【文章內(nèi)容簡介】 ntio 在兩個操作系統(tǒng)的處理能力基本相同。 ? 四層交換機 – 按設(shè)計指標(biāo)，不需要配置四層交換機 – 四層交換機存在瓶頸問題，并且增加了故障點。 – 目前 Anycast 技術(shù)已經(jīng)成熟，未來可采用 Anycast 方式 進(jìn)行擴(kuò)容， 節(jié)省開支，避免四層瓶頸 ? 防火墻 可以單獨配置防火墻設(shè)備或者使用前端路由設(shè)備的防火墻功能 – 不建議對 DNS 流量進(jìn)行包檢測。 ? DNS 服務(wù)的端口 53 必須提供向用戶服務(wù) ? 防火墻不能阻擋針對 DNS 的攻擊（緩存毒害攻擊） – 通過防火墻設(shè)備可以實現(xiàn) ? 對服務(wù)器本 身的防護(hù) ? 對訪問 IP 地址的限制 ? 流量清洗設(shè)備 （可選） – 在數(shù)據(jù)中心可以配置流量檢測和清洗設(shè)備 – 當(dāng)發(fā)生 DDOS 攻擊時，需要管理員手工干預(yù) 15 DNS 系統(tǒng)設(shè)計性能指標(biāo) 至 2021 年 6月為止， XX 移動 全省移動用戶總數(shù)為 1700 萬；手機上網(wǎng)用戶數(shù)為 800 萬；其中絕大部分為基于 12G的 WAP 和 CMNET 用戶。 從今年開始， XX 移動在全省范圍內(nèi)向用戶提供基于 TDSCDMA 的 3G移動業(yè)務(wù)，預(yù)計到 2021 年底， XX省的手機上網(wǎng)用戶總數(shù)將達(dá)到為 1554 萬。在選定 3G業(yè)務(wù)滲透率為 15％的前提下，使用 3G 移動上網(wǎng)的用戶總數(shù) 為 230 萬。 根據(jù)我們在國內(nèi)現(xiàn)網(wǎng)的經(jīng)驗，在當(dāng)前網(wǎng)絡(luò)情況下， 100 萬寬帶用戶對應(yīng)的平均每秒查詢數(shù)（即 QPS）為 10,00015,000，峰值 QPS 為 25,00030,000。 3G 在國內(nèi)屬于新業(yè)務(wù)，暫時沒有國內(nèi)相關(guān)的 DNS 統(tǒng)計數(shù)據(jù)，根據(jù)國外 CDMA1X和 GPRS 網(wǎng)絡(luò)上的經(jīng)驗值，預(yù)計每 100萬 3G 用戶產(chǎn)生的 DNS 峰值查詢數(shù)為每秒10000 次左右。 同時， XX 移動將努力發(fā)展大客戶和集團(tuán)專線上網(wǎng)業(yè)務(wù)，專線用戶產(chǎn)生的 DNS查詢量較高， 1 萬專線用戶對應(yīng)的峰值 QPS為 5000－ 10000 左右。 根據(jù)以上分析，建議本 次 DNS 系統(tǒng)升級應(yīng)考慮到 2021 年專線和移動 3G用戶數(shù)目增長帶來的 DNS流量增長。具體設(shè)計指標(biāo)如下： 預(yù)計到 2021 年 6 月底， XX 移動 全省 DNS 系統(tǒng)需要支持的峰值每秒查詢數(shù)QPS = 30000； DNS 系統(tǒng)改造的設(shè)計目標(biāo)應(yīng)該滿足 全省 DNS 支持的忙時 QPS = 30,000 在單節(jié)點出現(xiàn)故障的情況下， DNS 系統(tǒng)依然可以滿足全省用戶正常網(wǎng)絡(luò)查詢的需求。即 單節(jié)點可以支持最大 QPS = 30,000 為保證系統(tǒng)穩(wěn)定運行，防范 DDOS 黑客攻擊，系統(tǒng)設(shè)計時應(yīng)考慮足夠的富裕度。在全省 DNS 系 統(tǒng) 正常運行 情況下，服務(wù)器 CPU 平均負(fù)載應(yīng)保持在 30%以下。 單臺服務(wù)器的平均 CPU Load 30% 北京融海公司推薦的 Nominum 公司的緩存域名服務(wù)器系統(tǒng) Vantio 是業(yè)界性能最高的緩存域名服務(wù)器，完全可以滿足 XX移動 的 DNS 系統(tǒng)設(shè)計指標(biāo)。 16 Nominum 建議使用的硬件平臺為基于 X86 架構(gòu)的 PC 服務(wù)器。 參考硬件平臺： DELL R805， 2x Quad Core AMD Opteron 2393SE，內(nèi)存 8GB (4x2GB), 800MHz, Dual Ranked，操作系統(tǒng)為 Redhat Enterprise Linux 。 在上述硬件平臺上運行 Vantio 的現(xiàn)網(wǎng)參考指標(biāo)如下： 在保證服務(wù)質(zhì)量的前提下 ，單臺服務(wù)器支持的最大 QPS 值約為40,000； XX 移動 全省部署兩臺服務(wù)器， DNS支持的最大 QPS 值為 80,000； 單臺服務(wù)器在系統(tǒng)正常情況下的平均 CPU負(fù)載 30%。 系統(tǒng)可管理性設(shè)計 本次擴(kuò)容選配的專業(yè)商用 Nominum DNS 軟件 所有產(chǎn)品系統(tǒng)支持統(tǒng)一的管理架構(gòu)，包括以下類型的管理工具： ? SNMP ? SOAP/XML 接口 ? CC (Command Channel) 命令行交互式管理工具 ? EAC(Engine Administration Console) 基于 Web 的遠(yuǎn)程管理工具，可以方便的修改系統(tǒng)配置，管理域文件，同步主從服務(wù)器。 ? Syslog 和統(tǒng)計 (statistics)功能 融海咨詢基于 DNS 應(yīng)用的特點結(jié)合互聯(lián)網(wǎng)用戶訪問行為分析等需求，開發(fā)出了一套完整的專業(yè) DNS 系統(tǒng)管理分析系統(tǒng)軟件，能夠?qū)?DNS 系統(tǒng)進(jìn)行應(yīng)用級的監(jiān)控管理以及用戶訪問行為分析等功能。后期可根據(jù)需求進(jìn)行選配。 DNS 系統(tǒng)可擴(kuò)展功能設(shè)計 傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺 和網(wǎng)絡(luò)硬件平臺提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上用戶 17 業(yè)務(wù)和用戶流量經(jīng)營的重要性。通過提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運營商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。 DNS 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng)的大規(guī)模發(fā)展對現(xiàn)有 DNS 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。 DNS在 IP 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點的角色?；ヂ?lián)網(wǎng)流量匯聚就是最近在國際國內(nèi)快速發(fā)展的一種新的業(yè)務(wù)。 Nominum 公司作為世界各 地頂級運營商 DNS架構(gòu)的軟件提供商，可以在第一時間了解到運營商的各種增值業(yè)務(wù)需求，并把握到互聯(lián)網(wǎng)上 DNS 未來技術(shù)發(fā)展的動態(tài)。 公司最新推出的 Vantio 業(yè)務(wù)承載平臺就是在 IP域名技術(shù)基礎(chǔ)之上，根據(jù)各大運營商的業(yè)務(wù)要求開發(fā)的的一個通用增值業(yè)務(wù)平臺， Vantio 為網(wǎng)絡(luò)運營商提供了包括錯誤域名轉(zhuǎn)發(fā)在內(nèi)的多項增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所示： 圖一： Vantio軟件系統(tǒng)結(jié)構(gòu) UAR Vantio Base Server (Extensible DNS server for valueadded DNSbased services) Extensible Vantio base server with pluggable DNSbased service delivery modules NXR NXDOMAIN Redirection (NXR) MDR User Access Redirection (UAR) Application: walled gardens First customer: Comcast Malicious Domain Redirection (MDR) Applications: illegal domains, bot rem. First customer: UPC 18 如上圖所示， Nominum 公司的 Vantio 服務(wù)器是在 VANTIO 緩存域 名服務(wù)器技術(shù)基礎(chǔ)上開發(fā)的可擴(kuò)展 DNS 平臺，在 Vantio 平臺上用戶可以按業(yè)務(wù)需求定制多種基于 DNS 的增值業(yè)務(wù)模塊，包括 ? NXR：錯誤域名轉(zhuǎn)發(fā)模塊 ? MDR：非法和惡意域名轉(zhuǎn)發(fā)模塊 ? UAR：用戶接入控制模塊 ? SML：垃圾郵件控制模塊 本次 DNS 系統(tǒng)規(guī)劃中 Anycast 架構(gòu)設(shè)計規(guī)劃 Anycast方式最初定義于 RFC1546，意為處于互聯(lián)網(wǎng)中的一臺主機向某一Anycast地址發(fā)送 IP協(xié)議報文，互聯(lián)網(wǎng)負(fù)責(zé)將其送往一個接收目的地址為 Anycast地址的主機。這里 Anycast地址定義為用于實現(xiàn)主機標(biāo)記的 IPv4或 IPv6地址，可能有多個互聯(lián)網(wǎng)主機接收目的地為該地址的 IP報文。 利用 Anycast技術(shù)，提供同一類服務(wù)的所有服務(wù)器可配置同一個 Anycast IP地址，路由系統(tǒng)自動將服務(wù)請求送至最近的服務(wù)器。 圖： Anycast技術(shù)原理 Anycast 是目前當(dāng)前應(yīng)用較廣的負(fù)載均衡技術(shù)。國外很多 DNS 系統(tǒng)都應(yīng)用了Anycast技術(shù)，它具有以下優(yōu)點： ? 優(yōu)點：全網(wǎng)負(fù)載均衡較好，用戶按地域的就近訪問，網(wǎng)絡(luò)時延小；強大的冗余備份功能，域名解析服務(wù)不依賴于少數(shù)幾個節(jié)點的連通性，每個節(jié)點都具有冗 19 余備份功能，節(jié)點越多冗余備份功能 越強；能有效預(yù)防 DDoS 攻擊；有利于IPv6 網(wǎng)絡(luò)的部署，節(jié)點升級對用戶幾乎沒有影響。 Anycast 技術(shù)既可以在整個網(wǎng)絡(luò)間使用，也可以在單節(jié)點內(nèi)采用等價路由實現(xiàn)負(fù)載分擔(dān)，通過前期測試，其負(fù)載基本維持在 1： 1 的比例，負(fù)載差異最大在 10%以內(nèi)，能夠滿足一般節(jié)點的負(fù)載均衡要求。 一般在省級的 DNS 系統(tǒng)中，為保證系統(tǒng)的可維護(hù)性，建議采用節(jié)點內(nèi) Anycast架構(gòu)，其原理如圖所示： DFAG110 . 30 . 0 . 110 . 5 . 0 . 1 ( A )So urce172 . 16 . 0 . 11EB C10 . 20 . 0 . 110 . 5 . 0 . 1 ( A )10 . 10 . 0 . 110 . 5 . 0 . 1 ( A )12212So urce172 . 17 . 0 . 12 圖：節(jié)點內(nèi) Anycast 示意圖 ※ Anycast 架構(gòu)與四層交換機架構(gòu)優(yōu)缺 點對比 四層交換機架構(gòu)的優(yōu)點： ? 擴(kuò)容簡單 ? 負(fù)載均衡比例可設(shè)置 四層交換機架構(gòu)的缺點： ? 系統(tǒng)瓶頸，四層交換機癱瘓會導(dǎo)致整個節(jié)點癱瘓（根據(jù)統(tǒng)計，國內(nèi) DNS 系統(tǒng)節(jié)點故障的 80%集中在四層交換機） ? 硬件無法升級，需要重復(fù)投資（支持的會話數(shù)無法升級，每次擴(kuò)容需要購買更強的四層交換機） Anycast 架構(gòu)的優(yōu)點 ： ? 擴(kuò)容簡單 ,設(shè)計靈活（既可設(shè)計廣域的 Anycast 架構(gòu)，也可設(shè)計節(jié)點內(nèi)的Anycast 架構(gòu)） 20 ? 多臺服務(wù)器自動形成冗余備份，不會造成 DNS 節(jié)點整理癱瘓 ? 無需購買硬件，現(xiàn)有的核心路由器即可支持 Anycast 架構(gòu)的 缺點： ? 負(fù)載無法按照設(shè)置分配，其服務(wù)器分配流量均在 1： 1，要求服務(wù)器處理能力相當(dāng) 21 四 、 XX 移動 DNS 系統(tǒng)升級改造 項目實施內(nèi)容及計劃 考慮到系統(tǒng)實施的復(fù)雜性及涉及的范圍，融海咨詢對本項目的具體實現(xiàn)方式、進(jìn)度安排等實施方案建議如下。 項目組織結(jié)構(gòu) 我們建議的項目組織結(jié)構(gòu)如圖 5－ 1 所示。 公 司 高 層 領(lǐng) 導(dǎo) 客 戶 方 技 術(shù) 負(fù) 責(zé) 人公 司 項 目 經(jīng) 理 客 戶 方 項 目 經(jīng) 理項目管理系統(tǒng)工程師實施工程師培訓(xùn)人員協(xié)調(diào)人員技術(shù)人員操作人員測試人員融 海 咨 詢客 戶 方 圖 5－ 1 項目組織結(jié)構(gòu)圖 用戶和公司各派出高層領(lǐng)導(dǎo)擔(dān)任本項目負(fù)責(zé)人，把握項目的方向、決定項目的重大事項、協(xié)調(diào)雙方的關(guān)系。 項目經(jīng)理由公司和客戶各派一人擔(dān)任，負(fù)責(zé)項目計劃、組織和分工、控制項目進(jìn)度、考核項目人員業(yè)績、協(xié)調(diào)項目人員間的關(guān)系。項目管理的具體工作主要由公司的項目經(jīng)理負(fù)責(zé)，但客戶方也應(yīng)派出項目經(jīng)理（項目負(fù)責(zé)人），參與項目管理。 項目實施配合需求 在工程實施過程中，需要 XX 移動 配合提供的環(huán)境保障方面的工作有： (1)、提供硬件服務(wù)器，提供網(wǎng)絡(luò)環(huán)境。 22 提供安裝 VANTIO軟件的硬件服務(wù)器及網(wǎng)絡(luò)安裝環(huán)境（包括 IP 等），以便順利安裝調(diào)試軟件。 (2)、提供 新的系統(tǒng)分配 IP，以便配合 VANTIO設(shè)置支持范圍。 23 五 、技術(shù)及售后服務(wù)內(nèi)容 標(biāo)準(zhǔn)技