DNS 系統(tǒng)建設(shè)方案（初稿） 注：以下內(nèi)容為通過(guò)跟用戶進(jìn)一步溝通之后，了解整理出的需求和技術(shù)規(guī)范，請(qǐng)認(rèn)真查看各條內(nèi)容，并進(jìn)行解答，是否能夠滿足。如果不能滿足，請(qǐng)?zhí)岢鰜?lái)，有更好的建議都可以提出來(lái)，我們好

DNS 系統(tǒng)建設(shè)方案（初稿） 注：以下內(nèi)容為通過(guò)跟用戶進(jìn)一步溝通之后，了解整理出的需求和技術(shù)規(guī)范，請(qǐng)認(rèn)真查看各條內(nèi)容，并進(jìn)行解答，是否能夠滿足。如果不能滿足，請(qǐng)?zhí)岢鰜?lái)，有更好的建議都可以提出來(lái)，我們好及時(shí)跟用戶溝通，進(jìn)行修改。

電信目前的內(nèi)網(wǎng)DNS 系統(tǒng)于2008年建成，采用的是2臺(tái)服務(wù)器分別安裝BIND 軟件提供DNS 服務(wù)的方式，2臺(tái)DNS 互為備份，統(tǒng)一接入維護(hù)公司DMZ 區(qū)。自建成至今為門戶、OA 等少量系統(tǒng)提供DNS 服務(wù)，而前臺(tái)對(duì)大量其他系統(tǒng)的訪問(wèn)均是采用直接通過(guò)IP 地址的方式。

2013年以來(lái)隨著EDC 第三機(jī)房、云平臺(tái)的建設(shè)，其部門已建立起異地雙活雙數(shù)據(jù)中心。隨著大量的IT 系統(tǒng)向云平臺(tái)的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，有必要將目前直接通過(guò)IP 地址訪問(wèn)MBOSS 系統(tǒng)的方式改成通過(guò)域名訪問(wèn)。而當(dāng)前的DNS 系統(tǒng)無(wú)論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問(wèn)題，因此，亟需建設(shè)一套全新的DNS 系統(tǒng)，以滿足雙活雙數(shù)據(jù)中心環(huán)境下應(yīng)用高可用性的需求。

1. 域名系統(tǒng)概述

1.1. 域名服務(wù)體系概述

域名服務(wù)是一種互聯(lián)網(wǎng)應(yīng)用層資源的尋址服務(wù)，是其他互聯(lián)網(wǎng)絡(luò)應(yīng)用服務(wù)的基礎(chǔ)。常見的互聯(lián)網(wǎng)絡(luò)應(yīng)用服務(wù)有Web 服務(wù)，電子郵件服務(wù)，F(xiàn)TP 服務(wù)等，它們都是以域名服務(wù)為基礎(chǔ)，來(lái)實(shí)現(xiàn)系統(tǒng)內(nèi)部資源的尋址和定位的。

域名解析服務(wù)是以樹型拓?fù)浣Y(jié)構(gòu)來(lái)定義的，由不同類別的域名解析服務(wù)提供機(jī)構(gòu)負(fù)責(zé)不同級(jí)域名的解析服務(wù)。

整個(gè)域名服務(wù)系統(tǒng)從職能上看，包括兩大類服務(wù)：即權(quán)威域名服務(wù)（Authoritative DNS)和遞歸域名服務(wù)（Recursive DNS)：

（1）權(quán)威域名服務(wù)是指擁有某個(gè)區(qū)的域名信息，并為該區(qū)提供域名解析的服務(wù)。權(quán)威域名服務(wù)通常面向的不是終端用戶。

提供權(quán)威域名服務(wù)的設(shè)備即權(quán)威域名服務(wù)器，是指對(duì)于某個(gè)或者多個(gè)域具有授權(quán)的服務(wù)器，權(quán)威服務(wù)器保存著其所擁有授權(quán)的域的原始域名資源記錄信息。

簡(jiǎn)單來(lái)說(shuō)，權(quán)威域名服務(wù)器中擁有域名和對(duì)應(yīng)的IP 地址之間的原始數(shù)據(jù)并在接到請(qǐng)求后對(duì)外發(fā)布。

（2）遞歸域名服務(wù)則相反，它不針對(duì)某個(gè)區(qū)提供域名解析服務(wù)，而是直接面向終端用戶，為終端用戶提供遞歸的域名解析服務(wù)。

提供遞歸域名服務(wù)的設(shè)備即遞歸域名服務(wù)器，主要在廣大的互聯(lián)網(wǎng)用戶側(cè)（本地），它負(fù)責(zé)接受用戶端（解析器）發(fā)送的請(qǐng)求，然后通過(guò)向各級(jí)權(quán)威域名服務(wù)器發(fā)出查詢請(qǐng)求獲得用戶需要的查詢結(jié)果，最后返回給用戶端的解析器。遞歸域名服務(wù)器可以將權(quán)威域名服務(wù)器返回的各種記錄進(jìn)行緩存從而減少查詢次數(shù)和提高查詢效率。

電信企業(yè)內(nèi)網(wǎng)DNS 系統(tǒng)作為向電信企業(yè)內(nèi)網(wǎng)用戶提供內(nèi)網(wǎng)業(yè)務(wù)訪問(wèn)能力的基礎(chǔ)設(shè)備，不僅需要對(duì)本網(wǎng)內(nèi)授權(quán)域名解析，還要同時(shí)負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，因此其DNS 系統(tǒng)需要同時(shí)具備權(quán)威DNS 服務(wù)器及遞歸DNS 服務(wù)器功能。

西默智能DNS 為統(tǒng)一域名解析方案，可同時(shí)支持兩種解析方式，且有較多此方案的大型網(wǎng)絡(luò)部署案例。

2. 設(shè)計(jì)要求

1. 系統(tǒng)具備電信級(jí)的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會(huì)因單臺(tái)設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時(shí)系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對(duì)外提供服務(wù)。

DNS 的可用性是DNS 系統(tǒng)的最重要的參數(shù)，西默智能DNS 設(shè)備支持雙機(jī)熱備部署，且通過(guò)專線或VPN 環(huán)境，可實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺(tái)主機(jī)出現(xiàn)故障或線路故障，DNS 熱備組不失效，可提供不間斷的服務(wù)。

2. 系統(tǒng)部署有完備的安全防護(hù)策略和一定的安全防護(hù)手段，能夠?qū)崿F(xiàn)安全風(fēng)險(xiǎn)的隔離、可控。

西默智能DNS 自帶防火墻功能，僅開放系統(tǒng)必須端口，從根本上保障設(shè)備安全，另外DNSSEC 、遞歸解析控制等，都可從根本上提高系統(tǒng)的安全性。

3. 系統(tǒng)具備平滑升級(jí)、擴(kuò)容的能力，在保護(hù)已有投資的基礎(chǔ)上易于實(shí)現(xiàn)容量及功能的靈活擴(kuò)展。

西默作為國(guó)內(nèi)DNS 產(chǎn)品的領(lǐng)導(dǎo)廠商，將持續(xù)為用戶提供優(yōu)質(zhì)的服務(wù)了和解

決方案，以保護(hù)用戶的投資。

4. 為保證節(jié)點(diǎn)具有一定的抗風(fēng)險(xiǎn)能力，節(jié)點(diǎn)容量設(shè)計(jì)應(yīng)遵循以下原則：服務(wù)節(jié)點(diǎn)總?cè)萘坎恍∮诓樵兎逯档? 倍，總處理能力不低于10萬(wàn)QPS, 服務(wù)器CPU 利用率不超過(guò)30。

需選擇合適的型號(hào)

5. 兩個(gè)數(shù)據(jù)中心機(jī)房分別部署DNS 節(jié)點(diǎn)，并根據(jù)雙活數(shù)據(jù)中心的建設(shè)標(biāo)準(zhǔn)，將兩臺(tái)DNS 專業(yè)設(shè)備部署為權(quán)威DNS ，即分別部署在兩個(gè)數(shù)據(jù)中心的DNS 設(shè)備都處于提供DNS 服務(wù)的活動(dòng)狀態(tài)。

支持

6. 兩臺(tái)DNS 設(shè)備分別對(duì)外提供獨(dú)立的IP 地址，并在不同的IP 網(wǎng)段。

西默智能DNS 雙機(jī)熱備解決方案可提供不同網(wǎng)段的服務(wù)IP ，且此IP 具有故障轉(zhuǎn)移動(dòng)力。

3. 技術(shù)要求

3.1. 安全防護(hù)能力要求

DNS 系統(tǒng)應(yīng)具備一定的安全措施和防護(hù)手段，具有如下防護(hù)能力：

(1) 能夠?qū)Ξ惓０M(jìn)行過(guò)濾，并能夠?qū)P 非法、DNS 非法查詢包（長(zhǎng)度異常、格式異常、內(nèi)容異常）進(jìn)行丟棄處理；能夠防范DNS 緩存投毒、防止錯(cuò)誤域名以及能夠?qū)NS Flood、UDP Flood 等常見DDoS 攻擊進(jìn)行過(guò)濾。

支持

(2) 能夠基于IP 地址或域名進(jìn)行限速，可過(guò)濾單個(gè)用戶發(fā)起的DoS 域名請(qǐng)求攻擊行為或?qū)δ承┨囟ㄓ蛎M(jìn)行訪問(wèn)限速。

支持自動(dòng)限速，不支持自定義配置

(3) 能夠?qū)崿F(xiàn)基于IP 地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時(shí)阻止非法域名的解析。

支持

(4) 能夠有效防護(hù)遞歸查詢攻擊，對(duì)相同域名后綴的查詢數(shù)進(jìn)行監(jiān)視，超過(guò)閥值進(jìn)行策略丟棄，同時(shí)結(jié)合白名單功能保證重點(diǎn)域名服務(wù)。

支持

(5) 具備緩存快照及相應(yīng)解析記錄導(dǎo)入能力，即在沒有遞歸能力的極端情況下進(jìn)行本地解析

西默智能DNS 高級(jí)緩存功能可滿足此要求。

3.2. 網(wǎng)管要求

DNS 系統(tǒng)網(wǎng)管要求如下：

（1） 設(shè)備應(yīng)至少提供SNMP 、Syslog 、FTP 、Telnet 、SSH 等管理通信接口。

設(shè)備邏輯管理接口應(yīng)支持標(biāo)準(zhǔn)開放的管理接口；網(wǎng)管模塊的運(yùn)行不應(yīng)

對(duì)DNS 業(yè)務(wù)處理產(chǎn)生影響。

滿足

（2） 設(shè)備應(yīng)支持完備的日志管理功能。支持syslog 功能，支持日志的本地

保存和遠(yuǎn)程保存。本地日志應(yīng)保存在非易失性的介質(zhì)上，系統(tǒng)重啟或

宕機(jī)時(shí)日志數(shù)據(jù)不會(huì)消失。

滿足

設(shè)備輸出的日志應(yīng)分為系統(tǒng)日志、解析日志和操作日志三部分。系統(tǒng)日志應(yīng)包括系統(tǒng)硬件、軟件運(yùn)行狀態(tài)。解析日志信息中應(yīng)至少包括用戶源地址、請(qǐng)求域名、請(qǐng)求接受時(shí)間和處理時(shí)延、域名解析結(jié)果IP 、解析結(jié)果代碼等（詳細(xì)要求參見附錄A ）。操作日志應(yīng)記錄登錄者對(duì)DNS 的所有操作情況（至少詳細(xì)到文件級(jí)別）。三類日志要求應(yīng)存儲(chǔ)至少三個(gè)月。

滿足

（3）DNS 設(shè)備應(yīng)接入數(shù)據(jù)網(wǎng)管系統(tǒng)，并至少提供以下監(jiān)控指標(biāo)：

設(shè)備運(yùn)行指標(biāo)：服務(wù)器的CPU 、內(nèi)存、主要進(jìn)程、磁盤空間等，并提供5分鐘粒度的實(shí)時(shí)指標(biāo)曲線呈現(xiàn)和告警呈現(xiàn)；

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

業(yè)務(wù)相關(guān)指標(biāo)：DNS 業(yè)務(wù)解析成功率、網(wǎng)內(nèi)DNS 解析時(shí)延、網(wǎng)內(nèi)DNS 解析成功率、最大并發(fā)請(qǐng)求數(shù)QPS 和DNS 業(yè)務(wù)量，并提供5分鐘粒度的實(shí)時(shí)指標(biāo)曲線呈現(xiàn)和告警呈現(xiàn)；

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

DNS 性能統(tǒng)計(jì)指標(biāo)：CPU 利用率、內(nèi)存利用率、成功數(shù)、失敗數(shù)、遞歸請(qǐng)求查詢數(shù)、非遞歸查詢數(shù)、總請(qǐng)求數(shù)、頻率、磁盤空間利用率，并提供5分鐘粒度的實(shí)時(shí)指標(biāo)曲線呈現(xiàn)和告警呈現(xiàn)；

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

域名解析請(qǐng)求排行指標(biāo)：域名、次數(shù)、總請(qǐng)求次數(shù)、比例，并提供5分鐘粒度的實(shí)時(shí)指標(biāo)曲線呈現(xiàn)和告警呈現(xiàn)。

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

3.3. 設(shè)備要求

（1） 高可用性：系統(tǒng)平均無(wú)故障時(shí)間(MTBF)>10,000小時(shí)；設(shè)計(jì)時(shí)必須按照

所有設(shè)備的壽命在正常使用下不少于10年，所有設(shè)備（包括電源設(shè)備）在給定的性能指標(biāo)下運(yùn)行，連續(xù)4000小時(shí)內(nèi)不需要人工調(diào)整和維護(hù)。 滿足

（2） 要求主要部件冗余配置，為避免單點(diǎn)故障，采用雙電源、雙風(fēng)扇、雙網(wǎng)

卡、系統(tǒng)鏡像盤保護(hù)數(shù)據(jù)。

支持，但不支持系統(tǒng)鏡像和雙風(fēng)扇。

（3） 主機(jī)系統(tǒng)的主要部件必需實(shí)現(xiàn)熱插拔、熱更換，包括熱插拔的PCI I/O

卡；熱插拔內(nèi)置硬盤驅(qū)動(dòng)器；熱更換冗余電源；熱更換冗余風(fēng)扇。

僅電源支持熱插撥

（4） 主機(jī)系統(tǒng)應(yīng)具備故障檢測(cè)、隔離和修復(fù)等自動(dòng)檢測(cè)手段，持續(xù)監(jiān)測(cè)各個(gè)

系統(tǒng)部件，并根據(jù)動(dòng)態(tài)變化的系統(tǒng)狀態(tài)，實(shí)時(shí)調(diào)整系統(tǒng)，保證正常運(yùn)行 軟件支持，硬件不支持。

（5） 高可靠性設(shè)計(jì)：支持HA 雙機(jī)備份接入方式, 雙機(jī)同時(shí)運(yùn)行業(yè)務(wù), 并可以

自動(dòng)切換。一對(duì)HA 設(shè)備必須能夠?qū)λ峁┑乃蟹?wù)（DNS/DHCP/IPAM 等）和協(xié)議的數(shù)據(jù)進(jìn)行同步和保護(hù)。切換后應(yīng)能接管全部的管理功能和服務(wù)。故障恢復(fù)必須是自動(dòng)的，無(wú)須手工的。

滿足

（6） 10/100/1000 Base-T 以太網(wǎng) (LAN) 端口，不少于4 個(gè)。

滿足

3.4. DNS功能要求（均支持）

（1） 系統(tǒng)必須支持標(biāo)準(zhǔn)的 DNS 服務(wù)。支持反向DNS 解析功能。

（2） 支持基于ＲＦＣ標(biāo)準(zhǔn)的DNS 記錄類型：如A 、AAAA 、CNAME 、MX 、NAPTR 、

PTR 、SRV 等。

（3） 兼容微軟和BIND 等主流DHCP ， DNS 服務(wù)器配置。

（4） DNS 數(shù)據(jù)導(dǎo)入導(dǎo)出，能夠通過(guò)圖形管理界面導(dǎo)出記錄進(jìn)行備份，也可以

通過(guò)圖形界面導(dǎo)回記錄進(jìn)行恢復(fù)，支持批量修改。

（5） 支持根據(jù)IP 來(lái)源地址實(shí)現(xiàn)智能DNS 解析。

（6） 支持應(yīng)用服務(wù)狀態(tài)檢測(cè)，以便給出有效的域名記錄解析。。

（7） 管理界面可以完成所有DNS 的配置及管理功能。

3.5. DNS系統(tǒng)部署要求

DNS 系統(tǒng)部署要求如下圖所示：

3.6. DNS系統(tǒng)部署：

為考慮DNS 服務(wù)的依賴性與重要性，將在荷花園和麓谷兩個(gè)數(shù)據(jù)中心的DMZ 區(qū)部署DNS 域名解析服務(wù)系統(tǒng)，并根據(jù)雙活數(shù)據(jù)中心的建設(shè)標(biāo)準(zhǔn)，將兩臺(tái)DNS 設(shè)備部署為權(quán)威DNS ，即分別部署在兩個(gè)數(shù)據(jù)中心的DNS 設(shè)備都處于提供DNS 服務(wù)的活動(dòng)狀態(tài)。由于還要同時(shí)負(fù)責(zé)提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，因此湖南電信DNS 系統(tǒng)需要同時(shí)具備權(quán)威DNS 服務(wù)器及遞歸DNS 服務(wù)器功能。

支持，但需滿足雙機(jī)熱備組中物理IP 在同一子網(wǎng)的條件（VPN 或?qū)＞€）。

3.7. 負(fù)載均衡部署

根據(jù)全省各本地網(wǎng)訪問(wèn)業(yè)務(wù)系統(tǒng)的大小，將訪問(wèn)流量分流到2個(gè)數(shù)據(jù)中心，以實(shí)現(xiàn)應(yīng)用系統(tǒng)的負(fù)載均衡。為了實(shí)現(xiàn)根據(jù)源IP 地址判斷DNS 查詢請(qǐng)求的業(yè)務(wù)流量在兩個(gè)業(yè)務(wù)數(shù)據(jù)中心的業(yè)務(wù)分流，通過(guò)采用DNS 標(biāo)準(zhǔn)建設(shè)體系中的DNS View 實(shí)現(xiàn)。在DNS View中定義不同的源IP 地址段，并根據(jù)源IP 地址進(jìn)行View 命中。以實(shí)現(xiàn)不同本地網(wǎng)分別訪問(wèn)不同的數(shù)據(jù)中心，實(shí)現(xiàn)業(yè)務(wù)分流。

滿足

3.8. 容災(zāi)部署

為了實(shí)現(xiàn)在一個(gè)數(shù)據(jù)中心單臺(tái)、多臺(tái)服務(wù)器甚至整個(gè)數(shù)據(jù)中心崩潰的情況下，相關(guān)訪問(wèn)流量能迅速切換到正常提供服務(wù)的服務(wù)器或數(shù)據(jù)中心，DNS 系統(tǒng)應(yīng)能支持利用F5的健康檢查機(jī)制或DNS 自身提供的其它方式進(jìn)行服務(wù)器狀態(tài)檢查，根據(jù)服務(wù)器服務(wù)狀態(tài)進(jìn)行DNS 業(yè)務(wù)流量的切換。

支持自身健康檢測(cè)和切換。

3.9. 安全策略部署

1. 在DMZ 防火墻上部署訪問(wèn)策略，只允許源協(xié)議端口號(hào)1023 以上訪問(wèn)DNS IP 地址的UDP/TCP 53 端口；

2. 在DNS 節(jié)點(diǎn)與網(wǎng)絡(luò)互聯(lián)的鏈路上部署帶寬限速的QoS 策略，去往節(jié)點(diǎn)服務(wù)IP 的流量限制在節(jié)點(diǎn)容量的80以內(nèi)；

3. 通過(guò)流量分析系統(tǒng)對(duì) DNS 流量進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)異常的攻擊特征并告警。

4. 出于安全和應(yīng)急的考慮，DNS 系統(tǒng)必須具備帶外管理能力；

可在以上環(huán)境中部署