新疆移动DNS系统扩容改造项目技术建议书Word格式文档下载.doc
《新疆移动DNS系统扩容改造项目技术建议书Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《新疆移动DNS系统扩容改造项目技术建议书Word格式文档下载.doc(44页珍藏版)》请在冰点文库上搜索。
3、VANTIO系统可靠性介绍 33
4、Vantio的网络延时性能 34
5、系统管理工具 34
1) 网络设备性能监测 35
2) 服务器性能监测 35
3) CNS(Vantio)及Bind系统性能及可用性监测 36
4) CNS(Vantio)及Bind基本配置管理 36
5) 响应时间及DNS系统可用性监测(从用户角度体验式分析系统可用性) 37
6) 监控告警 37
7) 报表分析 38
附件3、软件性能测试对比数据 41
1、VANTIO服务器性能测试结果 41
2、VANTIO和Bind的比较数据 41
附录A–VANTIO和BIND的功能比较 43
附录B–Nominum公司全球部分用户列表 44
一、DNS系统的现状以及发展方向介绍
1.DNS业务发展介绍
随着移动数据业务的不断推广以及3G移动互联网的推出,移动数据应用增长迅猛,新疆移动WAP用户普及率已经达到50%左右,WAP上网用户的增加以及WAP应用的不断丰富带来了DNS请求量的大幅增长,DNS系统作为数据业务应用以及互联网应用的基础支撑平台,在数据业务和移动互联网业务应用的支撑方面有着非常重要的作用。
建设一个稳定、安全、高效的DNS系统已成为新疆移动业务发展的必然需要。
今年以来,5.19以及7.30等多次断网事件都是因为DNS系统的安全稳定性不够高而导致了数据业务以及互联网应用瘫痪,这些事件的发生给我们的DNS系统建设提出更高的要求。
同时,传统的运营商角色定义为互联网的网路承载平台和网络硬件平台提供者,随着互联网的发展和宽带业务的广泛应用,越来越多的运营商意识到发展互联网上用户业务和用户流量经营的重要性。
通过提供给最终用户更好的业务和服务,运营商可以在更多的层次上细化业务种类和吸引新的客户。
业务上的需求也产生了对运营商的DNS系统提出了新的要求:
1、DNS是互联网数据业务上的关键应用,它直接关系到用户的最终体验,因特网的大规模发展对现有DNS系统的安全性,可扩展性,稳定性等方面提出了更高的要求。
2、DNS在IP网上的核心地位也决定了它在作为新的业务增值切入点的角色。
lDNS是所有IP应用的核心,互联网上面几乎的所有应用都要使用DNS。
l对于绝大多数应用,用户首先会访问DNS,DNS是业务层面的第一“接触点”。
lDNS系统已经部署在网内,在DNS上发展新业务不需要修改网络结构。
在DNS软件基础上为用户提供增值业务开销最小,具有性价比的优势。
2、国内主流DNS建设使用情况分析
(1).目前典型的DNS组网架构
沿袭技术的发展,目前国内电信运营商除个别DNS压力较少的省份外,基本上采用四层交换机的架构组建DNS系统。
每个节点利用四层交换机进行负载分担到各台DNS服务器。
DNS服务器大部分采用商用DNS软件CNS(Vantio)服务器替代了免费的Bind服务器。
例如:
XX电信DNS系统的结构图如下:
图0�1四川电信DNS节点结构
XX电信DNS系统部署于成都新华枢纽楼,设备情况包括:
北电Alteon2424四台、F5一台、SUN490两台、SUNX4100两台、SUNE2900一台、SUNT2000两台、Dell2950一台、HPDL3604四台。
DNS平台使用软件包括:
bind、CNS(VANTIO)、ANS。
授权服务器与缓存服务器实现分开设置。
(2).四层交换机架构目前普遍出现的问题
l投资压力,由于四层交换机的会话数有限,无法进行硬件升级。
因此当DNS流量上升到一定程度时,经常需要更换新的硬件,无法实现有效投资保护。
l性能瓶颈,根据中国电信的统计,在80%左右的DNS节点瘫痪的重大故障中,均和四层交换机性能不足有一定得关系。
l免费的DNS软件稳定性、安全性、可管理性、业务增值应用扩展性以及分析性等均无法保障。
由此造成了多次大面积的业务故障事故。
已经不能适应目前运营商业务发展的需要。
(3).DNS架构的发展方向Anycast及CNS(Vantio)商业软件
目前在国外的电信行业中,Anycast架构已经广泛应用于DNS系统。
在很多域名的根节点及DNS递归节点中采用。
在国内的中国电信集团的CN2网络DNS系统及部分省市已经采用。
图:
中国电信CN2DNS体系架构
中国电信CN2的DNS系统由四个节点组成,每个节点由三台采用CNS的服务器组成。
Anycast架构的优点
l利用ECMP等价路由,实现负载分担(目前的路由器一般最大支持16台服务器)
l节省投资,直接在核心路由器上实现,无需另外采购硬件
l扩容容易,节点增加服务器时,只需要配置好相应的路由进程即可平滑进行扩容
最新扩容调整后XX电信的DNS架构如下:
XX电信DNS系统
二、新疆移动DNS系统现状分析
1、新疆移动DNS系统现状
新疆移动目前全省共有2个DNS服务器。
两台服务器采用Bind软件,同时作为授权及递归服务器使用。
随着移动3G网络的开通,各种基于无线数据网的宽带业务逐步增加,例如类型的个性化用户服务网站和多媒体邮件,导致网络上DNS的请求呈现指数型增长趋势。
(见下图)
InternetHosts
(machinenames)
IntranetHosts
Windows2000
services
Spamand
Anti-Spam
RFID
ENUM
IPv6
1988
2003
1998
1993
1983
2008
DNS应用的增长趋势图
目前新疆移动DNS系统存在的主要问题:
l域名解析服务器负载高;
n无法满足用户数请求数量递增的趋势
nBind服务器不够稳定,处理能力有限(在CPU负荷60%时极限处理能力为6000QPS),按照新疆移动目前的用户增长速度预测,到2010年初,DNS系统
nBind服务器容易受到DOS&
DDOS攻击的影响
l现行DNS管理方式不便;
l安全性较低,容易遭受攻击
l难以对域名请求的内容进行统计和分析
l难以处理域名服务器中的垃圾数据;
没有得到及时的DNS问题响应和处理支持。
2、现有系统运行数据测算
利用DNS管理分析手段对新疆移动两套DNS系统在线统计,发现目前两节点的Qps增长速度较快。
目前新疆移动DNS节点的高峰Qps已经接近6000。
在2008年7月Bind免费DNS软件爆出重大Bug,在升级后,其处理能力有一定程度的下降。
通过统计发现枢纽节点的处理能力已经接近其峰值,具体的数据如下:
时间
服务器
CPU%
QPS
2009.7.02
Dns1
44.39-49.44
3340.47-4631.72
2009.7.04
Dns2
45.91-52.91
3520.23-4922.13
2009.7.22
37.43-41.09
3637.92-5052.75
2009.7.29
36.52-42.38
3889.80-6090.97
2009.8.25
38.12-43.92
3494.46-5859.79
2009.8.26
39.42-43.56
3569.64-6514.39
2009.8.22
36.54-42.65
3481.18-6024.54
2009.8.23
36.32-41.64
3666.06-5777.74
表一:
近期枢纽节点数据采集
2009年8月9日21点CNS实时数据
考虑到目前免费的Bind软件在升级后,处理能力的下降,DNS节点目前已经接近极限处理峰值。
同时免费的Bind软件安全性无法保障因素,需要近期尽快对整个新疆移动DNS系统进行升级,以提高系统的处理能力、安全措施以及冗余能力从而保障数据业务的稳定高效以及良好发展。
3、DNS系统处理能力设计需求分析
根据中国移动新疆公司数据业务发展规划,到2012年,全省手机上网用户将发展到1554万户。
详见下表:
表52009-2012年新疆移动手机上网用户预测表
年份/月
2009
2010年
2011年
2012年
全省
万户
目前,在高峰期全省用户QPS达到万15000左右,达到目前DNS系统总处理能力的55%,要保证DNS系统稳定安全运行应保持业务量在系统最大处理能力的30%以内,按照以上预测结果以及规则,DNS业务需求表如下表所示:
表22009-2012年新疆电信DNS业务需求表
2012年8月底
手机上网用户数
840
1554
10000
19000
三、新疆移动DNS系统升级改造设计方案
1、DNS系统改造方案
通过分析新疆移动现网DNS结构和流量数据,北京融海公司建议的DNS改造方案如下:
(1)、分离授权和缓存域名解析功能
DNS的授权功能是对本地负责的域名实现解析功能,为全球用户提供服务;
而缓存功能则是运营商为本网用户提供的DNS查询缓存功能,同一台DNS服务器充当两个职责会带来严重的安全问题。
为了分离授权和缓存,我们建议:
保留原DNS服务器为授权DNS使用。
(2)、新建专业商用软件的缓存DNS节点,分配新的IP地址。
a)在两个异地备份节点各部署一台Vantio服务器,两个节点互为冗余备份。
当用户设置的第一域名服务器出现故障的情况下,用户的DNS请求会由操作系统自动切换到第二域名服务器。
b)负载分担:
疆内部份用户使用A节点做为第一域名服务器,B节点作为备用域名服务器,另外一部分用户使用B节点做为第一域名服务器,A节点作为备用域名服务器。
c)第一阶段,俩节点均可以采用常规的单机模式,根据业务增长趋势,可以灵活的变更为四层交换机架构或Anycast架构。
按照授权与递归分离的原则,新疆移动新建DNS系统的架构如下所示:
新疆移动DNS系统架构
(3)、该方案的主要优点如下:
∮在DNS改造过程中,保证原授权域名解析功能的正常运行。
∮新增缓存DNS节点的建设不影响现有系统的运行,整个升级改造过程可以实现服务无中断,保证升级过程中用户对DNS的正常使用。
∮在保证和提升了性能的前提下极大的节省了硬件投资,并提供了将来通过硬件升级进一步提高系统性能的可行性。
∮未来可以方便的通过部署ANYCAST方式以及增加服务器进行系统扩容升级。
无需对网络结构进行大的调整。
2、DNS组网硬件和网络环境设计分析
l服务器的配置:
–新增2台服务器,建议使用基于X86的PC服务器平台
建议的服务器配置如下:
CPU
内存
硬盘
操作系统
SunX4150
Xeon(R)X5460(3.16GHz)*2
4x2GBPC2-5300667MHzECCDDR2
2x146GB10KRPM2.5"
SASdrives
Solaris10X86
注:
采用Sun的服务器主要是考虑到Solaris10的操作系统的安全性相比RedhatAS5要高。
用户可根据此推荐配置选择性能相当的PC服务器,可以安装RedhatAS5操作系统。
Vantio在两个操作系统的处理能力基本相同。
l四层交换机
–按设计指标,不需要配置四层交换机
–四层交换机存在瓶颈问题,并且增加了故障点。
–目前Anycast技术已经成熟,未来可采用Anycast方式进行扩容,节省开支,避免四层瓶颈
l防火墙-可以单独配置防火墙设备或者使用前端路由设备的防火墙功能
–不建议对DNS流量进行包检测。
•DNS服务的端口53必须提供向用户服务
•防火墙不能阻挡针对DNS的攻击(缓存毒害攻击)
–通过防火墙设备可以实现
•对服务器本身的防护
•对访问IP地址的限制
l流量清洗设备(可选)
–在数据中心可以配置流量检测和清洗设备
–当发生DDOS攻击时,需要管理员手工干预
3、DNS系统设计性能指标
至2009年6月为止,新疆移动全省移动用户总数为1700万;
手机上网用户数为800万;
其中绝大部分为基于1-2G的WAP和CMNET用户。
从今年开始,新疆移动在全省范围内向用户提供基于TD-SCDMA的3G移动业务,预计到2012年底,新疆省的手机上网用户总数将达到为1554万。
在选定3G业务渗透率为15%的前提下,使用3G移动上网的用户总数为230万。
根据我们在国内现网的经验,在当前网络情况下,100万宽带用户对应的平均每秒查询数(即QPS)为10,000-15,000,峰值QPS为25,000-30,000。
3G在国内属于新业务,暂时没有国内相关的DNS统计数据,根据国外CDMA1X和GPRS网络上的经验值,预计每100万3G用户产生的DNS峰值查询数为每秒10000次左右。
同时,新疆移动将努力发展大客户和集团专线上网业务,专线用户产生的DNS查询量较高,1万专线用户对应的峰值QPS为5000-10000左右。
根据以上分析,建议本次DNS系统升级应考虑到2012年专线和移动3G用户数目增长带来的DNS流量增长。
具体设计指标如下:
1、预计到2012年6月底,新疆移动全省DNS系统需要支持的峰值每秒查询数QPS=30000;
DNS系统改造的设计目标应该满足
全省DNS支持的忙时QPS>
=30,000
2、在单节点出现故障的情况下,DNS系统依然可以满足全省用户正常网络查询的需求。
即
单节点可以支持最大QPS>
=30,000
3、为保证系统稳定运行,防范DDOS黑客攻击,系统设计时应考虑足够的富裕度。
在全省DNS系统正常运行情况下,服务器CPU平均负载应保持在30%以下。
单台服务器的平均CPULoad<
30%
北京融海公司推荐的Nominum公司的缓存域名服务器系统Vantio是业界性能最高的缓存域名服务器,完全可以满足新疆移动的DNS系统设计指标。
Nominum建议使用的硬件平台为基于X86架构的PC服务器。
参考硬件平台:
DELLR805,2xQuadCoreAMDOpteron2393SE,内存8GB(4x2GB),800MHz,DualRanked,操作系统为RedhatEnterpriseLinuxv5.3。
在上述硬件平台上运行Vantiov4.0的现网参考指标如下:
在保证服务质量的前提下,单台服务器支持的最大QPS值约为40,000;
新疆移动全省部署两台服务器,DNS支持的最大QPS值为80,000;
单台服务器在系统正常情况下的平均CPU负载<
30%。
4、系统可管理性设计
本次扩容选配的专业商用NominumDNS软件所有产品系统支持统一的管理架构,包括以下类型的管理工具:
·
SNMP
SOAP/XML接口
CC(CommandChannel)命令行交互式管理工具
EAC(EngineAdministrationConsole)-基于Web的远程管理工具,可以方便的修改系统配置,管理域文件,同步主从服务器。
Syslog和统计(statistics)功能
融海咨询基于DNS应用的特点结合互联网用户访问行为分析等需求,开发出了一套完整的专业DNS系统管理分析系统软件,能够对DNS系统进行应用级的监控管理以及用户访问行为分析等功能。
后期可根据需求进行选配。
5、DNS系统可扩展功能设计
传统的运营商角色定义为互联网的网路承载平台和网络硬件平台提供者,随着互联网的发展和宽带业务的广泛应用,越来越多的运营商意识到发展互联网上用户业务和用户流量经营的重要性。
DNS是互联网上的关键应用,它直接关系到用户的最终体验,因特网的大规模发展对现有DNS系统的安全性,可扩展性,稳定性等方面提出了更高的要求。
DNS在IP网上的核心地位也决定了它在作为新的业务增值切入点的角色。
互联网流量汇聚就是最近在国际国内快速发展的一种新的业务。
Nominum公司作为世界各地顶级运营商DNS架构的软件提供商,可以在第一时间了解到运营商的各种增值业务需求,并把握到互联网上DNS未来技术发展的动态。
公司最新推出的Vantio业务承载平台就是在IP域名技术基础之上,根据各大运营商的业务要求开发的的一个通用增值业务平台,Vantio为网络运营商提供了包括错误域名转发在内的多项增值业务模块,它的基本架构如下图一所示:
图一:
Vantio软件系统结构
UAR
VantioBaseServer
(ExtensibleDNSserverforvalue-added
DNS-basedservices)
ExtensibleVantiobaseserverwithpluggableDNS-basedservicedeliverymodules
NXR
NXDOMAINRedirection(NXR)
MDR
UserAccessRedirection(UAR)
Application:
walledgardens
Firstcustomer:
Comcast
MaliciousDomainRedirection(MDR)
Applications:
illegaldomains,botrem.
UPC
如上图所示,Nominum公司的Vantio服务器是在VANTIO缓存域名服务器技术基础上开发的可扩展DNS平台,在Vantio平台上用户可以按业务需求定制多种基于DNS的增值业务模块,包括
NXR:
错误域名转发模块
MDR:
非法和恶意域名转发模块
UAR:
用户接入控制模块
SML:
垃圾邮件控制模块
6、本次DNS系统规划中Anycast架构设计规划
Anycast方式最初定义于RFC1546,意为处于互联网中的一台主机向某一Anycast地址发送IP协议报文,互联网负责将其送往一个接收目的地址为Anycast地址的主机。
这里Anycast地址定义为用于实现主机标记的IPv4或IPv6地址,可能有多个互联网主机接收目的地为该地址的IP报文。
利用Anycast技术,提供同一类服务的所有服务器可配置同一个AnycastIP地址,路由系统自动将服务请求送至最近的服务器。
Anycast技术原理
Anycast是目前当前应用较广的负载均衡技术。
国外很多DNS系统都应用了Anycast技术,它具有以下优点:
l优点:
全网负载均衡较好,用户按地域的就近访问,网络时延小;
强大的冗余备份功能,域名解析服务不依赖于少数几个节点的连通性,每个节点都具有冗余备份功能,节点越多冗余备份功能越强;
能有效预防DDoS攻击;
有利于IPv6网络的部署,节点升级对用户几乎没有影响。
Anycast技术既可以在整个网络间使用,也可以在单节点内采用等价路由实现负载分担,通过前期测试,其负载基本维持在1:
1的比例,负载差异最大在10%以内,能够满足一般节点的负载均衡要求。
一般在省级的DNS系统中,为保证系统的可维护性,建议采用节点内Anycast架构,其原理如图所示:
节点内Anycast示意图
※Anycast架构与四层交换机架构优缺点对比
四层交换机架构的优点:
l扩容简单
l负载均衡比例可设置
四层交换机架构的缺点:
l系统瓶颈,四层交换机瘫痪会导致整个节点瘫痪(根据统计,国内DNS系统节点故障的80%集中在四层交换机)
l硬件无法升级,需要重复投资(支持的会话数无法升级,每次扩容需要购买更强的四层交换机)
Anycast架构的优点:
l扩容简单,设计灵活(既可设计广域的Anycast架构,也可设计节点内的Anycast架构)
l多台服务器自动形成冗余备份,不会造成DNS节点整理瘫痪
l无需购买硬件,现有的核心路由器即可支持
Anycast架构的缺点:
l负载无法按照设置分配,其服务器分配流量均在1:
1,要求服务器处理能力相当
四、新疆移动DNS系统升级改造项目实施内容及计划
考虑到系统实施的复杂性及涉及的范围,融海咨询对本项目的具体实现方式、进度安排等实施方案建议如下。
1、项目组织结构
我们建议的项目组织结构如图5-1所示。
图5-1 项目组织结构图
用户和公司各派出高层领导担任本项目负责人,把握项目的方向、决定项目的重大事项、协调双方的关系。
项目经理由公司和客户各派一人担任,负责项目计划、组织和分工、控制项目进度、考核项目人员业绩、协调项目人员间的关系。
项目管理的具体工作主要由公司的项目经理负责,但客户方也应派出项目经理(项目负责人),参与项目管理。
2、项目实施配合需求
在工程实施过程中,需要新疆移动配合提供的环境保障方面的工作有:
(1)、提供硬件服务器,提供网络环境。
提供安装VANTIO软件的硬件服务器及网络安装环境(包括IP等),以便顺利安装调试软件。
(2)、提供新的系统分配IP,以便配合VANTIO设置支持范围。
升级会员 