廣電網(wǎng)絡(luò)寬帶DNS系統(tǒng)設(shè)計建設(shè)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了廣電網(wǎng)絡(luò)寬帶DNS系統(tǒng)設(shè)計建設(shè)范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著三網(wǎng)融合業(yè)務(wù)的發(fā)展，廣電網(wǎng)絡(luò)越來越需要寬帶業(yè)務(wù)來增加用戶的黏性，提高每個用戶的AURP值，因此相關(guān)的寬帶系統(tǒng)配套建設(shè)就顯得非常重要。dns（域名系統(tǒng)）作為其中最重要的基礎(chǔ)服務(wù)之一，系統(tǒng)的好壞直接決定了用戶的寬帶上網(wǎng)體驗，由于廣電網(wǎng)絡(luò)在寬帶方面的建設(shè)進展落后于其他三家電信運營商，因此在網(wǎng)絡(luò)資源與結(jié)構(gòu)等方面也與另外三家電信運營商存在差異。鑒于此，在DNS的建設(shè)上也需要進行相應(yīng)的優(yōu)化，以便為用戶提供更好的寬帶體驗。本文針對廣電網(wǎng)絡(luò)的特點，對廣電網(wǎng)絡(luò)建設(shè)寬帶DNS系統(tǒng)問題進行了探討。

關(guān)鍵詞：域名系統(tǒng);寬帶出口;負載均衡;安全

1背景

在三網(wǎng)融合的大背景下，廣電網(wǎng)絡(luò)需要大力發(fā)展寬帶業(yè)務(wù)，以保證用戶的黏性。目前，國內(nèi)的互聯(lián)網(wǎng)出口及資源基本上集中在其他三大電信運營商手中，廣電網(wǎng)絡(luò)通常只能從第三方渠道購買互聯(lián)網(wǎng)出口資源，因此廣電網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口通常會由其他不同運營商的互聯(lián)網(wǎng)出口組成，廣電網(wǎng)絡(luò)需要根據(jù)情況進行出口優(yōu)化，以保證用戶擁有最優(yōu)的上網(wǎng)體驗，同時盡量避免各不同電信運營商之間互聯(lián)互通的問題。要解決這些問題，除了在路由上進行調(diào)度外，還需要DNS系統(tǒng)的配合優(yōu)化。對用戶而言，在大部分情況下都不用關(guān)心所使用網(wǎng)絡(luò)的DNS問題，甚至不需要知道使用的是由誰提供的DNS服務(wù)，但是對于網(wǎng)絡(luò)提供者而言，DNS系統(tǒng)部署的好壞直接關(guān)系到了用戶的上網(wǎng)體驗。因此，必須給用戶提供可靠穩(wěn)定的DNS服務(wù)來保證其上網(wǎng)體驗。所以，構(gòu)建一個良好的DNS系統(tǒng)是提升廣電網(wǎng)絡(luò)品質(zhì)的基本要求。

2DNS的類型

2.1按DNS服務(wù)提供方劃分

（1）電信運營商電信運營商提供的DNS主要是為自己的寬帶用戶提供域名解析服務(wù)。（2）ICPICP（互聯(lián)網(wǎng)內(nèi)容提供商）提供的DNS主要是對其內(nèi)容進行分發(fā)的優(yōu)化調(diào)度，使用戶能就近訪問互聯(lián)網(wǎng)資源。

2.2按DNS功能劃分

（1）根域名DNS根域名服務(wù)器只提供全球頂級域名的解析服務(wù)。（2）權(quán)威DNS權(quán)威域名服務(wù)器是經(jīng)過上一級授權(quán)對域名進行解析的服務(wù)器，也可以將解析授權(quán)給其他的服務(wù)器，權(quán)威域名服務(wù)器只會對自己所擁有的域名進行解析。（3）遞歸DNS遞歸服務(wù)器接受用戶對任意域名的查詢，并返回結(jié)果給用戶。（4）轉(zhuǎn)發(fā)（緩存）DNS轉(zhuǎn)發(fā)（緩存）服務(wù)器是將DNS的請求轉(zhuǎn)發(fā)給上一級DNS（通常是遞歸DNS）進行解析，自身也對解析結(jié)果進行緩存。對于廣電網(wǎng)絡(luò)和另外三家電信運營商來說，主要需求是給用戶提供域名遞歸服務(wù)，但由于DNS訪問量巨大，因此從DNS架構(gòu)設(shè)計上通常會增加一層轉(zhuǎn)發(fā)（緩存）服務(wù)，進行專門的優(yōu)化以提高整個DNS系統(tǒng)的可靠性。

3廣電網(wǎng)絡(luò)寬帶出口的組成與DNS的關(guān)系

廣電網(wǎng)絡(luò)由于自身定位及發(fā)展的原因，沒有國際互聯(lián)網(wǎng)出口，且國內(nèi)ICP的資源基本上也都集中在另外三大電信運營商手中，因此廣電網(wǎng)絡(luò)要發(fā)展寬帶，必須直接或間接與另外三家電信運營商進行互聯(lián)。廣電網(wǎng)絡(luò)解決寬帶出口問題通常采用以下幾種方式。

3.1直接與其他電信運營商互聯(lián)

廣電網(wǎng)絡(luò)直接與其他電信運營商合作，完全使用其他電信運營商提供的寬帶出口和IP地址。這種情況下，可直接使用其他電信運營商的DNS，這種方式甚至無需自建DNS服務(wù)器，但基于如下一些情況，建議還是自建DNS服務(wù)器。（1）及時響應(yīng)用戶投訴，提高故障處理能力，盡可能少的依賴于其他電信運營商。（2）其他電信運營商的DNS通常對無效域名都會進行強制重定向到該運營商定制的站點進行廣告宣傳，不利于廣電網(wǎng)絡(luò)的品牌宣傳。（3）其他電信運營商的DNS通常會對單IP的單位時間訪問量進行限制，若超限會認為是被攻擊，通常會將該IP進行屏蔽，廣電網(wǎng)絡(luò)如果采用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）的方式接入寬帶用戶，則很可能會遇到此問題。

3.2與第三方寬帶出口提供商合作

第三方出口商實際上也需要從其他電信運營商處獲得互聯(lián)網(wǎng)資源，為了降低成本，通常會引入一些主要ICP的CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)）資源，這些資源通過路由和DNS進行調(diào)度和優(yōu)化。

3.3廣電網(wǎng)絡(luò)自行引入互聯(lián)網(wǎng)

CDN混合電信運營商出口資源廣電網(wǎng)絡(luò)引入互聯(lián)網(wǎng)CDN可將用戶流量盡可能地留在網(wǎng)內(nèi)，減少對其他電信運營商純出口的依賴，互聯(lián)網(wǎng)CDN的資源也需要路由與DNS的調(diào)度優(yōu)化。因此，廣電網(wǎng)絡(luò)無論采用以上哪種方式發(fā)展寬帶業(yè)務(wù)，自建DNS都是一個較好的選擇。

4廣電網(wǎng)絡(luò)DNS系統(tǒng)的規(guī)劃與建設(shè)

4.1網(wǎng)絡(luò)發(fā)展初期多出口的DNS架構(gòu)

在網(wǎng)絡(luò)發(fā)展初期，根據(jù)各出口情況分別配置DNS，即分別為每個第三方出口提供一套DNS服務(wù)，如圖1所示。用戶通過防火墻映射，訪問不同ISP（互聯(lián)網(wǎng)服務(wù)提供商）出口的DNS，不同的ISP出口所使用的DNS通過防火墻策略調(diào)度走不同的ISP出口；同時，考慮DNS橫向擴展提高并發(fā)能力，使用負載均衡設(shè)備進行調(diào)度。此方案在用戶發(fā)展到一定規(guī)模后，會存在如下一些問題。（1）使用不同ISP出口的用戶需要配置不同的DNS地址，如果出口數(shù)多，則容易對一線維護人員造成困擾。（2）防火墻容易成為整個網(wǎng)絡(luò)的瓶頸，因為DNS服務(wù)使用的是無連接狀態(tài)的UDP，防火墻的Session數(shù)容易被占滿，特別是在針對DNS的DDoS攻擊時，如果防火墻Session被占滿，則所有DNS將無法再提供服務(wù)。（3）負載均衡設(shè)備也有可能成為整個DNS系統(tǒng)網(wǎng)絡(luò)的瓶頸，當遭受DDoS攻擊的時候，也將導(dǎo)致所有的DNS無法提供服務(wù)。

4.2緩存+遞歸的二級架構(gòu)

在網(wǎng)絡(luò)發(fā)展到一定規(guī)模后，隨著流量的增加與出口的增多，可考慮將DNS分為二級架構(gòu)，部署緩存服務(wù)器和遞歸服務(wù)器，在緩存服務(wù)器上采用視圖的方式將不同用戶的DNS請求轉(zhuǎn)發(fā)到對應(yīng)的遞歸DNS服務(wù)器上。如此，所有的廣電用戶都可以設(shè)置同樣的DNS地址，即便用戶更換ISP出口也無需變更DNS的配置。同時，對于營維人員來說，由于所有寬帶出口使用的DNS的IP地址都是相同的，因此也能避免營維人員將DNS與寬帶出口的對應(yīng)關(guān)系弄混。當用戶都將DNS地址設(shè)置為緩存服務(wù)器地址后，緩存DNS系統(tǒng)將會承載很高壓力，因此需要考慮使用負載均衡的方式來調(diào)度多臺緩存DNS，但傳統(tǒng)的負載均衡設(shè)備也容易成為瓶頸?？紤]DNS服務(wù)的特點，DNS采用的是UDP協(xié)議，同時DNS服務(wù)不需要進行Session級別的保持，因此可以使用OSPF（開放路徑最短優(yōu)先）協(xié)議來進行負載均衡的調(diào)度，也就是網(wǎng)絡(luò)設(shè)備和緩存DNS服務(wù)器組之間通過OSPF協(xié)議進行路由調(diào)度，通過網(wǎng)絡(luò)的通斷來進行服務(wù)調(diào)度。由于OSPF只能進行網(wǎng)絡(luò)層的健康檢測，因此在DNS服務(wù)器上需要將DNS服務(wù)與OSPF服務(wù)進行關(guān)聯(lián)，一旦DNS服務(wù)關(guān)閉，則也需要將OSPF服務(wù)進行關(guān)閉。如此，網(wǎng)絡(luò)設(shè)備檢測到這臺DNS服務(wù)器的OSPF路由不通，就不會將流量往這臺DNS服務(wù)器牽引，從而達到故障切換和負載均衡的目的。帶緩存的多出口DNS網(wǎng)絡(luò)架構(gòu)圖如圖2所示。相比圖1所示方案，圖2所示方案增加了緩存DNS，用戶不再直接訪問各ISP出口的遞歸DNS，而是訪問緩存DNS服務(wù)器，緩存服務(wù)器再根據(jù)DNS視圖規(guī)則訪問不同的遞歸服務(wù)器，這樣可以極大程度降低遞歸服務(wù)器的DNS解析請求量，因此遞歸服務(wù)器在設(shè)計上可以使用圖1的架構(gòu)，通過防火墻和負載均衡設(shè)備進行DNS服務(wù)的映射和調(diào)度，由于負載較低，同時遞歸服務(wù)器不直接對用戶提供DNS解析服務(wù)，所以遞歸服務(wù)器也可以不使用負載均衡設(shè)備，緩存服務(wù)器直接通過內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)DNS請求到遞歸服務(wù)器。采用這種方案需要注意的是，由于OSPF協(xié)議不像專業(yè)負載均衡設(shè)備一樣，可以根據(jù)服務(wù)器的負載能力進行不同的負載量轉(zhuǎn)發(fā)，因此緩存DNS服務(wù)器組中各服務(wù)器的性能最好是一致的，否則最低性能的服務(wù)器容易成為瓶頸，會導(dǎo)致部分解析請求無法響應(yīng)。

5安全

DNS系統(tǒng)是提供給廣電網(wǎng)絡(luò)寬帶用戶使用的，通常面對的用戶眾多，屬于半開放的系統(tǒng)，DNS系統(tǒng)主要風(fēng)險在于系統(tǒng)內(nèi)部風(fēng)險和系統(tǒng)外部風(fēng)險。5.1內(nèi)部風(fēng)險內(nèi)部風(fēng)險主要是DNS軟件自身的漏洞，對此，系統(tǒng)管理員需要針對DNS軟件的漏洞及時更新補丁進行修復(fù)。

5.2外部風(fēng)險

外部風(fēng)險主要是來自網(wǎng)絡(luò)層面的攻擊，對于DNS系統(tǒng)來說，常見的攻擊是DDoS攻擊，對抗DDoS攻擊可以從以下幾個方面進行考慮。（1）在網(wǎng)絡(luò)層面增加ACL（訪問控制列表）控制，只允許廣電網(wǎng)絡(luò)內(nèi)部用戶的IP地址訪問DNS系統(tǒng)，嚴格限制對外開放的IP和端口。在采用二級架構(gòu)的時候，要對用戶隱藏遞歸服務(wù)器的地址。緩存服務(wù)器只開放DNS服務(wù)的端口即可。（2）提高DNS系統(tǒng)的QPS（每秒查詢量），可以選擇設(shè)計QPS較高的DNS軟件，提高服務(wù)器硬件配置，如提供更強的CPU、更多的內(nèi)存等；同時，使用負載均衡技術(shù)進行橫向擴展，提高系統(tǒng)解析能力。（3）在DNS系統(tǒng)之前增加專業(yè)抗DDoS設(shè)備，對異常流量先進行清洗過濾。（4）若DNS軟件支持，可增加對每個客戶端QPS的限制配置。（5）考慮到DNS系統(tǒng)的重要性，對于省級廣電網(wǎng)絡(luò)來說，還需要考慮DNS的異地容災(zāi)問題，可以使用網(wǎng)絡(luò)層面的Anycast（任播）技術(shù)來實現(xiàn)。

6DNS軟件的選擇

DNS軟件的選擇主要需要在功能和性能上考慮，目前使用最廣的DNS軟件是由美國加州大學(xué)伯克利分校開發(fā)和維護的開源的BIND（伯克利互聯(lián)網(wǎng)域名）軟件。BIND在功能上可以滿足基本需求，但在并發(fā)能力和抗攻擊上相比商業(yè)DNS系統(tǒng)有所不足，雖可通過橫向擴展方式進行擴容增加性能，但也會相應(yīng)地增加系統(tǒng)的維護量；同時，在沒有足夠開發(fā)人員的情況下，DNS個性化方面的需求也難以得到滿足，因此在預(yù)算充足情況下，可考慮采用商業(yè)DNS軟件建設(shè)域名系統(tǒng)。

7結(jié)語

DNS是互聯(lián)網(wǎng)最基本、最重要的服務(wù)之一，福建廣電網(wǎng)絡(luò)作為廣電網(wǎng)絡(luò)運營商，近幾年網(wǎng)絡(luò)和用戶規(guī)模逐步發(fā)展，DNS系統(tǒng)也同步根據(jù)網(wǎng)絡(luò)規(guī)模、寬帶出口組成等情況進行了升級優(yōu)化，逐步建設(shè)完成一個穩(wěn)定可靠的DNS系統(tǒng)，保障了寬帶業(yè)務(wù)順利發(fā)展。

參考文獻

[1](美)阿爾貝茨.DNS與BIND（第5版）[M].北京:人民郵電出版社,2014.

[2](美)ThomasM.ThomasII.OSPF網(wǎng)絡(luò)設(shè)計解決方案（第2版）[M].北京:人民郵電出版社,2004.

作者：王緯城 單位：福建廣電網(wǎng)絡(luò)集團股份有限公司