移動DNS系統(tǒng)擴容改造項目技術(shù)建議書

1、xxxx移動移動dnsdns系統(tǒng)擴容改造項目系統(tǒng)擴容改造項目技術(shù)建議書技術(shù)建議書北京北京 xx 咨詢有限公司咨詢有限公司2009 年年 11 月月 -2-目目 錄錄一、dns 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹 .41.dns 業(yè)務發(fā)展介紹 .42、國內(nèi)主流 dns 建設使用情況分析 .5二、xx 移動 dns 系統(tǒng)現(xiàn)狀分析.81、xx 移動 dns 系統(tǒng)現(xiàn)狀 .82、現(xiàn)有系統(tǒng)運行數(shù)據(jù)測算 .93、dns 系統(tǒng)處理能力設計需求分析 .11三、xx 移動 dns 系統(tǒng)升級改造設計方案.121、dns 系統(tǒng)改造方案 .122、dns 組網(wǎng)硬件和網(wǎng)絡環(huán)境設計分析 .143、dns 系統(tǒng)設計性能指標 .154

2、、系統(tǒng)可管理性設計 .165、dns 系統(tǒng)可擴展功能設計 .166、本次 dns 系統(tǒng)規(guī)劃中 anycast 架構(gòu)設計規(guī)劃.18四、xx 移動 dns 系統(tǒng)升級改造項目實施內(nèi)容及計劃.211、項目組織結(jié)構(gòu) .212、項目實施配合需求 .21五、技術(shù)及售后服務內(nèi)容 .231、標準技術(shù)支持內(nèi)容 .232、故障級別 .233、響應時長 .244、高級服務 .24六、培訓計劃 .26附件 1、nominum 公司 dns 系統(tǒng)解決方案.271、nominum 公司介紹 .272、nominum 運營商級專業(yè) dns 系統(tǒng) .273、nominum dns 架構(gòu)的優(yōu)點 .29附件 2、vantio 產(chǎn)品

3、介紹 .311、vantio 簡介 .312、vantio 的系統(tǒng)安全性介紹 .323、vantio 系統(tǒng)可靠性介紹 .334、vantio 的網(wǎng)絡延時性能 .345、系統(tǒng)管理工具 .341)網(wǎng)絡設備性能監(jiān)測.352)服務器性能監(jiān)測.353)cns（vantio）及 bind 系統(tǒng)性能及可用性監(jiān)測 .364)cns（vantio）及 bind 基本配置管理 .365)響應時間及 dns 系統(tǒng)可用性監(jiān)測（從用戶角度體驗式分析系統(tǒng)可用性）376)監(jiān)控告警.37 -3-7)報表分析.38附件 3、軟件性能測試對比數(shù)據(jù) .411、vantio 服務器性能測試結(jié)果 .412、vantio 和 bind

4、的比較數(shù)據(jù) .41附錄 a vantio 和 bind 的功能比較 .43附錄 b nominum 公司全球部分用戶列表 .44 -4-一、一、dns 系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹系統(tǒng)的現(xiàn)狀以及發(fā)展方向介紹1.dns1.dns 業(yè)務發(fā)展介紹業(yè)務發(fā)展介紹隨著移動數(shù)據(jù)業(yè)務的不斷推廣以及 3g 移動互聯(lián)網(wǎng)的推出，移動數(shù)據(jù)應用增長迅猛，xx 移動 wap 用戶普及率已經(jīng)達到 50%左右，wap 上網(wǎng)用戶的增加以及 wap 應用的不斷豐富帶來了 dns 請求量的大幅增長，dns 系統(tǒng)作為數(shù)據(jù)業(yè)務應用以及互聯(lián)網(wǎng)應用的基礎支撐平臺，在數(shù)據(jù)業(yè)務和移動互聯(lián)網(wǎng)業(yè)務應用的支撐方面有著非常重要的作用。建設一個穩(wěn)定、安全

5、、高效的 dns 系統(tǒng)已成為 xx 移動業(yè)務發(fā)展的必然需要。今年以來，5.19 以及 7.30 等多次斷網(wǎng)事件都是因為 dns 系統(tǒng)的安全穩(wěn)定性不夠高而導致了數(shù)據(jù)業(yè)務以及互聯(lián)網(wǎng)應用癱瘓，這些事件的發(fā)生給我們的 dns 系統(tǒng)建設提出更高的要求。同時，傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺和網(wǎng)絡硬件平臺提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務的廣泛應用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務用戶業(yè)務和用戶流量經(jīng)營用戶流量經(jīng)營的重要性。通過提供給最終用戶更好的業(yè)務和服務，運營商可以在更多的層次上細化業(yè)務種類和吸引新的客戶。業(yè)務上的需求也產(chǎn)生了對運營商的業(yè)務上的需求也產(chǎn)生了對運營商的 dnsdns

6、系統(tǒng)提出了新的要求：系統(tǒng)提出了新的要求：1、dns 是互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務上的關(guān)鍵應用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng)的大規(guī)模發(fā)展對現(xiàn)有 dns 系統(tǒng)的安全性，可擴展性，穩(wěn)定性等方面提出了更高的要求。2、dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務增值切入點的角色新的業(yè)務增值切入點的角色。dns 是所有 ip 應用的核心，互聯(lián)網(wǎng)上面幾乎的所有應用都要使用 dns。對于絕大多數(shù)應用，用戶首先會訪問 dns，dns 是業(yè)務層面的第一“接觸點”。dns 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 dns 上發(fā)展新業(yè)務不需要修改網(wǎng)絡結(jié)構(gòu)。在 dns 軟件基礎上為用戶提供增值業(yè)務開銷最小，具有性價比的優(yōu)勢。 -5

7、-2 2、國內(nèi)主流、國內(nèi)主流 dnsdns 建設使用情況分析建設使用情況分析(1).目前典型的目前典型的 dns 組網(wǎng)架構(gòu)組網(wǎng)架構(gòu)沿襲技術(shù)的發(fā)展，目前國內(nèi)電信運營商除個別 dns 壓力較少的省份外，基本上采用四層交換機的架構(gòu)組建 dns 系統(tǒng)。每個節(jié)點利用四層交換機進行負載分擔到各臺 dns 服務器。dns 服務器大部分采用商用 dns 軟件 cns（vantio）服務器替代了免費的 bind 服務器。 例如：xx 電信 dns 系統(tǒng)的結(jié)構(gòu)圖如下:（）202.98.96.68 cache （）61.139.2.69 cache 218.6.200.139（） cache 163授權(quán)服務器圖 0

8、-1 四川電信 dns 節(jié)點結(jié)構(gòu)xx 電信 dns 系統(tǒng)部署于成都新華樞紐樓，設備情況包括：北電 alteon2424四臺、f5 一臺、sun 490 兩臺、sun x4100 兩臺、sun e2900 一臺、sun t2000兩臺、dell 2950 一臺、hp dl360 4 四臺。dns 平臺使用軟件包括：bind、cns（vantio）、ans。授權(quán)服務器與緩存服務器實現(xiàn)分開設置。 -6-(2).四層交換機架構(gòu)目前普遍出現(xiàn)的問題四層交換機架構(gòu)目前普遍出現(xiàn)的問題投資壓力，由于四層交換機的會話數(shù)有限，無法進行硬件升級。因此當 dns流量上升到一定程度時，經(jīng)常需要更換新的硬件，無法實現(xiàn)有效投

9、資保護。性能瓶頸，根據(jù)中國電信的統(tǒng)計，在 80%左右的 dns 節(jié)點癱瘓的重大故障中，均和四層交換機性能不足有一定得關(guān)系。免費的 dns 軟件穩(wěn)定性、安全性、可管理性、業(yè)務增值應用擴展性以及分析性等均無法保障。由此造成了多次大面積的業(yè)務故障事故。已經(jīng)不能適應目前運營商業(yè)務發(fā)展的需要。(3).dns 架構(gòu)的發(fā)展方向架構(gòu)的發(fā)展方向 anycast 及及 cns（vantio）商業(yè)軟件）商業(yè)軟件 目前在國外的電信行業(yè)中，anycast 架構(gòu)已經(jīng)廣泛應用于 dns 系統(tǒng)。在很多域名的根節(jié)點及 dns 遞歸節(jié)點中采用。在國內(nèi)的中國電信集團的 cn2 網(wǎng)絡 dns 系統(tǒng)及部分省市已經(jīng)采用。圖：中國電信 c

10、n2 dns 體系架構(gòu) 中國電信 cn2 的 dns 系統(tǒng)由四個節(jié)點組成，每個節(jié)點由三臺采用 cns 的服務器組成。anycast 架構(gòu)的優(yōu)點架構(gòu)的優(yōu)點利用 ecmp 等價路由，實現(xiàn)負載分擔（目前的路由器一般最大支持 16 臺服務器）節(jié)省投資，直接在核心路由器上實現(xiàn)，無需另外采購硬件 -7-擴容容易，節(jié)點增加服務器時，只需要配置好相應的路由進程即可平滑進行擴容最新擴容調(diào)整后 xx 電信的 dns 架構(gòu)如下:dns:a2d dn ns s服服務務器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務務器器s su un n x x4 42 20 0

11、0 0b bi in nd dd dn ns s服服務務器器s su un n x x4 42 20 00 0b bi in nd ddns 服務器cnsdns 服務器cns張張家家堡堡節(jié)節(jié)點點xx市市撥撥號號用用戶戶主主用用xx市市專專線線用用戶戶主主用用dns:a1dns:b2西西華華門門節(jié)節(jié)點點dns 服務器cnsdns 服務器cnsd dn ns s服服務務器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務務器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務務器器s su un n

12、x x4 42 20 00 0b bi in nd dx地地市市專專線線用用戶戶主主用用x地地市市撥撥號號用用戶戶主主用用xx電信ip網(wǎng)d dn ns s服服務務器器s su un n x x4 42 20 00 0b bi in nd dd dn ns s服服務務器器s su un n x x4 42 20 00 0b bi in nd d圖例：10g 電路ge電路fe 電路鏡像端口電路sas電纜四層交換機四層交換機dns:b1圖：圖：xx 電信電信 dns 系統(tǒng)系統(tǒng) -8-二、二、xx 移動移動 dns 系統(tǒng)現(xiàn)狀分析系統(tǒng)現(xiàn)狀分析1 1、xxxx 移動移動 dnsdns 系統(tǒng)現(xiàn)狀系統(tǒng)現(xiàn)狀xx

13、 移動目前全省共有 2 個 dns 服務器。兩臺服務器采用 bind 軟件，同時作為授權(quán)及遞歸服務器使用。隨著移動 3g 網(wǎng)絡的開通，各種基于無線數(shù)據(jù)網(wǎng)的寬帶業(yè)務逐步增加，例如 類型的個性化用戶服務網(wǎng)站和多媒體郵件，導致網(wǎng)絡上 dns 的請求呈現(xiàn)指數(shù)型增長趨勢。（見下圖）internet hosts (machine names)intranet hostswindows 2000servicesspam andanti-spamrfidenumipv6198820031998199319832008圖：圖：dnsdns 應用的增長趨勢圖應用的增長趨勢圖目前目前 xxxx 移動移動 dnsdn

14、s 系統(tǒng)存在的主要問題：系統(tǒng)存在的主要問題：域名解析服務器負載高；無法滿足用戶數(shù)請求數(shù)量遞增的趨勢bind 服務器不夠穩(wěn)定，處理能力有限（在 cpu 負荷 60%時極限處理能力為6000qps）,按照 xx 移動目前的用戶增長速度預測，到 2010 年初，dns 系統(tǒng) -9-bind 服務器容易受到 dos&ddos 攻擊的影響現(xiàn)行 dns 管理方式不便；安全性較低，容易遭受攻擊難以對域名請求的內(nèi)容進行統(tǒng)計和分析難以處理域名服務器中的垃圾數(shù)據(jù)；沒有得到及時的 dns 問題響應和處理支持。2 2、現(xiàn)有系統(tǒng)運行數(shù)據(jù)測算、現(xiàn)有系統(tǒng)運行數(shù)據(jù)測算利用 dns 管理分析手段對 xx 移動兩套 dn

15、s 系統(tǒng)在線統(tǒng)計，發(fā)現(xiàn)目前兩節(jié)點的 qps 增長速度較快。目前 xx 移動 dns 節(jié)點的高峰 qps 已經(jīng)接近 6000。在 2008 年 7 月 bind 免費 dns 軟件爆出重大 bug，在升級后，其處理能力有一定程度的下降。通過統(tǒng)計發(fā)現(xiàn)樞紐節(jié)點的處理能力已經(jīng)接近其峰值，具體的數(shù)據(jù)如下：時間時間服務器服務器cpucpu % %qpsqps2009.7.02dns144.39-49.443340.47-4631.722009.7.04dns245.91-52.913520.23-4922.132009.7.22dns137.43-41.093637.92-5052.752009.7.29

16、dns236.52-42.383889.80-6090.972009.8.25dns138.12-43.923494.46-5859.792009.8.26dns239.42-43.563569.64-6514.392009.8.22dns136.54-42.653481.18-6024.542009.8.23dns236.32-41.643666.06-5777.74表一：近期樞紐節(jié)點數(shù)據(jù)采集表一：近期樞紐節(jié)點數(shù)據(jù)采集 -10-圖：圖：2009 年年 8 月月 9 日日 21 點點 cns 實時數(shù)據(jù)實時數(shù)據(jù)考慮到目前免費的 bind 軟件在升級后，處理能力的下降，dns 節(jié)點目前已經(jīng)接近極限

17、處理峰值。同時免費的 bind 軟件安全性無法保障因素，需要近期盡快對整個 xx 移動 dns 系統(tǒng)進行升級，以提高系統(tǒng)的處理能力、安全措施以及冗余能力從而保障數(shù)據(jù)業(yè)務的穩(wěn)定高效以及良好發(fā)展。 -11-3 3、dnsdns 系統(tǒng)處理能力設計需求分析系統(tǒng)處理能力設計需求分析根據(jù)中國移動 xx 公司數(shù)據(jù)業(yè)務發(fā)展規(guī)劃，到 2012 年，全省手機上網(wǎng)用戶將發(fā)展到 1554 萬戶。 詳見下表：表表 5 5 2009200920122012 年年 xxxx 移動手機上網(wǎng)用戶預測表移動手機上網(wǎng)用戶預測表年份年份/ /月月2009200920102010 年年20112011 年年20122012 年年全省萬

18、戶萬戶萬戶萬戶目前，在高峰期全省用戶 qps 達到萬 15000 左右，達到目前 dns 系統(tǒng)總處理能力的 55，要保證 dns 系統(tǒng)穩(wěn)定安全運行應保持業(yè)務量在系統(tǒng)最大處理能力的30%以內(nèi)，按照以上預測結(jié)果以及規(guī)則，dns 業(yè)務需求表如下表所示：表表 2 2 2009200920122012 年年 xxxx 電信電信 dnsdns 業(yè)務需求表業(yè)務需求表年份年份/ /月月2009200920122012 年年 8 8 月底月底手機上網(wǎng)用戶數(shù)8401554全省全省qps1000019000 -12-三、三、xx 移動移動 dns 系統(tǒng)升級改造系統(tǒng)升級改造設計方案設計方案1、dns 系統(tǒng)改造方案系統(tǒng)

19、改造方案通過分析 xx 移動現(xiàn)網(wǎng) dns 結(jié)構(gòu)和流量數(shù)據(jù)，北京融海公司建議的 dns 改造方案如下：（1 1） 、分離授權(quán)和緩存域名解析功能、分離授權(quán)和緩存域名解析功能dns 的授權(quán)功能是對本地負責的域名實現(xiàn)解析功能，為全球用戶提供服務；而緩存功能則是運營商為本網(wǎng)用戶提供的 dns 查詢緩存功能，同一臺 dns 服務器充當兩個職責會帶來嚴重的安全問題。為了分離授權(quán)和緩存，我們建議：保留原 dns 服務器為授權(quán) dns 使用。（2 2）、新建專業(yè)商用軟件的緩存）、新建專業(yè)商用軟件的緩存 dnsdns 節(jié)點，分配新的節(jié)點，分配新的 ipip 地址。地址。a) 在兩個異地備份節(jié)點各部署一臺 vant

20、io 服務器，兩個節(jié)點互為冗余備份。當用戶設置的第一域名服務器出現(xiàn)故障的情況下，用戶的 dns 請求會由操作系統(tǒng)自動切換到第二域名服務器。b) 負載分擔：疆內(nèi)部份用戶使用 a 節(jié)點做為第一域名服務器，b 節(jié)點作為備用域名服務器，另外一部分用戶使用 b 節(jié)點做為第一域名服務器，a 節(jié)點作為備用域名服務器。c) 第一階段，倆節(jié)點均可以采用常規(guī)的單機模式,根據(jù)業(yè)務增長趨勢，可以靈活的變更為四層交換機架構(gòu)或 anycast 架構(gòu)。 按照授權(quán)與遞歸分離的原則，xx 移動新建 dns 系統(tǒng)的架構(gòu)如下所示： -13-cmnet國干網(wǎng)報話 m320-1報話 m320-2 m320gegene5ke-1 ne5

21、ke-22.5 g10 g 8508-12gegege 8508-2sisi3550ge授權(quán)服務器dns-1fe授權(quán)服務器dns-1fe遞歸服務器vantiodns-2遞歸服務器vantiodns-1fefe圖：圖：xxxx 移動移動 dnsdns 系統(tǒng)架構(gòu)系統(tǒng)架構(gòu)（3 3）、該方案的主要優(yōu)點如下：）、該方案的主要優(yōu)點如下： 在 dns 改造過程中，保證原授權(quán)域名解析功能的正常運行。 新增緩存 dns 節(jié)點的建設不影響現(xiàn)有系統(tǒng)的運行，整個升級改造過程可以實現(xiàn)服務無中斷，保證升級過程中用戶對 dns 的正常使用。 在保證和提升了性能的前提下極大的節(jié)省了硬件投資，并提供了將來通過硬件升級進一步提高

22、系統(tǒng)性能的可行性。 未來可以方便的通過部署 anycast 方式以及增加服務器進行系統(tǒng)擴容升級。無需對網(wǎng)絡結(jié)構(gòu)進行大的調(diào)整。 -14-2、dns 組網(wǎng)硬件和網(wǎng)絡環(huán)境設計分析組網(wǎng)硬件和網(wǎng)絡環(huán)境設計分析 服務器的配置：新增 2 臺服務器，建議使用基于 x86 的 pc 服務器平臺建議的服務器配置如下：cpu內(nèi)存硬盤操作系統(tǒng)sun x4150xeon(r) x5460（3.16ghz）*24x2gb pc2-5300 667 mhz ecc ddr22x 146gb 10k rpm 2.5 sas drivessolaris 10 x86注：采用 sun 的服務器主要是考慮到 solaris 10

23、的操作系統(tǒng)的安全性相比redhat as5 要高。用戶可根據(jù)此推薦配置選擇性能相當?shù)?pc 服務器，可以安裝redhat as5 操作系統(tǒng)。vantio 在兩個操作系統(tǒng)的處理能力基本相同。 四層交換機按設計指標，不需要配置四層交換機四層交換機存在瓶頸問題，并且增加了故障點。目前 anycast 技術(shù)已經(jīng)成熟，未來可采用 anycast 方式進行擴容，節(jié)省開支，避免四層瓶頸 防火墻 - 可以單獨配置防火墻設備或者使用前端路由設備的防火墻功能不建議對 dns 流量進行包檢測。 dns 服務的端口 53 必須提供向用戶服務 防火墻不能阻擋針對 dns 的攻擊（緩存毒害攻擊）通過防火墻設備可以實現(xiàn) 對

24、服務器本身的防護 對訪問 ip 地址的限制 流量清洗設備（可選）在數(shù)據(jù)中心可以配置流量檢測和清洗設備當發(fā)生 ddos 攻擊時，需要管理員手工干預 -15-3、dns 系統(tǒng)設計性能指標系統(tǒng)設計性能指標至 2009 年 6 月為止，xx 移動全省移動用戶總數(shù)為 1700 萬；手機上網(wǎng)用戶數(shù)為 800 萬；其中絕大部分為基于 1-2g 的 wap 和 cmnet 用戶。從今年開始，xx 移動在全省范圍內(nèi)向用戶提供基于 td-scdma 的 3g 移動業(yè)務，預計到 2012 年底，xx 省的手機上網(wǎng)用戶總數(shù)將達到為 1554 萬。在選定 3g 業(yè)務滲透率為 15的前提下，使用 3g 移動上網(wǎng)的用戶總數(shù)

25、為 230 萬。根據(jù)我們在國內(nèi)現(xiàn)網(wǎng)的經(jīng)驗，在當前網(wǎng)絡情況下，100 萬寬帶用戶對應的平均每秒查詢數(shù)（即 qps）為 10,000-15,000，峰值 qps 為 25,000-30,000。3g 在國內(nèi)屬于新業(yè)務，暫時沒有國內(nèi)相關(guān)的 dns 統(tǒng)計數(shù)據(jù)，根據(jù)國外 cdma1x和 gprs 網(wǎng)絡上的經(jīng)驗值，預計每 100 萬 3g 用戶產(chǎn)生的 dns 峰值查詢數(shù)為每秒10000 次左右。同時，xx 移動將努力發(fā)展大客戶和集團專線上網(wǎng)業(yè)務，專線用戶產(chǎn)生的 dns查詢量較高，1 萬專線用戶對應的峰值 qps 為 500010000 左右。根據(jù)以上分析，建議本次 dns 系統(tǒng)升級應考慮到 2012 年專

26、線和移動 3g 用戶數(shù)目增長帶來的 dns 流量增長。具體設計指標如下：1、預計到 2012 年 6 月底，xx 移動全省 dns 系統(tǒng)需要支持的峰值每秒查詢數(shù)qps = 30000； dns 系統(tǒng)改造的設計目標應該滿足全省全省 dnsdns 支持的忙時支持的忙時 qpsqps = 30,00030,000 2、在單節(jié)點出現(xiàn)故障的情況下，dns 系統(tǒng)依然可以滿足全省用戶正常網(wǎng)絡查詢的需求。即單節(jié)點可以支持最大單節(jié)點可以支持最大 qpsqps = 30,00030,0003、為保證系統(tǒng)穩(wěn)定運行，防范 ddos 黑客攻擊，系統(tǒng)設計時應考慮足夠的富裕度。在全省 dns 系統(tǒng)正常運行正常運行情況下，服

27、務器 cpu 平均負載應保持在 30%以下。單臺服務器的平均單臺服務器的平均 cpucpu loadload 30%30%北京融海公司推薦的 nominum 公司的緩存域名服務器系統(tǒng) vantio 是業(yè)界性能最高的緩存域名服務器，完全可以滿足 xx 移動的 dns 系統(tǒng)設計指標。 -16-nominum 建議使用的硬件平臺為基于 x86 架構(gòu)的 pc 服務器。參考硬件平臺：dell r805，2x quad core amd opteron 2393se，內(nèi)存 8gb (4x2gb), 800mhz, dual ranked，操作系統(tǒng)為 redhat enterprise linux v5.3

28、。在上述硬件平臺上運行 vantio v4.0 的現(xiàn)網(wǎng)參考指標如下：在保證服務質(zhì)量的前提下在保證服務質(zhì)量的前提下，單臺服務器支持的最大 qps 值約為40,000；xx 移動全省部署兩臺服務器，dns 支持的最大 qps 值為 80,000；單臺服務器在系統(tǒng)正常情況下的平均 cpu 負載 30%。4、系統(tǒng)可管理性、系統(tǒng)可管理性設計設計本次擴容選配的專業(yè)商用 nominum dns 軟件所有產(chǎn)品系統(tǒng)支持統(tǒng)一的管理架構(gòu)，包括以下類型的管理工具：snmpsoap/xml 接口cc (command channel) 命令行交互式管理工具eac(engine administration consol

29、e) - 基于 web 的遠程管理工具，可以方便的修改系統(tǒng)配置，管理域文件，同步主從服務器。syslog 和統(tǒng)計(statistics)功能融海咨詢基于 dns 應用的特點結(jié)合互聯(lián)網(wǎng)用戶訪問行為分析等需求，開發(fā)出了一套完整的專業(yè) dns 系統(tǒng)管理分析系統(tǒng)軟件，能夠?qū)?dns 系統(tǒng)進行應用級的監(jiān)控管理以及用戶訪問行為分析等功能。后期可根據(jù)需求進行選配。5、dns 系統(tǒng)可擴展功能設計系統(tǒng)可擴展功能設計傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺和網(wǎng)絡硬件平臺提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務的廣泛應用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上用戶 -17-業(yè)務和用戶流量經(jīng)營的重要性。通過提供給最終用戶更好

30、的業(yè)務和服務，運營商可以在更多的層次上細化業(yè)務種類和吸引新的客戶。dns 是互聯(lián)網(wǎng)上的關(guān)鍵應用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng)的大規(guī)模發(fā)展對現(xiàn)有 dns 系統(tǒng)的安全性，可擴展性，穩(wěn)定性等方面提出了更高的要求。dns在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務增值切入點的角色?；ヂ?lián)網(wǎng)流量匯聚就是最近在國際國內(nèi)快速發(fā)展的一種新的業(yè)務。nominum 公司作為世界各地頂級運營商 dns 架構(gòu)的軟件提供商，可以在第一時間了解到運營商的各種增值業(yè)務需求，并把握到互聯(lián)網(wǎng)上 dns 未來技術(shù)發(fā)展的動態(tài)。公司最新推出的 vantio 業(yè)務承載平臺就是在 ip 域名技術(shù)基礎之上，根據(jù)各大運營商的業(yè)務要求

31、開發(fā)的的一個通用增值業(yè)務平臺，vantio 為網(wǎng)絡運營商提供了包括錯誤域名轉(zhuǎn)發(fā)在內(nèi)的多項增值業(yè)務模塊，它的基本架構(gòu)如下圖一所示：圖一：圖一：vantiovantio 軟件系統(tǒng)結(jié)構(gòu)軟件系統(tǒng)結(jié)構(gòu)uarvantio base server(extensible dns server for value-addeddns-based services)extensibleextensibleextensible vantiovantiovantio basebasebase serverserverserver withwithwith pluggablepluggablepluggable dns-

32、baseddns-baseddns-based serviceserviceservice deliverydeliverydelivery modulesmodulesmodulesnxrnxdomainnxdomainnxdomain redirectionredirectionredirection (nxr)(nxr)(nxr)mdruseruseruser accessaccessaccess redirectionredirectionredirection (uar)(uar)(uar)application:application:application: walledwall

33、edwalled gardensgardensgardensfirstfirstfirst customer:customer:customer: comcastcomcastcomcastmaliciousmaliciousmalicious domaindomaindomain redirectionredirectionredirection (mdr)(mdr)(mdr)applications:applications:applications: illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem.

34、firstfirstfirst customer:customer:customer: upcupcupc -18-如上圖所示，nominum 公司的 vantio 服務器是在 vantio 緩存域名服務器技術(shù)基礎上開發(fā)的可擴展 dns 平臺，在 vantio 平臺上用戶可以按業(yè)務需求定制多種基于 dns 的增值業(yè)務模塊，包括nxr：錯誤域名轉(zhuǎn)發(fā)模塊mdr：非法和惡意域名轉(zhuǎn)發(fā)模塊uar：用戶接入控制模塊sml：垃圾郵件控制模塊6、本次、本次 dns 系統(tǒng)規(guī)劃中系統(tǒng)規(guī)劃中 anycast 架構(gòu)設計規(guī)劃架構(gòu)設計規(guī)劃anycast方式最初定義于rfc1546，意為處于互聯(lián)網(wǎng)中的一臺主機向某一anyc

35、ast地址發(fā)送ip協(xié)議報文，互聯(lián)網(wǎng)負責將其送往一個接收目的地址為anycast地址的主機。這里anycast地址定義為用于實現(xiàn)主機標記的ipv4或ipv6地址，可能有多個互聯(lián)網(wǎng)主機接收目的地為該地址的ip報文。利用anycast技術(shù)，提供同一類服務的所有服務器可配置同一個anycast ip地址，路由系統(tǒng)自動將服務請求送至最近的服務器。圖：圖：anycast 技術(shù)原理技術(shù)原理anycast 是目前當前應用較廣的負載均衡技術(shù)。國外很多 dns 系統(tǒng)都應用了anycast 技術(shù)，它具有以下優(yōu)點：優(yōu)點：全網(wǎng)負載均衡較好，用戶按地域的就近訪問，網(wǎng)絡時延??；強大的冗余備份功能，域名解析服務不依賴于少數(shù)幾

36、個節(jié)點的連通性，每個節(jié)點都具有冗 -19-余備份功能，節(jié)點越多冗余備份功能越強；能有效預防 ddos 攻擊；有利于ipv6 網(wǎng)絡的部署，節(jié)點升級對用戶幾乎沒有影響。anycast 技術(shù)既可以在整個網(wǎng)絡間使用，也可以在單節(jié)點內(nèi)采用等價路由實現(xiàn)負載分擔，通過前期測試，其負載基本維持在 1：1 的比例，負載差異最大在 10%以內(nèi)，能夠滿足一般節(jié)點的負載均衡要求。一般在省級的 dns 系統(tǒng)中，為保證系統(tǒng)的可維護性，建議采用節(jié)點內(nèi) anycast架構(gòu)，其原理如圖所示：圖：節(jié)點內(nèi)圖：節(jié)點內(nèi) anycast 示意圖示意圖 anycastanycast 架構(gòu)與四層交換機架構(gòu)優(yōu)缺點對比架構(gòu)與四層交換機架構(gòu)優(yōu)缺點

37、對比四層交換機架構(gòu)的優(yōu)點：四層交換機架構(gòu)的優(yōu)點：擴容簡單負載均衡比例可設置四層交換機架構(gòu)的缺點：四層交換機架構(gòu)的缺點：系統(tǒng)瓶頸，四層交換機癱瘓會導致整個節(jié)點癱瘓（根據(jù)統(tǒng)計，國內(nèi) dns 系統(tǒng)節(jié)點故障的 80%集中在四層交換機）硬件無法升級，需要重復投資（支持的會話數(shù)無法升級，每次擴容需要購買更強的四層交換機）anycastanycast 架構(gòu)的優(yōu)點：架構(gòu)的優(yōu)點：擴容簡單,設計靈活（既可設計廣域的 anycast 架構(gòu)，也可設計節(jié)點內(nèi)的anycast 架構(gòu)） -20-多臺服務器自動形成冗余備份，不會造成 dns 節(jié)點整理癱瘓無需購買硬件，現(xiàn)有的核心路由器即可支持anycastanycast 架構(gòu)

38、的缺點：架構(gòu)的缺點：負載無法按照設置分配，其服務器分配流量均在 1：1，要求服務器處理能力相當 -21-四、四、xx 移動移動 dns 系統(tǒng)升級改造項目實施系統(tǒng)升級改造項目實施內(nèi)容及計劃內(nèi)容及計劃考慮到系統(tǒng)實施的復雜性及涉及的范圍，融海咨詢對本項目的具體實現(xiàn)方式、進度安排等實施方案建議如下。1、項目組織結(jié)構(gòu)、項目組織結(jié)構(gòu)我們建議的項目組織結(jié)構(gòu)如圖 51 所示。公司高層領(lǐng)導客戶方技術(shù)負責人公司項目經(jīng)理客戶方項目經(jīng)理項目管理系統(tǒng)工程師實施工程師培訓人員協(xié)調(diào)人員技術(shù)人員操作人員測試人員融海咨詢客戶方圖圖 5 51 1項目組織結(jié)構(gòu)圖項目組織結(jié)構(gòu)圖用戶和公司各派出高層領(lǐng)導擔任本項目負責人，把握項目的方向

39、、決定項目的重大事項、協(xié)調(diào)雙方的關(guān)系。項目經(jīng)理由公司和客戶各派一人擔任，負責項目計劃、組織和分工、控制項目進度、考核項目人員業(yè)績、協(xié)調(diào)項目人員間的關(guān)系。項目管理的具體工作主要由公司的項目經(jīng)理負責，但客戶方也應派出項目經(jīng)理（項目負責人），參與項目管理。2、項目實施配合需求、項目實施配合需求 在工程實施過程中，需要 xx 移動配合提供的環(huán)境保障方面的工作有：(1)、提供硬件服務器，提供網(wǎng)絡環(huán)境。 -22-提供安裝 vantio 軟件的硬件服務器及網(wǎng)絡安裝環(huán)境（包括 ip 等），以便順利安裝調(diào)試軟件。(2)、提供新的系統(tǒng)分配 ip，以便配合 vantio 設置支持范圍。 -23-五、技術(shù)及售后服務內(nèi)

40、容五、技術(shù)及售后服務內(nèi)容1、標準技術(shù)支持內(nèi)容、標準技術(shù)支持內(nèi)容融海咨詢依托融海咨詢依托 nominum 廠商的鼎力支持，依靠自身在廠商的鼎力支持，依靠自身在 dns 系統(tǒng)的建設、維系統(tǒng)的建設、維護、管理等方面雄厚的技術(shù)力量儲備，不僅提供管理系統(tǒng)的整體技術(shù)服務，同時可護、管理等方面雄厚的技術(shù)力量儲備，不僅提供管理系統(tǒng)的整體技術(shù)服務，同時可以提供強有力的整體的技術(shù)維護服務以提供強有力的整體的技術(shù)維護服務, ,確保確保 xxxx 電信電信 dnsdns 系統(tǒng)穩(wěn)定安全運行。并在優(yōu)系統(tǒng)穩(wěn)定安全運行。并在優(yōu)化工程的實施過程中，提供指導意見?；こ痰膶嵤┻^程中，提供指導意見。技術(shù)支持是指在 appmanag

41、er 所支持的平臺上，幫助客戶解決問題，包括操作指導、問題解決、實施指導、項目實施、培訓和二次開發(fā)。服務獲取方式包括：服務內(nèi)容通知文檔電話支持online 支持遠程診斷(需客戶同意)新版本升級獲取 beta 版 產(chǎn)品2、故障級別、故障級別根據(jù)系統(tǒng)受影響的程度，將故障分為四個級別：l1：system down系統(tǒng)宕機（硬件故障），不能工作。l2：critical系統(tǒng)仍在工作，但性能嚴重下降。l3：work-around系統(tǒng)可以工作，但不太正常。l4：minor系統(tǒng)工作不受影響。 -24-3、響應時長、響應時長服務內(nèi)容電話服務email 服務l1 級故障服務7*24 服務1 小時內(nèi)響應并到現(xiàn)場l2

42、 級故障服務7*24 服務2 小時內(nèi)響應l3 級故障服務5*8 服務4-24 小時內(nèi)響應4-24 小時內(nèi)響應l4 級故障服務5*8 服務4-24 小時內(nèi)響應4-24 小時內(nèi)響應注：出現(xiàn) l1 級故障時，為保證業(yè)務正常運行，融海公司為 xx 電信安裝 cns 備機（硬件由 xx 電信提供，可以將先用 bind 服務器臨時安裝 cns 保證業(yè)務的正常運行）。 當出現(xiàn) l2 級及以下故障時，融海公司將及時配合用戶解決問題。4、高級服務、高級服務出標準技術(shù)支持內(nèi)容外高級服務包括：出標準技術(shù)支持內(nèi)容外高級服務包括：現(xiàn)場服務項目實施培訓實施指導高級服務響應時長：高級服務響應時長：服務內(nèi)容服務內(nèi)容高級服務高

43、級服務知識庫故障服務online 用戶論壇 -25-通知文檔電話支持online 支持l1 級故障服務1 小時內(nèi)響應l2 級故障服務1 小時內(nèi)響應l3 級故障服務1 小時內(nèi)響應l4 級故障服務1 小時內(nèi)響應遠程診斷(需客戶同意)聯(lián)系人個數(shù)10 人hotfixes and inline releasesservice packs新版本升級獲取 beta 版 產(chǎn)品 -26-六、培訓六、培訓計劃計劃我們在項目整體規(guī)劃以及實施中，對用戶相關(guān)項目技術(shù)人員提供全程免費的現(xiàn)場培訓服務，同時重點在廠家技術(shù)人員進行項目實施時為用戶提供全方位的產(chǎn)品現(xiàn)場培訓以及產(chǎn)品技術(shù)答疑等服務，保證使用戶相關(guān)技術(shù)管理人員熟練掌握

44、產(chǎn)品技術(shù)及處理產(chǎn)品常見問題。在產(chǎn)品使用過程中，如遇產(chǎn)品升級，融海咨詢技術(shù)人員協(xié)同廠家技術(shù)人員對用戶進行免費的產(chǎn)品現(xiàn)場升級培訓。培訓方式：培訓方式：1、現(xiàn)場隨工培訓：廠家和融海咨詢技術(shù)人員在系統(tǒng)安裝調(diào)測的同步，對用戶相關(guān)的技術(shù)維護負責人員進行現(xiàn)場培訓指導，保證用戶能夠熟練掌握軟件的安裝、配置和初級故障分析。2、集中講座培訓：由用戶提供場地。融海咨詢邀請廠家資深技術(shù)經(jīng)理將為用戶做半天到一天的產(chǎn)品集中講座培訓，人數(shù)不限，主要就產(chǎn)品的使用特性、配置管理、常見問題處理等用戶關(guān)注的問題進行講解，同時提供重點問題答疑服務。培訓對象：培訓對象：操作配置 dns 系統(tǒng)的技術(shù)人員、dns 系統(tǒng)相關(guān)人員以及對 va

45、ntio產(chǎn)品感興趣的人員在系統(tǒng)在試運行后，融海咨詢提供一天的使用培訓課程。培訓內(nèi)容：培訓內(nèi)容：vantio安裝vantio設置vantio實時狀態(tài)讀取日常維護 -27-附件附件 1、nominum 公司公司 dns 系統(tǒng)解決方案系統(tǒng)解決方案1 1、nominumnominum 公司介紹公司介紹nominum 公司 1999 年在美國加里佛里亞州硅谷成立，公司技術(shù)總裁保羅博士是 internet 網(wǎng) dns 的系統(tǒng)設計者和 bind 軟件的開發(fā)者。公司成立初期受 isc（互聯(lián)網(wǎng)協(xié)會組織）委托，編寫了新一代 bind 9 域名解析軟件，并為 bind 9 提供開源代碼和技術(shù)支持。nominum 公

46、司同時還參與并制定了與 dns 相關(guān)的所有 ietf 標準。由于互聯(lián)網(wǎng)的高速發(fā)展，運營商需要性能更高，穩(wěn)定性更高，安全性更高的域名解析系統(tǒng)來保障業(yè)務的正常運行，目前市場上所有商用 dns 系統(tǒng)都是基于 bind 9 二次開發(fā)的改良版本，而 bind9 的軟件設計已經(jīng)不能滿足這些新的要求?；谑袌鲂枨?，nominum 公司在 2001 年開始為運營商開發(fā)了新一代 dns 域名解析系統(tǒng)，產(chǎn)品采用全新的軟件架構(gòu)，完全重新編寫代碼，采用了包括 vdb 在內(nèi)的多種專利技術(shù)。目前公司的緩存域名服務器產(chǎn)品 vantio 在全球 80 多家運營商現(xiàn)網(wǎng)運行，國內(nèi)中國網(wǎng)通，中國電信的 10 余家省級運營商也采用了

47、我公司的 dns 解決方案。2 2、nominumnominum 運營商級專業(yè)運營商級專業(yè) dnsdns 系統(tǒng)系統(tǒng)nominum 的 dns 系統(tǒng)包括 vantio（caching name server）、ans（authoritative name server）兩個獨立系統(tǒng)。vantio 完成緩存（cache）功能，ans 完成授權(quán)（authority）功能，把緩存和授權(quán)功能分開是一個很重要的設計方向?；ヂ?lián)網(wǎng)上的域名服務器有兩種不同的角色：一方面，有些 dns 服務器是其存貯的域名的授權(quán)者，這些授權(quán)域名服務器保存著其所負責的域名數(shù)據(jù)。我們熟悉的授權(quán)域名服務器中有根域名服務器“.”、頂級域

48、名服務器如“com”、“cn”，還有二級域名服務器如“”等等。它們的職責是“publish data”。例如， 的授權(quán)域名服務器包含了 以及 -28-， 等域名的ns，a，mx，ptr 記錄。另一方面，互聯(lián)網(wǎng)用戶并不直接和授權(quán)域名服務器打交道，網(wǎng)絡運營商的緩存服務器充當了本地用戶的代理，用戶通過這些代理域名服務器查詢域名并得到結(jié)果。這些代理域名服務器與各級授權(quán)域名服務器聯(lián)系，如果需要的話，通過對授權(quán)域名服務器的遞歸查詢得到需要解析的域名信息，并且把信息在本地緩存以備將來的需要。緩存域名服務器的職責是“收集數(shù)據(jù)”。它們在緩存里保存本地客戶近期查詢的所有域名信息，這可以顯著地加快客戶域名查詢的響應

49、速度，為客戶提供更優(yōu)質(zhì)的服務。 目前網(wǎng)絡上，基于 bind 的 dns 服務器同時充當授權(quán)域名服務器和緩存域名服務器是最常見的。出于系統(tǒng)性能、可靠性和安全性等方面的綜合考慮，每臺域名服務器應該只完成單一功能。首先，授權(quán)權(quán)域名服務器的主要職責是“publish data”，需要管理很大的區(qū)域（zone）和很多的區(qū)域；而緩存域名服務器的職責是“collect data”。不同的職責決定了這兩者應該有不同的處理算法。授權(quán)域名服務器需要處理多個表單的數(shù)據(jù)并要求在單個表單更新數(shù)據(jù)的同時不影響到其它表單的查詢；緩存域名服務器則需要實時快速的處理大量的數(shù)據(jù)更新并提供更高效的查詢算法。所以，在實際網(wǎng)絡設計中應

50、當把兩者分開，采用不同的算法進行處理，從而提高授權(quán)域名服務器的域名解析和緩存域名服務器的用戶響應性能。（在 bind 中，授權(quán)功能和緩存功能只是一個設置上的區(qū)別而已。）注：詳細介紹見附件注：詳細介紹見附件ansans 技術(shù)白皮書，技術(shù)白皮書，vantiovantio 技術(shù)白皮書技術(shù)白皮書其次，一臺 dns 服務器充當兩個職責會帶來嚴重的安全問題。internic 要求所有的授權(quán)域名服務器開放訪問權(quán)限，因為互聯(lián)網(wǎng)上的緩存域名服務器需要通過查詢授權(quán)域名服務器以獲得對應域名的解析。另一方面，運營商的緩存域名服務器應當只對本網(wǎng)用戶開放訪問權(quán)限，以有效防止來自外網(wǎng)的 ddos 攻擊。基于 bind 的域

51、名服務器將兩個功能捆綁在一起的實現(xiàn)方法，不但增加了服務器的負載，也降低了服務器的安全級別。 -29-基于以上的原因，在 nominum 的 dns 系統(tǒng)設計中，授權(quán)功能和緩存功能分別由 ans和 vantio 完成。緩存域名服務器 vantio 完成以下功能：處理來自客戶的 dns 請求搜索本地緩存，如果沒有查詢結(jié)果，從根授權(quán)服務器開始遞歸查詢，最終從對應的授權(quán)服務器獲取域名數(shù)據(jù)并返回給客戶緩存里域名的存儲時間由 ttl 值決定，ttl 過期后從緩存里清除數(shù)據(jù)授權(quán)域名服務器 ans 完成以下功能：拒絕所有遞歸查詢域名數(shù)據(jù)在本地保存，服務器只負責本級和下級對應域名的解析由本地管理員修改配置本地域

52、名3 3、nominumnominum dnsdns 架構(gòu)的優(yōu)點架構(gòu)的優(yōu)點穩(wěn)定性產(chǎn)品成熟可靠，在世界各地數(shù)十家電信運營商平臺上廣泛采用，從來未發(fā)生任何事故。24x7 的專業(yè)技術(shù)支持和產(chǎn)品升級，降低了技術(shù)和運營風險高效可靠的內(nèi)存管理技術(shù)，有效的提高了內(nèi)存使用效率以及緩存命中率，系統(tǒng)長期穩(wěn)定運行，不需要網(wǎng)管干預。高性能在同類硬件平臺和運營商現(xiàn)網(wǎng)上，系統(tǒng)的 qps（每秒查詢數(shù)）比 bind9 增加了 600到 1000用戶域名查詢時延比 bind9 降低超過 1000cpu 的使用率提高了 60 -30-安全性高性能系統(tǒng)，有效的降低了 ddos 攻擊造成用戶服務中斷的幾率?？梢杂行У钟渌槍?dn

53、s 的攻擊如“cache poising”和 pharming 攻擊。方便靈活的管理模式業(yè)界唯一在軟件層次上支持 snmp 協(xié)議的 dns 系統(tǒng)，可以和其它網(wǎng)管工具結(jié)合，提供 dns 應用層面上的報警/檢測功能。支持 syslog，支持 netiq，catci 等第三方網(wǎng)管工具。統(tǒng)一的管理接口，支持基于 web 瀏覽器的 eac 后臺管理系統(tǒng)，可以方便的修改、查詢配置和統(tǒng)計數(shù)據(jù)基于命令行的在線命令通道，可是實時修改數(shù)據(jù)而不需要中斷服務。提供多種靈活的工具 可以從現(xiàn)有 bind 的配置直接轉(zhuǎn)化生成 vantio 的配置，方便了系統(tǒng)升級。 -31-附件附件 2、vantio 產(chǎn)品介紹產(chǎn)品介紹1、v

54、antio 簡介簡介傳統(tǒng)的運營商角色定義為互聯(lián)網(wǎng)的網(wǎng)路承載平臺和網(wǎng)絡硬件平臺提供者，隨著互聯(lián)網(wǎng)的發(fā)展和寬帶業(yè)務的廣泛應用，越來越多的運營商意識到發(fā)展互聯(lián)網(wǎng)上用戶業(yè)務和用戶流量經(jīng)營的重要性。通過提供給最終用戶更好的業(yè)務和服務，運營商可以在更多的層次上細化業(yè)務種類和吸引新的客戶。業(yè)務上的需求也產(chǎn)生了對運營商的 dns 系統(tǒng)提出了新的要求：1、dns 是互聯(lián)網(wǎng)上的關(guān)鍵應用，它直接關(guān)系到用戶的最終體驗，因特網(wǎng)的大規(guī)模發(fā)展對現(xiàn)有 dns 系統(tǒng)的安全性，可擴展性，穩(wěn)定性等方面提出了更高的要求。2、dns 在 ip 網(wǎng)上的核心地位也決定了它在作為新的業(yè)務增值切入點的角色。dns 是所有 ip 應用的核心，互

55、聯(lián)網(wǎng)上面幾乎的所有應用都要使用 dns。對于絕大多數(shù)應用，用戶首先會訪問 dns，dns 是業(yè)務層面的第一“接觸點”。dns 系統(tǒng)已經(jīng)部署在網(wǎng)內(nèi)，在 dns 上發(fā)展新業(yè)務不需要修改網(wǎng)絡結(jié)構(gòu)。在 dns 軟件基礎上為用戶提供增值業(yè)務開銷最小，具有性價比的優(yōu)勢。nominum 公司最新推出的 vantio 業(yè)務承載平臺就是在 ip 域名技術(shù)基礎之上，根據(jù)各大運營商的業(yè)務要求開發(fā)的的一個通用增值業(yè)務平臺，vantio 為網(wǎng)絡運營商提供了包括錯誤域名轉(zhuǎn)發(fā)在內(nèi)的多項增值業(yè)務模塊，它的基本架構(gòu)如下圖一所示： -32-uar vantiovantiovantio 基礎服務器基礎服務器基礎服務器可擴展可擴展可

56、擴展 vantiovantiovantio 基礎服基礎服基礎服務器務器務器, , , 支持多種增值業(yè)支持多種增值業(yè)支持多種增值業(yè)務服務插件模塊務服務插件模塊務服務插件模塊nxr錯誤域名轉(zhuǎn)發(fā)模塊錯誤域名轉(zhuǎn)發(fā)模塊錯誤域名轉(zhuǎn)發(fā)模塊 (nxr)(nxr)(nxr)mdr用戶接入控制模塊用戶接入控制模塊用戶接入控制模塊 (uar)(uar)(uar)應用應用應用: : : walledwalledwalled gardensgardensgardens客戶示例客戶示例客戶示例: : : comcastcomcastcomcast惡意域名控制模塊惡意域名控制模塊惡意域名控制模塊 (mdr)(mdr)(md

57、r)應用應用應用: : : illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem.客戶示例客戶示例客戶示例: : : upcupcupc如上圖所示，nominum 公司的 vantio 服務器是在緩存域名服務器技術(shù)基礎上開發(fā)的可擴展 dns 平臺，在 vantio 平臺上用戶可以按業(yè)務需求定制多種基于 dns的增值業(yè)務模塊，包括nxr：錯誤域名轉(zhuǎn)發(fā)模塊mdr：非法和惡意域名轉(zhuǎn)發(fā)模塊uar：用戶接入控制模塊vantio 服務器同時為運營商提供了豐富的 dns 管理功能和附加安全特性，例如：域名分析系統(tǒng)：基于域名和

58、 ip 的全 dns 請求日志和分析錯誤域名分析部件，可以分析錯誤域名的種類，提供所有錯誤域名訪問的記錄并產(chǎn)生相關(guān)分析報告2 2、vantiovantio 的系統(tǒng)安全性介紹的系統(tǒng)安全性介紹對 dos、ddos 攻擊的防范措施：vantio 支持基于源 ip 地址的訪問列表控制，管理員可以通過實時設置，屏蔽來自某些 ip 的域名解析請求， -33-defense on attach 技術(shù)：vantio 系統(tǒng)可以自動檢測在設置時間段內(nèi)從同一個 ip 地址發(fā)出的 dns 查詢請求的次數(shù)并自動切換保護模式，設置屏蔽。nominum 公司建議的方案中，本次 xx 移動 dns 系統(tǒng)設計具有很高的最大峰值

59、冗余度，可以有效的吸收黑客采用 ddos 方式攻擊帶來的額外流量，注：按本次設計方案，單節(jié)點的峰值處理能力為 40,000 50,000qps。在負載很高的情況下，vantio 依然可以保證較高的用戶請求響應率和較低的請求包丟失率。這樣在系統(tǒng)遭受攻擊時的可以響應用戶的正常查詢，給網(wǎng)管人員足夠的時間處理問題。其它安全特性：nominum 的 vantio 與開源程序 bind 不同，它采用完全封閉的代碼，杜絕了黑客通過分析源程序漏洞采取 buffer overflow 攻擊的可能性。nominum 的研發(fā)人員隨時跟蹤最新的安全信息，定時發(fā)布最新的補丁和新版本軟件。目前 vantio 平均每個季度

60、推出一個新的版本，我們產(chǎn)品的研發(fā)同時綜合了世界各地 80 多家頂級電信運營商提出的需求和建議。vantio 已經(jīng)包含了對常見的針對 dns 進行的網(wǎng)絡攻擊的防范措施，包括cache poisoning attack defensequery id guessing attack defensedns glue attack defensebirthday attack defense其它安全特性還包括：dns response validationdnssec support3 3、vantiovantio 系統(tǒng)可靠性介紹系統(tǒng)可靠性介紹nominum 公司的 vantio 產(chǎn)品是專為運營商開發(fā)的電信