XX公司DNS系統(tǒng)建議方案

XXX公司DNS系統(tǒng)建議方案上海西默通信技術(shù)有限公司2014年2月目錄項(xiàng)目概述 11.1 項(xiàng)目背景 31.2 項(xiàng)目目標(biāo) 41.3 項(xiàng)目設(shè)計(jì)原則 32. XXX公司DNS系統(tǒng)建議方案 52.1 拓?fù)浣Y(jié)構(gòu) 52.2 方案設(shè)計(jì)詳述及特點(diǎn) 62.3 西默智能DNS特色功能 63. 西默智能DNS功能 73.1 雙機(jī)熱備特色功能 83.2 主輔同步 83.3 高性能解析 93.4 分線路、分區(qū)域智能解析 93.5 域名緩存加速 103.6 斷線檢測(cè) 103.7 快速恢復(fù)故障服務(wù)器 103.8 中文域名支持 113.9 域名的DNSSEC防護(hù) 113.10 完善豐富的日志功能 11項(xiàng)目概述隨著大量的IT系統(tǒng)向云平臺(tái)的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，…公司將目前直接通過(guò)IP地址訪問(wèn)MBOSS系統(tǒng)的方式改成通過(guò)域名訪問(wèn)。而當(dāng)前的DNS系統(tǒng)無(wú)論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問(wèn)題，西默智能DNS系統(tǒng)，不僅能對(duì)本網(wǎng)內(nèi)授權(quán)域名解析，還要同時(shí)負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，同時(shí)具備權(quán)威DNS服務(wù)器及遞歸DNS服務(wù)器功能。同時(shí)系統(tǒng)應(yīng)具備電信級(jí)的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會(huì)因單臺(tái)設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時(shí)系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對(duì)外提供服務(wù)。項(xiàng)目背景電信目前的內(nèi)網(wǎng)DNS系統(tǒng)于2008年建成，采用的是2臺(tái)服務(wù)器分別安裝BIND軟件提供DNS服務(wù)的方式，2臺(tái)DNS互為備份，統(tǒng)一接入維護(hù)公司DMZ區(qū)。自建成至今為門(mén)戶、OA等少量系統(tǒng)提供DNS服務(wù)，而前臺(tái)對(duì)大量其他系統(tǒng)的訪問(wèn)均是采用直接通過(guò)IP地址的方式。2013年以來(lái)隨著EDC第三機(jī)房、云平臺(tái)的建設(shè)，其部門(mén)已建立起異地雙活雙數(shù)據(jù)中心。隨著大量的IT系統(tǒng)向云平臺(tái)的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，有必要將目前直接通過(guò)IP地址訪問(wèn)MBOSS系統(tǒng)的方式改成通過(guò)域名訪問(wèn)。而當(dāng)前的DNS系統(tǒng)無(wú)論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問(wèn)題，因此，亟需建設(shè)一套全新的DNS系統(tǒng)，以滿足雙活雙數(shù)據(jù)中心環(huán)境下應(yīng)用高可用性的需求。

1.2項(xiàng)目目標(biāo)本方案從貴公司實(shí)際需求出發(fā)，在作為權(quán)威域名服務(wù)器時(shí)，保存著其所擁有授權(quán)域的原始域名資源記錄信息，對(duì)授權(quán)用戶提供域名解析服務(wù)。同時(shí)接受廣大互聯(lián)網(wǎng)用戶的解析請(qǐng)求，通過(guò)遞歸查詢(xún)功能向各級(jí)權(quán)威域名服務(wù)器發(fā)出查詢(xún)請(qǐng)求，將獲得的查詢(xún)結(jié)果，最后返回給用戶端。通過(guò)雙機(jī)熱備功能提供電信級(jí)的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會(huì)因單臺(tái)設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時(shí)系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對(duì)外提供服務(wù)。1.3項(xiàng)目設(shè)計(jì)原則安全可靠西默智能DNS支持本地和異地雙機(jī)熱備功能，在正常情況下，本地兩臺(tái)設(shè)備使用一個(gè)虛擬IP地址為用戶提供服務(wù)，當(dāng)其中一臺(tái)出現(xiàn)故障而不致解析服務(wù)中斷；異地兩臺(tái)設(shè)備通過(guò)專(zhuān)線或VPN功能同樣能實(shí)現(xiàn)異地容災(zāi)功能。西默科技智能DNS同時(shí)具備線路檢測(cè)功能，周期性的檢測(cè)各條線路的運(yùn)行狀況，并根據(jù)檢測(cè)結(jié)果進(jìn)行故障的自動(dòng)切換，如在網(wǎng)通線路出現(xiàn)故障的時(shí)候，把網(wǎng)通用戶的訪問(wèn)量自動(dòng)切換到電信線路上，從而保障用戶站點(diǎn)7*24不間斷的連通性。安全性西默智能DNS內(nèi)置防火墻功能，對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊和病毒入侵有很好的防御功能，從根本上實(shí)現(xiàn)安全風(fēng)險(xiǎn)的隔離，可控.設(shè)備本身能夠?qū)Ξ惓０M(jìn)行過(guò)濾，防止錯(cuò)誤域名以及能夠?qū)NSFlood、UDPFlood等常見(jiàn)DDoS攻擊進(jìn)行過(guò)濾，能夠?qū)崿F(xiàn)基于IP地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時(shí)阻止非法域名的解析?？蓴U(kuò)展性西默智能DNS產(chǎn)品充分考慮到客戶的現(xiàn)狀和未來(lái)的發(fā)展，在滿足客戶現(xiàn)實(shí)的需求基礎(chǔ)之上，同時(shí)兼顧客戶將來(lái)業(yè)務(wù)擴(kuò)大和功能擴(kuò)展需求，具有很好的兼容性和可擴(kuò)展性，充分保護(hù)客戶投資?？晒芾硇晕髂悄蹹NS提供友好的基于web的管理方式，簡(jiǎn)單易用，方便用戶對(duì)設(shè)備的操作和管理，提供SNMP、Syslog、FTP、Telnet、SSH等管理功能及完備的日志查看和導(dǎo)出功能，同時(shí)可以查看設(shè)備的實(shí)時(shí)運(yùn)行狀況。豐富的日志功能，通過(guò)提供系統(tǒng)日志、解析日志和操作日志方便管理員了解設(shè)備的運(yùn)行狀況和用戶登錄情況，為故障排查提供很好的參考和依據(jù)。同時(shí)設(shè)備提供服務(wù)器的CPU、內(nèi)存、主要進(jìn)程、磁盤(pán)空間等實(shí)時(shí)利用率。2XXX公司DNS系統(tǒng)建議方案2.1拓?fù)浣Y(jié)構(gòu)2.2該方案設(shè)計(jì)詳述及特點(diǎn)1可靠性高本方案通過(guò)在兩地?cái)?shù)據(jù)中心部署兩臺(tái)西默DNS設(shè)備，通過(guò)專(zhuān)線或者VPN實(shí)現(xiàn)雙機(jī)熱備，實(shí)現(xiàn)兩臺(tái)服務(wù)器都能同時(shí)工作，原理是通過(guò)在DNS里面建立兩組雙機(jī)熱備策略。例如本方案中，通過(guò)雙擊熱備功能實(shí)現(xiàn)荷花園數(shù)據(jù)中心的DNS和麓谷數(shù)據(jù)中心的DNS同時(shí)工作，實(shí)現(xiàn)了設(shè)備的充分利用，一旦隨便一臺(tái)DNS服務(wù)器掛了，另一臺(tái)都會(huì)起來(lái)工作。也能同時(shí)保證設(shè)備的穩(wěn)定性。這樣可以?xún)扇涿赖慕鉀Q客戶的問(wèn)題實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺(tái)主機(jī)出現(xiàn)故障或線路故障，DNS熱備組不失效，可提供不間斷的服務(wù)。在為內(nèi)網(wǎng)用戶訪問(wèn)資源提供域名解析服務(wù)的同時(shí)，也為用戶訪問(wèn)外網(wǎng)或外部用戶的解析請(qǐng)求實(shí)現(xiàn)遞歸和嵌套查詢(xún)。故障切換設(shè)備通過(guò)雙鏈路接入到網(wǎng)絡(luò)，通過(guò)定期的自動(dòng)檢測(cè)機(jī)制，發(fā)現(xiàn)某條鏈路出現(xiàn)故障后實(shí)現(xiàn)自動(dòng)切換，保證系統(tǒng)業(yè)務(wù)正常運(yùn)行，不影響設(shè)備對(duì)外提供解析服務(wù)。風(fēng)險(xiǎn)隔離西默智能DNS自帶防火墻功能，能對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊和病毒入侵起到很好的保護(hù)作用，如DDOS攻擊和ARP欺騙，通過(guò)關(guān)閉不常用的端口，實(shí)現(xiàn)同風(fēng)險(xiǎn)的真正隔離。通過(guò)對(duì)異常請(qǐng)求包的分析，能實(shí)現(xiàn)拒絕非法的解析請(qǐng)求。能夠?qū)崿F(xiàn)基于IP地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時(shí)阻止非法域名的解析。支持平滑升級(jí)擴(kuò)容西默智能DNS具備良好的擴(kuò)容能力和平滑升級(jí)功能，由于一個(gè)公司或者企業(yè)的發(fā)展不斷壯大，業(yè)務(wù)需求不斷增長(zhǎng)，相應(yīng)的對(duì)DNS性能和功能有新的需求，西默智能DNS在充分考慮到保護(hù)用戶投資的情況下，滿足用戶日后長(zhǎng)期發(fā)展需求和靈活的擴(kuò)容型。2.3.西默智能DNS特色功能域名解析西默智能DNS采用旁路模式接入，不影響公司現(xiàn)有的網(wǎng)絡(luò)拓?fù)??？梢詫?shí)現(xiàn)為內(nèi)網(wǎng)用戶訪問(wèn)內(nèi)部資源提供域名解析的同時(shí)，負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析和嵌套查詢(xún)能力。西默智能DNS系統(tǒng)能根據(jù)來(lái)訪問(wèn)的IP智能的返回一個(gè)和用戶在同一運(yùn)營(yíng)商線路內(nèi)的服務(wù)器IP供其進(jìn)行訪問(wèn)，即網(wǎng)通用戶訪問(wèn)網(wǎng)通的服務(wù)器，電信用戶訪問(wèn)電信的服務(wù)器，避免了走不同運(yùn)營(yíng)商之間的接口，造成的瓶頸問(wèn)題。雙機(jī)熱備西默智能DNS通過(guò)雙機(jī)熱備功能，實(shí)現(xiàn)兩臺(tái)服務(wù)器都能同時(shí)工作，一旦一臺(tái)DNS服務(wù)器出現(xiàn)故障，另一臺(tái)都會(huì)起來(lái)工作。也能同時(shí)保證設(shè)備的穩(wěn)定性。這樣可以實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺(tái)主機(jī)出現(xiàn)故障或線路故障，DNS熱備組不失效，可提供不間斷的服務(wù)。安全可靠西默智能DNS通過(guò)一系列自動(dòng)安全措施，實(shí)現(xiàn)設(shè)備自身的安全防護(hù)，通過(guò)自帶防火墻功能，只對(duì)用戶開(kāi)放常用的業(yè)務(wù)端口，對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊有很好的防護(hù)功能。設(shè)備支持電源的熱插拔，主要部件采用冗余配置，如采用雙電源可以避免單點(diǎn)故障導(dǎo)致的業(yè)務(wù)中斷。4）線路智能切換 出口假如有聯(lián)通、電信。一旦某條斷開(kāi)，出故障的話，必定導(dǎo)致內(nèi)部用戶會(huì)有一部分無(wú)法上網(wǎng)。采用西默智能DNS，在做一個(gè)策略后，設(shè)備會(huì)實(shí)時(shí)監(jiān)控每條外線的情況，一旦發(fā)現(xiàn)外線出問(wèn)題，也就是電信或者聯(lián)通的線路出問(wèn)題，設(shè)備就回自動(dòng)切換線路，讓內(nèi)部用戶全部訪問(wèn)那條正常的線路，保證網(wǎng)絡(luò)的不間斷，同時(shí)會(huì)通過(guò)郵件通告管理員，外線出問(wèn)題了。5）豐富日志功能系統(tǒng)提供了豐富的日志和系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控功能，使您對(duì)DNS服務(wù)器的運(yùn)行情況和用戶的訪問(wèn)行為實(shí)現(xiàn)了解，并對(duì)網(wǎng)站的訪問(wèn)量進(jìn)行TopN排名，以便您對(duì)網(wǎng)站內(nèi)容和服務(wù)器進(jìn)行合理的部署。3西默智能DNS其他功能概要西默智能DNS是國(guó)內(nèi)唯一一家具有國(guó)家著作專(zhuān)權(quán)、完全自主研發(fā)的產(chǎn)品！西默智能DNS產(chǎn)品提供線路管理，域名管理，域名查詢(xún)統(tǒng)計(jì)，監(jiān)控及報(bào)警，無(wú)限ISP區(qū)域設(shè)置，多用戶管理，操作日志等功能，系統(tǒng)軟件采用嵌入式操作系統(tǒng)，并自帶完備的防火墻功能，用戶界面全部采用全中文WEB界面操作，人性化設(shè)計(jì)，簡(jiǎn)單易用。西默智能DNS在安全性方面：支持服務(wù)器、線路的檢測(cè)和告警，可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，實(shí)現(xiàn)故障的自動(dòng)切換與轉(zhuǎn)移！支持主、輔及雙擊熱備功能，防止因單點(diǎn)故障造成網(wǎng)絡(luò)癱瘓！完全自主研發(fā)，具有國(guó)家版權(quán)局自主知識(shí)產(chǎn)權(quán)證書(shū)和權(quán)威機(jī)構(gòu)檢測(cè)報(bào)告！西默智能DNS的性能方面：可實(shí)現(xiàn)普通DNS服務(wù)器的所有功能！支持分線路、分區(qū)域智能解析!支持記錄容錯(cuò)和錯(cuò)誤自動(dòng)檢測(cè)功能！、支持虛擬服務(wù)器功能！支持純IPV6環(huán)境及IPV4/IPV6混合環(huán)境，滿足未來(lái)發(fā)展需求！西默智能DNS在管理方面：全中文GUI方式管理，簡(jiǎn)單又好用！支持域名自助申請(qǐng)功能、管理委派、用戶名和域名綁定等功能，為管理員減少管理負(fù)擔(dān)！支持完善的日志、告警和訪問(wèn)報(bào)表統(tǒng)計(jì)，以便及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)故障！支持地址庫(kù)自動(dòng)更新，保障解析的準(zhǔn)確性，減少I(mǎi)P庫(kù)更新的麻煩！雙機(jī)熱備特色功能傳統(tǒng)的DNS做雙機(jī)熱備的時(shí)候，都是主輔形式運(yùn)行，一臺(tái)主DNS運(yùn)行輔DNS就備用，不會(huì)工作，這樣在正常工作的時(shí)候，白白浪費(fèi)一臺(tái)服務(wù)器。而西默智能DNS可以做到，當(dāng)做雙機(jī)熱備的時(shí)候，兩臺(tái)服務(wù)器都能同時(shí)工作，原理是通過(guò)在DNS里面建立兩組雙機(jī)熱備策略。例如一組策略，A充當(dāng)主DNS，B充當(dāng)輔DNS，此時(shí)A在工作，B備用。第二組策略，A當(dāng)輔DNS，B充當(dāng)主DNS，此時(shí)B在工作。兩組策略同時(shí)運(yùn)行，能夠保證兩臺(tái)DNS都同時(shí)工作，保證設(shè)備的充分利用，一旦隨便一臺(tái)DNS服務(wù)器掛了，另一臺(tái)都會(huì)起來(lái)工作。也能同時(shí)保證設(shè)備的穩(wěn)定性。這樣可以?xún)扇涿赖慕鉀Q客戶的問(wèn)題。主輔同步西默DNS主輔同步是自主完成的，主DNS配置好以后，輔DNS每隔5分鐘就是同步一次主DNS的數(shù)據(jù)，保證數(shù)據(jù)一致性。高性能解析西默智能DNS具有先進(jìn)的處理機(jī)制，通過(guò)哈希計(jì)算，為每條記錄建立索引，全部載入內(nèi)存。有效避免了傳統(tǒng)DNS數(shù)據(jù)庫(kù)檢索及存儲(chǔ)介質(zhì)的速度瓶頸，性能提升10倍以上。分線路、分區(qū)域智能解析普通的DNS只是簡(jiǎn)單的將域名轉(zhuǎn)換成IP地址，或者執(zhí)行相反的過(guò)程，西默智能DNS系統(tǒng)能根據(jù)來(lái)訪問(wèn)的IP智能的返回一個(gè)和用戶在同一運(yùn)營(yíng)商線路內(nèi)的服務(wù)器IP供其進(jìn)行訪問(wèn)，即網(wǎng)通用戶訪問(wèn)網(wǎng)通的服務(wù)器，電信用戶訪問(wèn)電信的服務(wù)器，同樣教育網(wǎng)用戶訪問(wèn)教育網(wǎng)的服務(wù)器，避免了走不同運(yùn)營(yíng)商之間的接口，造成的瓶頸問(wèn)題。同時(shí)，也可實(shí)現(xiàn)按城市、區(qū)域來(lái)進(jìn)行區(qū)域用戶的自動(dòng)識(shí)別，從而使各地域的用戶只用一個(gè)域名就能快速的訪問(wèn)到距其最近的您服務(wù)器，減小訪問(wèn)路徑，提高訪問(wèn)速度。域名緩存加速域名緩存加速，對(duì)解析過(guò)的域名進(jìn)行緩存，當(dāng)再次對(duì)該域名解析時(shí)就直接調(diào)用，縮短用戶解析等待時(shí)間。斷線檢測(cè)當(dāng)多出口環(huán)境下，某條線路發(fā)生故障，導(dǎo)致通過(guò)這條線路出去的用戶無(wú)法訪問(wèn)外網(wǎng)，給工作帶來(lái)極大的影響。西默智能DNS能夠自主檢測(cè)到出口那條線路斷開(kāi)，并且啟動(dòng)策略把內(nèi)部用戶全部轉(zhuǎn)移到可以正常上網(wǎng)的線路上，讓用戶正常上網(wǎng)工作，保護(hù)網(wǎng)絡(luò)的穩(wěn)定性。快速恢復(fù)故障服務(wù)器傳統(tǒng)的DNS服務(wù)器都是基于Windows或Linux操作系統(tǒng)下的，服務(wù)器出現(xiàn)故障時(shí)，排查速度慢，造成更大的損失。西默智能DNS服務(wù)器集成一鍵恢復(fù)功能，可以在服務(wù)器出現(xiàn)故障后立即，恢復(fù)至正常狀態(tài)，減少損失。中文域名