公務(wù)員期刊網(wǎng) 論文中心 正文

廣電網(wǎng)絡(luò)寬帶DNS系統(tǒng)設(shè)計(jì)建設(shè)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了廣電網(wǎng)絡(luò)寬帶DNS系統(tǒng)設(shè)計(jì)建設(shè)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

廣電網(wǎng)絡(luò)寬帶DNS系統(tǒng)設(shè)計(jì)建設(shè)

摘要:隨著三網(wǎng)融合業(yè)務(wù)的發(fā)展,廣電網(wǎng)絡(luò)越來越需要寬帶業(yè)務(wù)來增加用戶的黏性,提高每個(gè)用戶的AURP值,因此相關(guān)的寬帶系統(tǒng)配套建設(shè)就顯得非常重要。dns(域名系統(tǒng))作為其中最重要的基礎(chǔ)服務(wù)之一,系統(tǒng)的好壞直接決定了用戶的寬帶上網(wǎng)體驗(yàn),由于廣電網(wǎng)絡(luò)在寬帶方面的建設(shè)進(jìn)展落后于其他三家電信運(yùn)營商,因此在網(wǎng)絡(luò)資源與結(jié)構(gòu)等方面也與另外三家電信運(yùn)營商存在差異。鑒于此,在DNS的建設(shè)上也需要進(jìn)行相應(yīng)的優(yōu)化,以便為用戶提供更好的寬帶體驗(yàn)。本文針對(duì)廣電網(wǎng)絡(luò)的特點(diǎn),對(duì)廣電網(wǎng)絡(luò)建設(shè)寬帶DNS系統(tǒng)問題進(jìn)行了探討。

關(guān)鍵詞:域名系統(tǒng);寬帶出口;負(fù)載均衡;安全

1背景

在三網(wǎng)融合的大背景下,廣電網(wǎng)絡(luò)需要大力發(fā)展寬帶業(yè)務(wù),以保證用戶的黏性。目前,國內(nèi)的互聯(lián)網(wǎng)出口及資源基本上集中在其他三大電信運(yùn)營商手中,廣電網(wǎng)絡(luò)通常只能從第三方渠道購買互聯(lián)網(wǎng)出口資源,因此廣電網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口通常會(huì)由其他不同運(yùn)營商的互聯(lián)網(wǎng)出口組成,廣電網(wǎng)絡(luò)需要根據(jù)情況進(jìn)行出口優(yōu)化,以保證用戶擁有最優(yōu)的上網(wǎng)體驗(yàn),同時(shí)盡量避免各不同電信運(yùn)營商之間互聯(lián)互通的問題。要解決這些問題,除了在路由上進(jìn)行調(diào)度外,還需要DNS系統(tǒng)的配合優(yōu)化。對(duì)用戶而言,在大部分情況下都不用關(guān)心所使用網(wǎng)絡(luò)的DNS問題,甚至不需要知道使用的是由誰提供的DNS服務(wù),但是對(duì)于網(wǎng)絡(luò)提供者而言,DNS系統(tǒng)部署的好壞直接關(guān)系到了用戶的上網(wǎng)體驗(yàn)。因此,必須給用戶提供可靠穩(wěn)定的DNS服務(wù)來保證其上網(wǎng)體驗(yàn)。所以,構(gòu)建一個(gè)良好的DNS系統(tǒng)是提升廣電網(wǎng)絡(luò)品質(zhì)的基本要求。

2DNS的類型

2.1按DNS服務(wù)提供方劃分

(1)電信運(yùn)營商電信運(yùn)營商提供的DNS主要是為自己的寬帶用戶提供域名解析服務(wù)。(2)ICPICP(互聯(lián)網(wǎng)內(nèi)容提供商)提供的DNS主要是對(duì)其內(nèi)容進(jìn)行分發(fā)的優(yōu)化調(diào)度,使用戶能就近訪問互聯(lián)網(wǎng)資源。

2.2按DNS功能劃分

(1)根域名DNS根域名服務(wù)器只提供全球頂級(jí)域名的解析服務(wù)。(2)權(quán)威DNS權(quán)威域名服務(wù)器是經(jīng)過上一級(jí)授權(quán)對(duì)域名進(jìn)行解析的服務(wù)器,也可以將解析授權(quán)給其他的服務(wù)器,權(quán)威域名服務(wù)器只會(huì)對(duì)自己所擁有的域名進(jìn)行解析。(3)遞歸DNS遞歸服務(wù)器接受用戶對(duì)任意域名的查詢,并返回結(jié)果給用戶。(4)轉(zhuǎn)發(fā)(緩存)DNS轉(zhuǎn)發(fā)(緩存)服務(wù)器是將DNS的請(qǐng)求轉(zhuǎn)發(fā)給上一級(jí)DNS(通常是遞歸DNS)進(jìn)行解析,自身也對(duì)解析結(jié)果進(jìn)行緩存。對(duì)于廣電網(wǎng)絡(luò)和另外三家電信運(yùn)營商來說,主要需求是給用戶提供域名遞歸服務(wù),但由于DNS訪問量巨大,因此從DNS架構(gòu)設(shè)計(jì)上通常會(huì)增加一層轉(zhuǎn)發(fā)(緩存)服務(wù),進(jìn)行專門的優(yōu)化以提高整個(gè)DNS系統(tǒng)的可靠性。

3廣電網(wǎng)絡(luò)寬帶出口的組成與DNS的關(guān)系

廣電網(wǎng)絡(luò)由于自身定位及發(fā)展的原因,沒有國際互聯(lián)網(wǎng)出口,且國內(nèi)ICP的資源基本上也都集中在另外三大電信運(yùn)營商手中,因此廣電網(wǎng)絡(luò)要發(fā)展寬帶,必須直接或間接與另外三家電信運(yùn)營商進(jìn)行互聯(lián)。廣電網(wǎng)絡(luò)解決寬帶出口問題通常采用以下幾種方式。

3.1直接與其他電信運(yùn)營商互聯(lián)

廣電網(wǎng)絡(luò)直接與其他電信運(yùn)營商合作,完全使用其他電信運(yùn)營商提供的寬帶出口和IP地址。這種情況下,可直接使用其他電信運(yùn)營商的DNS,這種方式甚至無需自建DNS服務(wù)器,但基于如下一些情況,建議還是自建DNS服務(wù)器。(1)及時(shí)響應(yīng)用戶投訴,提高故障處理能力,盡可能少的依賴于其他電信運(yùn)營商。(2)其他電信運(yùn)營商的DNS通常對(duì)無效域名都會(huì)進(jìn)行強(qiáng)制重定向到該運(yùn)營商定制的站點(diǎn)進(jìn)行廣告宣傳,不利于廣電網(wǎng)絡(luò)的品牌宣傳。(3)其他電信運(yùn)營商的DNS通常會(huì)對(duì)單IP的單位時(shí)間訪問量進(jìn)行限制,若超限會(huì)認(rèn)為是被攻擊,通常會(huì)將該IP進(jìn)行屏蔽,廣電網(wǎng)絡(luò)如果采用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)的方式接入寬帶用戶,則很可能會(huì)遇到此問題。

3.2與第三方寬帶出口提供商合作

第三方出口商實(shí)際上也需要從其他電信運(yùn)營商處獲得互聯(lián)網(wǎng)資源,為了降低成本,通常會(huì)引入一些主要ICP的CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))資源,這些資源通過路由和DNS進(jìn)行調(diào)度和優(yōu)化。

3.3廣電網(wǎng)絡(luò)自行引入互聯(lián)網(wǎng)

CDN混合電信運(yùn)營商出口資源廣電網(wǎng)絡(luò)引入互聯(lián)網(wǎng)CDN可將用戶流量盡可能地留在網(wǎng)內(nèi),減少對(duì)其他電信運(yùn)營商純出口的依賴,互聯(lián)網(wǎng)CDN的資源也需要路由與DNS的調(diào)度優(yōu)化。因此,廣電網(wǎng)絡(luò)無論采用以上哪種方式發(fā)展寬帶業(yè)務(wù),自建DNS都是一個(gè)較好的選擇。

4廣電網(wǎng)絡(luò)DNS系統(tǒng)的規(guī)劃與建設(shè)

4.1網(wǎng)絡(luò)發(fā)展初期多出口的DNS架構(gòu)

在網(wǎng)絡(luò)發(fā)展初期,根據(jù)各出口情況分別配置DNS,即分別為每個(gè)第三方出口提供一套DNS服務(wù),如圖1所示。用戶通過防火墻映射,訪問不同ISP(互聯(lián)網(wǎng)服務(wù)提供商)出口的DNS,不同的ISP出口所使用的DNS通過防火墻策略調(diào)度走不同的ISP出口;同時(shí),考慮DNS橫向擴(kuò)展提高并發(fā)能力,使用負(fù)載均衡設(shè)備進(jìn)行調(diào)度。此方案在用戶發(fā)展到一定規(guī)模后,會(huì)存在如下一些問題。(1)使用不同ISP出口的用戶需要配置不同的DNS地址,如果出口數(shù)多,則容易對(duì)一線維護(hù)人員造成困擾。(2)防火墻容易成為整個(gè)網(wǎng)絡(luò)的瓶頸,因?yàn)镈NS服務(wù)使用的是無連接狀態(tài)的UDP,防火墻的Session數(shù)容易被占滿,特別是在針對(duì)DNS的DDoS攻擊時(shí),如果防火墻Session被占滿,則所有DNS將無法再提供服務(wù)。(3)負(fù)載均衡設(shè)備也有可能成為整個(gè)DNS系統(tǒng)網(wǎng)絡(luò)的瓶頸,當(dāng)遭受DDoS攻擊的時(shí)候,也將導(dǎo)致所有的DNS無法提供服務(wù)。

4.2緩存+遞歸的二級(jí)架構(gòu)

在網(wǎng)絡(luò)發(fā)展到一定規(guī)模后,隨著流量的增加與出口的增多,可考慮將DNS分為二級(jí)架構(gòu),部署緩存服務(wù)器和遞歸服務(wù)器,在緩存服務(wù)器上采用視圖的方式將不同用戶的DNS請(qǐng)求轉(zhuǎn)發(fā)到對(duì)應(yīng)的遞歸DNS服務(wù)器上。如此,所有的廣電用戶都可以設(shè)置同樣的DNS地址,即便用戶更換ISP出口也無需變更DNS的配置。同時(shí),對(duì)于營維人員來說,由于所有寬帶出口使用的DNS的IP地址都是相同的,因此也能避免營維人員將DNS與寬帶出口的對(duì)應(yīng)關(guān)系弄混。當(dāng)用戶都將DNS地址設(shè)置為緩存服務(wù)器地址后,緩存DNS系統(tǒng)將會(huì)承載很高壓力,因此需要考慮使用負(fù)載均衡的方式來調(diào)度多臺(tái)緩存DNS,但傳統(tǒng)的負(fù)載均衡設(shè)備也容易成為瓶頸??紤]DNS服務(wù)的特點(diǎn),DNS采用的是UDP協(xié)議,同時(shí)DNS服務(wù)不需要進(jìn)行Session級(jí)別的保持,因此可以使用OSPF(開放路徑最短優(yōu)先)協(xié)議來進(jìn)行負(fù)載均衡的調(diào)度,也就是網(wǎng)絡(luò)設(shè)備和緩存DNS服務(wù)器組之間通過OSPF協(xié)議進(jìn)行路由調(diào)度,通過網(wǎng)絡(luò)的通斷來進(jìn)行服務(wù)調(diào)度。由于OSPF只能進(jìn)行網(wǎng)絡(luò)層的健康檢測(cè),因此在DNS服務(wù)器上需要將DNS服務(wù)與OSPF服務(wù)進(jìn)行關(guān)聯(lián),一旦DNS服務(wù)關(guān)閉,則也需要將OSPF服務(wù)進(jìn)行關(guān)閉。如此,網(wǎng)絡(luò)設(shè)備檢測(cè)到這臺(tái)DNS服務(wù)器的OSPF路由不通,就不會(huì)將流量往這臺(tái)DNS服務(wù)器牽引,從而達(dá)到故障切換和負(fù)載均衡的目的。帶緩存的多出口DNS網(wǎng)絡(luò)架構(gòu)圖如圖2所示。相比圖1所示方案,圖2所示方案增加了緩存DNS,用戶不再直接訪問各ISP出口的遞歸DNS,而是訪問緩存DNS服務(wù)器,緩存服務(wù)器再根據(jù)DNS視圖規(guī)則訪問不同的遞歸服務(wù)器,這樣可以極大程度降低遞歸服務(wù)器的DNS解析請(qǐng)求量,因此遞歸服務(wù)器在設(shè)計(jì)上可以使用圖1的架構(gòu),通過防火墻和負(fù)載均衡設(shè)備進(jìn)行DNS服務(wù)的映射和調(diào)度,由于負(fù)載較低,同時(shí)遞歸服務(wù)器不直接對(duì)用戶提供DNS解析服務(wù),所以遞歸服務(wù)器也可以不使用負(fù)載均衡設(shè)備,緩存服務(wù)器直接通過內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)DNS請(qǐng)求到遞歸服務(wù)器。采用這種方案需要注意的是,由于OSPF協(xié)議不像專業(yè)負(fù)載均衡設(shè)備一樣,可以根據(jù)服務(wù)器的負(fù)載能力進(jìn)行不同的負(fù)載量轉(zhuǎn)發(fā),因此緩存DNS服務(wù)器組中各服務(wù)器的性能最好是一致的,否則最低性能的服務(wù)器容易成為瓶頸,會(huì)導(dǎo)致部分解析請(qǐng)求無法響應(yīng)。

5安全

DNS系統(tǒng)是提供給廣電網(wǎng)絡(luò)寬帶用戶使用的,通常面對(duì)的用戶眾多,屬于半開放的系統(tǒng),DNS系統(tǒng)主要風(fēng)險(xiǎn)在于系統(tǒng)內(nèi)部風(fēng)險(xiǎn)和系統(tǒng)外部風(fēng)險(xiǎn)。5.1內(nèi)部風(fēng)險(xiǎn)內(nèi)部風(fēng)險(xiǎn)主要是DNS軟件自身的漏洞,對(duì)此,系統(tǒng)管理員需要針對(duì)DNS軟件的漏洞及時(shí)更新補(bǔ)丁進(jìn)行修復(fù)。

5.2外部風(fēng)險(xiǎn)

外部風(fēng)險(xiǎn)主要是來自網(wǎng)絡(luò)層面的攻擊,對(duì)于DNS系統(tǒng)來說,常見的攻擊是DDoS攻擊,對(duì)抗DDoS攻擊可以從以下幾個(gè)方面進(jìn)行考慮。(1)在網(wǎng)絡(luò)層面增加ACL(訪問控制列表)控制,只允許廣電網(wǎng)絡(luò)內(nèi)部用戶的IP地址訪問DNS系統(tǒng),嚴(yán)格限制對(duì)外開放的IP和端口。在采用二級(jí)架構(gòu)的時(shí)候,要對(duì)用戶隱藏遞歸服務(wù)器的地址。緩存服務(wù)器只開放DNS服務(wù)的端口即可。(2)提高DNS系統(tǒng)的QPS(每秒查詢量),可以選擇設(shè)計(jì)QPS較高的DNS軟件,提高服務(wù)器硬件配置,如提供更強(qiáng)的CPU、更多的內(nèi)存等;同時(shí),使用負(fù)載均衡技術(shù)進(jìn)行橫向擴(kuò)展,提高系統(tǒng)解析能力。(3)在DNS系統(tǒng)之前增加專業(yè)抗DDoS設(shè)備,對(duì)異常流量先進(jìn)行清洗過濾。(4)若DNS軟件支持,可增加對(duì)每個(gè)客戶端QPS的限制配置。(5)考慮到DNS系統(tǒng)的重要性,對(duì)于省級(jí)廣電網(wǎng)絡(luò)來說,還需要考慮DNS的異地容災(zāi)問題,可以使用網(wǎng)絡(luò)層面的Anycast(任播)技術(shù)來實(shí)現(xiàn)。

6DNS軟件的選擇

DNS軟件的選擇主要需要在功能和性能上考慮,目前使用最廣的DNS軟件是由美國加州大學(xué)伯克利分校開發(fā)和維護(hù)的開源的BIND(伯克利互聯(lián)網(wǎng)域名)軟件。BIND在功能上可以滿足基本需求,但在并發(fā)能力和抗攻擊上相比商業(yè)DNS系統(tǒng)有所不足,雖可通過橫向擴(kuò)展方式進(jìn)行擴(kuò)容增加性能,但也會(huì)相應(yīng)地增加系統(tǒng)的維護(hù)量;同時(shí),在沒有足夠開發(fā)人員的情況下,DNS個(gè)性化方面的需求也難以得到滿足,因此在預(yù)算充足情況下,可考慮采用商業(yè)DNS軟件建設(shè)域名系統(tǒng)。

7結(jié)語

DNS是互聯(lián)網(wǎng)最基本、最重要的服務(wù)之一,福建廣電網(wǎng)絡(luò)作為廣電網(wǎng)絡(luò)運(yùn)營商,近幾年網(wǎng)絡(luò)和用戶規(guī)模逐步發(fā)展,DNS系統(tǒng)也同步根據(jù)網(wǎng)絡(luò)規(guī)模、寬帶出口組成等情況進(jìn)行了升級(jí)優(yōu)化,逐步建設(shè)完成一個(gè)穩(wěn)定可靠的DNS系統(tǒng),保障了寬帶業(yè)務(wù)順利發(fā)展。

參考文獻(xiàn)

[1](美)阿爾貝茨.DNS與BIND(第5版)[M].北京:人民郵電出版社,2014.

[2](美)ThomasM.ThomasII.OSPF網(wǎng)絡(luò)設(shè)計(jì)解決方案(第2版)[M].北京:人民郵電出版社,2004.

作者:王緯城 單位:福建廣電網(wǎng)絡(luò)集團(tuán)股份有限公司