使用实易智能DNS快速搭建智能DNS服务器

　　一直想在公司自己做个DNS服务器，但是Bind配置实属不易，并且用非所见即所得形式的管理方式主要有以下２个问题：

1. 配置问题。一直用RHEL/CentOS系统，虽然YUM安装很给力，但是对于特定应用必须通过源码包编译，且基本最小华安装。对于Bind的包而言，每次需要configure和make的时间太长，应用于同一台服务器尚可接受，但是一次配置10台服务器将花费太多的时间，且除非留下可行文档，由另一个进行往往会出现各种问题。而基于软件生存周期的Patch和Rebuild会给部署造成更多问题。
2. 管理问题。对于网站内的DNS，首先在管理上需要对conf文件很熟悉，对之前的各种解析有所了解。同时，修改配置文件时，需要root等高级权限，不同人管理会有安全上的问题。

　　一动不如一静，基于以上几点，一直没去折腾DNS。

　　自己公司也有代理的DNS产品：Nominum，但是过于庞大，没去用，同时成本也必须考虑，License是要收费的！也有mydnspod.com等等，但是作为大型网站，完全类似将自己的钱箱钥匙交别人手上。

　　那么，说下我目前的需求：

• 安装便捷。最好是独立的ISO系统，因为2011年开始，在公司架构了云和虚拟技术，有足够多的VPS可以使用；
• 管理方便。有Web界面管理是上策，命令行是中策，conf文件只能是下策；
• 智能解析。多线分多解析。
  
• 可以主从。多台DNS服务器可以通过部署相同的DNS系统，并具有主从方式可以自动更新。

　　发现实易智能DNS完全符合我的要求，由于对于专有Unix Like系统实在不熟悉，这个是我目前唯一看到的，且基于FreeBSD。目前有3.0和4.0两个版本，3有一个免费版，4最低是试用2个月，２个月后需要购买。和客服申请，3未果，就先用4了。当然根据以往经验，一般售价和成交价有很大差距的，所以先试用，再做决策。

 

　　配置

　　先说下配置：ESXi下配置2台VPS，考虑到当前服务器最大效能，配置了4CPU，1GMem，4GDisk，2xE1000，对于DNS应用绰绰有余。

　　eth0接公网，eth1接内网：

1. VPS1: 222.35.0.1 / 192.168.1.101
2. VPS2: 222.35.0.2 / 192.168.1.102

　　（此处设置完全是为了书写方便，实际使用中如果两台VPS在同一个公网段是达不到均衡分布的效果，请不要尝试）

　　4版本最新4.0.2，很小秒速下载，通过VPS安装，安装过程略了，实易在线文档安装部分过于详细了。且至多5分钟，比Bind快多了。

　　安装完第一件事情就是试图查找系统漏洞，但是这个发行版本封装的着实很好，在不拆机情况下无法拿到硬盘，而且VPS如何可以拆机。进入Shell，很惊讶这家公司的警惕心，连cd、ls都没，理论上安全做得不错。

　　安装完成后，浏览器敲 http://222.35.0.1/2 ，即可访问管理界面，初始admin/fedns，文档隐藏的很深，在一张图上。这个界面是PHP的，但是由于之前的原因，打不开系统看不到源码。进去先修改密码。

　　根据文档有主控和被控以及从DNS，所以理论上配好一台即可。

 

　　步骤

　　由于需要保证流畅的转化，我按照以下步骤进行：

1. 我们的域名是在万网购买并解析的，登录万网，复制下除ns以外所有的解析地址，作为备份。然后申请万网万恶的注册域名服务器（10元/个），需要两个，设置为：ns1.xwg.cc和ns2.xwg.cc分别并解析到VPS的IP，在高级域名解析中增加ns1和ns2的A指向到IP上。以上操作根据不同域名服务商稍许不同。
2. 在主控DNS上，添加域，根据之前万网复制的解析表进行配置，最后一定要记住在域名管理-》xwg.cc-》启用，不然域名状态一直处于无法解析。并且这个在文档里面没有写。
3. 添加如下记录：分别@主机ns指向ns1和ns2，ns1和ns2的a指向到IP。
4. 经实验本DNS对于mx记录最后的点无要求，都可以进行解析。
5. 将本地PC的DNS指向主控DNS，cmd后ipconfig /flushdns，再nslookup，查询表中的解析是否正确。
6. 测试结束后，在DNS设置中添加被控的IP，通过内网IP实现，同时配置另一台为辅控，两台的从服务器列表将IP都加入。
7. 重启之后，通过Web进入ns2发现已经同步，进行修改时，提示错误，完成。
8. 为了安全起见，在内置防火墙规则中删除WAN口除53外所有规则，同时此时不能访问Web界面了。如何解决？提供两个方式：VPN或者反向代理。
9. 回万网使用修改DNS服务器，将原来指向dnsxx.hichina.com的改成ns1.xwg.cc和ns2.xwg.cc，当然如果你设置了多个ns，也可以加入。
10. 如何确定生效？在域名解析查询页面通过Nameserver看看是否万网已经帮你提交了，具体为了要有这个的原因，就是为了有个auth。同时万网好像不给随便用ns，必须注册。然后在nslookup下，windows请set type=all，Linux请set q=any，然后进行查询，在主控中新增一个新的解析，然后再查寻，结果正确即可。

 

　　DNS效率

　　粗略测试了一下，基于第三方监控宝的数据，之前平均DNS在100ms级别，当前处于10ms级别，相信还是有较大提升。

 

　　总结

　　目前而已，实易是用的最顺手的一个了，但是不足有如下：

1. 不便于根据正则判断，仅基于IP池；
2. 那个安全策略添加设计的很糟糕，来源IP既然类型是单IP，为什么还要子网方式写；
3. 价格更低或者重开免费版，对于新兴企业而已是重要的。一个好的产品，没有用户，就很难发展了。