CN 域名解析服務(wù)的體系結(jié)構(gòu)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）技術(shù)部 苑衛(wèi)國 孫國念1. 引言（1） 域名服務(wù)的基本概念域名解析系統(tǒng)DNS （domain Name System）是由主機(jī)名解析方案

CN 域名解析服務(wù)的體系結(jié)構(gòu)

中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）技術(shù)部 苑衛(wèi)國 孫國念

1. 引言

（1） 域名服務(wù)的基本概念

域名解析系統(tǒng)DNS （domain Name System）是由主機(jī)名解析方案發(fā)展出來的一種新的名字的解析機(jī)制。1984年9月，ARPANET 開始使用DNS ，從此DNS 成為訪問主機(jī)名到IP 地址映射的標(biāo)準(zhǔn)方法。Internet 上最常用的DNS 服務(wù)器是BIND （Berkeley Internet Name Domain ）軟件，目前BIND 最新的發(fā)行版本是9.3.1。

域名系統(tǒng)將主機(jī)名解析成IP 地址使用到一個(gè)全局的、層次性的分布式數(shù)據(jù)庫系統(tǒng)。該系統(tǒng)包含了Internet 上所有域名及IP 的對(duì)應(yīng)信息。數(shù)據(jù)庫的層次性允許將域名空間劃分成獨(dú)立的管理部分，并稱為域（Domain ）。數(shù)據(jù)庫的分布式特性則允許將數(shù)據(jù)庫的各個(gè)不同的部分分配到不同網(wǎng)絡(luò)上的域名服務(wù)器上，這樣各域名服務(wù)器可以實(shí)現(xiàn)獨(dú)立的管理。

DNS 的域是一種分布式的層次結(jié)構(gòu)系統(tǒng)，這種結(jié)構(gòu)非常類似于UNIX 文件系統(tǒng)的層次結(jié)構(gòu)，根的名字以空標(biāo)簽（“”）表示，并稱為根域（root domain ）。圖1所給出的結(jié)構(gòu)是典型的例子。根域的下一級(jí)是頂級(jí)域。頂級(jí)域有兩種劃分方法：地理域和通用域。地理域是為世界上每個(gè)國家或地區(qū)設(shè)置的，由ISO-3166定義，如中國是cn ，美國是us ，日本是jp 。通用域是指按照機(jī)構(gòu)類別設(shè)置的頂級(jí)域，主要包括：com （商業(yè)組織）；edu （教育機(jī)構(gòu)）等。另外隨著互聯(lián)網(wǎng)的不斷發(fā)展，新的通用頂級(jí)域名也根據(jù)實(shí)際需要不斷被擴(kuò)充到現(xiàn)有的域名體系中來，新增加的通用頂級(jí)域名是biz(商業(yè)) ，info(信息行業(yè)) 等。在頂級(jí)域名下，還可以再根據(jù)需要定義次一級(jí)的域名，如在我國的頂級(jí)域名cn 下又設(shè)立了com ，net ，org ，gov ，edu ，ac 以及我國各個(gè)行政區(qū)劃的字母代表如bj 代表北京，sh 代表上海等。

圖1 域名體系層次結(jié)構(gòu)

域名空間是指表示DNS 這個(gè)分布式數(shù)據(jù)庫的逆向樹型層次結(jié)構(gòu)，完整域名由從樹葉節(jié)點(diǎn)到根節(jié)點(diǎn)的一條路徑的所有節(jié)點(diǎn)以分隔符“.”按順序連接而成，如www.sina.com.cn ., 其中“.”代表根域（當(dāng)“.”出現(xiàn)在域名的最右邊時(shí)，實(shí)際上還表示其右邊有代表根的空標(biāo)簽“”；也可以用最右邊的“.”來表示根），“cn”為頂級(jí)域，“com”為二級(jí)域，“sina”為三級(jí)域，“www”為主機(jī)名。

DNS的服務(wù)管理層次結(jié)構(gòu)允許將整個(gè)域名空間的管理任務(wù)分成多份，分別由每個(gè)子域自行進(jìn)行管理，被委托子域有自己的域名服務(wù)器，該服務(wù)器維護(hù)屬于該子域的所有主機(jī)信息，父域的域名服務(wù)器不保留子域的所有信息，而只保留指向子域的指針。域和子域的實(shí)際信息包含在區(qū)數(shù)據(jù)文件（zonefile ）中，域和子域指域名空間的邏輯分區(qū)，區(qū)指域名服務(wù)器含有的域名空間中的某一部分的完整信息，一個(gè)域內(nèi)可以有多個(gè)區(qū)。區(qū)數(shù)據(jù)文件是一套包含某個(gè)域內(nèi)機(jī)器信息的文本，它的格式是資源記錄（resource record ）。這些記錄中表示主機(jī)和它的IP 的映射方法。大部分的資源記錄如下：Name [TTL] class type data。其中Name 是域名。TTL 域表示“生存時(shí)間”，它是告訴域名服務(wù)器隔多長時(shí)間更新一次記錄。Class 域說明記錄屬于的等級(jí)，一般是IN ，表示Internet 數(shù)據(jù)。Type 域指出記錄的類型。Data 域保存資源記錄要求的參數(shù)。主要的資源記錄如下表：

表1主要的資源記錄的類型

（2） 域名服務(wù)器

域名的解析過程是域名解析服務(wù)器完成的，采用的客戶機(jī)/服務(wù)器模式。在域名服務(wù)器上運(yùn)行一個(gè)服務(wù)進(jìn)程（在UNIX 系統(tǒng)中一般為named 進(jìn)程），該進(jìn)程進(jìn)行名字對(duì)IP 地址的解析。域名服務(wù)器中存儲(chǔ)一個(gè)區(qū)或多個(gè)區(qū)中主機(jī)的信息。

通常在一個(gè)區(qū)內(nèi)設(shè)置多臺(tái)服務(wù)器，這樣做的目的主要是為了提高域名解析系統(tǒng)的可靠性，就是當(dāng)其中有某臺(tái)域名服務(wù)器出現(xiàn)故障時(shí)，所有的域名請(qǐng)求能夠轉(zhuǎn)發(fā)給其他的域名服務(wù)器；另外可以將域名請(qǐng)求的平均地分擔(dān)到多臺(tái)服務(wù)器上，提高整個(gè)系統(tǒng)域名解析的能力和解析的效率，并且可以根據(jù)需要將多臺(tái)域名服務(wù)器放置到不同的地方，可以為用戶提供地理位置的就近解析。

在一個(gè)區(qū)內(nèi)具有多臺(tái)域名服務(wù)器時(shí)，域名服務(wù)器包括主域名服務(wù)器和輔域名服務(wù)器，主域名服務(wù)器直接從本地的區(qū)數(shù)據(jù)文件（zonefile ）中加載本區(qū)的信息，區(qū)數(shù)據(jù)文件中包含了服務(wù)器所在區(qū)內(nèi)的主機(jī)的主機(jī)名和它們相應(yīng)的IP 地址；而輔域名服務(wù)器則在啟動(dòng)時(shí)與負(fù)責(zé)本區(qū)的主域名服務(wù)器進(jìn)行聯(lián)系，經(jīng)過一個(gè)“區(qū)內(nèi)傳輸”的過程復(fù)制主服務(wù)器的數(shù)據(jù)庫。此后，將周期性的查詢主域名服務(wù)器的數(shù)據(jù)是否被修改，以保持自己數(shù)據(jù)庫中的數(shù)據(jù)是最新版本。

2．CN 域名服務(wù)的解析的原理和過程

在介紹了域名服務(wù)體系的層次結(jié)構(gòu)合域名服務(wù)器的相關(guān)概念后，我們可以比較容易的理解CN 域名解析的工作原理和過程，其工作原理及過程分下面幾個(gè)步驟：

第一步：用戶提出域名解析請(qǐng)求，并將該請(qǐng)求發(fā)送給本地的域名服務(wù)器。

第二步：當(dāng)本地的域名服務(wù)器收到請(qǐng)求后，就先查詢本地的緩存，如果有該紀(jì)錄項(xiàng)，則本地的域名服務(wù)器就直接把查詢的結(jié)果返回。

第三步：如果本地的緩存中沒有該紀(jì)錄，則本地域名服務(wù)器就直接把請(qǐng)求發(fā)給根域名服務(wù)器，然后根域名服務(wù)器再返回給本地域名服務(wù)器一個(gè)所查詢域(根的子域，如CN) 的主域名服務(wù)器的地址。

第四步：本地服務(wù)器再向上一步驟中所返回的域名服務(wù)器發(fā)送請(qǐng)求，然后收到該請(qǐng)求的服務(wù)器查詢其緩存，返回與此請(qǐng)求所對(duì)應(yīng)的記錄或相關(guān)的下級(jí)的域名服務(wù)器的地址。本地域名服務(wù)器將返回的結(jié)果保存到緩存。

第五步：重復(fù)第四步，直到找到正確的紀(jì)錄。

第六步：本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時(shí)還將結(jié)果返回給客戶機(jī)。

下面的例子來形象地說明一個(gè)CN 域名解析的過程。假設(shè)客戶機(jī)想獲得域名“www.sina.com.cn”的服務(wù)器的IP 地址，此客戶本地的域名服務(wù)器是nm.cnnic.cn （159.226.1.8），域名解析的過程如下所示：

(1)客戶機(jī)發(fā)出請(qǐng)求解析域名www.sina.com.cn 的報(bào)文。

(2)本地的域名服務(wù)器收到請(qǐng)求后，查詢本地緩存，假設(shè)沒有該紀(jì)錄，則本地域名服務(wù)器nm.cnnic.cn 則向根域名服務(wù)發(fā)出請(qǐng)求解析域名www.sina.com.cn 。

(3)根域名服務(wù)器收到請(qǐng)求后，判斷該域名屬于.cn 域，查詢到6條NS 記錄及相應(yīng)的A 記錄（或AAAA 記錄，IPv6使用），得到如下結(jié)果并返回給服務(wù)器nm.cnnic.cn ：

cn. 172800 IN NS NS.CNC.AC.cn.

cn. 172800 IN NS DNS2.CNNIC.NET.cn.

cn. 172800 IN NS NS.CERNET.NET.

cn. 172800 IN NS DNS3.CNNIC.NET.cn.

cn. 172800 IN NS DNS4.CNNIC.NET.cn.

cn. 172800 IN NS DNS5.CNNIC.NET.cn.

NS.CNC.AC.cn. 172800 IN AAAA 2001:dc7::1

NS.CNC.AC.cn. 172800 IN A 159.226.1.1

DNS2.CNNIC.NET.cn. 172800 IN AAAA 2001:dc7:1000::1

DNS2.CNNIC.NET.cn. 172800 IN A 202.97.16.196

NS.CERNET.NET. 172800 IN A 202.112.0.44

DNS3.CNNIC.NET.cn. 172800 IN A 210.52.214.84

DNS4.CNNIC.NET.cn. 172800 IN A 61.145.114.118

DNS5.CNNIC.NET.cn. 172800 IN A 61.139.76.53

(4)域名服務(wù)器nm.cnnic.cn 收到回應(yīng)后，先緩存以上結(jié)果，再向.cn 域的服務(wù)器之一如NS.CNC.AC.cn 發(fā)出請(qǐng)求解析域名www.sina.com.cn 的報(bào)文。

(5)域名服務(wù)器 NS.CNC.AC.cn收到請(qǐng)求后，判斷該域名屬于.com.cn 域，開始查詢本地的記錄，找到如下6條NS 記錄及相應(yīng)的A 記錄：

com.cn. 172800 IN NS sld-ns1.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns2.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns3.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns4.cnnic.net.cn.

com.cn. 172800 IN NS sld-ns5.cnnic.net.cn.

com.cn. 172800 IN NS cns.cernet.net.

cns.cernet.net. 68025 IN A 202.112.0.24

sld-ns1.cnnic.net.cn. 172800 IN A 159.226.1.3

sld-ns2.cnnic.net.cn. 172800 IN A 202.97.16.197

sld-ns3.cnnic.net.cn. 172800 IN A 210.52.214.85

sld-ns4.cnnic.net.cn. 172800 IN A 61.145.114.119

sld-ns5.cnnic.net.cn. 172800 IN A 61.139.76.54

然后將這個(gè)結(jié)果返回給服務(wù)器nm.cnnic.cn 。

（6）域名服務(wù)器nm.cnnic.cn 收到回應(yīng)后，先緩存以上結(jié)果，再向.com.cn 域的服務(wù)器之一如sld-ns1.cnnic.net.cn. 發(fā)出請(qǐng)求解析域名www.sina.com.cn 的報(bào)文。

(7) 域名服務(wù)器sld-ns1.cnnic.net.cn. 收到請(qǐng)求后，判斷該域名屬于.sina.com.cn 域，開始查詢本地的記錄，找到3條NS 記錄及對(duì)應(yīng)的A 記錄：

sina.com.cn. 43200 IN NS ns1.sina.com.cn.

sina.com.cn. 43200 IN NS ns2.sina.com.cn.

sina.com.cn. 43200 IN NS ns3.sina.com.cn.

ns1.sina.com.cn. 43200 IN A 202.106.184.166

ns2.sina.com.cn. 43200 IN A 61.172.201.254

ns3.sina.com.cn. 43200 IN A 202.108.44.55

然后將結(jié)果返回給服務(wù)器nm.cnnic.cn 。

（8）服務(wù)器nm.cnnic.cn 收到回應(yīng)后，先緩存以上結(jié)果，再向sina.com.cn 域的域名服務(wù)器之一如ns1.sina.com.cn. 發(fā)出請(qǐng)求解析域名www.sina.com.cn 的報(bào)文。

(9) 域名服務(wù)器 ns1.sina.com.cn.收到請(qǐng)求后，開始查詢本地的記錄，找到如下CNAME 記錄及相應(yīng)的A 記錄，附加的NS 記錄及相應(yīng)的A 記錄：

www.sina.com.cn. 60 IN CNAME jupiter.sina.com.cn.

jupiter.sina.com.cn. 60 IN CNAME libra.sina.com.cn.

libra.sina.com.cn. 60 IN A 202.106.185.242

libra.sina.com.cn. 60 IN A 202.106.185.243

libra.sina.com.cn. 60 IN A 202.106.185.244

libra.sina.com.cn. 60 IN A 202.106.185.248

libra.sina.com.cn. 60 IN A 202.106.185.249

libra.sina.com.cn. 60 IN A 202.106.185.250

libra.sina.com.cn. 60 IN A 61.135.152.65

libra.sina.com.cn. 60 IN A 61.135.152.66

libra.sina.com.cn. 60 IN A 61.135.152.67

libra.sina.com.cn. 60 IN A 61.135.152.68

libra.sina.com.cn. 60 IN A 61.135.152.69

libra.sina.com.cn. 60 IN A 61.135.152.70

libra.sina.com.cn. 60 IN A 61.135.152.71

libra.sina.com.cn. 60 IN A 61.135.152.72

libra.sina.com.cn. 60 IN A 61.135.152.73

libra.sina.com.cn. 60 IN A 61.135.152.74

sina.com.cn. 86400 IN NS ns1.sina.com.cn.

sina.com.cn. 86400 IN NS ns2.sina.com.cn.

sina.com.cn. 86400 IN NS ns3.sina.com.cn.

ns1.sina.com.cn. 86400 IN A 202.106.184.166

ns2.sina.com.cn. 86400 IN A 61.172.201.254

ns3.sina.com.cn. 86400 IN A 202.108.44.55

并將結(jié)果返回給服務(wù)器nm.cnnic.cn 。

(10)服務(wù)器nm.cnnic.cn 將得到的結(jié)果保存到本地緩存, 同時(shí)將結(jié)果返回給客戶機(jī)。這樣就完成了一次域名解析過程，下圖描述了解析的過程：

圖2 www.sina.com.cn 域名解析過程

3.CN 域名解析服務(wù)的結(jié)構(gòu)

CNNIC作為中國的國家頂級(jí)域名CN 的注冊(cè)管理機(jī)構(gòu)，負(fù)責(zé)著CN 域名根服務(wù)器運(yùn)行。為提高系統(tǒng)DNS 系統(tǒng)解析的可靠性和效率，CN 頂級(jí)域（“cn”域）和CN 二級(jí)域（包括“com.cn”等39個(gè)，參見參考資料3，下同）的域名服務(wù)器采用了多臺(tái)域名解析服務(wù)器放置在我國不同地區(qū)。

(1) CN域名服務(wù)器的主輔更新關(guān)系

CNNIC有6臺(tái)“cn”域服務(wù)器用以提供正式DNS 服務(wù)。CN 二級(jí)域也有6臺(tái)服務(wù)器用做DNS 正式服務(wù) 。主輔更新關(guān)系見圖3、圖4。

圖3“cn”域主輔數(shù)據(jù)更新關(guān)系

圖4 CN二級(jí)域主輔數(shù)據(jù)更新關(guān)系

(2) CN域名解析區(qū)數(shù)據(jù)文件的更新

“cn”域和CN 二級(jí)域的主DNS 服務(wù)器從區(qū)文件服務(wù)器取得數(shù)據(jù)文件，檢查數(shù)據(jù)文件以確保正確后，然后加載數(shù)據(jù)文件，完成“cn”域和39個(gè)二級(jí)域的更新。

參考資料

1. RFC1034, RFC1035

2. ISO-3166-3, 1999，參考網(wǎng)頁：

3. 《信息產(chǎn)業(yè)部關(guān)于中國互聯(lián)網(wǎng)絡(luò)域名體系的公告》，2002.11.22，參考網(wǎng)頁：

4. DNS and BIND （第四版的中譯本）Paul Albitz &Cricket Liu 著 雷迎春等譯 中國電力出版社 2002

5. BIND官方網(wǎng)站(http://www.isc.org)

6. UNIX 網(wǎng)絡(luò)管理實(shí)用教程 徐國平等編著 清華大學(xué)出版社 2002