第11章域名系統(tǒng)在TCP/IP互聯(lián)網(wǎng)中，可以使用IP 地址的32位整數(shù)識別主機。雖然這種地址能方便、緊湊地表示傳遞分組的源地址和目的地址，但是對一般用戶而言，IP 地址還是太抽象了，最直觀的表達方式也

第11章域名系統(tǒng)

在TCP/IP互聯(lián)網(wǎng)中，可以使用IP 地址的32位整數(shù)識別主機。雖然這種地址能方便、緊湊地表示傳遞分組的源地址和目的地址，但是對一般用戶而言，IP 地址還是太抽象了，最直觀的表達方式也不外乎將它分為4個十進制整數(shù)。為了使用戶能夠利用好讀、易記的字符串為主機指派名字，IP 互聯(lián)網(wǎng)采用了域名系統(tǒng)（domain name system)。

實質上，主機名是一種比IP 更高級的地址形式，主機名的管理、主機名-IP 地址映射等就是域名系統(tǒng)要解決的重要問題。

11.1互聯(lián)網(wǎng)的命名機制

互聯(lián)網(wǎng)提供主機名的主要目的是為了讓用戶更方便地使用互聯(lián)網(wǎng)。一種優(yōu)秀的命名機制應能很好地解決以下3個問題：

1）全局唯一性：一個特定的主機名在整個互聯(lián)網(wǎng)上是唯一的，它能在整個互聯(lián)網(wǎng)中通用。不管用戶在哪里，只要指定這個名字，就可以唯一地找到這臺主機。

2）便于名字管理：優(yōu)秀的命名機制應能方便地分配名字、確認名字以及回收名字。

3）高效地進行映射：用戶級的名字不能為使用IP 地址的協(xié)議軟件所接受，而IP 地址也不能為一般用戶所理解，因此，二者之間存在映射需求。優(yōu)秀的命名機制可以使域名系統(tǒng)高效地進行映射。

11.1.1層次型命名機制

命名機制可以分成兩類，一類是無層次型命名（flat naming) 機制，另一種是層次型命名(hierarchy naming)機制。

在無層次命名機制中，主機的名字簡單地由一個字符串組成，該字符串沒有進一步的結構。從理論上說，無層次名字的管理與映射很簡單。其名字的分配、確認以及回收等工作可以由一個部門集中管理。名字-地址之間的映射也可以通過一個一對一的表格實現(xiàn)。但是，隨著無層次命名機制中名字數(shù)量的增加，不但名字沖突的可能性增大，單一管理機構的工作負擔變重，而且名字的解析效率會變得越來越低。因此，無層次型命名機制只能適用于主機不經(jīng)常變化的小型互聯(lián)網(wǎng)。對于主機經(jīng)常變化、數(shù)量不斷增加的大型互聯(lián)網(wǎng)，無層次命名機制無能為力。事實上，無層次命名機制已被TCP/IP互聯(lián)網(wǎng)淘汰，取而代之的是一種層次型命名機制。

所謂的層次型命名機制就是在名字中加入結構，而這種結構是層次型的。具體地說，在層次型命名機制中，主機的名字被劃分成幾個部分，而每一部分之間都存在層次關系。實際上，在現(xiàn)實生活中經(jīng)常應用層次型命名，例如，人們郵寄信件時采用的郵件人、發(fā)件人地址(如：中華人民共和國河北省石家莊市解放路）就具有一定結構和層次。

層次型命名機制將名字空間劃分成一個樹狀結構（如圖11-1所示），樹中每一結點都有一個相應的標識符，主機的名字就是從樹葉到樹根（或從樹根到樹葉）路徑上各結點標識符的有序序列。例如， www→ nankai→edu →cn 就是一臺主機的完整名字。

圖 11-1層次型名字的樹狀結構 1

顯然，只要同一子樹下每層結點的標識符不沖突，完整的主機名絕對不會沖突。在圖11-1所示的名字樹中，盡管相同的edu 出現(xiàn)了兩次，但由于它們出現(xiàn)在不同的結點之下(一個在根結點下，一個在cn 結點下），完整的主機名不會因此而產(chǎn)生沖突。

層次性命名機制的這種特性，對名字的管理非常有利。一棵名字樹可以劃分成幾個子樹，每個子樹分配一個管理機構。只要這個管理機構能夠保證自己分配的結點名字不重復，完整的主機名就不會重復和沖突。實際上，每個管理機構可以將自己管理的子樹再次劃分成若干部分，并將每一部分指定一個子部門負責管理。這樣，對整個互聯(lián)網(wǎng)名字的管理也形成了一個樹狀的層次化結構。

在圖11-2顯示的層次化樹型管理機構中，中央管理機構將其管轄下的結點標識為com 、edu 、cn 、us 等。與此同時，中央管理機構還將其com 、edu 、cn. us的下一級標識符的管理分別授權給com 管理機構、edu 管理機構、cn 管理機構和us 管理機構。同樣，cn 管理機構又將com 、 edu、 bj、tj 等標識符分配給它的下述結點，并分別交由com 管理機構、edu

管

理機構、bj 管理機構和tj 管理機構進行管理。只要圖中的每個管理機構能夠保證其管轄的下一層結點標識符不發(fā)生重復和沖突，從樹葉到樹根（或從樹根到樹葉）路徑上各結點標識符的有序序列就不會重復和沖突，由此而產(chǎn)生的互聯(lián)網(wǎng)中的主機名就是全局唯一的。

圖11-2 名字管理機構的層次化

11.1.2 TCP/IP互聯(lián)網(wǎng)域名

在TCP/IP互聯(lián)網(wǎng)中實現(xiàn)的層次型名字管理機制叫做域名系統(tǒng)（Domain Name System,DNS)。TCP/IP互聯(lián)網(wǎng)中的域名系統(tǒng)一方面規(guī)定了名字語法以及名字管理特權的分派規(guī)則，另一方面則描述了關于高效的名字-地址映射分布式計算機系統(tǒng)的實現(xiàn)方法。

域名系統(tǒng)的命名機制叫做域名(domain name)。完整的域名由名字樹中的一個結點到根結點路徑上結點標識符的有序序

列組成，其中結點標識符之間以“. ”隔開，如圖11-1所示。域名“cs.nankai.ed u.cn”由cs 、nankai 、edu 和cn 4個結點標識符組成（根結點標識符為空，省略不寫），這些結點標識符通常被稱為標號（label), 而每一標號后面的各標號叫做域（domain) 。 在“cs.nankai.edu.cn”中，最低級的域為“cs. nankai. edu. cn”，代表計算機系；第3級域為“nankai. edu. cn",代表南開大學；第2級域為

“edu.cn”，代表教育機構；頂級域為"cn", 代表中國。 11.1.3 Internet 域名

TCP/IP域名語法只是一種抽象的標準，其中各標號的值可任意填寫，只要原則上符合層次型命名規(guī)則的要求即可。因此，任何組織均可根據(jù)域名語法構造本組織內(nèi)部的域名，但這些域名的使用當然也僅限于組織內(nèi)部。

作為國際性的大型互聯(lián)網(wǎng)，Internet 規(guī)定了一組正式的通用標準標號，形成了國際通用頂級域名，如表11-1所示。頂級域的劃分采用了兩種劃分模式，即組織模式和地理模式。前7個域對應于組織模式，其余的域對應于地理模式。地理模式的頂級域是按國家進行劃分的，每個申請加入Internet 的國家都可以作為一個頂級域，并向Internet 域名管理機構NIC 注冊一個頂級域名，如cn 代表中國、us 代表美國、uk 代表英國、jp 代表日本等。

其次，將頂級域的管理權分派給指定的子管理機構，各子管理機構對其管理的域進行繼續(xù)劃分，即劃分成二級域，并將各二級域的管理權授予給其下屬的管理機構，如此下去，便形成了層次型域名結構。由于管理機構是逐級授權的，所以最終的域名都得到NIC 承認，成為Internet 中的正式名字。

圖11-3 Internet域名結構

圖11-3列舉出了 Internet域名結構中的一部分，如頂級域名cn 由中國互聯(lián)網(wǎng)中心CNNIC 管理，它將cn 域劃分成多個子域，包括ac 、com 、edu 、 gov、net 、org 、bj 和tj 等，并將二級域名edu 的管理權授予CERNET 網(wǎng)絡中心。CERNET 網(wǎng)絡中心又將edu 域劃分成多個子域，即三級域，各大學和教育機構均可以在edu 下向CERNET 網(wǎng)絡中心注冊三級域名，如edu 下的tsinghua 代表清華大學、nankai 代表南開大學，并將這兩個域名的管理權分別授予清華大學和南開大學。南開大學可以繼續(xù)對三級域nankai 進行劃分，將四級域名分配給下屬部門或主機，如nankai 下的cs 代表南開大學計算機系，而www 和ftp 代表兩臺主機等。

表11-2列出了我國二級域名的分配情況。

表11-2 我國二級域名分配

11.2 域名解析

域名系統(tǒng)的提出為TCP/IP互聯(lián)網(wǎng)用戶提供了極大的方便。通常構成域名的各個部分（各級域名）都具有一定含義，相對于主機的IP 地址來說更容易記憶。但域名只是為用戶提供了一種方便記憶的手段，主機之間不能直接使用域名進行通信，仍然要使用IP 地址來完成數(shù)據(jù)的傳輸。所以當應用程序接收到用戶輸入的域名時，域名系統(tǒng)必須提供一種機制，該機制負責將域名映射為對應的IP 地址，然后利用該IP 地址將數(shù)據(jù)送往目的主機。

11.2.1 TCP/IP域名服務器與解析算法

那么到哪里去尋找一個域名所對應的IP 地址呢？這就要借助于一組既獨立又協(xié)作的域名服務器完成。這組域名服務器是解析系統(tǒng)的核心。

所謂的域名服務器實際上是一個服務器軟件，運行在指定的主機上，完成域名-IP 地址映射。有時候，我們也把運行域

名服務軟件的主機叫做域名服務器，該服務器通常保存著它所

管轄區(qū)域內(nèi)的域名與IP 地址的對照表。相應地，請求域名解析服務的軟件叫域名解析器。

在TCP/IP 互聯(lián)網(wǎng)中，對應于域名的層次結構。域名服務器也構成一定的層次結構，如圖11-4所示。這個樹型域名服務器的邏輯結構是域

名解析說法賴以實現(xiàn)

的基礎?？偟膩碚f，

域名解析采用自頂向

下的算法，從根服務

器開始直到葉服務

器，在其間的某個結

點上一定能找到所需

的名字-地址映射。當

然，由于父子結點的

上下管轄關系。域名圖 11-4 名字服務器層次結構示意圖 1 解析的過程只需走過

條從樹根結點開始到另一結點的一條自頂向下的單向路徑，無需回溯，更不用遍歷整個服務器樹。

但是，如果每一個解析請求都從根服務器開始，那么，到達根服務器的信息流量將隨互聯(lián)網(wǎng)規(guī)模的增大而加大。在大型互聯(lián)網(wǎng)中，根服務器有可能因負荷太重而超栽。因此，每一個解析請求都從跟服務器開始并不是一個很好地的解決方案。 實際上，在域名解析過程中，只要域名解析器軟件知道如何訪問任意一個域名服務器，而每一域名服務器都知道根服務器的IP 地址(或父結點服務器的IP 地址），域名解析就可以順利地進行。

域名解析有兩種方式，一種叫遞歸解析(recursive

resolution )，另一種叫反復解析(iterative resolution)。使用遞歸解析方式的解析器希望其請求的域名服務器能夠給出域名與IP 地址對應關系的最終答案，一次性完成全部名字-

地

址變換過程，如圖ll-5a 所示。如果解析器請求的域名服務器

保存著求域名與IP 地址

的對應關系，那么這臺服

務器直接應答解析器；否

則，該域名服務器請求其

他域名服務器幫助解析該

域名并將結果傳給自己。

在獲得最終域名與IP 地

址對應關系后，服務器將

結果傳遞給解析器。例如圖 11-5 域名解析的兩種方式 1

在圖11 -5a中，當客戶機需要解析域名www.nankai.edu.cn 時, 解析器首先向本地域名服務器A (tsinghua.edu.cn)提出請求。由于域名服務器在本地沒有找到www. nankai. edu. cn與其IP 地址的映射關系，因此服務器A 請求服務器B

(edu.cn)幫助解析該域名。與此類似，服務器B 會請求服務器

C (nankai. edu. cn)幫助解析該域名。由于www. nankai. edu. cn域名由服務器C 管理，因此服務器C 會將該域名與其IP 地址的映射關系回送給服務器B 。之后，服務器B 將得到的結果傳遞給服務器A, 由服務器A 將說終結果通知客戶機。

與遞歸解析方式不同，采用反復解析方式的解析器每次請求一個域名服務器，如果該域名服務給不出最終的答案，那么解析器再向其他的域名服務器發(fā)出請求，如圖11 -5b所示。盡管解析器每次請求的域名服務器對能給不出最終的域名與IP 地址的對應關系，但是域名服務器應該給出下次解析器請求時可以使用的域名服務器的IP 地址（例如根域名服務器的IP 地址）。解析器經(jīng)過多次反復請求，最終就可以得到請求域名與IP 地址的對應關系。在圖ll-5b 顯示的例子中，當客戶機的解析器請求本地域名服務器A (tsinghua. edu. cn)解析www.nankai.edu.cn 時，由于服務器A

沒有在本地找到該域

名與IP 地址的對應關

系，因此它返回了一

個可能知道該映射關

系的域名服務器地址

（服務器B 的地

址）。于是，解析器

向服務器B (edu.cn)

再次發(fā)出請求。當服

務器B 返回域名服務

器C

(nankai.edu.cn）可圖 11-5 域名解析的兩種方式 2

能存有www. nankai. edu. cn與其IP 地址的對應關系后，解析器向域名服務器C 發(fā)出請求。由于www. nankai. edu. cn域名由服務器C 管理，因此服務器C 直接將結果傳送給客戶機的解析器。

圖11-6描述了一個簡單的域名解析過程。其中，構造的域名請求報文包含有需要解析的域名及希望使用何種方式解析域名。