学DNS系列（十一）DNS服务器属性之高级服务器选项

大家可以看到，此时返回的IP已经不再是先前那个了，这是为什么呢？同样的一个网站，地址一样，但ping的返回值却不一致。那，原因何在？

其实，如果在DNS中启用了循环功能，就可以实现这 样的效果。对应163.com这个域名而言，在创建www主机的时候，就同时对应了多个IP地址，比如1.1.1.1 、2.2.2.2、3.3.3.3，在DNS的配置文件中体现如下：

www　　　　　　　　IN　　　　　 A　　　　　　　　1.1.1.1
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　　　2.2.2.2
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 3.3.3.3

当第一个客户请求www的解析时，按照默认顺序进行相应，也就是系统会自动返 回1.1.1.1给客户端，当第二个客户请求www的解析时，由于启用了DNS循环，所以DNS会将这个列表做循 环处理，如下所示：

www　　　　　　　　IN　　　　　A　　　　　　　　　2.2.2.2
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　1.1.1.1
　　 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　3.3.3.3

这样一来 ，返回的IP就是2.2.2.2，同理，第三个客户端得到的IP可能就是3.3.3.3。

从上面例子可以看到 ，DNS循环功能其实算是一种很简单的负载平衡处理机制，通过这个方法可以起到分担服务器压力的作用 。

当然，163所采用负载技术远比这个复杂，生产环境中对DNS性能负载的处理的方法也多种多样 ，这里仅仅是个范例而已。

□启用网络掩码排序

从这一设置是win2003新增的一个功能， 简单的说，针对客户端请求的解析，当存在多个匹配记录时，系统会自动这些记录与客户端IP的网络掩 码匹配度，按照最相似的原则，来应答客户端的解析请求。来举个例子，这里有某个域名的A记录解析表 ：

www　　　　IN　　　A　　　　161.23.222.51
　　　　　　　　　　　　　　 　　　　　　　　220.22.120.33
　　　　　　　　　　　　　　　　　　　　　　 61.135.251.15

当一个用户试图解析这个A记录时，如果他的IP是220.22.120.149，系统 收到这个解析请求，就会把这个IP和列表中的记录进行掩码接近度匹配，他很快发现第二条记录和这个 客户IP很接近，于是就会把220.20.120.33作为结果返回给客户端。这就是DNS的网络掩码自动排序功能 。此功能是对来访者实行的本地子网优先级匹配原则，这样将最接近客户端IP的记录返回给对方，旨在 加快客户端的访问速度和效率。

同样，此项设置默认也是自动开启的。

这里还有一点要 说明，当同时启用了循环和网络掩码排序，掩码排序优先级高于循环，此时循环则仅作为一种后备方式 而存在，如果来访者IP都无法匹配，则会采用循环的方式进行答复来访者。

□保护缓存防止污染

听起来有些抽象，解释一下大家就会很快理解了。

当本地DNS服务器解析无法解析某一地 址，比如www.kkk.com，它会向上游DNS服务器发起查询从而获得一个参考回复，但反馈的结果可能是 ccc.com域的记录，显然并不是想要的，此时如果启用此选项，DNS服务器则不会缓存ccc.com域的相关记 录，而只缓存kkk.com域的记录，这样做的目的是可以防止来自非法计算机冒充其他服务器发出的错误答 复的干扰。在英文版系统中，这项设置被称为Secure Cache Against Pollution，有些地方称为DNS中毒 ，说的就是这个意思。最明显的表现是明明输入的是www.google.com，结果自动跳转到一个陌生甚至是 hacker的钓鱼网站，或者是解析某个URL时，得到一个奇怪的IP地址，比如12.34.56.78（此IP真实存在 ），类似这些情况，可能原因就是本机甚至本地的DNS中毒了。

系统为了安全起见，这个设置也 是默认被开启的。