CN 域名解析服務(wù)的體系結(jié)構(gòu)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）技術(shù)部 苑衛(wèi)國 孫國念1. 引言（1） 域名服務(wù)的基本概念域名解析系統(tǒng)DNS （domain Name System）是由主機名解析方案

CN 域名解析服務(wù)的體系結(jié)構(gòu)

中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）技術(shù)部 苑衛(wèi)國 孫國念

1. 引言

（1） 域名服務(wù)的基本概念

域名解析系統(tǒng)DNS （domain Name System）是由主機名解析方案發(fā)展出來的一種新的名字的解析機制。1984年9月，ARPANET 開始使用DNS ，從此DNS 成為訪問主機名到IP 地址映射的標(biāo)準(zhǔn)方法。Internet 上最常用的DNS 服務(wù)器是BIND （Berkeley Internet Name Domain ）軟件，目前BIND 最新的發(fā)行版本是9.3.1。

域名系統(tǒng)將主機名解析成IP 地址使用到一個全局的、層次性的分布式數(shù)據(jù)庫系統(tǒng)。該系統(tǒng)包含了Internet 上所有域名及IP 的對應(yīng)信息。數(shù)據(jù)庫的層次性允許將域名空間劃分成獨立的管理部分，并稱為域（Domain ）。數(shù)據(jù)庫的分布式特性則允許將數(shù)據(jù)庫的各個不同的部分分配到不同網(wǎng)絡(luò)上的域名服務(wù)器上，這樣各域名服務(wù)器可以實現(xiàn)獨立的管理。

DNS 的域是一種分布式的層次結(jié)構(gòu)系統(tǒng)，這種結(jié)構(gòu)非常類似于UNIX 文件系統(tǒng)的層次結(jié)構(gòu)，根的名字以空標(biāo)簽（“”）表示，并稱為根域（root domain ）。圖1所給出的結(jié)構(gòu)是典型的例子。根域的下一級是頂級域。頂級域有兩種劃分方法：地理域和通用域。地理域是為世界上每個國家或地區(qū)設(shè)置的，由ISO-3166定義，如中國是cn ，美國是us ，日本是jp 。通用域是指按照機構(gòu)類別設(shè)置的頂級域，主要包括：com （商業(yè)組織）；edu （教育機構(gòu)）等。另外隨著互聯(lián)網(wǎng)的不斷發(fā)展，新的通用頂級域名也根據(jù)實際需要不斷被擴充到現(xiàn)有的域名體系中來，新增加的通用頂級域名是biz(商業(yè)) ，info(信息行業(yè)) 等。在頂級域名下，還可以再根據(jù)需要定義次一級的域名，如在我國的頂級域名cn 下又設(shè)立了com ，net ，org ，gov ，edu ，ac 以及我國各個行政區(qū)劃的字母代表如bj 代表北京，sh 代表上海等。

圖1 域名體系層次結(jié)構(gòu)

域名空間是指表示DNS 這個分布式數(shù)據(jù)庫的逆向樹型層次結(jié)構(gòu)，完整域名由從樹葉節(jié)點到根節(jié)點的一條路徑的所有節(jié)點以分隔符“.”按順序連接而成，如www.sina.com.cn ., 其中“.”代表根域（當(dāng)“.”出現(xiàn)在域名的最右邊時，實際上還表示其右邊有代表根的空標(biāo)簽“”；也可以用最右邊的“.”來表示根），“cn”為頂級域，“com”為二級域，“sina”為三級域，“www”為主機名。

DNS的服務(wù)管理層次結(jié)構(gòu)允許將整個域名空間的管理任務(wù)分成多份，分別由每個子域自行進行管理，被委托子域有自己的域名服務(wù)器，該服務(wù)器維護屬于該子域的所有主機信息，父域的域名服務(wù)器不保留子域的所有信息，而只保留指向子域的指針。域和子域的實際信息包含在區(qū)數(shù)據(jù)文件（zonefile ）中，域和子域指域名空間的邏輯分區(qū)，區(qū)指域名服務(wù)器含有的域名空間中的某一部分的完整信息，一個域內(nèi)可以有多個區(qū)。區(qū)數(shù)據(jù)文件是一套包含某個域內(nèi)機器信息的文本，它的格式是資源記錄（resource record ）。這些記錄中表示主機和它的IP 的映射方法。大部分的資源記錄如下：Name [TTL] class type data。其中Name 是域名。TTL 域表示“生存時間”，它是告訴域名服務(wù)器隔多長時間更新一次記錄。Class 域說明記錄屬于的等級，一般是IN ，表示Internet 數(shù)據(jù)。Type 域指出記錄的類型。Data 域保存資源記錄要求的參數(shù)。主要的資源記錄如下表：

表1主要的資源記錄的類型

（2） 域名服務(wù)器

域名的解析過程是域名解析服務(wù)器完成的，采用的客戶機/服務(wù)器模式。在域名服務(wù)器上運行一個服務(wù)進程（在UNIX 系統(tǒng)中一般為named 進程），該進程進行名字對IP 地址的解析。域名服務(wù)器中存儲一個區(qū)或多個區(qū)中主機的信息。

通常在一個區(qū)內(nèi)設(shè)置多臺服務(wù)器，這樣做的目的主要是為了提高域名解析系統(tǒng)的可靠性，就是當(dāng)其中有某臺域名服務(wù)器出現(xiàn)故障時，所有的域名請求能夠轉(zhuǎn)發(fā)給其他的域名服務(wù)器；另外可以將域名請求的平均地分擔(dān)到多臺服務(wù)器上，提高整個系統(tǒng)域名解析的能力和解析的效率，并且可以根據(jù)需要將多臺域名服務(wù)器放置到不同的地方，可以為用戶提供地理位置的就近解析。

在一個區(qū)內(nèi)具有多臺域名服務(wù)器時，域名服務(wù)器包括主域名服務(wù)器和輔域名服務(wù)器，主域名服務(wù)器直接從本地的區(qū)數(shù)據(jù)文件（zonefile ）中加載本區(qū)的信息，區(qū)數(shù)據(jù)文件中包含了服務(wù)器所在區(qū)內(nèi)的主機的主機名和它們相應(yīng)的IP 地址；而輔域名服務(wù)器則在啟動時與負責(zé)本區(qū)的主域名服務(wù)器進行聯(lián)系，經(jīng)過一個“區(qū)內(nèi)傳輸”的過程復(fù)制主服務(wù)器的數(shù)據(jù)庫。此后，將周期性的查詢主域名服務(wù)器的數(shù)據(jù)是否被修改，以保持自己數(shù)據(jù)庫中的數(shù)據(jù)是最新版本。

2．CN 域名服務(wù)的解析的原理和過程

在介紹了域名服務(wù)體系的層次結(jié)構(gòu)合域名服務(wù)器的相關(guān)概念后，我們可以比較容易的理解CN 域名解析的工作原理和過程，其工作原理及過程分下面幾個步驟：

第一步：用戶提出域名解析請求，并將該請求發(fā)送給本地的域名服務(wù)器。

第二步：當(dāng)本地的域名服務(wù)器收到請求后，就先查詢本地的緩存，如果有該紀錄項，則本地的域名服務(wù)器就直接把查詢的結(jié)果返回。

第三步：如果本地的緩存中沒有該紀錄，則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域(根的子域，如CN) 的主域名服務(wù)器的地址。

第四步：本地服務(wù)器再向上一步驟中所返回的域名服務(wù)器發(fā)送請求，然后收到該請求的服務(wù)器查詢其緩存，返回與此請求所對應(yīng)的記錄或相關(guān)的下級的域名服務(wù)器的地址。本地域名服務(wù)器將返回的結(jié)果保存到緩存。

第五步：重復(fù)第四步，直到找到正確的紀錄。

第六步：本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時還將結(jié)果返回給客戶機。

下面的例子來形象地說明一個CN 域名解析的過程。假設(shè)客戶機想獲得域名“www.sina.com.cn”的服務(wù)器的IP 地址，此客戶本地的域名服務(wù)器是nm.cnnic.cn （159.226.1.8），域名解析的過程如下所示：

(1)客戶機發(fā)出請求解析域名www.sina.com.cn 的報文。

(2)本地的域名服務(wù)器收到請求后，查詢本地緩存，假設(shè)沒有該紀錄，則本地域名服務(wù)器nm.cnnic.cn 則向根域名服務(wù)發(fā)出請求解析域名www.sina.com.cn 。

(3)根域名服務(wù)器收到請求后，判斷該域名屬于.cn 域，查詢到6條NS 記錄及相應(yīng)的A 記錄（或AAAA 記錄，IPv6使用），得到如下結(jié)果并返回給服務(wù)器nm.cnnic.cn ：

cn. 172800 IN NS NS.CNC.AC.cn.

cn. 172800 IN NS DNS2.CNNIC.NET.cn.

cn. 172800 IN NS NS.CERNET.NET.

cn. 172800 IN NS DNS3.CNNIC.NET.cn.

cn. 172800 IN NS DNS4.CNNIC.NET.cn.

cn. 172800 IN NS DNS5.CNNIC.NET.cn.

NS.CNC.AC.cn. 172800 IN AAAA 2001:dc7::1

NS.CNC.AC.cn. 172800 IN A 159.226.1.1

DNS2.CNNIC.NET.cn. 172800 IN AAAA 2001:dc7:1000::1

DNS2.CNNIC.NET.cn. 172800 IN A 202.97.16.196

NS.CERNET.NET. 172800 IN A 202.112.0.44

DNS3.CNNIC.NET.cn. 172800 IN A 210.52.214.84

DNS4.CNNIC.NET.cn. 172800 IN A 61.145.114.118

DNS5.CNNIC.NET.cn. 172800 IN A 61.139.76.53

(4)域名服務(wù)器nm.cnnic.cn 收到回應(yīng)后，先緩存以上結(jié)果，再向.cn 域的服務(wù)器之一如NS.CNC.AC.cn 發(fā)出請求解析域名www.sina.com.cn 的報文。

(5)域名服務(wù)器 NS.CNC.AC.cn收到請求后，判斷該域名屬于.com.cn 域，開始查詢本地的記錄，找到如下6條NS 記錄及相應(yīng)的A 記錄：

com.cn. 172800 IN NS sld-ns1.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns2.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns3.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns4.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns5.cnnic.net.cn.

com.cn. 172800 IN NS cns.cernet.net.

cns.cernet.net. 68025 IN A 202.112.0.24

sld-ns1.cnnic.net.cn. 172800 IN A 159.226.1.3

sld-ns2.cnnic.net.cn. 172800 IN A 202.97.16.197

sld-ns3.cnnic.net.cn. 172800 IN A 210.52.214.85

sld-ns4.cnnic.net.cn. 172800 IN A 61.145.114.119

sld-ns5.cnnic.net.cn. 172800 IN A 61.139.76.54

然后將這個結(jié)果返回給服務(wù)器nm.cnnic.cn 。

（6）域名服務(wù)器nm.cnnic.cn 收到回應(yīng)后，先緩存以上結(jié)果，再向.com.cn 域的服務(wù)器之一如sld-ns1.cnnic.net.cn. 發(fā)出請求解析域名www.sina.com.cn 的報文。

(7) 域名服務(wù)器sld-ns1.cnnic.net.cn. 收到請求后，判斷該域名屬于.sina.com.cn 域，開始查詢本地的記錄，找到3條NS 記錄及對應(yīng)的A 記錄：

sina.com.cn. 43200 IN NS ns1.sina.com.cn.

sina.com.cn. 43200 IN NS ns2.sina.com.cn.

sina.com.cn. 43200 IN NS ns3.sina.com.cn.

ns1.sina.com.cn. 43200 IN A 202.106.184.166

ns2.sina.com.cn. 43200 IN A 61.172.201.254

ns3.sina.com.cn. 43200 IN A 202.108.44.55

然后將結(jié)果返回給服務(wù)器nm.cnnic.cn 。

（8）服務(wù)器nm.cnnic.cn 收到回應(yīng)后，先緩存以上結(jié)果，再向sina.com.cn 域的域名服務(wù)器之一如ns1.sina.com.cn. 發(fā)出請求解析域名www.sina.com.cn 的報文。

(9) 域名服務(wù)器 ns1.sina.com.cn.收到請求后，開始查詢本地的記錄，找到如下CNAME 記錄及相應(yīng)的A 記錄，附加的NS 記錄及相應(yīng)的A 記錄：

www.sina.com.cn. 60 IN CNAME jupiter.sina.com.cn.

jupiter.sina.com.cn. 60 IN CNAME libra.sina.com.cn.

libra.sina.com.cn. 60 IN A 202.106.185.242

libra.sina.com.cn. 60 IN A 202.106.185.243

libra.sina.com.cn. 60 IN A 202.106.185.244

libra.sina.com.cn. 60 IN A 202.106.185.248

libra.sina.com.cn. 60 IN A 202.106.185.249

libra.sina.com.cn. 60 IN A 202.106.185.250

libra.sina.com.cn. 60 IN A 61.135.152.65

libra.sina.com.cn. 60 IN A 61.135.152.66

libra.sina.com.cn. 60 IN A 61.135.152.67

libra.sina.com.cn. 60 IN A 61.135.152.68

libra.sina.com.cn. 60 IN A 61.135.152.69

libra.sina.com.cn. 60 IN A 61.135.152.70

libra.sina.com.cn. 60 IN A 61.135.152.71

libra.sina.com.cn. 60 IN A 61.135.152.72

libra.sina.com.cn. 60 IN A 61.135.152.73

libra.sina.com.cn. 60 IN A 61.135.152.74

sina.com.cn. 86400 IN NS ns1.sina.com.cn.

sina.com.cn. 86400 IN NS ns2.sina.com.cn.

sina.com.cn. 86400 IN NS ns3.sina.com.cn.

ns1.sina.com.cn. 86400 IN A 202.106.184.166

ns2.sina.com.cn. 86400 IN A 61.172.201.254

ns3.sina.com.cn. 86400 IN A 202.108.44.55

并將結(jié)果返回給服務(wù)器nm.cnnic.cn 。

(10)服務(wù)器nm.cnnic.cn 將得到的結(jié)果保存到本地緩存, 同時將結(jié)果返回給客戶機。這樣就完成了一次域名解析過程，下圖描述了解析的過程：

圖2 www.sina.com.cn 域名解析過程

3.CN 域名解析服務(wù)的結(jié)構(gòu)

CNNIC作為中國的國家頂級域名CN 的注冊管理機構(gòu)，負責(zé)著CN 域名根服務(wù)器運行。為提高系統(tǒng)DNS 系統(tǒng)解析的可靠性和效率，CN 頂級域（“cn”域）和CN 二級域（包括“com.cn”等39個，參見參考資料3，下同）的域名服務(wù)器采用了多臺域名解析服務(wù)器放置在我國不同地區(qū)。

(1) CN域名服務(wù)器的主輔更新關(guān)系

CNNIC有6臺“cn”域服務(wù)器用以提供正式DNS 服務(wù)。CN 二級域也有6臺服務(wù)器用做DNS 正式服務(wù) 。主輔更新關(guān)系見圖3、圖4。

圖3“cn”域主輔數(shù)據(jù)更新關(guān)系

圖4 CN二級域主輔數(shù)據(jù)更新關(guān)系

(2) CN域名解析區(qū)數(shù)據(jù)文件的更新

“cn”域和CN 二級域的主DNS 服務(wù)器從區(qū)文件服務(wù)器取得數(shù)據(jù)文件，檢查數(shù)據(jù)文件以確保正確后，然后加載數(shù)據(jù)文件，完成“cn”域和39個二級域的更新。

參考資料

1. RFC1034, RFC1035

2. ISO-3166-3, 1999，參考網(wǎng)頁：

3. 《信息產(chǎn)業(yè)部關(guān)于中國互聯(lián)網(wǎng)絡(luò)域名體系的公告》，2002.11.22，參考網(wǎng)頁：

4. DNS and BIND （第四版的中譯本）Paul Albitz &Cricket Liu 著 雷迎春等譯 中國電力出版社 2002

5. BIND官方網(wǎng)站(http://www.isc.org)

6. UNIX 網(wǎng)絡(luò)管理實用教程 徐國平等編著 清華大學(xué)出版社 2002