DNS服务——域名解析转发 和 条件转发

前言

有一台Linux机器作为DNS服务器，查看这台机器上的DNS文件，发现指向互联网上的DNS服务器。

[root@ziqiang named]# cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 8.8.8.8
nameserver 222.222.222.222

那么问题来了，可以把这些互联网上的DNS服务器删掉，换成Linux服务器本身的IP吗？ 换句话说就是让DNS服务器指向自己。

回答前言的问题

完全可以。

DNS服务安装完毕后，他就有根提示，天生就知道互联网上13个根DNS服务器。只要安装DNS服务的那台机器可以访问Internet，就完全可以解析全球域名。

因此DNS服务器的/etc/resolv.conf完全可以指向自己，对于未知域名，DNS服务器上的DNS服务会自己找根DNS服务器进行域名解析，并把解析结果保存在本地DNS服务器上。当然，/etc/resolv.conf指向Internet上的DNS服务器更是没毛病。

域名解析转发

回顾下DNS域名解析的过程

当内网计算机使用域名上网的时候，会先找该局域网内的DNS服务器，即本地DNS服务器。由于本地DNS服务器上配置了zone，他知道自己掌管了哪些域名。所以，如果客户机恰好请求的这些域名就是本地DNS管理的，本地DNS直接回复客户机。如果本地DNS服务器，不知道你请求的域名，他会直接向根DNS请求，然后经过DNS递归查询，最终将域名解析结果返回给客户机。

域名解析转发（foward）

上面DNS域名解析是正常的流程，也是很多大学教材里面讲解DNS域名解析过程用到的。下面介绍域名解析转发

考虑如下场景，母公司内部配置有本地DNS服务器，负责解析母公司内部服务器域名以及互联网上的域名。子公司与母公司物理距离较远，两地使用专线链接，专线带宽不高。子公司内部计算机不直接连接互联网。

假如不在子公司内部设置DNS服务器，子公司内部计算机对母公司内部域名解析请求以及互联网上域名解析请求都会交由母公司的DNS服务器（为啥子公司电脑不直接填互联网上的DNS？1.解析不到母公司私网的服务器 2.公司也不可能允许你这么做）。这部分域名解析流量会严重占用专用链路的带宽，导致网络阻塞。

在子公司内部设置一个DNS服务器，但是这个DNS服务器又有点不同。对于自己不知道域名，他并没有请求互联网上的根DNS服务器，而是把域名解析的流量转发给了母公司DNS服务器，这样有效降低了专用链路上域名解析的带宽占用。这种场景就是DNS转发。

DNS转发还有2种场景（或者说2个参数）

①foward only  子公司DNS服务器指向母公司DNS服务器请求DNS解析。如果母公司DNS服务器挂了 或 子公司到母公司链路故障 或 母公司DNS上不了网（子公司DNS服务器可以解析母公司内网服务器域名），子公司DNS服务器无法解析Internet域名

②foward first   子公司DNS服务器优先指向母公司DNS服务器，如果母公司DNS服务器连不上（比如子公司到母公司的链路故障）会使用子DNS服务器保存的根DNS服务器来解析域名（这时候无法解析母公司内网域名，可以解析Internet域名）。

如果子公司到母公司之间链路是好的，单纯母公司DNS服务器上不了网。子公司可以解析母公司内网服务器域名，但是无法解析Internet域名。

配置域名解析转发

在子公司DNS服务器上修改配置文件named.conf

[root@ziqiang named]# cat /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
    listen-on port  { any; };
    listen-on-v6 port  { ::; };
    directory     "/var/named";
    dump-file     "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { 192.168.80.0/;192.168.90.0/;};
    recursion yes;

    forward only;
    forwarders {192.168.60.111;};

    dnssec-enable no;
    dnssec-validation no;
    dnssec-lookaside no;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
    type hint;
    file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

针对这个文件主要注意如下两个字段

forward only;
forwarders {192.168.60.111;};

forward only;  表明DNS转发模式

forwarders {192.168.60.111;};  转发给母公司哪个DNS服务器，可以设置多个

重启nemed服务 service named restart

域名解析条件转发

forward only;

forwarders {192.168.60.111;};

上面讲域名解析转发的时候添加的2个字段是针对所有域名的，还可以设置条件转发。

考虑如图场景，有2个DNS服务器，分别负责abc.com和xyz.com域名。对于左边DNS服务器下面的客户机，解析xyz.com域名时，通过条件转发可以直接找右边DNS服务器，而不是直接找根DNS服务器。

在左边DNS服务器上编辑文件/etc/named.conf加上下面一段话

[root@WebServer ~]# vi /etc/named.conf
zone "xyz.com." {
        type forward;
        forwarders { 192.168.80.111;};
};