廣電網(wǎng)絡寬帶DNS系統(tǒng)設計建設

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了廣電網(wǎng)絡寬帶DNS系統(tǒng)設計建設范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著三網(wǎng)融合業(yè)務的發(fā)展，廣電網(wǎng)絡越來越需要寬帶業(yè)務來增加用戶的黏性，提高每個用戶的AURP值，因此相關的寬帶系統(tǒng)配套建設就顯得非常重要。dns（域名系統(tǒng)）作為其中最重要的基礎服務之一，系統(tǒng)的好壞直接決定了用戶的寬帶上網(wǎng)體驗，由于廣電網(wǎng)絡在寬帶方面的建設進展落后于其他三家電信運營商，因此在網(wǎng)絡資源與結構等方面也與另外三家電信運營商存在差異。鑒于此，在DNS的建設上也需要進行相應的優(yōu)化，以便為用戶提供更好的寬帶體驗。本文針對廣電網(wǎng)絡的特點，對廣電網(wǎng)絡建設寬帶DNS系統(tǒng)問題進行了探討。

關鍵詞：域名系統(tǒng);寬帶出口;負載均衡;安全

1背景

在三網(wǎng)融合的大背景下，廣電網(wǎng)絡需要大力發(fā)展寬帶業(yè)務，以保證用戶的黏性。目前，國內(nèi)的互聯(lián)網(wǎng)出口及資源基本上集中在其他三大電信運營商手中，廣電網(wǎng)絡通常只能從第三方渠道購買互聯(lián)網(wǎng)出口資源，因此廣電網(wǎng)絡的互聯(lián)網(wǎng)出口通常會由其他不同運營商的互聯(lián)網(wǎng)出口組成，廣電網(wǎng)絡需要根據(jù)情況進行出口優(yōu)化，以保證用戶擁有最優(yōu)的上網(wǎng)體驗，同時盡量避免各不同電信運營商之間互聯(lián)互通的問題。要解決這些問題，除了在路由上進行調(diào)度外，還需要DNS系統(tǒng)的配合優(yōu)化。對用戶而言，在大部分情況下都不用關心所使用網(wǎng)絡的DNS問題，甚至不需要知道使用的是由誰提供的DNS服務，但是對于網(wǎng)絡提供者而言，DNS系統(tǒng)部署的好壞直接關系到了用戶的上網(wǎng)體驗。因此，必須給用戶提供可靠穩(wěn)定的DNS服務來保證其上網(wǎng)體驗。所以，構建一個良好的DNS系統(tǒng)是提升廣電網(wǎng)絡品質(zhì)的基本要求。

2DNS的類型

2.1按DNS服務提供方劃分

（1）電信運營商電信運營商提供的DNS主要是為自己的寬帶用戶提供域名解析服務。（2）ICPICP（互聯(lián)網(wǎng)內(nèi)容提供商）提供的DNS主要是對其內(nèi)容進行分發(fā)的優(yōu)化調(diào)度，使用戶能就近訪問互聯(lián)網(wǎng)資源。

2.2按DNS功能劃分

（1）根域名DNS根域名服務器只提供全球頂級域名的解析服務。（2）權威DNS權威域名服務器是經(jīng)過上一級授權對域名進行解析的服務器，也可以將解析授權給其他的服務器，權威域名服務器只會對自己所擁有的域名進行解析。（3）遞歸DNS遞歸服務器接受用戶對任意域名的查詢，并返回結果給用戶。（4）轉(zhuǎn)發(fā)（緩存）DNS轉(zhuǎn)發(fā)（緩存）服務器是將DNS的請求轉(zhuǎn)發(fā)給上一級DNS（通常是遞歸DNS）進行解析，自身也對解析結果進行緩存。對于廣電網(wǎng)絡和另外三家電信運營商來說，主要需求是給用戶提供域名遞歸服務，但由于DNS訪問量巨大，因此從DNS架構設計上通常會增加一層轉(zhuǎn)發(fā)（緩存）服務，進行專門的優(yōu)化以提高整個DNS系統(tǒng)的可靠性。

3廣電網(wǎng)絡寬帶出口的組成與DNS的關系

廣電網(wǎng)絡由于自身定位及發(fā)展的原因，沒有國際互聯(lián)網(wǎng)出口，且國內(nèi)ICP的資源基本上也都集中在另外三大電信運營商手中，因此廣電網(wǎng)絡要發(fā)展寬帶，必須直接或間接與另外三家電信運營商進行互聯(lián)。廣電網(wǎng)絡解決寬帶出口問題通常采用以下幾種方式。

3.1直接與其他電信運營商互聯(lián)

廣電網(wǎng)絡直接與其他電信運營商合作，完全使用其他電信運營商提供的寬帶出口和IP地址。這種情況下，可直接使用其他電信運營商的DNS，這種方式甚至無需自建DNS服務器，但基于如下一些情況，建議還是自建DNS服務器。（1）及時響應用戶投訴，提高故障處理能力，盡可能少的依賴于其他電信運營商。（2）其他電信運營商的DNS通常對無效域名都會進行強制重定向到該運營商定制的站點進行廣告宣傳，不利于廣電網(wǎng)絡的品牌宣傳。（3）其他電信運營商的DNS通常會對單IP的單位時間訪問量進行限制，若超限會認為是被攻擊，通常會將該IP進行屏蔽，廣電網(wǎng)絡如果采用NAT（網(wǎng)絡地址轉(zhuǎn)換）的方式接入寬帶用戶，則很可能會遇到此問題。

3.2與第三方寬帶出口提供商合作

第三方出口商實際上也需要從其他電信運營商處獲得互聯(lián)網(wǎng)資源，為了降低成本，通常會引入一些主要ICP的CDN（內(nèi)容分發(fā)網(wǎng)絡）資源，這些資源通過路由和DNS進行調(diào)度和優(yōu)化。

3.3廣電網(wǎng)絡自行引入互聯(lián)網(wǎng)

CDN混合電信運營商出口資源廣電網(wǎng)絡引入互聯(lián)網(wǎng)CDN可將用戶流量盡可能地留在網(wǎng)內(nèi)，減少對其他電信運營商純出口的依賴，互聯(lián)網(wǎng)CDN的資源也需要路由與DNS的調(diào)度優(yōu)化。因此，廣電網(wǎng)絡無論采用以上哪種方式發(fā)展寬帶業(yè)務，自建DNS都是一個較好的選擇。

4廣電網(wǎng)絡DNS系統(tǒng)的規(guī)劃與建設

4.1網(wǎng)絡發(fā)展初期多出口的DNS架構

在網(wǎng)絡發(fā)展初期，根據(jù)各出口情況分別配置DNS，即分別為每個第三方出口提供一套DNS服務，如圖1所示。用戶通過防火墻映射，訪問不同ISP（互聯(lián)網(wǎng)服務提供商）出口的DNS，不同的ISP出口所使用的DNS通過防火墻策略調(diào)度走不同的ISP出口；同時，考慮DNS橫向擴展提高并發(fā)能力，使用負載均衡設備進行調(diào)度。此方案在用戶發(fā)展到一定規(guī)模后，會存在如下一些問題。（1）使用不同ISP出口的用戶需要配置不同的DNS地址，如果出口數(shù)多，則容易對一線維護人員造成困擾。（2）防火墻容易成為整個網(wǎng)絡的瓶頸，因為DNS服務使用的是無連接狀態(tài)的UDP，防火墻的Session數(shù)容易被占滿，特別是在針對DNS的DDoS攻擊時，如果防火墻Session被占滿，則所有DNS將無法再提供服務。（3）負載均衡設備也有可能成為整個DNS系統(tǒng)網(wǎng)絡的瓶頸，當遭受DDoS攻擊的時候，也將導致所有的DNS無法提供服務。

4.2緩存+遞歸的二級架構

在網(wǎng)絡發(fā)展到一定規(guī)模后，隨著流量的增加與出口的增多，可考慮將DNS分為二級架構，部署緩存服務器和遞歸服務器，在緩存服務器上采用視圖的方式將不同用戶的DNS請求轉(zhuǎn)發(fā)到對應的遞歸DNS服務器上。如此，所有的廣電用戶都可以設置同樣的DNS地址，即便用戶更換ISP出口也無需變更DNS的配置。同時，對于營維人員來說，由于所有寬帶出口使用的DNS的IP地址都是相同的，因此也能避免營維人員將DNS與寬帶出口的對應關系弄混。當用戶都將DNS地址設置為緩存服務器地址后，緩存DNS系統(tǒng)將會承載很高壓力，因此需要考慮使用負載均衡的方式來調(diào)度多臺緩存DNS，但傳統(tǒng)的負載均衡設備也容易成為瓶頸。考慮DNS服務的特點，DNS采用的是UDP協(xié)議，同時DNS服務不需要進行Session級別的保持，因此可以使用OSPF（開放路徑最短優(yōu)先）協(xié)議來進行負載均衡的調(diào)度，也就是網(wǎng)絡設備和緩存DNS服務器組之間通過OSPF協(xié)議進行路由調(diào)度，通過網(wǎng)絡的通斷來進行服務調(diào)度。由于OSPF只能進行網(wǎng)絡層的健康檢測，因此在DNS服務器上需要將DNS服務與OSPF服務進行關聯(lián)，一旦DNS服務關閉，則也需要將OSPF服務進行關閉。如此，網(wǎng)絡設備檢測到這臺DNS服務器的OSPF路由不通，就不會將流量往這臺DNS服務器牽引，從而達到故障切換和負載均衡的目的。帶緩存的多出口DNS網(wǎng)絡架構圖如圖2所示。相比圖1所示方案，圖2所示方案增加了緩存DNS，用戶不再直接訪問各ISP出口的遞歸DNS，而是訪問緩存DNS服務器，緩存服務器再根據(jù)DNS視圖規(guī)則訪問不同的遞歸服務器，這樣可以極大程度降低遞歸服務器的DNS解析請求量，因此遞歸服務器在設計上可以使用圖1的架構，通過防火墻和負載均衡設備進行DNS服務的映射和調(diào)度，由于負載較低，同時遞歸服務器不直接對用戶提供DNS解析服務，所以遞歸服務器也可以不使用負載均衡設備，緩存服務器直接通過內(nèi)部網(wǎng)絡轉(zhuǎn)發(fā)DNS請求到遞歸服務器。采用這種方案需要注意的是，由于OSPF協(xié)議不像專業(yè)負載均衡設備一樣，可以根據(jù)服務器的負載能力進行不同的負載量轉(zhuǎn)發(fā)，因此緩存DNS服務器組中各服務器的性能最好是一致的，否則最低性能的服務器容易成為瓶頸，會導致部分解析請求無法響應。

5安全

DNS系統(tǒng)是提供給廣電網(wǎng)絡寬帶用戶使用的，通常面對的用戶眾多，屬于半開放的系統(tǒng)，DNS系統(tǒng)主要風險在于系統(tǒng)內(nèi)部風險和系統(tǒng)外部風險。5.1內(nèi)部風險內(nèi)部風險主要是DNS軟件自身的漏洞，對此，系統(tǒng)管理員需要針對DNS軟件的漏洞及時更新補丁進行修復。

5.2外部風險

外部風險主要是來自網(wǎng)絡層面的攻擊，對于DNS系統(tǒng)來說，常見的攻擊是DDoS攻擊，對抗DDoS攻擊可以從以下幾個方面進行考慮。（1）在網(wǎng)絡層面增加ACL（訪問控制列表）控制，只允許廣電網(wǎng)絡內(nèi)部用戶的IP地址訪問DNS系統(tǒng)，嚴格限制對外開放的IP和端口。在采用二級架構的時候，要對用戶隱藏遞歸服務器的地址。緩存服務器只開放DNS服務的端口即可。（2）提高DNS系統(tǒng)的QPS（每秒查詢量），可以選擇設計QPS較高的DNS軟件，提高服務器硬件配置，如提供更強的CPU、更多的內(nèi)存等；同時，使用負載均衡技術進行橫向擴展，提高系統(tǒng)解析能力。（3）在DNS系統(tǒng)之前增加專業(yè)抗DDoS設備，對異常流量先進行清洗過濾。（4）若DNS軟件支持，可增加對每個客戶端QPS的限制配置。（5）考慮到DNS系統(tǒng)的重要性，對于省級廣電網(wǎng)絡來說，還需要考慮DNS的異地容災問題，可以使用網(wǎng)絡層面的Anycast（任播）技術來實現(xiàn)。

6DNS軟件的選擇

DNS軟件的選擇主要需要在功能和性能上考慮，目前使用最廣的DNS軟件是由美國加州大學伯克利分校開發(fā)和維護的開源的BIND（伯克利互聯(lián)網(wǎng)域名）軟件。BIND在功能上可以滿足基本需求，但在并發(fā)能力和抗攻擊上相比商業(yè)DNS系統(tǒng)有所不足，雖可通過橫向擴展方式進行擴容增加性能，但也會相應地增加系統(tǒng)的維護量；同時，在沒有足夠開發(fā)人員的情況下，DNS個性化方面的需求也難以得到滿足，因此在預算充足情況下，可考慮采用商業(yè)DNS軟件建設域名系統(tǒng)。

7結語

DNS是互聯(lián)網(wǎng)最基本、最重要的服務之一，福建廣電網(wǎng)絡作為廣電網(wǎng)絡運營商，近幾年網(wǎng)絡和用戶規(guī)模逐步發(fā)展，DNS系統(tǒng)也同步根據(jù)網(wǎng)絡規(guī)模、寬帶出口組成等情況進行了升級優(yōu)化，逐步建設完成一個穩(wěn)定可靠的DNS系統(tǒng)，保障了寬帶業(yè)務順利發(fā)展。

參考文獻

[1](美)阿爾貝茨.DNS與BIND（第5版）[M].北京:人民郵電出版社,2014.

[2](美)ThomasM.ThomasII.OSPF網(wǎng)絡設計解決方案（第2版）[M].北京:人民郵電出版社,2004.

作者：王緯城 單位：福建廣電網(wǎng)絡集團股份有限公司