移动dns解决方案.docx

1、移动dns解决方案移动 DNS解决方案1|17一、移动 IDC 机房需求分析 .31.移动 IDC 简介 .32.域名注册与 DNS托管 .33.移动 DNS 部署需求 .44.Cache 服务器需求 .41)本地 Cache Server.42)DNS智能解析 .5二、ISP级别 DNS部署方式 .51.DNS简介 .52.ISP传统 DNS部署方案及问题 .5传统运营商 DNS部署方案 .5传统方案存在的问题 .6三、阿姆瑞特智能 DNS解决方案 .91.阿姆瑞特公司简介 .92.阿姆瑞特智能 DNS简介 .103.XM-DNS 移动 IDC 解决方案 .111)方案介绍 .122)解决了

2、什么问题 .124.阿姆瑞特智能 dns 部分成功案例 .13四、阿姆瑞特科技售后服务承诺函 .141.热线电话和传真服务 .152.电子邮件和网站技术支持 .153.三年服务软件产品的更新及维护.154.三年服务期内硬件产品的更新及维护.155.产品的售后服务体系 .156.售后服务计划 .16保修期内售后服务承诺 .16保修期外售后服务承诺 .172|17一、 移动 IDC 机房需求分析1. 移动 IDC 简介传统 IDC（ Internet Data Center ），即互联网数据中心，是专门承接 IT 资源外包以及专业网络服务的数据中心。 IDC 为各类用户提供一个安全、 可靠、高速、

3、可扩展的电信服务场所，借助丰富的网络 &IT 资源向企业、网站出租带宽和机位资源，并提供有品质保证的服务。它提供的业务主要有主机托管、虚拟主机、增值服务和企业应用等。移动互联网数据中心是中国移动通信集团公司所属的， 依照国际一流标准设计建设的专业互联网数据中心。 移动 IDC 是依托移动一流的电信级数据网络环境建立起来的具备大规模服务器托管能力的数据中心， 其高度自动化管理系统和高度可扩充设施系统能够为不同用户提供可靠、快速、全面的托管服务；为上千台服务器提供高品质的网络资源和专业化服务。作为国内数据业务的主要运营商之一， 移动 IDC 将运用自身专业化管理、 全新的服务理念，以及技术、 市场

4、和资源优势，与企业一起探索电子商务创新的经营模式、务实的管理机制，提供开展电子商务所需的技术服务，推动企业核心价值的稳定增长。2. 域名注册与 DNS 托管任何个人或机构，必须先与管理域信息的两个单独实体接洽，然后才能在 Internet 上使用自己的域名，这两个实体分别是 “域名注册机构 ”和“DNS托管机构 ”。通常，域名注册机构也是 DNS 托管机构。但是，并非始终如此。域名注册机构是负责注册域名的公司。 从个人到跨国公司， 所有用户都必须先通过域名注册机构注册其域名。所有域名注册机构都必须获得互联网名称与数字地址分配机构(ICANN) 的认证。当您在特定域名注册机构那里搜索可用域名时，

5、实际上是在向全世界的所有域名注册机构搜索该域名的可用性。DNS 托管服务是拥有包含域的 DNS 记录的 DNS 服务器的公司。某些域名注册机构提供 DNS 托管服务，作为其域注册的一部分； 而其他域名注册机构则不提供 DNS 托管服务。与必须在可信任的域名注册机构那里注册的域名不同， 任何具有已注册的域名和公用 IP 地址的个人或公司都可以创建公用 DNS 服务器，并驻留任意数量域的 DNS 记录。当某个域的 DNS 记录由 DNS 托管服务驻留时，您和 Internet 的其余人实际上都可以使用该域。3|173. 移动 DNS 部署需求虽然任何具有已注册域名和公网 IP 地址的个人或公司都可

6、以自行创建 DNS服务器，并驻留任意数量的 DNS 记录，但对于绝大部分的个人、中小企业和政企机构等用户，自行创建并维护 DNS 服务器，是一件非常可拍的事情。首先，额外的硬件资本投入是一份不小的开支，其次个人搭建的 DNS服务器在稳定性、性能和安全等方面存在很大隐患，再次， DNS服务器的维护需要占用额外的人力。因此几乎 90%以上用户会选择 DNS托管服务。然而，选择 DNS 托管机构也是一件非常麻烦的事情。 某些 DNS 托管公司允许用户自行创建和修改域的 DNS 记录。其他 DNS 托管公司则不允许用户直接修改。而且，并非所有DNS 托管服务都支持所有种类的 DNS 记录。例如，某些

7、DNS 托管服务不支持 TXT 记录或 SRV 记录。另外，DNS的主动权掌握在别人手中， 需要自行增加二级域名等情况发生时，需要向托管机构提交申请，要等待漫长的验证时间。作为河南省最大的 IDC 之一，移动占据了大量的服务器等托管业务市场份额。 托管的网站等业务， 如果 DNS 解析不能自己掌握， 将会是一件非常可怕的事情！ 同联通、 电信不同，移动 IDC 主要提供服务器托管、 DNS 解析托管，用户请求的域名基本都在本地 DNS 部署，即移动 IDC 机房的 DNS服务器是这些网站的权威 DNS服务器， DNS主要工作压力来自解析查询和响应。4. Cache 服务器需求移动 IDC we

8、b 托管服务中，必不可少的一项就是为客户提供边缘网络镜像，即 CDN 的边界内容缓存服务器。例如北京电信托管的某大型门户网站，要求实现 CDN 功能，当河南的用户访问该网站， 要能够遵循就进访问的原则， 访问河南本地的镜像内容。 达到这一预期目标，有两点是必须做到的： DNS 智能解析、河南内容 Cache 服务器。1) 本地 Cache Server首先，河南本地必须有 Cache Server，用来提供用户访问的网站内容，这是前提条件。CDN 边界内容服务器并不是传统意义的镜像站点。它可以是一台服务器，同时缓存 N 多站点的全部或部分内容，灵活的提供边界层次的便捷访问，对于来访用户完全透明

9、。其次， 随着缓存内容的增加，来访用户并发连接、 每秒新建回话数、服务器查询进程等4|17会指数级增长，性能耗费要远大于提供单一站点访问的原 web 服务器。因此 Cache Server 除了对内存要求特别高以外， 一般都采用集群方式部署， 并且要求做到高效率的负载均衡。2) DNS智能解析实现 CDN 的前提是能够有效将用户的访问引至最近的 Cache Server。这就要求负责该域名解析的 DNS 服务器支持智能解析，能够按照来访用户所属物理地域范围，返回合理的 IP地址。普通 DNS 服务器并不能做到这一高级功能。二、 ISP级别 DNS 部署方式1. DNS 简介DNS 是域名系统

10、(Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应 IP 地址，并具有将域名转换为 IP 地址功能的服务器。其中域名必须对应一个 IP 地址，而 IP 地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机 / 服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为 IP 地址的过程就称为 “域名解析 ”。在 Internet上域名与 IP 地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识 IP 地址，它们之间的转换工作称为域名解析，域名解析需要由

11、专门的域名解析服务器来完成， DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入网站名称时， DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的 IP 地址，这样才能上网。2. ISP 传统 DNS 部署方案及问题传统运营商 DNS部署方案与普通用户不同，运营商 DNS 服务器对性能、稳定性要求更加苛刻。联通、电信等运5|17营商，由于提供宽带上网业务，宽带用户群体庞大，客户端上网所设 DNS 服务器就位于各地市的

12、 ISP 中心机房。联通、电信的 DNS 服务器，主要充当了 DNS 转发、缓存的角色，因为用户访问互联网的绝大部分网站， 都不在运营商本地 DNS上。即，联通和电信的本地 DNS服务器不是用户访问目标的权威解析服务器，其主要负担来自缓存和转发。每秒千万级别的查询请求，需要强大处理能力做支撑，任何常规的 DNS 服务器都是无法胜任的。为了解决 DNS服务器瓶颈问题，服务器集群方案被引入 DNS 部署架构。同一地点的 DNS 服务器群内，每台服务器除了私网地址外，还公用同一个公网 ip 地址，该地址即为注册生效的 DNS 地址。图 1 常规 ISP DNS部署图如图 1 所示，通常运营商会选择多

13、台性能强劲的 X86 通用服务器，安装 windows 或者Linux 操作系统，然后结合 windows 自带的服务或者 Bind 软件，以服务器集群的方式搭建DNS 服务。传统方案存在的问题1) 解析不够智能Windows 平台下不能实现智能解析。 额外安装系统自带的 dns 服务和相关组件就可以搭建一个简单的 DNS 服务器，但是无法实现按照线路和区域实现智能解析，不能解决不同 ISP互访的瓶颈问题。6|17更常见的 DNS 服务器是搭建在 Linux 系统下的。 Bind 无疑是业界实用最普遍的 DNS 软件。作为 DNS各种规范的实际“制作者” ，Bind 源自 Unix 系统，却发

14、祥与 Linux。90% 以上的 DNS 服务器就是基于 Linux 下的 Bind 软件实现的。当然， Bind 是可以实现部分智能解析功能的，比如按照来访用户所属运营商不同，返回不同的 IP 地址等。但是该功能的实现是基于比较简单的方法 -线路区域。需要手工建立一个个 IP 地址段，定义某些 IP 段属于哪个ISP 线路。但 Bind 要实现某些高级的智能解析就有点吃力了，比如对 CDN 的支持就不够完美，甚至某些情况下无法实现。2) 性能有瓶颈Windows 友好的操作界面确实为管理员提供了不少方便之处，但是庞大的 windows 系统本身并不是为专业 DNS 服务量身定做的系统，即使在

15、没有任何工作的情况下，绝大部分内存、 cpu 和中断等资源都被系统各种服务和无关进程占用着， DNS服务并不能获得高优先级，因此， windows 下搭建 DNS应付小需求还可以，在运营商部署确是一个噩梦。Linux 下的 Bind 已经相当出众，但却受到所在平台的严重约束。强大的硬件平台，却无法得到 Linux 高度的优化，各种协议栈的通用性降低了系统对硬件性能的挖掘力度，不能很好的提升网卡的处理能力，特别是小包和短时间内的链接建立、保持、断开。当代，通用的X86 平台硬件配置已经相当优越， 并且升级也非常方便， 但是 X86 平台并不适和实时操作系统和网络任务，尤其针对小包的处理，性能下降

16、率在 60%至 90%！Bind 结合 Mysql 数据库，在 3.0Ghz 双核 cpu、4G 内存的服务器上测试， 性能为 40000qps上下。针对省级 DNS 千万 qps 级别的处理量，需要这样的服务器约上百台。当然目前服务器的硬件配置已经相当可观。但是如此强劲的配置得到的性能确实不太理想的。并且如图 1 所示，常规的集群方法是通过Windows 或者 Linux 自带的服务器或者软件实现负载均衡。 其实通过操作系统实现的集群方式的负载均衡，本身存在一定的问题。因为对外透明的情况下， 同一角色的集群成员服务器公用同一个公网IP，当数据包到达该IP，即到达该集群， 集群服务或者软件会根

17、据一定的算法判断由其中某一台服务器做出响应，初衷是好的，但是实现方式确实以广播的形式通过给该集群的每一位成员。最然最终是只有一台服务器响应， 但是每台服务器每次都要接受处理广播报文，对整个集群的性能也是一种不小的负担！7|173) 安全性差随着信息化的高速发展，目前的网络安全现状和前几年相比，已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、 DDoS 攻击等威胁互相结合，对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对 DNS（域名服务器， Domain Name Service）的攻击也已成为最严重的威胁之一。 DNS是 Internet 的重要基础，包括 WEB 访问、 E

18、mail 服务在内的众多网络服务都和 DNS息息相关，因此 DNS的安全直接关系到整个互联网应用能否正常使用。DNS 系统面临的安全威胁作为当前全球最大最复杂的分布式层次数据库系统， 由于其开放、 庞大、 复杂的特性以及设计之初对于安全性的考虑不足， 再加上人为攻击和破坏， DNS系统面临非常严重的安全威胁，因此如何解决 DNS 安全问题并寻求相关解决方案是当今 DNS 亟待解决的问题。 DNS安全防护主要面临如下威胁：对 DNS 的 DDoS攻击DDoS （ Distributed Denial of Service ）攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源， 造成被攻击网

19、络无法处理合法用户的请求。 而针对 DNS的 DDoS 攻击又可按攻击发起者和攻击特征进行分类。 按攻击发起者分类僵尸网络：控制大批僵尸网络利用真实 DNS 协议栈发起大量域名查询请求模拟工具：利用工具软件伪造源 IP 发送海量 DNS查询 按攻击特征分类Flood 攻击：发送海量 DNS查询报文导致网络带宽耗尽而无法传送正常 DNS 查询请求资源消耗攻击：发送大量非法域名查询报文引起 DNS 服务器持续进行迭代查询，从而达到较少的攻击流量消耗大量服务器资源的目的DNS 欺骗DNS 欺骗是最常见的 DNS 安全问题之一。当一个 DNS 服务器由于自身的设计缺陷，接收了一个错误信息， 那么就将做

20、出错误的域名解析， 从而引起众多安全问题， 例如将用户引导到错误的互联网站点， 甚至是一个钓鱼网站； 又或者发送一个电子邮件到一个XX的邮件服务器。攻击者通常通过三种方法进行 DNS 欺骗： 缓存污染：击者采用特殊的 DNS请求，将虚假信息放入 DNS的缓存中8|17 DNS信息劫持：攻击者监听 DNS会话，猜测 DNS服务器响应 ID，抢先将虚假的响应提交给客户端 DNS重定向：将 DNS名称查询重定向到恶意 DNS服务器系统漏洞众多BIND(Berkeley Internet Name Domain) 是最常用的 DNS服务软件，具有广泛的使用基础，Internet 上的绝大多数 DNS

21、服务器都是基于这个软件的。 BIND 提供高效服务的同时也存在着众多的安全性漏洞。 ， CNCERT/CC在 2009 年安全报告中指出： 2009 年 7 月底被披露的“ Bind9 ”高危漏洞，影响波及全球数万台域名解析服务器，我国有数千台政府和重要信息系统部门、基础电信运营企业以及域名注册管理和服务机构的域名解析服务器受到影响。除此之外， DNS 服务器的自身安全性也是非常重要。目前主流的操作系统如 Windows 、UNIX、 Linux 均存在不同程度的系统漏洞和安全风险，而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分。4) 管理不方便Linux 环境下通过 Bind 软件搭建的 DNS服务器， 由于是基于命令行的管理方式， 不能提供 Web 方式的管理，操作复杂，门槛较高。并且在需要大量新建或者更改记录时，一条条命令输入对管理员来说，将会是一件非常痛苦的经历。另外，缺乏有效的审计和日志功能，不能提供详细的统计报表等有价值信息。三、