此根域名服务器部署方案是否可行

xkwui

　　有一覆盖全国的“中央－省－市－县”四级大型树型内部互联网，域名规划是使用各省、市、县的拼音缩写，如山东省济南市天桥区的域是tq.jn.sd.
　　由于DNS协议限制根域名服务器最多为13台，为确保当中央与省之间的链路发生故障时，各省内DNS服务仍可用，可否采用以下根域名服务器部署方案，会不会出现不一致和错误？
　　在中央部署3台主根域名服务器，在大陆31个省份分别部署1台辅根域名服务器，分成3组分别从中央的3台主根域名服务器接收区域传送数据。根域名服务器创建根域，其下创建31个区域委派，委派各顶级域名服务器提供各顶级域的解析服务。经手工配置确保3台主根域名服务器中31个顶级域区域委派信息的一致。每个省份部署1台顶级域名服务器，如北京市部署BJ.域域名服务器，负责解析BJ.域。
　　中央分别从3台根域名服务器导出3个根提示文件，供3组省份内各非根域名服务器下载使用。

網中人

我是覺得沒必要修改 root zone server 。
盡可能發揮 cache 跟 forwarders 就不錯了。

xkwui

这是内联网(Intranet)，自成体系，与因特网(Internet)物理隔离。如果不“修改 root zone server ”，如何“盡可能發揮 cache 跟 forwarders ”，从而在这个四级内联网内部署DNS服务，实现各级单位域名的解析？如：www.sd, www.gz.gd, www.wc.wh.hb等，分别为山东省单位、广东省广州市单位、湖北省武汉市武昌区单位的WEB网站。

要求：
1、所有单位均能用域名访问任意其他单位的网站；
2、各省与中央的网络连接中断后，各省内用户仍能用域名访问本省内各单位网站；
3、各地级市与省的网络连接中断后，各地级市内用户仍能用域名访问本地级市内各单位网站；
4、各单位与外单位的网络连接暂时中断后，各单位局域网内用户仍能用域名访问本单位网站。

谢谢！

[ 本帖最后由 xkwui 于 2007-4-22 23:39 编辑 ]

網中人

如果是完全跟 internet 老死不相往來，那的確可以修改 root zone server 來做。
但如果有朝一日（世事難料啊）又需要跟 internet 打交到（天曉得領導的頭殼某天會不會被雷打到突發異想），那又的回到起點重新規劃。
當然，那個時候，或許那個做領導的是你，而手忙腳亂的則是你招兵買馬進來的"操"人...  ^_^

你上面用的 domain name 在規劃設計上比較缺乏彈性。
舉個例子：
某跨國公司 xyz.com 要發展每個國家的事業，domain name 有兩個選擇：
1) xyz.com.cc
2) cc.xyz.com
如果用前者，那必需在每個國家下註冊 domain ；後者則只需註冊一個 gTDL ，將來就算發展到月球或火星上，還能適用。

那回到你的例子：
1）用各省作尾碼，如： www.sd, www.gz.gd
2）在省碼後面再增加一個 common name ，如：www.sd.xyz, www,gz,gd,xyz
3）在原有的 internet domain 下延伸你的地域：www,sd.xyz.com.cn, www.gz.gd.xyz.com.cn

如果你採方案1，那你可以修改 root server，或在本省 server 上加設每一個其他省的 forward zone：
zone "sd" IN { type master; file "named.sd"; };
zone "gd" IN { type forward; forwarders { 1.2.3.1; }; };
zone "gx" IN { type forward; forwarders { 1.2.4.1; }; };
...
或是以上只在中央 server 設各省 forward zone，然後每省在 options 上設一個  global forwarder 指到中央：
options { directory "/var/named"; forwarders { 1.2.1.1; };

如果用方案2，也可以為每省設 forward zone；但也可以不設，只需為 xyz 設 forward zone 指回中央（或 global forwarder），然後中央用 ns 授權給每一個省（或用 forward zone）。
省：
zone "xyz" IN { type forward; forwarders { 1.2.1.1; }; };
zone "sd.xyz" IN { type master; file "named.sd.xyz"; };
中央：
zone "xyz" { type master; file "named.xyz"; };
然後 zone file 裡：
sd IN NS ns.sd.xyz.
ns.sd IN A 1.2.2.1
gd IN NS ns.gd.xyz.
ns.gd IN A 1.2.3.1
..

方案3跟2類似。

當然，做法不是只有這些，你自己再慢慢想囉～～～

xkwui

此网络是某部门系统的内部政务办公网，为防泄密，要求严格与Internet物理隔离。为方便记忆和输入网址，域名空间规划已确定采用方案1，即“用各省作尾碼，如： www.sd, www.gz.gd”。

DNS解析采用“forward zone”方案，下列配置是否正确可行？
湖北省武汉市武昌区的DNS：
zone "." IN { type forward; forwarders { 1.1.1.1; }; };
zone "hb." IN { type forward; forwarders { 2.2.2.2; }; };
zone "wh.hb." IN { type forward; forwarders { 3.3.3.3; }; };
zone "wc.wh.hb." IN { type master; file "named.wc.wh.hb"; };
湖北省武汉市的DNS：
zone "." IN { type forward; forwarders { 1.1.1.1; }; };
zone "hb." IN { type forward; forwarders { 2.2.2.2; }; };
zone "wh.hb." IN { type master; file "named.wh.hb"; };
湖北省的DNS：
zone "." IN { type forward; forwarders { 1.1.1.1; }; };
zone "hb." IN { type master; file "named.hb"; };
中央用 ns 授權給每一個省,省授权给下辖市，市授权给下辖区县。

以上配置能否实现湖北省武汉市武昌区用户访问武汉地区各区县单位网站，用武汉DNS作为转发器；访问湖北省内各单位网站，用湖北省级单位的DNS作为转发器；访问外省网站，用中央的DNS作为转发器？

如果采用修改Root Server的方案，一楼的“3个主根域服务器”方案，在“经手工配置确保3台主根域名服务器中31个顶级域区域委派信息的一致”的前提下，会不会产生冲突和混乱？

[ 本帖最后由 xkwui 于 2007-4-23 14:48 编辑 ]

網中人

如果可以接受 .x 做結尾（多兩個字母），那我會建議你用方案 2 。
要记住，cache 的作用很大的，只要之前問到的，就不需要再問第二次，直到 ttl 結束為止。
如果你要修改 root zone，那就只改 zone "." 就好了，其他 forwarder 都不用設。
然後在中央那邊 ns 授權下來。
或是，直接在 zone "." 的 data file 裡面，hard code 每個省的 glue record 。

[ 本帖最后由 網中人 于 2007-4-23 15:27 编辑 ]

xkwui

方案2与方案1，似乎没什么本质区别啊，区别只在于中央DNS是作为根域的权威服务器还是作为xyz.域的权威服务器？

采用修改Root Server的方案，如何确保各省与中央的连接中断后，各省内的域名在本省仍能正常解析？需要在各省内分别放置一台辅助根域服务器吧？

这个网络在县级就有三千多个点，且各单位缺乏电脑专业技术人员，所以需要尽可能简单的方案，方便部署和日常维护。绝大部分是Windows 2000 Server，虽然BIND有Windows版，但还是Windows　DNS配置比较简单吧？　而Windows 2000 DNS不支持forward zone。所以比较倾向于采用修改Root Server的方案，麻烦網中人帮我考虑一下，这个方案是否确实可行？如果不可行，就要再考虑其他方案了。

[ 本帖最后由 xkwui 于 2007-4-23 16:16 编辑 ]

網中人

差別就在將來可以比較輕鬆接入 internet 。

不管用甚麼方案，都建議你在 test enviroment 做好測試。

xkwui

原帖由 網中人 于 2007-4-23 15:23 发表
如果可以接受 .x 做結尾（多兩個字母），那我會建議你用方案 2 。

用这个方案可以方便将来接入Internet吗？方案3才是吧？

要搭建测试环境，至少需要2台主根服务器+13台辅根服务器+1台客户机。如果能先从理论上分析，确认无误最好了。
另，这个网络分配的IP是129.0.0.0/8——161.0.0.0/8，要接入Internet是很困难的，在设计之初就没打算将来接入Internet。

[ 本帖最后由 xkwui 于 2007-4-23 22:45 编辑 ]

網中人

好吧，看來你已經有自己的 idea 了。那就好好實作吧。

good luck!