前言
DNS服務——服務端 和 客戶端 配置 介紹了如何在DNS安裝DNS服務,更改一下配置文件就可以依據根提示解析全球域名。既然使用互聯網上的DNS服務器就可以解析全球域名,為何還要自掏腰包搭建DNS服務器呢?有2點原因:
①解析內網服務器域名
②降低內網域名解析流量
解析內網服務器域名
使用互聯網上的DNS服務器固然可以解析全球的域名,但是這里面有個大前提:這些域名你要向相應機構注冊。
對於大型企業內部,很多域名是不需要外網人員訪問的。企業自己服務器所在的域名只有企業內部人員可以訪問。當然這些域名沒有向相關機構進行注冊,使用互聯網上的DNS服務器是解析不出來的。見下圖
企業內外ftp服務器的FQDN就是ftp.cac.com,其他服務器類似。企業內部計算機訪問ftp的時候就會被DNS解析成內網的IP(內網的IP都是私網IP,指望互聯網上DNS是不可能解析出來的)。對於非內網的域名,比如www.baidu.com,內網DNS自己解析不出來就尋求互聯網上的根DNS服務器,后面過程就是標准DNS遞歸解析流程了。
降低內網域名解析流量
企業內部沒有服務器,所有客戶上網都是用互聯網上的DNS服務器。以上百度為例,所有客戶機都需要緩存一份到百度的域名解析記錄。這無疑是很浪費資源的,企業那么多計算機,每個人都有域名解析需求,必然會消耗企業到互聯網之間寶貴的帶寬。見下圖
這時候,如果在企業內網引入一個DNS服務器,企業計算機的DNS都指向該內網DNS服務器,對於外網的域名,只需要內網DNS服務器解析緩存一次即可。內網計算機的域名解析流量被攔截在了內網。
使用內網DNS服務器還有個好處,就是可以限制內網客戶機上網。比如在內網DNS上把淘寶的域名屏蔽掉,內網客戶機就不能訪問淘寶了。當然你可能會說,我使用互聯網上的DNS照樣訪問淘寶。做到限制內網客戶機上網這一點除了內網DNS服務器做出相應配置外,內網到外網的出口路由器也要做相應設置。在出口路由器那里設置只允許內網DNS服務器我訪問Internet,能進行域名解析,其他的計算機不允許。這樣內網計算機的域名解析就必須通過內網DNS服務器。
