如何构建企业内部的DNS服务器

过路由器的NAT功能解决IP地址短缺问题

一、NAT概述

NAT（Network Address Translation）网络地址转换，其功能是将企业内部自行定义的非法IP地址转换为Internet公网上可识别的合法IP地址。

由于现行IP地址标准——IPv4的限制，Internet面临着IP地址空间短缺的问题，从ISP申请并给企业的每位员工分配一个合法IP地址是不现实的。NAT技术能较好解决现阶段IPV4地址短缺的问题。

目前，神州数码所有路由器产品，包括DCR-2500系列、DCR-1700系列和DCR-3600系列，均支持NAT功能，且功能丰富。

下面简要介绍神州数码路由器NAT的原理。

二、NAT原理及配置简介

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

我们以DCR-1700路由器为例。

运行：

Router(config)#show ip nat translation

显示应为：

Inside local，即内部局部地址——在内部网络上一个主机分配到的IP地址，通常是网管人员自己定义的私有地址。

Inside global，即内部全局地址——一个合法的IP地址，向外部网络描述一个或多个本地合法IP地址。

Outside local，即外部局部地址——出现在内部网络的一个外部主机的IP地址。不一定是合法地址，它可以在内部网络中，从可路由的地址空间进行分配。

Outside global，即外部全局地址——主机的拥有者在外部网络上分配给主机的IP地址。该地址可以从全局可路由地址或网络空间进行分配。

神州数码路由器目前支持内部地址翻译、外部地址翻译和双向地址翻译功能。

内部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地址静态tcp翻译、源地址静态udp翻译、源地址访问列表＋地址池翻译、源地址访问列表＋设备接口翻译、目的地址访问列表＋地址池翻译。

外部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地址静态tcp翻译、源地址静态udp翻译、源地址访问列表＋地址池翻译。

神州数码路由器中，NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。

静态NAT

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。例如DCR-1700/3600路由器的配置：

ip nat inside source static 19216815 2111687975

将局域网中的19216815永久映射为全局合法IP2111687975。此功能可应用到内部网的WWW发布、Ftp Server及Mail Server。

NAT池

DNS根域名解析失败是不能正常访问网页的！

解决办法！

(1)用nslookup来判断是否真的是DNS解析故障：

要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。

第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始-》运行-》输入CMD”后回车进入命令行模式。

第二步：输入nslookup命令后回车，将进入DNS解析查询界面。

第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如笔者的Dns服务器IP为202106020。

第四步：接下来输入你无法访问的站点对应的域名。输入 wwwsohucom，假如不能访问的话，那么DNS解析应该是不能够正常进行的。收到DNS request timed out，timeout was 2 seconds的提示信息。这说明计算机确实出现了DNS解析故障。

如果DNS解析正常的话，会反馈回正确的IP地址，例如笔者用wwwsohucom这个地址进行查询解析，会得到name:sohucom，addresses：61135133103，61135133104的信息。

(2)查询Dns服务器工作是否正常：

这时候就要看看自己计算机使用的DNS地址是多少了，并且查询他的运行情况。

第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始-》运行-》输入CMD”后回车进入命令行模式。

第二步：输入ipconfig /all命令来查询网络参数。

第三步：在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS，这个就是我们的DNS服务器地址。例如笔者的是202106020和20210646151。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，我们可以更换一个其他的Dns服务器地址即可解决问题。

第四步：如果在DNS服务器处显示的是自己公司的内部网络地址，那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的，这时我们需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。解决 Dns服务器上的DNS服务故障，一般来说问题也能够解决。

(3)清除DNS缓存信息法：

当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接Dns服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障。这时我们应该通过清除DNS缓存的命令来解决故障。

第一步：通过“开始-》运行-》输入CMD”进入命令行模式。

第二步：在命令行模式中我们可以看到在ipconfig /中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令。

第三步：执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。

第四步：接下来再访问域名时，就会到Dns服务器上获取最新解析地址，再也不会出现因为以前的缓存造成解析错误故障了。

(4)修改HOSTS文件法：

修改HOSTS法就是把HOSTS文件中的DNS解析对应关系进行修改，从而实现正确解析的目的。因为在本地计算机访问某域名时会首先查看本地系统中的HOSTS文件，HOSTS文件中的解析关系优先级大于Dns服务器上的解析关系。

这样当我们希望把某个域名与某IP地址绑定的话，就可以通过在HOSTS文件中添加解析条目来实现。

第一步：通过“开始-》搜索”，然后查找名叫hosts的文件。

第二步：当然对于已经知道他的路径的读者可以直接进入c：\windows\ system32\drivers\etc目录中找到HOSTS文件。如果你的系统是windows 2000，那么应该到c：\winnt\system32\drivers\etc目录中寻找。

第三步：双击HOSTS文件，然后选择用“记事本”程序将其打开。

第四步：之后我们就会看到HOSTS文件的所有内容了，默认情况下只有一行内容“127001 localhost”。(其他前面带有#的行都不是真正的内容，只是帮助信息而已)

第五步：将你希望进行DNS解析的条目添加到HOSTS文件中，具体格式是先写该域名对应的 IP地址，然后空格接域名信息。例如笔者添加了“211153801 wwwftedugovcn”与“108201 wwwftedugovcn”两个条目。

第六步：设置完毕后访问 时就会自动根据是在内网还是外网来解析了。

内网外网的DNS二者是一样的，因为DNS的作用是将域名地址，解析成网络上可识别的IP地址；

内网的电脑访问外网的域名，可通过三种方式进行DNS解析：

（1）本机解析：在本机的HOSTS文件中可以设置域名的IP地址；也可以在本机架设DNS服务；这种方式解析是最快的；

（2）内网DNS：在局域网内部架设DNS服务器；这种方式解析也是很快的；

（3）外网DNS：通过外网的DNS来进行域名解析工作；这种方式解析相对较慢一点，根据网络上DNS服务器的速度而定。