香港某大学防火墙课件内进容错机制v.ppt

* 以下將說明如何對常見的網際網路服務做內進容錯機制 DNS : DNS 主機是用 NS 紀錄，註冊在上層 DNS 主機 (Parent Name Server)上，如 TWNIC。 1. 這些 NS 紀錄是不能夠隨意變更。 2. 本身查詢機制上便有容錯。 因此無法也不需要對 DNS 服務啟用 [內進容錯機制] Mail : 郵件主機是用 MX 紀錄，登錄在企業本身的 DNS 主機上。 1. MX 本身有優先權，確定哪幾台主機接受外部來信的順序 2. MX 本身也有容錯機制 　　　因此不太需要對郵件服務啟用 [內進容錯機制] Web : 跟其他主機一樣，大多是使用 A 紀錄，登錄在企業本身的 DNS 主機上。 　　　本身無任何容錯機制，需要啟用 [內進容錯機制] * DNS 服務的容措機制: 一般 DNS 查詢服務本身就有容錯機制, 只要該網域有向上層組織(如:TWNIC) 註冊多組 DNS NS 紀錄即可達成 環境說明: 桓基科技公司內部有三部 DNS Server 分別為: (1) , (2) 和 (3) 以上層 DNS 主機登錄的 NS/A 紀錄如下 網域的 NS 紀錄如下 ?  ?  ? 2. 而這些主機的相對應 A 紀錄為 ? 63 ? 4 ? 97 當使用者 A 要知道 的 DNS A 紀錄時, 由上層 DNS 主機會取得所有桓基科技的 DNS 主機清單 (NS 紀錄)。至於要跟哪一台 DNS 主機查詢 的 A 紀錄則不一定，要看主機 A 本身所得的資料及設定為主。 使用者 B 跟 C 的查詢動作也跟使用者 A 類似。 * DNS 服務的容措機制: 當使用者 A 跟 主機查詢 Timeout時(綠色線), 使用者A 本身 (或所屬的 DNS 主機) 會自動跟其他二台 DNS 主機(任一台) 查詢 (紫色線) 當使用者 B 跟 主機查詢 Timeout時(綠色線), 使用者B 本身 (或所屬的 DNS 主機) 會自動跟其他二台 DNS 主機(任一台) 查詢 (紫色線) 對於使用者 A、Ｂ 而言，只會感受到些許的延遲。 * DNS 服務的容措機制: 網域 跟 上層 DNS 組織 (.com) 註冊三組 DNS NS 及所屬的 A 紀錄 nameserver = (97) nameserver = (22) H nameserver = (62) 如果這些 IP 位址分別屬於不同的 ISP 線路，則可以輕鬆達到 DNS 服務的容錯機制 * Mail 服務的容措機制: 一般 Mail 服務的容錯機制是利用 DNS MX (Mail Exchanger) 的優先權順序去做 Mail 服務的容錯 環境說明: 網域 在 公司的 DNS 主機中設定的 DNS MX (Mail Exchanger) 如下: 網域 MX 優先權 IP 10 97 100 72 200 98 因為 MX 優先權數字越小者,優先權越大, 所以當外面使用者要寄信給網域 時, 信件會往優先權數字最小者那台主機傳送。 在此例子當中: 使用者要寄信給 a@ , b@ , c@ 時, 因為 MX 優先權設定關係, 要寄給網域 的信件都會往 　這台主機傳送 (因為 MX 優先權最小的是指向這台主機) 。 * Mail 服務的容措機制: 如果第一筆 MX 指定的 SMTP 主機無法連線，外部 SMTP 主機會嘗試跟優先權次高的 MX 主機嘗試連線。 在此例子當中: 使用者要寄信給 a@, b@, c@ 時 , 當 ISP A 線路中斷 , 或 主機故障時, 信件無法往 傳送, 此時信件會往 MX 優先權次高的那台主機傳送 , 即信件會往 這台主機傳送。 * Mail 服務的容措機制: 網域 的 MX 有三筆 如下所示: MX preference = 100, mail exchanger = (72) MX preference = 200, mail exchanger = (97) MX preference = 10, mail exchanger = (98) 如果這些 IP 位址分別屬於不同的 ISP 線路，則可以輕鬆達到 郵件服務 的容錯機制 * Web 服務的容措機制: 環境說明: 某公司有三條分屬於不同家 ISP 的對外線路，想要達到網際網路使用者存取網頁主機