BIND 高級特性（一）－－轉發(fā) forwarder

sven_ 2014-08-26

展開全文

orward first | only;
forward指令用于設置DNS轉發(fā)的工作方式：
forward first設置優(yōu)先使用forwarders DNS服務器做域名解析,，如果查詢不到再使用本地DNS服務器做域名解析,。
forward only設置只使用forwarders DNS服務器做域名解析，如果查詢不到則返回DNS客戶端查詢失敗,。

最新的 BIND 提供了很多非常好的新特性,，今天就先講其中的一個：轉發(fā) （ Forwarder ）。

某些網絡連接不鼓勵向本地以外發(fā)送很大的數據流量,，這要么是因為網絡連接是按流量計費的，或網絡連接本身是帶寬不足,。在這樣的情況下,，如果想將發(fā)往外部的 DNS 流量限制到盡可能的小，就需要使用 BIND 的轉發(fā)機制,?；蛘吣愕木W絡中只有一臺機器能連接到 Internet ，而你在這臺機器上運行了 BIND ,，那么你可以將這臺 BIND 作為內部網絡中的其他 BIND 的轉發(fā)器,，使得其他 DNS 也能查找 Internet 域名。

轉發(fā)機制的這樣的：當你設置了轉發(fā)器后,，所有非本域的和在緩存中無法找到的域名查詢都將轉發(fā)到設置的 DNS 轉發(fā)器上,，由這臺 DNS 來完成解析工作并做緩存，因此這臺轉發(fā)器的緩存中記錄了豐富的域名信息,。因而對非本域的查詢,，很可能轉發(fā)器就可以在緩存中找到答案，避免了再次向外部發(fā)送查詢,，減少了流量,。

轉發(fā)器的配置格式是：
options {
    forwarders { 192.168.24.35; 192.168.24.36; };
};

這里要注意，轉發(fā)器本身不用做任何設置,，而是對需要轉發(fā)器的其他 DNS server 做以上配置,。還有，如果該 DNS Server 無法聯系到轉發(fā)器,，那么 BIND 會自己嘗試解析,。

如果你要禁止 BIND 在無法聯系到轉發(fā)器時不做任何操作，那么你還可以使用 forward only 命令,，這樣 BIND 只能使用區(qū)的權威數據和緩存來響應查詢了（在連接不到轉發(fā)器的情況下）,。
options {
    forwarders { 192.168.24.35; 192.168.24.36; };
    forward only;
};

在 BIND 8.2 以后引入了一個新的特性：轉發(fā)區(qū)（ forward zone ），它允許你把 DNS 配置成只有查找特定域名的時候才使用轉發(fā)器。（ BIND 9 從9.1.0 才開始有轉發(fā)區(qū)功能）例如,，你可以使你的服務器將所有對 xmgd.com 結尾的域名查詢都轉發(fā)給 xmgd.com 的兩臺名字服務器：
zone "xmgd.com" {
    type forward;
    forwarders { 210.52.83.228; 210.52.83.229; };
};

這樣的功能有什么用呢,？假設 xmgd.com 和你的網絡有一個私有的連接，而 xmgd.com 又沒有連接上 Internet ,，那么你從 Internet 是無法查到 xmgd.com 后綴的域名的,，這時你就要使用轉發(fā)區(qū)的功能了。

還有一種轉發(fā)區(qū)設置和剛才的設置剛好相反,，它允許你設置什么樣的查詢將不被轉發(fā),，當然這只適用于在 options 語句中指定了轉發(fā)器的 DNS 。配置如下：
options {
    directory "/var/named";
    forwarders { 192.168.24.35; 192.168.24.36; };
};

zone "xmgd.com" {
    type master;
    file "zone.xmgd.com";
    forwarders {};
};

這樣寫你可能會問為什么你要在自己的權威區(qū)里禁止轉發(fā),？難道不是自己回答查詢而不使用轉發(fā)器嗎,？
有這樣一種情況，在 xmgd.com 這個區(qū)中,，你授權了幾個子域,，例如：zx.xmgd.com、lab.xmgd.com 等,，那么在 xmgd.com 的權威服務器上設置轉發(fā)后,，因為對 zx.xmgd.com、lab.xmgd.com 這幾個子域不是權威,，那么如果有對 www.zx.xmgd.com 這樣的子域的域名查詢,，服務器也將轉發(fā)。這完全是沒有必要的,，因為服務器上就有 zx.xmgd.com 子域的 NS 記錄,，何須再轉發(fā)。

DNS轉發(fā)器：
假設我的DNS服務器 192.168.1.10
在BIND中有這么一個配置

[code]

forward only;
forwarders {
192.168.1.12;
};

[/code]

這里的192.168.1.10解析不了的,，就會被轉發(fā)到192.168.1.12這就是DNS轉發(fā)器,。

說到這里就不得不說遞歸了。

二,、BIND遞歸查詢：
默認 Resolver 發(fā)出的是遞歸查詢,，而且默認 BIND name server 也處理所有的遞歸請求

遞歸查詢的工作方式
遞歸查詢是最常見的查詢方式，域名服務器將代替提出請求的客戶機（下級DNS服務器）進行域名查詢,，若域名服務器不能直接回答,，則域名服務器會在域各樹中的各分支的上下進行遞歸查詢，最終將返回查詢結果給客戶機,，在域名服務器查詢期間,，客戶機將完全處于等待狀態(tài)。
示例：（紅色為查詢,，藍色為迭代查詢返回的提示信息,，棕色為遞歸查詢返回的IP信息）

BIND 高級特性（一）－－轉發(fā) forwarder - zhuzhu - 五事九思（大連Linux主機維護）

示例說明：A向B發(fā)送遞歸查詢請求,，B向C發(fā)送迭代查詢請求（下一節(jié)將介紹迭代查詢），得到C給出的提示后,，B向D發(fā)送迭代查詢請求,，得到D給出的提示后，B向E發(fā)出迭代請求,，得到E給出的提示后,，B向F發(fā)出迭代查詢請求，得到F給出的提示后,，B得到了F返回G的IP地址,，B向A返回G的IP地址，整個查詢結束,。

迭代查詢的工作方式
迭代查詢又稱重指引,，當服務器使用迭代查詢時能夠使其他服務器返回一個最佳的查詢點提示或主機地址，若此最佳的查詢點中包含需要查詢的主機地址,，則返回主機地址信息,，若此時服務器不能夠直接查詢到主機地址，則是按照提示的指引依次查詢,，直到服務器給出的提示中包含所需要查詢的主機地址為止,，一般的,，每次指引都會更靠近根服務器（向上）,，查尋到根域名服務器后，則會再次根據提示向下查找,。從上節(jié)的圖中可以知道,，B訪問C、D,、E,、F、G,，都是迭代查詢,，首先B訪問C，得到了提示訪問D的提示信息后,，開始訪問D,，這時因為是迭代查詢，D又返回給B提示信息,，告訴B應該訪問E,，依次類推。
說明：假設你要尋找一家你從未去過的公司,，你會有2種解決方案,，1是找一個人替你問路,，那可能是你的助手，2是自己問路,，每走過一個路口,，就問一個人，這就好比遞歸查詢和迭代查詢,，遞歸查詢在這里代表你的第1種解決方案,，而迭代則是第2種解決方案。

但某些情況下,，服務器應該被配置為不接受遞歸請求,，例如根域服務器。根域服務器不接受遞歸請求的原因：

一,、因為根域服務器太忙了,，它們沒有精力來回答遞歸查詢。
二,、接受遞歸請求將會建立緩存,，如此根域服務器的緩存將會變得十分巨大

關于遞歸/非遞歸方面的配置語句有 recursion no和 allow-recursion 語句。兩者都只能放在 options 或者 view 語句中
recursion no 只對外部域名有效,，如果查詢的是本地zone域名（僅限于該 name server 上所定義的 zone,，不包括下級子域）則可以回答。因為解析外部域名需要查詢外部 name server ,，這才是 recursion no 控制和關心的部分,，如果查詢的是本地 zone 的數據，當然不需要擔心本地 name server 被誘導,，可以直接返回答案,。

要注意以下幾點；
一,、保證該非遞歸服務器不出現在客戶機的 /etc/resolv.conf 的
二,、保證該非遞歸服務器不被其他 name server 當成轉發(fā)器（forwarder）
三、推薦使用 allow-recursion 而不是 recursion
四,、該非遞歸服務器可以出現在 zone data file 的 NS 記錄中,。它可以正常的接收其他 name server 發(fā)來的查詢
五、外部 name server 是通過上級域的 Referral 消息找到該非遞歸服務器的
六,、外部 name server 在得到上級域的 Referral 消息后,，向該非遞歸服務器發(fā)送的查詢是 iterative query ，而不是 recusive query ,，所以該非遞歸服務器仍然可以回答那些它所權威的 zone 的查詢,。但不能用于查詢外部域名了。