Chắc hẳn đã nhiều người quan tâm tới lĩnh vực hệ thống và không thể không biết tới trong các dịch vụ mạng đó là DNS. Một dịch vụ quan trọng nhất trên Internet và trong nội bộ của các doanh nghiệp, cho phép toàn bộ máy tính và các tài nguyên trên mạng được lưu dưới dạng tên và khi truy cập vào hệ thống DNS sẽ chuyển từ tên sang địa chỉ IP và ngược lại. Khi làm việc với DNS bạn cần phải có định nghĩa về các vấn đề liên quan tới DNS đó là. Định nghĩa DNS: DNS có vai trò cung cấp dữ liệu với cấu trúc người dùng truy cập vào các tài nguyên theo tên trên mạng sử dụng TCP/IP Các thành phần của DNS: - DNS Domain Name Space - Zones - Name Servers DNS của Internet. DNS Domain Name Space: Mỗi DNS domain sẽ có một tên duy nhất. Hệ thống DNS là hệ thống có cấu trúc phân tầng có cấp bậc cụ thể. Gốc của domain (root domain) nằm trên cùng, sau và được ký hiệu là dấu "." bao gồm 13 máy chủ gốc của Internet thế giới các bạn có thể vào root hint của DNS để xem địa chỉ của các máy chủ này. Tiếp đến là Top-Layer, bao gồm các tên miền .com, .vn, .net... Tầng này mỗi tên miền bao gồm từ 2 đến 5 ký tự, riêng tên miền 2 ký tự dành riêng cho mỗi quốc gia. Tiếp đến là tầng Second-Level, có thể là tầng subdomains như .com.vn hay có thể là host name như micrsosoft.com. 1 - cấu trúc internet.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Chắc hẳn đã nhiều người quan tâm tới lĩnh vực hệ thống và không thể không biết tới trong các dịch
vụ mạng
đó là DNS. Một dịch vụ quan trọng nhất trên Internet và trong nội bộ của các doanh nghiệp, cho
phép toàn bộ máy tính và các tài nguyên trên mạng được lưu dưới dạng tên và khi truy cập vào hệ
thống DNS sẽ chuyển từ tên sang địa chỉ IP và ngược lại.
Khi làm việc với DNS bạn cần phải có định nghĩa về các vấn đề liên quan tới DNS đó là.
Định nghĩa DNS: DNS có vai trò cung cấp dữ liệu với cấu trúc người dùng truy cập vào các tài
nguyên theo tên trên mạng sử dụng TCP/IP
Các thành phần của DNS:
- DNS Domain Name Space
- Zones
- Name Servers
DNS của Internet.
DNS Domain Name Space: Mỗi DNS domain sẽ có một tên duy nhất. Hệ thống DNS là hệ thống có
cấu trúc phân tầng có cấp bậc cụ thể. Gốc của domain (root domain) nằm trên cùng, sau và được
ký hiệu là dấu "." bao gồm 13 máy chủ gốc của Internet thế giới các bạn có thể vào root hint của
DNS để xem địa chỉ của các máy chủ này. Tiếp đến là Top-Layer, bao gồm các tên miền .com, .vn,
.net... Tầng này mỗi tên miền bao gồm từ 2 đến 5 ký tự, riêng tên miền 2 ký tự dành riêng cho
mỗi quốc gia. Tiếp đến là tầng Second-Level, có thể là tầng subdomains như .com.vn hay có thể là
host name như micrsosoft.com.
1 - cấu trúc internet.
Cách phân biệt từng phần trong một tên miền bao gồm như: hostname, subdomain, top level và
root.
2 - Các thành phần trong một tên miền trên internet
Zone trong DNS
Một vấn đề quan trọng khác của DNS đó là Zone. Trong hệ thống DNS người ta chia nhỏ thành
những phần để gán những quản lý riêng, chẳng hạn cùng một công ty nhưng đó là công ty cực lớn
và cần nhiều người quản lý các vùng khác nhau, cần phải chia ra các Zone để đảm bảo việc quản lý
DNS một cách dễ dàng hơn - nói cách khác khi một hệ thống tên miền được chia ra các phần nhỏ
hơn để dễ quản lý đó là các Zone.
Và trên thực tế dữ liệu DNS được chứa trên các máy chủ Zone và thực tế dữ liệu của DNS là dữ liệu
của các Zone. Khi bạn quan tâm đến Zone một vấn đề khác đó là các dạng của Zone.
Trong DNS khi bạn tạo ra một Zone mới bạn sẽ có ba sự lựa chọn đó là:
Primary Zone: Một máy chủ chứa dữ liệu Primary Zone là máy chủ có thể toàn quyền trong việc
update dữ liệu Zone.
Secondary Zone: Là một bản copy của Primary Zone, do nó chứa dữ liệu Zone nên cung cấp khả
năng resolution cho các máy có yêu cầu. Muốn cập nhật dữ liệu Zone phải đồng bộ với máy chủ
Primary
Stub Zone: Dữ liệu của Stub Zone chỉ bao gồm dữ liệu NS Record trên máy chủ Primary Zone mà
thôi, với việc chứa dữ liệu NS máy chủ Stub Zone có vai trò chuyển các yêu cầu dữ liệu của một
Zone nào đó đến trực tiếp máy chủ có thẩm quyền của Zone đó.
Vấn đề này khá quan trọng và bạn cũng cần phải phân biệt giữa sử dụng Stub Zone và Forward
Lookup.
Trong Forward Lookup có thể sử dụng để chuyển các yêu cầu đến một máy chủ có thẩm quyền.
Một điều quan trọng của sự khác nhau đó là Stub Zone có khả năng chứa dữ liệu NS của Primary
Zone nên có khả năng thông minh trong quá trình cập nhật dữ liệu, địa chỉ của máy chủ NS của
Zone đó nên việc chuyển yêu cầu sẽ dễ dàng hơn.
Forward Lookup là nhờ một máy chủ resolve tên hộ, và không thể tự động cập nhật dữ liệu, nhưng
đó cũng là một lợi thế và có thể sử dụng trên Internet. Còn Stub Zone chỉ sử dụng khi trong một
domain có nhiều Zone con (delegation zone) và chỉ dành cho một tổ chức khi truy cập vào các dữ
liệu của tổ chức đó
Name Server chính là máy chủ chứa dữ liệu Primary Zone
Cách hoạt động của DNS
Khi chúng ta hiểu được các thành phần của DNS chúng ta tìm hiểu về cách thức hoạt động của
DNS.
Ta có một ví dụ:
Máy chủ DNS chứa dữ liệu vne.com bao gồm có máy chủ web là web1.vne.com với địa chỉ
192.168.1.5
Khi một máy client.vne.com truy cập vào web1.vne.com.
Bước 1: máy client1.vne.com gửi một gói tin yêu cầu máy chủ DNS của vne xem máy
web1.vne.com có địa chỉ là thế nào
Bước 2: máy chủ DNS trả lại cho client1.vne.com gói tin bao gồm địa chỉ IP là: 192.168.1.5 của
web1.vne.com
Bước 3: máy client1.vne.com giao tiếp với máy web1.vne.com
Từ ví dụ này bạn có thể tự hình dung ra quá trình truy vấn từ máy client tới máy DNS.
Quá trình làm việc của DNS có thể chia làm hai mảng:
- Forward Lookup Query: Một Forward Lookup Query là một yêu cầu chuyển đổi từ một tên sang
một địa chỉ IP.
- Reverse Lookup Query: một Reverse Lookup Query là một yêu cầu chuyển đổi từ một IP sang
một tên.
Phần 2 - DNS Server Properties
Khi nghiên cứu về DNS chúng ta cần nghiên cứu đầu tiên về các thuộc tính và ý nghĩa của các cấu
hình trên DNS Server. Giúp bạn hiểu sâu về ý nghĩa của nó trong (phần 2) này tôi trình bay chi tiết
ý nghĩa của từng thuộc tính và việc vận dụng chúng trong môi trường thực tế ra sao.
DNS Server properties bao gồm các vấn đề như:
- Interfaces: Cho phép ta cấu hình những card mạng nào nghe các request
- Forwarders: Chuyển các request một domain nào đó tới một máy chủ DNS nào đó
- Advanced: Cho phép nâng cao các thuộc tính các tính năng trong DNS Server
- Root hints: Cho phép cấu hình gốc của domain, và cần thiết để cho client vào internet
- Debug logging: ghi lại các tiến trình để phân tích nếu lỗi xảy ra
- Event logging: Các tính huống để ghi lại
- Monitoring: Giám sát DNS Server
- Security: Bảo mật dữ liệu DNS
1. Nghiên cứu về tab Interfaces
a. Ví dụ: Chẳng hạn ở đây ta có máy chủ DNS có FQDN là VNEXPERTS.VNE.COM máy chủ có 4 card
mạng với địa chỉ lần lượt là:
LAN1: 192.168.0.5 – dành cho public web site
LAN 2: 192.168.1.5 – dành cho name resolution
LAN 3: 192.168.2.5 – dành cho name resolution
LAN 4: 192.168.3.5 – dành cho ứng dụng SQL
Điều này có nghĩa là máy chủ này cần phải cấu hình sao cho chỉ đáp ứng các yêu cầu (Lookup
Forward Query) về DNS từ hai card mạng LAN 2 và LAN 3 mà thôi bởi nếu nghe từ tất cả các card
mạng sẽ dẫn đến ảnh hưởng băng thông đường truyền với các dịch vụ khác.
Mặc định máy chủ DNS nghe các request từ tất cả các card mạng nhưng trong tình huống này bạn
cần phải cấu hình lại để chỉ nghe từ một số card mạng mà thôi.
2. Nghiên cứu về Forwarders.
Ví dụ: Công ty của bạn có ba địa điểm khác nhau là Nghệ An, Thái Nguyên, Hà Nội (vne.com). Mỗi
site có một domain riêng lần lượt là: vne.com, na.com, tn.com. Toàn bộ ba site này được kết nối
với nhau qua đường VPN. Máy chủ tại na.com rất yếu và chỉ có thể nghe những yêu cầu về DNS tại
Site Nghệ an mà thôi. Điều này có nghĩa bạn không thể tạo được secondary zone của vne.com và
tn.com tại máy chủ DNS của na.com
DNS server của vne.com là - 192.168.1.5
DNS server của na.com là – 192.168.0.5
DNS server của tn.com là – 192.168.2.5
Lúc này máy client tại na.com muốn truy cập vào một máy chủ tại vne.com có tên web1.vne.com.
Khi cấu hình như trên hình trên có nghĩa là khi user truy cập vào domain vne.com máy chủ DNS sẽ
gửi toàn bộ các request đó tới máy chủ DNS khác có tên là 192.168.1.5.
Trong thực tế chúng ta chỉ sử dụng Forwarders khi: thứ nhất – không thể tạo được secondary zone
hay stub zone của một domain nào đó (chúng ta có thể sử dụng trên internet – ví dụ khi vào
www.microsoft.com ta gửi luôn lên máy chủ DNS của Mỹ thay vì forward tới DNS của ISP). Hoặc
máy chủ DNS của chúng ta quá yếu để đáp ứng các request của client.
Dấu check box "do not use recusion for this domain" – khi bạn không dánh dấu ở check box này,
trở lại ví dụ trên. Khi một client tại na.com truy vấn vào web1.vne.com máy chủ DNS tại na.com
gửi toàn bộ request lên máy chủ DNS tại vne.com dể nhờ resolve hộ. Nhưng chẳng may gói tin
được gửi từ máy chủ DNS tại na.com không đến được máy chủ DNS tại máy chủ vne.com thì sao.
Nếu bạn không tích dấu check box đó máy chủ DNS tại na.com sẽ tự động gửi lại gói tin yêu cầu
bao giờ kết nối được thì thôi. Còn nếu có dấu check box thì máy chủ chỉ gửi một lần lỗi không gửi
lại nữa.
Dấu check box đó chỉ áp dụng cho một domain còn nếu muốn cấu hình không gửi lại có nghĩa là
"do not use recusion all domain" thì trong tab advanced chúng ta sẽ nghiên cứu.
3. Nghiên cứu về Tab Advanced
Một tab quan trọng nhất của DNS Server properties cho phép ta cấu hình nhiều tính chất quan
trọng của DNS.
a. Dấu check box "disable recusion (also disable forwarders)
- Như ta nghiên cứu về forwarder khi bạn đánh dấu check box này có nghĩa là bạn sẽ không bao
giờ sử dụng việc gửi lại "do not use recusion all domain". Mặc định máy chủ DNS sẽ không tick vào
dấu check box này (hình trên là mặc định của DNS server).
b. Dấu check box "BIND secondaries"
Khi hệ thống DNS của bạn có máy chủ Linux cài BIND service lên đây cũng là dịch vụ DNS trên hệ
điều hành *nix. Việc bạn đánh dấu vào đây có nghĩa cho phép máy chủ BIND lấy dữ liệu từ Primary
zone về.
c. dấu check box "Fail on load if bad zone data" - Nếu quá trình truyền dữ liệu zone giữa
primary và secondary bị lỗi sẽ chuyền lại luôn hay không
d. dấu check box "Enable round robin"
Ví dụ máy chủ VNEXPERTS.VNE.COM có địa chỉ
LAN 1: 192.168.0.5
LAN 2: 192.168.0.6
LAN 3: 192.168.0.7
Cả ba địa chỉ này đều được dùng để cho các client trong mạng truy cập vào web nội bộ của công ty
được đặt tại máy chủ vnexperts.vne.com
Nếu các bạn không enable tính năng này:
Một client1 truy cập vào http://vnexperts.vne.com máy chủ DNS sẽ trả về địa chỉ thật là
192.168.0.5, tiếp đến máy chủ client 2 truy cập vào http://vnexperts.vne.com thì DNS vẫn trả về
địa chỉ 192.168.0.5.
Nhưng nếu enable tính năng này lên máy chủ DNS sẽ kiểm soát quá trình truy cập vào một máy
tính có nhiều card mạng (máy tính có nhiều card mạng được gọi là Multihome computer).
Một client 1 truy cập vào http://vnexperts.vne.com máy chủ cấp địa chỉ là 192.168.0.5 nhưng một
client 2 lại truy cập vào http://vnexperts.vne.com thì máy chủ sẽ cấp địa chỉ 192.168.0.6 và cứ
như vậy DNS sẽ kiểm soát quá trình truy cập vào một máy tính.
e. Dấu check box "Enable netmask ordering"
Chẳng hạn có một máy chủ với tên vnexperts.vne.com có địa chỉ là
LAN 1: 192.168.1.5
LAN 2: 192.168.2.5
LAN 3: 192.168.3.5
Một client với địa chỉ 192.168.2.53 truy cập vào http://vnexperts.vne.com máy chủ DNS sẽ cấp lại
cho client địa chỉ nào?. Nếu bạn không enable tính năng này máy chủ DNS sẽ trả lại client địa chỉ
vnexperts.vne.com là 192.168.1.5 theo đúng thứ tự ghi trên dữ liệu của DNS.
Nếu enable tính năng này máy chủ DNS sẽ so sánh địa chỉ IP của client và của vnexperts.vne.com
sau đó sẽ trả lại địa chỉ của vnexperts.vne.com là 192.168.2.5
f. Dấu check box "Secure cache against pollution"
Khi một client yêu cầu máy chủ DNS về www.microsoft.com máy chủ DNS sau khi truy vấn các
máy chủ ngoài Internet lấy được địa chỉ IP của www.microsoft.com. Sau khi có địa chỉ IP rồi máy
chủ DNS sẽ lưu lại thông tin đó vào cache, nhưng nếu không enable tính năng này chẳng hạn một
kẻ giả mạo gói tin DNS và yêu cầu máy chủ cập nhật vào cache thì máy chủ sẽ lưu. Khi enable tính
năng này thì chỉ có các địa chỉ được query thì mới lưu vào cache mà thôi.
Dấu check box "enable automatic scavenging of stale records" là tính năng xoá dữ liệu cache trong