一种管理域名系统信息的方法和系统的制作方法

文档序号:7862595阅读:746来源:国知局
专利名称:一种管理域名系统信息的方法和系统的制作方法
技术领域
本发明涉及通信领域,尤其涉及一种管理域名系统信息的方法和系统。
背景技术
随着安全VPN技术的发展和普及,越来越多的企业分支机构选择利用基于Internet的安全VPN技术(一般都基于IPSec VPN)来构建企业私有网络,以保证企业分支能够方便的接入到企业总部。对于分支接入目前有两种流量模型—种是企业分支的外出流量全部通过VPN技术接入总部,包括Internet的流量;企业分支上Internet的流量全部经过企业总部统一部署的防火墙、IPS等安全设备的保护;随着Internet业务的逐步发展,企业总部出口的流量压力也逐渐增大;事实上,对于某些企业来说,总部和分支之间的私网流量远远小于各分支Internet流量总和;另一种是企业分支只有私网流量(访问企业内部服务器所产生的流量)会通过VPN接入到总部;企业分支上Internet流量则通过企业分支网关的NAT技术直接接入本地ISP。一般来说,稍大一点的企业都会在企业总部部署各种类型的服务器(ftp、web,mail等),出于易用性考虑,企业总部会部署私有的域名系统(DomainName System,DNS)服务器。图I为现有技术中企业总部和企业分部的DNS部署示意图,图I中的DNS server A为私有DNS服务器,将私有服务器的IP映射为域名方式,同时在DNS server上启动DNS代理,指向总部的ISPl所提供的DNS Serverl (提供公网域名查询服务)。在分支接入模型I)中,所有分支的主机系统都可以直接指定DNS服务器为总部DNS server A,一般不存在任何问题;因此,本发明余下内容将只针对分支接入模型2)进行阐述。首先,先讲述需要解决的问题的背景为了提升Internet用户的冲浪速度,大型的网站会在不同地域的各运营商网络内部署镜像服务器(IP地址不同,域名一样)。以謂.Sina. com为例,在ISPl的网络内会部署I. I. I. I的新浪服务器,在ISP2的网络内会部署2. 2. 2. 2的新浪服务器;由ISPl负责接入的企业总部一般使用DNS server I,当其内部主机访问新浪时将获得I. I. I. I的IP地址;由ISP2负责接入的企业分支会使用DNS server2,当其内部主机访问新浪时会获得2. 2. 2. 2的IP地址;也就是说,由ISP2负责接入的企业分支内的主机访问2. 2. 2. 2的速度会明显高于访问I. I. I. I的速度。在分支接入模型2)中,分支机构主机可选择的DNS服务器有两种方式I)分支机构所有的DNS查询指向总部的DNS server A ;如上所述,分支机构的域名查询会指向企业总部的DNS server A,而DNSserver A向ISPl查询域名,必然分支机构得到的新浪服务器IP会是I. I. I. I ;然后企业分支的主机向I. I. I. I的新浪服务器发起公网访问;很明显,企业分支将享受不到网站镜像所带来的提升服务。2)分支结构所有的DNS查询指向ISP2的DNS server2 ;很明显,一般情况下分支机构将从此DNS服务器查询不到企业总部的服务器域名;当然,目前企业可以将私有域名注册到公网DNS服务器,这样当分支访问此服务器的时候,可以得到企业服务器对应的私有地址。当然,若存在这样的服务的话,必然企业会为此承担相应的费用,同时企业内部服务器的地址也会因此暴漏给公网DNS服务器,其安全性的考虑也是必须的。因此,如何充分发挥企业总部的DNS server A和ISP2的DNS server2的功能是亟待解决的问题。

发明内容
本发明提供一种管理域名系统信息的方法和系统,要解决的技术问题是如何使私网的DNS服务器和公网的DNS服务器同时为局域网提供服务。为解决上述技术问题,本发明提供了如下技术方案一种管理域名系统信息的方法,第一局域网的设备通过位于第二局域网的第一DNS服务器访问第二局域网,且通过位于公网的第二 DNS服务器访问因特网,其中第一局域网的网关在接收到第一局域网内设备发送的DNS请求时,根据本地记录的第一 DNS服务器和第二 DNS服务器对各DNS记录的IP地址,查找所述DNS请求中DNS对应的IP地址;如果查找到,则将查找到的IP地址发送给所述设备。优选的,所述方法还具有如下特点所述方法还包括如果没有查找到,则向第一 DNS服务器和第二 DNS服务器发送所述DNS请求;在接收到第一 DNS服务器发送的第一响应时,如果所述第一响应中携带的IP地址属于第二局域网,则向所述设备仅发送第一响应;或者,在接收到第二 DNS服务器发送的第二响应时,如果所述第二响应中携带有IP地址,则发起对所述第二响应的处理流程。优选的,所述方法还具有如下特点所述发起对所述第二响应的处理流程,包括判断所述第二响应中携带的IP地址是否为广告服务器的IP地址;在所述第二响应中携带的IP地址不是广告服务器的IP地址时,向所述设备仅发
送第二响应。优选的,所述方法还具有如下特点所述广告服务器的IP地址是通过如下方式获取的,包括向所述第二 DNS服务器发送一请求,该请求用于查询公网中一不存在的DNS ;如果获取到第二 DNS服务器对该请求的反馈,且反馈中携带一 IP地址,则将该IP地址作为广告服务器的IP地址。优选的,所述方法还具有如下特点所述方法还包括对发送给设备的响应中各DNS对应的IP地址进行保存。一种管理域名系统信息的系统,第一局域网的设备通过位于第二局域网的第一DNS服务器访问第二局域网,且通过位于公网的第二 DNS服务器访问因特网,其中第一局域网的网关包括查找装置,用于在接收到第一局域网内设备发送的DNS请求时,根据本地记录的第一 DNS服务器和第二 DNS服务器对各DNS记录的IP地址,查找所述DNS请求中DNS对应的IP地址;第一发送装置,用于与所述查找装置相连,用于在查找到时,将查找到的IP地址发送给所述设备。优选的,所述方法还具有如下特点所述系统还包括第二发送装置,与所述查找装置相连,用于在没有查找到时,向第一 DNS服务器和第二 DNS服务器发送所述DNS请求;第三发送装置,用于在接收到第一 DNS服务器发送的第一响应时,如果所述第一响应中携带的IP地址属于第二局域网,则向所述设备仅发送第一响应;或者,在接收到第二 DNS服务器发送的第二响应时,如果所述第二响应中携带有IP地址,则发起对所述第二响应的处理流程。优选的,所述方法还具有如下特点所述第三发送装置还包括判断模块,用于判断所述第二响应中携带的IP地址是否为广告服务器的IP地址;发送模块,用于在所述第二响应中携带的IP地址不是广告服务器的IP地址时,向所述设备仅发送第二响应。优选的,所述方法还具有如下特点所述判断模块所使用的广告服务器的IP地址是通过如下方式获取的,包括向所述第二 DNS服务器发送一请求,该请求用于查询公网中一不存在的DNS ;如果获取到第二 DNS服务器对该请求的反馈,且反馈中携带一 IP地址,则将该IP地址作为广告服务器的IP地址。优选的,所述方法还具有如下特点所述系统还包括保存装置,用于对发送给设备的响应中各DNS对应的IP地址进行保存。与现有技术中同一局域网相连的两个DNS服务器为主备关系不同的是,两个服务器,本发明提供的第一 DNS服务器和第二 DNS服务并不是备份关系,而是两个服务器需要协同一起为企业分支提供域名查询服务。


图I为现有技术中企业总部和企业分部的DNS部署示意图;图2为本发明提供的管理域名系统信息的方法实施例的流程示意图;图3为本发明提供的管理域名系统信息的系统实施例的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步的详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。图2为本发明提供的管理域名系统信息的方法实施例的流程示意图。图2所示方法实施例中,第一局域网的设备通过位于第二局域网的第一 DNS服务器访问第二局域网,且通过位于公网的第二 DNS服务器访问因特网,其中第一局域网的网关执行如下步骤步骤101、在接收到第一局域网内设备发送的DNS请求时,根据本地记录的第一DNS服务器和第二 DNS服务器对各DNS记录的IP地址,查找所述DNS请求中DNS对应的IP地址;步骤102、如果查找到,则将查找到的IP地址发送给所述设备。与现有技术中同一局域网相连的两个DNS服务器为主备关系不同的是,两个服务器,本发明提供的第一 DNS服务器和第二 DNS服务并不是备份关系,而是两个服务器需要协同一起为企业分支提供域名查询服务。下面对本发明提供的方法实施例作进一步说明需要说明的是,下述实施例对第一局域网的网关未查找到DNS请求中DNS对应的IP地址的情况进行说明对于第一 DNS服务器而言,其不但具有响应第一局域网访问第二局域网内服务器的功能,还具有享有对所属局域网发起的因特网请求进行响应的功能,即第一 DNS服务器所记录的DNS包括第二局域网内DNS对应的IP地址和公网内DNS的IP地址,所以,无论第一局域网网关查询的是公网的DNS还是第二局域网的DNS,该第一DNS服务器都会给出一个明确的IP地址。相对的,第二 DNS服务器仅负责响应第一局域网的因特网请求,所以其记载的DNS只是公网的DNS,所以当第一局域网网关查询的是公网的DNS时,一定会给出一个IP地址,如果是私网(如第二局域网)内的DNS,按照DNS的处理机制,私有域名不会在公网进行注册;因此,第二 DNS服务器对私网域名的查询结果应该是“此域名不存在”,因此不会对第一 DNS服务器的返回的私网域名结果造成任何的冲突影响。为了实现正常访问以及充分利用资源的目的,对于第一局域网的设备而言,在进行私网访问时,使用第一 DNS服务器,从而实现正常访问,在进行公网访问时,使用第二 DNS服务器,以实现充分利用资源的目的。概括来说,如果没有查找到,则向第一 DNS服务器和第二 DNS服务器发送所述DNS请求;在接收到第一 DNS服务器发送的第一响应时,如果所述第一响应中携带的IP地址属于第二局域网,则向所述设备仅发送第一响应;或者,在接收到第二 DNS服务器发送的第二响应时,如果所述第二响应中携带有IP地址,则发起对所述第二响应的处理流程。本着在进行私网访问使用第一 DNS服务器,公网访问使用第二 DNS服务器的目的,对于第一响应,当且仅当携带的IP地址属于第二局域网时,即表示设备请求访问的DNS为私网的DNS,为保证正常通信,仅发送所述第一响应即可。而对于第二响应,如果携带有IP地址,则携带的地址肯定为公网地址,为了保证访问速度,发起对所述第二响应的处理流程。通常,所述发起对所述第二响应的处理流程为向所述设备仅发送所述第二响应,但是由于目前ISP广告推送业务的开展,第二 DNS服务器对查询不到的域名将会返回一个真实的公网IP地址,此公网IP地址正是提供广告业务的web服务器地址;这样所有非公网域名的WEB访问请求都被重定向到此广告web服务器上,而造成用户最终没有访问到所请求的私网服务器。对于上述请求提出如下改进所述发起对所述第二响应的处理流程,包括
判断所述第二响应中携带的IP地址是否为广告服务器的IP地址;在所述第二响应中携带的IP地址不是广告服务器的IP地址时,向所述设备仅发
送第二响应。具体来说,在第二 DNS服务器反馈的查询结果有IP地址时,进一步判断该IP地址是否为广告服务器地址,如果是,则表示该DNS不属于公网的DNS,应不发送所述第二响应,并等待第一 DNS服务器发送的第一响应,对该第一响应进行发送处理;相反,如果不是广告服务器地址,则表示其是一个正常的公网域名,则向所述设备仅发送所述第二响应。其中,所述广告服务器的IP地址是通过如下方式获取的,包括向所述第二 DNS服务器发送一请求,该请求用于查询公网中一不存在的DNS ;如果获取到第二 DNS服务器对该请求的反馈,且反馈中携带一 IP地址,则将该IP地址作为广告服务器的IP地址。上文对第一局域网的网关未查找到DNS请求中DNS对应的IP地址的情况进行说明,由上可以看出,通过上述手段,第一局域网的设备对某一个DNS的访问,最终都可以得到一个IP地址,且仅为一个IP地址。而在得到上述DNS对应的IP地址后,为了方便日后为第一局域网中设备的使用,所述方法还包括对发送给设备的响应中各DNS对应的IP地址进行保存。下面以图I所示系统为例对上述方法进行说明DNS代理服务将设置两个DNS server,一个为企业总部的DNS server A,一个为ISP2的DNS server2 ;在企业网关开启DNS代理服务,分支内网主机将通过DHCP自动获取DNS服务器地址,此地址为企业网关的内网IP地址。企业网关的DNS代理将内部主机的DNS查询自动转发到DNS server A和DNS server2,并将DNS查询结果缓存在企业网关内部。其中,两个DNS服务器不是备份关系;因此,当网关接收到内部主机的DNS查询的时候,如果本地存在该DNS的信息,则将该信息发送给设备即可,若本地不存在DNS的信息,将向两个DNS服务器发起查询请求。若两个服务器正常,必然会得到两个DNS查询结果,网关DNS代理服务必须对两个结果进行选择I)对企业总部DNS server A返回的结果进行处理;由于需要提升企业分支主机的冲浪速度,对于DNS server A返回的公网域名结果将自动丢弃;一般的企业都是存在IP地址规划的,且企业内部只能使用私网IP地址段。以图I为例,企业总部的地址范围为192. 168. O. 0/255. 255. O. O ;因此总部的各种服务器所分配到的IP地址也必然是此范围的地址,而公网服务器的IP地址段肯定不在此地址范围内。本发明将设置对VPN私网DNS服务器查询的结果的过滤器,对于地址在192. 168. O. 0/255. 255. O. O地址范围的域名查询结果予以保留并返回给分支主机;将所有返回的DNS查询结果中包含非192. 168. O. 0/255. 255. O. O地址范围的查询结果自动丢弃,这样就不会对DNS server2返回的公网域名结果造成冲突,具体处理方式的管理参见表I。
权利要求
1.一种管理域名系统信息的方法,其特征在于,第一局域网的设备通过位于第二局域网的第一 DNS服务器访问第二局域网,且通过位于公网的第二 DNS服务器访问因特网,其中第一局域网的网关在接收到第一局域网内设备发送的DNS请求时,根据本地记录的第一 DNS服务器和第二 DNS服务器对各DNS记录的IP地址,查找所述DNS请求中DNS对应的 IP地址;如果查找到,则将查找到的IP地址发送给所述设备。
2.根据权利要求I所述的方法,其特征在于,所述方法还包括如果没有查找到,则向第一 DNS服务器和第二 DNS服务器发送所述DNS请求;在接收到第一 DNS服务器发送的第一响应时,如果所述第一响应中携带的IP地址属于第二局域网,则向所述设备仅发送第一响应;或者,在接收到第二 DNS服务器发送的第二响应时,如果所述第二响应中携带有IP地址,则发起对所述第二响应的处理流程。
3.根据权利要求2所述的方法,其特征在于,所述发起对所述第二响应的处理流程,包括判断所述第二响应中携带的IP地址是否为广告服务器的IP地址;在所述第二响应中携带的IP地址不是广告服务器的IP地址时,向所述设备仅发送第二响应。
4.根据权利要求3所述的方法,其特征在于,所述广告服务器的IP地址是通过如下方式获取的,包括向所述第二 DNS服务器发送一请求,该请求用于查询公网中一不存在的DNS ;如果获取到第二 DNS服务器对该请求的反馈,且反馈中携带一 IP地址,则将该IP地址作为广告服务器的IP地址。
5.根据权利要求2至4任一所述的方法,其特征在于,所述方法还包括对发送给设备的响应中各DNS对应的IP地址进行保存。
6.一种管理域名系统信息的系统,其特征在于,第一局域网的设备通过位于第二局域网的第一 DNS服务器访问第二局域网,且通过位于公网的第二 DNS服务器访问因特网,其中第一局域网的网关包括查找装置,用于在接收到第一局域网内设备发送的DNS请求时,根据本地记录的第一 DNS服务器和第二 DNS服务器对各DNS记录的IP地址,查找所述DNS请求中DNS对应的IP 地址;第一发送装置,用于与所述查找装置相连,用于在查找到时,将查找到的IP地址发送给所述设备。
7.根据权利要求6所述的系统,其特征在于,所述系统还包括第二发送装置,与所述查找装置相连,用于在没有查找到时,向第一 DNS服务器和第二 DNS服务器发送所述DNS请求;第三发送装置,用于在接收到第一 DNS服务器发送的第一响应时,如果所述第一响应中携带的IP地址属于第二局域网,则向所述设备仅发送第一响应;或者,在接收到第二 DNS 服务器发送的第二响应时,如果所述第二响应中携带有IP地址,则发起对所述第二响应的处理流程。
8.根据权利要求7所述的系统,其特征在于,所述第三发送装置还包括判断模块,用于判断所述第二响应中携带的IP地址是否为广告服务器的IP地址;发送模块,用于在所述第二响应中携带的IP地址不是广告服务器的IP地址时,向所述设备仅发送第二响应。
9.根据权利要求8所述的系统,其特征在于,所述判断模块所使用的广告服务器的IP 地址是通过如下方式获取的,包括向所述第二 DNS服务器发送一请求,该请求用于查询公网中一不存在的DNS ;如果获取到第二 DNS服务器对该请求的反馈,且反馈中携带一 IP地址,则将该IP地址作为广告服务器的IP地址。
10.根据权利要求7至9任一所述的系统,其特征在于,所述系统还包括保存装置,用于对发送给设备的响应中各DNS对应的IP地址进行保存。
全文摘要
本发明提供一种管理域名系统信息的方法和系统。所述方法中第一局域网的设备通过位于第二局域网的第一DNS服务器访问第二局域网,且通过位于公网的第二DNS服务器访问因特网,其中第一局域网的网关在接收到第一局域网内设备发送的DNS请求时,根据本地记录的第一DNS服务器和第二DNS服务器对各DNS记录的IP地址,查找所述DNS请求中DNS对应的IP地址;如果查找到,则将查找到的IP地址发送给所述设备。
文档编号H04L29/12GK102932496SQ20121038250
公开日2013年2月13日 申请日期2012年10月10日 优先权日2012年10月10日
发明者王文海, 郑荣舜 申请人:瑞斯康达科技发展股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1