

21、从属服务器的 ip 地址放入相应的视图区域配置中。修改主服务器的 named.conf 配置文件#vi/var/named/chroot/etc/named.conf修改为options directory “/var/named”;include“/etc/dx.cfg”;include“/etc/wt.cfg”;view“dxzone” match-clientsdx;192.168.0.5;!192.168.0.6;/在 dxzone 中加入 192.168.0.5 并且排除 192.168.0.6 ,其他区域类似处理 allow-transfer 192.168.0.5; zone“”

22、 type master; file “dx/.zone” ；view“wtzone” match-clientswt;!192.168.0.5;192.168.0.6; allow-transfer 192.168.0.6; zone“” type master; file “wt/.zone” ；在从属服务器上配置 named.conf 配置文件#vi/var/named/chroot/etc/named.conf修改为options directory “/var/named”;include“/etc/dx.cfg”;include“/etc/wt.cfg”;view“dxzone”

23、match-clientsdx;192.168.0.5;!192.168.0.6; transfer-source192.168.0.5; zone“” typeslave; masters192.168.0.158; file “dx/.zone” ；view“wtzone” match-clientswt;!192.168.0.5;192.168.0.6; transfer-source192.168.0.6; zone “” typeslave; masters192.168.0.158; file “wt/.zone” ；建立 chroot 目录 etc 下的这 2 个文件，分别指定允

24、许的用户 IP 表:电信区域 ip 配置文件#vidx.cfg写入acldx192.168.0.2;/自行修改允许的 ip 列表网通区域 ip 配置文件#viwt.cfg网通区域 ip 配置文件#viwt.cfg写入 aclwt192.168.0.3;/自行修改允许的 ip 列表 然后需要在从属服务器上创建放置传输 zone 文件的相应目录，并设置相应权限。#cd/var/named/chroot/var/named#mkdirdxwt#chownnamed.nameddxwt重启主服务器和从属服务器#servicenamedrestart 必须重启主服务器然后是从属服务器。 如果你在从属服务

25、器的相应目录下找到了从主服务器传输来的各个视图的zone 文件，则实验正确。 Windows下建立智能DNS（BIND）施步骤: 1。 WINDOWS 2003 服务器 2。使用BIND9做智能DNS,自动根据客户端IP来判断,网通的用户解析出网通的IP,电信的解析出电信IP测试做的域名电信IP 60.171.45.152网通IP 220.248.236.152电信用户PING 会解析到60.171.45.152网通用户PING 会解析到220.248.236.152配置步骤：1.BIND 9.3.2http:/ftp.isc.org/isc/bind9/9.3.2-P2/BIND9.3.2-P2.zip2. 安装BIND 9 .3.2解压到一个临时目录，而后运行 BINDInstall.exe,一直默认安装就行了，不需要更改什么设置。默认安装到 windowssystem32dns目录下3.配置运行CMD进入安装目录(windowssystem32dns)下面的b