DNS系统技术要求.doc

DNS系统技术要求 中国移动通信集团公司网络部 2010-03-31 前言 随着移动互联网业务的迅速发展，DNS系统的重要性日益突出。为此，集团公司网络部结合电信级标准和业务需求，考虑DNS系统架构、网管、安全、配置等方面，编写了DNS系统的相关技术要求。本文是骨干及各省的各级DNS系统后续建设和改造的指导性文件。 一、范围 本规范规定了中国移动DNS系统组网架构、数据配置、安全保护和性能指标的配置要求，供中国移动内部使用。 二、相关标准和文档 下列标准所包含的条文，通过在本规范中的引用而成为本规范的条文。随着下列标准的更新，本规范也将结合中国移动DNS实际情况和发展趋势，进行不断探讨和补充。 《中国移动网络安全总体技术要求》 《中国移动操作系统安全功能和配置规范》 《中国移动BIND域名解析软件安全配置规范》 《中国移动数据网设备命名规范》 《BIND9管理员参考手册》 三、DNS概述 中国移动DNS系统是面向多种数据业务和用户、提供正向和反向域名解析服务的业务系统，以保障中国移动的高质量和高安全、可靠性的互联网接入类服务质量。 域名是internet上用来寻找网站（主机）所用的名字，是internet上的重要标识。 互联网上每台主机都对应一个IP地址，为方便记忆，用域名来代替IP地址，如可能指代6。域名与IP地址是一一对应的。在英文国际域名中，域名可以英文字母和阿拉伯数字以及横杠－组成，最长可达67个字符（包括后缀），并且字母的大小写没有区别，每个层次最长不能超过22个字母。在国内域名中，三级域名长度不得超过20个字，并且中文域名也已得到应用。 DNS域名系统(Domain Name System)，是一种组织域层次结构的计算机和网络服务命名系统。当用户输入域名开始访问时，DNS服务会将此名称解析为对应的IP 地址信息。比如：上网输入，会被自动转换为2进行访问。。 DNS 域名系统实际上一个分布式的数据库，该数据库是以域名为索引的，每个域名就是一棵很大的逆向树中的路径，这棵逆向树称为域名空间（domain name space），如图所示。树的每个分支采用“?”分割，树的最大深度不得超过127 层，树中每个节点都有一个可以长达63 个字节的文本标号，域名的长度不得超过255个字节。 四、术语和定义 本规范应用了下列术语定义如下： NS（name server），名字服务器：是一个存储着域名资源信息的程序，它会响应来自叫resolver 的程序的请求，resolver 类似于一个客户端程序。NS 的基本功能就是通过回答查询请求来提供网络信息。 Zone，域：整个的域名空间可以被分成多个区域，一个zone，开始于一个顶级domain，一直到一个子domain 或是其它domain 的开始，zone 通常表示管理界限的划分。 forwarding server，转发服务器：一台缓存名服务器自身不能完成全部的递归查询时，会向其它缓存服务器转发这些查询请求。 A记录：一个域名的IP指向 A (Address) 记录，即确定了该主机名（或域名）对应的IP地址记录（在IPv6中相应定义为4A记录，因地址长度是IPv4的4倍）。 反向解析：通过IP地址反向查询其对应的域名记录。 五、DNS系统的组网原则 DNS系统应最少由四台DNS服务器组成，其中两（多）台为授权服务器，负责提供省网范围内权威域名的解析服务，两（多）台为缓存服务器，负责为省内用户提供域名递归解析服务。建议授权服务器和缓存服务器不同vlanpv6的域名解析； 对有多CPU的处理器，开启多线程支持； 安装过程中，对安装目录进行良好规划，建议安装目录名称由程序+版本号组成，同时创建快捷方式（符号链接），指向当前使用版本，此种安装方式，便于软件版本的控制和升级； 对于支持chroot环境的操作系统，可以根据实际情况，考虑使用chroot环境确保软件运行安全； 安装完毕后，注意对目录和文件的权限进行设定；调测启动和关闭脚本，并重启系统检测是否应用可以自动启动。 7.3 DNS服务配置（以Bind为例） DNS服务配置应以安全性、最简性、规范性为基本原则； DNS服务配置文件主要包括named.conf文件和.zone文件等； DNS服务器配置的规范化要求包括： DNS服务器名称应符合《中国移动数据网设备命名规范要求》； DNS版本应根据集团网络部有关入网要求，保持全网统一。 forwarders配置：在省网DNS配置中，取消指向集团CMNET根DNS的forwarders配置，避免大量解析请求发往集团CMNET根DNS，造成集团根DNS负荷过高； 中文域名配置：服务器中按集团要求，配置规范的中文域名解析。 *关于反向域名解析的业务数据申请和配置流程，集团后续将另行制订下发。 DN