《网络安全》网络安全2.ppt

《《网络安全》网络安全2.ppt》由会员分享，可在线阅读，更多相关《《网络安全》网络安全2.ppt（90页珍藏版）》请在三一办公上搜索。

1、网络安全网络安全-2,网络安全网络安全-2,网络安全 第2讲 TCPIP深入理解,ISO-OSI RM,物理层：信息实际如何传送？ 缆线，信号的编码，网络接插件的电、机械接口,数据链路层：每一步该怎么走？ 成帧，差错控制、流量控制，物理寻址，媒体访问控制,网络层：数据如何到达对方？ 路由、转发，拥塞控制,传输层：对方在何处？ 为会话层提供与下面网络无关的可靠消息传送机制,会话层：论到哪方传输，从何处开始传输 ？ 负责建立（或清除）在两个通信的表示层之间的通信通道，包括交互管理、同步，异常报告。,表示层：对方看起来像什么？ 在两个应用层之间的传输过程中负责数据的表示语法,应用层：做什么？ 处理应

2、用进程之间所发送和接收的数据中包含的信息内容。,网络安全 第2讲 TCPIP深入理解ISO-OSI RM物理,网络安全 第2讲 TCPIP深入理解,TCPIP协议体系,网络安全 第2讲 TCPIP深入理解TCPIP协议体系OSI,网络安全 第2讲 TCPIP深入理解,相同点：1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。不同点：1.在OSI模型中，严格地定义了服务、接口、协议；在TCP/IP模型中，并没有严格区分服务、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信，但在传输层只支持面向连接的通信；TCP/IP模型只支持非连接的网络层通信，但在传输层有支

3、持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。,网络安全 第2讲 TCPIP深入理解相同点：,6/19/2003,Internet安全协议及标准,Page:5,TCP/IP工作方式,Internet安全协议及标准Page:7TCP/IP工作方,6,某公司进行网络改造后，发现有一台客户端在调整办公室后无法访问服务器。故障解决思路与步骤由出错情况可知，由于其他客户端可以访问服务器，只有一个客户端无法访问，可以确定服务器的应用程序是没有问题的，所以采用“从下至上”的方法排除网络故障，即从物理层开始。,8某公司进行网络改造后，发现有一台客户端在调

4、整办公室后无法访,7,物理层检查检查客户端网络的物理连接是否正常，查看网线是否与墙上端口和设备相连，连接点是否牢靠？经检查1没有问题，检查交换机端口的工作状态。一般来说，针对严格管理的标准布线环境，有完备的网络记录文档。由此可以查找到出现问题客户端使用的墙上插座端口号为A201，而且知道A201号口与交换机2号口相连。,7,9物理层检查9,8,现场查看交换机端口的指示灯状态是否正常；一般持续绿色代表链路正常运行，闪烁绿色表示正在发送或者接收数据。远程登录到交换机，使用show ip interface brief命令查看其端口是否工作正常Interface IP-Address OK? Met

5、hod Status protocol G1/0/2 unassigned YES unset up up由以上信息可知，端口状态和协议都工作在up状态，这证明此终端到交换机的线缆连接是正常的，初步可以排除是物理层的问题。,10现场查看交换机端口的指示灯状态是否正常；一般持续绿色代,9,数据链路层检查第二层的关键是MAC地址，通过对照交换机接口上的MAC地址和客户端的MAC地址是否相同，可以排除施工时网络记录文档是否出现问题。使用：show mac address-table interface g1/0/2 Vlan Mac Address Type Ports 10 0014.2275.5

6、7ac DYNAMIC Gi1/0/2可以显示连接此接口计算机的MAC地址信息。再在客户端上查看本机的MAC地址，如果不匹配则说明交换机上的接口并不是真的连接了这台客户端。,11数据链路层检查,10,网络层检查在客户端使用IPCONFIG/ALL命令进行检查Ethernet adapter 本地连接Dhcp Enabled . : Yes IP address : 10.10.2.41 DHCP Server : 10.88.56.1 可以看到PC有IP地址，但是这个地址对吗？通过IP地址为10.88.56.1的DHCP服务器可以获得10.10.x.x范围内的地址吗？DHCP服务器分发的IP地

7、址不属于子网。这种问题多出现在PC从某个子网移动到另一个子网时，PC依然请求旧的IP地址，从而产生问题。,12网络层检查,11,解决方法让PC的网络接口租用的IP地址重新交付给DHCP服务器（即归还IP地址）。IPCONFIG/RELEASEIPCONFIG/RENEW此时PC就会获得正确的IP地址,13 解决方法,12,解读下面这段话：总公司的LAN骨干使用千兆网络，各地分公司的WAN连接是DDN专线接入；总公司各办公室都提供高速有线网络接入，另外，在休息厅和阅览室设置了无线网络；总公司建立了大型的SAN存储网络，所有的销售人员都可以通过VPN访问方式从外部网络访问内部网络服务，经过安全审核

8、后经授权的员工还可以访问SAN中的核心数据。,14解读下面这段话：,13,LAN、WAN、MAN：根据地理覆盖范围的大小，可以将计算机网络分为局域网、广域网和城域网。局域网（Local Area Network）：是一个数据通信系统，其传输范围是中等地理区域，它具有高数据传输速率。城域网（Metropolitan Area Network）：它的地理范围是一个城市及其郊区，主要应用于大中型城市地区，基于LAN和WAN之间。,15LAN、WAN、MAN：,14,LAN、WAN、MAN：广域网（Wide Area Network）：在一个广泛地理范围内建立的计算机通信网，范围可以超越城市和国家。在

9、实际应用中，LAN可与WAN互联，或通过WAN与位于其他地点的WAN/LAN互联，这时LAN就成为WAN上的一个端系统。WAN传输距离远，拓扑结构复杂，由此带来的问题是路由选择的复杂性。另外，它的传输速率与LAN相比较低。,16LAN、WAN、MAN：,15,17,16,解读下面这段话：总公司的LAN骨干使用千兆网络，各地分公司的WAN连接是DDN专线接入；总公司各办公室都提供高速有线网络接入，另外，在休息厅和阅览室设置了无线网络；总公司建立了大型的SAN存储网络，所有的销售人员都可以通过VPN访问方式从外部网络访问内部网络服务，经过安全审核后经授权的员工还可以访问SAN中的核心数据。,18解

10、读下面这段话：,17,有线网络&无线网络：有线网络：提供LAN中各种设备间的高速连接，有线网络的连接介质可分为两类：金属导体，如同轴电缆，双绞线，利用铜和铁等金属导体的电流变化来传输数据。以光纤维代表的透明玻璃或塑胶绳媒体，它们利用光波来传输数据。无线网络：使用无线射频（RF）技术通过空中接口来收发数据，通常将这种采用无线传输数据或媒体的计算机网络称为无线局域网。要实现合理的网络传输和覆盖，必须将有线与无线，空中与地面相结合，取长补短。,19有线网络&无线网络：,18,解读下面这段话：总公司的LAN骨干使用千兆网络，各地分公司的WAN连接是DDN专线接入；总公司各办公室都提供高速有线网络接入，

11、另外，在休息厅和阅览室设置了无线网络；总公司建立了大型的SAN存储网络，所有的销售人员都可以通过VPN访问方式从外部网络访问内部网络服务，经过安全审核后经授权的员工还可以访问SAN中的核心数据。,20解读下面这段话：,19,外部网络&内部网络：内部网络和外部网络是利用网络边界的节点进行分类，以确定私有网络和公共网络的界线的一种描述方法。内部网络（Intranet）是建立在企业内部的Internet，它采用防止外界侵入的安全措施，将Internet技术运用到企业内部的信息系统中，以企业员工为服务对象，构建企业级的信息集成和信息服务。外部网络（Extranet）的信息交流着眼于企业外部。,21外部

12、网络&内部网络：,20,SANSAN是一种存储设备网络，实现的方式之一是通过光纤通道连接完成的。SAN类似于LAN体系结构，它可以通过HUB、Switch、控制器来连接各种设备。SAN使Server可以与存储设备（如磁盘子系统和磁带库）建立多个直接连接。,22SAN,21,基本形式的SAN网络,HBA（Host Bus Adapter）：主机总线适配器，是一个在server和存储装置间提供I/O处理和物理连接的电路板和/或集成电路适配器。,23基本形式的SAN网络HBA（Host Bus Adap,22,VPNVirtual Private Network 虚拟专用网采用一种称为“隧道”或“数

13、据封装”的技术解决企业员工需要通过Internet访问企业内部服务器的问题。它可以通过特殊的加密通讯协议在连接在Internet上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就如同架设了一条专线，但是并不需要真正的去铺设线路。VPN被定义为通过一个公用网络建立一个临时的、安全的连接。VPN的核心是利用公共网络建立一个物理上不存在的虚拟的私有网。,24VPN,23,其他服务：www、ftp,MRTG：定义、安装,视频服务：相关概念、配置,邮件服务：名词、相关协议、传递方式、配置,Proxy：定义、工作流程、配置,DNS：定义、工作流程、实例,网络设备：概述、路由与交换、NAT、实例

14、,主要内容,校园网概述：网络说明、IP地址范围、网络拓扑结构,25 其他服务：www、ftp MRTG：定义,24,校园网概述 网络说明,吉林大学校园网始建于1995年， 在五校区网络整合完成后已成为国内覆盖面积最大的校园计算机网络。校园网采用多层次树型结构。分布在市内各个方位的五校区局域网，通过光纤线路互连，形成双千兆带宽的校园网主干，使吉林大学校园网具备了城域网的规模。 在各个校区，主要楼宇通过千兆连接到校区主节点，其它楼宇百兆上连。在广域网方面， 校园网通过1200兆光纤连接到位于吉林大学内的教育网吉林省主节点， 后者目前与教育网东北节点以2.5G互连。 在网络服务方面，校园网50多台服

15、务器以及学校各部门20多台服务器共同提供形式多样的服务。包括WWW、文件下载、电子邮件、代理服务、虚拟主机、个人主页、BBS、视频点播、电视转播、教学管理系统、财务管理系统、图书馆书目查询系统、科技文献全文检索系统等。作为中国第二代互联网计划CNGI-6IX和第二代中国教育和科研网CERNET-II的节点学校之一，吉林大学IPv6网络已经于2004年12月23日全面开通， 并与CERNET-II以及国外INTERNET-II网络实现互联。 校内所有路由设备已经升级，全面支持Ipv6相关协议，具备了向全体师生提供Ipv6相关服务的条件。截至到2013年03月12日12时,吉林大学校园网入网计算机

16、总数为 77706台.,26校园网概述 网络说明吉林大学校园网始建于1995年，,25,校园网概述 IP地址范围（1）,Cernet: 202.198.16.0 - 202.198.31.255 202.198.32.0 - 202.198.47.255 202.198.48.0 - 202.198.63.255 202.198.64.0 - 202.198.79.255 202.198.144.0 - 202.198.159.255 202.198.160.0 - 202.198.175.255 219.217.0.0 - 219.217.15.255 219.217.48.0 - 219.

17、217.63.255 59.72.0.0 - 59.72.127.255 202.127.245.0 - 202.127.245.255 222.27.64.0 - 222.27.95.255,Cncnet: 202.98.13.0 - 202.98.13.255 202.98.17.0 - 202.98.17.255 202.98.18.0 - 202.98.18.127 202.98.18.224 - 202.98.18.255 202.111.177.224 -202.111.177.255Chinanet:222.168.43.160 - 222.168.43.191,27校园网概述

18、IP地址范围（1）Cernet: Cnc,26,校园网概述 IP地址范围（2）,中国教育和科研计算机网CERNET是由国家投资建设，教育部负责管理，清华大学等高等学校承担建设和管理运行的全国性学术计算机互联网络。它主要面向教育和科研单位，是全国最大的公益性互联网络。1996年被国务院确认为全国骨干网。它分四级管理，分别是全国网络中心、地区网络中心和地区主结点、省教育科研网、校园网。CERNET全国网络中心设在清华大学，负责全国主干网的运行管理。地区网络中心和地区主结点分别设在清华大学、北京大学、北京邮电大学、上海交通大学、西安交通大学、华中科技大学、华南理工大学、电子科技大学、东南大学、东北大

19、学等10所高校，负责地区网的运行管理和规划建设。,28校园网概述 IP地址范围（2）中国教育和科研计算机网,27,27,校园网概述 网络拓扑图 20081016（2）,2929校园网概述 网络拓扑图 20081016（2）,28,校园网概述 网络拓扑图 20081016（3）,30校园网概述 网络拓扑图 20081016（3）,29,网络设备 概述（1）,31网络设备 概述（1）,30,网络设备 概述（2）,32网络设备 概述（2）,31,网络设备 概述（3）,33网络设备 概述（3）高速同步串口：主要用于连接DD,32,网络设备 路由与交换,路由和交换是网络世界中两个重要的概念。传统的交换发

20、生在网络的第二层，即数据链路层， 而路由则发生在第三层，网络层。所以传统意义上的交换机是OSI参考模型第二层的设备， 也就是数据链路层的设备， 交换机根据每一个数据包中的目的MAC地址作简单的转发，转发决策并不需要判断数据包深层的其他信息。而路由器是OSI参考模型第三层的设备，也就是网络层的设备，它负责检查进入的分组，为它们选择通过网络的最佳路径，然后将它们交换到合适的输出端口上。这是传统意义上的路由和交换。现在，路由的智能和交换的性能被有机的结合起来，三层交换机和多层交换机在网络中已经大量使用。,34网络设备 路由与交换路由和交换是网络世界中两个重要的,33,网络设备 NAT,NAT英文全称

21、是Network Address Translation，也就是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP地址的使用。,35网络设备 NATNAT英文全称是Network Ad,34,网络设备 NAT原理,NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问

22、题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。,36网络设备 NAT原理NAT技术能帮助解决令人头痛的I,35,网络设备 NAT类型,静态NAT（Static NAT）动态地址NAT（Pooled N

23、AT）网络地址端口转换NAPT（PortLevel NAT）静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。,37网络设备 NAT类型静态NAT（Static NAT,36,网络设备 NAT应用,NAT技术可以让区域网路中的所有机器经由一台通往Internet的server 线出去，而且只需要注册该server的一个IP就够了。最简单的NAT设备

24、有两条网络连接：一条连接到Internet，一条连接到专用网络。专用网络中使用私有IP地址（有时也被称做Network 10地址，地址使用留做专用的从10.0.0.0开始的地址）的主机，通过直接向NAT设备发送数据包连接到Internet上。与普通路由器不同，NAT设备实际上对包头进行修改，将专用网络的源地址变为NAT设备自己的Internet地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。,38网络设备 NAT应用NAT技术可以让区域网路中的所有,路由协议,Internet 路由选择的树状结构:,路由协议Internet 路由选择的树状结构:自治系统自治系,自治系统（ASA

25、utonomous System)：包括多个网络和非核心网关，并通过唯一的核心网关与主干网相连。通过它进入主干网（核心系统）。AS的建立是为了便于扩展并减 轻 主干网路由信息更新的过大开销。核心网关由Internet网络操作中心统一管理，非核心网关由本地管理路由信息的交换： 1. 自治系统要通过系统内一个授权的非核心网关向所属核心网关报告本地路由信息，核心网关也要通过它报告主干网路由信息。(外部网关协议EGPExternal Gateway Protocol. 如EGP,BGP)2.核心网关之间相互交换路由信息。(核心网关协议GGPGateway-Gateway Protocol).3.自治系

26、统是独立的。其内部可采用自己的路由协议。（内部网关协议IGPInternal Gateway Protocol 如OSPF, RIP, IGRP 等）信任关系：为减轻自治系统对主干网的依赖，提高系统的可靠性，一些自治系统间可直接建立联系，交换路由信息，而不必通过主干网。（称信任关系）路径 ：本地网络将数据发送到核心网关，进入主干网，再通过核心网关送到目的主机所在的自治系统，然后由内部路由到达目的主机。,自治系统（ASAutonomous System)：包括多,39,网络设备 实例（1）,CISCO学院实验室网络拓扑图,41网络设备 实例（1）CISCO学院实验室网络拓扑图,40,网络设备 实

27、例（2）,User Access VerificationPassword : LAB_A User EXEC modeLAB_A enableLAB_A# Privileged EXEC modeLAB_A# configure terminalGlobal configuration modeLAB_A(config)#LAB_A(config)# interface FastEthernet0/1 配置接口LAB_A(config-if)# ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxxLAB_A(config-if)# exitLAB_A(conf

28、ig)#LAB_A(config)# router rip 配置路由协议LAB_A(config-router)# network 201.100.11.0LAB_A(config-router)# network 202.198.31.0LAB_A(config-router)# exitLAB_A(config)#LAB_A(config)# ip host dns 202.198.16.3 配置DNSLAB_A(config)# exitLAB_A# show running-configLAB_A# ping dns 检查配置并测试连接性LAB_A# copy running-conf

29、ig startup-config 保存配置,42网络设备 实例（2）User Access Veri,41,网络设备 实例（3）,43网络设备 实例（3）,42,DNS 定义（1）,DNS，Domain Name System，域名系统。在一个TCP/IP架构的网络环境中，DNS是一个非常重要而且常用的系统。主要的功能是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。它包括正向解析和逆向解析。正向解析指将主机域名解析为对应的IP地址的过程。反向解析指由指定的IP地址解析出对应的主机域名。,44DNS 定义（1）DNS，Domain Name S,43,DNS

30、定义（2）,DNS是属于分层的（Hierarchical）分布式数据库（Distributed Database）体系结构，虽然每台DNS服务器只负责某些范围的域名解析工作，但是它最大的长处是：可将世界上分散在各地的DNS集合而成为一个逻辑上的数据库。因为没有一台DNS服务器可以容纳世界上所有主机的资料记录，所以就必须通过DNS服务器间的查询和缓存记忆来分享资料，以便响应来自客户端的域名解析请求。例如：吉林大学的Domain Name为，这个Domain Name当然不是凭空而来的，是从所分配下来。又是从.cn授予的。.cn是从哪里来的呢？答案是从“.”，也就是所谓的“根域”（root dom

31、ain）来的。根域已经是Domain Name的最上层。而“.”这层是由InterNIC（Internet Network Information Center，互联网信息中心）所管理。全世界的Domain Name就是这样，一层一层的授予下来。,45DNS 定义（2）DNS是属于分层的（Hierarc,网络安全 第2讲 TCPIP深入理解,域名解析算法图 ：,网络安全 第2讲 TCPIP深入理解域名解析算法图 ：,45,DNS 工作流程（1）,例：查询Domain Name为时，DNS Server处理如下：,47DNS 工作流程（1）例：查询Domain Name,46,DNS 工作流程（

32、2）,客户端向服务器提出查询项目；当被询问到有关本域名之内的主机名称的时候，DNS服务器会直接做出回答； 如果所查询的主机名属于其它域名，会检查快取记忆体(Cache)查看是否有相关资料；如果没有发现，则会转向 root 服务器查询； root 服务器会将该域名之下一层授权(authoritative)服务器的地址告知(可能会超过一台)；然后本地服务器会向其中的一台服务器查询，并将这些服务器名单存到记忆体中，以备将来之需(省却再向 root 查询的步骤)； 远方服务器回应查询；若该回应并非最后一层的答案，则继续往下一层查询，直到获得客户端所要查询的结果为止；将查询结果返回给客户端，并同时将结果

33、储存一个备份在自己的快取记忆里面；如果在存放时间尚未过时之前再接到相同的查询，则以存放于快取记忆里面的资料来做回应。,48DNS 工作流程（2）客户端向服务器提出查询项目；,47,DNS 基础知识（1）,Domain（域/网域） 将整个internet 分成许多的domain，每个domain下又可细分为许多domain，然后这些细分的domain视实际需求又可再细分成许多domain一直循环下去。基本上每个domain內的mapping由一部主机负责管理。顶级域名（toplevel domain）： 域名级数是从右至左，按照“.”分开的部分数确定的，有几个部分就是几级。“顶级域名”即“一级域

34、名”，如.com表示商业机构；另外也包括以地理域名命名的顶级域名，如国家顶级域名，.aa表示南极洲；.cn表示中国等。,49DNS 基础知识（1）Domain（域/网域）,48,DNS 基础知识（2）,Name Server负责记录forward/reverse mapping的机器会执行一个叫name server的软件，透过这个软件回应来自其他机器对domain name或IP的查询。zone & domain每个domain交由一个机器负责，其实更精确地说应该是每个zone交由一个 name server来负责，所谓zone就是把一个domain扣掉分给下层负责的部分，剩下来的部分就是z

35、one。,50DNS 基础知识（2）Name Server,49,DNS 基础知识（3）,Primary/Secondary（master/slave）如果zone交由一部name server管理，万一这个name server 当掉，可能造成INTERNET上其它机器无法取得属于这个zone的资料（就是domain name和ip mapping）。为了避免这种情况，我们可以把这个zone的资料同时交给多部name server负责。原本的这部被称为primary name server，其它的被称为 secondary name server。Secondary name server会

36、定期将primary name server上 zone的资料拷贝一份下来备用。primary/secondary在新版name server程式中被改称为master/slave。,51DNS 基础知识（3）Primary/Seconda,50,DNS 基础知识（4）,Forward/Reverse（正解/反解）domain name IP mapping应该看成两个命名空间：一个是 domain name - IP, 称之为forward mapping，在这个命名空间中，先分成top domain，再细分sub domain，再细分，以此类推。例如 - 15.16.192.152 表示在

37、代表的 sub domain 的机器上，可以查到其mapping table上有一条记录是winnie - 15.16.192.152。一个是IP - domain name，称之为reverse mapping。在这个命名空间中，所有的IP组成一个叫作arpa.in-addr的top domain，然后再依IP层层细分。比如说 15.16.192.152 - 代表在负责192.16.15.in-addr.arpa（注意是反过来写，因为top domain要在最后面）这个sub domain的机器上，可以查到其mapping table上有一笔记录是152 - 。注意负责forward map

38、ping和reverse mapping的机器不一定是同一台；Domain与ip subnet并没有一对一关系。,52DNS 基础知识（4）Forward/Reverse,51,DNS 基础知识（5）,SOA (Start Of Authority)：即原始权威服务器，指zone的权威设定，主要作用是提供原始权威服务器的信息。为区域文件更新提供参数。它表示授权的开始：SOA用来表示区域的启动，每个区域必须只有一个SOA记录。SOA指定了权威主机的 name server（FQDN）、contact-email-address、Serial number、Refresh Time、Retry t

39、ime、Expire time和Minimum TTL。,53DNS 基础知识（5）SOA (Start Of A,52,DNS 基础知识（6）,Name server：域记录文件被创建的服务器，是通过FQDN描述的。FQDN(Fully Qualified Domain Name)：完全合格域名/全称域名，是指主机名加上全路径，全路径中列出了序列中所有域成员。全域名可以从逻辑上准确地表示出主机在什么地方，也可以说全域名是主机名的一种完全表示形式。从全域名中包含的信息可以看出主机在域名树中的位置。例如，acme company公司的Web服务器的全域名可以是，而若WWW主机是在销售部子域，则它

40、的全域名可以是。当给出的名字像acmecompany而不是acmecompany.时，他们通常是指主机名，而名字中带有句点的则认为是全域名。这种区别在理解和控制解析过程时是非常重要的。句点实际上指出了域名树的根。,54DNS 基础知识（6）Name server：,53,DNS 基础知识（7）,Contact-email-address：管理员的email地址。Serial序列号，即区域文件的修订版本号，每次修改区域文件后递增此数字，次服务器根据此参数值可以确定是否需要更新记录。Refresh刷新时间，次服务器每隔此参数定义的时间（秒）核对主服务器的记录。默认是：3,600。即辅助DNS服务器

41、在查询主DNS服务器的SOA记录之前等待的时间（秒），当刷新时间过期时，辅助DNS服务器将向主DNS服务器请求当前SOA记录的副本；主DNS服务器允许此请求；辅助DNS服务器比较主DNS服务器的当前SOA记录的序列号和自己的SOA记录中的序列号，如果它们是不同的，辅助DNS服务器就会向主DNS服务器请求区域传输。,55DNS 基础知识（7）Contact-email-a,54,DNS 基础知识（8）,Retry重试时间，辅助服务器传输失败后的等待时间（秒），默认是：600。即辅助服务器区域传输失败后到进行重试前的等待时间（秒）。通常，重试时间小于刷新时间。Expire超时，又称过期时间，辅助服

42、务器尝试更新记录的时间（秒），超过这个时间就认定相关记录不是最新的。 Minimum TTL最小生命周期：适用区域文件中的所有资源记录，表示域中记录的最小生命周期，主服务器用来通知其他服务器，它所发出的记录可以缓存多久。,56DNS 基础知识（8）Retry,55,DNS 基础知识（9）,DNS资源记录SOA记录用来表示区域的启动；每个区域必须只有一个SOA记录；辅助服务器，在不能和主服务器通信的情况下，将提供12小时DNS服务，在指定的时间后停止为那个区域提供DNS服务，不过仍然要尝试与主服务器通信；语法格式： IN SOA nameserver. contact-email-address

43、(serial_number; refresh_number;retry_number; expire_number; minimum_number;),57DNS 基础知识（9）DNS资源记录,56,DNS 基础知识（10）,DNS资源记录NS记录Name Server，名称服务器记录：为DNS域标识DNS名称服务器，该资源记录出现在所有DNS区域中。创建新区域时，该资源记录被自动创建。用来为域指定名字服务器；语法格式：IN NS name-server-hostname例如：IN NS . /说明.是当前区域文件的名字服务器，可以指定多个NS记录。,58DNS 基础知识（10）DNS资源记

44、录,57,DNS 基础知识（11）,DNS资源记录A记录Adress，主机地址记录：代表“主机名称”与“IP”地址的对应关系，作用是把名称转换成IP地址。DNS使用A记录来回答“某主机名称所对应的IP地址是什么？”。主机名必須使用A记录转译成IP地址，网络层才知道如何选择路由，并将数据包送到目的地。每个主机至少应有一个A记录；A记录把主机名指定为IP地址语法: hostname IN A IP-Address完整的主机名后应有一个“.”；可以使用缩写；例如：www IN A . IN A 192.168.100.200此时的www代表，为完整主机名，后面一定有“.”。,59DNS 基础知识（1

45、1）DNS资源记录,58,DNS 基础知识（12）,DNS资源记录CNAME记录Canonical Name，别名记录：某些名称并没有对应的IP地址，而只是一个主机名的别名。CNAME记录代表别名与规范主机名称之间的对应关系指定规范（正式）主机名的别名语法格式: Alias IN CNAME Canonical-hostname可以使用缩写；例如：www IN CNAME . 此例表明管理员可能公告其网站主机名称为，但其实只是一个指向的CNAME记录而已。而在维护期间，可以临时将指向server-。,60DNS 基础知识（12）DNS资源记录,59,DNS 基础知识（13）,DNS资源记录MX

46、记录Mail Exchange，邮件交换器资源记录：MX记录提供邮件路由信息；提供网域的“邮件交换器（Mail Exchanger）”的主机名称以及相对应的优先值；当MTA（用于收发Mail的程序一般统称为邮件用户代理MUA-Mail User Agent；将来自MUA的信件转发给指定的用户的程序一般被称之为因特网邮件传送代理MTA-Mail Transfer Agent）要将邮件送到某个网域时，会优先将邮件交给该网域的MX主机；同一个网域可能有多个邮件交换器，所以每一个MX记录都有一个优先值，供MTA作为选择MX主机的依据。；语法格式：IN MX preference-value mail-

47、server-hostname. 例如： IN MX 0 . IN MX 10 .,61DNS 基础知识（13）DNS资源记录,60,DNS 基础知识（14）,DNS资源记录PTR记录Point，指针记录：PTR记录代表“IP地址”与“主机名”的对应关系，作用刚好与A记录相反；与A记录一样，每个网络接口必须有一条PTR记录。DNS系统使用PTR记录来回答“某IP地址所对应的主机名是什么?”；RFC882构想，A记录与PTR记录应是互逆的，也就是说从A记录可以查到“域名到IP”，从PTR记录可以查到“IP到域名”，但当多个域名对应同一个IP时，PTR记录应指向该IP地址的规范主机名。语法格式：i

48、p IN PTR hostname.可以使用缩写； 例如： 202.198.16.80 IN PTR . 即 202.198.16.80 IN PTR www,62DNS 基础知识（14）DNS资源记录,61,DNS 基础知识（15）,DNS资源记录SRV记录Service Location Resource Record，本地服务资源记录：它是DNS服务器的数据库中支持的一种资源记录的类型，它记录了哪台计算机提供了那种服务；SRV记录一般是为Microsoft的活动目录设置时使用的。DNS可以独立于活动目录，但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作，DNS服务器必须

49、支持服务定位（SRV）资源记录，资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。IN记录表示这些资源都在Internet,63DNS 基础知识（15）DNS资源记录,62,DNS 配置范例（1）,一家公司已经向InterNIC申请名为 的网址代理服务器的主机名为，IP地址为192.168.1.1DNS服务器的主机名为，IP地址为192.168.1.10邮件服务器的主机名为，IP地址为192.168.1.20名为且IP地址为192.168.1.30的服务器上，安装有WWW和FTP服务，同时二者以和的域名提供服务DNS需提供反向解析的服

50、务为了达到容错的目的，须将IP地址为192.168.1.254的DNS服务器设置为次服务器，以防止主DNS服务器出现故障时产生的服务中断。,64DNS 配置范例（1）一家公司已经向InterNIC,63,DNS 配置范例（2）,第一步：以管理员身份登录，并且运行BIND服务器的安装与启动。检查系统中是否安装BIND服务器：rootns1 root# rpm qa bind如果系统中没有安装，可查找bind-xxx.rpm文件，然后输入以下命令，系统会自动完成安装BIND服务器的所有步骤：rootns1 root# rpm ivh bind-xxx.rpm启动、重新启动和停止BIND服务器nam