移動(dòng)DNS系統(tǒng)擴(kuò)容改造項(xiàng)目技術(shù)建議書

1、移動(dòng)DNS系統(tǒng)擴(kuò)容改造項(xiàng)目技術(shù)建議書目 錄一、DNS 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹41.DNS 業(yè)務(wù)發(fā)展介紹42、國(guó)內(nèi)主流 DNS 建設(shè)使用情況分析5二、*移動(dòng) DNS 系統(tǒng)現(xiàn)狀分析81、*移動(dòng) DNS 系統(tǒng)現(xiàn)狀82、現(xiàn)有系統(tǒng)運(yùn)行數(shù)據(jù)測(cè)算93、DNS 系統(tǒng)處理能力設(shè)計(jì)需求分析11三、*移動(dòng) DNS 系統(tǒng)升級(jí)改造設(shè)計(jì)方案121、DNS 系統(tǒng)改造方案122、DNS 組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計(jì)分析143、DNS 系統(tǒng)設(shè)計(jì)性能指標(biāo)154、系統(tǒng)可管理性設(shè)計(jì)165、DNS 系統(tǒng)可擴(kuò)展功能設(shè)計(jì)166、本次 DNS 系統(tǒng)規(guī)劃中 Anycast 架構(gòu)設(shè)計(jì)規(guī)劃18四、*移動(dòng) DNS 系統(tǒng)升級(jí)改造項(xiàng)目實(shí)施內(nèi)容及計(jì)劃211

2、、項(xiàng)目組織結(jié)構(gòu)212、項(xiàng)目實(shí)施配合需求21五、技術(shù)及售后服務(wù)內(nèi)容231、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容232、故障級(jí)別233、響應(yīng)時(shí)長(zhǎng)244、高級(jí)服務(wù)24六、培訓(xùn)計(jì)劃26附件 1、Nominum 公司 DNS 系統(tǒng)解決方案271、Nominum 公司介紹272、Nominum 運(yùn)營(yíng)商級(jí)專業(yè) DNS 系統(tǒng)273、Nominum DNS 架構(gòu)的優(yōu)點(diǎn)29附件 2、Vantio 產(chǎn)品介紹311、Vantio 簡(jiǎn)介312、Vantio 的系統(tǒng)安全性介紹323、VANTIO 系統(tǒng)可靠性介紹334、Vantio 的網(wǎng)絡(luò)延時(shí)性能345、系統(tǒng)管理工具341)網(wǎng)絡(luò)設(shè)備性能監(jiān)測(cè)352)服務(wù)器性能監(jiān)測(cè)353)CNS（Vantio）

3、及 Bind 系統(tǒng)性能及可用性監(jiān)測(cè)364)CNS（Vantio）及 Bind 基本配置管理365)響應(yīng)時(shí)間及 DNS 系統(tǒng)可用性監(jiān)測(cè)（從用戶角度體驗(yàn)式分析系統(tǒng)可用性） 376)監(jiān)控告警377)報(bào)表分析38附件 3、軟件性能測(cè)試對(duì)比數(shù)據(jù)411、VANTIO 服務(wù)器性能測(cè)試結(jié)果412、VANTIO 和 Bind 的比較數(shù)據(jù)41附錄 A VANTIO 和 BIND 的功能比較43附錄 B Nominum 公司全球部分用戶列表44一、DNS 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹1.DNS 業(yè)務(wù)發(fā)展介紹隨著移動(dòng)數(shù)據(jù)業(yè)務(wù)的不斷推廣以及 3G 移動(dòng)互聯(lián)網(wǎng)的推出，移動(dòng)數(shù)據(jù)應(yīng)用增長(zhǎng)迅猛，*移動(dòng) WAP 用戶普及率已經(jīng)達(dá)到

4、 50%左右，WAP 上網(wǎng)用戶的增加以及 WAP 應(yīng)用的不斷豐富帶來了 DNS 請(qǐng)求量的大幅增長(zhǎng)，DNS 系統(tǒng)作為數(shù)據(jù)業(yè)務(wù)應(yīng)用以及互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)支撐平臺(tái)，在數(shù)據(jù)業(yè)務(wù)和移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的支撐方面有著非常重要的作用。建設(shè)一個(gè)穩(wěn)定、安全、高效的 DNS 系統(tǒng)已成為*移動(dòng)業(yè)務(wù)發(fā)展的必然需要。今年以來，5.19 以及 7.30 等多次斷網(wǎng)事件都是因?yàn)?DNS 系統(tǒng)的安全穩(wěn)定性不夠高而導(dǎo)致了數(shù)據(jù)業(yè)務(wù)以及互聯(lián)網(wǎng)應(yīng)用癱瘓，這些事件的發(fā)生給我們的 DNS 系統(tǒng)建設(shè)提出更高的要求。同時(shí)，傳統(tǒng)的運(yùn)營(yíng)商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺(tái)和網(wǎng)絡(luò)硬件平臺(tái)提供 者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運(yùn)營(yíng)商意識(shí)

5、到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務(wù)和用戶流量經(jīng)營(yíng)的重要性。通過提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運(yùn)營(yíng)商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。 業(yè)務(wù)上的需求也產(chǎn)生了對(duì)運(yùn)營(yíng)商的 DNS 系統(tǒng)提出了新的要求：1、DNS 是互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗(yàn)，因特網(wǎng)的大規(guī)模發(fā)展對(duì)現(xiàn)有 DNS 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。2、DNS 在 IP 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點(diǎn)的角色。lDNS 是所有 IP 應(yīng)用的核心，互聯(lián)網(wǎng)上面幾乎的所有應(yīng)用都要使用 DNS。l對(duì)于絕大多數(shù)應(yīng)用，用戶首先會(huì)訪問 DNS，DNS 是業(yè)務(wù)層面的第一“接觸點(diǎn)”。lDNS

6、系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 DNS 上發(fā)展新業(yè)務(wù)不需要修改網(wǎng)絡(luò)結(jié)構(gòu)。在 DNS 軟件基礎(chǔ)上為用戶提供增值業(yè)務(wù)開銷最小，具有性價(jià)比的優(yōu)勢(shì)。2、國(guó)內(nèi)主流 DNS 建設(shè)使用情況分析(1).目前典型的 DNS 組網(wǎng)架構(gòu)沿襲技術(shù)的發(fā)展，目前國(guó)內(nèi)電信運(yùn)營(yíng)商除個(gè)別 DNS 壓力較少的省份外，基本上采用四層交換機(jī)的架構(gòu)組建 DNS 系統(tǒng)。每個(gè)節(jié)點(diǎn)利用四層交換機(jī)進(jìn)行負(fù)載分擔(dān)到各臺(tái) DNS 服務(wù)器。DNS 服務(wù)器大部分采用商用 DNS 軟件 CNS（Vantio）服務(wù)器替代了免費(fèi)的 Bind 服務(wù)器。例如：*電信 DNS 系統(tǒng)的結(jié)構(gòu)圖如下:圖 0-1 四川電信DNS 節(jié)點(diǎn)結(jié)構(gòu)*電信 DNS 系統(tǒng)部署于成都新華樞紐樓，

7、設(shè)備情況包括：北電 Alteon2424 四臺(tái)、F5 一臺(tái)、SUN 490 兩臺(tái)、SUN X4100 兩臺(tái)、SUN E2900 一臺(tái)、SUN T2000 兩臺(tái)、Dell 2950 一臺(tái)、HP DL360 4 四臺(tái)。DNS 平臺(tái)使用軟件包括：bind、CNS（VANTIO）、ANS。授權(quán)服務(wù)器與緩存服務(wù)器實(shí)現(xiàn)分開設(shè)置。(2).四層交換機(jī)架構(gòu)目前普遍出現(xiàn)的問題l投資壓力，由于四層交換機(jī)的會(huì)話數(shù)有限，無法進(jìn)行硬件升級(jí)。因此當(dāng) DNS流量上升到一定程度時(shí)，經(jīng)常需要更換新的硬件，無法實(shí)現(xiàn)有效投資保護(hù)。l性能瓶頸，根據(jù)中國(guó)電信的統(tǒng)計(jì)，在 80%左右的 DNS 節(jié)點(diǎn)癱瘓的重大故障中，均和四層交換機(jī)性能不足有

8、一定得關(guān)系。l免費(fèi)的 DNS 軟件穩(wěn)定性、安全性、可管理性、業(yè)務(wù)增值應(yīng)用擴(kuò)展性以及分析性等均無法保障。由此造成了多次大面積的業(yè)務(wù)故障事故。已經(jīng)不能適應(yīng)目前運(yùn)營(yíng)商業(yè)務(wù)發(fā)展的需要。(3).DNS 架構(gòu)的發(fā)展方向 Anycast 及 CNS（Vantio）商業(yè)軟件目前在國(guó)外的電信行業(yè)中，Anycast 架構(gòu)已經(jīng)廣泛應(yīng)用于 DNS 系統(tǒng)。在很多域名的根節(jié)點(diǎn)及 DNS 遞歸節(jié)點(diǎn)中采用。在國(guó)內(nèi)的中國(guó)電信集團(tuán)的 CN2 網(wǎng)絡(luò) DNS 系統(tǒng)及部分省市已經(jīng)采用。圖：中國(guó)電信CN2 DNS 體系架構(gòu)中國(guó)電信 CN2 的 DNS 系統(tǒng)由四個(gè)節(jié)點(diǎn)組成，每個(gè)節(jié)點(diǎn)由三臺(tái)采用 CNS 的服務(wù)器組成。Anycast 架構(gòu)的優(yōu)

9、點(diǎn)l利用 ECMP 等價(jià)路由，實(shí)現(xiàn)負(fù)載分擔(dān)（目前的路由器一般最大支持 16 臺(tái)服務(wù)器）l節(jié)省投資，直接在核心路由器上實(shí)現(xiàn)，無需另外采購硬件擴(kuò)容容易，節(jié)點(diǎn)增加服務(wù)器時(shí)，只需要配置好相應(yīng)的路由進(jìn)程即可平滑進(jìn)行擴(kuò)容最新擴(kuò)容調(diào)整后*電信的 DNS 架構(gòu)如下:圖：*電信 DNS 系統(tǒng)二、*移動(dòng) DNS 系統(tǒng)現(xiàn)狀分析1、*移動(dòng) DNS 系統(tǒng)現(xiàn)狀*移動(dòng)目前全省共有 2 個(gè) DNS 服務(wù)器。兩臺(tái)服務(wù)器采用 Bind 軟件，同時(shí)作為授權(quán)及遞歸服務(wù)器使用。隨著移動(dòng) 3G 網(wǎng)絡(luò)的開通，各種基于無線數(shù)據(jù)網(wǎng)的寬帶業(yè)務(wù)逐步增加，例如 類型的個(gè)性化用戶服務(wù)網(wǎng)站和多媒體郵件，導(dǎo)致網(wǎng)絡(luò)上 DNS 的請(qǐng)求呈現(xiàn)指數(shù)型增長(zhǎng)趨勢(shì)。（見

10、下圖）1983198199199820032008圖：DNS 應(yīng)用的增長(zhǎng)趨勢(shì)圖目前*移動(dòng) DNS 系統(tǒng)存在的主要問題：l域名解析服務(wù)器負(fù)載高；n無法滿足用戶數(shù)請(qǐng)求數(shù)量遞增的趨勢(shì)nBind 服務(wù)器不夠穩(wěn)定，處理能力有限（在 CPU 負(fù)荷 60%時(shí)極限處理能力為6000QPS）,按照*移動(dòng)目前的用戶增長(zhǎng)速度預(yù)測(cè)，到 2010 年初，DNS 系統(tǒng)nBind 服務(wù)器容易受到 DOS&DDOS 攻擊的影響l現(xiàn)行 DNS 管理方式不便；l安全性較低，容易遭受攻擊l難以對(duì)域名請(qǐng)求的內(nèi)容進(jìn)行統(tǒng)計(jì)和分析l難以處理域名服務(wù)器中的垃圾數(shù)據(jù)；沒有得到及時(shí)的 DNS 問題響應(yīng)和處理支持。2、現(xiàn)有系統(tǒng)運(yùn)行數(shù)據(jù)測(cè)算利用 D

11、NS 管理分析手段對(duì)*移動(dòng)兩套 DNS 系統(tǒng)在線統(tǒng)計(jì)，發(fā)現(xiàn)目前兩節(jié)點(diǎn)的Qps 增長(zhǎng)速度較快。目前*移動(dòng) DNS 節(jié)點(diǎn)的高峰 Qps 已經(jīng)接近 6000。在 2008 年 7 月 Bind 免費(fèi) DNS 軟件爆出重大 Bug，在升級(jí)后，其處理能力有 一定程度的下降。通過統(tǒng)計(jì)發(fā)現(xiàn)樞紐節(jié)點(diǎn)的處理能力已經(jīng)接近其峰值，具體的數(shù)據(jù)如下：時(shí)間服務(wù)器CPU %QPS2009.7.02Dns144.39-49.443340.47-4631.722009.7.04Dns245.91-52.913520.23-4922.132009.7.22Dns137.43-41.093637.92-5052.752009.7.

12、29Dns236.52-42.383889.80-6090.972009.8.25Dns138.12-43.923494.46-5859.792009.8.26Dns239.42-43.563569.64-6514.392009.8.22Dns136.54-42.653481.18-6024.542009.8.23Dns236.32-41.643666.06-5777.74表一：近期樞紐節(jié)點(diǎn)數(shù)據(jù)采集圖：2009 年 8 月 9 日 21 點(diǎn) CNS 實(shí)時(shí)數(shù)據(jù)考慮到目前免費(fèi)的 Bind 軟件在升級(jí)后，處理能力的下降，DNS 節(jié)點(diǎn)目前已經(jīng)接近極限處理峰值。同時(shí)免費(fèi)的 Bind 軟件安全性無法保障因

13、素，需要近期盡快對(duì)整個(gè)*移動(dòng) DNS 系統(tǒng)進(jìn)行升級(jí)，以提高系統(tǒng)的處理能力、安全措施以及冗余能力從而保障數(shù)據(jù)業(yè)務(wù)的穩(wěn)定高效以及良好發(fā)展。3、DNS 系統(tǒng)處理能力設(shè)計(jì)需求分析根據(jù)中國(guó)移動(dòng)*公司數(shù)據(jù)業(yè)務(wù)發(fā)展規(guī)劃，到 2012 年，全省手機(jī)上網(wǎng)用戶將發(fā)展到 1554 萬戶。 詳見下表：表 52009 2012 年*移動(dòng)手機(jī)上網(wǎng)用戶預(yù)測(cè)表目前，在高峰期全省用戶 QPS 達(dá)到萬 15000 左右，達(dá)到目前 DNS 系統(tǒng)總處理能力的 55，要保證 DNS 系統(tǒng)穩(wěn)定安全運(yùn)行應(yīng)保持業(yè)務(wù)量在系統(tǒng)最大處理能力的30%以內(nèi)，按照以上預(yù)測(cè)結(jié)果以及規(guī)則，DNS 業(yè)務(wù)需求表如下表所示：表 22009 2012 年*電信 D

14、NS 業(yè)務(wù)需求表手機(jī)上網(wǎng)用戶數(shù)8401554QPS1000019000三、*移動(dòng) DNS 系統(tǒng)升級(jí)改造設(shè)計(jì)方案1、DNS 系統(tǒng)改造方案通過分析*移動(dòng)現(xiàn)網(wǎng) DNS 結(jié)構(gòu)和流量數(shù)據(jù)，北京融海公司建議的 DNS 改造方案如下：（1） 、分離授權(quán)和緩存域名解析功能DNS 的授權(quán)功能是對(duì)本地負(fù)責(zé)的域名實(shí)現(xiàn)解析功能，為全球用戶提供服務(wù)；而緩存功能則是運(yùn)營(yíng)商為本網(wǎng)用戶提供的 DNS 查詢緩存功能，同一臺(tái) DNS 服務(wù)器充當(dāng)兩個(gè)職責(zé)會(huì)帶來嚴(yán)重的安全問題。為了分離授權(quán)和緩存，我們建議：保留原 DNS 服務(wù)器為授權(quán) DNS 使用。（2）、新建專業(yè)商用軟件的緩存 DNS 節(jié)點(diǎn)，分配新的 IP 地址。a) 在兩個(gè)異地

15、備份節(jié)點(diǎn)各部署一臺(tái) Vantio 服務(wù)器，兩個(gè)節(jié)點(diǎn)互為冗余備份。當(dāng)用戶設(shè)置的第一域名服務(wù)器出現(xiàn)故障的情況下，用戶的 DNS 請(qǐng)求會(huì)由操作系統(tǒng)自動(dòng)切換到第二域名服務(wù)器。b) 負(fù)載分擔(dān)：疆內(nèi)部份用戶使用 A 節(jié)點(diǎn)做為第一域名服務(wù)器，B 節(jié)點(diǎn)作為備用域名服務(wù)器，另外一部分用戶使用 B 節(jié)點(diǎn)做為第一域名服務(wù)器，A 節(jié)點(diǎn)作為備用域名服務(wù)器。c) 第一階段，倆節(jié)點(diǎn)均可以采用常規(guī)的單機(jī)模式,根據(jù)業(yè)務(wù)增長(zhǎng)趨勢(shì)，可以靈活的變更為四層交換機(jī)架構(gòu)或 Anycast 架構(gòu)。按照授權(quán)與遞歸分離的原則，*移動(dòng)新建 DNS 系統(tǒng)的架構(gòu)如下所示：CMNET國(guó)干網(wǎng)報(bào)話 M320-1報(bào)話 M320-2M320GEGE2.5 GN

16、E5kE-110 GNE5kE-2GEGEGE8508-1FEFE2GE8508-2Si3550FEFE授權(quán)服務(wù)器遞歸服務(wù)器授權(quán)服務(wù)器 遞歸服務(wù)器DNS-1Vantio DNS-1DNS-1Vantio DNS-2圖：*移動(dòng) DNS 系統(tǒng)架構(gòu)（3）、該方案的主要優(yōu)點(diǎn)如下： 在 DNS 改造過程中，保證原授權(quán)域名解析功能的正常運(yùn)行。 新增緩存 DNS 節(jié)點(diǎn)的建設(shè)不影響現(xiàn)有系統(tǒng)的運(yùn)行，整個(gè)升級(jí)改造過程可以實(shí)現(xiàn)服務(wù)無中斷，保證升級(jí)過程中用戶對(duì) DNS 的正常使用。 在保證和提升了性能的前提下極大的節(jié)省了硬件投資，并提供了將來通過硬件升級(jí)進(jìn)一步提高系統(tǒng)性能的可行性。 未來可以方便的通過部署ANYCAS

17、T 方式以及增加服務(wù)器進(jìn)行系統(tǒng)擴(kuò)容升級(jí)。無需對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行大的調(diào)整。2、DNS 組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計(jì)分析l 服務(wù)器的配置：新增 2 臺(tái)服務(wù)器，建議使用基于 X86 的 PC 服務(wù)器平臺(tái)建議的服務(wù)器配置如下：CPU內(nèi)存硬盤操作系統(tǒng)Sun X4150Xeon(R)4x2GB PC2-2x 146GB 10K RPM 2.5SolarisX5460（3.16GHz）*25300 667MHz ECC DDR2SAS drives10 X86注：采用 Sun 的服務(wù)器主要是考慮到 Solaris 10 的操作系統(tǒng)的安全性相比Redhat AS5 要高。用戶可根據(jù)此推薦配置選擇性能相當(dāng)?shù)?PC 服務(wù)器

18、，可以安裝Redhat AS5 操作系統(tǒng)。Vantio 在兩個(gè)操作系統(tǒng)的處理能力基本相同。l 四層交換機(jī)按設(shè)計(jì)指標(biāo)，不需要配置四層交換機(jī)四層交換機(jī)存在瓶頸問題，并且增加了故障點(diǎn)。目前 Anycast 技術(shù)已經(jīng)成熟，未來可采用 Anycast 方式進(jìn)行擴(kuò)容，節(jié)省開支，避免四層瓶頸l 防火墻 - 可以單獨(dú)配置防火墻設(shè)備或者使用前端路由設(shè)備的防火墻功能不建議對(duì) DNS 流量進(jìn)行包檢測(cè)。 DNS 服務(wù)的端口 53 必須提供向用戶服務(wù) 防火墻不能阻擋針對(duì) DNS 的攻擊（緩存毒害攻擊）通過防火墻設(shè)備可以實(shí)現(xiàn) 對(duì)服務(wù)器本身的防護(hù) 對(duì)訪問 IP 地址的限制l 流量清洗設(shè)備（可選）在數(shù)據(jù)中心可以配置流量檢測(cè)和

19、清洗設(shè)備當(dāng)發(fā)生 DDOS 攻擊時(shí)，需要管理員手工干預(yù)3、DNS 系統(tǒng)設(shè)計(jì)性能指標(biāo)至 2009 年 6 月為止，*移動(dòng)全省移動(dòng)用戶總數(shù)為 1700 萬；手機(jī)上網(wǎng)用戶數(shù)為800 萬；其中絕大部分為基于 1-2G 的 WAP 和 CMNET 用戶。從今年開始，*移動(dòng)在全省范圍內(nèi)向用戶提供基于 TD-SCDMA 的 3G 移動(dòng)業(yè)務(wù)，預(yù)計(jì)到 2012 年底，*省的手機(jī)上網(wǎng)用戶總數(shù)將達(dá)到為 1554 萬。在選定 3G 業(yè)務(wù)滲透率為 15的前提下，使用 3G 移動(dòng)上網(wǎng)的用戶總數(shù)為 230 萬。根據(jù)我們?cè)趪?guó)內(nèi)現(xiàn)網(wǎng)的經(jīng)驗(yàn)，在當(dāng)前網(wǎng)絡(luò)情況下，100 萬寬帶用戶對(duì)應(yīng)的平均每秒查詢數(shù)（即 QPS）為 10,000-1

20、5,000，峰值 QPS 為 25,000-30,000。3G 在國(guó)內(nèi)屬于新業(yè)務(wù)，暫時(shí)沒有國(guó)內(nèi)相關(guān)的 DNS 統(tǒng)計(jì)數(shù)據(jù)，根據(jù)國(guó)外 CDMA1X 和 GPRS 網(wǎng)絡(luò)上的經(jīng)驗(yàn)值，預(yù)計(jì)每 100 萬 3G 用戶產(chǎn)生的 DNS 峰值查詢數(shù)為每秒10000 次左右。同時(shí)，*移動(dòng)將努力發(fā)展大客戶和集團(tuán)專線上網(wǎng)業(yè)務(wù)，專線用戶產(chǎn)生的 DNS 查詢量較高，1 萬專線用戶對(duì)應(yīng)的峰值 QPS 為 500010000 左右。根據(jù)以上分析，建議本次 DNS 系統(tǒng)升級(jí)應(yīng)考慮到 2012 年專線和移動(dòng) 3G 用戶數(shù)目增長(zhǎng)帶來的 DNS 流量增長(zhǎng)。具體設(shè)計(jì)指標(biāo)如下：1、預(yù)計(jì)到 2012 年 6 月底，*移動(dòng)全省 DNS 系統(tǒng)

21、需要支持的峰值每秒查詢數(shù)QPS = 30000； DNS 系統(tǒng)改造的設(shè)計(jì)目標(biāo)應(yīng)該滿足全省 DNS 支持的忙時(shí) QPS = 30,0002、在單節(jié)點(diǎn)出現(xiàn)故障的情況下，DNS 系統(tǒng)依然可以滿足全省用戶正常網(wǎng)絡(luò)查詢的需求。即單節(jié)點(diǎn)可以支持最大 QPS = 30,0003、為保證系統(tǒng)穩(wěn)定運(yùn)行，防范 DDOS 黑客攻擊，系統(tǒng)設(shè)計(jì)時(shí)應(yīng)考慮足夠的富裕度。在全省 DNS 系統(tǒng)正常運(yùn)行情況下，服務(wù)器CPU 平均負(fù)載應(yīng)保持在 30%以下。單臺(tái)服務(wù)器的平均 CPU Load 30%北京融海公司推薦的 Nominum 公司的緩存域名服務(wù)器系統(tǒng) Vantio 是業(yè)界性能最高的緩存域名服務(wù)器，完全可以滿足*移動(dòng)的 DNS

22、 系統(tǒng)設(shè)計(jì)指標(biāo)。Nominum 建議使用的硬件平臺(tái)為基于 X86 架構(gòu)的 PC 服務(wù)器。參考硬件平臺(tái)：DELL R805，2x Quad Core AMD Opteron 2393SE，內(nèi)存 8GB (4x2GB), 800MHz, Dual Ranked，操作系統(tǒng)為 Redhat Enterprise Linux v5.3。在上述硬件平臺(tái)上運(yùn)行 Vantio v4.0 的現(xiàn)網(wǎng)參考指標(biāo)如下：在保證服務(wù)質(zhì)量的前提下，單臺(tái)服務(wù)器支持的最大QPS 值約為40,000；*移動(dòng)全省部署兩臺(tái)服務(wù)器，DNS 支持的最大 QPS 值為 80,000； 單臺(tái)服務(wù)器在系統(tǒng)正常情況下的平均 CPU 負(fù)載 30%。4

23、、系統(tǒng)可管理性設(shè)計(jì)本次擴(kuò)容選配的專業(yè)商用 Nominum DNS 軟件所有產(chǎn)品系統(tǒng)支持統(tǒng)一的管理架構(gòu)，包括以下類型的管理工具：SNMPSOAP/XML 接口CC (Command Channel) 命令行交互式管理工具EAC(Engine Administration Console) - 基于 Web 的遠(yuǎn)程管理工具，可以方便的修改系統(tǒng)配置，管理域文件，同步主從服務(wù)器。Syslog 和統(tǒng)計(jì)(statistics)功能融海咨詢基于 DNS 應(yīng)用的特點(diǎn)結(jié)合互聯(lián)網(wǎng)用戶訪問行為分析等需求，開發(fā)出了一套完整的專業(yè) DNS 系統(tǒng)管理分析系統(tǒng)軟件，能夠?qū)?DNS 系統(tǒng)進(jìn)行應(yīng)用級(jí)的監(jiān)控管理以及用戶訪問行為分

24、析等功能。后期可根據(jù)需求進(jìn)行選 配。5、DNS 系統(tǒng)可擴(kuò)展功能設(shè)計(jì)傳統(tǒng)的運(yùn)營(yíng)商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺(tái)和網(wǎng)絡(luò)硬件平臺(tái)提供者，隨著 互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運(yùn)營(yíng)商意識(shí)到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務(wù)和用戶流量經(jīng)營(yíng)的重要性。通過提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運(yùn)營(yíng)商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。DNS 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗(yàn)，因特網(wǎng)的大規(guī)模發(fā)展對(duì)現(xiàn)有 DNS 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。DNS 在 IP 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點(diǎn)的角色?；ヂ?lián)網(wǎng)流量匯聚就是最近在國(guó)際國(guó)內(nèi)快速發(fā)展的一種新的業(yè)務(wù)。

25、Nominum 公司作為世界各地頂級(jí)運(yùn)營(yíng)商 DNS 架構(gòu)的軟件提供商，可以在第一時(shí)間了解到運(yùn)營(yíng)商的各種增值業(yè)務(wù)需求，并把握到互聯(lián)網(wǎng)上 DNS 未來技術(shù)發(fā)展的動(dòng) 態(tài)。公司最新推出的 Vantio 業(yè)務(wù)承載平臺(tái)就是在 IP 域名技術(shù)基礎(chǔ)之上，根據(jù)各大運(yùn)營(yíng)商的業(yè)務(wù)要求開發(fā)的的一個(gè)通用增值業(yè)務(wù)平臺(tái)，Vantio 為網(wǎng)絡(luò)運(yùn)營(yíng)商提供了包括錯(cuò)誤域名轉(zhuǎn)發(fā)在內(nèi)的多項(xiàng)增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所示：圖一：Vantio 軟件系統(tǒng)結(jié)構(gòu)NXDOMAIN Redirection (NXR)User Access Redirection (UAR) Application: walled gardens First

26、 customer: ComcastNXRUARMDRVantio Base Server(Extensible DNS server for value-added DNS-based services)Malicious Domain Redirection (MDR) Applications: illegal domains, bot rem. First customer: UPCExtensible Vantio base server with pluggable DNS-based service delivery modules如上圖所示，Nominum 公司的 Vantio

27、 服務(wù)器是在 VANTIO 緩存域名服務(wù)器技術(shù)基礎(chǔ)上開發(fā)的可擴(kuò)展 DNS 平臺(tái)，在 Vantio 平臺(tái)上用戶可以按業(yè)務(wù)需求定制多種基于 DNS 的增值業(yè)務(wù)模塊，包括NXR：錯(cuò)誤域名轉(zhuǎn)發(fā)模塊MDR：非法和惡意域名轉(zhuǎn)發(fā)模塊UAR：用戶接入控制模塊SML：垃圾郵件控制模塊6、本次 DNS 系統(tǒng)規(guī)劃中 Anycast 架構(gòu)設(shè)計(jì)規(guī)劃Anycast方式最初定義于RFC1546，意為處于互聯(lián)網(wǎng)中的一臺(tái)主機(jī)向某一 Anycast地址發(fā)送IP協(xié)議報(bào)文，互聯(lián)網(wǎng)負(fù)責(zé)將其送往一個(gè)接收目的地址為Anycast地址的主機(jī)。這里Anycast地址定義為用于實(shí)現(xiàn)主機(jī)標(biāo)記的IPv4或IPv6地址，可能有 多個(gè)互聯(lián)網(wǎng)主機(jī)接收目的

28、地為該地址的IP報(bào)文。利用Anycast技術(shù)，提供同一類服務(wù)的所有服務(wù)器可配置同一個(gè)Anycast IP地址，路由系統(tǒng)自動(dòng)將服務(wù)請(qǐng)求送至最近的服務(wù)器。Anycast 是目前當(dāng)前應(yīng)用較廣的負(fù)載均衡技術(shù)。國(guó)外很多 DNS 系統(tǒng)都應(yīng)用了Anycast 技術(shù)，它具有以下優(yōu)點(diǎn)：優(yōu)點(diǎn)：全網(wǎng)負(fù)載均衡較好，用戶按地域的就近訪問，網(wǎng)絡(luò)時(shí)延??；強(qiáng)大的冗余備份功能，域名解析服務(wù)不依賴于少數(shù)幾個(gè)節(jié)點(diǎn)的連通性，每個(gè)節(jié)點(diǎn)都具有冗余備份功能，節(jié)點(diǎn)越多冗余備份功能越強(qiáng)；能有效預(yù)防 DDoS 攻擊；有利于IPv6 網(wǎng)絡(luò)的部署，節(jié)點(diǎn)升級(jí)對(duì)用戶幾乎沒有影響。Anycast 技術(shù)既可以在整個(gè)網(wǎng)絡(luò)間使用，也可以在單節(jié)點(diǎn)內(nèi)采用等價(jià)路由實(shí)

29、現(xiàn)負(fù)載分擔(dān)，通過前期測(cè)試，其負(fù)載基本維持在 1：1 的比例，負(fù)載差異最大在 10% 以內(nèi)，能夠滿足一般節(jié)點(diǎn)的負(fù)載均衡要求。一般在省級(jí)的 DNS 系統(tǒng)中，為保證系統(tǒng)的可維護(hù)性，建議采用節(jié)點(diǎn)內(nèi) Anycast架構(gòu)，其原理如圖所示：圖：節(jié)點(diǎn)內(nèi) Anycast 示意圖 Anycast 架構(gòu)與四層交換機(jī)架構(gòu)優(yōu)缺點(diǎn)對(duì)比四層交換機(jī)架構(gòu)的優(yōu)點(diǎn)：l擴(kuò)容簡(jiǎn)單l負(fù)載均衡比例可設(shè)置四層交換機(jī)架構(gòu)的缺點(diǎn)：l系統(tǒng)瓶頸，四層交換機(jī)癱瘓會(huì)導(dǎo)致整個(gè)節(jié)點(diǎn)癱瘓（根據(jù)統(tǒng)計(jì)，國(guó)內(nèi) DNS 系統(tǒng)節(jié)點(diǎn)故障的 80%集中在四層交換機(jī)）l硬件無法升級(jí)，需要重復(fù)投資（支持的會(huì)話數(shù)無法升級(jí)，每次擴(kuò)容需要購買更強(qiáng)的四層交換機(jī)）Anycast 架構(gòu)的

30、優(yōu)點(diǎn)：l擴(kuò)容簡(jiǎn)單,設(shè)計(jì)靈活（既可設(shè)計(jì)廣域的 Anycast 架構(gòu)，也可設(shè)計(jì)節(jié)點(diǎn)內(nèi)的Anycast 架構(gòu)）l多臺(tái)服務(wù)器自動(dòng)形成冗余備份，不會(huì)造成 DNS 節(jié)點(diǎn)整理癱瘓l無需購買硬件，現(xiàn)有的核心路由器即可支持Anycast 架構(gòu)的缺點(diǎn)：l負(fù)載無法按照設(shè)置分配，其服務(wù)器分配流量均在 1：1，要求服務(wù)器處理能力相當(dāng)四、*移動(dòng) DNS 系統(tǒng)升級(jí)改造項(xiàng)目實(shí)施內(nèi)容及計(jì)劃考慮到系統(tǒng)實(shí)施的復(fù)雜性及涉及的范圍，融海咨詢對(duì)本項(xiàng)目的具體實(shí)現(xiàn)方式、進(jìn)度安排等實(shí)施方案建議如下。1、項(xiàng)目組織結(jié)構(gòu)我們建議的項(xiàng)目組織結(jié)構(gòu)如圖 51 所示。圖 51項(xiàng)目組織結(jié)構(gòu)圖用戶和公司各派出高層領(lǐng)導(dǎo)擔(dān)任本項(xiàng)目負(fù)責(zé)人，把握項(xiàng)目的方向、決定項(xiàng)目的

31、重大事項(xiàng)、協(xié)調(diào)雙方的關(guān)系。項(xiàng)目經(jīng)理由公司和客戶各派一人擔(dān)任，負(fù)責(zé)項(xiàng)目計(jì)劃、組織和分工、控制項(xiàng)目進(jìn)度、考核項(xiàng)目人員業(yè)績(jī)、協(xié)調(diào)項(xiàng)目人員間的關(guān)系。項(xiàng)目管理的具體工作主要由公司的項(xiàng)目經(jīng)理負(fù)責(zé)，但客戶方也應(yīng)派出項(xiàng)目經(jīng)理（項(xiàng)目負(fù)責(zé)人），參與項(xiàng)目管理。2、項(xiàng)目實(shí)施配合需求在工程實(shí)施過程中，需要*移動(dòng)配合提供的環(huán)境保障方面的工作有：(1)、提供硬件服務(wù)器，提供網(wǎng)絡(luò)環(huán)境。提供安裝 VANTIO 軟件的硬件服務(wù)器及網(wǎng)絡(luò)安裝環(huán)境（包括 IP 等），以便順利安裝調(diào)試軟件。(2)、提供新的系統(tǒng)分配 IP，以便配合 VANTIO 設(shè)置支持范圍。五、技術(shù)及售后服務(wù)內(nèi)容1、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容融海咨詢依托 Nominum 廠商的

32、鼎力支持，依靠自身在 DNS 系統(tǒng)的建設(shè)、維護(hù)、管理等方面雄厚的技術(shù)力量?jī)?chǔ)備，不僅提供管理系統(tǒng)的整體技術(shù)服務(wù)，同時(shí) 可以提供強(qiáng)有力的整體的技術(shù)維護(hù)服務(wù),確保*電信 DNS 系統(tǒng)穩(wěn)定安全運(yùn)行。并在優(yōu)化工程的實(shí)施過程中，提供指導(dǎo)意見。技術(shù)支持是指在 AppManager 所支持的平臺(tái)上，幫助客戶解決問題，包括操作指導(dǎo)、問題解決、實(shí)施指導(dǎo)、項(xiàng)目實(shí)施、培訓(xùn)和二次開發(fā)。服務(wù)獲取方式包括：服務(wù)內(nèi)容通知文檔電話支持Online 支持遠(yuǎn)程診斷(需客戶同意)新版本升級(jí)獲取 Beta 版 產(chǎn)品2、故障級(jí)別根據(jù)系統(tǒng)受影響的程度，將故障分為四個(gè)級(jí)別：L1：System Down系統(tǒng)宕機(jī)（硬件故障），不能工作。L2：C

33、ritical系統(tǒng)仍在工作，但性能嚴(yán)重下降。L3：Work-around系統(tǒng)可以工作，但不太正常。L4：Minor系統(tǒng)工作不受影響。3、響應(yīng)時(shí)長(zhǎng)服務(wù)內(nèi)容電話服務(wù)email 服務(wù)L1 級(jí)故障服務(wù)7*24 服務(wù)1 小時(shí)內(nèi)響應(yīng)并到現(xiàn)場(chǎng)L2 級(jí)故障服務(wù)7*24 服務(wù)2 小時(shí)內(nèi)響應(yīng)L3 級(jí)故障服務(wù)5*8 服務(wù)4-24 小時(shí)內(nèi)響應(yīng)4-24 小時(shí)內(nèi)響應(yīng)L4 級(jí)故障服務(wù)5*8 服務(wù)4-24 小時(shí)內(nèi)響應(yīng)4-24 小時(shí)內(nèi)響應(yīng)注：出現(xiàn) L1 級(jí)故障時(shí)，為保證業(yè)務(wù)正常運(yùn)行，融海公司為*電信安裝 CNS 備機(jī)（硬件由*電信提供，可以將先用 Bind 服務(wù)器臨時(shí)安裝 CNS 保證業(yè)務(wù)的正常運(yùn)行）。當(dāng)出現(xiàn) L2 級(jí)及以下故

34、障時(shí)，融海公司將及時(shí)配合用戶解決問題。4、高級(jí)服務(wù)出標(biāo)準(zhǔn)技術(shù)支持內(nèi)容外高級(jí)服務(wù)包括：現(xiàn)場(chǎng)服務(wù)項(xiàng)目實(shí)施培訓(xùn)實(shí)施指導(dǎo)高級(jí)服務(wù)響應(yīng)時(shí)長(zhǎng)：通知文檔電話支持Online 支持L1 級(jí)故障服務(wù)L2 級(jí)故障服務(wù)L3 級(jí)故障服務(wù)L4 級(jí)故障服務(wù)遠(yuǎn)程診斷(需客戶同意) 聯(lián)系人個(gè)數(shù)Hotfixes and Inline Releases Service Packs新版本升級(jí)獲取 Beta 版 產(chǎn)品1 小時(shí)內(nèi)響應(yīng)1 小時(shí)內(nèi)響應(yīng)1 小時(shí)內(nèi)響應(yīng)1 小時(shí)內(nèi)響應(yīng)10 人六、培訓(xùn)計(jì)劃我們?cè)陧?xiàng)目整體規(guī)劃以及實(shí)施中，對(duì)用戶相關(guān)項(xiàng)目技術(shù)人員提供全程免費(fèi)的現(xiàn)場(chǎng)培訓(xùn)服務(wù)，同時(shí)重點(diǎn)在廠家技術(shù)人員進(jìn)行項(xiàng)目實(shí)施時(shí)為用戶提供全方位的產(chǎn)品現(xiàn)場(chǎng)培

35、訓(xùn)以及產(chǎn)品技術(shù)答疑等服務(wù)，保證使用戶相關(guān)技術(shù)管理人員熟練掌握產(chǎn)品技術(shù)及處理產(chǎn)品常見問題。在產(chǎn)品使用過程中，如遇產(chǎn)品升級(jí)，融海咨詢技術(shù)人員協(xié)同廠家技術(shù)人員對(duì)用戶進(jìn)行免費(fèi)的產(chǎn)品現(xiàn)場(chǎng)升級(jí)培訓(xùn)。培訓(xùn)方式：1、現(xiàn)場(chǎng)隨工培訓(xùn)：廠家和融海咨詢技術(shù)人員在系統(tǒng)安裝調(diào)測(cè)的同步， 對(duì)用戶相關(guān)的技術(shù)維護(hù)負(fù)責(zé)人員進(jìn)行現(xiàn)場(chǎng)培訓(xùn)指導(dǎo)，保證用戶能夠熟練掌握軟件的安裝、配置和初級(jí)故障分析。2、集中講座培訓(xùn)：由用戶提供場(chǎng)地。融海咨詢邀請(qǐng)廠家資深技術(shù)經(jīng)理將為用戶做半天到一天的產(chǎn)品集中講座培訓(xùn)，人數(shù)不限，主要就產(chǎn)品的使用特性、配置管理、常見問題處理等用戶關(guān)注的問題進(jìn)行講解，同時(shí)提供重點(diǎn)問題答疑服 務(wù)。培訓(xùn)對(duì)象：操作配置 DNS 系統(tǒng)

36、的技術(shù)人員、DNS 系統(tǒng)相關(guān)人員以及對(duì) VANTIO 產(chǎn)品感興趣的人員在系統(tǒng)在試運(yùn)行后，融海咨詢提供一天的使用培訓(xùn)課程。培訓(xùn)內(nèi)容：VANTIO安裝VANTIO設(shè)置VANTIO實(shí)時(shí)狀態(tài)讀取日常維護(hù)附件 1、Nominum 公司 DNS 系統(tǒng)解決方案1、Nominum 公司介紹Nominum 公司 1999 年在美國(guó)加里佛里亞州硅谷成立，公司技術(shù)總裁保羅博士是 Internet 網(wǎng) DNS 的系統(tǒng)設(shè)計(jì)者和 Bind 軟件的開發(fā)者。公司成立初期受 ISC（互聯(lián)網(wǎng)協(xié)會(huì)組織）委托，編寫了新一代 Bind 9 域名解析軟件，并為 Bind 9 提供開源代碼和技術(shù)支持。Nominum 公司同時(shí)還參與并制定了

37、與 DNS 相關(guān)的所有 IETF 標(biāo)準(zhǔn)。由于互聯(lián)網(wǎng)的高速發(fā)展，運(yùn)營(yíng)商需要性能更高，穩(wěn)定性更高，安全性更高的域名解析系統(tǒng)來保障業(yè)務(wù)的正常運(yùn)行，目前市場(chǎng)上所有商用 DNS 系統(tǒng)都是基于 Bind 9 二次開發(fā)的改良版本，而 Bind9 的軟件設(shè)計(jì)已經(jīng)不能滿足這些新的要求?；谑袌?chǎng)需求，Nominum 公司在 2001 年開始為運(yùn)營(yíng)商開發(fā)了新一代 DNS 域名解析系統(tǒng)，產(chǎn)品采用全新的軟件架構(gòu)，完全重新編寫代碼，采用了包括 VDB 在內(nèi)的多種專利技術(shù)。目前公司的緩存域名服務(wù)器產(chǎn)品 VANTIO 在全球 80 多家運(yùn)營(yíng)商現(xiàn)網(wǎng)運(yùn)行，國(guó)內(nèi)中國(guó)網(wǎng)通，中國(guó)電信的 10 余家省級(jí)運(yùn)營(yíng)商也采用了我公司的 DNS 解

38、決方案。2、Nominum 運(yùn)營(yíng)商級(jí)專業(yè) DNS 系統(tǒng)Nominum 的 DNS 系統(tǒng)包括 VANTIO（Caching Name Server）、ANS（Authoritative Name Server）兩個(gè)獨(dú)立系統(tǒng)。VANTIO 完成緩存（Cache功能，ANS 完成授權(quán)（Authority）功能，把緩存和授權(quán)功能分開是一個(gè)很重要的設(shè)計(jì)方向。互聯(lián)網(wǎng)上的域名服務(wù)器有兩種不同的角色：一方面，有些 DNS 服務(wù)器是其存貯的域名的授權(quán)者，這些授權(quán)域名服務(wù)器保存著其所負(fù)責(zé)的域名數(shù)據(jù)。我們熟悉的授權(quán)域名服務(wù)器中有根域名服務(wù)器“.”、頂 級(jí)域名服務(wù)器如“com”、“cn”，還有二級(jí)域名服務(wù)器如“”等等

39、。它 們的職責(zé)是“Publish Data”。例如， 的授權(quán)域名服務(wù)器包含了 以及 ， 等域名的 NS，A，MX，PTR 記錄。另一方面，互聯(lián)網(wǎng)用戶并不直接和授權(quán)域名服務(wù)器打交道，網(wǎng)絡(luò)運(yùn)營(yíng)商的緩存服務(wù)器充當(dāng)了本地用戶的代理，用戶通過這些代理域名服務(wù)器查詢域名并得到結(jié) 果。這些代理域名服務(wù)器與各級(jí)授權(quán)域名服務(wù)器聯(lián)系，如果需要的話，通過對(duì)授權(quán)域名服務(wù)器的遞歸查詢得到需要解析的域名信息，并且把信息在本地緩存以備將來的需要。緩存域名服務(wù)器的職責(zé)是“收集數(shù)據(jù)”。它們?cè)诰彺胬锉４姹镜乜蛻艚诓樵兊乃杏蛎畔?，這可以顯著地加快客戶域名查詢的響應(yīng)速度，為客戶提供更優(yōu)質(zhì)的服務(wù)。目前網(wǎng)絡(luò)上，基于 Bind 的

40、DNS 服務(wù)器同時(shí)充當(dāng)授權(quán)域名服務(wù)器和緩存域名服務(wù)器是最常見的。出于系統(tǒng)性能、可靠性和安全性等方面的綜合考慮，每臺(tái)域名服務(wù)器應(yīng)該只完成單一功能。首先，授權(quán)權(quán)域名服務(wù)器的主要職責(zé)是“Publish Data”，需要管理很大的區(qū)域（Zone和很多的區(qū)域；而緩存域名服務(wù)器的職責(zé)是“ Collect Data”。不同的職責(zé)決定了這兩者應(yīng)該有不同的處理算法。授權(quán)域名服務(wù)器需要處理多個(gè)表單的數(shù)據(jù)并要求在單個(gè)表單更新數(shù)據(jù)的同時(shí)不影響到其它表單的查詢；緩存域名服務(wù)器則需要實(shí)時(shí)快速的處理大量的數(shù)據(jù)更新并提供更高效的查詢算法。所以，在實(shí)際網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)當(dāng)把兩者分開，采用不同的算法進(jìn)行處理，從而提高授權(quán)域名服務(wù)器的域

41、名解析和緩存域名服務(wù)器的用戶響應(yīng)性能。（在 BIND 中，授權(quán)功能和緩存功能只是一個(gè)設(shè)置上的區(qū)別而已。）注：詳細(xì)介紹見附件ANS 技術(shù)白皮書，VANTIO 技術(shù)白皮書其次，一臺(tái) DNS 服務(wù)器充當(dāng)兩個(gè)職責(zé)會(huì)帶來嚴(yán)重的安全問題。InterNIC 要求所有的授權(quán)域名服務(wù)器開放訪問權(quán)限，因?yàn)榛ヂ?lián)網(wǎng)上的緩存域名服務(wù)器需要通過查詢授權(quán)域名服務(wù)器以獲得對(duì)應(yīng)域名的解析。另一方面，運(yùn)營(yíng)商的緩存域名服務(wù)器應(yīng)當(dāng)只對(duì)本網(wǎng)用戶開放訪問權(quán)限，以有效防止來自外網(wǎng)的 DDOS 攻擊?；?Bind 的域名服務(wù)器將兩個(gè)功能捆綁在一起的實(shí)現(xiàn)方法，不但增加了服務(wù)器的負(fù)載，也降低了服務(wù)器的安全級(jí)別?；谝陨系脑?，在 Nominu

42、m 的 DNS 系統(tǒng)設(shè)計(jì)中，授權(quán)功能和緩存功能分別由 ANS和 VANTIO 完成。緩存域名服務(wù)器 VANTIO 完成以下功能：處理來自客戶的 DNS 請(qǐng)求搜索本地緩存，如果沒有查詢結(jié)果，從根授權(quán)服務(wù)器開始遞歸查詢，最終從對(duì)應(yīng)的授權(quán)服務(wù)器獲取域名數(shù)據(jù)并返回給客戶緩存里域名的存儲(chǔ)時(shí)間由 TTL 值決定，TTL 過期后從緩存里清除數(shù)據(jù)授權(quán)域名服務(wù)器 ANS 完成以下功能：拒絕所有遞歸查詢域名數(shù)據(jù)在本地保存，服務(wù)器只負(fù)責(zé)本級(jí)和下級(jí)對(duì)應(yīng)域名的解析由本地管理員修改配置本地域名3、Nominum DNS 架構(gòu)的優(yōu)點(diǎn)穩(wěn)定性產(chǎn)品成熟可靠，在世界各地?cái)?shù)十家電信運(yùn)營(yíng)商平臺(tái)上廣泛采用，從來未發(fā)生任何事故。24x7

43、的專業(yè)技術(shù)支持和產(chǎn)品升級(jí)，降低了技術(shù)和運(yùn)營(yíng)風(fēng)險(xiǎn)高效可靠的內(nèi)存管理技術(shù)，有效的提高了內(nèi)存使用效率以及緩存命中率，系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行，不需要網(wǎng)管干預(yù)。高性能在同類硬件平臺(tái)和運(yùn)營(yíng)商現(xiàn)網(wǎng)上，系統(tǒng)的 QPS（每秒查詢數(shù)）比 BIND9 增加了 600到 1000用戶域名查詢時(shí)延比 BIND9 降低超過 1000CPU 的使用率提高了 60安全性高性能系統(tǒng)，有效的降低了 DDOS 攻擊造成用戶服務(wù)中斷的幾率?？梢杂行У钟渌槍?duì) DNS 的攻擊如“Cache Poising”和 Pharming 攻擊。方便靈活的管理模式業(yè)界唯一在軟件層次上支持 SNMP 協(xié)議的 DNS 系統(tǒng)，可以和其它網(wǎng)管工具結(jié)合，提供

44、DNS 應(yīng)用層面上的報(bào)警/檢測(cè)功能。支持 Syslog，支持 NetIQ，Catci 等第三方網(wǎng)管工具。統(tǒng)一的管理接口，支持基于 Web 瀏覽器的 EAC 后臺(tái)管理系統(tǒng)，可以方便的修改、查詢配置和統(tǒng)計(jì)數(shù)據(jù)基于命令行的在線命令通道，可是實(shí)時(shí)修改數(shù)據(jù)而不需要中斷服務(wù)。提供多種靈活的工具 可以從現(xiàn)有 Bind 的配置直接轉(zhuǎn)化生成 VANTIO 的配置，方便了系統(tǒng)升級(jí)。附件 2、Vantio 產(chǎn)品介紹1、Vantio 簡(jiǎn)介傳統(tǒng)的運(yùn)營(yíng)商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺(tái)和網(wǎng)絡(luò)硬件平臺(tái)提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運(yùn)營(yíng)商意識(shí)到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務(wù)和用戶流量經(jīng)營(yíng)的重要性。通過提供給最終

45、用戶更好的業(yè)務(wù)和服務(wù)，運(yùn)營(yíng)商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。業(yè)務(wù)上的需求也產(chǎn)生了對(duì)運(yùn)營(yíng)商的 DNS 系統(tǒng)提出了新的要求：1、DNS 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗(yàn)，因特網(wǎng)的大規(guī)模發(fā)展對(duì)現(xiàn)有 DNS 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。2、DNS 在 IP 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點(diǎn)的角色。lDNS 是所有 IP 應(yīng)用的核心，互聯(lián)網(wǎng)上面幾乎的所有應(yīng)用都要使用 DNS。l對(duì)于絕大多數(shù)應(yīng)用，用戶首先會(huì)訪問 DNS，DNS 是業(yè)務(wù)層面的第一“接觸點(diǎn)”。lDNS 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 DNS 上發(fā)展新業(yè)務(wù)不需要修改網(wǎng)絡(luò)結(jié)構(gòu)。l在

46、DNS 軟件基礎(chǔ)上為用戶提供增值業(yè)務(wù)開銷最小，具有性價(jià)比的優(yōu)勢(shì)。Nominum 公司最新推出的 Vantio 業(yè)務(wù)承載平臺(tái)就是在 IP 域名技術(shù)基礎(chǔ)之上， 根據(jù)各大運(yùn)營(yíng)商的業(yè)務(wù)要求開發(fā)的的一個(gè)通用增值業(yè)務(wù)平臺(tái)，Vantio 為網(wǎng)絡(luò)運(yùn)營(yíng)商提供了包括錯(cuò)誤域名轉(zhuǎn)發(fā)在內(nèi)的多項(xiàng)增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所 示：錯(cuò)誤域名轉(zhuǎn)發(fā)模塊 (NXR)用戶接入控制模塊 (UAR)應(yīng)用: walled gardens客戶示例: ComcastNXRUARMDRVantio 基礎(chǔ)服務(wù)器惡意域名控制模塊 (MDR)應(yīng)用: illegal domains, bot rem.客戶示例: UPC可擴(kuò)展 Vantio 基礎(chǔ)

47、服務(wù)器, 支持多種增值業(yè)務(wù)服務(wù)插件模塊如上圖所示，Nominum 公司的 Vantio 服務(wù)器是在緩存域名服務(wù)器技術(shù)基礎(chǔ)上開發(fā)的可擴(kuò)展 DNS 平臺(tái)，在 Vantio 平臺(tái)上用戶可以按業(yè)務(wù)需求定制多種基于 DNS 的增值業(yè)務(wù)模塊，包括NXR：錯(cuò)誤域名轉(zhuǎn)發(fā)模塊MDR：非法和惡意域名轉(zhuǎn)發(fā)模塊UAR：用戶接入控制模塊Vantio 服務(wù)器同時(shí)為運(yùn)營(yíng)商提供了豐富的 DNS 管理功能和附加安全特性，例如：l域名分析系統(tǒng)：基于域名和 IP 的全 DNS 請(qǐng)求日志和分析l錯(cuò)誤域名分析部件，可以分析錯(cuò)誤域名的種類，提供所有錯(cuò)誤域名訪問的記錄并產(chǎn)生相關(guān)分析報(bào)告2、Vantio 的系統(tǒng)安全性介紹對(duì) DOS、DDOS

48、 攻擊的防范措施：VANTIO 支持基于源 IP 地址的訪問列表控制，管理員可以通過實(shí)時(shí)設(shè)置，屏蔽來自某些 IP 的域名解析請(qǐng)求，Defense on Attach 技術(shù)：VANTIO 系統(tǒng)可以自動(dòng)檢測(cè)在設(shè)置時(shí)間段內(nèi)從同一個(gè) IP 地址發(fā)出的 DNS 查詢請(qǐng)求的次數(shù)并自動(dòng)切換保護(hù)模式，設(shè)置屏蔽。Nominum 公司建議的方案中，本次*移動(dòng) DNS 系統(tǒng)設(shè)計(jì)具有很高的最大峰值冗余度，可以有效的吸收黑客采用 DDOS 方式攻擊帶來的額外流量，注：按本次設(shè)計(jì)方案，單節(jié)點(diǎn)的峰值處理能力為 40,000 50,000QPS。在負(fù)載很高的情況下，VANTIO 依然可以保證較高的用戶請(qǐng)求響應(yīng)率和較低的請(qǐng)求包

49、丟失率。這樣在系統(tǒng)遭受攻擊時(shí)的可以響應(yīng)用戶的正常查詢，給網(wǎng)管人員足夠的時(shí)間處理問題。其它安全特性：Nominum 的 VANTIO 與開源程序 Bind 不同，它采用完全封閉的代碼，杜絕了黑客通過分析源程序漏洞采取 buffer overflow 攻擊的可能性。Nominum 的研發(fā)人員隨時(shí)跟蹤最新的安全信息，定時(shí)發(fā)布最新的補(bǔ)丁和新版本軟件。目前 VANTIO 平均每個(gè)季度推出一個(gè)新的版本，我們產(chǎn)品的研發(fā)同時(shí)綜合了世界各地 80 多家頂級(jí)電信運(yùn)營(yíng)商提出的需求和建議。VANTIO 已經(jīng)包含了對(duì)常見的針對(duì) DNS 進(jìn)行的網(wǎng)絡(luò)攻擊的防范措施，包括Cache Poisoning Attack Defe

50、nseQuery ID Guessing attack DefenseDNS Glue Attack DefenseBirthday Attack Defense其它安全特性還包括：DNS Response ValidationDNSSEC support3、VANTIO 系統(tǒng)可靠性介紹Nominum 公司的 VANTIO 產(chǎn)品是專為運(yùn)營(yíng)商開發(fā)的電信級(jí)軟件產(chǎn)品，和其它所有基于免費(fèi) Bind 二次開發(fā)的產(chǎn)品比較，它的最大優(yōu)點(diǎn)就是系統(tǒng)的穩(wěn)定性和高可靠性。VANTIO 采用了基于專利技術(shù)的內(nèi)置數(shù)據(jù)庫 VDB，極大的提高了內(nèi)存的使用效率，完全消除了 Bind 中因?yàn)閮?nèi)存沖突造成的死機(jī)情況。VANTIO

51、 的高性能，有效的降低了服務(wù)器因?yàn)樨?fù)載過高而服務(wù)中斷的幾率。VANTIO 軟件設(shè)計(jì)了新的保護(hù)機(jī)制，自動(dòng)監(jiān)控內(nèi)存中 VANTIO 進(jìn)程的運(yùn)行狀況，在出現(xiàn)異常問題的時(shí)候可以自動(dòng)修復(fù)進(jìn)程。VANTIO 提供了 SNMP Events 和 Trap，運(yùn)營(yíng)商可以在網(wǎng)管工具包括 HP Openview 上實(shí)時(shí)監(jiān)控軟件的運(yùn)行，對(duì)錯(cuò)誤信息和網(wǎng)絡(luò)攻擊可以設(shè)置告警信息通知網(wǎng)管人員。美國(guó)最大的運(yùn)營(yíng)商 Comcast 在 2004 年購買了 55 臺(tái) VANTIO 服務(wù)器組成了全國(guó)范圍的域名解析系統(tǒng)，在長(zhǎng)達(dá) 3 年的運(yùn)行過程中，所有 VANTIO 系統(tǒng)一直穩(wěn)定運(yùn) 行，沒有發(fā)生過一起服務(wù)中斷的情況。同樣，VANTIO

52、在中國(guó)電信、中國(guó)網(wǎng)通十余家省級(jí)電信將近兩年的現(xiàn)網(wǎng)運(yùn)行 中，以穩(wěn)定可靠獲得了用戶的贊許，在所有地區(qū)均一直保持 100%的系統(tǒng)在線率， 沒有發(fā)生過一起用戶投訴。4、Vantio 的網(wǎng)絡(luò)延時(shí)性能延遲是指服務(wù)器響應(yīng)任何 DNS 請(qǐng)求所需的時(shí)間，低延遲意味著網(wǎng)頁將會(huì)以更快的速度打開，這樣用戶可以獲得更高的“帶寬”而不需要更多的硬件投資。 VANTIO 用戶請(qǐng)求響應(yīng)延時(shí)為 Bind 的 1/10。在高負(fù)載情況下，VANTIO 可以保證 DNS 請(qǐng)求響應(yīng)的低延時(shí)。詳細(xì)數(shù)據(jù)比較見附件 2。5、系統(tǒng)管理工具融海咨詢針對(duì) DNS 應(yīng)用的特點(diǎn),基于先進(jìn)的標(biāo)準(zhǔn)網(wǎng)管基礎(chǔ)平臺(tái) APPMANAGE 開發(fā)出了針對(duì) DNS 系統(tǒng)的專用監(jiān)控管理以及分析軟件,其主要功能示例如下：1) 網(wǎng)絡(luò)設(shè)備性能監(jiān)測(cè)對(duì) DNS 系統(tǒng)中存在的各種網(wǎng)絡(luò)設(shè)備進(jìn)行全面性能檢測(cè)，設(shè)備支持 SNMP V1、V2c、V3 協(xié)議即可進(jìn)行監(jiān)測(cè)；能夠監(jiān)控網(wǎng)絡(luò)接口的狀態(tài)；能夠監(jiān)控網(wǎng)絡(luò)的碰撞率廣播風(fēng)暴等；監(jiān)控內(nèi)容可以由設(shè)備 mib 庫提供。交換機(jī)狀態(tài)：網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)利用率；網(wǎng)絡(luò)設(shè)備 CPU 使用率； 負(fù)載均衡狀態(tài)監(jiān)控：交換機(jī)總體實(shí)時(shí)連接數(shù)；交換機(jī)各端口實(shí)時(shí)連接數(shù)；2) 服務(wù)器性能監(jiān)測(cè)CPU、內(nèi)存、硬盤占用率；系統(tǒng)主要進(jìn)程占用資源情況；Cache 主機(jī)上運(yùn)行的主機(jī)路由進(jìn)程，包括進(jìn)程狀態(tài)、資源占用情況、路由信息等；系統(tǒng)日志SYSLOG針對(duì) DNS