專利名稱:一種管理域名系統信息的方法和系統的制作方法
技術領域:
本發明涉及通信領域,尤其涉及一種管理域名系統信息的方法和系統。
背景技術:
隨著安全VPN技術的發展和普及,越來越多的企業分支機構選擇利用基于Internet的安全VPN技術(一般都基于IPSec VPN)來構建企業私有網絡,以保證企業分支能夠方便的接入到企業總部。對于分支接入目前有兩種流量模型—種是企業分支的外出流量全部通過VPN技術接入總部,包括Internet的流量;企業分支上Internet的流量全部經過企業總部統一部署的防火墻、IPS等安全設備的保護;隨著Internet業務的逐步發展,企業總部出口的流量壓力也逐漸增大;事實上,對于某些企業來說,總部和分支之間的私網流量遠遠小于各分支Internet流量總和;另一種是企業分支只有私網流量(訪問企業內部服務器所產生的流量)會通過VPN接入到總部;企業分支上Internet流量則通過企業分支網關的NAT技術直接接入本地ISP。一般來說,稍大一點的企業都會在企業總部部署各種類型的服務器(ftp、web,mail等),出于易用性考慮,企業總部會部署私有的域名系統(DomainName System,DNS)服務器。圖I為現有技術中企業總部和企業分部的DNS部署示意圖,圖I中的DNS server A為私有DNS服務器,將私有服務器的IP映射為域名方式,同時在DNS server上啟動DNS代理,指向總部的ISPl所提供的DNS Serverl (提供公網域名查詢服務)。在分支接入模型I)中,所有分支的主機系統都可以直接指定DNS服務器為總部DNS server A,一般不存在任何問題;因此,本發明余下內容將只針對分支接入模型2)進行闡述。首先,先講述需要解決的問題的背景為了提升Internet用戶的沖浪速度,大型的網站會在不同地域的各運營商網絡內部署鏡像服務器(IP地址不同,域名一樣)。以謂.Sina. com為例,在ISPl的網絡內會部署I. I. I. I的新浪服務器,在ISP2的網絡內會部署2. 2. 2. 2的新浪服務器;由ISPl負責接入的企業總部一般使用DNS server I,當其內部主機訪問新浪時將獲得I. I. I. I的IP地址;由ISP2負責接入的企業分支會使用DNS server2,當其內部主機訪問新浪時會獲得2. 2. 2. 2的IP地址;也就是說,由ISP2負責接入的企業分支內的主機訪問2. 2. 2. 2的速度會明顯高于訪問I. I. I. I的速度。在分支接入模型2)中,分支機構主機可選擇的DNS服務器有兩種方式I)分支機構所有的DNS查詢指向總部的DNS server A ;如上所述,分支機構的域名查詢會指向企業總部的DNS server A,而DNSserver A向ISPl查詢域名,必然分支機構得到的新浪服務器IP會是I. I. I. I ;然后企業分支的主機向I. I. I. I的新浪服務器發起公網訪問;很明顯,企業分支將享受不到網站鏡像所帶來的提升服務。2)分支結構所有的DNS查詢指向ISP2的DNS server2 ;很明顯,一般情況下分支機構將從此DNS服務器查詢不到企業總部的服務器域名;當然,目前企業可以將私有域名注冊到公網DNS服務器,這樣當分支訪問此服務器的時候,可以得到企業服務器對應的私有地址。當然,若存在這樣的服務的話,必然企業會為此承擔相應的費用,同時企業內部服務器的地址也會因此暴漏給公網DNS服務器,其安全性的考慮也是必須的。因此,如何充分發揮企業總部的DNS server A和ISP2的DNS server2的功能是亟待解決的問題。
發明內容
本發明提供一種管理域名系統信息的方法和系統,要解決的技術問題是如何使私網的DNS服務器和公網的DNS服務器同時為局域網提供服務。為解決上述技術問題,本發明提供了如下技術方案一種管理域名系統信息的方法,第一局域網的設備通過位于第二局域網的第一DNS服務器訪問第二局域網,且通過位于公網的第二 DNS服務器訪問因特網,其中第一局域網的網關在接收到第一局域網內設備發送的DNS請求時,根據本地記錄的第一 DNS服務器和第二 DNS服務器對各DNS記錄的IP地址,查找所述DNS請求中DNS對應的IP地址;如果查找到,則將查找到的IP地址發送給所述設備。優選的,所述方法還具有如下特點所述方法還包括如果沒有查找到,則向第一 DNS服務器和第二 DNS服務器發送所述DNS請求;在接收到第一 DNS服務器發送的第一響應時,如果所述第一響應中攜帶的IP地址屬于第二局域網,則向所述設備僅發送第一響應;或者,在接收到第二 DNS服務器發送的第二響應時,如果所述第二響應中攜帶有IP地址,則發起對所述第二響應的處理流程。優選的,所述方法還具有如下特點所述發起對所述第二響應的處理流程,包括判斷所述第二響應中攜帶的IP地址是否為廣告服務器的IP地址;在所述第二響應中攜帶的IP地址不是廣告服務器的IP地址時,向所述設備僅發
送第二響應。優選的,所述方法還具有如下特點所述廣告服務器的IP地址是通過如下方式獲取的,包括向所述第二 DNS服務器發送一請求,該請求用于查詢公網中一不存在的DNS ;如果獲取到第二 DNS服務器對該請求的反饋,且反饋中攜帶一 IP地址,則將該IP地址作為廣告服務器的IP地址。優選的,所述方法還具有如下特點所述方法還包括對發送給設備的響應中各DNS對應的IP地址進行保存。一種管理域名系統信息的系統,第一局域網的設備通過位于第二局域網的第一DNS服務器訪問第二局域網,且通過位于公網的第二 DNS服務器訪問因特網,其中第一局域網的網關包括查找裝置,用于在接收到第一局域網內設備發送的DNS請求時,根據本地記錄的第一 DNS服務器和第二 DNS服務器對各DNS記錄的IP地址,查找所述DNS請求中DNS對應的IP地址;第一發送裝置,用于與所述查找裝置相連,用于在查找到時,將查找到的IP地址發送給所述設備。優選的,所述方法還具有如下特點所述系統還包括第二發送裝置,與所述查找裝置相連,用于在沒有查找到時,向第一 DNS服務器和第二 DNS服務器發送所述DNS請求;第三發送裝置,用于在接收到第一 DNS服務器發送的第一響應時,如果所述第一響應中攜帶的IP地址屬于第二局域網,則向所述設備僅發送第一響應;或者,在接收到第二 DNS服務器發送的第二響應時,如果所述第二響應中攜帶有IP地址,則發起對所述第二響應的處理流程。優選的,所述方法還具有如下特點所述第三發送裝置還包括判斷模塊,用于判斷所述第二響應中攜帶的IP地址是否為廣告服務器的IP地址;發送模塊,用于在所述第二響應中攜帶的IP地址不是廣告服務器的IP地址時,向所述設備僅發送第二響應。優選的,所述方法還具有如下特點所述判斷模塊所使用的廣告服務器的IP地址是通過如下方式獲取的,包括向所述第二 DNS服務器發送一請求,該請求用于查詢公網中一不存在的DNS ;如果獲取到第二 DNS服務器對該請求的反饋,且反饋中攜帶一 IP地址,則將該IP地址作為廣告服務器的IP地址。優選的,所述方法還具有如下特點所述系統還包括保存裝置,用于對發送給設備的響應中各DNS對應的IP地址進行保存。與現有技術中同一局域網相連的兩個DNS服務器為主備關系不同的是,兩個服務器,本發明提供的第一 DNS服務器和第二 DNS服務并不是備份關系,而是兩個服務器需要協同一起為企業分支提供域名查詢服務。
圖I為現有技術中企業總部和企業分部的DNS部署示意圖;圖2為本發明提供的管理域名系統信息的方法實施例的流程示意圖;圖3為本發明提供的管理域名系統信息的系統實施例的結構示意圖。
具體實施例方式為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖及具體實施例對本發明作進一步的詳細描述。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。圖2為本發明提供的管理域名系統信息的方法實施例的流程示意圖。圖2所示方法實施例中,第一局域網的設備通過位于第二局域網的第一 DNS服務器訪問第二局域網,且通過位于公網的第二 DNS服務器訪問因特網,其中第一局域網的網關執行如下步驟步驟101、在接收到第一局域網內設備發送的DNS請求時,根據本地記錄的第一DNS服務器和第二 DNS服務器對各DNS記錄的IP地址,查找所述DNS請求中DNS對應的IP地址;步驟102、如果查找到,則將查找到的IP地址發送給所述設備。與現有技術中同一局域網相連的兩個DNS服務器為主備關系不同的是,兩個服務器,本發明提供的第一 DNS服務器和第二 DNS服務并不是備份關系,而是兩個服務器需要協同一起為企業分支提供域名查詢服務。下面對本發明提供的方法實施例作進一步說明需要說明的是,下述實施例對第一局域網的網關未查找到DNS請求中DNS對應的IP地址的情況進行說明對于第一 DNS服務器而言,其不但具有響應第一局域網訪問第二局域網內服務器的功能,還具有享有對所屬局域網發起的因特網請求進行響應的功能,即第一 DNS服務器所記錄的DNS包括第二局域網內DNS對應的IP地址和公網內DNS的IP地址,所以,無論第一局域網網關查詢的是公網的DNS還是第二局域網的DNS,該第一DNS服務器都會給出一個明確的IP地址。相對的,第二 DNS服務器僅負責響應第一局域網的因特網請求,所以其記載的DNS只是公網的DNS,所以當第一局域網網關查詢的是公網的DNS時,一定會給出一個IP地址,如果是私網(如第二局域網)內的DNS,按照DNS的處理機制,私有域名不會在公網進行注冊;因此,第二 DNS服務器對私網域名的查詢結果應該是“此域名不存在”,因此不會對第一 DNS服務器的返回的私網域名結果造成任何的沖突影響。為了實現正常訪問以及充分利用資源的目的,對于第一局域網的設備而言,在進行私網訪問時,使用第一 DNS服務器,從而實現正常訪問,在進行公網訪問時,使用第二 DNS服務器,以實現充分利用資源的目的。概括來說,如果沒有查找到,則向第一 DNS服務器和第二 DNS服務器發送所述DNS請求;在接收到第一 DNS服務器發送的第一響應時,如果所述第一響應中攜帶的IP地址屬于第二局域網,則向所述設備僅發送第一響應;或者,在接收到第二 DNS服務器發送的第二響應時,如果所述第二響應中攜帶有IP地址,則發起對所述第二響應的處理流程。本著在進行私網訪問使用第一 DNS服務器,公網訪問使用第二 DNS服務器的目的,對于第一響應,當且僅當攜帶的IP地址屬于第二局域網時,即表示設備請求訪問的DNS為私網的DNS,為保證正常通信,僅發送所述第一響應即可。而對于第二響應,如果攜帶有IP地址,則攜帶的地址肯定為公網地址,為了保證訪問速度,發起對所述第二響應的處理流程。通常,所述發起對所述第二響應的處理流程為向所述設備僅發送所述第二響應,但是由于目前ISP廣告推送業務的開展,第二 DNS服務器對查詢不到的域名將會返回一個真實的公網IP地址,此公網IP地址正是提供廣告業務的web服務器地址;這樣所有非公網域名的WEB訪問請求都被重定向到此廣告web服務器上,而造成用戶最終沒有訪問到所請求的私網服務器。對于上述請求提出如下改進所述發起對所述第二響應的處理流程,包括
判斷所述第二響應中攜帶的IP地址是否為廣告服務器的IP地址;在所述第二響應中攜帶的IP地址不是廣告服務器的IP地址時,向所述設備僅發
送第二響應。具體來說,在第二 DNS服務器反饋的查詢結果有IP地址時,進一步判斷該IP地址是否為廣告服務器地址,如果是,則表示該DNS不屬于公網的DNS,應不發送所述第二響應,并等待第一 DNS服務器發送的第一響應,對該第一響應進行發送處理;相反,如果不是廣告服務器地址,則表示其是一個正常的公網域名,則向所述設備僅發送所述第二響應。其中,所述廣告服務器的IP地址是通過如下方式獲取的,包括向所述第二 DNS服務器發送一請求,該請求用于查詢公網中一不存在的DNS ;如果獲取到第二 DNS服務器對該請求的反饋,且反饋中攜帶一 IP地址,則將該IP地址作為廣告服務器的IP地址。上文對第一局域網的網關未查找到DNS請求中DNS對應的IP地址的情況進行說明,由上可以看出,通過上述手段,第一局域網的設備對某一個DNS的訪問,最終都可以得到一個IP地址,且僅為一個IP地址。而在得到上述DNS對應的IP地址后,為了方便日后為第一局域網中設備的使用,所述方法還包括對發送給設備的響應中各DNS對應的IP地址進行保存。下面以圖I所示系統為例對上述方法進行說明DNS代理服務將設置兩個DNS server,一個為企業總部的DNS server A,一個為ISP2的DNS server2 ;在企業網關開啟DNS代理服務,分支內網主機將通過DHCP自動獲取DNS服務器地址,此地址為企業網關的內網IP地址。企業網關的DNS代理將內部主機的DNS查詢自動轉發到DNS server A和DNS server2,并將DNS查詢結果緩存在企業網關內部。其中,兩個DNS服務器不是備份關系;因此,當網關接收到內部主機的DNS查詢的時候,如果本地存在該DNS的信息,則將該信息發送給設備即可,若本地不存在DNS的信息,將向兩個DNS服務器發起查詢請求。若兩個服務器正常,必然會得到兩個DNS查詢結果,網關DNS代理服務必須對兩個結果進行選擇I)對企業總部DNS server A返回的結果進行處理;由于需要提升企業分支主機的沖浪速度,對于DNS server A返回的公網域名結果將自動丟棄;一般的企業都是存在IP地址規劃的,且企業內部只能使用私網IP地址段。以圖I為例,企業總部的地址范圍為192. 168. O. 0/255. 255. O. O ;因此總部的各種服務器所分配到的IP地址也必然是此范圍的地址,而公網服務器的IP地址段肯定不在此地址范圍內。本發明將設置對VPN私網DNS服務器查詢的結果的過濾器,對于地址在192. 168. O. 0/255. 255. O. O地址范圍的域名查詢結果予以保留并返回給分支主機;將所有返回的DNS查詢結果中包含非192. 168. O. 0/255. 255. O. O地址范圍的查詢結果自動丟棄,這樣就不會對DNS server2返回的公網域名結果造成沖突,具體處理方式的管理參見表I。
權利要求
1.一種管理域名系統信息的方法,其特征在于,第一局域網的設備通過位于第二局域網的第一 DNS服務器訪問第二局域網,且通過位于公網的第二 DNS服務器訪問因特網,其中第一局域網的網關在接收到第一局域網內設備發送的DNS請求時,根據本地記錄的第一 DNS服務器和第二 DNS服務器對各DNS記錄的IP地址,查找所述DNS請求中DNS對應的 IP地址;如果查找到,則將查找到的IP地址發送給所述設備。
2.根據權利要求I所述的方法,其特征在于,所述方法還包括如果沒有查找到,則向第一 DNS服務器和第二 DNS服務器發送所述DNS請求;在接收到第一 DNS服務器發送的第一響應時,如果所述第一響應中攜帶的IP地址屬于第二局域網,則向所述設備僅發送第一響應;或者,在接收到第二 DNS服務器發送的第二響應時,如果所述第二響應中攜帶有IP地址,則發起對所述第二響應的處理流程。
3.根據權利要求2所述的方法,其特征在于,所述發起對所述第二響應的處理流程,包括判斷所述第二響應中攜帶的IP地址是否為廣告服務器的IP地址;在所述第二響應中攜帶的IP地址不是廣告服務器的IP地址時,向所述設備僅發送第二響應。
4.根據權利要求3所述的方法,其特征在于,所述廣告服務器的IP地址是通過如下方式獲取的,包括向所述第二 DNS服務器發送一請求,該請求用于查詢公網中一不存在的DNS ;如果獲取到第二 DNS服務器對該請求的反饋,且反饋中攜帶一 IP地址,則將該IP地址作為廣告服務器的IP地址。
5.根據權利要求2至4任一所述的方法,其特征在于,所述方法還包括對發送給設備的響應中各DNS對應的IP地址進行保存。
6.一種管理域名系統信息的系統,其特征在于,第一局域網的設備通過位于第二局域網的第一 DNS服務器訪問第二局域網,且通過位于公網的第二 DNS服務器訪問因特網,其中第一局域網的網關包括查找裝置,用于在接收到第一局域網內設備發送的DNS請求時,根據本地記錄的第一 DNS服務器和第二 DNS服務器對各DNS記錄的IP地址,查找所述DNS請求中DNS對應的IP 地址;第一發送裝置,用于與所述查找裝置相連,用于在查找到時,將查找到的IP地址發送給所述設備。
7.根據權利要求6所述的系統,其特征在于,所述系統還包括第二發送裝置,與所述查找裝置相連,用于在沒有查找到時,向第一 DNS服務器和第二 DNS服務器發送所述DNS請求;第三發送裝置,用于在接收到第一 DNS服務器發送的第一響應時,如果所述第一響應中攜帶的IP地址屬于第二局域網,則向所述設備僅發送第一響應;或者,在接收到第二 DNS 服務器發送的第二響應時,如果所述第二響應中攜帶有IP地址,則發起對所述第二響應的處理流程。
8.根據權利要求7所述的系統,其特征在于,所述第三發送裝置還包括判斷模塊,用于判斷所述第二響應中攜帶的IP地址是否為廣告服務器的IP地址;發送模塊,用于在所述第二響應中攜帶的IP地址不是廣告服務器的IP地址時,向所述設備僅發送第二響應。
9.根據權利要求8所述的系統,其特征在于,所述判斷模塊所使用的廣告服務器的IP 地址是通過如下方式獲取的,包括向所述第二 DNS服務器發送一請求,該請求用于查詢公網中一不存在的DNS ;如果獲取到第二 DNS服務器對該請求的反饋,且反饋中攜帶一 IP地址,則將該IP地址作為廣告服務器的IP地址。
10.根據權利要求7至9任一所述的系統,其特征在于,所述系統還包括保存裝置,用于對發送給設備的響應中各DNS對應的IP地址進行保存。
全文摘要
本發明提供一種管理域名系統信息的方法和系統。所述方法中第一局域網的設備通過位于第二局域網的第一DNS服務器訪問第二局域網,且通過位于公網的第二DNS服務器訪問因特網,其中第一局域網的網關在接收到第一局域網內設備發送的DNS請求時,根據本地記錄的第一DNS服務器和第二DNS服務器對各DNS記錄的IP地址,查找所述DNS請求中DNS對應的IP地址;如果查找到,則將查找到的IP地址發送給所述設備。
文檔編號H04L29/12GK102932496SQ20121038250
公開日2013年2月13日 申請日期2012年10月10日 優先權日2012年10月10日
發明者王文海, 鄭榮舜 申請人:瑞斯康達科技發展股份有限公司