企业开源域名服务安全防护策略及实战-4

look_w

配置智能 DNS 高速解析随着原中国的互联网骨干网被一分为二了，北有联通、南有电信。从此，细心的网民可以发现，有些经常访问的网站速度一下子慢了下来，有时候还有访问不到的情况出现。例如北方地区的网络用户访问中国联通的服务器会非常快，而访问中国电信的服务器时，感觉非常慢。这种现象不仅影响了网站的访问量，更严重的是它直接影响了一些经营性网站的经济效益。据分析，产生这个问题的根本原因是中国电信分家之后，电信与联通之间的互连存在问题。虽然信息产业部已经在规划南北互通计划，但在今后相当长的一段时期内，南北方网互连的问题还会长期存在。
智能 DNS 策略解析很好的解决了上面所述的问题。DNS 策略解析最基本的功能是可以智能的判断访问网站的用户，然后根据不同的访问者把网站的域名分别解析成不同的 IP 地址。如访问者是联通用户，DNS 策略解析服务器会把网站域名对应的联通 IP 地址解析给这个访问者。如果用户是电信用户，DNS 策略解析服务器会把网站域名对应的电信 IP 地址解析给这个访问者。
除此之外，智能 DNS 策略解析还可以实现就近访问机制。有些用户在国外和国内都放置了服务器，使用 DNS 策略解析服务可以让国外的网络用户访问国外的服务器，国内的用户访问国内的服务器，从而使国内外的用户都能迅速的访问到网站的服务器。另外，智能 DNS 策略解析还可以给网站的多个主机实现负载均衡，这时来自各地的访问流量会比较平均的分布到服务器的每一个主机上。
下面以一个简单的例子来说明如何实现智能 DNS 的配置。在配置之前，我们需要使用前面小节介绍的有关知识生成针对电信网（telecom_feixiang.com）和联通网（cnc_feixiang.com）的区文件：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134

// 在 named.conf 文件的 options { directory "/var/bind"; }; // 后添加如下控制网段： acl "CNC" { 58.16.0.0/16; 58.17.0.0/17; 58.17.128.0/17; 58.18.0.0/16; 58.19.0.0/16; 58.20.0.0/16; 58.21.0.0/16; 58.22.0.0/15; 58.240.0.0/15; 221.13.128.0/17; 221.14.0.0/15; 221.192.0.0/15; 221.194.0.0/16; 221.195.0.0/16; 221.196.0.0/15; 221.198.0.0/16; 221.207.0.0/18; }; // 修改原来的 dns 配置，让电信和联通访问不同的配置文件 view "view_cnc" { match-clients { CNC;}; zone "." { type hint; file "named.ca"; }; zone "localhost" { type master; file "db.local"; }; zone "0.0.127.in-addr.arpa" { type master; file "127.0.0.zone"; }; zone "feixiang.com" { type master; file "cnc_feixiang.com"; }; zone "10.42.59.in-addr.arpa" { type master; file "59.42.10.zone"; }; zone "110.21.210.in-addr.arpa" { type master; file "210.21.110.zone"; }; }; view "view_any" { match-clients { any; }; zone "." { type hint; file "named.ca"; }; zone "localhost" { type master; file "db.local"; }; zone "0.0.127.in-addr.arpa" { type master; file "127.0.0.zone"; }; zone "feixiang.com" { type master; file "telecom_feixiang.com"; }; zone "10.42.59.in-addr.arpa" { type master; file "59.42.10.zone"; }; zone "110.21.210.in-addr.arpa" { type master; file "210.21.110.zone"; }; };