DNS服務(wù)器集群解決方案林天山中國(guó)電信福建公司泉州分公司　泉州　　　３６２０００　　　　建設(shè)ＤＮＳ集群的必要性　　　　建　　　　建設(shè)ＤＮＳ集群的必要性泉州電信城域網(wǎng)現(xiàn)有3臺(tái)DN S服務(wù)器，其中DN S

DNS服務(wù)器集群解決方案林天山

中國(guó)電信福建公司泉州分公司　泉州　　　３６２０００　　　　建設(shè)ＤＮＳ集群的必要性　　　　建　　　　建設(shè)ＤＮＳ集群的必要性泉州電信城域網(wǎng)現(xiàn)有3臺(tái)DN S服務(wù)器，其中DN S1和DN S2作為本地授權(quán)解析服務(wù)器，同時(shí)也開(kāi)放了遞歸查詢，DNS3作為Cache服務(wù)器，僅提供遞歸查詢。泉州撥號(hào)PPPoE用戶的DNS服務(wù)設(shè)置由局方指定，主用服務(wù)器使用省DNS服務(wù)器“fj-DNS.fz.fj.cn”，備用服務(wù)器為泉州本地服務(wù)器中的DNS2和DNS3，當(dāng)主用服務(wù)器1 s內(nèi)沒(méi)有響應(yīng)，查詢將轉(zhuǎn)向泉州本地服務(wù)器。網(wǎng)吧等專線用戶大多數(shù)主用服務(wù)器還是DNS1。早期為使3臺(tái)DN S負(fù)載均衡，通過(guò)人工配置進(jìn)行區(qū)域劃分，用戶域名查詢流量被分擔(dān)到3臺(tái)DN S上。由于歷史原因，DN S1的知名度遠(yuǎn)高于其他幾臺(tái)，因此導(dǎo)致DNS1的CPU利用率持續(xù)上升，因此將其上的晉江和石獅的撥號(hào)用戶流量轉(zhuǎn)移到DN S2和DN S3，并且更換了D N S2和DN S3的服務(wù)器。由于機(jī)器性能的限制，3臺(tái)服務(wù)器的CPU忙時(shí)利用率均超過(guò)85，2009年春節(jié)前后甚至超過(guò)了95。圖1是2009年春節(jié)期間3臺(tái)服務(wù)器CP U負(fù)載情況，灰色為低于85的部分。從圖1可以看出，雖然3臺(tái)DN S服務(wù)器的CPU負(fù)載已經(jīng)基本均衡，但在業(yè)務(wù)忙時(shí)，仍然難以滿足業(yè)務(wù)需要，需要及時(shí)進(jìn)行擴(kuò)容。對(duì)服務(wù)器的擴(kuò)容可以通過(guò)購(gòu)買更強(qiáng)的服務(wù)器實(shí)現(xiàn)，但隨著業(yè)務(wù)繼續(xù)發(fā)務(wù)器實(shí)現(xiàn)，但隨著業(yè)務(wù)繼續(xù)發(fā)展，無(wú)限制地購(gòu)買更高性能的服務(wù)器造成的浪買更高性能的服務(wù)器造成的浪費(fèi)可想而知。同時(shí)，對(duì)于固定IP地址用戶，我時(shí)，對(duì)于固定IP地址用戶，我們很難像對(duì)撥號(hào)IP地址用戶那樣動(dòng)態(tài)調(diào)整DNS IP地址，即使是撥號(hào)用戶，一旦服務(wù)器故障，由于沒(méi)戶，一旦服務(wù)器故障，由于沒(méi)有熱備份保護(hù)，絕大部分寬帶業(yè)務(wù)將會(huì)中斷。理想的應(yīng)用模式應(yīng)當(dāng)是：理想的應(yīng)用模式應(yīng)當(dāng)是：對(duì)外公布一個(gè)IP地址，內(nèi)部通過(guò)多個(gè)服DNS IP地址，內(nèi)部通過(guò)多個(gè)服務(wù)器建立集群，只需要隨著業(yè)務(wù)發(fā)展增加集群只需要隨著業(yè)務(wù)發(fā)展增加集群內(nèi)服務(wù)器數(shù)量。保留2臺(tái)服務(wù)器作為非集群備份（兼做本地授權(quán)服務(wù)器）。一個(gè)良好的集群系統(tǒng)應(yīng)當(dāng)具有以下特點(diǎn)。⑴可靠性：避免單點(diǎn)故障，不管是網(wǎng)絡(luò)還是服務(wù)器硬件故障均不中斷業(yè)務(wù)。⑵完整性：當(dāng)某一臺(tái)DNS進(jìn)程發(fā)生故障，可以自動(dòng)從集群中退出。⑶可擴(kuò)展性：可以通過(guò)逐步增加服務(wù)器來(lái)滿足業(yè)務(wù)發(fā)展的需要，避免一次購(gòu)買大容量設(shè)備造成的巨大成本壓力。目前福建電信集中DNS服務(wù)器即采用了集群方式，各地市均將主用DNS指向省DNS，本地DNS作為備用。從全省的角度看，需要建立兩個(gè)異地DNS集群才能確保DNS的安全。單集群方式可能帶來(lái)的隱患是：由于各地市DNS性能和安全性不足，當(dāng)省DNS出現(xiàn)故障時(shí)，本地DNS流量將迅速增加以致不堪重負(fù)。因此從確www. ttm . com.cn 83

保本地寬帶業(yè)務(wù)的角度，有必要在泉州建立一個(gè)新的DNS集群系統(tǒng)。

O S P F進(jìn)程，將DN S服務(wù)器模擬成雙接口路由器，將服務(wù)進(jìn)程的監(jiān)聽(tīng)端口設(shè)置在Lo o p b a c k地址上，通過(guò)OS P F 等值路由（Equal Cost Multi-Path，E C M P）實(shí)現(xiàn)流量均衡。當(dāng)網(wǎng)絡(luò)中斷或服務(wù)器硬件故障、操作系統(tǒng)死機(jī)時(shí)，OSPF將快速收斂。當(dāng)服務(wù)器進(jìn)程出現(xiàn)故障時(shí)，可以通過(guò)監(jiān)控進(jìn)程關(guān)閉Loopback接口，利用OSPF LSA迅速切換服務(wù)器。這種方案原理比4層交換機(jī)要簡(jiǎn)單很多，因此可靠性相對(duì)較高。采用這種方式最好是無(wú)狀態(tài)的連接，因?yàn)槿绻腔跔顟B(tài)的連接，很可能導(dǎo)致連接的先后兩個(gè)包發(fā)給集群內(nèi)不同的服務(wù)器。對(duì)于DN S這樣的應(yīng)用，查詢非常簡(jiǎn)單，通過(guò)UDP一問(wèn)一答就可以完成，因而可以采用此方案。如果必須使用狀態(tài)連接，如DN S的區(qū)傳送，則必須確保一個(gè)連接的所有后續(xù)包都發(fā)給同一臺(tái)服務(wù)器。思科路由器可以通過(guò)CEF實(shí)現(xiàn)基于流分發(fā)的需求，Juniper也可以實(shí)現(xiàn)類似的功能。

這個(gè)方案顯然適用于授權(quán)DNS服務(wù)器，也就是沒(méi)有遞歸查詢的情況。如果需要遞歸查詢的時(shí)候可能還存在問(wèn)題。對(duì)一般應(yīng)用來(lái)講，大多數(shù)都是遞歸查詢，如果DN S發(fā)出的遞歸查詢

無(wú)法保證返回結(jié)果到同一臺(tái)服務(wù)器，那么這個(gè)方案就只能應(yīng)用于本地授權(quán)解析服務(wù)器。

可以考慮兩個(gè)解決辦法：一是測(cè)試CE F是否可以保留遞歸查詢的流狀態(tài)；二是通過(guò)參數(shù)指定D N S 遞歸查詢，通過(guò)服務(wù)器的集群內(nèi)部IP地址發(fā)出，這樣由于集群內(nèi)部IP地址的惟一性，就可以確保查詢結(jié)果的正確返回。其他如Telnet、SNMP等通信由于需要確定訪問(wèn)某一臺(tái)服務(wù)器，因此也必須通過(guò)集群內(nèi)部IP地址訪問(wèn)。

　　　　建設(shè)ＤＮＳ集群的方案

２．１　?。磳咏粨Q機(jī)方案

集群解決方案有很多種，一般采用4層交換機(jī)或?qū)ｉT的集群軟件實(shí)現(xiàn)通用系統(tǒng)的集群，目前大多數(shù)省級(jí)DN S 集群系統(tǒng)采用了這個(gè)方案。

如圖2所示，為實(shí)現(xiàn)集群，采用了2臺(tái)4層交換機(jī)。這是業(yè)界普遍采用的方案，主要優(yōu)點(diǎn)是方案成熟，可以實(shí)現(xiàn)靈活的均衡策略。缺點(diǎn)是設(shè)備投資較大，且設(shè)備的可靠性對(duì)系統(tǒng)影響很大。對(duì)于DN S這種應(yīng)用來(lái)說(shuō)，4層交換機(jī)的很多特性實(shí)際并不是很重要，可以考慮更加廉價(jià)、簡(jiǎn)單、可靠的方案。

　　　方案比較

對(duì)比上述兩種方案，4層交換機(jī)方案優(yōu)點(diǎn)是方案成熟，但投資較大，從實(shí)際運(yùn)行情況看，穩(wěn)定性似乎還不盡如人意；OSPF等值路由方案主要優(yōu)點(diǎn)是投資小，原理簡(jiǎn)單可靠，可擴(kuò)展性好，便于實(shí)現(xiàn)無(wú)縫升級(jí)，但缺乏在現(xiàn)網(wǎng)大規(guī)模的應(yīng)用經(jīng)驗(yàn)。

考慮到目前已經(jīng)確定由省公司集中建設(shè)全省DN S服務(wù)器，各地均將首選域名服務(wù)器指向省DN S，各地市D N S服務(wù)器僅作為備用服務(wù)器和授權(quán)服務(wù)器使用。泉州電信本地DN S擴(kuò)容選擇OSPF等值路由方案，這既避免了

２．２?。希樱校频戎德酚煞桨?/p>

考慮到成本因素，筆者建議采用OSPF等值路由實(shí)現(xiàn)DNS集群的解決方案，組網(wǎng)架構(gòu)如圖3所示。

該方案基本思路是，在服務(wù)器上設(shè)置Loopback地址為服務(wù)器對(duì)外公開(kāi)地址，物理網(wǎng)卡IP地址設(shè)置成集群內(nèi)部IP地址，使用開(kāi)源軟件Zebra來(lái)啟用

84 Tele co m munica Tions Technology / 2010·1

www. ttm . com.cn 85

沒(méi)有升級(jí)，主機(jī)OS P F路由軟件沒(méi)有使用原版Ze b r a，而是采用了其Fo r k 版本——Quagga（Version 0.98.6）。方案中Loopback地址在Freebsd中可用Clonable Interface實(shí)現(xiàn)，Linux中可以用Dummy接口實(shí)現(xiàn)。

配置成Stub Area，路由表只有4行，加載OSPF路由進(jìn)程對(duì)PC服務(wù)器的系統(tǒng)性能影響是很小的。

不夠均衡，由于測(cè)試用戶較少，少量用戶如網(wǎng)吧發(fā)出的DN S請(qǐng)求可能遠(yuǎn)大于其他人，但當(dāng)投入現(xiàn)網(wǎng)應(yīng)用時(shí)，因?yàn)橛脩魯?shù)量較大，從統(tǒng)計(jì)意義上看，用戶就可以均衡地分布到各DNS上。

OSPF收斂時(shí)間可能比較長(zhǎng)，由于D N S服務(wù)器只有一個(gè)物理接口，當(dāng)該接口鏈路中斷時(shí)，OSPF路由收斂時(shí)間為30~40 s，而DNS服務(wù)進(jìn)程掛死導(dǎo)致的監(jiān)控程序Shutdown Dummy接口則可以在1 s內(nèi)收斂。解決的辦法有兩個(gè)：一是修改OSPF Hello和Dead Interval，從而降低收斂時(shí)間；二是啟用服務(wù)器另外一個(gè)物理網(wǎng)卡，使鏈路中斷信息能夠迅速發(fā)布出去。

⑵ＤＮＳ服務(wù)器配置

D N S 服務(wù)器配置基本不需要改變，只需打開(kāi)對(duì)兩個(gè)接口的DN S請(qǐng)求監(jiān)控即可：

listen-on {

59.56.221.246; # service address, bound to lo1

66.66.66.82; # unicast address, for service checking

};

⑴ＯＳＰＦ配置

為避免過(guò)多的路由信息進(jìn)入Zebra OSPF服務(wù)器，我們新建了一個(gè)OSPF Area，并配置成Stub Area，由骨干路由器下發(fā)一條缺省路由即可。另外需要注意的是OSPF Router-ID，由于缺省Router-ID是選擇較小的IP地址，如果3臺(tái)測(cè)試服務(wù)器均使用虛擬接口IP地址59.56.221.246作為Router-ID，將可能導(dǎo)致路由振蕩。

主機(jī)OSPF配置如下：router OSPF

OSPF router-id 66.66.66.82 network 59.56.221.246/32 area 0.0.0.5

n e t w o r k 66.66.66.82/29 a r e a 0.0.0.5

area 0.0.0.5 stub!

OSPF正常建立后，可以看到由于

⑶測(cè)試結(jié)果

通過(guò)將現(xiàn)網(wǎng)中的3個(gè)小節(jié)點(diǎn)用戶的D N S服務(wù)器指向59.56.221.246，測(cè)試D N S集群使用情況，功能完全正常，負(fù)載也可以分擔(dān)到3臺(tái)測(cè)試服務(wù)器上。從測(cè)試情況看，Juniper M320路由器采用流方式分發(fā)路由，也就是對(duì)某個(gè)IP 地址，后續(xù)包都會(huì)發(fā)往同一個(gè)DN S服務(wù)器，經(jīng)測(cè)試，TC P連接也可以正常建立。

⑸測(cè)試總結(jié)

通過(guò)測(cè)試表明，采用OSPF ECMP 方式可以有效實(shí)現(xiàn)DN S業(yè)務(wù)集群，同時(shí)由于基于流的轉(zhuǎn)發(fā)方式，未來(lái)基于T C P的連接也可以考慮用這種方式實(shí)現(xiàn)集群。

根據(jù)測(cè)試情況，我們開(kāi)始在現(xiàn)網(wǎng)部署DN S集群系統(tǒng)，集群包括4臺(tái)PC 服務(wù)器，安裝RedHat Linux 5企業(yè)版和

⑷現(xiàn)網(wǎng)應(yīng)用之前需要考慮的問(wèn)題

基于流分發(fā)負(fù)載的方式導(dǎo)致負(fù)載

86 Tele co m munica Tions Technology / 2010·1

Quagga（Version 0.98.6）。

對(duì)外服務(wù)的是虛擬I P 地址，各服務(wù)器網(wǎng)卡的物理I P 地址為11.22.33.245~251。4臺(tái)服務(wù)器部署在東海和普明兩個(gè)核心機(jī)房。從網(wǎng)絡(luò)上看，4臺(tái)服務(wù)器和兩臺(tái)核心路由器在一個(gè)VLAN廣播域內(nèi)，OSPF域內(nèi)兩臺(tái)核心路由器分別作為DR和BD R。各物理IP地址與核心路由器建立OSPF鄰接關(guān)系，由于集群內(nèi)各服務(wù)器到核心路由器均為等值路由，因此可以實(shí)現(xiàn)等值路由轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)DN S的負(fù)載分擔(dān)。4臺(tái)服務(wù)器和相關(guān)的網(wǎng)絡(luò)設(shè)備均采用動(dòng)態(tài)冗余備份方式進(jìn)行保護(hù)，并且物理上分屬兩個(gè)異地機(jī)房，系統(tǒng)可靠性有了質(zhì)的提升。圖4為2008年9月12-20日集群內(nèi)各服務(wù)器DNS請(qǐng)求數(shù)量分布情況。

從圖4可以看到各服務(wù)器間流量實(shí)現(xiàn)了有效的均衡。從CPU負(fù)載看，即使高峰期間每秒8 000次以上的查詢量，各服務(wù)器CPU峰值也在7左右，足以滿足未來(lái)很長(zhǎng)一段時(shí)間的需要。

在日常維護(hù)中，單臺(tái)服務(wù)器故障可以自動(dòng)退出集群，維護(hù)人員可以不必介入，即使出現(xiàn)意外情況沒(méi)有退出集群，也可以很容易地通過(guò)關(guān)閉交換機(jī)端口實(shí)現(xiàn)強(qiáng)制退出。傳統(tǒng)方式則必

須修復(fù)服務(wù)器或?qū)⒐收螪N S服務(wù)器IP 地址轉(zhuǎn)移到別的服務(wù)器上。

系統(tǒng)的監(jiān)控可以通過(guò)城域網(wǎng)網(wǎng)管nslookup方式對(duì)物理IP地址和虛擬IP地址進(jìn)行定時(shí)檢測(cè)。同時(shí)通過(guò)性能采集程序每5 min采集相關(guān)流量、CPU等信息，通過(guò)圖形系統(tǒng)進(jìn)行展示。

采用集群服務(wù)器后，泉州電信對(duì)DNS服務(wù)器進(jìn)行了重新規(guī)劃。原有3臺(tái)服務(wù)器中，DNS3退網(wǎng)，DNS1、DNS2保留作為授權(quán)服務(wù)器，不再提供除本地域名和反向域名解析外的其他解析服務(wù)，所有用戶域名解析請(qǐng)求均由集群DNS完成。

采用集群方式不僅帶來(lái)性能和可靠性的提升，還大大提高了安全性。

⑴集群服務(wù)器只承擔(dān)Cache-Only Server角色，無(wú)需對(duì)泉州電信以外的用戶提供服務(wù)，因此可以在出口路由器上拒絕所有來(lái)自泉州以外的對(duì)集群服務(wù)器的域名訪問(wèn)請(qǐng)求，這大大提高了抗攻擊能力。原有DN S服務(wù)器同時(shí)承擔(dān)遞歸和非遞歸查詢服務(wù)，相關(guān)策略難以實(shí)施。

⑵集群服務(wù)器采用了虛擬IP地址（公開(kāi)）和物理IP地址（內(nèi)部使用）的模式，對(duì)用戶可見(jiàn)的是虛擬I P 地址，實(shí)際遞歸查詢的是物理IP地址，

這可以避免DN S S p o o f i n g攻擊的發(fā)生。對(duì)于⑴所述問(wèn)題，由于所有對(duì)泉州以外的交互均由物理IP地址發(fā)起，因此對(duì)于虛擬IP地址的所有訪問(wèn)均可拒絕。

結(jié)合⑴、⑵情況，現(xiàn)有系統(tǒng)可能的風(fēng)險(xiǎn)只剩下本地用戶攻擊和來(lái)自泉州外部的針對(duì)物理IP地址的源端口為53的UD P包攻擊，總體風(fēng)險(xiǎn)大大降低。

　　　結(jié)束語(yǔ)

目前泉州電信已經(jīng)將所有寬帶用戶的DN S配置規(guī)范到了省DN S和本地集群系統(tǒng)上，經(jīng)過(guò)一年多的運(yùn)行，表明集群系統(tǒng)完全可以達(dá)到電信級(jí)的可靠性。從性能上看，新PC 服務(wù)器性能將比原有DN S所用Su n服務(wù)器有很大提高；從投資看，購(gòu)買PC服務(wù)器比Sun工作站也便宜很多，擴(kuò)展也更容易。由于采用了OS P F等值路由進(jìn)行負(fù)載均衡，還節(jié)省了4層交換機(jī)的投資。在大量節(jié)省建設(shè)資金的情況下，將滿足較長(zhǎng)一段時(shí)間的D N S 查詢需要，有效提高了系統(tǒng)的穩(wěn)定性和安全性。

如對(duì)本文內(nèi)容有任何觀點(diǎn)或評(píng)論，請(qǐng)發(fā)Ｅ－ｍａｉｌ至ｅｄｉｔｏｒ＠ｔｔｍ．ｃｏｍ．ｃｎ。

全球最長(zhǎng)最快的鐵路在中國(guó)通車

武廣鐵路客運(yùn)專線于?。玻埃埃埂∧辍。保病≡隆。玻丁∪照酵ㄜ嚭螅俗疖噥?lái)往于兩地之間的乘客可以節(jié)?。贰。璧穆眯袝r(shí)間。這是迄今為止全球最長(zhǎng)的３５０　ｋｍ／ｈ的高速鐵路，并使用了ＣＴＣＳ　Ｌ３列控系統(tǒng)。諾基亞西門子通信提供的先進(jìn)數(shù)字鐵路通信ＧＳＭ－Ｒ系統(tǒng)為乘客享受快速安全的旅行體驗(yàn)提供了強(qiáng)力保障?！?/p>

武廣線沿線地形復(fù)雜，橋梁隧道多，技術(shù)標(biāo)準(zhǔn)高，施工難度大。諾基亞西門子通信提供了完整的ＧＳＭ－Ｒ解決方案，在不到１年的時(shí)間內(nèi)，順利建成了滿足ＣＴＣＳ?。蹋骋蟮母咚勹F路隧道ＧＳＭ－Ｒ覆蓋系統(tǒng)，確保了隧道內(nèi)外ＧＳＭ－Ｒ端到端的整體網(wǎng)絡(luò)質(zhì)量，有力保障了列控業(yè)務(wù)的平滑、順暢。

惠普幫助企業(yè)優(yōu)化云應(yīng)用成本

惠普近日推出ＨＰ　Ｃｌｏｕｄ?。粒螅螅酰颍宓亩囗?xiàng)重要增強(qiáng)功能，以幫助企業(yè)更好地管控云應(yīng)用中的變動(dòng)成本問(wèn)題。

云計(jì)算憑借其彈性特征吸引了眾多用戶，因?yàn)橛?jì)算資源可以按照需求擴(kuò)展或縮減。企業(yè)若發(fā)現(xiàn)應(yīng)用程序性能下降，可以通過(guò)購(gòu)買更多的云計(jì)算資源解決問(wèn)題，但是企業(yè)這樣做卻不一定能獲得性能的提升，反而可能會(huì)產(chǎn)生不可預(yù)計(jì)的成本。

ＨＰ?。茫欤铮酰洹。粒螅螅酰颍宄杀究刂坪停龋小。牛欤幔螅簦椋恪。裕澹螅衄F(xiàn)已上市。ＨＰ?。茫欤铮酰洹。粒螅螅酰颍逵桑撤N不同的成本控制解決方案組成，并通過(guò)ＨＰ軟件即服務(wù)方式提供給客戶。

www. ttm . com.cn 87