當使用域名去訪問的時候,域名最終會被轉換成具體的IP,這中間經過了域名解析的工作,由DNS服務器完成。通常來說,互聯網上會有一些DNS來幫助用戶完成域名解析的工作,如8.8.8.8,是Google提供的免費DNS服務器的IP地址;114.114.114.114,是電信提供的,114.114.114.114是國內第一個、全球第三個開放的DNS服務地址,又稱114DNS。
在互聯網環境下,用戶可以直接使用這些開放的DNS服務,從而不用關心域名解析的具體工作。然而在企業內部,由於嚴格的網絡管控,對外部服務的使用有着極大的限制,一般都會自己建設DNS服務器,以滿足訪問外網域名時,對域名進行解析的需求,防止通過DNS服務器攻擊,提高內部網絡的安全性。
但是內部的DNS服務器可能由於各種原因並不能很好滿足開發運維人員的需要,因此可以使用DNS轉發的設置來將域名解析工作轉發給外部DNS服務來完成,這個時候就需要開通內部DNS服務到外部DNS服務53端口的網絡策略(一般情況下,DNS服務的端口為53)。
這里以aaa.test.abc域名為例配置轉發,DNS服務器選擇8.8.8.8和114.114.114.114:
zone "aaa.test.abc" { type forward;
forward only; forwarders{ 8.8.8.8; 114.114.114.114; }; };
這里表示的是4個8和4個114都可以用,優先使用4個8.
這里可以參考:https://blog.csdn.net/zhu_tianwei/article/details/45061705
在實施的過程中發現,轉發設置並不能生效,這個時候需要跟蹤解析的路徑,看請求都經過了哪些節點。具體可使用的命令有:nslookup用來查看是否可以成功解析;dig用來跟蹤解析的路徑;tcpdump用來檢測網絡流量情況。
最后發現,所配置DNS轉發的域名aaa.test.abc並不是最終映射到IP的域名,而是先會翻譯成zuizhong.zuizhong.zuizhong這個域名,再解析為具體的IP,因此在配置轉發策略的時候也要把zuizhong.zuizhong.zuizhong這個域名給配上去。
最終,配上兩個域名轉發策略之后,可以對aaa.test.abc進行解析了。