移動(dòng)DNS系統(tǒng)擴(kuò)容改造項(xiàng)目技術(shù)建議書(shū)

1、xxxx移動(dòng)移動(dòng)dnsdns系統(tǒng)擴(kuò)容改造項(xiàng)目系統(tǒng)擴(kuò)容改造項(xiàng)目技術(shù)建議書(shū)技術(shù)建議書(shū)北京北京 xx 咨詢有限公司咨詢有限公司2009 年年 11 月月 -2-目目 錄錄一、dns 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹 .41.dns 業(yè)務(wù)發(fā)展介紹 .42、國(guó)內(nèi)主流 dns 建設(shè)使用情況分析 .5二、xx 移動(dòng) dns 系統(tǒng)現(xiàn)狀分析.81、xx 移動(dòng) dns 系統(tǒng)現(xiàn)狀 .82、現(xiàn)有系統(tǒng)運(yùn)行數(shù)據(jù)測(cè)算 .93、dns 系統(tǒng)處理能力設(shè)計(jì)需求分析 .11三、xx 移動(dòng) dns 系統(tǒng)升級(jí)改造設(shè)計(jì)方案.121、dns 系統(tǒng)改造方案 .122、dns 組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計(jì)分析 .143、dns 系統(tǒng)設(shè)計(jì)性能指標(biāo) .154

2、、系統(tǒng)可管理性設(shè)計(jì) .165、dns 系統(tǒng)可擴(kuò)展功能設(shè)計(jì) .166、本次 dns 系統(tǒng)規(guī)劃中 anycast 架構(gòu)設(shè)計(jì)規(guī)劃.18四、xx 移動(dòng) dns 系統(tǒng)升級(jí)改造項(xiàng)目實(shí)施內(nèi)容及計(jì)劃.211、項(xiàng)目組織結(jié)構(gòu) .212、項(xiàng)目實(shí)施配合需求 .21五、技術(shù)及售后服務(wù)內(nèi)容 .231、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容 .232、故障級(jí)別 .233、響應(yīng)時(shí)長(zhǎng) .244、高級(jí)服務(wù) .24六、培訓(xùn)計(jì)劃 .26附件 1、nominum 公司 dns 系統(tǒng)解決方案.271、nominum 公司介紹 .272、nominum 運(yùn)營(yíng)商級(jí)專業(yè) dns 系統(tǒng) .273、nominum dns 架構(gòu)的優(yōu)點(diǎn) .29附件 2、vantio 產(chǎn)品

3、介紹 .311、vantio 簡(jiǎn)介 .312、vantio 的系統(tǒng)安全性介紹 .323、vantio 系統(tǒng)可靠性介紹 .334、vantio 的網(wǎng)絡(luò)延時(shí)性能 .345、系統(tǒng)管理工具 .341)網(wǎng)絡(luò)設(shè)備性能監(jiān)測(cè).352)服務(wù)器性能監(jiān)測(cè).353)cns（vantio）及 bind 系統(tǒng)性能及可用性監(jiān)測(cè) .364)cns（vantio）及 bind 基本配置管理 .365)響應(yīng)時(shí)間及 dns 系統(tǒng)可用性監(jiān)測(cè)（從用戶角度體驗(yàn)式分析系統(tǒng)可用性）376)監(jiān)控告警.37 -3-7)報(bào)表分析.38附件 3、軟件性能測(cè)試對(duì)比數(shù)據(jù) .411、vantio 服務(wù)器性能測(cè)試結(jié)果 .412、vantio 和 bind

4、的比較數(shù)據(jù) .41附錄 a vantio 和 bind 的功能比較 .43附錄 b nominum 公司全球部分用戶列表 .44 -4-一、一、dns 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹1.dns1.dns 業(yè)務(wù)發(fā)展介紹業(yè)務(wù)發(fā)展介紹隨著移動(dòng)數(shù)據(jù)業(yè)務(wù)的不斷推廣以及 3g 移動(dòng)互聯(lián)網(wǎng)的推出，移動(dòng)數(shù)據(jù)應(yīng)用增長(zhǎng)迅猛，xx 移動(dòng) wap 用戶普及率已經(jīng)達(dá)到 50%左右，wap 上網(wǎng)用戶的增加以及 wap 應(yīng)用的不斷豐富帶來(lái)了 dns 請(qǐng)求量的大幅增長(zhǎng)，dns 系統(tǒng)作為數(shù)據(jù)業(yè)務(wù)應(yīng)用以及互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)支撐平臺(tái)，在數(shù)據(jù)業(yè)務(wù)和移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的支撐方面有著非常重要的作用。建設(shè)一個(gè)穩(wěn)定、安全

5、、高效的 dns 系統(tǒng)已成為 xx 移動(dòng)業(yè)務(wù)發(fā)展的必然需要。今年以來(lái)，5.19 以及 7.30 等多次斷網(wǎng)事件都是因?yàn)?dns 系統(tǒng)的安全穩(wěn)定性不夠高而導(dǎo)致了數(shù)據(jù)業(yè)務(wù)以及互聯(lián)網(wǎng)應(yīng)用癱瘓，這些事件的發(fā)生給我們的 dns 系統(tǒng)建設(shè)提出更高的要求。同時(shí)，傳統(tǒng)的運(yùn)營(yíng)商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺(tái)和網(wǎng)絡(luò)硬件平臺(tái)提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來(lái)越多的運(yùn)營(yíng)商意識(shí)到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務(wù)用戶業(yè)務(wù)和用戶流量經(jīng)營(yíng)用戶流量經(jīng)營(yíng)的重要性。通過(guò)提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運(yùn)營(yíng)商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。業(yè)務(wù)上的需求也產(chǎn)生了對(duì)運(yùn)營(yíng)商的業(yè)務(wù)上的需求也產(chǎn)生了對(duì)運(yùn)營(yíng)商的 dnsdns

6、系統(tǒng)提出了新的要求：系統(tǒng)提出了新的要求：1、dns 是互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗(yàn)，因特網(wǎng)的大規(guī)模發(fā)展對(duì)現(xiàn)有 dns 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。2、dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點(diǎn)的角色新的業(yè)務(wù)增值切入點(diǎn)的角色。dns 是所有 ip 應(yīng)用的核心，互聯(lián)網(wǎng)上面幾乎的所有應(yīng)用都要使用 dns。對(duì)于絕大多數(shù)應(yīng)用，用戶首先會(huì)訪問(wèn) dns，dns 是業(yè)務(wù)層面的第一“接觸點(diǎn)”。dns 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 dns 上發(fā)展新業(yè)務(wù)不需要修改網(wǎng)絡(luò)結(jié)構(gòu)。在 dns 軟件基礎(chǔ)上為用戶提供增值業(yè)務(wù)開(kāi)銷最小，具有性價(jià)比的優(yōu)勢(shì)。 -5

7、-2 2、國(guó)內(nèi)主流、國(guó)內(nèi)主流 dnsdns 建設(shè)使用情況分析建設(shè)使用情況分析(1).目前典型的目前典型的 dns 組網(wǎng)架構(gòu)組網(wǎng)架構(gòu)沿襲技術(shù)的發(fā)展，目前國(guó)內(nèi)電信運(yùn)營(yíng)商除個(gè)別 dns 壓力較少的省份外，基本上采用四層交換機(jī)的架構(gòu)組建 dns 系統(tǒng)。每個(gè)節(jié)點(diǎn)利用四層交換機(jī)進(jìn)行負(fù)載分擔(dān)到各臺(tái) dns 服務(wù)器。dns 服務(wù)器大部分采用商用 dns 軟件 cns（vantio）服務(wù)器替代了免費(fèi)的 bind 服務(wù)器。 例如：xx 電信 dns 系統(tǒng)的結(jié)構(gòu)圖如下:（）202.98.96.68 cache （）61.139.2.69 cache 218.6.200.139（） cache 163授權(quán)服務(wù)器圖 0

8、-1 四川電信 dns 節(jié)點(diǎn)結(jié)構(gòu)xx 電信 dns 系統(tǒng)部署于成都新華樞紐樓，設(shè)備情況包括：北電 alteon2424四臺(tái)、f5 一臺(tái)、sun 490 兩臺(tái)、sun x4100 兩臺(tái)、sun e2900 一臺(tái)、sun t2000兩臺(tái)、dell 2950 一臺(tái)、hp dl360 4 四臺(tái)。dns 平臺(tái)使用軟件包括：bind、cns（vantio）、ans。授權(quán)服務(wù)器與緩存服務(wù)器實(shí)現(xiàn)分開(kāi)設(shè)置。 -6-(2).四層交換機(jī)架構(gòu)目前普遍出現(xiàn)的問(wèn)題四層交換機(jī)架構(gòu)目前普遍出現(xiàn)的問(wèn)題投資壓力，由于四層交換機(jī)的會(huì)話數(shù)有限，無(wú)法進(jìn)行硬件升級(jí)。因此當(dāng) dns流量上升到一定程度時(shí)，經(jīng)常需要更換新的硬件，無(wú)法實(shí)現(xiàn)有效投

9、資保護(hù)。性能瓶頸，根據(jù)中國(guó)電信的統(tǒng)計(jì)，在 80%左右的 dns 節(jié)點(diǎn)癱瘓的重大故障中，均和四層交換機(jī)性能不足有一定得關(guān)系。免費(fèi)的 dns 軟件穩(wěn)定性、安全性、可管理性、業(yè)務(wù)增值應(yīng)用擴(kuò)展性以及分析性等均無(wú)法保障。由此造成了多次大面積的業(yè)務(wù)故障事故。已經(jīng)不能適應(yīng)目前運(yùn)營(yíng)商業(yè)務(wù)發(fā)展的需要。(3).dns 架構(gòu)的發(fā)展方向架構(gòu)的發(fā)展方向 anycast 及及 cns（vantio）商業(yè)軟件）商業(yè)軟件 目前在國(guó)外的電信行業(yè)中，anycast 架構(gòu)已經(jīng)廣泛應(yīng)用于 dns 系統(tǒng)。在很多域名的根節(jié)點(diǎn)及 dns 遞歸節(jié)點(diǎn)中采用。在國(guó)內(nèi)的中國(guó)電信集團(tuán)的 cn2 網(wǎng)絡(luò) dns 系統(tǒng)及部分省市已經(jīng)采用。圖：中國(guó)電信 c

10、n2 dns 體系架構(gòu) 中國(guó)電信 cn2 的 dns 系統(tǒng)由四個(gè)節(jié)點(diǎn)組成，每個(gè)節(jié)點(diǎn)由三臺(tái)采用 cns 的服務(wù)器組成。anycast 架構(gòu)的優(yōu)點(diǎn)架構(gòu)的優(yōu)點(diǎn)利用 ecmp 等價(jià)路由，實(shí)現(xiàn)負(fù)載分擔(dān)（目前的路由器一般最大支持 16 臺(tái)服務(wù)器）節(jié)省投資，直接在核心路由器上實(shí)現(xiàn)，無(wú)需另外采購(gòu)硬件 -7-擴(kuò)容容易，節(jié)點(diǎn)增加服務(wù)器時(shí)，只需要配置好相應(yīng)的路由進(jìn)程即可平滑進(jìn)行擴(kuò)容最新擴(kuò)容調(diào)整后 xx 電信的 dns 架構(gòu)如下:dns:a2d dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 0

11、0 0b bi in nd dd dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 00 0b bi in nd ddns 服務(wù)器cnsdns 服務(wù)器cns張張家家堡堡節(jié)節(jié)點(diǎn)點(diǎn)xx市市撥撥號(hào)號(hào)用用戶戶主主用用xx市市專專線線用用戶戶主主用用dns:a1dns:b2西西華華門門節(jié)節(jié)點(diǎn)點(diǎn)dns 服務(wù)器cnsdns 服務(wù)器cnsd dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務(wù)務(wù)器器s su un n

12、x x4 42 20 00 0b bi in nd dx地地市市專專線線用用戶戶主主用用x地地市市撥撥號(hào)號(hào)用用戶戶主主用用xx電信ip網(wǎng)d dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務(wù)務(wù)器器s su un n x x4 42 20 00 0b bi in nd d圖例：10g 電路ge電路fe 電路鏡像端口電路sas電纜四層交換機(jī)四層交換機(jī)dns:b1圖：圖：xx 電信電信 dns 系統(tǒng)系統(tǒng) -8-二、二、xx 移動(dòng)移動(dòng) dns 系統(tǒng)現(xiàn)狀分析系統(tǒng)現(xiàn)狀分析1 1、xxxx 移動(dòng)移動(dòng) dnsdns 系統(tǒng)現(xiàn)狀系統(tǒng)現(xiàn)狀xx

13、 移動(dòng)目前全省共有 2 個(gè) dns 服務(wù)器。兩臺(tái)服務(wù)器采用 bind 軟件，同時(shí)作為授權(quán)及遞歸服務(wù)器使用。隨著移動(dòng) 3g 網(wǎng)絡(luò)的開(kāi)通，各種基于無(wú)線數(shù)據(jù)網(wǎng)的寬帶業(yè)務(wù)逐步增加，例如 類型的個(gè)性化用戶服務(wù)網(wǎng)站和多媒體郵件，導(dǎo)致網(wǎng)絡(luò)上 dns 的請(qǐng)求呈現(xiàn)指數(shù)型增長(zhǎng)趨勢(shì)。（見(jiàn)下圖）internet hosts (machine names)intranet hostswindows 2000servicesspam andanti-spamrfidenumipv6198820031998199319832008圖：圖：dnsdns 應(yīng)用的增長(zhǎng)趨勢(shì)圖應(yīng)用的增長(zhǎng)趨勢(shì)圖目前目前 xxxx 移動(dòng)移動(dòng) dnsdn

14、s 系統(tǒng)存在的主要問(wèn)題：系統(tǒng)存在的主要問(wèn)題：域名解析服務(wù)器負(fù)載高；無(wú)法滿足用戶數(shù)請(qǐng)求數(shù)量遞增的趨勢(shì)bind 服務(wù)器不夠穩(wěn)定，處理能力有限（在 cpu 負(fù)荷 60%時(shí)極限處理能力為6000qps）,按照 xx 移動(dòng)目前的用戶增長(zhǎng)速度預(yù)測(cè)，到 2010 年初，dns 系統(tǒng) -9-bind 服務(wù)器容易受到 dos&ddos 攻擊的影響現(xiàn)行 dns 管理方式不便；安全性較低，容易遭受攻擊難以對(duì)域名請(qǐng)求的內(nèi)容進(jìn)行統(tǒng)計(jì)和分析難以處理域名服務(wù)器中的垃圾數(shù)據(jù)；沒(méi)有得到及時(shí)的 dns 問(wèn)題響應(yīng)和處理支持。2 2、現(xiàn)有系統(tǒng)運(yùn)行數(shù)據(jù)測(cè)算、現(xiàn)有系統(tǒng)運(yùn)行數(shù)據(jù)測(cè)算利用 dns 管理分析手段對(duì) xx 移動(dòng)兩套 dn

15、s 系統(tǒng)在線統(tǒng)計(jì)，發(fā)現(xiàn)目前兩節(jié)點(diǎn)的 qps 增長(zhǎng)速度較快。目前 xx 移動(dòng) dns 節(jié)點(diǎn)的高峰 qps 已經(jīng)接近 6000。在 2008 年 7 月 bind 免費(fèi) dns 軟件爆出重大 bug，在升級(jí)后，其處理能力有一定程度的下降。通過(guò)統(tǒng)計(jì)發(fā)現(xiàn)樞紐節(jié)點(diǎn)的處理能力已經(jīng)接近其峰值，具體的數(shù)據(jù)如下：時(shí)間時(shí)間服務(wù)器服務(wù)器cpucpu % %qpsqps2009.7.02dns144.39-49.443340.47-4631.722009.7.04dns245.91-52.913520.23-4922.132009.7.22dns137.43-41.093637.92-5052.752009.7.29

16、dns236.52-42.383889.80-6090.972009.8.25dns138.12-43.923494.46-5859.792009.8.26dns239.42-43.563569.64-6514.392009.8.22dns136.54-42.653481.18-6024.542009.8.23dns236.32-41.643666.06-5777.74表一：近期樞紐節(jié)點(diǎn)數(shù)據(jù)采集表一：近期樞紐節(jié)點(diǎn)數(shù)據(jù)采集 -10-圖：圖：2009 年年 8 月月 9 日日 21 點(diǎn)點(diǎn) cns 實(shí)時(shí)數(shù)據(jù)實(shí)時(shí)數(shù)據(jù)考慮到目前免費(fèi)的 bind 軟件在升級(jí)后，處理能力的下降，dns 節(jié)點(diǎn)目前已經(jīng)接近極限

17、處理峰值。同時(shí)免費(fèi)的 bind 軟件安全性無(wú)法保障因素，需要近期盡快對(duì)整個(gè) xx 移動(dòng) dns 系統(tǒng)進(jìn)行升級(jí)，以提高系統(tǒng)的處理能力、安全措施以及冗余能力從而保障數(shù)據(jù)業(yè)務(wù)的穩(wěn)定高效以及良好發(fā)展。 -11-3 3、dnsdns 系統(tǒng)處理能力設(shè)計(jì)需求分析系統(tǒng)處理能力設(shè)計(jì)需求分析根據(jù)中國(guó)移動(dòng) xx 公司數(shù)據(jù)業(yè)務(wù)發(fā)展規(guī)劃，到 2012 年，全省手機(jī)上網(wǎng)用戶將發(fā)展到 1554 萬(wàn)戶。 詳見(jiàn)下表：表表 5 5 2009200920122012 年年 xxxx 移動(dòng)手機(jī)上網(wǎng)用戶預(yù)測(cè)表移動(dòng)手機(jī)上網(wǎng)用戶預(yù)測(cè)表年份年份/ /月月2009200920102010 年年20112011 年年20122012 年年全省萬(wàn)

18、戶萬(wàn)戶萬(wàn)戶萬(wàn)戶目前，在高峰期全省用戶 qps 達(dá)到萬(wàn) 15000 左右，達(dá)到目前 dns 系統(tǒng)總處理能力的 55，要保證 dns 系統(tǒng)穩(wěn)定安全運(yùn)行應(yīng)保持業(yè)務(wù)量在系統(tǒng)最大處理能力的30%以內(nèi)，按照以上預(yù)測(cè)結(jié)果以及規(guī)則，dns 業(yè)務(wù)需求表如下表所示：表表 2 2 2009200920122012 年年 xxxx 電信電信 dnsdns 業(yè)務(wù)需求表業(yè)務(wù)需求表年份年份/ /月月2009200920122012 年年 8 8 月底月底手機(jī)上網(wǎng)用戶數(shù)8401554全省全省qps1000019000 -12-三、三、xx 移動(dòng)移動(dòng) dns 系統(tǒng)升級(jí)改造系統(tǒng)升級(jí)改造設(shè)計(jì)方案設(shè)計(jì)方案1、dns 系統(tǒng)改造方案系統(tǒng)

19、改造方案通過(guò)分析 xx 移動(dòng)現(xiàn)網(wǎng) dns 結(jié)構(gòu)和流量數(shù)據(jù)，北京融海公司建議的 dns 改造方案如下：（1 1） 、分離授權(quán)和緩存域名解析功能、分離授權(quán)和緩存域名解析功能dns 的授權(quán)功能是對(duì)本地負(fù)責(zé)的域名實(shí)現(xiàn)解析功能，為全球用戶提供服務(wù)；而緩存功能則是運(yùn)營(yíng)商為本網(wǎng)用戶提供的 dns 查詢緩存功能，同一臺(tái) dns 服務(wù)器充當(dāng)兩個(gè)職責(zé)會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題。為了分離授權(quán)和緩存，我們建議：保留原 dns 服務(wù)器為授權(quán) dns 使用。（2 2）、新建專業(yè)商用軟件的緩存）、新建專業(yè)商用軟件的緩存 dnsdns 節(jié)點(diǎn)，分配新的節(jié)點(diǎn)，分配新的 ipip 地址。地址。a) 在兩個(gè)異地備份節(jié)點(diǎn)各部署一臺(tái) vant

20、io 服務(wù)器，兩個(gè)節(jié)點(diǎn)互為冗余備份。當(dāng)用戶設(shè)置的第一域名服務(wù)器出現(xiàn)故障的情況下，用戶的 dns 請(qǐng)求會(huì)由操作系統(tǒng)自動(dòng)切換到第二域名服務(wù)器。b) 負(fù)載分擔(dān)：疆內(nèi)部份用戶使用 a 節(jié)點(diǎn)做為第一域名服務(wù)器，b 節(jié)點(diǎn)作為備用域名服務(wù)器，另外一部分用戶使用 b 節(jié)點(diǎn)做為第一域名服務(wù)器，a 節(jié)點(diǎn)作為備用域名服務(wù)器。c) 第一階段，倆節(jié)點(diǎn)均可以采用常規(guī)的單機(jī)模式,根據(jù)業(yè)務(wù)增長(zhǎng)趨勢(shì)，可以靈活的變更為四層交換機(jī)架構(gòu)或 anycast 架構(gòu)。 按照授權(quán)與遞歸分離的原則，xx 移動(dòng)新建 dns 系統(tǒng)的架構(gòu)如下所示： -13-cmnet國(guó)干網(wǎng)報(bào)話 m320-1報(bào)話 m320-2 m320gegene5ke-1 ne5

21、ke-22.5 g10 g 8508-12gegege 8508-2sisi3550ge授權(quán)服務(wù)器dns-1fe授權(quán)服務(wù)器dns-1fe遞歸服務(wù)器vantiodns-2遞歸服務(wù)器vantiodns-1fefe圖：圖：xxxx 移動(dòng)移動(dòng) dnsdns 系統(tǒng)架構(gòu)系統(tǒng)架構(gòu)（3 3）、該方案的主要優(yōu)點(diǎn)如下：）、該方案的主要優(yōu)點(diǎn)如下： 在 dns 改造過(guò)程中，保證原授權(quán)域名解析功能的正常運(yùn)行。 新增緩存 dns 節(jié)點(diǎn)的建設(shè)不影響現(xiàn)有系統(tǒng)的運(yùn)行，整個(gè)升級(jí)改造過(guò)程可以實(shí)現(xiàn)服務(wù)無(wú)中斷，保證升級(jí)過(guò)程中用戶對(duì) dns 的正常使用。 在保證和提升了性能的前提下極大的節(jié)省了硬件投資，并提供了將來(lái)通過(guò)硬件升級(jí)進(jìn)一步提高

22、系統(tǒng)性能的可行性。 未來(lái)可以方便的通過(guò)部署 anycast 方式以及增加服務(wù)器進(jìn)行系統(tǒng)擴(kuò)容升級(jí)。無(wú)需對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行大的調(diào)整。 -14-2、dns 組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計(jì)分析組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計(jì)分析 服務(wù)器的配置：新增 2 臺(tái)服務(wù)器，建議使用基于 x86 的 pc 服務(wù)器平臺(tái)建議的服務(wù)器配置如下：cpu內(nèi)存硬盤操作系統(tǒng)sun x4150xeon(r) x5460（3.16ghz）*24x2gb pc2-5300 667 mhz ecc ddr22x 146gb 10k rpm 2.5 sas drivessolaris 10 x86注：采用 sun 的服務(wù)器主要是考慮到 solaris 10

23、的操作系統(tǒng)的安全性相比redhat as5 要高。用戶可根據(jù)此推薦配置選擇性能相當(dāng)?shù)?pc 服務(wù)器，可以安裝redhat as5 操作系統(tǒng)。vantio 在兩個(gè)操作系統(tǒng)的處理能力基本相同。 四層交換機(jī)按設(shè)計(jì)指標(biāo)，不需要配置四層交換機(jī)四層交換機(jī)存在瓶頸問(wèn)題，并且增加了故障點(diǎn)。目前 anycast 技術(shù)已經(jīng)成熟，未來(lái)可采用 anycast 方式進(jìn)行擴(kuò)容，節(jié)省開(kāi)支，避免四層瓶頸 防火墻 - 可以單獨(dú)配置防火墻設(shè)備或者使用前端路由設(shè)備的防火墻功能不建議對(duì) dns 流量進(jìn)行包檢測(cè)。 dns 服務(wù)的端口 53 必須提供向用戶服務(wù) 防火墻不能阻擋針對(duì) dns 的攻擊（緩存毒害攻擊）通過(guò)防火墻設(shè)備可以實(shí)現(xiàn) 對(duì)

24、服務(wù)器本身的防護(hù) 對(duì)訪問(wèn) ip 地址的限制 流量清洗設(shè)備（可選）在數(shù)據(jù)中心可以配置流量檢測(cè)和清洗設(shè)備當(dāng)發(fā)生 ddos 攻擊時(shí)，需要管理員手工干預(yù) -15-3、dns 系統(tǒng)設(shè)計(jì)性能指標(biāo)系統(tǒng)設(shè)計(jì)性能指標(biāo)至 2009 年 6 月為止，xx 移動(dòng)全省移動(dòng)用戶總數(shù)為 1700 萬(wàn)；手機(jī)上網(wǎng)用戶數(shù)為 800 萬(wàn)；其中絕大部分為基于 1-2g 的 wap 和 cmnet 用戶。從今年開(kāi)始，xx 移動(dòng)在全省范圍內(nèi)向用戶提供基于 td-scdma 的 3g 移動(dòng)業(yè)務(wù)，預(yù)計(jì)到 2012 年底，xx 省的手機(jī)上網(wǎng)用戶總數(shù)將達(dá)到為 1554 萬(wàn)。在選定 3g 業(yè)務(wù)滲透率為 15的前提下，使用 3g 移動(dòng)上網(wǎng)的用戶總數(shù)

25、為 230 萬(wàn)。根據(jù)我們?cè)趪?guó)內(nèi)現(xiàn)網(wǎng)的經(jīng)驗(yàn)，在當(dāng)前網(wǎng)絡(luò)情況下，100 萬(wàn)寬帶用戶對(duì)應(yīng)的平均每秒查詢數(shù)（即 qps）為 10,000-15,000，峰值 qps 為 25,000-30,000。3g 在國(guó)內(nèi)屬于新業(yè)務(wù)，暫時(shí)沒(méi)有國(guó)內(nèi)相關(guān)的 dns 統(tǒng)計(jì)數(shù)據(jù)，根據(jù)國(guó)外 cdma1x和 gprs 網(wǎng)絡(luò)上的經(jīng)驗(yàn)值，預(yù)計(jì)每 100 萬(wàn) 3g 用戶產(chǎn)生的 dns 峰值查詢數(shù)為每秒10000 次左右。同時(shí)，xx 移動(dòng)將努力發(fā)展大客戶和集團(tuán)專線上網(wǎng)業(yè)務(wù)，專線用戶產(chǎn)生的 dns查詢量較高，1 萬(wàn)專線用戶對(duì)應(yīng)的峰值 qps 為 500010000 左右。根據(jù)以上分析，建議本次 dns 系統(tǒng)升級(jí)應(yīng)考慮到 2012 年專

26、線和移動(dòng) 3g 用戶數(shù)目增長(zhǎng)帶來(lái)的 dns 流量增長(zhǎng)。具體設(shè)計(jì)指標(biāo)如下：1、預(yù)計(jì)到 2012 年 6 月底，xx 移動(dòng)全省 dns 系統(tǒng)需要支持的峰值每秒查詢數(shù)qps = 30000； dns 系統(tǒng)改造的設(shè)計(jì)目標(biāo)應(yīng)該滿足全省全省 dnsdns 支持的忙時(shí)支持的忙時(shí) qpsqps = 30,00030,000 2、在單節(jié)點(diǎn)出現(xiàn)故障的情況下，dns 系統(tǒng)依然可以滿足全省用戶正常網(wǎng)絡(luò)查詢的需求。即單節(jié)點(diǎn)可以支持最大單節(jié)點(diǎn)可以支持最大 qpsqps = 30,00030,0003、為保證系統(tǒng)穩(wěn)定運(yùn)行，防范 ddos 黑客攻擊，系統(tǒng)設(shè)計(jì)時(shí)應(yīng)考慮足夠的富裕度。在全省 dns 系統(tǒng)正常運(yùn)行正常運(yùn)行情況下，服

27、務(wù)器 cpu 平均負(fù)載應(yīng)保持在 30%以下。單臺(tái)服務(wù)器的平均單臺(tái)服務(wù)器的平均 cpucpu loadload 30%30%北京融海公司推薦的 nominum 公司的緩存域名服務(wù)器系統(tǒng) vantio 是業(yè)界性能最高的緩存域名服務(wù)器，完全可以滿足 xx 移動(dòng)的 dns 系統(tǒng)設(shè)計(jì)指標(biāo)。 -16-nominum 建議使用的硬件平臺(tái)為基于 x86 架構(gòu)的 pc 服務(wù)器。參考硬件平臺(tái)：dell r805，2x quad core amd opteron 2393se，內(nèi)存 8gb (4x2gb), 800mhz, dual ranked，操作系統(tǒng)為 redhat enterprise linux v5.3

28、。在上述硬件平臺(tái)上運(yùn)行 vantio v4.0 的現(xiàn)網(wǎng)參考指標(biāo)如下：在保證服務(wù)質(zhì)量的前提下在保證服務(wù)質(zhì)量的前提下，單臺(tái)服務(wù)器支持的最大 qps 值約為40,000；xx 移動(dòng)全省部署兩臺(tái)服務(wù)器，dns 支持的最大 qps 值為 80,000；單臺(tái)服務(wù)器在系統(tǒng)正常情況下的平均 cpu 負(fù)載 30%。4、系統(tǒng)可管理性、系統(tǒng)可管理性設(shè)計(jì)設(shè)計(jì)本次擴(kuò)容選配的專業(yè)商用 nominum dns 軟件所有產(chǎn)品系統(tǒng)支持統(tǒng)一的管理架構(gòu)，包括以下類型的管理工具：snmpsoap/xml 接口cc (command channel) 命令行交互式管理工具eac(engine administration consol

29、e) - 基于 web 的遠(yuǎn)程管理工具，可以方便的修改系統(tǒng)配置，管理域文件，同步主從服務(wù)器。syslog 和統(tǒng)計(jì)(statistics)功能融海咨詢基于 dns 應(yīng)用的特點(diǎn)結(jié)合互聯(lián)網(wǎng)用戶訪問(wèn)行為分析等需求，開(kāi)發(fā)出了一套完整的專業(yè) dns 系統(tǒng)管理分析系統(tǒng)軟件，能夠?qū)?dns 系統(tǒng)進(jìn)行應(yīng)用級(jí)的監(jiān)控管理以及用戶訪問(wèn)行為分析等功能。后期可根據(jù)需求進(jìn)行選配。5、dns 系統(tǒng)可擴(kuò)展功能設(shè)計(jì)系統(tǒng)可擴(kuò)展功能設(shè)計(jì)傳統(tǒng)的運(yùn)營(yíng)商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺(tái)和網(wǎng)絡(luò)硬件平臺(tái)提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來(lái)越多的運(yùn)營(yíng)商意識(shí)到發(fā)展互聯(lián)網(wǎng)上用戶 -17-業(yè)務(wù)和用戶流量經(jīng)營(yíng)的重要性。通過(guò)提供給最終用戶更好

30、的業(yè)務(wù)和服務(wù)，運(yùn)營(yíng)商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。dns 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗(yàn)，因特網(wǎng)的大規(guī)模發(fā)展對(duì)現(xiàn)有 dns 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。dns在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點(diǎn)的角色?；ヂ?lián)網(wǎng)流量匯聚就是最近在國(guó)際國(guó)內(nèi)快速發(fā)展的一種新的業(yè)務(wù)。nominum 公司作為世界各地頂級(jí)運(yùn)營(yíng)商 dns 架構(gòu)的軟件提供商，可以在第一時(shí)間了解到運(yùn)營(yíng)商的各種增值業(yè)務(wù)需求，并把握到互聯(lián)網(wǎng)上 dns 未來(lái)技術(shù)發(fā)展的動(dòng)態(tài)。公司最新推出的 vantio 業(yè)務(wù)承載平臺(tái)就是在 ip 域名技術(shù)基礎(chǔ)之上，根據(jù)各大運(yùn)營(yíng)商的業(yè)務(wù)要求

31、開(kāi)發(fā)的的一個(gè)通用增值業(yè)務(wù)平臺(tái)，vantio 為網(wǎng)絡(luò)運(yùn)營(yíng)商提供了包括錯(cuò)誤域名轉(zhuǎn)發(fā)在內(nèi)的多項(xiàng)增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所示：圖一：圖一：vantiovantio 軟件系統(tǒng)結(jié)構(gòu)軟件系統(tǒng)結(jié)構(gòu)uarvantio base server(extensible dns server for value-addeddns-based services)extensibleextensibleextensible vantiovantiovantio basebasebase serverserverserver withwithwith pluggablepluggablepluggable dns-

32、baseddns-baseddns-based serviceserviceservice deliverydeliverydelivery modulesmodulesmodulesnxrnxdomainnxdomainnxdomain redirectionredirectionredirection (nxr)(nxr)(nxr)mdruseruseruser accessaccessaccess redirectionredirectionredirection (uar)(uar)(uar)application:application:application: walledwall

33、edwalled gardensgardensgardensfirstfirstfirst customer:customer:customer: comcastcomcastcomcastmaliciousmaliciousmalicious domaindomaindomain redirectionredirectionredirection (mdr)(mdr)(mdr)applications:applications:applications: illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem.

34、firstfirstfirst customer:customer:customer: upcupcupc -18-如上圖所示，nominum 公司的 vantio 服務(wù)器是在 vantio 緩存域名服務(wù)器技術(shù)基礎(chǔ)上開(kāi)發(fā)的可擴(kuò)展 dns 平臺(tái)，在 vantio 平臺(tái)上用戶可以按業(yè)務(wù)需求定制多種基于 dns 的增值業(yè)務(wù)模塊，包括nxr：錯(cuò)誤域名轉(zhuǎn)發(fā)模塊mdr：非法和惡意域名轉(zhuǎn)發(fā)模塊uar：用戶接入控制模塊sml：垃圾郵件控制模塊6、本次、本次 dns 系統(tǒng)規(guī)劃中系統(tǒng)規(guī)劃中 anycast 架構(gòu)設(shè)計(jì)規(guī)劃架構(gòu)設(shè)計(jì)規(guī)劃anycast方式最初定義于rfc1546，意為處于互聯(lián)網(wǎng)中的一臺(tái)主機(jī)向某一anyc

35、ast地址發(fā)送ip協(xié)議報(bào)文，互聯(lián)網(wǎng)負(fù)責(zé)將其送往一個(gè)接收目的地址為anycast地址的主機(jī)。這里anycast地址定義為用于實(shí)現(xiàn)主機(jī)標(biāo)記的ipv4或ipv6地址，可能有多個(gè)互聯(lián)網(wǎng)主機(jī)接收目的地為該地址的ip報(bào)文。利用anycast技術(shù)，提供同一類服務(wù)的所有服務(wù)器可配置同一個(gè)anycast ip地址，路由系統(tǒng)自動(dòng)將服務(wù)請(qǐng)求送至最近的服務(wù)器。圖：圖：anycast 技術(shù)原理技術(shù)原理anycast 是目前當(dāng)前應(yīng)用較廣的負(fù)載均衡技術(shù)。國(guó)外很多 dns 系統(tǒng)都應(yīng)用了anycast 技術(shù)，它具有以下優(yōu)點(diǎn)：優(yōu)點(diǎn)：全網(wǎng)負(fù)載均衡較好，用戶按地域的就近訪問(wèn)，網(wǎng)絡(luò)時(shí)延??；強(qiáng)大的冗余備份功能，域名解析服務(wù)不依賴于少數(shù)幾

36、個(gè)節(jié)點(diǎn)的連通性，每個(gè)節(jié)點(diǎn)都具有冗 -19-余備份功能，節(jié)點(diǎn)越多冗余備份功能越強(qiáng)；能有效預(yù)防 ddos 攻擊；有利于ipv6 網(wǎng)絡(luò)的部署，節(jié)點(diǎn)升級(jí)對(duì)用戶幾乎沒(méi)有影響。anycast 技術(shù)既可以在整個(gè)網(wǎng)絡(luò)間使用，也可以在單節(jié)點(diǎn)內(nèi)采用等價(jià)路由實(shí)現(xiàn)負(fù)載分擔(dān)，通過(guò)前期測(cè)試，其負(fù)載基本維持在 1：1 的比例，負(fù)載差異最大在 10%以內(nèi)，能夠滿足一般節(jié)點(diǎn)的負(fù)載均衡要求。一般在省級(jí)的 dns 系統(tǒng)中，為保證系統(tǒng)的可維護(hù)性，建議采用節(jié)點(diǎn)內(nèi) anycast架構(gòu)，其原理如圖所示：圖：節(jié)點(diǎn)內(nèi)圖：節(jié)點(diǎn)內(nèi) anycast 示意圖示意圖 anycastanycast 架構(gòu)與四層交換機(jī)架構(gòu)優(yōu)缺點(diǎn)對(duì)比架構(gòu)與四層交換機(jī)架構(gòu)優(yōu)缺點(diǎn)

37、對(duì)比四層交換機(jī)架構(gòu)的優(yōu)點(diǎn)：四層交換機(jī)架構(gòu)的優(yōu)點(diǎn)：擴(kuò)容簡(jiǎn)單負(fù)載均衡比例可設(shè)置四層交換機(jī)架構(gòu)的缺點(diǎn)：四層交換機(jī)架構(gòu)的缺點(diǎn)：系統(tǒng)瓶頸，四層交換機(jī)癱瘓會(huì)導(dǎo)致整個(gè)節(jié)點(diǎn)癱瘓（根據(jù)統(tǒng)計(jì)，國(guó)內(nèi) dns 系統(tǒng)節(jié)點(diǎn)故障的 80%集中在四層交換機(jī)）硬件無(wú)法升級(jí)，需要重復(fù)投資（支持的會(huì)話數(shù)無(wú)法升級(jí)，每次擴(kuò)容需要購(gòu)買更強(qiáng)的四層交換機(jī)）anycastanycast 架構(gòu)的優(yōu)點(diǎn)：架構(gòu)的優(yōu)點(diǎn)：擴(kuò)容簡(jiǎn)單,設(shè)計(jì)靈活（既可設(shè)計(jì)廣域的 anycast 架構(gòu)，也可設(shè)計(jì)節(jié)點(diǎn)內(nèi)的anycast 架構(gòu)） -20-多臺(tái)服務(wù)器自動(dòng)形成冗余備份，不會(huì)造成 dns 節(jié)點(diǎn)整理癱瘓無(wú)需購(gòu)買硬件，現(xiàn)有的核心路由器即可支持anycastanycast 架構(gòu)

38、的缺點(diǎn)：架構(gòu)的缺點(diǎn)：負(fù)載無(wú)法按照設(shè)置分配，其服務(wù)器分配流量均在 1：1，要求服務(wù)器處理能力相當(dāng) -21-四、四、xx 移動(dòng)移動(dòng) dns 系統(tǒng)升級(jí)改造項(xiàng)目實(shí)施系統(tǒng)升級(jí)改造項(xiàng)目實(shí)施內(nèi)容及計(jì)劃內(nèi)容及計(jì)劃考慮到系統(tǒng)實(shí)施的復(fù)雜性及涉及的范圍，融海咨詢對(duì)本項(xiàng)目的具體實(shí)現(xiàn)方式、進(jìn)度安排等實(shí)施方案建議如下。1、項(xiàng)目組織結(jié)構(gòu)、項(xiàng)目組織結(jié)構(gòu)我們建議的項(xiàng)目組織結(jié)構(gòu)如圖 51 所示。公司高層領(lǐng)導(dǎo)客戶方技術(shù)負(fù)責(zé)人公司項(xiàng)目經(jīng)理客戶方項(xiàng)目經(jīng)理項(xiàng)目管理系統(tǒng)工程師實(shí)施工程師培訓(xùn)人員協(xié)調(diào)人員技術(shù)人員操作人員測(cè)試人員融海咨詢客戶方圖圖 5 51 1項(xiàng)目組織結(jié)構(gòu)圖項(xiàng)目組織結(jié)構(gòu)圖用戶和公司各派出高層領(lǐng)導(dǎo)擔(dān)任本項(xiàng)目負(fù)責(zé)人，把握項(xiàng)目的方向

39、、決定項(xiàng)目的重大事項(xiàng)、協(xié)調(diào)雙方的關(guān)系。項(xiàng)目經(jīng)理由公司和客戶各派一人擔(dān)任，負(fù)責(zé)項(xiàng)目計(jì)劃、組織和分工、控制項(xiàng)目進(jìn)度、考核項(xiàng)目人員業(yè)績(jī)、協(xié)調(diào)項(xiàng)目人員間的關(guān)系。項(xiàng)目管理的具體工作主要由公司的項(xiàng)目經(jīng)理負(fù)責(zé)，但客戶方也應(yīng)派出項(xiàng)目經(jīng)理（項(xiàng)目負(fù)責(zé)人），參與項(xiàng)目管理。2、項(xiàng)目實(shí)施配合需求、項(xiàng)目實(shí)施配合需求 在工程實(shí)施過(guò)程中，需要 xx 移動(dòng)配合提供的環(huán)境保障方面的工作有：(1)、提供硬件服務(wù)器，提供網(wǎng)絡(luò)環(huán)境。 -22-提供安裝 vantio 軟件的硬件服務(wù)器及網(wǎng)絡(luò)安裝環(huán)境（包括 ip 等），以便順利安裝調(diào)試軟件。(2)、提供新的系統(tǒng)分配 ip，以便配合 vantio 設(shè)置支持范圍。 -23-五、技術(shù)及售后服務(wù)內(nèi)

40、容五、技術(shù)及售后服務(wù)內(nèi)容1、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容融海咨詢依托融海咨詢依托 nominum 廠商的鼎力支持，依靠自身在廠商的鼎力支持，依靠自身在 dns 系統(tǒng)的建設(shè)、維系統(tǒng)的建設(shè)、維護(hù)、管理等方面雄厚的技術(shù)力量?jī)?chǔ)備，不僅提供管理系統(tǒng)的整體技術(shù)服務(wù)，同時(shí)可護(hù)、管理等方面雄厚的技術(shù)力量?jī)?chǔ)備，不僅提供管理系統(tǒng)的整體技術(shù)服務(wù)，同時(shí)可以提供強(qiáng)有力的整體的技術(shù)維護(hù)服務(wù)以提供強(qiáng)有力的整體的技術(shù)維護(hù)服務(wù), ,確保確保 xxxx 電信電信 dnsdns 系統(tǒng)穩(wěn)定安全運(yùn)行。并在優(yōu)系統(tǒng)穩(wěn)定安全運(yùn)行。并在優(yōu)化工程的實(shí)施過(guò)程中，提供指導(dǎo)意見(jiàn)?；こ痰膶?shí)施過(guò)程中，提供指導(dǎo)意見(jiàn)。技術(shù)支持是指在 appmanag

41、er 所支持的平臺(tái)上，幫助客戶解決問(wèn)題，包括操作指導(dǎo)、問(wèn)題解決、實(shí)施指導(dǎo)、項(xiàng)目實(shí)施、培訓(xùn)和二次開(kāi)發(fā)。服務(wù)獲取方式包括：服務(wù)內(nèi)容通知文檔電話支持online 支持遠(yuǎn)程診斷(需客戶同意)新版本升級(jí)獲取 beta 版 產(chǎn)品2、故障級(jí)別、故障級(jí)別根據(jù)系統(tǒng)受影響的程度，將故障分為四個(gè)級(jí)別：l1：system down系統(tǒng)宕機(jī)（硬件故障），不能工作。l2：critical系統(tǒng)仍在工作，但性能嚴(yán)重下降。l3：work-around系統(tǒng)可以工作，但不太正常。l4：minor系統(tǒng)工作不受影響。 -24-3、響應(yīng)時(shí)長(zhǎng)、響應(yīng)時(shí)長(zhǎng)服務(wù)內(nèi)容電話服務(wù)email 服務(wù)l1 級(jí)故障服務(wù)7*24 服務(wù)1 小時(shí)內(nèi)響應(yīng)并到現(xiàn)場(chǎng)l2

42、 級(jí)故障服務(wù)7*24 服務(wù)2 小時(shí)內(nèi)響應(yīng)l3 級(jí)故障服務(wù)5*8 服務(wù)4-24 小時(shí)內(nèi)響應(yīng)4-24 小時(shí)內(nèi)響應(yīng)l4 級(jí)故障服務(wù)5*8 服務(wù)4-24 小時(shí)內(nèi)響應(yīng)4-24 小時(shí)內(nèi)響應(yīng)注：出現(xiàn) l1 級(jí)故障時(shí)，為保證業(yè)務(wù)正常運(yùn)行，融海公司為 xx 電信安裝 cns 備機(jī)（硬件由 xx 電信提供，可以將先用 bind 服務(wù)器臨時(shí)安裝 cns 保證業(yè)務(wù)的正常運(yùn)行）。 當(dāng)出現(xiàn) l2 級(jí)及以下故障時(shí)，融海公司將及時(shí)配合用戶解決問(wèn)題。4、高級(jí)服務(wù)、高級(jí)服務(wù)出標(biāo)準(zhǔn)技術(shù)支持內(nèi)容外高級(jí)服務(wù)包括：出標(biāo)準(zhǔn)技術(shù)支持內(nèi)容外高級(jí)服務(wù)包括：現(xiàn)場(chǎng)服務(wù)項(xiàng)目實(shí)施培訓(xùn)實(shí)施指導(dǎo)高級(jí)服務(wù)響應(yīng)時(shí)長(zhǎng)：高級(jí)服務(wù)響應(yīng)時(shí)長(zhǎng)：服務(wù)內(nèi)容服務(wù)內(nèi)容高級(jí)服務(wù)高

43、級(jí)服務(wù)知識(shí)庫(kù)故障服務(wù)online 用戶論壇 -25-通知文檔電話支持online 支持l1 級(jí)故障服務(wù)1 小時(shí)內(nèi)響應(yīng)l2 級(jí)故障服務(wù)1 小時(shí)內(nèi)響應(yīng)l3 級(jí)故障服務(wù)1 小時(shí)內(nèi)響應(yīng)l4 級(jí)故障服務(wù)1 小時(shí)內(nèi)響應(yīng)遠(yuǎn)程診斷(需客戶同意)聯(lián)系人個(gè)數(shù)10 人hotfixes and inline releasesservice packs新版本升級(jí)獲取 beta 版 產(chǎn)品 -26-六、培訓(xùn)六、培訓(xùn)計(jì)劃計(jì)劃我們?cè)陧?xiàng)目整體規(guī)劃以及實(shí)施中，對(duì)用戶相關(guān)項(xiàng)目技術(shù)人員提供全程免費(fèi)的現(xiàn)場(chǎng)培訓(xùn)服務(wù)，同時(shí)重點(diǎn)在廠家技術(shù)人員進(jìn)行項(xiàng)目實(shí)施時(shí)為用戶提供全方位的產(chǎn)品現(xiàn)場(chǎng)培訓(xùn)以及產(chǎn)品技術(shù)答疑等服務(wù)，保證使用戶相關(guān)技術(shù)管理人員熟練掌握

44、產(chǎn)品技術(shù)及處理產(chǎn)品常見(jiàn)問(wèn)題。在產(chǎn)品使用過(guò)程中，如遇產(chǎn)品升級(jí)，融海咨詢技術(shù)人員協(xié)同廠家技術(shù)人員對(duì)用戶進(jìn)行免費(fèi)的產(chǎn)品現(xiàn)場(chǎng)升級(jí)培訓(xùn)。培訓(xùn)方式：培訓(xùn)方式：1、現(xiàn)場(chǎng)隨工培訓(xùn)：廠家和融海咨詢技術(shù)人員在系統(tǒng)安裝調(diào)測(cè)的同步，對(duì)用戶相關(guān)的技術(shù)維護(hù)負(fù)責(zé)人員進(jìn)行現(xiàn)場(chǎng)培訓(xùn)指導(dǎo)，保證用戶能夠熟練掌握軟件的安裝、配置和初級(jí)故障分析。2、集中講座培訓(xùn)：由用戶提供場(chǎng)地。融海咨詢邀請(qǐng)廠家資深技術(shù)經(jīng)理將為用戶做半天到一天的產(chǎn)品集中講座培訓(xùn)，人數(shù)不限，主要就產(chǎn)品的使用特性、配置管理、常見(jiàn)問(wèn)題處理等用戶關(guān)注的問(wèn)題進(jìn)行講解，同時(shí)提供重點(diǎn)問(wèn)題答疑服務(wù)。培訓(xùn)對(duì)象：培訓(xùn)對(duì)象：操作配置 dns 系統(tǒng)的技術(shù)人員、dns 系統(tǒng)相關(guān)人員以及對(duì) va

45、ntio產(chǎn)品感興趣的人員在系統(tǒng)在試運(yùn)行后，融海咨詢提供一天的使用培訓(xùn)課程。培訓(xùn)內(nèi)容：培訓(xùn)內(nèi)容：vantio安裝vantio設(shè)置vantio實(shí)時(shí)狀態(tài)讀取日常維護(hù) -27-附件附件 1、nominum 公司公司 dns 系統(tǒng)解決方案系統(tǒng)解決方案1 1、nominumnominum 公司介紹公司介紹nominum 公司 1999 年在美國(guó)加里佛里亞州硅谷成立，公司技術(shù)總裁保羅博士是 internet 網(wǎng) dns 的系統(tǒng)設(shè)計(jì)者和 bind 軟件的開(kāi)發(fā)者。公司成立初期受 isc（互聯(lián)網(wǎng)協(xié)會(huì)組織）委托，編寫了新一代 bind 9 域名解析軟件，并為 bind 9 提供開(kāi)源代碼和技術(shù)支持。nominum 公

46、司同時(shí)還參與并制定了與 dns 相關(guān)的所有 ietf 標(biāo)準(zhǔn)。由于互聯(lián)網(wǎng)的高速發(fā)展，運(yùn)營(yíng)商需要性能更高，穩(wěn)定性更高，安全性更高的域名解析系統(tǒng)來(lái)保障業(yè)務(wù)的正常運(yùn)行，目前市場(chǎng)上所有商用 dns 系統(tǒng)都是基于 bind 9 二次開(kāi)發(fā)的改良版本，而 bind9 的軟件設(shè)計(jì)已經(jīng)不能滿足這些新的要求?；谑袌?chǎng)需求，nominum 公司在 2001 年開(kāi)始為運(yùn)營(yíng)商開(kāi)發(fā)了新一代 dns 域名解析系統(tǒng)，產(chǎn)品采用全新的軟件架構(gòu)，完全重新編寫代碼，采用了包括 vdb 在內(nèi)的多種專利技術(shù)。目前公司的緩存域名服務(wù)器產(chǎn)品 vantio 在全球 80 多家運(yùn)營(yíng)商現(xiàn)網(wǎng)運(yùn)行，國(guó)內(nèi)中國(guó)網(wǎng)通，中國(guó)電信的 10 余家省級(jí)運(yùn)營(yíng)商也采用了

47、我公司的 dns 解決方案。2 2、nominumnominum 運(yùn)營(yíng)商級(jí)專業(yè)運(yùn)營(yíng)商級(jí)專業(yè) dnsdns 系統(tǒng)系統(tǒng)nominum 的 dns 系統(tǒng)包括 vantio（caching name server）、ans（authoritative name server）兩個(gè)獨(dú)立系統(tǒng)。vantio 完成緩存（cache）功能，ans 完成授權(quán)（authority）功能，把緩存和授權(quán)功能分開(kāi)是一個(gè)很重要的設(shè)計(jì)方向。互聯(lián)網(wǎng)上的域名服務(wù)器有兩種不同的角色：一方面，有些 dns 服務(wù)器是其存貯的域名的授權(quán)者，這些授權(quán)域名服務(wù)器保存著其所負(fù)責(zé)的域名數(shù)據(jù)。我們熟悉的授權(quán)域名服務(wù)器中有根域名服務(wù)器“.”、頂級(jí)域

48、名服務(wù)器如“com”、“cn”，還有二級(jí)域名服務(wù)器如“”等等。它們的職責(zé)是“publish data”。例如， 的授權(quán)域名服務(wù)器包含了 以及 -28-， 等域名的ns，a，mx，ptr 記錄。另一方面，互聯(lián)網(wǎng)用戶并不直接和授權(quán)域名服務(wù)器打交道，網(wǎng)絡(luò)運(yùn)營(yíng)商的緩存服務(wù)器充當(dāng)了本地用戶的代理，用戶通過(guò)這些代理域名服務(wù)器查詢域名并得到結(jié)果。這些代理域名服務(wù)器與各級(jí)授權(quán)域名服務(wù)器聯(lián)系，如果需要的話，通過(guò)對(duì)授權(quán)域名服務(wù)器的遞歸查詢得到需要解析的域名信息，并且把信息在本地緩存以備將來(lái)的需要。緩存域名服務(wù)器的職責(zé)是“收集數(shù)據(jù)”。它們?cè)诰彺胬锉４姹镜乜蛻艚诓樵兊乃杏蛎畔?，這可以顯著地加快客戶域名查詢的響應(yīng)

49、速度，為客戶提供更優(yōu)質(zhì)的服務(wù)。 目前網(wǎng)絡(luò)上，基于 bind 的 dns 服務(wù)器同時(shí)充當(dāng)授權(quán)域名服務(wù)器和緩存域名服務(wù)器是最常見(jiàn)的。出于系統(tǒng)性能、可靠性和安全性等方面的綜合考慮，每臺(tái)域名服務(wù)器應(yīng)該只完成單一功能。首先，授權(quán)權(quán)域名服務(wù)器的主要職責(zé)是“publish data”，需要管理很大的區(qū)域（zone）和很多的區(qū)域；而緩存域名服務(wù)器的職責(zé)是“collect data”。不同的職責(zé)決定了這兩者應(yīng)該有不同的處理算法。授權(quán)域名服務(wù)器需要處理多個(gè)表單的數(shù)據(jù)并要求在單個(gè)表單更新數(shù)據(jù)的同時(shí)不影響到其它表單的查詢；緩存域名服務(wù)器則需要實(shí)時(shí)快速的處理大量的數(shù)據(jù)更新并提供更高效的查詢算法。所以，在實(shí)際網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)

50、當(dāng)把兩者分開(kāi)，采用不同的算法進(jìn)行處理，從而提高授權(quán)域名服務(wù)器的域名解析和緩存域名服務(wù)器的用戶響應(yīng)性能。（在 bind 中，授權(quán)功能和緩存功能只是一個(gè)設(shè)置上的區(qū)別而已。）注：詳細(xì)介紹見(jiàn)附件注：詳細(xì)介紹見(jiàn)附件ansans 技術(shù)白皮書(shū)，技術(shù)白皮書(shū)，vantiovantio 技術(shù)白皮書(shū)技術(shù)白皮書(shū)其次，一臺(tái) dns 服務(wù)器充當(dāng)兩個(gè)職責(zé)會(huì)帶來(lái)嚴(yán)重的安全問(wèn)題。internic 要求所有的授權(quán)域名服務(wù)器開(kāi)放訪問(wèn)權(quán)限，因?yàn)榛ヂ?lián)網(wǎng)上的緩存域名服務(wù)器需要通過(guò)查詢授權(quán)域名服務(wù)器以獲得對(duì)應(yīng)域名的解析。另一方面，運(yùn)營(yíng)商的緩存域名服務(wù)器應(yīng)當(dāng)只對(duì)本網(wǎng)用戶開(kāi)放訪問(wèn)權(quán)限，以有效防止來(lái)自外網(wǎng)的 ddos 攻擊?；?bind 的域

51、名服務(wù)器將兩個(gè)功能捆綁在一起的實(shí)現(xiàn)方法，不但增加了服務(wù)器的負(fù)載，也降低了服務(wù)器的安全級(jí)別。 -29-基于以上的原因，在 nominum 的 dns 系統(tǒng)設(shè)計(jì)中，授權(quán)功能和緩存功能分別由 ans和 vantio 完成。緩存域名服務(wù)器 vantio 完成以下功能：處理來(lái)自客戶的 dns 請(qǐng)求搜索本地緩存，如果沒(méi)有查詢結(jié)果，從根授權(quán)服務(wù)器開(kāi)始遞歸查詢，最終從對(duì)應(yīng)的授權(quán)服務(wù)器獲取域名數(shù)據(jù)并返回給客戶緩存里域名的存儲(chǔ)時(shí)間由 ttl 值決定，ttl 過(guò)期后從緩存里清除數(shù)據(jù)授權(quán)域名服務(wù)器 ans 完成以下功能：拒絕所有遞歸查詢域名數(shù)據(jù)在本地保存，服務(wù)器只負(fù)責(zé)本級(jí)和下級(jí)對(duì)應(yīng)域名的解析由本地管理員修改配置本地域

52、名3 3、nominumnominum dnsdns 架構(gòu)的優(yōu)點(diǎn)架構(gòu)的優(yōu)點(diǎn)穩(wěn)定性產(chǎn)品成熟可靠，在世界各地?cái)?shù)十家電信運(yùn)營(yíng)商平臺(tái)上廣泛采用，從來(lái)未發(fā)生任何事故。24x7 的專業(yè)技術(shù)支持和產(chǎn)品升級(jí)，降低了技術(shù)和運(yùn)營(yíng)風(fēng)險(xiǎn)高效可靠的內(nèi)存管理技術(shù)，有效的提高了內(nèi)存使用效率以及緩存命中率，系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行，不需要網(wǎng)管干預(yù)。高性能在同類硬件平臺(tái)和運(yùn)營(yíng)商現(xiàn)網(wǎng)上，系統(tǒng)的 qps（每秒查詢數(shù)）比 bind9 增加了 600到 1000用戶域名查詢時(shí)延比 bind9 降低超過(guò) 1000cpu 的使用率提高了 60 -30-安全性高性能系統(tǒng)，有效的降低了 ddos 攻擊造成用戶服務(wù)中斷的幾率?？梢杂行У钟渌槍?duì) dn

53、s 的攻擊如“cache poising”和 pharming 攻擊。方便靈活的管理模式業(yè)界唯一在軟件層次上支持 snmp 協(xié)議的 dns 系統(tǒng)，可以和其它網(wǎng)管工具結(jié)合，提供 dns 應(yīng)用層面上的報(bào)警/檢測(cè)功能。支持 syslog，支持 netiq，catci 等第三方網(wǎng)管工具。統(tǒng)一的管理接口，支持基于 web 瀏覽器的 eac 后臺(tái)管理系統(tǒng)，可以方便的修改、查詢配置和統(tǒng)計(jì)數(shù)據(jù)基于命令行的在線命令通道，可是實(shí)時(shí)修改數(shù)據(jù)而不需要中斷服務(wù)。提供多種靈活的工具 可以從現(xiàn)有 bind 的配置直接轉(zhuǎn)化生成 vantio 的配置，方便了系統(tǒng)升級(jí)。 -31-附件附件 2、vantio 產(chǎn)品介紹產(chǎn)品介紹1、v

54、antio 簡(jiǎn)介簡(jiǎn)介傳統(tǒng)的運(yùn)營(yíng)商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺(tái)和網(wǎng)絡(luò)硬件平臺(tái)提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來(lái)越多的運(yùn)營(yíng)商意識(shí)到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務(wù)和用戶流量經(jīng)營(yíng)的重要性。通過(guò)提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運(yùn)營(yíng)商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。業(yè)務(wù)上的需求也產(chǎn)生了對(duì)運(yùn)營(yíng)商的 dns 系統(tǒng)提出了新的要求：1、dns 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗(yàn)，因特網(wǎng)的大規(guī)模發(fā)展對(duì)現(xiàn)有 dns 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。2、dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點(diǎn)的角色。dns 是所有 ip 應(yīng)用的核心，互

55、聯(lián)網(wǎng)上面幾乎的所有應(yīng)用都要使用 dns。對(duì)于絕大多數(shù)應(yīng)用，用戶首先會(huì)訪問(wèn) dns，dns 是業(yè)務(wù)層面的第一“接觸點(diǎn)”。dns 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 dns 上發(fā)展新業(yè)務(wù)不需要修改網(wǎng)絡(luò)結(jié)構(gòu)。在 dns 軟件基礎(chǔ)上為用戶提供增值業(yè)務(wù)開(kāi)銷最小，具有性價(jià)比的優(yōu)勢(shì)。nominum 公司最新推出的 vantio 業(yè)務(wù)承載平臺(tái)就是在 ip 域名技術(shù)基礎(chǔ)之上，根據(jù)各大運(yùn)營(yíng)商的業(yè)務(wù)要求開(kāi)發(fā)的的一個(gè)通用增值業(yè)務(wù)平臺(tái)，vantio 為網(wǎng)絡(luò)運(yùn)營(yíng)商提供了包括錯(cuò)誤域名轉(zhuǎn)發(fā)在內(nèi)的多項(xiàng)增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所示： -32-uar vantiovantiovantio 基礎(chǔ)服務(wù)器基礎(chǔ)服務(wù)器基礎(chǔ)服務(wù)器可擴(kuò)展可擴(kuò)展可

56、擴(kuò)展 vantiovantiovantio 基礎(chǔ)服基礎(chǔ)服基礎(chǔ)服務(wù)器務(wù)器務(wù)器, , , 支持多種增值業(yè)支持多種增值業(yè)支持多種增值業(yè)務(wù)服務(wù)插件模塊務(wù)服務(wù)插件模塊務(wù)服務(wù)插件模塊nxr錯(cuò)誤域名轉(zhuǎn)發(fā)模塊錯(cuò)誤域名轉(zhuǎn)發(fā)模塊錯(cuò)誤域名轉(zhuǎn)發(fā)模塊 (nxr)(nxr)(nxr)mdr用戶接入控制模塊用戶接入控制模塊用戶接入控制模塊 (uar)(uar)(uar)應(yīng)用應(yīng)用應(yīng)用: : : walledwalledwalled gardensgardensgardens客戶示例客戶示例客戶示例: : : comcastcomcastcomcast惡意域名控制模塊惡意域名控制模塊惡意域名控制模塊 (mdr)(mdr)(md

57、r)應(yīng)用應(yīng)用應(yīng)用: : : illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem.客戶示例客戶示例客戶示例: : : upcupcupc如上圖所示，nominum 公司的 vantio 服務(wù)器是在緩存域名服務(wù)器技術(shù)基礎(chǔ)上開(kāi)發(fā)的可擴(kuò)展 dns 平臺(tái)，在 vantio 平臺(tái)上用戶可以按業(yè)務(wù)需求定制多種基于 dns的增值業(yè)務(wù)模塊，包括nxr：錯(cuò)誤域名轉(zhuǎn)發(fā)模塊mdr：非法和惡意域名轉(zhuǎn)發(fā)模塊uar：用戶接入控制模塊vantio 服務(wù)器同時(shí)為運(yùn)營(yíng)商提供了豐富的 dns 管理功能和附加安全特性，例如：域名分析系統(tǒng)：基于域名和

58、 ip 的全 dns 請(qǐng)求日志和分析錯(cuò)誤域名分析部件，可以分析錯(cuò)誤域名的種類，提供所有錯(cuò)誤域名訪問(wèn)的記錄并產(chǎn)生相關(guān)分析報(bào)告2 2、vantiovantio 的系統(tǒng)安全性介紹的系統(tǒng)安全性介紹對(duì) dos、ddos 攻擊的防范措施：vantio 支持基于源 ip 地址的訪問(wèn)列表控制，管理員可以通過(guò)實(shí)時(shí)設(shè)置，屏蔽來(lái)自某些 ip 的域名解析請(qǐng)求， -33-defense on attach 技術(shù)：vantio 系統(tǒng)可以自動(dòng)檢測(cè)在設(shè)置時(shí)間段內(nèi)從同一個(gè) ip 地址發(fā)出的 dns 查詢請(qǐng)求的次數(shù)并自動(dòng)切換保護(hù)模式，設(shè)置屏蔽。nominum 公司建議的方案中，本次 xx 移動(dòng) dns 系統(tǒng)設(shè)計(jì)具有很高的最大峰值

59、冗余度，可以有效的吸收黑客采用 ddos 方式攻擊帶來(lái)的額外流量，注：按本次設(shè)計(jì)方案，單節(jié)點(diǎn)的峰值處理能力為 40,000 50,000qps。在負(fù)載很高的情況下，vantio 依然可以保證較高的用戶請(qǐng)求響應(yīng)率和較低的請(qǐng)求包丟失率。這樣在系統(tǒng)遭受攻擊時(shí)的可以響應(yīng)用戶的正常查詢，給網(wǎng)管人員足夠的時(shí)間處理問(wèn)題。其它安全特性：nominum 的 vantio 與開(kāi)源程序 bind 不同，它采用完全封閉的代碼，杜絕了黑客通過(guò)分析源程序漏洞采取 buffer overflow 攻擊的可能性。nominum 的研發(fā)人員隨時(shí)跟蹤最新的安全信息，定時(shí)發(fā)布最新的補(bǔ)丁和新版本軟件。目前 vantio 平均每個(gè)季度

60、推出一個(gè)新的版本，我們產(chǎn)品的研發(fā)同時(shí)綜合了世界各地 80 多家頂級(jí)電信運(yùn)營(yíng)商提出的需求和建議。vantio 已經(jīng)包含了對(duì)常見(jiàn)的針對(duì) dns 進(jìn)行的網(wǎng)絡(luò)攻擊的防范措施，包括cache poisoning attack defensequery id guessing attack defensedns glue attack defensebirthday attack defense其它安全特性還包括：dns response validationdnssec support3 3、vantiovantio 系統(tǒng)可靠性介紹系統(tǒng)可靠性介紹nominum 公司的 vantio 產(chǎn)品是專為運(yùn)營(yíng)商開(kāi)發(fā)的電信