DNS技術(shù)研究與應(yīng)用結(jié)題匯報(bào)報(bào)告_第1頁(yè)
DNS技術(shù)研究與應(yīng)用結(jié)題匯報(bào)報(bào)告_第2頁(yè)
DNS技術(shù)研究與應(yīng)用結(jié)題匯報(bào)報(bào)告_第3頁(yè)
DNS技術(shù)研究與應(yīng)用結(jié)題匯報(bào)報(bào)告_第4頁(yè)
DNS技術(shù)研究與應(yīng)用結(jié)題匯報(bào)報(bào)告_第5頁(yè)
已閱讀5頁(yè),還剩70頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

中國(guó)移動(dòng)集團(tuán)級(jí)重點(diǎn)研發(fā)工程結(jié)題匯報(bào)報(bào)告2021年11月21日工程名稱:DNS技術(shù)研究與應(yīng)用一.

課題目標(biāo)實(shí)現(xiàn)情況目錄二、主要研究成果〔整合后〕1.1研究背景:“4+1〞戰(zhàn)略推動(dòng)全業(yè)務(wù)開展,全業(yè)務(wù)開展凸顯DNS系統(tǒng)各類問(wèn)題已引入網(wǎng)站394家中可提供全網(wǎng)效勞的只占42.4%電信級(jí)DNS需求亟需通過(guò)DNS技術(shù)研究、優(yōu)化和應(yīng)用,提升傳統(tǒng)DNS走向電信級(jí)DNS并實(shí)現(xiàn)DNS增值傳統(tǒng)DNS缺失電信級(jí)能力主流DNS是BIND軟件,原為互聯(lián)網(wǎng)設(shè)計(jì)全網(wǎng)DNS未進(jìn)行標(biāo)準(zhǔn)化,未進(jìn)行電信級(jí)要求和提升原因應(yīng)對(duì)方式網(wǎng)內(nèi)資源解析問(wèn)題2021.5.19,暴風(fēng)影音事件造成電信大范圍斷網(wǎng),百度域名被篡改導(dǎo)致無(wú)法訪問(wèn)2021.8.18,新疆電信DDoS斷網(wǎng)事件特殊域名保障:新華網(wǎng)、政府網(wǎng)CPU、解析成功數(shù)性能統(tǒng)計(jì)需求迫切QPS等業(yè)務(wù)量統(tǒng)計(jì)需求騰訊、新浪等重點(diǎn)域名分析解析失敗后域名糾錯(cuò)系統(tǒng)各類系統(tǒng)有待梳理,建統(tǒng)一管理平臺(tái)DNS平安問(wèn)題電信級(jí)能力弱深化運(yùn)營(yíng)問(wèn)題海量DNS請(qǐng)求QPS達(dá)5萬(wàn),需要優(yōu)化系統(tǒng)架構(gòu)應(yīng)對(duì)大規(guī)模災(zāi)難性事故、故障等引起的域名解析問(wèn)題,提升容災(zāi)備份能力數(shù)據(jù)挖掘系統(tǒng)增值系統(tǒng)1.2主要研究?jī)?nèi)容立足現(xiàn)網(wǎng)+研究驗(yàn)證+推廣應(yīng)用浙江公司江蘇公司山東公司北京公司云南公司需求分析省公司調(diào)研各省回訪協(xié)調(diào)平安所封閉討論方案制定標(biāo)準(zhǔn)制定方案、網(wǎng)絡(luò)、數(shù)據(jù)部討論集團(tuán)評(píng)審入網(wǎng)測(cè)試聯(lián)合工程前期調(diào)研和研究與集團(tuán)各部門及平安所充分討論工程過(guò)程中進(jìn)行了充分的調(diào)研和討論工程過(guò)程中進(jìn)行了充分的測(cè)試和驗(yàn)證完成別離架構(gòu)及DNS重定位驗(yàn)證測(cè)試已啟動(dòng)廠家入網(wǎng)測(cè)試涉及廠商6家,用例達(dá)200余項(xiàng)1.2聯(lián)合工程研究?jī)?nèi)容和整體性江蘇:統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐北京:基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究及DNS標(biāo)準(zhǔn)制定山東:智能糾錯(cuò)與應(yīng)急解析備份浙江:基于用戶行為分析的DNS數(shù)據(jù)挖掘研究院“DNS技術(shù)研究與應(yīng)用〞1〕支撐全網(wǎng)CMNetDNS改造及新功能引入2〕制定CMNetDNS相關(guān)標(biāo)準(zhǔn)〔架構(gòu)、組網(wǎng)、功能等〕3〕梳理全網(wǎng)DNS關(guān)系,形成整體解決方案?jìng)鹘y(tǒng)DNSDNS優(yōu)化DNS增值云南:IPv6網(wǎng)絡(luò)中的DNS研究CMNetDNS全網(wǎng)DNS1.3目標(biāo)完成情況總結(jié)-成果輸出研究報(bào)告8冊(cè):?DNS整體解決方案研究報(bào)告?、?DNS重定位現(xiàn)網(wǎng)改造方案研究?、?DNS工程中期評(píng)審報(bào)告?、?基于DNS日志挖掘的用戶行為分析報(bào)告?、?統(tǒng)一域名效勞系統(tǒng)技術(shù)研究報(bào)告?、?統(tǒng)一域名效勞系統(tǒng)日志采集方案?、?容災(zāi)容錯(cuò)系統(tǒng)研究報(bào)告?、?基于DNS解析的增值業(yè)務(wù)體系研究報(bào)告?企業(yè)標(biāo)準(zhǔn)2冊(cè):?中國(guó)移動(dòng)互聯(lián)網(wǎng)DNS設(shè)備技術(shù)標(biāo)準(zhǔn)?-已評(píng)審,?中國(guó)移動(dòng)DNS設(shè)備測(cè)試標(biāo)準(zhǔn)?-征求意見總計(jì):完成研究報(bào)告8冊(cè),標(biāo)準(zhǔn)2冊(cè),專利5項(xiàng),專利風(fēng)險(xiǎn)分析報(bào)告1冊(cè)DNS技術(shù)研究與應(yīng)用項(xiàng)目成果在現(xiàn)網(wǎng)的應(yīng)用與部署情況(浙江/江蘇/山東/北京/云南/研究院/網(wǎng)絡(luò)部/計(jì)劃部)方案部/網(wǎng)絡(luò)部/研究院:關(guān)于IDC路由優(yōu)化及DNS監(jiān)控問(wèn)題現(xiàn)網(wǎng)升級(jí)方案建議,指導(dǎo)全網(wǎng)100多臺(tái)DNS效勞器升級(jí)改造研究院/網(wǎng)絡(luò)部/方案部:?DNS重定位現(xiàn)網(wǎng)改造方案研究?網(wǎng)絡(luò)部/研究院:DNS系統(tǒng)數(shù)據(jù)挖掘需求分析浙江公司:基于DNS日志挖掘的用戶行為分析系統(tǒng),系統(tǒng)已上線,測(cè)試研究報(bào)告1冊(cè)山東公司:容災(zāi)容錯(cuò)系統(tǒng)、智能糾錯(cuò)系統(tǒng),兩系統(tǒng)均已上線,測(cè)試報(bào)告2冊(cè)江蘇公司:統(tǒng)一域名效勞系統(tǒng)需求分析及軟件開發(fā),已完成驗(yàn)證測(cè)試,工程實(shí)施中北京公司:XX現(xiàn)網(wǎng)試點(diǎn),測(cè)試報(bào)告XX冊(cè),系統(tǒng)已上線云南公司:支持IPv6的域名解析系統(tǒng)試點(diǎn),測(cè)試報(bào)告1冊(cè),系統(tǒng)部署中成果總計(jì):輸出研究報(bào)告8本,標(biāo)準(zhǔn)2冊(cè),完成5個(gè)核心產(chǎn)品開發(fā),完成產(chǎn)品試點(diǎn)5個(gè),解決方案現(xiàn)網(wǎng)推廣2項(xiàng),正在進(jìn)行入網(wǎng)測(cè)試〔涉及6廠家,200余測(cè)試項(xiàng)〕,專利5個(gè)完成了既定的工程目標(biāo),在解決方案現(xiàn)網(wǎng)推廣/專利/企標(biāo)方面超額完成目標(biāo)。1.3目標(biāo)完成情況總結(jié)--技術(shù)創(chuàng)新點(diǎn)DNS系統(tǒng)加固DNS業(yè)務(wù)支撐能力增強(qiáng)業(yè)內(nèi)首次制定DNS系統(tǒng)測(cè)試方法在業(yè)界首先提出DNS效勞器功能及性能測(cè)試方法,方法有望寫入行業(yè)標(biāo)準(zhǔn)DNS重定位方案首次提出DNS重定位排序方案,明確了技術(shù)要求與設(shè)備支持情況,節(jié)省了網(wǎng)絡(luò)升級(jí)本錢明確了DNS站點(diǎn)組網(wǎng)要求明確了DNS效勞器三層組網(wǎng)方案,制定了組網(wǎng)要求,解決了原有四層交換機(jī)組網(wǎng)的性能瓶頸聯(lián)合北京公司,提出了遞歸DNS效勞器的別離架構(gòu),并首次完成實(shí)驗(yàn)室驗(yàn)證測(cè)試,在一定程度上提高了DNS系統(tǒng)性能和可擴(kuò)展性業(yè)內(nèi)首家制定DNS標(biāo)準(zhǔn)業(yè)內(nèi)首家制定DNS設(shè)備標(biāo)準(zhǔn),明確了DNS相關(guān)功能、性能等要求DNS網(wǎng)管監(jiān)測(cè)DNS系統(tǒng)各省獨(dú)立部署與運(yùn)維,集團(tuán)無(wú)法對(duì)全網(wǎng)DNS進(jìn)行集中監(jiān)測(cè)。協(xié)助網(wǎng)絡(luò)部首次明確DNS集中網(wǎng)管監(jiān)測(cè)要求首次開發(fā)多套DNS統(tǒng)一網(wǎng)管系統(tǒng),實(shí)現(xiàn)對(duì)多套DNS系統(tǒng)的集中、統(tǒng)一管理首次明確DNS平安要求首次明確DDoS平安域劃分,緩存投毒、DDoS等攻擊防護(hù)要求,首次明確DNS平安配置要求DNS數(shù)據(jù)挖掘系統(tǒng)開發(fā)首次開發(fā)部署DNS數(shù)據(jù)挖掘系統(tǒng),實(shí)現(xiàn)了對(duì)熱點(diǎn)業(yè)務(wù)的挖掘DNS增值系統(tǒng)開發(fā)首次進(jìn)行DNS廣告增值系統(tǒng)開發(fā),制定了相關(guān)解決方案DNS容災(zāi)備份系統(tǒng)開發(fā)首次開發(fā)DNS容災(zāi)備份系統(tǒng),實(shí)現(xiàn)對(duì)權(quán)威效勞器數(shù)據(jù)的備份IPv6DNS系統(tǒng)部署與試點(diǎn)首次進(jìn)行IPv6網(wǎng)絡(luò)DNS系統(tǒng)試點(diǎn),實(shí)現(xiàn)了IPv6域名解析與訪問(wèn)2021年底全國(guó)總經(jīng)理會(huì)、2021年全國(guó)網(wǎng)絡(luò)會(huì)局部省公司反響網(wǎng)內(nèi)資源解析至網(wǎng)外的問(wèn)題,本工程采用DNS重定位方案緩解該問(wèn)題,方案已在全國(guó)落實(shí)暴風(fēng)影音事件、百度域名攻擊事件、新疆DNSDDOS攻擊事件對(duì)用戶造成了極大的影響,本工程對(duì)CMNet全網(wǎng)DNS系統(tǒng)提出了全面的DNS平安加固方案,并在標(biāo)準(zhǔn)中進(jìn)行了明確和落實(shí)DNS平安加固“4+1〞戰(zhàn)略推動(dòng)全業(yè)務(wù)開展,全業(yè)務(wù)開展帶來(lái)業(yè)務(wù)量猛增,DNS組網(wǎng)架構(gòu)面臨挑戰(zhàn),本工程優(yōu)化了DNS組網(wǎng)架構(gòu)為應(yīng)對(duì)大規(guī)模災(zāi)難性和故障事件等引起的域名解析問(wèn)題,本工程在現(xiàn)網(wǎng)實(shí)現(xiàn)了DNS容災(zāi)備份方案DNS電信級(jí)提升為實(shí)現(xiàn)新華網(wǎng)等特殊域名保障、解析成功數(shù)性能統(tǒng)計(jì)、、QPS等業(yè)務(wù)量統(tǒng)計(jì)需求、新浪等重點(diǎn)域名分析,本工程大力提升了DNS網(wǎng)管和統(tǒng)計(jì)支撐能力,在標(biāo)準(zhǔn)中進(jìn)行了明確和落實(shí)為解決用戶域名解析失敗后糾錯(cuò)系統(tǒng),本工程在現(xiàn)網(wǎng)實(shí)現(xiàn)了解析失敗后域名糾錯(cuò)系統(tǒng)各類系統(tǒng)有待梳理,本工程在現(xiàn)網(wǎng)實(shí)現(xiàn)了統(tǒng)一管理平臺(tái)DNS深化運(yùn)營(yíng)1〕解決了7項(xiàng)公司在市場(chǎng)開展和生產(chǎn)運(yùn)營(yíng)中存在的關(guān)鍵問(wèn)題1.3目標(biāo)完成情況總結(jié)網(wǎng)內(nèi)資源訪問(wèn)和DNS重定位2〕研究和提出了1項(xiàng)關(guān)鍵技術(shù)點(diǎn)的決策建議。1.3目標(biāo)完成情況總結(jié)決策點(diǎn):IDC路由優(yōu)化問(wèn)題決策內(nèi)容:完成IDC路由優(yōu)化功能技術(shù)方案研究,明確全網(wǎng)升級(jí)改造方案及要求決策時(shí)間:2021年04月3〕申請(qǐng)了國(guó)內(nèi)專利申請(qǐng)5項(xiàng),其中,挖掘?qū)@?個(gè)〔含專利20項(xiàng)〕,實(shí)現(xiàn)應(yīng)用的專利1件,專利風(fēng)險(xiǎn)評(píng)估報(bào)告1份。專利名稱公司名稱專利狀態(tài)1DNS查詢的方法及設(shè)備研究院已通過(guò)集團(tuán)評(píng)審2一種通過(guò)DNS引導(dǎo)互聯(lián)網(wǎng)業(yè)務(wù)流量流向的統(tǒng)一解決方案研究院已通過(guò)集團(tuán)評(píng)審3一種域名解析優(yōu)化方法及系統(tǒng)實(shí)現(xiàn)研究院已通過(guò)集團(tuán)評(píng)審4一種基于撥測(cè)的DNS智能解析的方法浙江已通過(guò)集團(tuán)評(píng)審5一種基于DNS日志挖掘的用戶行為分析方法浙江已通過(guò)集團(tuán)評(píng)審1.3目標(biāo)完成情況總結(jié)4〕輸出企業(yè)標(biāo)準(zhǔn)1個(gè)。企業(yè)標(biāo)準(zhǔn):?中國(guó)移動(dòng)互聯(lián)網(wǎng)DNS設(shè)備技術(shù)標(biāo)準(zhǔn)?評(píng)審時(shí)間:2021年10月31日標(biāo)準(zhǔn)內(nèi)容:規(guī)定了中國(guó)移動(dòng)CMNet網(wǎng)絡(luò)DNS系統(tǒng)的設(shè)備技術(shù)要求,具體包括:系統(tǒng)結(jié)構(gòu)、效勞器功能要求、網(wǎng)管要求、數(shù)據(jù)分析及智能挖掘要求、可靠性及擴(kuò)展性要求、平安要求、性能要求、接口要求、軟硬件要求等內(nèi)容5〕完成新技術(shù)試驗(yàn)6項(xiàng)完成遞歸效勞器合設(shè)與別離架構(gòu)性能比照測(cè)試〔研究院〕完成DNS重定位排序與篩選方案性能比照測(cè)試〔研究院〕完成DNS挖掘系統(tǒng)功能驗(yàn)證測(cè)試〔浙江〕完成容災(zāi)容錯(cuò)及智能糾錯(cuò)系統(tǒng)功能驗(yàn)證測(cè)試〔山東〕完成統(tǒng)一域名效勞系統(tǒng)驗(yàn)證測(cè)試〔江蘇〕完成支持IPv6的域名解析系統(tǒng)試點(diǎn)〔云南〕正在進(jìn)行DNS廠家入網(wǎng)測(cè)試明確了設(shè)備對(duì)DNS重定位方案的支持情況,并進(jìn)行了驗(yàn)證性測(cè)試目前該方案已在現(xiàn)網(wǎng)100多臺(tái)DNS設(shè)備上進(jìn)行了升級(jí),節(jié)約設(shè)備升級(jí)本錢100萬(wàn)降低建網(wǎng)本錢協(xié)助網(wǎng)絡(luò)部首次明確了DNS集中網(wǎng)管監(jiān)測(cè)要求首次開發(fā)面向多套DNS的統(tǒng)一網(wǎng)管系統(tǒng),實(shí)現(xiàn)對(duì)多套DNS系統(tǒng)的集中、統(tǒng)一管理預(yù)計(jì)節(jié)約運(yùn)維本錢30萬(wàn)減少設(shè)備升級(jí)本錢降低運(yùn)維本錢6〕初步估計(jì)對(duì)企業(yè)績(jī)效的奉獻(xiàn)情況為……1.3目標(biāo)完成情況總結(jié)明確DNS三層站點(diǎn)組網(wǎng)要求,解決了原有四層交換機(jī)組網(wǎng)的性能瓶頸一臺(tái)四層交換機(jī)本錢約5萬(wàn)以上,而一臺(tái)三層交換機(jī)本錢約1萬(wàn)左右,能為每個(gè)DNS站點(diǎn)節(jié)約組網(wǎng)本錢為4萬(wàn)左右全網(wǎng)DNS共計(jì)64個(gè)站點(diǎn),因此預(yù)計(jì)節(jié)約256萬(wàn)工程對(duì)企業(yè)績(jī)效奉獻(xiàn)的量化路徑圖1.4工程企業(yè)績(jī)效奉獻(xiàn)和特征指標(biāo)項(xiàng)目特征指標(biāo)(PAV)指標(biāo)名稱項(xiàng)目應(yīng)用前指標(biāo)現(xiàn)狀值:PAVc項(xiàng)目應(yīng)用1年后指標(biāo)預(yù)期值:PAVe1此項(xiàng)目帶來(lái)的指標(biāo)變動(dòng)量:ΔPAV全網(wǎng)DNS重定位功能用戶數(shù)0戶600萬(wàn)600萬(wàn)企業(yè)特征指標(biāo)—網(wǎng)絡(luò)及生產(chǎn)類(EAV-PS)指標(biāo)名稱項(xiàng)目應(yīng)用前指標(biāo)現(xiàn)狀值(EAVc)項(xiàng)目應(yīng)用1年后指標(biāo)預(yù)期值(EAVe)此項(xiàng)目應(yīng)用帶來(lái)的指標(biāo)變動(dòng)量(ΔEAV)升級(jí)DNS重定位功能設(shè)備數(shù)0臺(tái)100臺(tái)100臺(tái)企業(yè)特征指標(biāo)—市場(chǎng)及財(cái)務(wù)類(EAV-MF)指標(biāo)名稱項(xiàng)目應(yīng)用前指標(biāo)現(xiàn)狀值(EAVc)項(xiàng)目應(yīng)用1年后指標(biāo)預(yù)期值(EAVe)此項(xiàng)目應(yīng)用帶來(lái)的指標(biāo)變動(dòng)量(ΔEAV)DNS重定位功能用戶收入0元/月1.4工程企業(yè)績(jī)效奉獻(xiàn)和特征指標(biāo)工程特征指標(biāo)的年度預(yù)期數(shù)值表項(xiàng)目特征指標(biāo)(PAV)的名稱:項(xiàng)目應(yīng)用前指標(biāo)現(xiàn)狀值:PAVc0項(xiàng)目應(yīng)用1年后指標(biāo)預(yù)期值:PAVe1600萬(wàn)項(xiàng)目應(yīng)用2年后指標(biāo)預(yù)期值:PAVe21200萬(wàn)一.課題目標(biāo)實(shí)現(xiàn)情況目錄二、主要研究成果〔整合后〕主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.1.3基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體優(yōu)化方案研究2.1.4DNS容災(zāi)備份系統(tǒng)研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理CMNetDNS存在問(wèn)題及應(yīng)對(duì)措施局部省公司的權(quán)威及遞歸效勞器合設(shè),存在平安隱患站點(diǎn)內(nèi)組網(wǎng)缺乏統(tǒng)一標(biāo)準(zhǔn),目前組網(wǎng)五花八門DNS效勞器攻擊防范能力差局部省份,僅設(shè)一臺(tái)DNS效勞器,難以進(jìn)行容災(zāi)備份目前缺乏對(duì)全網(wǎng)DNS運(yùn)行指標(biāo)的網(wǎng)管監(jiān)測(cè)能力目前缺乏數(shù)據(jù)分析手段,無(wú)法獲取用戶熱點(diǎn)業(yè)務(wù)其他關(guān)鍵問(wèn)題制定并優(yōu)化全網(wǎng)DNS系統(tǒng)架構(gòu)、邏輯架構(gòu)全網(wǎng)統(tǒng)一組網(wǎng)結(jié)構(gòu)要求開展DNS平安研究分階段逐步落實(shí)平安要求制定DNS網(wǎng)管監(jiān)測(cè)指標(biāo)上報(bào)要求制定業(yè)務(wù)統(tǒng)計(jì)指標(biāo)制定DNS關(guān)鍵問(wèn)題的技術(shù)要求應(yīng)對(duì)措施DNS系統(tǒng)架構(gòu)與組網(wǎng)優(yōu)化現(xiàn)網(wǎng)問(wèn)題:缺乏統(tǒng)一管理要求和標(biāo)準(zhǔn)平安和可靠性問(wèn)題DNS系統(tǒng)的業(yè)務(wù)支撐能力有待提升現(xiàn)網(wǎng)DNS缺乏重定位能力已引入域名存在出網(wǎng)現(xiàn)象制定DNS重定位要求全網(wǎng)部署DNS重定位功能DNS重定位和IDC資源訪問(wèn)我公司DNS由集團(tuán)及各省共32個(gè)DNS節(jié)點(diǎn)組成,其中權(quán)威效勞器由集團(tuán)和省網(wǎng)兩級(jí)架構(gòu)組成遞歸效勞器為扁平化架構(gòu),集團(tuán)節(jié)點(diǎn)主要用作各省節(jié)點(diǎn)的應(yīng)急備份節(jié)點(diǎn)各DNS節(jié)點(diǎn)遵循“雙節(jié)點(diǎn)雙路由〞原那么,通過(guò)異地備份的方式實(shí)現(xiàn)互備CMNetDNS全國(guó)邏輯組網(wǎng)權(quán)威服務(wù)器遞歸服務(wù)器.com.cnroot……Internet權(quán)威服務(wù)器集團(tuán)節(jié)點(diǎn)省B……權(quán)威服務(wù)器遞歸服務(wù)器遞歸服務(wù)器權(quán)威服務(wù)器遞歸服務(wù)器省ADNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)CMNetDNS全國(guó)物理組網(wǎng)DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)CMNetDNS系統(tǒng)架構(gòu)DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)關(guān)鍵問(wèn)題分析:一是站點(diǎn)問(wèn)題二是緩存和迭代別離問(wèn)題關(guān)鍵問(wèn)題一:DNS系統(tǒng)的站點(diǎn)組網(wǎng)優(yōu)化DNS系統(tǒng)現(xiàn)網(wǎng)主要采用四層組網(wǎng)方案,隨著DNS系統(tǒng)業(yè)務(wù)量逐漸增大,四層組網(wǎng)的性能瓶頸將會(huì)凸顯建議全網(wǎng)DNS系統(tǒng)在業(yè)務(wù)量大的情況下采用三層組網(wǎng)方案三層組網(wǎng)技術(shù)要求:CMNetDNS分為權(quán)威效勞器、遞歸效勞器,業(yè)務(wù)量大時(shí)遞歸效勞器可考慮進(jìn)一步分為緩存和迭代效勞器站點(diǎn)內(nèi)部采用L3等價(jià)路由方式實(shí)現(xiàn)負(fù)載均衡站點(diǎn)內(nèi)部通過(guò)VLAN隔離效勞器,站點(diǎn)內(nèi)應(yīng)成對(duì)部署防火墻四層組網(wǎng)方案三層組網(wǎng)方案DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)關(guān)鍵問(wèn)題二:遞歸效勞器是否別離是DNS架構(gòu)分析中最主要的問(wèn)題權(quán)威和遞歸別離:出于平安考慮,目前集團(tuán)已要求全網(wǎng)DNS系統(tǒng)的權(quán)威效勞器與遞歸效勞器進(jìn)行別離迭代和緩存別離:對(duì)于是否需要進(jìn)一步把遞歸效勞器別離成迭代和緩存,需要進(jìn)行詳細(xì)的分析DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)DNS服務(wù)器權(quán)威遞歸權(quán)威迭代緩存√?迭代和緩存是否分離取決于四個(gè)因素安全性可擴(kuò)展性性能成本〔1〕可擴(kuò)展性從可擴(kuò)展性方面看,由于迭代效勞器上需要升級(jí)的功能較少,且升級(jí)改造需要的工作量不大,因此兩級(jí)架構(gòu)對(duì)于可擴(kuò)展性有一定好處根本功能平安功能新增功能迭代效勞器功能DNS攔截〔用于應(yīng)急〕TTL修改DDos防攻擊緩存投毒防護(hù)緩存查詢功能迭代查詢功能緩存效勞器功能緩存查詢功能DDos防攻擊緩存投毒防護(hù)迭代查詢功能僅需修改配置需修改代碼,代碼量較少僅需修改配置僅需修改配置改造難度CutlistSortlist篩選需修改代碼排序僅需修改配置優(yōu)先級(jí)外網(wǎng)探測(cè)解析結(jié)果監(jiān)控需修改代碼需修改代碼DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)從上述分析來(lái)看,別離架構(gòu)在平安方面能起到一定的防護(hù)作用建議省公司根據(jù)實(shí)際的長(zhǎng)遠(yuǎn)需求和業(yè)務(wù)開展、實(shí)施本錢,可選支持和部署當(dāng)出現(xiàn)DDoS攻擊時(shí),由于遞歸功能的集中,有可能出現(xiàn)迭代效勞器先癱瘓,緩存效勞器尚可工作但分析說(shuō)明緩存效勞器在短時(shí)間內(nèi)也會(huì)癱瘓:緩存效勞器正常工作的時(shí)間與TTL值的長(zhǎng)短,以及攻擊強(qiáng)度密切相關(guān)當(dāng)攻擊強(qiáng)度大時(shí),緩存效勞器瞬時(shí)也將癱瘓別離架構(gòu)下,攻擊者也可以通過(guò)自己構(gòu)造一個(gè)權(quán)威效勞器來(lái)直接獲得后端迭代效勞器的地址,因此也無(wú)法完全隱藏后端的迭代效勞器對(duì)于緩存投毒等其他類型的攻擊,別離架構(gòu)與合設(shè)架構(gòu)沒有差異在部署了DNSSEC后,加重了對(duì)遞歸效勞器的DDoS攻擊〔1.攻擊難度降低:原來(lái)正常的查詢請(qǐng)求量即可形成攻擊;2.受攻擊概率上升〕的可能性,緩存和遞歸別離的架構(gòu)有助于緩解DDoS攻擊的影響2〕平安性分析--DDoS攻擊遞歸服務(wù)器權(quán)威合設(shè)架構(gòu)緩存迭代權(quán)威分離架構(gòu)DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)VS.〔3〕性能分析:比照分析別離架構(gòu)與合設(shè)架構(gòu)的性能差異,關(guān)鍵是考慮DNS效勞器數(shù)量相同,且CPU同負(fù)載的情況下,別離架構(gòu)能比合設(shè)架構(gòu)多處理多少Q(mào)PSDNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)根據(jù)測(cè)試結(jié)果,未增加任何智能策略時(shí),別離架構(gòu)緩存效勞器命中率與迭代效勞器命中率差異越小,別離架構(gòu)與合設(shè)架構(gòu)的性能差異越小根據(jù)測(cè)試結(jié)果,效勞器上增加智能策略〔如TTL修改和DNS重定位功能〕時(shí),對(duì)性能影響非常小,可以忽略現(xiàn)網(wǎng)調(diào)研發(fā)現(xiàn),目前無(wú)法獲取緩存效勞器命中率與迭代效勞器命中率Forward查詢迭代查詢用戶請(qǐng)求儀表(模擬用戶)遞歸服務(wù)器緩存服務(wù)器迭代服務(wù)器儀表(模擬權(quán)威服務(wù)器)測(cè)試拓?fù)鋭e離結(jié)構(gòu)下,迭代效勞器緩存命中率80%,緩存效勞器緩存命中率75%合設(shè)架構(gòu)下,遞歸效勞器緩存命中率75%測(cè)試場(chǎng)景一QPS測(cè)試結(jié)果推導(dǎo)結(jié)果3臺(tái)4臺(tái)5臺(tái)6臺(tái)7臺(tái)分離架構(gòu)1臺(tái)緩存1臺(tái)迭代110002:12:23:24:25:22200022000330004400055000合設(shè)架構(gòu)1臺(tái)遞歸690020700276003450041400483002臺(tái)遞歸13800別離結(jié)構(gòu)下,迭代效勞器緩存命中率80%,緩存效勞器緩存命中率80%合設(shè)架構(gòu)下,遞歸效勞器緩存命中率80%測(cè)試場(chǎng)景二QPS測(cè)試結(jié)果推導(dǎo)結(jié)果3臺(tái)4臺(tái)5臺(tái)6臺(tái)7臺(tái)分離架構(gòu)1臺(tái)緩存1臺(tái)迭代110002:12:23:24:25:22200022000330004400055000合設(shè)架構(gòu)1臺(tái)遞歸700021000280003500042000490002臺(tái)遞歸14000〔4〕本錢分析根據(jù)對(duì)現(xiàn)網(wǎng)主要的6個(gè)DNS廠家的調(diào)研,DNS新增軟件功能模塊定價(jià)模式有以下三種:按軟件模塊賣:只收一個(gè)軟件開發(fā)費(fèi),沒有任何license限制。代表廠家是亞信、中網(wǎng)和潤(rùn)通緩存按qps賣、迭代按軟件模塊賣:迭代效勞器新增功能模塊一般只收軟件開發(fā)費(fèi),而緩存效勞器上的新增模塊會(huì)首license的qps限制。代表廠家是泰策和牙木按效勞器臺(tái)數(shù)賣:代表廠家是中太根據(jù)調(diào)研,新增DNS功能時(shí),廠家多數(shù)是按照軟件模塊或者QPS請(qǐng)求量進(jìn)行收費(fèi)的,與效勞器的數(shù)量并不直接相關(guān),因此別離架構(gòu)中集中建設(shè)迭代效勞器并部署相關(guān)策略,并不能節(jié)省軟件開發(fā)的費(fèi)用DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)調(diào)研涉及的廠商考慮可擴(kuò)展性、平安、性能、本錢多方面因素,別離架構(gòu)在業(yè)務(wù)量大情況下能夠提高設(shè)備性能,但對(duì)于可擴(kuò)展性、平安效果、節(jié)省本錢并不明顯;業(yè)務(wù)量小的情況下效果均不明顯,因此不建議全網(wǎng)強(qiáng)制要求別離架構(gòu)可擴(kuò)展性:需要升級(jí)的功能較少,且升級(jí)改造工作量不大,因此兩級(jí)架構(gòu)對(duì)于可擴(kuò)展性有一定好處平安:緩存迭代隔離方案在平安方面能起到一定的防護(hù)作用,但效果不明顯性能:在DNS效勞器數(shù)量大于6臺(tái)時(shí),別離架構(gòu)的性能將明顯優(yōu)于合設(shè)架構(gòu)本錢:廠家多數(shù)是按照軟件模塊或者QPS請(qǐng)求量進(jìn)行收費(fèi),與效勞器的數(shù)量并不直接相關(guān),因此別離架構(gòu)中集中建設(shè)迭代效勞器并部署相關(guān)策略,并不能節(jié)省軟件開發(fā)的費(fèi)用建議后續(xù)進(jìn)一步落實(shí)緩存命中率的現(xiàn)網(wǎng)參考數(shù)據(jù),同時(shí)標(biāo)準(zhǔn)明確要求遞歸效勞器數(shù)量大于6臺(tái)時(shí),建議采用別離架構(gòu)緩存與迭代是否別離的結(jié)論迭代緩存是否別離集中建設(shè)與現(xiàn)有維護(hù)機(jī)制不匹配,暫不建議集中建設(shè)迭代效勞器是否集中建設(shè)迭代效勞器多層次、有重點(diǎn)嚴(yán)格劃分不同的平安域:縱向劃分為核心效勞域、內(nèi)部支撐系統(tǒng)域、管理域、集團(tuán)或省公司互聯(lián)區(qū)及互聯(lián)網(wǎng)〔CMNet〕接入域、DMZ域;橫向劃分為權(quán)威域、遞歸域。緩存投毒防護(hù):支持查詢?cè)炊丝谥С?6位隨機(jī)性根據(jù)國(guó)家的要求逐步部署DNSSEC可選支持0X20DDoS攻擊防護(hù):遞歸效勞器要具備一定的策略,過(guò)濾或終止異常請(qǐng)求進(jìn)程采用自動(dòng)入侵防護(hù)系統(tǒng)〔檢測(cè)與清洗聯(lián)動(dòng)〕系統(tǒng)邊界處部署平安設(shè)備,并加強(qiáng)對(duì)系統(tǒng)的訪問(wèn)控制和平安審計(jì)。明確效勞器軟件配置平安要求:隱藏BIND的版本號(hào)防止透露效勞器信息建立訪問(wèn)控制列表〔ACL〕……DNS系統(tǒng)無(wú)平安域劃分,訪問(wèn)邊界混亂。DNS系統(tǒng)平安性差,易受到各種攻擊。緩存投毒暴風(fēng)影響事件——DDoS攻擊其他類型的平安威脅DNS效勞器軟件配置不當(dāng),導(dǎo)致平安威脅。DNS平安防護(hù)DNS平安問(wèn)題DNS系統(tǒng)平安性提升DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)1〕平安域劃分明確平安域劃分的原那么,對(duì)DNS系統(tǒng)進(jìn)行區(qū)域劃分,進(jìn)行層次化、有重點(diǎn)的保護(hù),形成清晰、簡(jiǎn)潔、穩(wěn)定的DNS組網(wǎng)架構(gòu)實(shí)現(xiàn)DNS系統(tǒng)之間嚴(yán)格訪問(wèn)控制的平安互連,更好的解決DNS系統(tǒng)的平安問(wèn)題。集團(tuán)公司和省公司兩個(gè)層面的平安域管理域、接入域、DMZ域、核心效勞域、支撐域嚴(yán)格劃分縱向劃分外網(wǎng)解析平安域、內(nèi)網(wǎng)解析平安域權(quán)威DNS域、遞歸DNS域橫向劃分DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)2〕平安攻擊防護(hù)--DDoS攻擊防護(hù)1攻擊者發(fā)起大量不存在或偽造域名的遞歸請(qǐng)求

迭代查詢2新疆事件業(yè)務(wù)支撐架構(gòu)與組網(wǎng)暴風(fēng)影音事件4本地DNS效勞器緩存+迭代迭代查詢?cè)儐?wèn).com根〔.〕詢問(wèn)baofeng迭代查詢迭代查詢授權(quán)響應(yīng)

暴風(fēng)托管的解析效勞器受攻擊,IP被封1緩存過(guò)期,用戶客戶端遞歸查詢暴風(fēng)失敗2大量計(jì)算機(jī)暴風(fēng)影音客戶端不斷發(fā)起查詢請(qǐng)求3遞歸查詢

大量的暴風(fēng)影音用戶持續(xù)發(fā)送域名解析請(qǐng)求,導(dǎo)致遞歸解析效勞器的資源耗盡,形成拒絕效勞攻擊;用戶無(wú)法獲得DNS解析效勞,導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓攻擊者通過(guò)假冒源IP地址發(fā)起大量的不存在〔AAAA類型的域名請(qǐng)求〕或偽造〔隨機(jī)生成的以gamese456結(jié)尾的三級(jí)域名〕的域名解析請(qǐng)求;DNS效勞器資源耗盡,用戶無(wú)法獲得DNS解析效勞,導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓

DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)

針對(duì)DDoS攻擊,目前還沒有成熟的方案來(lái)防范??梢酝ㄟ^(guò)提高設(shè)備性能、事前流量監(jiān)控、事后攻擊行為分析來(lái)防范。在部署DNSSEC之后,由于遞歸時(shí)間變長(zhǎng)、性能消耗大,針對(duì)遞歸效勞器的DDoS攻擊會(huì)更加嚴(yán)重。baofeng

針對(duì)DDoS攻擊,目前還沒有成熟的方案來(lái)防范??梢酝ㄟ^(guò)提高設(shè)備性能、事前流量監(jiān)控、事后攻擊行為分析來(lái)防范在部署DNSSEC之后,由于遞歸時(shí)間變長(zhǎng)、性能消耗大,針對(duì)遞歸效勞器的DDoS攻擊會(huì)更加嚴(yán)重2〕平安攻擊防護(hù)--DDoS攻擊防護(hù)大量的暴風(fēng)影音用戶持續(xù)發(fā)送域名解析請(qǐng)求,導(dǎo)致遞歸解析效勞器的資源耗盡,形成拒絕效勞攻擊;用戶無(wú)法獲得DNS解析效勞,導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓。大量計(jì)算機(jī)暴風(fēng)影音客戶端不斷發(fā)起查詢請(qǐng)求本地DNS服務(wù)器緩存+迭代根提示(.).com遞歸查詢1迭代查詢迭代查詢迭代查詢?cè)儐?wèn).com詢問(wèn)授權(quán)響應(yīng)321

暴風(fēng)托管的解析服務(wù)器受攻擊,IP被封緩存過(guò)期,用戶客戶端遞歸查詢暴風(fēng)失敗

4暴風(fēng)影音事件

1攻擊者發(fā)起大量不存在或偽造域名的遞歸請(qǐng)求

迭代查詢2新疆事件攻擊者通過(guò)假冒源IP地址發(fā)起大量的不存在〔AAAA類型的域名請(qǐng)求〕或偽造〔隨機(jī)生成的以gamese456結(jié)尾的三級(jí)域名〕的域名解析請(qǐng)求;DNS效勞器資源耗盡,用戶無(wú)法獲得DNS解析效勞,導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓。DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)2〕平安攻擊防護(hù)--緩存投毒防護(hù)2021年7月9日以來(lái),微軟、ISC等互聯(lián)網(wǎng)域名解析效勞軟件廠商紛紛發(fā)布了平安公告,稱其DNS軟件存在高危漏洞,攻擊者可以通過(guò)猜測(cè)DNS解析過(guò)程中的報(bào)文序列號(hào)來(lái)偽造DNS權(quán)威效勞器的應(yīng)答,從而到達(dá)“污染〞高速緩存中記錄的目的。本地DNS服務(wù)器根提示(.).com遞歸查詢1迭代查詢迭代查詢迭代查詢?cè)儐?wèn).com詢問(wèn)授權(quán)響應(yīng)21緩存+迭代黑客主機(jī)群黑客主機(jī)群INA192.168.x.xINA錯(cuò)誤的IP地址通過(guò)端口和ID碰撞;通過(guò)中間截獲;緩存投毒攻擊防護(hù)查詢?cè)炊丝谥С?6隨機(jī)性在發(fā)現(xiàn)異常訪問(wèn)后清理緩存支持DNSSEC功能支持0x20屬性(可選)定期遞歸效勞器反向查詢〔可選〕維護(hù)知名網(wǎng)站IP地址列表,進(jìn)行IP地址驗(yàn)證〔可選〕被動(dòng)監(jiān)聽檢測(cè)應(yīng)答報(bào)文數(shù)量〔可選〕DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)DNSSEC防范緩存投毒在DNSSEC中,所有的應(yīng)答報(bào)文都經(jīng)過(guò)數(shù)字簽名??蛻舳?解析程序)通過(guò)驗(yàn)證消息中的數(shù)字簽名判斷收到的信息來(lái)源是否安全可靠,從而防止緩存投毒。DNSSEC的主要功能:來(lái)源驗(yàn)證:通過(guò)數(shù)字簽名,驗(yàn)證數(shù)據(jù)是否來(lái)自正確的授權(quán)服務(wù)器。完整性驗(yàn)證:通過(guò)Hash校驗(yàn)數(shù)據(jù)在傳輸?shù)倪^(guò)程中是否被更改。否定存在驗(yàn)證:對(duì)否定應(yīng)答報(bào)文提供驗(yàn)證信息,確認(rèn)授權(quán)服務(wù)器上不存在所查詢的資源記錄。緩存投毒防護(hù)—部署DNSSECDNSSEC部署建議DNSSEC機(jī)制對(duì)DNS系統(tǒng)性能有較高要求。建議部署DNSSEC時(shí)明確要求服務(wù)器的性能指標(biāo)要求,并對(duì)硬件設(shè)備和帶寬進(jìn)行相應(yīng)的升級(jí)和擴(kuò)容

。DNSSEC無(wú)法防護(hù)拒絕服務(wù)攻擊,在一定程度上加重了拒絕服務(wù)攻擊。開啟和部署DNSSEC后,相應(yīng)的安全防護(hù)手段仍需不斷加強(qiáng)。DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)DNS與IDC訪問(wèn)控制DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)網(wǎng)間結(jié)算費(fèi)用高用戶體驗(yàn)差上述訪問(wèn)問(wèn)題造成的后果在TOP1000已引入的394家網(wǎng)站,約有42%的子域名需要出網(wǎng)訪問(wèn)在所有已引入的流量中,出網(wǎng)訪問(wèn)的流量占比約為14%…IDC網(wǎng)站訪問(wèn)存在的問(wèn)題該問(wèn)題的解決方案方案一:升級(jí)我公司DNS具備域名重定位能力(主動(dòng)式)☆方案二:通過(guò)域名攔截方式將已引入網(wǎng)內(nèi)的域名攔截至網(wǎng)內(nèi)(主動(dòng)式)☆方案三:要求網(wǎng)站具備DNS智能解析能力〔被動(dòng)式〕DNS重定位方案對(duì)運(yùn)營(yíng)商側(cè)DNS進(jìn)行功能改造,對(duì)CP授權(quán)DNS的解析結(jié)果進(jìn)行IP地址比對(duì)、把本網(wǎng)的解析地址排序在前,結(jié)果上能實(shí)現(xiàn)網(wǎng)內(nèi)用戶優(yōu)先訪問(wèn)所有網(wǎng)內(nèi)網(wǎng)站方案簡(jiǎn)介1、發(fā)起解析請(qǐng)求遞歸DNS3、進(jìn)行地址比對(duì),把移動(dòng)IP排在前面2、返回解析結(jié)果,但順序隨機(jī)(聯(lián)通)(移動(dòng))(電信)CP授權(quán)DNS網(wǎng)內(nèi)用戶排序方案遞歸DNS3、進(jìn)行地址比對(duì),只保留移動(dòng)IP2、返回解析結(jié)果,但順序隨機(jī)(聯(lián)通)(移動(dòng))(電信)CP授權(quán)DNS網(wǎng)內(nèi)用戶篩選方案DNS重定位方案比較排序方案(sortlist)篩選方案(cutlist)是否需要進(jìn)行軟件開發(fā)Bind軟件已支持,只需進(jìn)行相關(guān)配置即可,無(wú)需重新開發(fā)。且已經(jīng)過(guò)互聯(lián)網(wǎng)用戶的廣泛測(cè)試,穩(wěn)定性較好。升級(jí)簡(jiǎn)單,網(wǎng)絡(luò)改造小須對(duì)Bind進(jìn)行軟件開發(fā),穩(wěn)定性有待觀察開發(fā)量不大重定位后是否可輪詢排序后不同網(wǎng)段IP地址暫不支持輪詢。支持輪詢。對(duì)DNSSec的影響無(wú)DNSSec終結(jié)點(diǎn)到用戶側(cè)時(shí),則與DNSSec不兼容;DNSSec終結(jié)點(diǎn)到本地DNS服務(wù)器時(shí),需DNS設(shè)備進(jìn)行相應(yīng)適配。對(duì)DNS性能的影響每次用戶查詢時(shí),均需進(jìn)行排序,理論分析對(duì)DNS設(shè)備性能要求高;但現(xiàn)網(wǎng)調(diào)研浙江、山東、江蘇、云南DNS,升級(jí)sortlist前后性能基本沒有變化。外網(wǎng)迭代查詢后即進(jìn)行篩選,對(duì)DNS設(shè)備性能影響較小。廠家支持情況均支持部分廠家反饋無(wú)計(jì)劃支持成本Bind已支持,廠家調(diào)研基本無(wú)需任何費(fèi)用需要進(jìn)行軟件開發(fā),存在一定開發(fā)費(fèi)用。方案比照分析DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)DNS重定位兩種方案測(cè)試比照實(shí)驗(yàn)室排序方式與篩選方式性能比照測(cè)試現(xiàn)網(wǎng)調(diào)研升級(jí)排序方式前后性能比照根據(jù)實(shí)驗(yàn)室比照測(cè)試結(jié)果,在相同硬件情況下,sortlist與cutlist的性能差異不大根據(jù)現(xiàn)網(wǎng)對(duì)各省升級(jí)sortlist前后性能比照情況看,sortlist對(duì)效勞器的性能影響幾乎可忽略綜上,由于sortlist功能升級(jí)簡(jiǎn)單,網(wǎng)絡(luò)改造小,本錢低,建議優(yōu)選排序方式迭代查詢用戶請(qǐng)求儀表〔模擬用戶〕儀表〔模擬權(quán)威效勞器〕測(cè)試拓?fù)溥f歸效勞器CPU利用率不超過(guò)30%模擬權(quán)威效勞器QPS采用Bind軟件測(cè)試sortlist采用Recursor軟件測(cè)試sortlist采用Recursor軟件測(cè)試cutlist遞歸服務(wù)器500050004900注:Recursor是廠家自行開發(fā)的DNS軟件,同時(shí)支持sortlist和cutlist測(cè)試結(jié)果DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)均值7.1-7.77.8-7.148.15-8.218.22-8.28cpu_usage21202121mem_usage14141414山東公司DNS設(shè)備性能調(diào)研總量〔億條〕峰值(QPS)均值8.9-8.158.16-8.228.22-8.288.22-8.28cpu_usage4.95.56.56.7mem_usage7.627.8333337.333337.52333云南公司DNS設(shè)備性能調(diào)研均值6.7-6.147.11-7.188.15-8.229.5-9.12cpu_usage0.9710.821.321.46mem_usage10.8213.901.3219.06浙江公司DNS設(shè)備性能調(diào)研

4010016.7616升級(jí)前升級(jí)后

30721.6690

4100012DNS攔截方案DNS攔截方案:指對(duì)于網(wǎng)內(nèi)已引入網(wǎng)站,直接在我公司DNS上進(jìn)行域名攔截,由我公司DNS進(jìn)行域名解析、直接返回解析結(jié)果給用戶,用戶不再到權(quán)威DNS進(jìn)行域名解析建議DNS攔截方案作為全網(wǎng)的應(yīng)急方案〔必選〕由于風(fēng)險(xiǎn)較大,DNS攔截方案不建議用于常態(tài)下大規(guī)模的域名解析方案在通過(guò)相應(yīng)手段能完全防止?jié)撛诘姆娠L(fēng)險(xiǎn)和用戶投訴風(fēng)險(xiǎn)的前提下,允許對(duì)少量域名進(jìn)行域名攔截DNS攔截方案的意義:對(duì)于那些已經(jīng)引入移動(dòng)的IDC但是不支持智能DNS解析的CP域名進(jìn)行攔截〔部署DNS攔截方案最大能解決約14%出網(wǎng)訪問(wèn)業(yè)務(wù)量的解析問(wèn)題,有一定的部署意義,但是空間并不大〕DNS攔截方案存在的問(wèn)題:?jiǎn)栴}一:一旦CP更新了IP地址,而我公司DNS未及時(shí)更新,將存在很大的用戶投訴風(fēng)險(xiǎn)問(wèn)題二:需要部署探測(cè)效勞器或者增加探測(cè)模塊,否那么將存在投訴風(fēng)險(xiǎn)問(wèn)題三:需要和CP簽署相關(guān)的協(xié)議,否那么會(huì)存在法律風(fēng)險(xiǎn)問(wèn)題四:當(dāng)有域名更新需要進(jìn)行攔截時(shí),我公司需頻繁修改DNS攔截效勞器上的配置,每次配置生效需重啟該設(shè)備,影響網(wǎng)絡(luò)穩(wěn)定性;我公司DNS要進(jìn)行改造,具備配置我公司網(wǎng)站和IP地址對(duì)應(yīng)關(guān)系能力及相關(guān)配置管理接口1、發(fā)起解析請(qǐng)求移動(dòng)DNS2、進(jìn)行地址比對(duì),直接用移動(dòng)IP構(gòu)造DNS響應(yīng)包(移動(dòng))移動(dòng)節(jié)點(diǎn)域名IP地址3、直接解析至移動(dòng)網(wǎng)內(nèi)CMNet網(wǎng)內(nèi)CP授權(quán)DNS網(wǎng)內(nèi)用戶電信聯(lián)通節(jié)點(diǎn)DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)DNS網(wǎng)管和日志網(wǎng)管:DNS系統(tǒng)通過(guò)數(shù)據(jù)網(wǎng)管系統(tǒng)進(jìn)行管理,能夠支持對(duì)設(shè)備運(yùn)行指標(biāo)及業(yè)務(wù)相關(guān)指標(biāo)的實(shí)時(shí)監(jiān)控日志:建議設(shè)置獨(dú)立的日志效勞器,在解析請(qǐng)求到達(dá)DNS效勞器之前通過(guò)分光方式對(duì)DNS流量進(jìn)行旁路DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)建議通過(guò)分光獲取DNS日志,以降低DNS服務(wù)器性能壓力DNS業(yè)務(wù)量統(tǒng)計(jì)、DNS重點(diǎn)域名解析統(tǒng)計(jì)、域名解析請(qǐng)求排行統(tǒng)計(jì)、域名解析異常流量排行統(tǒng)計(jì)DNS與NTP同步在集團(tuán)北京節(jié)點(diǎn)和集團(tuán)廣州節(jié)點(diǎn)分別設(shè)置NTP主備效勞器,啟動(dòng)NTP效勞各省DNS節(jié)點(diǎn)劃分為南區(qū)和北區(qū),分別同北京/廣州主備節(jié)點(diǎn)進(jìn)行同步時(shí)間同步必要性對(duì)DNS數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘、業(yè)務(wù)分析時(shí),需要關(guān)聯(lián)全網(wǎng)DNS系統(tǒng)進(jìn)行分析,因此DNS系統(tǒng)應(yīng)有一致的時(shí)鐘。DNS系統(tǒng)內(nèi)部各效勞器需要有一致的時(shí)鐘,以便于統(tǒng)一管理。北京廣州DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)TTL修改RFC2181指出:TTL是RR記錄的最大生存周期,但并非強(qiáng)制。其取值可為0~2147483647〔合24855天〕Bind軟件對(duì)TTL配置沒有要求,根據(jù)調(diào)研,局部根效勞器TTL設(shè)置達(dá)3000000〔合34.7天〕TTL改大:能夠大大減輕DNS性能壓力,對(duì)現(xiàn)網(wǎng)意義較大。但當(dāng)網(wǎng)站割接,易造成用戶無(wú)法訪問(wèn)的風(fēng)險(xiǎn)TTL改?。阂自斐蒁NS頻繁的出網(wǎng)學(xué)習(xí),給DNS效勞器造成性能壓力。且用戶無(wú)法直接從緩存獲取DNS響應(yīng),造成體驗(yàn)降低根據(jù)現(xiàn)網(wǎng)調(diào)研,目前DNS效勞器性能壓力不大,不建議出于降低DNS效勞器性能壓力,全網(wǎng)要求支持TTL修改由于局部省公司反響有些CP解析不穩(wěn)定〔互聯(lián)互通出口擁塞造成丟包〕,因此現(xiàn)網(wǎng)曾進(jìn)行TTL修改。建議標(biāo)準(zhǔn)明確要求設(shè)備能夠支持對(duì)TTL進(jìn)行修改。但由于各省公司情況不一,因此標(biāo)準(zhǔn)里要求設(shè)備應(yīng)支持TTL修改功能,但不指定具體值。DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)TC位修改512字節(jié)TC位=0,表示DNS響應(yīng)報(bào)文總長(zhǎng)度未超過(guò)512字節(jié),報(bào)文未被截?cái)郥C位=1,表示DNS響應(yīng)報(bào)文總長(zhǎng)度超過(guò)512字節(jié),報(bào)文已被截?cái)?。此時(shí)用戶需要重新發(fā)起TCP查詢,重新獲取DNS響應(yīng)報(bào)文TC位根本原理TC位=1的躲避方式升級(jí)改造DNS軟件,將TC位置1的強(qiáng)制置0RFC2671定義了EDNS0實(shí)現(xiàn)方式:效勞器可將包長(zhǎng)大于512字節(jié)的DNS報(bào)文發(fā)送用戶由于易造成DNS受到TCP攻擊,現(xiàn)網(wǎng)多數(shù)已在四層交換機(jī)上將TCP查詢請(qǐng)求關(guān)閉根據(jù)北京現(xiàn)網(wǎng)調(diào)研,目前TCP查詢占比約0.0935%,用戶影響面不大隨著DNSSec部署,未來(lái)出現(xiàn)大于512字節(jié)的DNS響應(yīng)報(bào)文可能性增多;由于EDNS0方式需要客戶端配合,難以控制;因此建議逐步翻開TCP查詢的限制,且不進(jìn)行對(duì)DNS效勞器TC位修改的升級(jí)遞歸DNS網(wǎng)內(nèi)用戶需要修改遞歸效勞器需要客戶端配合DNS平安業(yè)務(wù)支撐架構(gòu)與組網(wǎng)主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.1.3基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體解決方案研究2.1.4DNS容災(zāi)備份系統(tǒng)研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理DNS日志挖掘-研究目標(biāo)DNS系統(tǒng)記錄了全省所有用戶的域名解析請(qǐng)求,包含用戶普遍行為,通過(guò)對(duì)域名解析請(qǐng)求的聚合分析,可實(shí)現(xiàn)網(wǎng)內(nèi)用戶關(guān)注熱點(diǎn)提取、協(xié)助業(yè)務(wù)排障,支撐寬帶業(yè)務(wù)開展用戶行為分析是配合業(yè)務(wù)開展重要分析手段采取何種技術(shù)進(jìn)行用戶行為分析,需要結(jié)合現(xiàn)網(wǎng)部署綜合考慮互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展需求IDC資源引入需求:需要分析網(wǎng)內(nèi)用戶聚合行為,提取關(guān)注熱點(diǎn)已引入資源效能評(píng)估:對(duì)已引入資源是否提供正確服務(wù),提供資源服務(wù)評(píng)估DPI系統(tǒng)能力有限D(zhuǎn)PI系統(tǒng)分析能力有限:無(wú)法按業(yè)務(wù)需求提供分析報(bào)表,設(shè)備鏡像口帶寬有限,開發(fā)周期長(zhǎng)DPI系統(tǒng)能力有限:海量數(shù)據(jù)分析需要大量硬件平臺(tái)支撐,目前系統(tǒng)無(wú)法提供研究目標(biāo)解決方案實(shí)施成效DNS日志挖掘的用戶行為方法DNS日志挖掘組網(wǎng)圖解析日志入庫(kù)單獨(dú)設(shè)置解析日志留存服務(wù)器。通過(guò)交換機(jī)端口鏡像,采集DNS系統(tǒng)上下行流量,通過(guò)DPI設(shè)備提取DNS解析與應(yīng)答,形成日志日志采集服務(wù)器從解析日志留存服務(wù)器提取日志,按照設(shè)計(jì)的數(shù)據(jù)庫(kù)表,進(jìn)行入庫(kù)操作數(shù)據(jù)表設(shè)計(jì)基礎(chǔ)信息表:記錄運(yùn)營(yíng)商IP地址信息;地市級(jí)別IP地址列表;用戶類型IP地址信息業(yè)務(wù)表:解析日志表,每日一張,分4個(gè)存儲(chǔ)隨機(jī)存放行為聚合分析全網(wǎng)用戶TOPN域名按有線寬帶、WLAN、企業(yè)用戶提取TOPN域名按區(qū)域提取局部用戶集中關(guān)注域名按解析結(jié)果范圍提取TOPN域名,如解析到電信/聯(lián)通、到地市電信/聯(lián)通的TOPN域名網(wǎng)站資源分析IDC引入站點(diǎn)評(píng)估:建立資源引入深度、考慮用戶點(diǎn)擊量的資源引入深度、服務(wù)全省率等三個(gè)指標(biāo)網(wǎng)站與域名關(guān)聯(lián)分析,提取基于某站點(diǎn)的用戶最關(guān)注的域名,實(shí)施優(yōu)先引入?yún)f(xié)助投訴處理協(xié)助GPRS用戶無(wú)下行DNS數(shù)據(jù)故障處理,提取解析日志,明確原因處理用戶網(wǎng)站打不開投訴,統(tǒng)計(jì)某時(shí)段某域名的解析情況,明確產(chǎn)生投訴原因研究目標(biāo)解決方案實(shí)施成效實(shí)施成效11非著名域名挖掘基于域名解析請(qǐng)求量的分析,可以挖掘非著名域名。Gtmg,5rmrp等非著名域名,卻在TOP100榜上有名。2基于一級(jí)域名的域名關(guān)聯(lián)分析對(duì)TOPN的網(wǎng)站域名進(jìn)行細(xì)分,按解析量提取子域名,輸出用戶關(guān)注更多的子域名清單,按業(yè)務(wù)局部需求,提供過(guò)qq\qvod\uusee等子域名清單3用戶關(guān)注首頁(yè)與用戶關(guān)注站點(diǎn)有所不同用戶關(guān)注的TOP15首頁(yè)和用戶關(guān)于的TOP15站點(diǎn)有較大差異,這和用戶安裝的軟件有極大的關(guān)系,引入360\毒霸\搜狗\PPSTREAM站點(diǎn)同樣意義非凡研究目標(biāo)解決方案實(shí)施成效實(shí)施成效24浙江IDC已引入站點(diǎn)評(píng)估引入深度對(duì)浙江已引入的TOP200及TOP1000站點(diǎn)進(jìn)行分析,完全引入的僅占7%5考察本地智能DNS功能升級(jí)的必要性對(duì)浙江省網(wǎng)DNS域名解析的TOP30000域名進(jìn)行解析結(jié)果分析,其中同時(shí)包含移動(dòng)地址和非移動(dòng)地址的域名量?jī)H占總量的0.64%??芍v本地智能DNS排序功能升級(jí)的效果不會(huì)太好。雖然浙江分析到了該數(shù)據(jù),但本地DNS仍然按集團(tuán)的要求進(jìn)行了排序。監(jiān)測(cè)用戶域名解析請(qǐng)求量,及時(shí)發(fā)現(xiàn)異常行為6浙江省網(wǎng)DNS域名解析請(qǐng)求量從3月份的每日2億條,現(xiàn)已上漲為每日12億條。但單用戶的域名解析請(qǐng)求量應(yīng)該在一個(gè)合理范圍。而用戶異常的請(qǐng)求也是導(dǎo)致請(qǐng)求量大量上漲的原因。從監(jiān)控中曾發(fā)現(xiàn)緩存系統(tǒng)、專線用戶的異常請(qǐng)求請(qǐng)求。研究目標(biāo)解決方案實(shí)施成效主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.1.4DNS容災(zāi)備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體解決方案研究2.1.3基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究--研究目標(biāo)研究目標(biāo)解決方案實(shí)施成效目標(biāo)1:現(xiàn)網(wǎng)DNS解析結(jié)果中有10%的錯(cuò)誤域名解析,有效利用這局部訪問(wèn)流量來(lái)開展增值業(yè)務(wù)目標(biāo)2:進(jìn)一步提高DNS系統(tǒng)的智能功能有效利用鐵通及直連的IDC資源;提高解析時(shí)延;進(jìn)一步優(yōu)化0X20功能;解決方案1--利用Nxdomain開展增值業(yè)務(wù)研究目標(biāo)解決方案實(shí)施成效BMCCCMNET北京智能DNS系統(tǒng)internet根域DNSsever授權(quán)DNSsever1234512用戶請(qǐng)求“〞域名的IP地址;通過(guò)迭代查詢查找域名對(duì)應(yīng)的IP地址,查找失敗,反響報(bào)文中通過(guò)Nxdomain字段標(biāo)示該域名不存在;3智能DNS將Nxdomain域名封裝廣告網(wǎng)站的IP地址;4將重新封裝后的結(jié)果反響給用戶;5用戶訪問(wèn)廣告網(wǎng)站;Nxdomain時(shí)彈出頁(yè)面業(yè)務(wù)流程解決方案2—提升DNS系統(tǒng)智能性控制緩存效勞器緩存DNS記錄的時(shí)間,在緩存DNS到期之前進(jìn)行預(yù)緩存,獲得最新的數(shù)據(jù),如以下圖所示在,TTL=590秒時(shí)進(jìn)行迭代查詢;當(dāng)SDNS檢測(cè)到偽裝響應(yīng)包時(shí)〔比方TXID不對(duì),或回復(fù)域名的大小寫與遞歸請(qǐng)求中域名的大小寫不能完全對(duì)應(yīng)〕,那么產(chǎn)生告警,拋棄回復(fù)包,同時(shí)對(duì)該域名發(fā)出第二次TCP請(qǐng)求,防止緩存中毒;基于IP地址的多級(jí)匹配功能開發(fā)及實(shí)現(xiàn)IP地址匹配的擴(kuò)展應(yīng)用緩存結(jié)果的提前迭代功能“0x20+〞功能的實(shí)現(xiàn)研究目標(biāo)解決方案實(shí)施成效實(shí)施效果1研究目標(biāo)解決方案實(shí)施成效1、DNS增值業(yè)務(wù)系統(tǒng)已在北京公司立項(xiàng)實(shí)施2、智能DNS系統(tǒng)新增功能的實(shí)現(xiàn)緩存結(jié)果的提前迭代功能〔已完成開發(fā)〕“0x20+〞功能的實(shí)現(xiàn)〔已完成開發(fā))域名增值網(wǎng)站功能:網(wǎng)址預(yù)測(cè),根據(jù)用戶輸入的域名,如果有類似的常見域名,那么從其中推薦最常見的一個(gè)域名,置于首行顯示;后臺(tái)統(tǒng)計(jì),可統(tǒng)計(jì)整個(gè)導(dǎo)航頁(yè)面的UV、PV,并可針對(duì)具體導(dǎo)航鏈接進(jìn)行統(tǒng)計(jì);終端適配,根據(jù)終端是還是電腦,返回相應(yīng)的WAP/WEB頁(yè)面,并做好相應(yīng)的頁(yè)面適配;運(yùn)營(yíng)能力,頁(yè)面中的樣式、板塊、各元素均可動(dòng)態(tài)調(diào)整。支持廣告等商務(wù)操作;實(shí)施效果2定義A和B兩個(gè)IP地址段,解析結(jié)果先于A匹配,命中就直接封裝報(bào)文;未命中,再與B匹配,命中后直接封裝;A={/24;;/24;}B={90;/24;/24;}多級(jí)匹配策略應(yīng)用后命中90策略實(shí)施前解析結(jié)果基于IP地址的多級(jí)匹配功能〔已完成開發(fā)〕研究目標(biāo)解決方案實(shí)施成效主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.1.3DNS容災(zāi)備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理研究目標(biāo)研究目標(biāo)解決方案實(shí)施成效研究目標(biāo):提升DNS系統(tǒng)容災(zāi)容錯(cuò)能力解決方案研究目標(biāo)解決方案實(shí)施成效容災(zāi)容錯(cuò)系統(tǒng)運(yùn)行機(jī)制容災(zāi)容錯(cuò)數(shù)據(jù)采集:用戶發(fā)起DNS域名查詢請(qǐng)求,Cache效勞器收到請(qǐng)求后遞歸查詢?cè)撚蛎?,收到域名查詢返回?cái)?shù)據(jù)后將結(jié)果。同時(shí),緩存效勞器部署數(shù)據(jù)采集agent模塊,采集數(shù)據(jù)去重、比對(duì)更新后寫入容錯(cuò)數(shù)據(jù)庫(kù)。容災(zāi)容錯(cuò)數(shù)據(jù)讀?。壕彺嫘谄鞑渴鸾馕鰯?shù)據(jù)異常探測(cè)器,當(dāng)監(jiān)測(cè)到某域名遞歸解析出現(xiàn)異常時(shí),觸發(fā)容災(zāi)容錯(cuò)功能,緩存效勞器轉(zhuǎn)向容災(zāi)容錯(cuò)Portal效勞器進(jìn)行查詢,容災(zāi)容錯(cuò)Portal效勞器作為加速器沉著災(zāi)容錯(cuò)數(shù)據(jù)數(shù)據(jù)庫(kù)提取數(shù)據(jù)并返回結(jié)果給緩存效勞器。實(shí)施效果研究目標(biāo)解決方案實(shí)施成效顯示系統(tǒng)當(dāng)前容錯(cuò)的狀態(tài),包括問(wèn)題域名列表,更多信息界面,可以看到哪個(gè)域名在具體dns效勞器上的狀態(tài)。主要研究成果2.1CMNetDNS優(yōu)化方案研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.1.3DNS容災(zāi)備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理研究目標(biāo)研究目標(biāo)解決方案實(shí)施成效云南教育專網(wǎng)覆蓋全省16個(gè)州市、129個(gè)縣區(qū)教育主管部門,各級(jí)學(xué)校和教育機(jī)構(gòu)的教育專用數(shù)據(jù)網(wǎng)絡(luò)。

需求:云南移動(dòng)、云南鐵通聯(lián)合云南省教育廳展開深度合作,建設(shè)一張效勞于云南教育信息化的專用網(wǎng)絡(luò),簡(jiǎn)稱云南教育專網(wǎng)。云南大學(xué)負(fù)責(zé)開展云南教育專網(wǎng)上的IPv6應(yīng)用研究。背景:集團(tuán)客戶是近年來(lái)電信市場(chǎng)的新藍(lán)海,也是中國(guó)移動(dòng)重要的市場(chǎng)戰(zhàn)略方向之一。從中國(guó)移動(dòng)云南公司集團(tuán)客戶業(yè)務(wù)開展情況來(lái)看,政府、教育、金融行業(yè)是其客戶規(guī)模和收入快速提升的三大重點(diǎn)領(lǐng)域。綜合辦公統(tǒng)一認(rèn)證門戶網(wǎng)站IPv6研究教育郵箱研究和開發(fā)基于IPv6的互聯(lián)網(wǎng)應(yīng)用欄目管理、內(nèi)容管理、在線互動(dòng)、業(yè)務(wù)服務(wù)超大存儲(chǔ)、統(tǒng)一消息、到達(dá)通知、手機(jī)郵箱統(tǒng)一賬號(hào)、統(tǒng)一授權(quán)、單點(diǎn)登錄公文流轉(zhuǎn)、信息管理、個(gè)人辦公、移動(dòng)辦公、短信提醒中職信息化資源共享、遠(yuǎn)程教育、學(xué)校信息化云服務(wù)平臺(tái)教育專網(wǎng)研究目標(biāo):基于CMNET網(wǎng)絡(luò)給集團(tuán)客戶提供IPv6域名解析效勞。解決方案研究目標(biāo)解決方案實(shí)施成效實(shí)施效果12021年,云南移動(dòng)在昆明樞紐機(jī)房5層及高新機(jī)房3層新建了兩套DNS系統(tǒng),高新節(jié)點(diǎn)配置了2臺(tái)緩存效勞器、1臺(tái)授權(quán)效勞器;樞紐節(jié)點(diǎn)配置了2臺(tái)緩存效勞器、1臺(tái)授權(quán)效勞器以及兩臺(tái)管理效勞器;此兩套系統(tǒng)及周邊網(wǎng)絡(luò)設(shè)備目前均支持IPv6域名的解析,可以提供相關(guān)解析效勞。研究目標(biāo)解決方案實(shí)施成效教育專網(wǎng)路由器〔IPv6已配置〕路由器〔IPv6已配置〕1×GE1×GE云南教育專網(wǎng)純IPv6試驗(yàn)網(wǎng)用1臺(tái)路由器及1×GE鏈路與樞紐機(jī)房我方1臺(tái)路由器互聯(lián);兩臺(tái)路由器上只配置IPv6相關(guān)地址及協(xié)議。云南教育專網(wǎng)純IPv6試驗(yàn)網(wǎng)向我方DNS系統(tǒng)IPv6地址發(fā)起域名解析請(qǐng)求,我方DNS系統(tǒng)為其返回相應(yīng)的IPv6效勞器地址。測(cè)試域名及地址規(guī)劃如下,測(cè)試前已在兩套DNS系統(tǒng)上進(jìn)行了配置:2001:da8:225:103:793a:532d:3261:81e3實(shí)施效果2測(cè)試編號(hào):1.2測(cè)試項(xiàng)目:IPv6域名解析測(cè)試結(jié)果:教育專網(wǎng)測(cè)試PC發(fā)出的解析請(qǐng)求我方DNS系統(tǒng)能夠收到并成功為其返回相對(duì)應(yīng)的IPv6地址,一共測(cè)試了300次,解析成功率100%,達(dá)到預(yù)期目的。測(cè)試編號(hào):1.1測(cè)試項(xiàng)目:IPv6地址可達(dá)性測(cè)試結(jié)果:

ping2000次/2000size/包,全部可達(dá),平均延遲2ms,最大10ms,最小1ms,測(cè)試通過(guò),達(dá)到預(yù)期目的。云南移動(dòng)DNS系統(tǒng)研究目標(biāo)解決方案實(shí)施成效主要研究成果2.1CMNetDNS優(yōu)化方案研究2.1.3DNS容災(zāi)備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理無(wú)線接入有線接入RouterSR固定接入集團(tuán)客戶2GBSCSGSNPCU3GGGSNAPN解析DNSSwitchBRASS-GWP-GWE-NBMME/DNSLTERNCGGSNIMS接入WLAN接入IMSDNSCDN調(diào)度器CDN效勞節(jié)點(diǎn)IMSCDNSBCCMNetDNSCMNetDNS隨著全業(yè)務(wù)的開展,省內(nèi)呈現(xiàn)設(shè)多套DNS系統(tǒng)的需求,主要包括:互聯(lián)網(wǎng)訪問(wèn)類:CMNetDNS、設(shè)備類:APN解析DNS〔包括〕、IMSDNS現(xiàn)網(wǎng)幾大DNS系統(tǒng)DNS與CDN調(diào)度器的關(guān)系其他運(yùn)營(yíng)商網(wǎng)絡(luò)網(wǎng)站ADNS網(wǎng)站BDNSCDN調(diào)度器與DNS關(guān)系DNSCDN調(diào)度器未簽約CDN網(wǎng)站(B)DNS解析流程簽約CDN網(wǎng)站(A)DNS解析流程假設(shè)網(wǎng)站A已簽約我公司CDN,B未簽約我公司CDN用戶訪問(wèn)網(wǎng)站B用戶訪問(wèn)網(wǎng)站ACDN調(diào)度器通過(guò)判斷發(fā)出解析請(qǐng)求的DNS設(shè)備地址,判斷用戶位置,并向DNS返回離該用戶最近的CDN效勞節(jié)點(diǎn)CDN能實(shí)現(xiàn)已簽約網(wǎng)站的DNS重定位;對(duì)于未簽約網(wǎng)站,需要升級(jí)現(xiàn)網(wǎng)DNS支持DNS重定位功能網(wǎng)站A〔已簽約CDN〕IDCCDN效勞節(jié)點(diǎn)網(wǎng)站B〔未簽約CDN〕CDN服務(wù)旨在優(yōu)化用戶體驗(yàn),但需通過(guò)與網(wǎng)站簽約實(shí)現(xiàn)。簽約后網(wǎng)站DNS要具備重定向至CDN調(diào)度器的功能,此功能和網(wǎng)站的智能DNS解析能力類似(一個(gè)是解析至調(diào)度器;一個(gè)是解析至目的網(wǎng)站)返回CDN調(diào)度器域名返回CDN效勞節(jié)點(diǎn)地址返回網(wǎng)站效勞節(jié)點(diǎn)地址IMSDNS和GPRSDNSS-CSCF/I-CSCF/BGCFSBCIP專網(wǎng)CMNet權(quán)威服務(wù)器遞歸服務(wù)器IMSDNSIMSDNS主要用于解析SBC設(shè)備的IP地址,以幫助IMS用戶發(fā)現(xiàn)SBC入口全網(wǎng)IMSDNS設(shè)備IP地址需要統(tǒng)一;同時(shí)為保證IMS業(yè)務(wù)的高可用性,還需要在CMNetDNS的權(quán)威效勞器上配置IMS域名的授權(quán)體系,以防IMSDNS不可用時(shí),用戶可通過(guò)查詢CMNetDNS獲取SBC地址GPRSDNS主要用于在用戶激活PDP上下文過(guò)程中根據(jù)用戶請(qǐng)求的APN解析出GGSN的設(shè)備IP地址用戶PDP激活成功后,需要通過(guò)CMNetDNS解析網(wǎng)站IP地址并上網(wǎng)IMSDNSGPRSDNS主要研究成果2.1CMNetDNS優(yōu)化方案研究2.1.3DNS容災(zāi)備份系統(tǒng)研究2.1.2基于用戶行為分析的DNS數(shù)據(jù)挖掘2.1.1DNS總體解決方案研究2.1.4基于域名的增值業(yè)務(wù)運(yùn)營(yíng)體系研究2.1.5IPv6網(wǎng)絡(luò)中的DNS研究2.2與其他系統(tǒng)DNS關(guān)系梳理2.2.2統(tǒng)一域名效勞系統(tǒng)技術(shù)研究與實(shí)踐2.2.1與其他系統(tǒng)DNS關(guān)系梳理研究目標(biāo)研究目標(biāo)解決方案實(shí)施成效業(yè)務(wù)節(jié)點(diǎn)容量寬帶業(yè)務(wù)南京節(jié)點(diǎn)18萬(wàn)QPS(250萬(wàn)寬帶+100萬(wàn)WLAN)無(wú)錫節(jié)點(diǎn)手機(jī)業(yè)務(wù)南京節(jié)點(diǎn)4萬(wàn)QPS(6000萬(wàn)手機(jī)用戶)無(wú)錫節(jié)點(diǎn)IMS業(yè)務(wù)南京節(jié)點(diǎn)1萬(wàn)QPS(250萬(wàn)IMS用戶)問(wèn)題及需求不同業(yè)務(wù)不同解析需求:滿足不同業(yè)務(wù)對(duì)于域名解析的不同需求降低故障風(fēng)險(xiǎn)和影響:不同業(yè)務(wù)之間不會(huì)相互影響,控制風(fēng)險(xiǎn)簡(jiǎn)化配置,提升運(yùn)維效率:打破目前全人工的維護(hù)模式,簡(jiǎn)化配置難度,防止數(shù)據(jù)配置錯(cuò)誤造成故障便于數(shù)據(jù)分析和挖掘:能夠分別分析各種業(yè)務(wù)的DNS請(qǐng)求,挖掘業(yè)務(wù)相關(guān)的信息;如何提升運(yùn)維效率?分布部署,集中管理寬帶DNS配置運(yùn)行參數(shù)ZONE數(shù)據(jù)Option參數(shù)域名列表View參數(shù)……IMSDNS配置ZONE1…………配置文件1配置文件1配置文件1江蘇現(xiàn)網(wǎng)DNS節(jié)點(diǎn)現(xiàn)狀現(xiàn)網(wǎng)DNS數(shù)據(jù)配置示意解決方案研究目標(biāo)解決方案實(shí)施成效可視化管理:管理系統(tǒng)采用B/S架構(gòu),通過(guò)WEB界面對(duì)各DNS節(jié)點(diǎn)進(jìn)行集中管理;統(tǒng)一的管理接口:采用SSH/SFTP接口方式,兼顧平安性和通用性;自動(dòng)安裝代理效勞:自動(dòng)為效勞器下發(fā)和安裝代理效勞,便于維護(hù);多操作系統(tǒng)適配:能夠自動(dòng)適配多種操作系統(tǒng),

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論