XXX 公司DNS 系統(tǒng)建議方案上海西默通信技術(shù)有限公司2014年2月 ,XXX 公司DNS 系統(tǒng)優(yōu)化建議方案目 錄1. 項(xiàng)目概述 . ................

XXX 公司

DNS 系統(tǒng)建議方案

上海西默通信技術(shù)有限公司

2014年2月

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

目 錄

1. 項(xiàng)目概述 . ...................................................................................................................... 1

1.1 項(xiàng)目背景 . ...................................................................................................................... 3

1.2 項(xiàng)目目標(biāo) . ...................................................................................................................... 4

1.3 項(xiàng)目設(shè)計(jì)原則 . .............................................................................................................. 3

2. XXX 公司DNS 系統(tǒng)建議方案 . ...................................................................................... 5

2.1 拓?fù)浣Y(jié)構(gòu) . ...................................................................................................................... 5

2.2 方案設(shè)計(jì)詳述及特點(diǎn) . .................................................................................................. 6

2.3 西默智能DNS 特色功能 . .............................................................................................. 6

3. 西默智能DNS 功能 . ...................................................................................................... 7

3.1 雙機(jī)熱備特色功能 . ...................................................................................................... 8

3.2 主輔同步 . ...................................................................................................................... 8

3.3 高性能解析 . .................................................................................................................. 9

3.4 分線路、分區(qū)域智能解析 . .......................................................................................... 9

3.5 域名緩存加速 . ............................................................................................................ 10

3.6 斷線檢測(cè) . .................................................................................................................... 10

3.7 快速恢復(fù)故障服務(wù)器 . ................................................................................................ 10

3.8 中文域名支持 . ............................................................................................................ 11

3.9 域名的DNSSEC 防護(hù) . .................................................................................................. 11

3.10 完善豐富的日志功能 . ................................................................................................ 11

上海西默通信技術(shù)有限公司 2 / 12

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

1. 項(xiàng)目概述

隨著大量的IT 系統(tǒng)向云平臺(tái)的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，…公司將目前直接通過(guò)IP 地址訪問(wèn)MBOSS 系統(tǒng)的方式改成通過(guò)域名訪問(wèn)。而當(dāng)前的DNS 系統(tǒng)無(wú)論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問(wèn)題，西默智能DNS 系統(tǒng)，不僅能對(duì)本網(wǎng)內(nèi)授權(quán)域名解析，還要同時(shí)負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，同時(shí)具備權(quán)威DNS 服務(wù)器及遞歸DNS 服務(wù)器功能。同時(shí)系統(tǒng)應(yīng)具備電信級(jí)的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會(huì)因單臺(tái)設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時(shí)系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對(duì)外提供服務(wù)。

1.1 項(xiàng)目背景

電信目前的內(nèi)網(wǎng)DNS 系統(tǒng)于2008年建成，采用的是2臺(tái)服務(wù)器分別安裝BIND 軟件提供DNS 服務(wù)的方式，2臺(tái)DNS 互為備份，統(tǒng)一接入維護(hù)公司DMZ 區(qū)。自建成至今為門(mén)戶、OA 等少量系統(tǒng)提供DNS 服務(wù)，而前臺(tái)對(duì)大量其他系統(tǒng)的訪問(wèn)均是采用直接通過(guò)IP 地址的方式。

2013年以來(lái)隨著EDC 第三機(jī)房、云平臺(tái)的建設(shè)，其部門(mén)已建立起異地雙活雙數(shù)據(jù)中心。隨著大量的IT 系統(tǒng)向云平臺(tái)的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，有必要將目前直接通過(guò)IP 地址訪問(wèn)MBOSS 系統(tǒng)的方式改成通過(guò)域名訪問(wèn)。而當(dāng)前的DNS 系統(tǒng)無(wú)論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問(wèn)題，因此，亟需建設(shè)一套全新的DNS 系統(tǒng)，以滿足雙活雙數(shù)據(jù)中心環(huán)境下應(yīng)用高可用性的需求。

上海西默通信技術(shù)有限公司 1

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

2

1.2項(xiàng)目目標(biāo)

本方案從貴公司實(shí)際需求出發(fā)，在作為權(quán)威域名服務(wù)器時(shí)，保存著其所擁有授權(quán)域的原始域名資源記錄信息，對(duì)授權(quán)用戶提供域名解析服務(wù)。同時(shí)接受廣大互聯(lián)網(wǎng)用戶的解析請(qǐng)求，通過(guò)遞歸查詢功能向各級(jí)權(quán)威域名服務(wù)器發(fā)出查詢請(qǐng)求，將獲得的查詢結(jié)果，最后返回給用戶端。通過(guò)雙機(jī)熱備功能提供電信級(jí)的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會(huì)因單臺(tái)設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時(shí)系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對(duì)外提供服務(wù)。

1.3項(xiàng)目設(shè)計(jì)原則

1) 安全可靠

西默智能DNS 支持本地和異地雙機(jī)熱備功能，在正常情況下，本地兩臺(tái)設(shè)備使用一個(gè)虛擬IP 地址為用戶提供服務(wù)，當(dāng)其中一臺(tái)出現(xiàn)故障而不致解析服務(wù)中斷；異地兩臺(tái)設(shè)備通過(guò)專線或VPN 功能同樣能實(shí)現(xiàn)異地容災(zāi)功能。西默科技智能DNS 同時(shí)具備線路檢測(cè)功能，周期性的檢測(cè)各條線路的運(yùn)行狀況，并根據(jù)檢測(cè)結(jié)果進(jìn)行故障的自動(dòng)切換，如在網(wǎng)通線路出現(xiàn)故障的時(shí)候，把網(wǎng)通用戶的訪問(wèn)量自動(dòng)切換到電信線路上，從而保障用戶站點(diǎn)7*24不間斷的連通性。

2) 安全性

西默智能DNS 內(nèi)置防火墻功能，對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊和病毒入侵有很好的防御功能，從根本上實(shí)現(xiàn)安全風(fēng)險(xiǎn)的隔離，可控. 設(shè)備本身能夠?qū)Ξ惓０M(jìn)行過(guò)濾，防止錯(cuò)誤域名以及能夠?qū)NS Flood、UDP Flood 等常見(jiàn)DDoS 攻擊進(jìn)行過(guò)濾，能夠?qū)崿F(xiàn)基于IP 地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時(shí)阻止非法域名的解析。

3) 可擴(kuò)展性

上海西默通信技術(shù)有限公司 2

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

西默智能DNS 產(chǎn)品充分考慮到客戶的現(xiàn)狀和未來(lái)的發(fā)展，在滿足客戶現(xiàn)實(shí)的需求基礎(chǔ)之上，同時(shí)兼顧客戶將來(lái)業(yè)務(wù)擴(kuò)大和功能擴(kuò)展需求，具有很好的兼容性和可擴(kuò)展性，充分保護(hù)客戶投資。

4) 可管理性

西默智能DNS 提供友好的基于web 的管理方式，簡(jiǎn)單易用，方便用戶對(duì)設(shè)備的操作和管理，提供SNMP 、Syslog 、FTP 、Telnet 、SSH 等管理功能及完備的日志查看和導(dǎo)出功能，同時(shí)可以查看設(shè)備的實(shí)時(shí)運(yùn)行狀況。 豐富的日志功能，通過(guò)提供系統(tǒng)日志、解析日志和操作日志方便管理員了解設(shè)備的運(yùn)行狀況和用戶登錄情況，為故障排查提供很好的參考和依據(jù)。同時(shí)設(shè)備提供服務(wù)器的CPU 、內(nèi)存、主要進(jìn)程、磁盤(pán)空間等實(shí)時(shí)利用率。

2XXX 公司DNS 系統(tǒng)建議方案

2.1拓?fù)浣Y(jié)構(gòu)

上海西默通信技術(shù)有限公司 3

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

2.2該方案設(shè)計(jì)詳述及特點(diǎn)

1 可靠性高

本方案通過(guò)在兩地?cái)?shù)據(jù)中心部署兩臺(tái)西默DNS 設(shè)備，通過(guò)專線或者VPN 實(shí)現(xiàn)雙機(jī)熱備，實(shí)現(xiàn)兩臺(tái)服務(wù)器都能同時(shí)工作，原理是通過(guò)在DNS 里面建立兩組雙機(jī)熱備策略。例如本方案中，通過(guò)雙擊熱備功能實(shí)現(xiàn)荷花園數(shù)據(jù)中心的DNS 和麓谷數(shù)據(jù)中心的DNS 同時(shí)工作，實(shí)現(xiàn)了設(shè)備的充分利用，一旦隨便一臺(tái)DNS 服務(wù)器掛了，另一臺(tái)都會(huì)起來(lái)工作。也能同時(shí)保證設(shè)備的穩(wěn)定性。這樣可以兩全其美的解決客戶的問(wèn)題實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺(tái)主機(jī)出現(xiàn)故障或線路故障，DNS 熱備組不失效，可提供不間斷的服務(wù)。在為內(nèi)網(wǎng)用戶訪問(wèn)資源提供域名解析服務(wù)的同時(shí)，也為用戶訪問(wèn)外網(wǎng)或外部用戶的解析請(qǐng)求實(shí)現(xiàn)遞歸和嵌套查詢。

3 故障切換

設(shè)備通過(guò)雙鏈路接入到網(wǎng)絡(luò)，通過(guò)定期的自動(dòng)檢測(cè)機(jī)制，發(fā)現(xiàn)某條鏈路出現(xiàn)故障后實(shí)現(xiàn)自動(dòng)切換，保證系統(tǒng)業(yè)務(wù)正常運(yùn)行，不影響設(shè)備對(duì)外提供解析服務(wù)。

4 風(fēng)險(xiǎn)隔離

西默智能DNS 自帶防火墻功能， 能對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊和病毒入侵起到很好的保護(hù)作用，如DDOS 攻擊和ARP 欺騙，通過(guò)關(guān)閉不常用的端口，實(shí)現(xiàn)同風(fēng)險(xiǎn)的真正隔離。通過(guò)對(duì)異常請(qǐng)求包的分析，能實(shí)現(xiàn)拒絕非法的解析請(qǐng)求。能夠?qū)崿F(xiàn)基于IP 地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時(shí)阻止非法域名的解析。

5 支持平滑升級(jí)擴(kuò)容

西默智能DNS 具備良好的擴(kuò)容能力和平滑升級(jí)功能，由于一個(gè)公司或者企業(yè)的發(fā)展不斷壯大，業(yè)務(wù)需求不斷增長(zhǎng)，相應(yīng)的對(duì)DNS 性能和功能有新的需求，西默智能DNS 在充分考慮到保護(hù)用戶投資的情況下，滿足用戶日后長(zhǎng)期發(fā)展需求和靈活的擴(kuò)容型。

2.3. 西默智能DNS 特色功能

上海西默通信技術(shù)有限公司 4

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

1) 域名解析

西默智能DNS 采用旁路模式接入，不影響公司現(xiàn)有的網(wǎng)絡(luò)拓?fù)??？梢詫?shí)現(xiàn)為內(nèi)網(wǎng)用戶訪問(wèn)內(nèi)部資源提供域名解析的同時(shí)，負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析和嵌套查詢能力。西默智能DNS 系統(tǒng)能根據(jù)來(lái)訪問(wèn)的IP 智能的返回一個(gè)和用戶在同一運(yùn)營(yíng)商線路內(nèi)的服務(wù)器IP 供其進(jìn)行訪問(wèn)，即網(wǎng)通用戶訪問(wèn)網(wǎng)通的服務(wù)器，電信用戶訪問(wèn)電信的服務(wù)器，避免了走不同運(yùn)營(yíng)商之間的接口，造成的瓶頸問(wèn)題。

2) 雙機(jī)熱備

西默智能DNS 通過(guò)雙機(jī)熱備功能，實(shí)現(xiàn)兩臺(tái)服務(wù)器都能同時(shí)工作，一旦一臺(tái)DNS 服務(wù)器出現(xiàn)故障，另一臺(tái)都會(huì)起來(lái)工作。也能同時(shí)保證設(shè)備的穩(wěn)定性。這樣可以實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺(tái)主機(jī)出現(xiàn)故障或線路故障，DNS 熱備組不失效，可提供不間斷的服務(wù)。

3) 安全可靠

西默智能DNS 通過(guò)一系列自動(dòng)安全措施，實(shí)現(xiàn)設(shè)備自身的安全防護(hù)， 通過(guò)自帶防火墻功能，只對(duì)用戶開(kāi)放常用的業(yè)務(wù)端口，對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊有很好的防護(hù)功能。設(shè)備支持電源的熱插拔，主要部件采用冗余配置，如采用雙電源可以避免單點(diǎn)故障導(dǎo)致的業(yè)務(wù)中斷。

4）線路智能切換

出口假如有聯(lián)通、電信。一旦某條斷開(kāi)，出故障的話，必定導(dǎo)致內(nèi)部用戶會(huì)有一部分無(wú)法上網(wǎng)。采用西默智能DNS ，在做一個(gè)策略后，設(shè)備會(huì)實(shí)時(shí)監(jiān)控每條外線的情況，一旦發(fā)現(xiàn)外線出問(wèn)題，也就是電信或者聯(lián)通的線路出問(wèn)題，設(shè)備就回自動(dòng)切換線路，讓內(nèi)部用戶全部訪問(wèn)那條正常的線路，保證網(wǎng)絡(luò)的不間斷，同時(shí)會(huì)通過(guò)郵件通告管理員，外線出問(wèn)題了。

5）豐富日志功能

系統(tǒng)提供了豐富的日志和系統(tǒng)運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)控功能，使您對(duì)DNS 服務(wù)器的運(yùn)行情況和用戶的訪問(wèn)行為實(shí)現(xiàn)了解，并對(duì)網(wǎng)站的訪問(wèn)量進(jìn)行TopN 排名，以便您對(duì)網(wǎng)站內(nèi)容和服務(wù)器進(jìn)行合理的部署。

上海西默通信技術(shù)有限公司 5

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

3西默智能DNS 其他功能概要

西默智能DNS 是國(guó)內(nèi)唯一 一家具有國(guó)家著作專權(quán)、完全自主研發(fā)的產(chǎn)品！

西默智能DNS 產(chǎn)品提供線路管理，域名管理，域名查詢統(tǒng)計(jì)，監(jiān)控及報(bào)警，無(wú)限ISP 區(qū)域設(shè)置，多用戶管理，操作日志等功能，系統(tǒng)軟件采用嵌入式操作系統(tǒng)，并自帶完備的防火墻功能，用戶界面全部采用全中文WEB 界面操作，人性化設(shè)計(jì)，簡(jiǎn)單易用。

◆ 西默智能DNS 在安全性方面：

? 支持服務(wù)器、線路的檢測(cè)和告警，可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，實(shí)現(xiàn)故障的自動(dòng)切換

與轉(zhuǎn)移！

? 支持主、輔及雙擊熱備功能，防止因單點(diǎn)故障造成網(wǎng)絡(luò)癱瘓！

? 完全自主研發(fā)，具有國(guó)家版權(quán)局自主知識(shí)產(chǎn)權(quán)證書(shū)和權(quán)威機(jī)構(gòu)檢測(cè)報(bào)告！

◆ 西默智能DNS 的性能方面：

? 可實(shí)現(xiàn)普通DNS 服務(wù)器的所有功能！

? 支持分線路、分區(qū)域智能解析!

? 支持記錄容錯(cuò)和錯(cuò)誤自動(dòng)檢測(cè)功能！、

? 支持虛擬服務(wù)器功能！

? 支持純IPV6環(huán)境及IPV4/IPV6混合環(huán)境，滿足未來(lái)發(fā)展需求！

◆ 西默智能DNS 在管理方面：

? 全中文GUI 方式管理，簡(jiǎn)單又好用！

? 支持域名自助申請(qǐng)功能、管理委派、用戶名和域名綁定等功能，為管理員減少管理

負(fù)擔(dān)！

? 支持完善的日志、告警和訪問(wèn)報(bào)表統(tǒng)計(jì)，以便及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)故障！

? 支持地址庫(kù)自動(dòng)更新，保障解析的準(zhǔn)確性，減少IP 庫(kù)更新的麻煩！

6.1 雙機(jī)熱備特色功能

傳統(tǒng)的DNS 做雙機(jī)熱備的時(shí)候，都是主輔形式運(yùn)行，一臺(tái)主DNS 運(yùn)行輔DNS 就備用，不會(huì)工作，這樣在正常工作的時(shí)候，白白浪費(fèi)一臺(tái)服務(wù)器。而西默智能DNS 可以做到，當(dāng)做雙機(jī)熱備的時(shí)候，兩臺(tái)服務(wù)器都能同時(shí)工作，原理是通過(guò)在DNS 里面建立兩組雙機(jī)熱備策略。例如一組策略，A 充當(dāng)主DNS ，B 充當(dāng)輔DNS ，此時(shí)A 在工作，B 備用。第二組策略，A 當(dāng)輔DNS ，B 充當(dāng)主DNS ，此時(shí)B 在工作。兩組策略同時(shí)運(yùn)行，能夠保證兩臺(tái)DNS 都同時(shí)上海西默通信技術(shù)有限公司 6

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

工作，保證設(shè)備的充分利用，一旦隨便一臺(tái)DNS 服務(wù)器掛了，另一臺(tái)都會(huì)起來(lái)工作。也能同時(shí)保證設(shè)備的穩(wěn)定性。這樣可以兩全其美的解決客戶的問(wèn)題。

6.2 主輔同步

西默DNS 主輔同步是自主完成的，主DNS 配置好以后，輔DNS 每隔5分鐘就是同步一次主DNS 的數(shù)據(jù)，保證數(shù)據(jù)一致性。

6.3 高性能解析

西默智能DNS 具有先進(jìn)的處理機(jī)制，通過(guò)哈希計(jì)算，為每條記錄建立索引，全部載入內(nèi)存。有效避免了傳統(tǒng)DNS 數(shù)據(jù)庫(kù)檢索及存儲(chǔ)介質(zhì)的速度瓶頸，性能提升10倍以上。

6.4 分線路、分區(qū)域智能解析

普通的DNS 只是簡(jiǎn)單的將域名轉(zhuǎn)換成IP 地址，或者執(zhí)行相反的過(guò)程，西默智能DNS 系統(tǒng)能根據(jù)來(lái)訪問(wèn)的IP 智能的返回一個(gè)和用戶在同一運(yùn)營(yíng)商線路內(nèi)的服務(wù)器IP 供其進(jìn)行訪問(wèn)，即網(wǎng)通用戶訪問(wèn)網(wǎng)通的服務(wù)器，電信用戶訪問(wèn)電信的服務(wù)器，同樣教育網(wǎng)用戶訪問(wèn)教育網(wǎng)的服務(wù)器，避免了走不同運(yùn)營(yíng)商之間的接口，造成的瓶頸問(wèn)題。

同時(shí)，也可實(shí)現(xiàn)按城市、區(qū)域來(lái)進(jìn)行區(qū)域用戶的自動(dòng)識(shí)別，從而使各地域的用戶只用一個(gè)域名就能快速的訪問(wèn)到距其最近的您服務(wù)器，減小訪問(wèn)路徑，提高訪問(wèn)速度。

上海西默通信技術(shù)有限公司 7

XXX 公司DNS 系統(tǒng)優(yōu)化建議方案

6.5 域名緩存加速

域名緩存加速，對(duì)解析過(guò)的域名進(jìn)行緩存，當(dāng)再次對(duì)該域名解析時(shí)就直接調(diào)用，縮短用戶解析等待時(shí)間。

6.6 斷線檢測(cè)

當(dāng)多出口環(huán)境下，某條線路發(fā)生故障，導(dǎo)致通過(guò)這條線路出去的用戶無(wú)法訪問(wèn)外網(wǎng)，給工作帶來(lái)極大的影響。西默智能DNS 能夠自主檢測(cè)到出口那條線路斷開(kāi)，并且啟動(dòng)策略把內(nèi)部用戶全部轉(zhuǎn)移到可以正常上網(wǎng)的線路上，讓用戶正常上網(wǎng)工作，保護(hù)網(wǎng)絡(luò)的穩(wěn)定性。

6.7 快速恢復(fù)故障服務(wù)器

傳統(tǒng)的DNS 服務(wù)器都是基于Windows 或Linux 操作系統(tǒng)下的，服務(wù)器出現(xiàn)故障時(shí)，排查速度慢，造成更大的損失。西默智能DNS 服務(wù)器集成一鍵恢復(fù)功能，可以在服務(wù)器出現(xiàn)故障后立即，恢復(fù)至正常狀態(tài)，減少損失。

上海西默通信技術(shù)有限公司 8