DNS 系統建設方案（初稿） 注：以下內容為通過跟用戶進一步溝通之后，了解整理出的需求和技術規(guī)范，請認真查看各條內容，并進行解答，是否能夠滿足。如果不能滿足，請?zhí)岢鰜恚懈玫慕ㄗh都可以提出來，我們好

DNS 系統建設方案（初稿） 注：以下內容為通過跟用戶進一步溝通之后，了解整理出的需求和技術規(guī)范，請認真查看各條內容，并進行解答，是否能夠滿足。如果不能滿足，請?zhí)岢鰜?，有更好的建議都可以提出來，我們好及時跟用戶溝通，進行修改。

電信目前的內網DNS 系統于2008年建成，采用的是2臺服務器分別安裝BIND 軟件提供DNS 服務的方式，2臺DNS 互為備份，統一接入維護公司DMZ 區(qū)。自建成至今為門戶、OA 等少量系統提供DNS 服務，而前臺對大量其他系統的訪問均是采用直接通過IP 地址的方式。

2013年以來隨著EDC 第三機房、云平臺的建設，其部門已建立起異地雙活雙數據中心。隨著大量的IT 系統向云平臺的遷移，為了保障各系統的穩(wěn)定、可靠、遷移，為了實現應用的高可用性，有必要將目前直接通過IP 地址訪問MBOSS 系統的方式改成通過域名訪問。而當前的DNS 系統無論從組網結構、容量處理能力以及安全防護方面存在諸多問題，因此，亟需建設一套全新的DNS 系統，以滿足雙活雙數據中心環(huán)境下應用高可用性的需求。

1. 域名系統概述

1.1. 域名服務體系概述

域名服務是一種互聯網應用層資源的尋址服務，是其他互聯網絡應用服務的基礎。常見的互聯網絡應用服務有Web 服務，電子郵件服務，FTP 服務等，它們都是以域名服務為基礎，來實現系統內部資源的尋址和定位的。

域名解析服務是以樹型拓撲結構來定義的，由不同類別的域名解析服務提供機構負責不同級域名的解析服務。

整個域名服務系統從職能上看，包括兩大類服務：即權威域名服務（Authoritative DNS)和遞歸域名服務（Recursive DNS)：

（1）權威域名服務是指擁有某個區(qū)的域名信息，并為該區(qū)提供域名解析的服務。權威域名服務通常面向的不是終端用戶。

提供權威域名服務的設備即權威域名服務器，是指對于某個或者多個域具有授權的服務器，權威服務器保存著其所擁有授權的域的原始域名資源記錄信息。

簡單來說，權威域名服務器中擁有域名和對應的IP 地址之間的原始數據并在接到請求后對外發(fā)布。

（2）遞歸域名服務則相反，它不針對某個區(qū)提供域名解析服務，而是直接面向終端用戶，為終端用戶提供遞歸的域名解析服務。

提供遞歸域名服務的設備即遞歸域名服務器，主要在廣大的互聯網用戶側（本地），它負責接受用戶端（解析器）發(fā)送的請求，然后通過向各級權威域名服務器發(fā)出查詢請求獲得用戶需要的查詢結果，最后返回給用戶端的解析器。遞歸域名服務器可以將權威域名服務器返回的各種記錄進行緩存從而減少查詢次數和提高查詢效率。

電信企業(yè)內網DNS 系統作為向電信企業(yè)內網用戶提供內網業(yè)務訪問能力的基礎設備，不僅需要對本網內授權域名解析，還要同時負責向用戶提供互聯網授權域名的遞歸解析能力，因此其DNS 系統需要同時具備權威DNS 服務器及遞歸DNS 服務器功能。

西默智能DNS 為統一域名解析方案，可同時支持兩種解析方式，且有較多此方案的大型網絡部署案例。

2. 設計要求

1. 系統具備電信級的高可用性，系統設備及鏈路均具有一定的冗余度，不會因單臺設備或單條鏈路故障而引起服務質量下降，同時系統具有容災備份機制，能夠不間斷的對外提供服務。

DNS 的可用性是DNS 系統的最重要的參數，西默智能DNS 設備支持雙機熱備部署，且通過專線或VPN 環(huán)境，可實現異地容災，雙機熱備組中任一臺主機出現故障或線路故障，DNS 熱備組不失效，可提供不間斷的服務。

2. 系統部署有完備的安全防護策略和一定的安全防護手段，能夠實現安全風險的隔離、可控。

西默智能DNS 自帶防火墻功能，僅開放系統必須端口，從根本上保障設備安全，另外DNSSEC 、遞歸解析控制等，都可從根本上提高系統的安全性。

3. 系統具備平滑升級、擴容的能力，在保護已有投資的基礎上易于實現容量及功能的靈活擴展。

西默作為國內DNS 產品的領導廠商，將持續(xù)為用戶提供優(yōu)質的服務了和解

決方案，以保護用戶的投資。

4. 為保證節(jié)點具有一定的抗風險能力，節(jié)點容量設計應遵循以下原則：服務節(jié)點總容量不小于查詢峰值的3 倍，總處理能力不低于10萬QPS, 服務器CPU 利用率不超過30。

需選擇合適的型號

5. 兩個數據中心機房分別部署DNS 節(jié)點，并根據雙活數據中心的建設標準，將兩臺DNS 專業(yè)設備部署為權威DNS ，即分別部署在兩個數據中心的DNS 設備都處于提供DNS 服務的活動狀態(tài)。

支持

6. 兩臺DNS 設備分別對外提供獨立的IP 地址，并在不同的IP 網段。

西默智能DNS 雙機熱備解決方案可提供不同網段的服務IP ，且此IP 具有故障轉移動力。

3. 技術要求

3.1. 安全防護能力要求

DNS 系統應具備一定的安全措施和防護手段，具有如下防護能力：

(1) 能夠對異常包進行過濾，并能夠對IP 非法、DNS 非法查詢包（長度異常、格式異常、內容異常）進行丟棄處理；能夠防范DNS 緩存投毒、防止錯誤域名以及能夠對DNS Flood、UDP Flood 等常見DDoS 攻擊進行過濾。

支持

(2) 能夠基于IP 地址或域名進行限速，可過濾單個用戶發(fā)起的DoS 域名請求攻擊行為或對某些特定域名進行訪問限速。

支持自動限速，不支持自定義配置

(3) 能夠實現基于IP 地址及域名的黑白名單管理，確保重要域名正常服務的同時阻止非法域名的解析。

支持

(4) 能夠有效防護遞歸查詢攻擊，對相同域名后綴的查詢數進行監(jiān)視，超過閥值進行策略丟棄，同時結合白名單功能保證重點域名服務。

支持

(5) 具備緩存快照及相應解析記錄導入能力，即在沒有遞歸能力的極端情況下進行本地解析

西默智能DNS 高級緩存功能可滿足此要求。

3.2. 網管要求

DNS 系統網管要求如下：

（1） 設備應至少提供SNMP 、Syslog 、FTP 、Telnet 、SSH 等管理通信接口。

設備邏輯管理接口應支持標準開放的管理接口；網管模塊的運行不應

對DNS 業(yè)務處理產生影響。

滿足

（2） 設備應支持完備的日志管理功能。支持syslog 功能，支持日志的本地

保存和遠程保存。本地日志應保存在非易失性的介質上，系統重啟或

宕機時日志數據不會消失。

滿足

設備輸出的日志應分為系統日志、解析日志和操作日志三部分。系統日志應包括系統硬件、軟件運行狀態(tài)。解析日志信息中應至少包括用戶源地址、請求域名、請求接受時間和處理時延、域名解析結果IP 、解析結果代碼等（詳細要求參見附錄A ）。操作日志應記錄登錄者對DNS 的所有操作情況（至少詳細到文件級別）。三類日志要求應存儲至少三個月。

滿足

（3）DNS 設備應接入數據網管系統，并至少提供以下監(jiān)控指標：

設備運行指標：服務器的CPU 、內存、主要進程、磁盤空間等，并提供5分鐘粒度的實時指標曲線呈現和告警呈現；

滿足，周期為20分鐘，可根據需要調整

業(yè)務相關指標：DNS 業(yè)務解析成功率、網內DNS 解析時延、網內DNS 解析成功率、最大并發(fā)請求數QPS 和DNS 業(yè)務量，并提供5分鐘粒度的實時指標曲線呈現和告警呈現；

滿足，周期為20分鐘，可根據需要調整

DNS 性能統計指標：CPU 利用率、內存利用率、成功數、失敗數、遞歸請求查詢數、非遞歸查詢數、總請求數、頻率、磁盤空間利用率，并提供5分鐘粒度的實時指標曲線呈現和告警呈現；

滿足，周期為20分鐘，可根據需要調整

域名解析請求排行指標：域名、次數、總請求次數、比例，并提供5分鐘粒度的實時指標曲線呈現和告警呈現。

滿足，周期為20分鐘，可根據需要調整

3.3. 設備要求

（1） 高可用性：系統平均無故障時間(MTBF)>10,000小時；設計時必須按照

所有設備的壽命在正常使用下不少于10年，所有設備（包括電源設備）在給定的性能指標下運行，連續(xù)4000小時內不需要人工調整和維護。 滿足

（2） 要求主要部件冗余配置，為避免單點故障，采用雙電源、雙風扇、雙網

卡、系統鏡像盤保護數據。

支持，但不支持系統鏡像和雙風扇。

（3） 主機系統的主要部件必需實現熱插拔、熱更換，包括熱插拔的PCI I/O

卡；熱插拔內置硬盤驅動器；熱更換冗余電源；熱更換冗余風扇。

僅電源支持熱插撥

（4） 主機系統應具備故障檢測、隔離和修復等自動檢測手段，持續(xù)監(jiān)測各個

系統部件，并根據動態(tài)變化的系統狀態(tài)，實時調整系統，保證正常運行 軟件支持，硬件不支持。

（5） 高可靠性設計：支持HA 雙機備份接入方式, 雙機同時運行業(yè)務, 并可以

自動切換。一對HA 設備必須能夠對所提供的所有服務（DNS/DHCP/IPAM 等）和協議的數據進行同步和保護。切換后應能接管全部的管理功能和服務。故障恢復必須是自動的，無須手工的。

滿足

（6） 10/100/1000 Base-T 以太網 (LAN) 端口，不少于4 個。

滿足

3.4. DNS功能要求（均支持）

（1） 系統必須支持標準的 DNS 服務。支持反向DNS 解析功能。

（2） 支持基于ＲＦＣ標準的DNS 記錄類型：如A 、AAAA 、CNAME 、MX 、NAPTR 、

PTR 、SRV 等。

（3） 兼容微軟和BIND 等主流DHCP ， DNS 服務器配置。

（4） DNS 數據導入導出，能夠通過圖形管理界面導出記錄進行備份，也可以

通過圖形界面導回記錄進行恢復，支持批量修改。

（5） 支持根據IP 來源地址實現智能DNS 解析。

（6） 支持應用服務狀態(tài)檢測，以便給出有效的域名記錄解析。。

（7） 管理界面可以完成所有DNS 的配置及管理功能。

3.5. DNS系統部署要求

DNS 系統部署要求如下圖所示：

3.6. DNS系統部署：

為考慮DNS 服務的依賴性與重要性，將在荷花園和麓谷兩個數據中心的DMZ 區(qū)部署DNS 域名解析服務系統，并根據雙活數據中心的建設標準，將兩臺DNS 設備部署為權威DNS ，即分別部署在兩個數據中心的DNS 設備都處于提供DNS 服務的活動狀態(tài)。由于還要同時負責提供互聯網授權域名的遞歸解析能力，因此湖南電信DNS 系統需要同時具備權威DNS 服務器及遞歸DNS 服務器功能。

支持，但需滿足雙機熱備組中物理IP 在同一子網的條件（VPN 或專線）。

3.7. 負載均衡部署

根據全省各本地網訪問業(yè)務系統的大小，將訪問流量分流到2個數據中心，以實現應用系統的負載均衡。為了實現根據源IP 地址判斷DNS 查詢請求的業(yè)務流量在兩個業(yè)務數據中心的業(yè)務分流，通過采用DNS 標準建設體系中的DNS View 實現。在DNS View中定義不同的源IP 地址段，并根據源IP 地址進行View 命中。以實現不同本地網分別訪問不同的數據中心，實現業(yè)務分流。

滿足

3.8. 容災部署

為了實現在一個數據中心單臺、多臺服務器甚至整個數據中心崩潰的情況下，相關訪問流量能迅速切換到正常提供服務的服務器或數據中心，DNS 系統應能支持利用F5的健康檢查機制或DNS 自身提供的其它方式進行服務器狀態(tài)檢查，根據服務器服務狀態(tài)進行DNS 業(yè)務流量的切換。

支持自身健康檢測和切換。

3.9. 安全策略部署

1. 在DMZ 防火墻上部署訪問策略，只允許源協議端口號1023 以上訪問DNS IP 地址的UDP/TCP 53 端口；

2. 在DNS 節(jié)點與網絡互聯的鏈路上部署帶寬限速的QoS 策略，去往節(jié)點服務IP 的流量限制在節(jié)點容量的80以內；

3. 通過流量分析系統對 DNS 流量進行監(jiān)控，及時發(fā)現異常的攻擊特征并告警。

4. 出于安全和應急的考慮，DNS 系統必須具備帶外管理能力；

可在以上環(huán)境中部署