DNS系统建设方案(初稿-西默响应文件)
DNS 系统建设方案(初稿) 注:以下内容为通过跟用户进一步沟通之后,了解整理出的需求和技术规范,请认真查看各条内容,并进行解答,是否能够满足。如果不能满足,请提出来,有更好的建议都可以提出来,我们好
DNS 系统建设方案(初稿) 注:以下内容为通过跟用户进一步沟通之后,了解整理出的需求和技术规范,请认真查看各条内容,并进行解答,是否能够满足。如果不能满足,请提出来,有更好的建议都可以提出来,我们好及时跟用户沟通,进行修改。
电信目前的内网DNS 系统于2008年建成,采用的是2台服务器分别安装BIND 软件提供DNS 服务的方式,2台DNS 互为备份,统一接入维护公司DMZ 区。自建成至今为门户、OA 等少量系统提供DNS 服务,而前台对大量其他系统的访问均是采用直接通过IP 地址的方式。
2013年以来随着EDC 第三机房、云平台的建设,其部门已建立起异地双活双数据中心。随着大量的IT 系统向云平台的迁移,为了保障各系统的稳定、可靠、迁移,为了实现应用的高可用性,有必要将目前直接通过IP 地址访问MBOSS 系统的方式改成通过域名访问。而当前的DNS 系统无论从组网结构、容量处理能力以及安全防护方面存在诸多问题,因此,亟需建设一套全新的DNS 系统,以满足双活双数据中心环境下应用高可用性的需求。
1. 域名系统概述
1.1. 域名服务体系概述
域名服务是一种互联网应用层资源的寻址服务,是其他互联网络应用服务的基础。常见的互联网络应用服务有Web 服务,电子邮件服务,FTP 服务等,它们都是以域名服务为基础,来实现系统内部资源的寻址和定位的。
域名解析服务是以树型拓扑结构来定义的,由不同类别的域名解析服务提供机构负责不同级域名的解析服务。
整个域名服务系统从职能上看,包括两大类服务:即权威域名服务(Authoritative DNS)和递归域名服务(Recursive DNS):
(1)权威域名服务是指拥有某个区的域名信息,并为该区提供域名解析的服务。权威域名服务通常面向的不是终端用户。
提供权威域名服务的设备即权威域名服务器,是指对于某个或者多个域具有授权的服务器,权威服务器保存着其所拥有授权的域的原始域名资源记录信息。
,简单来说,权威域名服务器中拥有域名和对应的IP 地址之间的原始数据并在接到请求后对外发布。
(2)递归域名服务则相反,它不针对某个区提供域名解析服务,而是直接面向终端用户,为终端用户提供递归的域名解析服务。
提供递归域名服务的设备即递归域名服务器,主要在广大的互联网用户侧(本地),它负责接受用户端(解析器)发送的请求,然后通过向各级权威域名服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。递归域名服务器可以将权威域名服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率。
电信企业内网DNS 系统作为向电信企业内网用户提供内网业务访问能力的基础设备,不仅需要对本网内授权域名解析,还要同时负责向用户提供互联网授权域名的递归解析能力,因此其DNS 系统需要同时具备权威DNS 服务器及递归DNS 服务器功能。
西默智能DNS 为统一域名解析方案,可同时支持两种解析方式,且有较多此方案的大型网络部署案例。
2. 设计要求
1. 系统具备电信级的高可用性,系统设备及链路均具有一定的冗余度,不会因单台设备或单条链路故障而引起服务质量下降,同时系统具有容灾备份机制,能够不间断的对外提供服务。
DNS 的可用性是DNS 系统的最重要的参数,西默智能DNS 设备支持双机热备部署,且通过专线或VPN 环境,可实现异地容灾,双机热备组中任一台主机出现故障或线路故障,DNS 热备组不失效,可提供不间断的服务。
2. 系统部署有完备的安全防护策略和一定的安全防护手段,能够实现安全风险的隔离、可控。
西默智能DNS 自带防火墙功能,仅开放系统必须端口,从根本上保障设备安全,另外DNSSEC 、递归解析控制等,都可从根本上提高系统的安全性。
3. 系统具备平滑升级、扩容的能力,在保护已有投资的基础上易于实现容量及功能的灵活扩展。
西默作为国内DNS 产品的领导厂商,将持续为用户提供优质的服务了和解
,决方案,以保护用户的投资。
4. 为保证节点具有一定的抗风险能力,节点容量设计应遵循以下原则:服务节点总容量不小于查询峰值的3 倍,总处理能力不低于10万QPS, 服务器CPU 利用率不超过30。
需选择合适的型号
5. 两个数据中心机房分别部署DNS 节点,并根据双活数据中心的建设标准,将两台DNS 专业设备部署为权威DNS ,即分别部署在两个数据中心的DNS 设备都处于提供DNS 服务的活动状态。
支持
6. 两台DNS 设备分别对外提供独立的IP 地址,并在不同的IP 网段。
西默智能DNS 双机热备解决方案可提供不同网段的服务IP ,且此IP 具有故障转移动力。
3. 技术要求
3.1. 安全防护能力要求
DNS 系统应具备一定的安全措施和防护手段,具有如下防护能力:
(1) 能够对异常包进行过滤,并能够对IP 非法、DNS 非法查询包(长度异常、格式异常、内容异常)进行丢弃处理;能够防范DNS 缓存投毒、防止错误域名以及能够对DNS Flood、UDP Flood 等常见DDoS 攻击进行过滤。
支持
(2) 能够基于IP 地址或域名进行限速,可过滤单个用户发起的DoS 域名请求攻击行为或对某些特定域名进行访问限速。
支持自动限速,不支持自定义配置
(3) 能够实现基于IP 地址及域名的黑白名单管理,确保重要域名正常服务的同时阻止非法域名的解析。
支持
(4) 能够有效防护递归查询攻击,对相同域名后缀的查询数进行监视,超过阀值进行策略丢弃,同时结合白名单功能保证重点域名服务。
支持
,(5) 具备缓存快照及相应解析记录导入能力,即在没有递归能力的极端情况下进行本地解析
西默智能DNS 高级缓存功能可满足此要求。
3.2. 网管要求
DNS 系统网管要求如下:
(1) 设备应至少提供SNMP 、Syslog 、FTP 、Telnet 、SSH 等管理通信接口。
设备逻辑管理接口应支持标准开放的管理接口;网管模块的运行不应
对DNS 业务处理产生影响。
满足
(2) 设备应支持完备的日志管理功能。支持syslog 功能,支持日志的本地
保存和远程保存。本地日志应保存在非易失性的介质上,系统重启或
宕机时日志数据不会消失。
满足
设备输出的日志应分为系统日志、解析日志和操作日志三部分。系统日志应包括系统硬件、软件运行状态。解析日志信息中应至少包括用户源地址、请求域名、请求接受时间和处理时延、域名解析结果IP 、解析结果代码等(详细要求参见附录A )。操作日志应记录登录者对DNS 的所有操作情况(至少详细到文件级别)。三类日志要求应存储至少三个月。
满足
(3)DNS 设备应接入数据网管系统,并至少提供以下监控指标:
设备运行指标:服务器的CPU 、内存、主要进程、磁盘空间等,并提供5分钟粒度的实时指标曲线呈现和告警呈现;
满足,周期为20分钟,可根据需要调整
业务相关指标:DNS 业务解析成功率、网内DNS 解析时延、网内DNS 解析成功率、最大并发请求数QPS 和DNS 业务量,并提供5分钟粒度的实时指标曲线呈现和告警呈现;
满足,周期为20分钟,可根据需要调整
,DNS 性能统计指标:CPU 利用率、内存利用率、成功数、失败数、递归请求查询数、非递归查询数、总请求数、频率、磁盘空间利用率,并提供5分钟粒度的实时指标曲线呈现和告警呈现;
满足,周期为20分钟,可根据需要调整
域名解析请求排行指标:域名、次数、总请求次数、比例,并提供5分钟粒度的实时指标曲线呈现和告警呈现。
满足,周期为20分钟,可根据需要调整
3.3. 设备要求
(1) 高可用性:系统平均无故障时间(MTBF)>10,000小时;设计时必须按照
所有设备的寿命在正常使用下不少于10年,所有设备(包括电源设备)在给定的性能指标下运行,连续4000小时内不需要人工调整和维护。 满足
(2) 要求主要部件冗余配置,为避免单点故障,采用双电源、双风扇、双网
卡、系统镜像盘保护数据。
支持,但不支持系统镜像和双风扇。
(3) 主机系统的主要部件必需实现热插拔、热更换,包括热插拔的PCI I/O
卡;热插拔内置硬盘驱动器;热更换冗余电源;热更换冗余风扇。
仅电源支持热插拨
(4) 主机系统应具备故障检测、隔离和修复等自动检测手段,持续监测各个
系统部件,并根据动态变化的系统状态,实时调整系统,保证正常运行 软件支持,硬件不支持。
(5) 高可靠性设计:支持HA 双机备份接入方式, 双机同时运行业务, 并可以
自动切换。一对HA 设备必须能够对所提供的所有服务(DNS/DHCP/IPAM 等)和协议的数据进行同步和保护。切换后应能接管全部的管理功能和服务。故障恢复必须是自动的,无须手工的。
满足
,(6) 10/100/1000 Base-T 以太网 (LAN) 端口,不少于4 个。
满足
3.4. DNS功能要求(均支持)
(1) 系统必须支持标准的 DNS 服务。支持反向DNS 解析功能。
(2) 支持基于RFC标准的DNS 记录类型:如A 、AAAA 、CNAME 、MX 、NAPTR 、
PTR 、SRV 等。
(3) 兼容微软和BIND 等主流DHCP , DNS 服务器配置。
(4) DNS 数据导入导出,能够通过图形管理界面导出记录进行备份,也可以
通过图形界面导回记录进行恢复,支持批量修改。
(5) 支持根据IP 来源地址实现智能DNS 解析。
(6) 支持应用服务状态检测,以便给出有效的域名记录解析。。
(7) 管理界面可以完成所有DNS 的配置及管理功能。
3.5. DNS系统部署要求
DNS 系统部署要求如下图所示:
,
3.6. DNS系统部署:
为考虑DNS 服务的依赖性与重要性,将在荷花园和麓谷两个数据中心的DMZ 区部署DNS 域名解析服务系统,并根据双活数据中心的建设标准,将两台DNS 设备部署为权威DNS ,即分别部署在两个数据中心的DNS 设备都处于提供DNS 服务的活动状态。由于还要同时负责提供互联网授权域名的递归解析能力,因此湖南电信DNS 系统需要同时具备权威DNS 服务器及递归DNS 服务器功能。
支持,但需满足双机热备组中物理IP 在同一子网的条件(VPN 或专线)。
3.7. 负载均衡部署
根据全省各本地网访问业务系统的大小,将访问流量分流到2个数据中心,以实现应用系统的负载均衡。为了实现根据源IP 地址判断DNS 查询请求的业务流量在两个业务数据中心的业务分流,通过采用DNS 标准建设体系中的DNS View 实现。在DNS View中定义不同的源IP 地址段,并根据源IP 地址进行View 命中。以实现不同本地网分别访问不同的数据中心,实现业务分流。
,满足
3.8. 容灾部署
为了实现在一个数据中心单台、多台服务器甚至整个数据中心崩溃的情况下,相关访问流量能迅速切换到正常提供服务的服务器或数据中心,DNS 系统应能支持利用F5的健康检查机制或DNS 自身提供的其它方式进行服务器状态检查,根据服务器服务状态进行DNS 业务流量的切换。
支持自身健康检测和切换。
3.9. 安全策略部署
1. 在DMZ 防火墙上部署访问策略,只允许源协议端口号1023 以上访问DNS IP 地址的UDP/TCP 53 端口;
2. 在DNS 节点与网络互联的链路上部署带宽限速的QoS 策略,去往节点服务IP 的流量限制在节点容量的80以内;
3. 通过流量分析系统对 DNS 流量进行监控,及时发现异常的攻击特征并告警。
4. 出于安全和应急的考虑,DNS 系统必须具备带外管理能力;
可在以上环境中部署