XX公司DNS系統(tǒng)建議方案

XXX公司DNS系統(tǒng)建議方案上海西默通信技術(shù)有限公司2014年2月目錄項(xiàng)目概述 11.1 項(xiàng)目背景 31.2 項(xiàng)目目標(biāo) 41.3 項(xiàng)目設(shè)計原則 32. XXX公司DNS系統(tǒng)建議方案 52.1 拓?fù)浣Y(jié)構(gòu) 52.2 方案設(shè)計詳述及特點(diǎn) 62.3 西默智能DNS特色功能 63. 西默智能DNS功能 73.1 雙機(jī)熱備特色功能 83.2 主輔同步 83.3 高性能解析 93.4 分線路、分區(qū)域智能解析 93.5 域名緩存加速 103.6 斷線檢測 103.7 快速恢復(fù)故障服務(wù)器 103.8 中文域名支持 113.9 域名的DNSSEC防護(hù) 113.10 完善豐富的日志功能 11項(xiàng)目概述隨著大量的IT系統(tǒng)向云平臺的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，…公司將目前直接通過IP地址訪問MBOSS系統(tǒng)的方式改成通過域名訪問。而當(dāng)前的DNS系統(tǒng)無論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問題，西默智能DNS系統(tǒng)，不僅能對本網(wǎng)內(nèi)授權(quán)域名解析，還要同時負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，同時具備權(quán)威DNS服務(wù)器及遞歸DNS服務(wù)器功能。同時系統(tǒng)應(yīng)具備電信級的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會因單臺設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對外提供服務(wù)。項(xiàng)目背景電信目前的內(nèi)網(wǎng)DNS系統(tǒng)于2008年建成，采用的是2臺服務(wù)器分別安裝BIND軟件提供DNS服務(wù)的方式，2臺DNS互為備份，統(tǒng)一接入維護(hù)公司DMZ區(qū)。自建成至今為門戶、OA等少量系統(tǒng)提供DNS服務(wù)，而前臺對大量其他系統(tǒng)的訪問均是采用直接通過IP地址的方式。2013年以來隨著EDC第三機(jī)房、云平臺的建設(shè)，其部門已建立起異地雙活雙數(shù)據(jù)中心。隨著大量的IT系統(tǒng)向云平臺的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實(shí)現(xiàn)應(yīng)用的高可用性，有必要將目前直接通過IP地址訪問MBOSS系統(tǒng)的方式改成通過域名訪問。而當(dāng)前的DNS系統(tǒng)無論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護(hù)方面存在諸多問題，因此，亟需建設(shè)一套全新的DNS系統(tǒng)，以滿足雙活雙數(shù)據(jù)中心環(huán)境下應(yīng)用高可用性的需求。

1.2項(xiàng)目目標(biāo)本方案從貴公司實(shí)際需求出發(fā)，在作為權(quán)威域名服務(wù)器時，保存著其所擁有授權(quán)域的原始域名資源記錄信息，對授權(quán)用戶提供域名解析服務(wù)。同時接受廣大互聯(lián)網(wǎng)用戶的解析請求，通過遞歸查詢功能向各級權(quán)威域名服務(wù)器發(fā)出查詢請求，將獲得的查詢結(jié)果，最后返回給用戶端。通過雙機(jī)熱備功能提供電信級的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會因單臺設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時系統(tǒng)具有容災(zāi)備份機(jī)制，能夠不間斷的對外提供服務(wù)。1.3項(xiàng)目設(shè)計原則安全可靠西默智能DNS支持本地和異地雙機(jī)熱備功能，在正常情況下，本地兩臺設(shè)備使用一個虛擬IP地址為用戶提供服務(wù)，當(dāng)其中一臺出現(xiàn)故障而不致解析服務(wù)中斷；異地兩臺設(shè)備通過專線或VPN功能同樣能實(shí)現(xiàn)異地容災(zāi)功能。西默科技智能DNS同時具備線路檢測功能，周期性的檢測各條線路的運(yùn)行狀況，并根據(jù)檢測結(jié)果進(jìn)行故障的自動切換，如在網(wǎng)通線路出現(xiàn)故障的時候，把網(wǎng)通用戶的訪問量自動切換到電信線路上，從而保障用戶站點(diǎn)7*24不間斷的連通性。安全性西默智能DNS內(nèi)置防火墻功能，對常見的網(wǎng)絡(luò)攻擊和病毒入侵有很好的防御功能，從根本上實(shí)現(xiàn)安全風(fēng)險的隔離，可控.設(shè)備本身能夠?qū)Ξ惓０M(jìn)行過濾，防止錯誤域名以及能夠?qū)NSFlood、UDPFlood等常見DDoS攻擊進(jìn)行過濾，能夠?qū)崿F(xiàn)基于IP地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時阻止非法域名的解析。可擴(kuò)展性西默智能DNS產(chǎn)品充分考慮到客戶的現(xiàn)狀和未來的發(fā)展，在滿足客戶現(xiàn)實(shí)的需求基礎(chǔ)之上，同時兼顧客戶將來業(yè)務(wù)擴(kuò)大和功能擴(kuò)展需求，具有很好的兼容性和可擴(kuò)展性，充分保護(hù)客戶投資?？晒芾硇晕髂悄蹹NS提供友好的基于web的管理方式，簡單易用，方便用戶對設(shè)備的操作和管理，提供SNMP、Syslog、FTP、Telnet、SSH等管理功能及完備的日志查看和導(dǎo)出功能，同時可以查看設(shè)備的實(shí)時運(yùn)行狀況。豐富的日志功能，通過提供系統(tǒng)日志、解析日志和操作日志方便管理員了解設(shè)備的運(yùn)行狀況和用戶登錄情況，為故障排查提供很好的參考和依據(jù)。同時設(shè)備提供服務(wù)器的CPU、內(nèi)存、主要進(jìn)程、磁盤空間等實(shí)時利用率。2XXX公司DNS系統(tǒng)建議方案2.1拓?fù)浣Y(jié)構(gòu)2.2該方案設(shè)計詳述及特點(diǎn)1可靠性高本方案通過在兩地數(shù)據(jù)中心部署兩臺西默DNS設(shè)備，通過專線或者VPN實(shí)現(xiàn)雙機(jī)熱備，實(shí)現(xiàn)兩臺服務(wù)器都能同時工作，原理是通過在DNS里面建立兩組雙機(jī)熱備策略。例如本方案中，通過雙擊熱備功能實(shí)現(xiàn)荷花園數(shù)據(jù)中心的DNS和麓谷數(shù)據(jù)中心的DNS同時工作，實(shí)現(xiàn)了設(shè)備的充分利用，一旦隨便一臺DNS服務(wù)器掛了，另一臺都會起來工作。也能同時保證設(shè)備的穩(wěn)定性。這樣可以兩全其美的解決客戶的問題實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺主機(jī)出現(xiàn)故障或線路故障，DNS熱備組不失效，可提供不間斷的服務(wù)。在為內(nèi)網(wǎng)用戶訪問資源提供域名解析服務(wù)的同時，也為用戶訪問外網(wǎng)或外部用戶的解析請求實(shí)現(xiàn)遞歸和嵌套查詢。故障切換設(shè)備通過雙鏈路接入到網(wǎng)絡(luò)，通過定期的自動檢測機(jī)制，發(fā)現(xiàn)某條鏈路出現(xiàn)故障后實(shí)現(xiàn)自動切換，保證系統(tǒng)業(yè)務(wù)正常運(yùn)行，不影響設(shè)備對外提供解析服務(wù)。風(fēng)險隔離西默智能DNS自帶防火墻功能，能對常見的網(wǎng)絡(luò)攻擊和病毒入侵起到很好的保護(hù)作用，如DDOS攻擊和ARP欺騙，通過關(guān)閉不常用的端口，實(shí)現(xiàn)同風(fēng)險的真正隔離。通過對異常請求包的分析，能實(shí)現(xiàn)拒絕非法的解析請求。能夠?qū)崿F(xiàn)基于IP地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時阻止非法域名的解析。支持平滑升級擴(kuò)容西默智能DNS具備良好的擴(kuò)容能力和平滑升級功能，由于一個公司或者企業(yè)的發(fā)展不斷壯大，業(yè)務(wù)需求不斷增長，相應(yīng)的對DNS性能和功能有新的需求，西默智能DNS在充分考慮到保護(hù)用戶投資的情況下，滿足用戶日后長期發(fā)展需求和靈活的擴(kuò)容型。2.3.西默智能DNS特色功能域名解析西默智能DNS采用旁路模式接入，不影響公司現(xiàn)有的網(wǎng)絡(luò)拓?fù)?。可以?shí)現(xiàn)為內(nèi)網(wǎng)用戶訪問內(nèi)部資源提供域名解析的同時，負(fù)責(zé)向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析和嵌套查詢能力。西默智能DNS系統(tǒng)能根據(jù)來訪問的IP智能的返回一個和用戶在同一運(yùn)營商線路內(nèi)的服務(wù)器IP供其進(jìn)行訪問，即網(wǎng)通用戶訪問網(wǎng)通的服務(wù)器，電信用戶訪問電信的服務(wù)器，避免了走不同運(yùn)營商之間的接口，造成的瓶頸問題。雙機(jī)熱備西默智能DNS通過雙機(jī)熱備功能，實(shí)現(xiàn)兩臺服務(wù)器都能同時工作，一旦一臺DNS服務(wù)器出現(xiàn)故障，另一臺都會起來工作。也能同時保證設(shè)備的穩(wěn)定性。這樣可以實(shí)現(xiàn)異地容災(zāi)，雙機(jī)熱備組中任一臺主機(jī)出現(xiàn)故障或線路故障，DNS熱備組不失效，可提供不間斷的服務(wù)。安全可靠西默智能DNS通過一系列自動安全措施，實(shí)現(xiàn)設(shè)備自身的安全防護(hù)，通過自帶防火墻功能，只對用戶開放常用的業(yè)務(wù)端口，對常見的網(wǎng)絡(luò)攻擊有很好的防護(hù)功能。設(shè)備支持電源的熱插拔，主要部件采用冗余配置，如采用雙電源可以避免單點(diǎn)故障導(dǎo)致的業(yè)務(wù)中斷。4）線路智能切換 出口假如有聯(lián)通、電信。一旦某條斷開，出故障的話，必定導(dǎo)致內(nèi)部用戶會有一部分無法上網(wǎng)。采用西默智能DNS，在做一個策略后，設(shè)備會實(shí)時監(jiān)控每條外線的情況，一旦發(fā)現(xiàn)外線出問題，也就是電信或者聯(lián)通的線路出問題，設(shè)備就回自動切換線路，讓內(nèi)部用戶全部訪問那條正常的線路，保證網(wǎng)絡(luò)的不間斷，同時會通過郵件通告管理員，外線出問題了。5）豐富日志功能系統(tǒng)提供了豐富的日志和系統(tǒng)運(yùn)行狀態(tài)實(shí)時監(jiān)控功能，使您對DNS服務(wù)器的運(yùn)行情況和用戶的訪問行為實(shí)現(xiàn)了解，并對網(wǎng)站的訪問量進(jìn)行TopN排名，以便您對網(wǎng)站內(nèi)容和服務(wù)器進(jìn)行合理的部署。3西默智能DNS其他功能概要西默智能DNS是國內(nèi)唯一一家具有國家著作專權(quán)、完全自主研發(fā)的產(chǎn)品！西默智能DNS產(chǎn)品提供線路管理，域名管理，域名查詢統(tǒng)計，監(jiān)控及報警，無限ISP區(qū)域設(shè)置，多用戶管理，操作日志等功能，系統(tǒng)軟件采用嵌入式操作系統(tǒng)，并自帶完備的防火墻功能，用戶界面全部采用全中文WEB界面操作，人性化設(shè)計，簡單易用。西默智能DNS在安全性方面：支持服務(wù)器、線路的檢測和告警，可及時發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，實(shí)現(xiàn)故障的自動切換與轉(zhuǎn)移！支持主、輔及雙擊熱備功能，防止因單點(diǎn)故障造成網(wǎng)絡(luò)癱瘓！完全自主研發(fā)，具有國家版權(quán)局自主知識產(chǎn)權(quán)證書和權(quán)威機(jī)構(gòu)檢測報告！西默智能DNS的性能方面：可實(shí)現(xiàn)普通DNS服務(wù)器的所有功能！支持分線路、分區(qū)域智能解析!支持記錄容錯和錯誤自動檢測功能！、支持虛擬服務(wù)器功能！支持純IPV6環(huán)境及IPV4/IPV6混合環(huán)境，滿足未來發(fā)展需求！西默智能DNS在管理方面：全中文GUI方式管理，簡單又好用！支持域名自助申請功能、管理委派、用戶名和域名綁定等功能，為管理員減少管理負(fù)擔(dān)！支持完善的日志、告警和訪問報表統(tǒng)計，以便及時發(fā)現(xiàn)和處理網(wǎng)絡(luò)故障！支持地址庫自動更新，保障解析的準(zhǔn)確性，減少IP庫更新的麻煩！雙機(jī)熱備特色功能傳統(tǒng)的DNS做雙機(jī)熱備的時候，都是主輔形式運(yùn)行，一臺主DNS運(yùn)行輔DNS就備用，不會工作，這樣在正常工作的時候，白白浪費(fèi)一臺服務(wù)器。而西默智能DNS可以做到，當(dāng)做雙機(jī)熱備的時候，兩臺服務(wù)器都能同時工作，原理是通過在DNS里面建立兩組雙機(jī)熱備策略。例如一組策略，A充當(dāng)主DNS，B充當(dāng)輔DNS，此時A在工作，B備用。第二組策略，A當(dāng)輔DNS，B充當(dāng)主DNS，此時B在工作。兩組策略同時運(yùn)行，能夠保證兩臺DNS都同時工作，保證設(shè)備的充分利用，一旦隨便一臺DNS服務(wù)器掛了，另一臺都會起來工作。也能同時保證設(shè)備的穩(wěn)定性。這樣可以兩全其美的解決客戶的問題。主輔同步西默DNS主輔同步是自主完成的，主DNS配置好以后，輔DNS每隔5分鐘就是同步一次主DNS的數(shù)據(jù)，保證數(shù)據(jù)一致性。高性能解析西默智能DNS具有先進(jìn)的處理機(jī)制，通過哈希計算，為每條記錄建立索引，全部載入內(nèi)存。有效避免了傳統(tǒng)DNS數(shù)據(jù)庫檢索及存儲介質(zhì)的速度瓶頸，性能提升10倍以上。分線路、分區(qū)域智能解析普通的DNS只是簡單的將域名轉(zhuǎn)換成IP地址，或者執(zhí)行相反的過程，西默智能DNS系統(tǒng)能根據(jù)來訪問的IP智能的返回一個和用戶在同一運(yùn)營商線路內(nèi)的服務(wù)器IP供其進(jìn)行訪問，即網(wǎng)通用戶訪問網(wǎng)通的服務(wù)器，電信用戶訪問電信的服務(wù)器，同樣教育網(wǎng)用戶訪問教育網(wǎng)的服務(wù)器，避免了走不同運(yùn)營商之間的接口，造成的瓶頸問題。同時，也可實(shí)現(xiàn)按城市、區(qū)域來進(jìn)行區(qū)域用戶的自動識別，從而使各地域的用戶只用一個域名就能快速的訪問到距其最近的您服務(wù)器，減小訪問路徑，提高訪問速度。域名緩存加速域名緩存加速，對解析過的域名進(jìn)行緩存，當(dāng)再次對該域名解析時就直接調(diào)用，縮短用戶解析等待時間。斷線檢測當(dāng)多出口環(huán)境下，某條線路發(fā)生故障，導(dǎo)致通過這條線路出去的用戶無法訪問外網(wǎng)，給工作帶來極大的影響。西默智能DNS能夠自主檢測到出口那條線路斷開，并且啟動策略把內(nèi)部用戶全部轉(zhuǎn)移到可以正常上網(wǎng)的線路上，讓用戶正常上網(wǎng)工作，保護(hù)網(wǎng)絡(luò)的穩(wěn)定性?？焖倩謴?fù)故障服務(wù)器傳統(tǒng)的DNS服務(wù)器都是基于Windows或Linux操作系統(tǒng)下的，服務(wù)器出現(xiàn)故障時，排查速度慢，造成更大的損失。西默智能DNS服務(wù)器集成一鍵恢復(fù)功能，可以在服務(wù)器出現(xiàn)故障后立即，恢復(fù)至正常狀態(tài)，減少損失。中文域名