移動DNS系統(tǒng)擴(kuò)容改造項目技術(shù)建議書.doc

xx移移動動dns系系統(tǒng)擴(kuò)統(tǒng)擴(kuò)容改造容改造項項目目 技技術(shù)術(shù)建建議書議書 北京北京 xx 咨詢有限公司咨詢有限公司 2009 年年 11 月月 -2- 目目 錄錄 一、dns 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹 4 1.dns 業(yè)務(wù)發(fā)展介紹 4 2、國內(nèi)主流 dns 建設(shè)使用情況分析 .5 二、xx 移動 dns 系統(tǒng)現(xiàn)狀分析.8 1、xx 移動 dns 系統(tǒng)現(xiàn)狀 8 2、現(xiàn)有系統(tǒng)運行數(shù)據(jù)測算 .9 3、dns 系統(tǒng)處理能力設(shè)計需求分析 11 三、xx 移動 dns 系統(tǒng)升級改造設(shè)計方案.12 1、dns 系統(tǒng)改造方案 12 2、dns 組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計分析 14 3、dns 系統(tǒng)設(shè)計性能指標(biāo) 15 4、系統(tǒng)可管理性設(shè)計 .16 5、dns 系統(tǒng)可擴(kuò)展功能設(shè)計 16 6、本次 dns 系統(tǒng)規(guī)劃中 anycast 架構(gòu)設(shè)計規(guī)劃18 四、xx 移動 dns 系統(tǒng)升級改造項目實施內(nèi)容及計劃.21 1、項目組織結(jié)構(gòu) .21 2、項目實施配合需求 .21 五、技術(shù)及售后服務(wù)內(nèi)容 .23 1、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容 .23 2、故障級別 .23 3、響應(yīng)時長 .24 4、高級服務(wù) .24 六、培訓(xùn)計劃 .26 附件 1、nominum 公司 dns 系統(tǒng)解決方案.27 1、nominum 公司介紹 27 2、nominum 運營商級專業(yè) dns 系統(tǒng) .27 3、nominum dns 架構(gòu)的優(yōu)點 29 附件 2、vantio 產(chǎn)品介紹 31 1、vantio 簡介 .31 2、vantio 的系統(tǒng)安全性介紹 32 3、vantio 系統(tǒng)可靠性介紹 33 4、vantio 的網(wǎng)絡(luò)延時性能 34 5、系統(tǒng)管理工具 .34 1)網(wǎng)絡(luò)設(shè)備性能監(jiān)測35 2)服務(wù)器性能監(jiān)測35 3)cns（vantio）及 bind 系統(tǒng)性能及可用性監(jiān)測 .36 4)cns（vantio）及 bind 基本配置管理 .36 5)響應(yīng)時間及 dns 系統(tǒng)可用性監(jiān)測（從用戶角度體驗式分析系統(tǒng)可用性） 37 6)監(jiān)控告警37 -3- 7)報表分析38 附件 3、軟件性能測試對比數(shù)據(jù) 41 1、vantio 服務(wù)器性能測試結(jié)果 41 2、vantio 和 bind 的比較數(shù)據(jù) 41 附錄 a vantio 和 bind 的功能比較 .43 附錄 b nominum 公司全球部分用戶列表 .44 -4- 一、一、dns 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹 1.dns1.dns 業(yè)務(wù)發(fā)展介紹業(yè)務(wù)發(fā)展介紹 隨著移動數(shù)據(jù)業(yè)務(wù)的不斷推廣以及 3g 移動互聯(lián)網(wǎng)的推出，移動數(shù)據(jù)應(yīng)用增長 迅猛，xx 移動 wap 用戶普及率已經(jīng)達(dá)到 50%左右，wap 上網(wǎng)用戶的增加以及 wap 應(yīng) 用的不斷豐富帶來了 dns 請求量的大幅增長，dns 系統(tǒng)作為數(shù)據(jù)業(yè)務(wù)應(yīng)用以及互聯(lián) 網(wǎng)應(yīng)用的基礎(chǔ)支撐平臺，在數(shù)據(jù)業(yè)務(wù)和移動互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的支撐方面有著非常重 要的作用。建設(shè)一個穩(wěn)定、安全、高效的 dns 系統(tǒng)已成為 xx 移動業(yè)務(wù)發(fā)展的必然 需要。 今年以來，5.19 以及 7.30 等多次斷網(wǎng)事件都是因為 dns 系統(tǒng)的安全穩(wěn)定性不 夠高而導(dǎo)致了數(shù)據(jù)業(yè)務(wù)以及互聯(lián)網(wǎng)應(yīng)用癱瘓，這些事件的發(fā)生給我們的 dns 系統(tǒng)建 設(shè)提出更高的要求。 同時，傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺和網(wǎng)絡(luò)硬件平臺提供者， 隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上 用戶業(yè)務(wù)用戶業(yè)務(wù)和用戶流量經(jīng)營用戶流量經(jīng)營的重要性。通過提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運營 商可以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。 業(yè)務(wù)上的需求也產(chǎn)生了對運營商的業(yè)務(wù)上的需求也產(chǎn)生了對運營商的 dnsdns 系統(tǒng)提出了新的要求：系統(tǒng)提出了新的要求： 1、dns 是互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng) 的大規(guī)模發(fā)展對現(xiàn)有 dns 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要 求。 2、dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點的角色新的業(yè)務(wù)增值切入點的角色。 dns 是所有 ip 應(yīng)用的核心，互聯(lián)網(wǎng)上面幾乎的所有應(yīng)用都要使用 dns。 對于絕大多數(shù)應(yīng)用，用戶首先會訪問 dns，dns 是業(yè)務(wù)層面的第一“接觸點” 。 dns 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 dns 上發(fā)展新業(yè)務(wù)不需要修改網(wǎng)絡(luò)結(jié)構(gòu)。 在 dns 軟件基礎(chǔ)上為用戶提供增值業(yè)務(wù)開銷最小，具有性價比的優(yōu)勢。 -5- 2 2、國內(nèi)主流、國內(nèi)主流 dnsdns 建設(shè)使用情況分析建設(shè)使用情況分析 (1).目前典型的目前典型的 dns 組網(wǎng)架構(gòu)組網(wǎng)架構(gòu) 沿襲技術(shù)的發(fā)展，目前國內(nèi)電信運營商除個別 dns 壓力較少的省份外，基本上 采用四層交換機(jī)的架構(gòu)組建 dns 系統(tǒng)。每個節(jié)點利用四層交換機(jī)進(jìn)行負(fù)載分擔(dān)到各 臺 dns 服務(wù)器。dns 服務(wù)器大部分采用商用 dns 軟件 cns（vantio）服務(wù)器替代了 免費的 bind 服務(wù)器。 例如： xx 電信 dns 系統(tǒng)的結(jié)構(gòu)圖如下: （）8 cache （）9 cache 39 （） cache 163 授權(quán)服務(wù)器 圖 0-1 四川電信 dns 節(jié)點結(jié)構(gòu) xx 電信 dns 系統(tǒng)部署于成都新華樞紐樓，設(shè)備情況包括：北電 alteon2424 四臺、f5 一臺、sun 490 兩臺、sun x4100 兩臺、sun e2900 一臺、sun t2000 兩臺、dell 2950 一臺、hp dl360 4 四臺。dns 平臺使用軟件包括： bind、cns（vantio）、ans。授權(quán)服務(wù)器與緩存服務(wù)器實現(xiàn)分開設(shè)置。 -6- (2).四層交換機(jī)架構(gòu)目前普遍出現(xiàn)的問題四層交換機(jī)架構(gòu)目前普遍出現(xiàn)的問題 投資壓力，由于四層交換機(jī)的會話數(shù)有限，無法進(jìn)行硬件升級。因此當(dāng) dns 流量上升到一定程度時，經(jīng)常需要更換新的硬件，無法實現(xiàn)有效投資保護(hù)。 性能瓶頸，根據(jù)中國電信的統(tǒng)計，在 80%左右的 dns 節(jié)點癱瘓的重大故障中， 均和四層交換機(jī)性能不足有一定得關(guān)系。 免費的 dns 軟件穩(wěn)定性、安全性、可管理性、業(yè)務(wù)增值應(yīng)用擴(kuò)展性以及分析 性等均無法保障。由此造成了多次大面積的業(yè)務(wù)故障事故。已經(jīng)不能適應(yīng)目前 運營商業(yè)務(wù)發(fā)展的需要。 (3).dns 架構(gòu)的發(fā)展方向架構(gòu)的發(fā)展方向 anycast 及及 cns（vantio）商業(yè)軟件）商業(yè)軟件 目前在國外的電信行業(yè)中，anycast 架構(gòu)已經(jīng)廣泛應(yīng)用于 dns 系統(tǒng)。在很多域 名的根節(jié)點及 dns 遞歸節(jié)點中采用。在國內(nèi)的中國電信集團(tuán)的 cn2 網(wǎng)絡(luò) dns 系 統(tǒng)及部分省市已經(jīng)采用。 圖：中國電信 cn2 dns 體系架構(gòu) 中國電信 cn2 的 dns 系統(tǒng)由四個節(jié)點組成，每個節(jié)點由三臺采用 cns 的服 務(wù)器組成。 anycast 架構(gòu)的優(yōu)點架構(gòu)的優(yōu)點 利用 ecmp 等價路由，實現(xiàn)負(fù)載分擔(dān)（目前的路由器一般最大支持 16 臺服 務(wù)器） 節(jié)省投資，直接在核心路由器上實現(xiàn)，無需另外采購硬件 -7- 擴(kuò)容容易，節(jié)點增加服務(wù)器時，只需要配置好相應(yīng)的路由進(jìn)程即可平滑進(jìn) 行擴(kuò)容 最新擴(kuò)容調(diào)整后 xx 電信的 dns 架構(gòu)如下: dns:a2 d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d dns 服務(wù)器 cns dns 服務(wù)器 cns 張張家家堡堡節(jié)節(jié)點點 xx市市撥撥號號用用戶戶主主用用 xx市市專專線線用用戶戶主主用用 dns:a1 dns:b2 西西華華門門節(jié)節(jié)點點 dns 服務(wù)器 cns dns 服務(wù)器 cns d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d x地地市市專專線線用用戶戶主主用用 x地地市市撥撥號號用用戶戶主主用用 xx電信ip網(wǎng) d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務(wù)務(wù)器器 s su un n x x4 42 20 00 0 b bi in nd d 圖例： 10g 電路 ge電路 fe 電路 鏡像端口電路 sas電纜 四層交換機(jī) 四層交換機(jī) dns:b1 圖：圖：xx 電信電信 dns 系統(tǒng)系統(tǒng) -8- 二、二、xx 移動移動 dns 系統(tǒng)現(xiàn)狀分析系統(tǒng)現(xiàn)狀分析 1 1、xxxx 移動移動 dnsdns 系統(tǒng)現(xiàn)狀系統(tǒng)現(xiàn)狀 xx 移動目前全省共有 2 個 dns 服務(wù)器。兩臺服務(wù)器采用 bind 軟件，同時作為 授權(quán)及遞歸服務(wù)器使用。 隨著移動 3g 網(wǎng)絡(luò)的開通，各種基于無線數(shù)據(jù)網(wǎng)的寬帶業(yè)務(wù)逐步增加，例如 類型的個性化用戶服務(wù)網(wǎng)站和多媒體郵件，導(dǎo)致網(wǎng)絡(luò)上 dns 的請求呈 現(xiàn)指數(shù)型增長趨勢。（見下圖） internet hosts (machine names) intranet hosts windows 2000 services spam and anti-spam rfid enum ipv6 198820031998199319832008 圖：圖：dnsdns 應(yīng)用的增長趨勢圖應(yīng)用的增長趨勢圖 目前目前 xxxx 移動移動 dnsdns 系統(tǒng)存在的主要問題：系統(tǒng)存在的主要問題： 域名解析服務(wù)器負(fù)載高； 無法滿足用戶數(shù)請求數(shù)量遞增的趨勢 bind 服務(wù)器不夠穩(wěn)定，處理能力有限（在 cpu 負(fù)荷 60%時極限處理能力為 6000qps）,按照 xx 移動目前的用戶增長速度預(yù)測，到 2010 年初，dns 系 統(tǒng) -9- bind 服務(wù)器容易受到 dos&ddos 攻擊的影響 現(xiàn)行 dns 管理方式不便； 安全性較低，容易遭受攻擊 難以對域名請求的內(nèi)容進(jìn)行統(tǒng)計和分析 難以處理域名服務(wù)器中的垃圾數(shù)據(jù)； 沒有得到及時的 dns 問題響應(yīng)和處理支持。 2 2、現(xiàn)有系統(tǒng)運行數(shù)據(jù)測算、現(xiàn)有系統(tǒng)運行數(shù)據(jù)測算 利用 dns 管理分析手段對 xx 移動兩套 dns 系統(tǒng)在線統(tǒng)計，發(fā)現(xiàn)目前兩節(jié)點 的 qps 增長速度較快。目前 xx 移動 dns 節(jié)點的高峰 qps 已經(jīng)接近 6000。 在 2008 年 7 月 bind 免費 dns 軟件爆出重大 bug，在升級后，其處理能力有 一定程度的下降。通過統(tǒng)計發(fā)現(xiàn)樞紐節(jié)點的處理能力已經(jīng)接近其峰值，具體的數(shù)據(jù) 如下： 時間時間服務(wù)器服務(wù)器 cpucpu % %qpsqps 2009.7.02dns144.39-49.443340.47-4631.72 2009.7.04dns245.91-52.913520.23-4922.13 2009.7.22dns137.43-41.093637.92-5052.75 2009.7.29dns236.52-42.383889.80-6090.97 2009.8.25dns138.12-43.923494.46-5859.79 2009.8.26dns239.42-43.563569.64-6514.39 2009.8.22dns136.54-42.653481.18-6024.54 2009.8.23dns236.32-41.643666.06-5777.74 表一：近期樞紐節(jié)點數(shù)據(jù)采集表一：近期樞紐節(jié)點數(shù)據(jù)采集 -10- 圖：圖：2009 年年 8 月月 9 日日 21 點點 cns 實時數(shù)據(jù)實時數(shù)據(jù) 考慮到目前免費的 bind 軟件在升級后，處理能力的下降，dns 節(jié)點目前已經(jīng)接 近極限處理峰值。同時免費的 bind 軟件安全性無法保障因素，需要近期盡快對整 個 xx 移動 dns 系統(tǒng)進(jìn)行升級，以提高系統(tǒng)的處理能力、安全措施以及冗余能力 從而保障數(shù)據(jù)業(yè)務(wù)的穩(wěn)定高效以及良好發(fā)展。 -11- 3 3、dnsdns 系統(tǒng)處理能力設(shè)計需求分析系統(tǒng)處理能力設(shè)計需求分析 根據(jù)中國移動 xx 公司數(shù)據(jù)業(yè)務(wù)發(fā)展規(guī)劃，到 2012 年，全省手機(jī)上網(wǎng)用戶將 發(fā)展到 1554 萬戶。 詳見下表： 表表 5 5 2009200920122012 年年 xxxx 移動手機(jī)上網(wǎng)用戶預(yù)測表移動手機(jī)上網(wǎng)用戶預(yù)測表 年份年份/ /月月 20092009 20102010 年年20112011 年年20122012 年年 全省萬戶萬戶萬戶萬戶 目前，在高峰期全省用戶 qps 達(dá)到萬 15000 左右，達(dá)到目前 dns 系統(tǒng)總處理 能力的 55，要保證 dns 系統(tǒng)穩(wěn)定安全運行應(yīng)保持業(yè)務(wù)量在系統(tǒng)最大處理能力的 30%以內(nèi)，按照以上預(yù)測結(jié)果以及規(guī)則，dns 業(yè)務(wù)需求表如下表所示： 表表 2 2 2009200920122012 年年 xxxx 電信電信 dnsdns 業(yè)務(wù)需求表業(yè)務(wù)需求表 年份年份/ /月月 20092009 20122012 年年 8 8 月底月底 手機(jī)上網(wǎng)用戶數(shù) 8401554 全省全省 qps1000019000 -12- 三、三、xx 移動移動 dns 系統(tǒng)升級改造系統(tǒng)升級改造設(shè)計方案設(shè)計方案 1、dns 系統(tǒng)改造方案系統(tǒng)改造方案 通過分析 xx 移動現(xiàn)網(wǎng) dns 結(jié)構(gòu)和流量數(shù)據(jù)，北京融海公司建議的 dns 改造方 案如下： （1 1） 、分離授權(quán)和緩存域名解析功能、分離授權(quán)和緩存域名解析功能 dns 的授權(quán)功能是對本地負(fù)責(zé)的域名實現(xiàn)解析功能，為全球用戶提供服務(wù)；而 緩存功能則是運營商為本網(wǎng)用戶提供的 dns 查詢緩存功能，同一臺 dns 服務(wù)器充當(dāng) 兩個職責(zé)會帶來嚴(yán)重的安全問題。 為了分離授權(quán)和緩存，我們建議：保留原 dns 服務(wù)器為授權(quán) dns 使用。 （2 2）、新建專業(yè)商用軟件的緩存）、新建專業(yè)商用軟件的緩存 dnsdns 節(jié)點，分配新的節(jié)點，分配新的 ipip 地址。地址。 a) 在兩個異地備份節(jié)點各部署一臺 vantio 服務(wù)器，兩個節(jié)點互為冗余備份。 當(dāng)用戶設(shè)置的第一域名服務(wù)器出現(xiàn)故障的情況下，用戶的 dns 請求會由操 作系統(tǒng)自動切換到第二域名服務(wù)器。 b) 負(fù)載分擔(dān)：疆內(nèi)部份用戶使用 a 節(jié)點做為第一域名服務(wù)器，b 節(jié)點作為備 用域名服務(wù)器，另外一部分用戶使用 b 節(jié)點做為第一域名服務(wù)器，a 節(jié)點 作為備用域名服務(wù)器。 c) 第一階段，倆節(jié)點均可以采用常規(guī)的單機(jī)模式,根據(jù)業(yè)務(wù)增長趨勢，可以靈 活的變更為四層交換機(jī)架構(gòu)或 anycast 架構(gòu)。 按照授權(quán)與遞歸分離的原則，xx 移動新建 dns 系統(tǒng)的架構(gòu)如下所示： -13- cmnet國干網(wǎng) 報話 m320-1報話 m320-2 m320 gege ne5ke-1 ne5ke-2 2.5 g 10 g 8508-1 2ge gege 8508-2 sisi 3550 ge 授權(quán)服務(wù)器 dns-1 fe 授權(quán)服務(wù)器 dns-1 fe 遞歸服務(wù)器 vantio dns-2 遞歸服務(wù)器 vantio dns-1 fe fe 圖：圖：xxxx 移動移動 dnsdns 系統(tǒng)架構(gòu)系統(tǒng)架構(gòu) （3 3）、該方案的主要優(yōu)點如下：）、該方案的主要優(yōu)點如下： 在 dns 改造過程中，保證原授權(quán)域名解析功能的正常運行。 新增緩存 dns 節(jié)點的建設(shè)不影響現(xiàn)有系統(tǒng)的運行，整個升級改造過程可 以實現(xiàn)服務(wù)無中斷，保證升級過程中用戶對 dns 的正常使用。 在保證和提升了性能的前提下極大的節(jié)省了硬件投資，并提供了將來通 過硬件升級進(jìn)一步提高系統(tǒng)性能的可行性。 未來可以方便的通過部署 anycast 方式以及增加服務(wù)器進(jìn)行系統(tǒng)擴(kuò)容升 級。無需對網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行大的調(diào)整。 -14- 2、dns 組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計分析組網(wǎng)硬件和網(wǎng)絡(luò)環(huán)境設(shè)計分析 服務(wù)器的配置： 新增 2 臺服務(wù)器，建議使用基于 x86 的 pc 服務(wù)器平臺 建議的服務(wù)器配置如下： cpu 內(nèi)存硬盤操作系統(tǒng) sun x4150xeon(r) x5460（3.16g hz）*2 4x2gb pc2- 5300 667 mhz ecc ddr2 2x 146gb 10k rpm 2.5“ sas drives solaris 10 x86 注：采用 sun 的服務(wù)器主要是考慮到 solaris 10 的操作系統(tǒng)的安全性相比 redhat as5 要高。用戶可根據(jù)此推薦配置選擇性能相當(dāng)?shù)?pc 服務(wù)器，可以安裝 redhat as5 操作系統(tǒng)。vantio 在兩個操作系統(tǒng)的處理能力基本相同。 四層交換機(jī) 按設(shè)計指標(biāo)，不需要配置四層交換機(jī) 四層交換機(jī)存在瓶頸問題，并且增加了故障點。 目前 anycast 技術(shù)已經(jīng)成熟，未來可采用 anycast 方式進(jìn)行擴(kuò)容，節(jié) 省開支，避免四層瓶頸 防火墻 - 可以單獨配置防火墻設(shè)備或者使用前端路由設(shè)備的防火墻功能 不建議對 dns 流量進(jìn)行包檢測。 dns 服務(wù)的端口 53 必須提供向用戶服務(wù) 防火墻不能阻擋針對 dns 的攻擊（緩存毒害攻擊） 通過防火墻設(shè)備可以實現(xiàn) 對服務(wù)器本身的防護(hù) 對訪問 ip 地址的限制 流量清洗設(shè)備（可選） 在數(shù)據(jù)中心可以配置流量檢測和清洗設(shè)備 當(dāng)發(fā)生 ddos 攻擊時，需要管理員手工干預(yù) -15- 3、dns 系統(tǒng)設(shè)計性能指標(biāo)系統(tǒng)設(shè)計性能指標(biāo) 至 2009 年 6 月為止，xx 移動全省移動用戶總數(shù)為 1700 萬；手機(jī)上網(wǎng)用戶數(shù) 為 800 萬；其中絕大部分為基于 1-2g 的 wap 和 cmnet 用戶。 從今年開始，xx 移動在全省范圍內(nèi)向用戶提供基于 td-scdma 的 3g 移動業(yè)務(wù)， 預(yù)計到 2012 年底，xx 省的手機(jī)上網(wǎng)用戶總數(shù)將達(dá)到為 1554 萬。在選定 3g 業(yè)務(wù)滲 透率為 15的前提下，使用 3g 移動上網(wǎng)的用戶總數(shù)為 230 萬。 根據(jù)我們在國內(nèi)現(xiàn)網(wǎng)的經(jīng)驗，在當(dāng)前網(wǎng)絡(luò)情況下，100 萬寬帶用戶對應(yīng)的平均 每秒查詢數(shù)（即 qps）為 10,000-15,000，峰值 qps 為 25,000-30,000。 3g 在國內(nèi)屬于新業(yè)務(wù)，暫時沒有國內(nèi)相關(guān)的 dns 統(tǒng)計數(shù)據(jù)，根據(jù)國外 cdma1x 和 gprs 網(wǎng)絡(luò)上的經(jīng)驗值，預(yù)計每 100 萬 3g 用戶產(chǎn)生的 dns 峰值查詢數(shù)為每秒 10000 次左右。 同時，xx 移動將努力發(fā)展大客戶和集團(tuán)專線上網(wǎng)業(yè)務(wù)，專線用戶產(chǎn)生的 dns 查詢量較高，1 萬專線用戶對應(yīng)的峰值 qps 為 500010000 左右。 根據(jù)以上分析，建議本次 dns 系統(tǒng)升級應(yīng)考慮到 2012 年專線和移動 3g 用戶數(shù) 目增長帶來的 dns 流量增長。具體設(shè)計指標(biāo)如下： 1、預(yù)計到 2012 年 6 月底，xx 移動全省 dns 系統(tǒng)需要支持的峰值每秒查詢數(shù) qps = 30000； dns 系統(tǒng)改造的設(shè)計目標(biāo)應(yīng)該滿足 全省全省 dnsdns 支持的忙時支持的忙時 qpsqps = 30,00030,000 2、在單節(jié)點出現(xiàn)故障的情況下，dns 系統(tǒng)依然可以滿足全省用戶正常網(wǎng)絡(luò)查 詢的需求。即 單節(jié)點可以支持最大單節(jié)點可以支持最大 qpsqps = 30,00030,000 3、為保證系統(tǒng)穩(wěn)定運行，防范 ddos 黑客攻擊，系統(tǒng)設(shè)計時應(yīng)考慮足夠的富裕 度。在全省 dns 系統(tǒng)正常運行正常運行情況下，服務(wù)器 cpu 平均負(fù)載應(yīng)保持在 30%以下。 單臺服務(wù)器的平均單臺服務(wù)器的平均 cpucpu loadload 30%30% 北京融海公司推薦的 nominum 公司的緩存域名服務(wù)器系統(tǒng) vantio 是業(yè)界性能 最高的緩存域名服務(wù)器，完全可以滿足 xx 移動的 dns 系統(tǒng)設(shè)計指標(biāo)。 -16- nominum 建議使用的硬件平臺為基于 x86 架構(gòu)的 pc 服務(wù)器。 參考硬件平臺：dell r805，2x quad core amd opteron 2393se，內(nèi)存 8gb (4x2gb), 800mhz, dual ranked，操作系統(tǒng)為 redhat enterprise linux v5.3。 在上述硬件平臺上運行 vantio v4.0 的現(xiàn)網(wǎng)參考指標(biāo)如下： 在保證服務(wù)質(zhì)量的前提下在保證服務(wù)質(zhì)量的前提下，單臺服務(wù)器支持的最大 qps 值約為 40,000； xx 移動全省部署兩臺服務(wù)器，dns 支持的最大 qps 值為 80,000； 單臺服務(wù)器在系統(tǒng)正常情況下的平均 cpu 負(fù)載 30%。 4、系統(tǒng)可管理性、系統(tǒng)可管理性設(shè)計設(shè)計 本次擴(kuò)容選配的專業(yè)商用 nominum dns 軟件所有產(chǎn)品系統(tǒng)支持統(tǒng)一的管理架 構(gòu)，包括以下類型的管理工具： snmp soap/xml 接口 cc (command channel) 命令行交互式管理工具 eac(engine administration console) - 基于 web 的遠(yuǎn)程管理工具，可 以方便的修改系統(tǒng)配置，管理域文件，同步主從服務(wù)器。 syslog 和統(tǒng)計(statistics)功能 融海咨詢基于 dns 應(yīng)用的特點結(jié)合互聯(lián)網(wǎng)用戶訪問行為分析等需求， 開發(fā)出了一套完整的專業(yè) dns 系統(tǒng)管理分析系統(tǒng)軟件，能夠?qū)?dns 系統(tǒng) 進(jìn)行應(yīng)用級的監(jiān)控管理以及用戶訪問行為分析等功能。后期可根據(jù)需求進(jìn)行 選配。 5、dns 系統(tǒng)可擴(kuò)展功能設(shè)計系統(tǒng)可擴(kuò)展功能設(shè)計 傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺和網(wǎng)絡(luò)硬件平臺提供者，隨著 互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上用戶 -17- 業(yè)務(wù)和用戶流量經(jīng)營的重要性。通過提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運營商可 以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。 dns 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng)的大規(guī)模 發(fā)展對現(xiàn)有 dns 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點的角色?；ヂ?lián)網(wǎng)流量 匯聚就是最近在國際國內(nèi)快速發(fā)展的一種新的業(yè)務(wù)。 nominum 公司作為世界各地頂級運營商 dns 架構(gòu)的軟件提供商，可以在第一時 間了解到運營商的各種增值業(yè)務(wù)需求，并把握到互聯(lián)網(wǎng)上 dns 未來技術(shù)發(fā)展的動態(tài)。 公司最新推出的 vantio 業(yè)務(wù)承載平臺就是在 ip 域名技術(shù)基礎(chǔ)之上，根據(jù)各大 運營商的業(yè)務(wù)要求開發(fā)的的一個通用增值業(yè)務(wù)平臺，vantio 為網(wǎng)絡(luò)運營商提供了 包括錯誤域名轉(zhuǎn)發(fā)在內(nèi)的多項增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所示： 圖一：圖一：vantiovantio 軟件系統(tǒng)結(jié)構(gòu)軟件系統(tǒng)結(jié)構(gòu) uar vantio base server (extensible dns server for value-added dns-based services) extensibleextensibleextensible vantiovantiovantio basebasebase serverserverserver withwithwith pluggablepluggablepluggable dns-baseddns-baseddns-based serviceserviceservice deliverydeliverydelivery modulesmodulesmodules nxr nxdomainnxdomainnxdomain redirectionredirectionredirection (nxr)(nxr)(nxr) mdr useruseruser accessaccessaccess redirectionredirectionredirection (uar)(uar)(uar) application:application:application: walledwalledwalled gardensgardensgardens firstfirstfirst customer:customer:customer: comcastcomcastcomcast maliciousmaliciousmalicious domaindomaindomain redirectionredirectionredirection (mdr)(mdr)(mdr) applications:applications:applications: illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem. firstfirstfirst customer:customer:customer: upcupcupc -18- 如上圖所示，nominum 公司的 vantio 服務(wù)器是在 vantio 緩存域名服務(wù)器技術(shù) 基礎(chǔ)上開發(fā)的可擴(kuò)展 dns 平臺，在 vantio 平臺上用戶可以按業(yè)務(wù)需求定制多種基 于 dns 的增值業(yè)務(wù)模塊，包括 nxr：錯誤域名轉(zhuǎn)發(fā)模塊 mdr：非法和惡意域名轉(zhuǎn)發(fā)模塊 uar：用戶接入控制模塊 sml：垃圾郵件控制模塊 6、本次、本次 dns 系統(tǒng)規(guī)劃中系統(tǒng)規(guī)劃中 anycast 架構(gòu)設(shè)計規(guī)劃架構(gòu)設(shè)計規(guī)劃 anycast方式最初定義于rfc1546，意為處于互聯(lián)網(wǎng)中的一臺主機(jī)向某一 anycast地址發(fā)送ip協(xié)議報文，互聯(lián)網(wǎng)負(fù)責(zé)將其送往一個接收目的地址為anycast地 址的主機(jī)。這里anycast地址定義為用于實現(xiàn)主機(jī)標(biāo)記的ipv4或ipv6地址，可能有 多個互聯(lián)網(wǎng)主機(jī)接收目的地為該地址的ip報文。 利用anycast技術(shù)，提供同一類服務(wù)的所有服務(wù)器可配置同一個anycast ip地 址，路由系統(tǒng)自動將服務(wù)請求送至最近的服務(wù)器。 圖圖： ：anycast 技技術(shù)術(shù)原理原理 anycast 是目前當(dāng)前應(yīng)用較廣的負(fù)載均衡技術(shù)。國外很多 dns 系統(tǒng)都應(yīng)用了 anycast 技術(shù)，它具有以下優(yōu)點： 優(yōu)點：全網(wǎng)負(fù)載均衡較好，用戶按地域的就近訪問，網(wǎng)絡(luò)時延??；強(qiáng)大的冗余 備份功能，域名解析服務(wù)不依賴于少數(shù)幾個節(jié)點的連通性，每個節(jié)點都具有冗 -19- 余備份功能，節(jié)點越多冗余備份功能越強(qiáng)；能有效預(yù)防 ddos 攻擊；有利于 ipv6 網(wǎng)絡(luò)的部署，節(jié)點升級對用戶幾乎沒有影響。 anycast 技術(shù)既可以在整個網(wǎng)絡(luò)間使用，也可以在單節(jié)點內(nèi)采用等價路由實現(xiàn) 負(fù)載分擔(dān)，通過前期測試，其負(fù)載基本維持在 1：1 的比例，負(fù)載差異最大在 10% 以內(nèi)，能夠滿足一般節(jié)點的負(fù)載均衡要求。 一般在省級的 dns 系統(tǒng)中，為保證系統(tǒng)的可維護(hù)性，建議采用節(jié)點內(nèi) anycast 架構(gòu)，其原理如圖所示： 圖：節(jié)點內(nèi)圖：節(jié)點內(nèi) anycast 示意圖示意圖 anycastanycast 架構(gòu)與四層交換機(jī)架構(gòu)優(yōu)缺點對比架構(gòu)與四層交換機(jī)架構(gòu)優(yōu)缺點對比 四層交換機(jī)架構(gòu)的優(yōu)點：四層交換機(jī)架構(gòu)的優(yōu)點： 擴(kuò)容簡單 負(fù)載均衡比例可設(shè)置 四層交換機(jī)架構(gòu)的缺點：四層交換機(jī)架構(gòu)的缺點： 系統(tǒng)瓶頸，四層交換機(jī)癱瘓會導(dǎo)致整個節(jié)點癱瘓（根據(jù)統(tǒng)計，國內(nèi) dns 系統(tǒng)節(jié) 點故障的 80%集中在四層交換機(jī)） 硬件無法升級，需要重復(fù)投資（支持的會話數(shù)無法升級，每次擴(kuò)容需要購買更 強(qiáng)的四層交換機(jī)） anycastanycast 架構(gòu)的優(yōu)點：架構(gòu)的優(yōu)點： 擴(kuò)容簡單,設(shè)計靈活（既可設(shè)計廣域的 anycast 架構(gòu)，也可設(shè)計節(jié)點內(nèi)的 anycast 架構(gòu)） -20- 多臺服務(wù)器自動形成冗余備份，不會造成 dns 節(jié)點整理癱瘓 無需購買硬件，現(xiàn)有的核心路由器即可支持 anycastanycast 架構(gòu)的缺點：架構(gòu)的缺點： 負(fù)載無法按照設(shè)置分配，其服務(wù)器分配流量均在 1：1，要求服務(wù)器處理能力相 當(dāng) -21- 四、四、xx 移動移動 dns 系統(tǒng)升級改造項目實施系統(tǒng)升級改造項目實施內(nèi)容及計劃內(nèi)容及計劃 考慮到系統(tǒng)實施的復(fù)雜性及涉及的范圍，融海咨詢對本項目的具體實現(xiàn)方式、 進(jìn)度安排等實施方案建議如下。 1、項目組織結(jié)構(gòu)、項目組織結(jié)構(gòu) 我們建議的項目組織結(jié)構(gòu)如圖 51 所示。 公司高層領(lǐng)導(dǎo)客戶方技術(shù)負(fù)責(zé)人 公司項目經(jīng)理客戶方項目經(jīng)理 項 目 管 理 系 統(tǒng) 工 程 師 實 施 工 程 師 培 訓(xùn) 人 員 協(xié) 調(diào) 人 員 技 術(shù) 人 員 操 作 人 員 測 試 人 員 融海咨詢客戶方 圖圖 5 51 1 項目組織結(jié)構(gòu)圖項目組織結(jié)構(gòu)圖 用戶和公司各派出高層領(lǐng)導(dǎo)擔(dān)任本項目負(fù)責(zé)人，把握項目的方向、決定項目的 重大事項、協(xié)調(diào)雙方的關(guān)系。 項目經(jīng)理由公司和客戶各派一人擔(dān)任，負(fù)責(zé)項目計劃、組織和分工、控制項目 進(jìn)度、考核項目人員業(yè)績、協(xié)調(diào)項目人員間的關(guān)系。項目管理的具體工作主要由公 司的項目經(jīng)理負(fù)責(zé)，但客戶方也應(yīng)派出項目經(jīng)理（項目負(fù)責(zé)人），參與項目管理。 2、項目實施配合需求、項目實施配合需求 在工程實施過程中，需要 xx 移動配合提供的環(huán)境保障方面的工作有： (1)、提供硬件服務(wù)器，提供網(wǎng)絡(luò)環(huán)境。 -22- 提供安裝 vantio 軟件的硬件服務(wù)器及網(wǎng)絡(luò)安裝環(huán)境（包括 ip 等），以便 順利安裝調(diào)試軟件。 (2)、提供新的系統(tǒng)分配 ip，以便配合 vantio 設(shè)置支持范圍。 -23- 五、技術(shù)及售后服務(wù)內(nèi)容五、技術(shù)及售后服務(wù)內(nèi)容 1、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容、標(biāo)準(zhǔn)技術(shù)支持內(nèi)容 融海咨詢依托融海咨詢依托 nominum 廠商的鼎力支持，依靠自身在廠商的鼎力支持，依靠自身在 dns 系統(tǒng)的建設(shè)、維系統(tǒng)的建設(shè)、維 護(hù)、管理等方面雄厚的技術(shù)力量儲備，不僅提供管理系統(tǒng)的整體技術(shù)服務(wù)，同時可護(hù)、管理等方面雄厚的技術(shù)力量儲備，不僅提供管理系統(tǒng)的整體技術(shù)服務(wù)，同時可 以提供強(qiáng)有力的整體的技術(shù)維護(hù)服務(wù)以提供強(qiáng)有力的整體的技術(shù)維護(hù)服務(wù), ,確保確保 xxxx 電信電信 dnsdns 系統(tǒng)穩(wěn)定安全運行。并在優(yōu)系統(tǒng)穩(wěn)定安全運行。并在優(yōu) 化工程的實施過程中，提供指導(dǎo)意見?；こ痰膶嵤┻^程中，提供指導(dǎo)意見。 技術(shù)支持是指在 appmanager 所支持的平臺上，幫助客戶解決問題，包括操作指 導(dǎo)、問題解決、實施指導(dǎo)、項目實施、培訓(xùn)和二次開發(fā)。服務(wù)獲取方式包括： 服務(wù)內(nèi)容 通知 文檔 電話支持 online 支持 遠(yuǎn)程診斷(需客戶同意) 新版本升級 獲取 beta 版 產(chǎn)品 2、故障級別、故障級別 根據(jù)系統(tǒng)受影響的程度，將故障分為四個級別： l1：system down 系統(tǒng)宕機(jī)（硬件故障），不能工作。 l2：critical 系統(tǒng)仍在工作，但性能嚴(yán)重下降。 l3：work-around 系統(tǒng)可以工作，但不太正常。 l4：minor 系統(tǒng)工作不受影響。 -24- 3、響應(yīng)時長、響應(yīng)時長 服務(wù)內(nèi)容電話服務(wù)email 服務(wù) l1 級故障服務(wù)7*24 服務(wù) 1 小時內(nèi)響應(yīng)并到現(xiàn)場 l2 級故障服務(wù)7*24 服務(wù) 2 小時內(nèi)響應(yīng) l3 級故障服務(wù)5*8 服務(wù) 4-24 小時內(nèi)響應(yīng) 4-24 小時內(nèi)響應(yīng) l4 級故障服務(wù)5*8 服務(wù) 4-24 小時內(nèi)響應(yīng) 4-24 小時內(nèi)響應(yīng) 注：出現(xiàn) l1 級故障時，為保證業(yè)務(wù)正常運行，融海公司為 xx 電信安裝 cns 備 機(jī)（硬件由 xx 電信提供，可以將先用 bind 服務(wù)器臨時安裝 cns 保證業(yè)務(wù)的正常 運行）。 當(dāng)出現(xiàn) l2 級及以下故障時，融海公司將及時配合用戶解決問題。 4、高級服務(wù)、高級服務(wù) 出標(biāo)準(zhǔn)技術(shù)支持內(nèi)容外高級服務(wù)包括：出標(biāo)準(zhǔn)技術(shù)支持內(nèi)容外高級服務(wù)包括： 現(xiàn)場服務(wù) 項目實施 培訓(xùn) 實施指導(dǎo) 高級服務(wù)響應(yīng)時長：高級服務(wù)響應(yīng)時長： 服務(wù)內(nèi)容服務(wù)內(nèi)容高級服務(wù)高級服務(wù) 知識庫 故障服務(wù) online 用戶論壇 -25- 通知 文檔 電話支持 online 支持 l1 級故障服務(wù)1 小時內(nèi)響應(yīng) l2 級故障服務(wù)1 小時內(nèi)響應(yīng) l3 級故障服務(wù)1 小時內(nèi)響應(yīng) l4 級故障服務(wù)1 小時內(nèi)響應(yīng) 遠(yuǎn)程診斷(需客戶同意) 聯(lián)系人個數(shù)10 人 hotfixes and inline releases service packs 新版本升級 獲取 beta 版 產(chǎn)品 -26- 六、培訓(xùn)六、培訓(xùn)計劃計劃 我們在項目整體規(guī)劃以及實施中，對用戶相關(guān)項目技術(shù)人員提供全程免費的現(xiàn) 場培訓(xùn)服務(wù)，同時重點在廠家技術(shù)人員進(jìn)行項目實施時為用戶提供全方位的產(chǎn)品現(xiàn) 場培訓(xùn)以及產(chǎn)品技術(shù)答疑等服務(wù)，保證使用戶相關(guān)技術(shù)管理人員熟練掌握產(chǎn)品技術(shù) 及處理產(chǎn)品常見問題。 在產(chǎn)品使用過程中，如遇產(chǎn)品升級，融海咨詢技術(shù)人員協(xié)同廠家技術(shù)人員對用 戶進(jìn)行免費的產(chǎn)品現(xiàn)場升級培訓(xùn)。 培訓(xùn)方式：培訓(xùn)方式：1、現(xiàn)場隨工培訓(xùn)：廠家和融海咨詢技術(shù)人員在系統(tǒng)安裝調(diào)測的同步， 對用戶相關(guān)的技術(shù)維護(hù)負(fù)責(zé)人員進(jìn)行現(xiàn)場培訓(xùn)指導(dǎo)，保證用戶能夠熟練掌握軟件的 安裝、配置和初級故障分析。 2、集中講座培訓(xùn)：由用戶提供場地。融海咨詢邀請廠家資深技術(shù)經(jīng)理 將為用戶做半天到一天的產(chǎn)品集中講座培訓(xùn)，人數(shù)不限，主要就產(chǎn)品的使用特性、 配置管理、常見問題處理等用戶關(guān)注的問題進(jìn)行講解，同時提供重點問題答疑服務(wù)。 培訓(xùn)對象：培訓(xùn)對象：操作配置 dns 系統(tǒng)的技術(shù)人員、dns 系統(tǒng)相關(guān)人員以及對 vantio 產(chǎn)品感興趣的人員 在系統(tǒng)在試運行后，融海咨詢提供一天的使用培訓(xùn)課程。 培訓(xùn)內(nèi)容：培訓(xùn)內(nèi)容： vantio安裝 vantio設(shè)置 vantio實時狀態(tài)讀取 日常維護(hù) -27- 附件附件 1、nominum 公司公司 dns 系統(tǒng)解決方案系統(tǒng)解決方案 1 1、nominumnominum 公司介紹公司介紹 nominum 公司 1999 年在美國加里佛里亞州硅谷成立，公司技術(shù)總裁保羅博士 是 internet 網(wǎng) dns 的系統(tǒng)設(shè)計者和 bind 軟件的開發(fā)者。公司成立初期受 isc（互 聯(lián)網(wǎng)協(xié)會組織）委托，編寫了新一代 bind 9 域名解析軟件，并為 bind 9 提供開 源代碼和技術(shù)支持。nominum 公司同時還參與并制定了與 dns 相關(guān)的所有 ietf 標(biāo) 準(zhǔn)。 由于互聯(lián)網(wǎng)的高速發(fā)展，運營商需要性能更高，穩(wěn)定性更高，安全性更高的域 名解析系統(tǒng)來保障業(yè)務(wù)的正常運行，目前市場上所有商用 dns 系統(tǒng)都是基于 bind 9 二次開發(fā)的改良版本，而 bind9 的軟件設(shè)計已經(jīng)不能滿足這些新的要求。 基于市場需求，nominum 公司在 2001 年開始為運營商開發(fā)了新一代 dns 域名 解析系統(tǒng)，產(chǎn)品采用全新的軟件架構(gòu)，完全重新編寫代碼，采用了包括 vdb 在內(nèi)的 多種專利技術(shù)。目前公司的緩存域名服務(wù)器產(chǎn)品 vantio 在全球 80 多家運營商現(xiàn)網(wǎng) 運行，國內(nèi)中國網(wǎng)通，中國電信的 10 余家省級運營商也采用了我公司的 dns 解決 方案。 2 2、nominumnominum 運營商級專業(yè)運營商級專業(yè) dnsdns 系統(tǒng)系統(tǒng) nominum 的 dns 系統(tǒng)包括 vantio（caching name server）、 ans（authoritative name server）兩個獨立系統(tǒng)。vantio 完成緩存（cache）功 能，ans 完成授權(quán)（authority）功能，把緩存和授權(quán)功能分開是一個很重要的設(shè) 計方向。 互聯(lián)網(wǎng)上的域名服務(wù)器有兩種不同的角色： 一方面，有些 dns 服務(wù)器是其存貯的域名的授權(quán)者，這些授權(quán)域名服務(wù)器保存 著其所負(fù)責(zé)的域名數(shù)據(jù)。我們熟悉的授權(quán)域名服務(wù)器中有根域名服務(wù)器“.”、頂 級域名服務(wù)器如“com”、“cn”，還有二級域名服務(wù)器如“”等等。它 們的職責(zé)是“publish data”。例如， 的授權(quán)域名服務(wù)器包含了 以及 -28- ，， 等域名的 ns，a，mx，ptr 記錄。 另一方面，互聯(lián)網(wǎng)用戶并不直接和授權(quán)域名服務(wù)器打交道，網(wǎng)絡(luò)運營商的緩存 服務(wù)器充當(dāng)了本地用戶的代理，用戶通過這些代理域名服務(wù)器查詢域名并得到結(jié)果。 這些代理域名服務(wù)器與各級授權(quán)域名服務(wù)器聯(lián)系，如果需要的話，通過對授權(quán)域名 服務(wù)器的遞歸查詢得到需要解析的域名信息，并且把信息在本地緩存以備將來的需 要。緩存域名服務(wù)器的職責(zé)是“收集數(shù)據(jù)”。它們在緩存里保存本地客戶近期查詢 的所有域名信息，這可以顯著地加快客戶域名查詢的響應(yīng)速度，為客戶提供更優(yōu)質(zhì) 的服務(wù)。 目前網(wǎng)絡(luò)上，基于 bind 的 dns 服務(wù)器同時充當(dāng)授權(quán)域名服務(wù)器和緩存域名服 務(wù)器是最常見的。出于系統(tǒng)性能、可靠性和安全性等方面的綜合考慮，每臺域名服 務(wù)器應(yīng)該只完成單一功能。 首先，授權(quán)權(quán)域名服務(wù)器的主要職責(zé)是“publish data”，需要管理很大的區(qū) 域（zone）和很多的區(qū)域；而緩存域名服務(wù)器的職責(zé)是“collect data”。不同的 職責(zé)決定了這兩者應(yīng)該有不同的處理算法。授權(quán)域名服務(wù)器需要處理多個表單的數(shù) 據(jù)并要求在單個表單更新數(shù)據(jù)的同時不影響到其它表單的查詢；緩存域名服務(wù)器則 需要實時快速的處理大量的數(shù)據(jù)更新并提供更高效的查詢算法。所以，在實際網(wǎng)絡(luò) 設(shè)計中應(yīng)當(dāng)把兩者分開，采用不同的算法進(jìn)行處理，從而提高授權(quán)域名服務(wù)器的域 名解析和緩存域名服務(wù)器的用戶響應(yīng)性能。（在 bind 中，授權(quán)功能和緩存功能只 是一個設(shè)置上的區(qū)別而已。） 注：詳細(xì)介紹見附件注：詳細(xì)介紹見附件ansans 技術(shù)白皮書，技術(shù)白皮書，vantiovantio 技術(shù)白皮書技術(shù)白皮書 其次，一臺 dns 服務(wù)器充當(dāng)兩個職責(zé)會帶來嚴(yán)重的安全問題。internic 要求 所有的授權(quán)域名服務(wù)器開放訪問權(quán)限，因為互聯(lián)網(wǎng)上的緩存域名服務(wù)器需要通過查 詢授權(quán)域名服務(wù)器以獲得對應(yīng)域名的解析。另一方面，運營商的緩存域名服務(wù)器應(yīng) 當(dāng)只對本網(wǎng)用戶開放訪問權(quán)限，以有效防止來自外網(wǎng)的 ddos 攻擊。基于 bind 的域 名服務(wù)器將兩個功能捆綁在一起的實現(xiàn)方法，不但增加了服務(wù)器的負(fù)載，也降低了 服務(wù)器的安全級別。 -29- 基于以上的原因，在 nominum 的 dns 系統(tǒng)設(shè)計中，授權(quán)功能和緩存功能分別由 ans 和 vantio 完成。 緩存域名服務(wù)器 vantio 完成以下功能： 處理來自客戶的 dns 請求 搜索本地緩存，如果沒有查詢結(jié)果，從根授權(quán)服務(wù)器開始遞歸查詢，最終從 對應(yīng)的授權(quán)服務(wù)器獲取域名數(shù)據(jù)并返回給客戶 緩存里域名的存儲時間由 ttl 值決定，ttl 過期后從緩存里清除數(shù)據(jù) 授權(quán)域名服務(wù)器 ans 完成以下功能： 拒絕所有遞歸查詢 域名數(shù)據(jù)在本地保存，服務(wù)器只負(fù)責(zé)本級和下級對應(yīng)域名的解析 由本地管理員修改配置本地域名 3 3、nominumnominum dnsdns 架構(gòu)的優(yōu)點架構(gòu)的優(yōu)點 穩(wěn)定性 產(chǎn)品成熟可靠，在世界各地數(shù)十家電信運營商平臺上廣泛采用，從來未發(fā)生 任何事故。 24x7 的專業(yè)技術(shù)支持和產(chǎn)品升級，降低了技術(shù)和運營風(fēng)險 高效可靠的內(nèi)存管理技術(shù)，有效的提高了內(nèi)存使用效率以及緩存命中率，系 統(tǒng)長期穩(wěn)定運行，不需要網(wǎng)管干預(yù)。 高性能 在同類硬件平臺和運營商現(xiàn)網(wǎng)上，系統(tǒng)的 qps（每秒查詢數(shù)）比 bind9 增加 了 600到 1000 用戶域名查詢時延比 bind9 降低超過 1000 cpu 的使用率提高了 60 -30- 安全性 高性能系統(tǒng)，有效的降低了 ddos 攻擊造成用戶服務(wù)中斷的幾率。 可以有效抵御其它針對 dns 的攻擊如“cache poising”和 pharming 攻擊。 方便靈活的管理模式 業(yè)界唯一在軟件層次上支持 snmp 協(xié)議的 dns 系統(tǒng)，可以和其它網(wǎng)管工具結(jié) 合，提供 dns 應(yīng)用層面上的報警/檢測功能。 支持 syslog，支持 netiq，catci 等第三方網(wǎng)管工具。 統(tǒng)一的管理接口，支持基于 web 瀏覽器的 eac 后臺管理系統(tǒng)，可以方便的修 改、查詢配置和統(tǒng)計數(shù)據(jù) 基于命令行的在線命令通道，可是實時修改數(shù)據(jù)而不需要中斷服務(wù)。 提供多種靈活的工具 可以從現(xiàn)有 bind 的配置直接轉(zhuǎn)化生成 vantio 的 配置，方便了系統(tǒng)升級。 -31- 附件附件 2、vantio 產(chǎn)品介紹產(chǎn)品介紹 1、vantio 簡介簡介 傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺和網(wǎng)絡(luò)硬件平臺提供者，隨著 互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務(wù)的廣泛應(yīng)用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上用戶 業(yè)務(wù)和用戶流量經(jīng)營的重要性。通過提供給最終用戶更好的業(yè)務(wù)和服務(wù)，運營商可 以在更多的層次上細(xì)化業(yè)務(wù)種類和吸引新的客戶。業(yè)務(wù)上的需求也產(chǎn)生了對運營商 的 dns 系統(tǒng)提出了新的要求： 1、dns 是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng)的大規(guī)模 發(fā)展對現(xiàn)有 dns 系統(tǒng)的安全性，可擴(kuò)展性，穩(wěn)定性等方面提出了更高的要求。 2、dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務(wù)增值切入點的角色。 dns 是所有 ip 應(yīng)用的核心，互聯(lián)網(wǎng)上面幾乎的所有應(yīng)用都要使用 dns。 對于絕大多數(shù)應(yīng)用，用戶首先會訪問 dns，dns 是業(yè)務(wù)層面的第一“接觸點” 。 dns 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 dns 上發(fā)展新業(yè)務(wù)不需要修改網(wǎng)絡(luò)結(jié)構(gòu)。 在 dns 軟件基礎(chǔ)上為用戶提供增值業(yè)務(wù)開銷最小，具有性價比的優(yōu)勢。 nominum 公司最新推出的 vantio 業(yè)務(wù)承載平臺就是在 ip 域名技術(shù)基礎(chǔ)之上， 根據(jù)各大運營商的業(yè)務(wù)要求開發(fā)的的一個通用增值業(yè)務(wù)平臺，vantio 為網(wǎng)絡(luò)運營 商提供了包括錯誤域名轉(zhuǎn)發(fā)在內(nèi)的多項增值業(yè)務(wù)模塊，它的基本架構(gòu)如下圖一所示： -32- uar vantiovantiovantio 基礎(chǔ)服務(wù)器基礎(chǔ)服務(wù)器基礎(chǔ)服務(wù)器 可擴(kuò)展可擴(kuò)展可擴(kuò)展 vantiovantiovantio 基礎(chǔ)服基礎(chǔ)服基礎(chǔ)服 務(wù)器務(wù)器務(wù)器, , , 支持多種增值業(yè)支持多種增值業(yè)支持多種增值業(yè) 務(wù)服務(wù)插件模塊務(wù)服務(wù)插件模塊務(wù)服務(wù)插件模塊 nxr 錯誤域名轉(zhuǎn)發(fā)模塊錯誤域名轉(zhuǎn)發(fā)模塊錯誤域名轉(zhuǎn)發(fā)模塊 (nxr)(nxr)(nxr) mdr 用戶接入控制模塊用戶接入控制模塊用戶接入控制模塊 (uar)(uar)(uar) 應(yīng)用應(yīng)用應(yīng)用: : : walledwalledwalled gardensgardensgardens 客戶示例客戶示例客戶示例: : : comcastcomcastcomcast 惡意域名控制模塊惡意域名控制模塊惡意域名控制模塊 (mdr)(mdr)(mdr) 應(yīng)用應(yīng)用應(yīng)用: : : illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem. 客戶示例客戶示例客戶示例: : : upcupcupc 如上圖所示，nominum 公司的 vantio 服務(wù)器是在緩存域名服務(wù)器技術(shù)基礎(chǔ)上 開發(fā)的可擴(kuò)展 dns 平臺，在 vantio 平臺上用戶可以按業(yè)務(wù)需