F5可擴(kuò)展智能DNS 參考架構(gòu).F5的端到端DNS 交付解決方案最大限度利用組織資源，同時(shí)保持足夠的敏捷性和智能性，以擴(kuò)展和支持現(xiàn)有及未來(lái)的網(wǎng)絡(luò)、架構(gòu)、設(shè)備和應(yīng)用。白皮書(shū)

F5可擴(kuò)展智能DNS 參考架構(gòu).

F5的端到端DNS 交付解決方案最大限度利用組織資源，同時(shí)保持足夠的敏捷性和智能性，以擴(kuò)展和支持現(xiàn)有及未來(lái)的網(wǎng)絡(luò)、架構(gòu)、設(shè)備和應(yīng)用。

白皮書(shū)

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

目錄

前言 3

DNS 服務(wù)對(duì)于可用性至關(guān)重要 3

形勢(shì)日益嚴(yán)峻 4

安全問(wèn)題 4

傳統(tǒng)解決方案 5

通過(guò)解決方案應(yīng)對(duì)不斷變化的格局 5

按需擴(kuò)展 6

利用DNS Express增強(qiáng)可用性 6

BIG-IP 平臺(tái)：您在DMZ 中的防火墻 7

網(wǎng)絡(luò)邊緣的DNS 服務(wù) 7

BIG-IP GTM和DNS 服務(wù) 8

BIG-IP LTM和DNS 服務(wù) 9

部署全面的服務(wù)交付框架 9

結(jié)束語(yǔ) 10 2

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

前言

域名系統(tǒng)（DNS ）于1983年問(wèn)世，目的在于讓人們更容易識(shí)別所有計(jì)算機(jī)、服務(wù)和資源，它們是按名稱接入互聯(lián)網(wǎng)，而非按IP 地址這些不可能記住的二進(jìn)制信息字符串。

請(qǐng)?jiān)O(shè)想一下，如果要做任何事情都需要記住數(shù)十種數(shù)字組合，那么使用互聯(lián)網(wǎng)將會(huì)是多么困難。將DNS 想象為互聯(lián)網(wǎng)的電話簿。一臺(tái)DNS 服務(wù)器將輸入瀏覽器的域名轉(zhuǎn)換為IP 地址，讓您的設(shè)備能夠找到您正在互聯(lián)網(wǎng)上查找的服務(wù)或站點(diǎn)。

DNS 可以說(shuō)是互聯(lián)網(wǎng)的主要支持技術(shù)，同時(shí)也是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的最重要組件之一。除了傳輸內(nèi)容和應(yīng)用之外，DNS 還管理分布式的冗余架構(gòu)，確保高可用性和用戶快速響應(yīng)，因此，擁有可用、智能、安全、可擴(kuò)展的DNS 基礎(chǔ)架構(gòu)非常重要。如果DNS 運(yùn)行中斷了，大多數(shù)網(wǎng)站應(yīng)用將不能正常發(fā)揮功能，從而影響您的業(yè)務(wù)，甚至影響您的品牌。

F5的端到端可擴(kuò)展智能DNS 參考架構(gòu)可幫助企業(yè)建立強(qiáng)健的DNS 基礎(chǔ)，最大限度利用資源，加強(qiáng)服務(wù)管理，同時(shí)保持足夠的敏捷性，以支持當(dāng)前及未來(lái)的網(wǎng)絡(luò)架構(gòu)、設(shè)備和應(yīng)用。

DNS 服務(wù)對(duì)于可用性至關(guān)重要

當(dāng)用戶請(qǐng)求一個(gè)網(wǎng)頁(yè)時(shí)，這一請(qǐng)求被傳輸?shù)揭慌_(tái)本地DNS 服務(wù)器，該服務(wù)器接下來(lái)與主DNS 服務(wù)器進(jìn)行通信。這一切都運(yùn)行良好，直到出現(xiàn)流量激增，或者攻擊者利用大量DNS 查詢請(qǐng)求使服務(wù)器癱瘓。如果您的主DNS 服務(wù)器過(guò)載，它將停止做出響應(yīng)，讓訪問(wèn)者無(wú)法訪問(wèn)您的網(wǎng)站。

DNS 故障占網(wǎng)絡(luò)基礎(chǔ)架構(gòu)停機(jī)的41，因此對(duì)于保持DNS 的可用性至關(guān)重要。據(jù)Aberdeen Group發(fā)布的一份調(diào)查顯示，企業(yè)數(shù)據(jù)中心每停機(jī)一小時(shí)，會(huì)造成平均13.8萬(wàn)美元的損失。停機(jī)對(duì)來(lái)訪的客戶產(chǎn)生負(fù)面影響，帶來(lái)收入損失，甚至可能影響想要訪問(wèn)其電子郵件等企業(yè)資源的員工。

1 http://www.thinkgig.com/do-you-know-the-cost-of-data-center-downtime-infographic/

根據(jù)Aberdeen Group調(diào)查，企業(yè)數(shù)據(jù)中心每停機(jī)一小時(shí)，平均遭受13.8萬(wàn)美元的損失。1 3

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

正是出于這一原因，強(qiáng)大的DNS 基礎(chǔ)的重要性絕對(duì)不容忽視。如果沒(méi)有這樣的DNS 基礎(chǔ)，您的客戶可能無(wú)法在需要時(shí)訪問(wèn)您的內(nèi)容和應(yīng)用，甚至如果他們不能從您的網(wǎng)站上獲得想要的內(nèi)容，就可能去訪問(wèn)其他網(wǎng)站。

形勢(shì)日益嚴(yán)峻

有許多原因可以解釋為什么DNS 需求增長(zhǎng)如此之快。在過(guò)去五年中，活躍網(wǎng)站的數(shù)量增長(zhǎng)了1802；活躍用戶的數(shù)量翻番3；而DNS 查詢的數(shù)量也增長(zhǎng)了100。4

此外，近60的網(wǎng)站用戶表示，他們希望在三秒的時(shí)間內(nèi)將一個(gè)網(wǎng)站加載到手機(jī)上。5

從應(yīng)用以及訪問(wèn)這些應(yīng)用的流量方面而言，企業(yè)正在經(jīng)歷快速增長(zhǎng)。另外，網(wǎng)絡(luò)應(yīng)用本身也在增長(zhǎng)，并且不斷變得更加復(fù)雜。每個(gè)圖標(biāo)、網(wǎng)址以及嵌入網(wǎng)頁(yè)中的每條內(nèi)容都需要進(jìn)行DNS 查詢。加載復(fù)雜的站點(diǎn)可能需要數(shù)百次DNS 查詢，甚至簡(jiǎn)單的智能手機(jī)應(yīng)用為了進(jìn)行一次頁(yè)面加載都可能需要大量的DNS 查詢。

在過(guò)去五年中，.com 和.net 地址的DNS 查詢數(shù)量增長(zhǎng)了一倍多，2012年第四季度平均日常查詢負(fù)載增加到770億。6 此外，2012年第四季度互聯(lián)網(wǎng)上增加了超過(guò)600萬(wàn)個(gè)域名。7將來(lái)，隨著更多云環(huán)境的實(shí)施，預(yù)計(jì)域名會(huì)以更快的速度增長(zhǎng)。

安全問(wèn)題

如果說(shuō)DNS 是互聯(lián)網(wǎng)的骨干，可以回答所有查詢以及解析所有編號(hào)以便找到您最喜愛(ài)的站點(diǎn)，那么它也是網(wǎng)絡(luò)上最薄弱的環(huán)節(jié)之一。由于它所扮演的重要角色，DNS 是一種具極高價(jià)值的安全目標(biāo)。DNS DDoS攻擊可淹沒(méi)您的DNS 服務(wù)器，導(dǎo)致其失效。

通常情況下，企業(yè)有一組DNS 服務(wù)器，每臺(tái)服務(wù)器都能夠每秒處理15萬(wàn)條DNS 查

2 http://news.netcraft.com/archives/2013/10/02/october-2013-web-server-survey.html

3 http://royal.pingdom.com/2012/04/19/world-internet-population-has-doubled-in-the-last-5-years/

4 https://investor.verisign.com/releaseDetail.cfm?ReleaseID=591560

5 http://www.slideshare.net/Gomez_Inc/2011-mobile-survey-what-users-want-from-mobile

6 http://blogs.verisigninc.com/blog/entry/verisign_shares_q4_2012_domain

7 https://investor.verisign.com/releasedetail.cfm?releaseid=754909

4

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

詢。高性能DNS 服務(wù)器每秒可處理大約20萬(wàn)條查詢。那些有惡意企圖的攻擊者很容易就可以使攻擊超出這些極限值，例如，影響了紐約時(shí)報(bào)8、LinkedIn 9、 Network Solutions10和Twitter 11的DNS 停機(jī)事件。

為了應(yīng)對(duì)DNS 流量激增和DNS DDoS攻擊，企業(yè)需要增加更多DNS 服務(wù)器，而

這些服務(wù)器在正常業(yè)務(wù)運(yùn)營(yíng)期間其實(shí)是不需要的。這種解決方案需要投入高額成本，并且通常也需要人工干預(yù)修改。此外，傳統(tǒng)的DNS 服務(wù)器需要頻繁維護(hù)和打補(bǔ)丁，主要是針對(duì)新漏洞進(jìn)行維護(hù)。

傳統(tǒng)的解決方案

在尋找DNS 解決方案時(shí)，許多企業(yè)選擇伯克利互聯(lián)網(wǎng)域名守護(hù)進(jìn)程（BIND ）， 它是互聯(lián)網(wǎng)最初的DNS 解析器。全球大約80的DNS 服務(wù)器都安裝BIND ，它是由互聯(lián)網(wǎng)系統(tǒng)協(xié)會(huì)（ISC ）維護(hù)的一個(gè)開(kāi)源項(xiàng)目。ISC 是一家非營(yíng)利組織，并有一個(gè)營(yíng)利性咨詢部門DNS-CO ，該部門提供五個(gè)級(jí)別的訂閱服務(wù)，年費(fèi)從1萬(wàn)美元到10萬(wàn)美元不等。

盡管BIND 非常受歡迎，但是由于漏洞、補(bǔ)丁和升級(jí)等原因，一年要維護(hù)多次。它可免費(fèi)下載，但需要服務(wù)器（以及額外的成本，包括支持合同）以及操作系統(tǒng)。此外，BIND 一般只可擴(kuò)展到每秒響應(yīng)5萬(wàn)次（RPS ），因此不論是合法還是惡意的DNS 流量激增，都容易讓其受到侵害。

通過(guò)解決方案應(yīng)對(duì)不斷變化的格局 F5?的可擴(kuò)展智能DNS 參考架構(gòu)提供更加智能的方式響應(yīng)和擴(kuò)展，滿足DNS 查詢需求，并將各種網(wǎng)絡(luò)條件和狀況考慮在內(nèi)，根據(jù)業(yè)務(wù)策略、數(shù)據(jù)中心狀況、網(wǎng)絡(luò)狀況和應(yīng)用性能分配用戶應(yīng)用請(qǐng)求和應(yīng)用服務(wù)。

您不需要擔(dān)心DNS 停機(jī)和購(gòu)買更多DNS 基礎(chǔ)架構(gòu)來(lái)應(yīng)對(duì)流量激增的問(wèn)題，只需要將一臺(tái)F5 BIG-IP? 設(shè)備安裝到網(wǎng)絡(luò)DMZ 區(qū)中，并允許它代表您的主DNS 服務(wù)器處理請(qǐng)求即可。

8 http://www.forbes.com/sites/andygreenberg/2013/08/28/syrian-hack-of-nytimes-com-and-twitter-could-have-inflicted-much-more- than-mere-embarrassment/

9 http://www.zdnet.com/linkedin-hit-by-outage-from-dns-issue-7000017058/

10 http://www.crn.com/news/security/240158492/ddos-attack-behind-latest-network-solutions-outage.htm

11 http://www.ciozone.com/index.php/Security/Twitter-Outage-Caused-by-DNS-Attack.html

5

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

圖1：利用F5技術(shù)簡(jiǎn)化DNS 交付

按需擴(kuò)展

每臺(tái)BIG-IP 設(shè)備每秒最多可支持1000萬(wàn)條響應(yīng)，這意味著即使大規(guī)模的DNS 請(qǐng)求激增（包括惡意請(qǐng)求）都不會(huì)中斷您的內(nèi)容或影響您的關(guān)鍵應(yīng)用的可用性。您的網(wǎng)絡(luò)管理員可以安心無(wú)憂，知道您的站點(diǎn)會(huì)響應(yīng)所有的DNS 查詢，即使在受到攻擊期間也會(huì)保持可用性。您的品牌得到保護(hù)，您的企業(yè)可避免令人尷尬的頭版頭條負(fù)面報(bào)道。

利用DNS Express增強(qiáng)可用性

F5的可擴(kuò)展智能DNS 參考架構(gòu)確保您的應(yīng)用和內(nèi)容對(duì)用戶是持續(xù)可用的。該架構(gòu)的一個(gè)重要組成部分是BIG-IP ?廣域流量管理器?（GTM ）中專門設(shè)計(jì)的F5 DNS Express?查詢響應(yīng)特性，它用于管理權(quán)威DNS 查詢，將域名區(qū)從主DNS 服務(wù)器上轉(zhuǎn)移到其自身的RAM 中。

視頻： DNS Express：DNS 誰(shuí)與爭(zhēng)鋒？

6

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

只要請(qǐng)求的是轉(zhuǎn)移到DNS Express中的一個(gè)地址，BIG-IP GTM只需要打開(kāi)DNS 查詢數(shù)據(jù)包一次就可以了，這簡(jiǎn)化了查詢流程，大幅度改進(jìn)了架構(gòu)的性能和響應(yīng)時(shí)間。

利用DNS Express，每臺(tái)BIG-IP 設(shè)備的單個(gè)內(nèi)核每秒都可響應(yīng)大約12.5萬(wàn)至20萬(wàn)條請(qǐng)求，最多可擴(kuò)展到每秒1000萬(wàn)條查詢，超過(guò)傳統(tǒng)主DNS 服務(wù)器容量的12倍。

BIG-IP 平臺(tái)：您在DMZ 區(qū)中的防火墻

此外，每臺(tái)BIG-IP 設(shè)備都是ICSA 實(shí)驗(yàn)室認(rèn)證的網(wǎng)絡(luò)防火墻。BIG-IP 設(shè)備可智能地評(píng)估互聯(lián)網(wǎng)主機(jī)的信譽(yù)，防止攻擊者通過(guò)DNS DDoS攻擊讓您的DNS 下線、盜竊數(shù)據(jù)、危害企業(yè)資源或以其他方式中斷您的業(yè)務(wù)運(yùn)行。F5 IP智能服務(wù)可增強(qiáng)您的整體安全性，阻止訪問(wèn)已知受惡意軟件感染的IP 地址、接觸惡意軟件分發(fā)點(diǎn)以及接觸信譽(yù)不良的地址。

網(wǎng)絡(luò)邊緣的DNS 服務(wù)

F5智能DNS 擴(kuò)展參考架構(gòu)還可幫助您從網(wǎng)絡(luò)邊緣響應(yīng)DNS 查詢，而非深入關(guān)鍵基礎(chǔ)架構(gòu)的內(nèi)部響應(yīng)，從而保持您的內(nèi)容和應(yīng)用的可用性。當(dāng)您將DNS 響應(yīng)卸載到BIG-IP 平臺(tái)后，所有請(qǐng)求將不會(huì)到達(dá)您的網(wǎng)絡(luò)后端，這會(huì)大幅度增強(qiáng)您的擴(kuò)展能力，應(yīng)對(duì)DNS 流量激增，并保護(hù)您的DNS 基礎(chǔ)架構(gòu)。

F5智能DNS 擴(kuò)展參考架構(gòu)提高您的DNS 基礎(chǔ)架構(gòu)的速度、可用性、可擴(kuò)展性和安全性，確保您的客戶以及員工可按需隨時(shí)訪問(wèn)您的重要網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)庫(kù)服務(wù)。

視頻： 只需不到5分鐘的時(shí)間：IP 智能服務(wù)7

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

圖2：提高您的DNS 基礎(chǔ)架構(gòu)的速度、可用性、可擴(kuò)展性和安全性

BIG-IP GTM和DNS 服務(wù)

BIG-IP GTM是一種全局DNS 解決方案，它在極其靠近服務(wù)交付和接入網(wǎng)絡(luò)的邊緣位置提供域名服務(wù)。BIG-IP GTM采用地理位置服務(wù)，可根據(jù)用戶的地理位置將他們定向到最佳服務(wù)交付數(shù)據(jù)中心。

BIG-IP GTM提供以下域名服務(wù)：

? 在網(wǎng)絡(luò)邊緣為所有內(nèi)部和外部服務(wù)提供DNS 服務(wù)。

? 地理位置服務(wù)，根據(jù)移動(dòng)用戶的位置提供精準(zhǔn)的應(yīng)用或服務(wù)交付。

? IP 智能服務(wù)檢測(cè)并制止來(lái)自與惡意活動(dòng)有關(guān)的IP 地址進(jìn)行的任何訪問(wèn)，保護(hù)基礎(chǔ)架構(gòu)的

安全性。

? 單點(diǎn)控制，管理所有廣域和本地域名服務(wù)。

? 補(bǔ)充BIG-IP 智能服務(wù)解決方案，例如廣域應(yīng)用交付、策略執(zhí)行、NAT64和DNS64轉(zhuǎn)換、

健康狀況監(jiān)控以及F5腳本語(yǔ)言、iRules ?等。

? 支持全球DNS 服務(wù)。

? 與DNS iRules集成，實(shí)現(xiàn)細(xì)粒度的DNS 決策和域名服務(wù)交付。

? 支持服務(wù)提供商特定的協(xié)議，例如用于SIP 轉(zhuǎn)換的ENUM 請(qǐng)求。

8

白皮書(shū)

F5智能DNS 擴(kuò)展參考架構(gòu)

BIG-IP LTM和DNS 服務(wù)

在數(shù)據(jù)中心內(nèi)，BIG-IP ? 本地流量管理器（LTM ）可創(chuàng)建從移動(dòng)邊緣到服務(wù)的容錯(cuò)架構(gòu)，確保您的應(yīng)用和內(nèi)容高度可用。除了提供這種高度可用性之外，BIG-IP LTM還支持服務(wù)提供商特定的應(yīng)用，例如用于SIP 交換的負(fù)載均衡ENUM 請(qǐng)求。

用于命名服務(wù)的BIG-IP LTM解決方案包括：

? 與BIG-IP GTM集成，將豐富的命名服務(wù)擴(kuò)展到本地?cái)?shù)據(jù)中心和服務(wù)網(wǎng)絡(luò)中。

? 支持本地DNS 和遞歸DNS 的負(fù)載均衡。

? 支持服務(wù)提供商特定的協(xié)議，例如用于SIP 交換的ENUM 請(qǐng)求。

? 透明的健康監(jiān)控，在將用戶發(fā)送至服務(wù)之前評(píng)價(jià)健康狀況。BIG-IP LTM可將健康信息傳

送回BIG-IP GTM，并將應(yīng)用感知傳輸?shù)絊ND 的邊緣。

? 與DNS iRules集成，實(shí)現(xiàn)細(xì)粒度的DNS 決策和域名服務(wù)交付。

部署全面的服務(wù)交付基礎(chǔ)架構(gòu)

F5的可擴(kuò)展智能DNS 參考架構(gòu)可進(jìn)行無(wú)縫調(diào)整，支持高可用的大容量應(yīng)用，同時(shí)每秒支持?jǐn)?shù)百萬(wàn)條用戶請(qǐng)求。它們可與其他BIG-IP 服務(wù)交付功能特性協(xié)同使用，例如iRules 腳本語(yǔ)言、透明應(yīng)用監(jiān)控、諸如BIG-IP ? 應(yīng)用加速管理器?（AAM ）等模塊以及其他與IP 有關(guān)的服務(wù)，創(chuàng)建全面的服務(wù)交付基礎(chǔ)架構(gòu)：F5服務(wù)交付網(wǎng)絡(luò)。通過(guò)利用所有BIG-IP 設(shè)備通用的智能服務(wù)交付平臺(tái)，可實(shí)現(xiàn)無(wú)縫擴(kuò)展和靈活性。

9

白皮書(shū) F5智能DNS 擴(kuò)展參考架構(gòu)

結(jié)束語(yǔ)

F5可擴(kuò)展智能DNS 參考架構(gòu)是一種端到端的DNS 交付解決方案，它通過(guò)縮短DNS 時(shí)延改進(jìn)

網(wǎng)絡(luò)性能，通過(guò)緩解DNS DDoS攻擊保護(hù)您的網(wǎng)絡(luò)性能和品牌聲譽(yù)，通過(guò)整合DNS 基礎(chǔ)架構(gòu)降

低數(shù)據(jù)中心成本，最重要的是，將客戶定向到性能最佳的站點(diǎn)以實(shí)現(xiàn)最優(yōu)的應(yīng)用和服務(wù)交付。

此外，F(xiàn)5的可擴(kuò)展智能DNS 參考架構(gòu)讓您確信您的應(yīng)用會(huì)響應(yīng)所有DNS 查詢，不論何時(shí)何地，

只要您的用戶想要訪問(wèn)，您的內(nèi)容和應(yīng)用都是可用的。

? 提高其DNS 基礎(chǔ)架構(gòu)的速度、可用性、可擴(kuò)展性和安全性。

避免購(gòu)置任何不必要的額外DNS 服務(wù)器，降低復(fù)雜性和成本。

確保其站點(diǎn)會(huì)響應(yīng)所有DNS 請(qǐng)求。 ? ?

?2013 F5網(wǎng)絡(luò)公司。保留所有權(quán)利。F5、F5 Networks和F5標(biāo)識(shí)是F5網(wǎng)絡(luò)公司在美國(guó)和其它國(guó)家的商標(biāo)。其它F5商標(biāo)在f5.com 上指明。本文提到的其它任何產(chǎn)品、服務(wù)或公司名稱可能是各自所有者的商標(biāo)，F(xiàn)5不作任何明示或暗示的許可或關(guān)聯(lián)。11/13

WP-AVAIL-10821-dns