移动DNS系统扩容改造项目技术建议书

1、xxxx移动移动dnsdns系统扩容改造项目系统扩容改造项目 技术建议书技术建议书 北京北京 xx 咨询有限公司咨询有限公司 2009 年年 11 月月 -2- 目目 录录 一、dns 系统的现状以及发展方向介绍 .4 1.dns 业务发展介绍 .4 2、国内主流 dns 建设使用情况分析 .5 二、xx 移动 dns 系统现状分析.8 1、xx 移动 dns 系统现状 .8 2、现有系统运行数据测算 .9 3、dns 系统处理能力设计需求分析 .11 三、xx 移动 dns 系统升级改造设计方案.12 1、dns 系统改造方案 .12 2、dns 组网硬件和网络环境设计分析 .14 3、dn

2、s 系统设计性能指标 .15 4、系统可管理性设计 .16 5、dns 系统可扩展功能设计 .16 6、本次 dns 系统规划中 anycast 架构设计规划.18 四、xx 移动 dns 系统升级改造项目实施内容及计划.21 1、项目组织结构 .21 2、项目实施配合需求 .21 五、技术及售后服务内容 .23 1、标准技术支持内容 .23 2、故障级别 .23 3、响应时长 .24 4、高级服务 .24 六、培训计划 .26 附件 1、nominum 公司 dns 系统解决方案.27 1、nominum 公司介绍 .27 2、nominum 运营商级专业 dns 系统 .27 3、nomi

3、num dns 架构的优点 .29 附件 2、vantio 产品介绍 .31 1、vantio 简介 .31 2、vantio 的系统安全性介绍 .32 3、vantio 系统可靠性介绍 .33 4、vantio 的网络延时性能 .34 5、系统管理工具 .34 1)网络设备性能监测.35 2)服务器性能监测.35 3)cns（vantio）及 bind 系统性能及可用性监测 .36 4)cns（vantio）及 bind 基本配置管理 .36 5)响应时间及 dns 系统可用性监测（从用户角度体验式分析系统可用性） 37 6)监控告警.37 -3- 7)报表分析.38 附件 3、软件性能测试

4、对比数据 .41 1、vantio 服务器性能测试结果 .41 2、vantio 和 bind 的比较数据 .41 附录 a vantio 和 bind 的功能比较 .43 附录 b nominum 公司全球部分用户列表 .44 -4- 一、一、dns 系统的现状以及发展方向介绍系统的现状以及发展方向介绍 1.dns1.dns 业务发展介绍业务发展介绍 随着移动数据业务的不断推广以及 3g 移动互联网的推出，移动数据应用增长 迅猛，xx 移动 wap 用户普及率已经达到 50%左右，wap 上网用户的增加以及 wap 应 用的不断丰富带来了 dns 请求量的大幅增长，dns 系统作为数据业务应

5、用以及互联 网应用的基础支撑平台，在数据业务和移动互联网业务应用的支撑方面有着非常重 要的作用。建设一个稳定、安全、高效的 dns 系统已成为 xx 移动业务发展的必然 需要。 今年以来，5.19 以及 7.30 等多次断网事件都是因为 dns 系统的安全稳定性不 够高而导致了数据业务以及互联网应用瘫痪，这些事件的发生给我们的 dns 系统建 设提出更高的要求。 同时，传统的运营商角色定义为互联网的网路承载平台和网络硬件平台提供者， 随着互联网的发展和宽带业务的广泛应用，越来越多的运营商意识到发展互联网上 用户业务用户业务和用户流量经营用户流量经营的重要性。通过提供给最终用户更好的业务和服务，

6、运营 商可以在更多的层次上细化业务种类和吸引新的客户。 业务上的需求也产生了对运营商的业务上的需求也产生了对运营商的 dnsdns 系统提出了新的要求：系统提出了新的要求： 1、dns 是互联网数据业务上的关键应用，它直接关系到用户的最终体验，因特网 的大规模发展对现有 dns 系统的安全性，可扩展性，稳定性等方面提出了更高的要 求。 2、dns 在 ip 网上的核心地位也决定了它在作为新的业务增值切入点的角色新的业务增值切入点的角色。 dns 是所有 ip 应用的核心，互联网上面几乎的所有应用都要使用 dns。 对于绝大多数应用，用户首先会访问 dns，dns 是业务层面的第一“接触点” 。

7、 dns 系统已经部署在网内，在 dns 上发展新业务不需要修改网络结构。 在 dns 软件基础上为用户提供增值业务开销最小，具有性价比的优势。 -5- 2 2、国内主流、国内主流 dnsdns 建设使用情况分析建设使用情况分析 (1).目前典型的目前典型的 dns 组网架构组网架构 沿袭技术的发展，目前国内电信运营商除个别 dns 压力较少的省份外，基本上 采用四层交换机的架构组建 dns 系统。每个节点利用四层交换机进行负载分担到各 台 dns 服务器。dns 服务器大部分采用商用 dns 软件 cns（vantio）服务器替代了 免费的 bind 服务器。 例如： xx 电信 dns 系

8、统的结构图如下: （）202.98.96.68 cache （）61.139.2.69 cache 218.6.200.139 （） cache 163 授权服务器 图 0-1 四川电信 dns 节点结构 xx 电信 dns 系统部署于成都新华枢纽楼，设备情况包括：北电 alteon2424 四台、f5 一台、sun 490 两台、sun x4100 两台、sun e2900 一台、sun t2000 两台、dell 2950 一台、hp dl360 4 四台。dns 平台使用软件包括： bind、cns（vantio）、ans。授权服务器与缓存服务器实现分开设置。 -6- (2).四层交换机

9、架构目前普遍出现的问题四层交换机架构目前普遍出现的问题 投资压力，由于四层交换机的会话数有限，无法进行硬件升级。因此当 dns 流量上升到一定程度时，经常需要更换新的硬件，无法实现有效投资保护。 性能瓶颈，根据中国电信的统计，在 80%左右的 dns 节点瘫痪的重大故障中， 均和四层交换机性能不足有一定得关系。 免费的 dns 软件稳定性、安全性、可管理性、业务增值应用扩展性以及分析 性等均无法保障。由此造成了多次大面积的业务故障事故。已经不能适应目前 运营商业务发展的需要。 (3).dns 架构的发展方向架构的发展方向 anycast 及及 cns（vantio）商业软件）商业软件 目前在国

10、外的电信行业中，anycast 架构已经广泛应用于 dns 系统。在很多域 名的根节点及 dns 递归节点中采用。在国内的中国电信集团的 cn2 网络 dns 系 统及部分省市已经采用。 图：中国电信 cn2 dns 体系架构 中国电信 cn2 的 dns 系统由四个节点组成，每个节点由三台采用 cns 的服 务器组成。 anycast 架构的优点架构的优点 利用 ecmp 等价路由，实现负载分担（目前的路由器一般最大支持 16 台服 务器） 节省投资，直接在核心路由器上实现，无需另外采购硬件 -7- 扩容容易，节点增加服务器时，只需要配置好相应的路由进程即可平滑进 行扩容 最新扩容调整后 x

11、x 电信的 dns 架构如下: dns:a2 d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d dns 服务器 cns dns 服务器 cns 张张家家堡堡节节点点 xx市市拨拨号号用用户户主主用用 xx市市专专线线用用户户主主用用 dns:a1 dns:b2 西西华华门门节节点点 dns 服务器 cns dns 服务

12、器 cns d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d x地地市市专专线线用用户户主主用用 x地地市市拨拨号号用用户户主主用用 xx电信ip网 d dn ns s服服务务器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服务务器器 s su un n x x4

13、 42 20 00 0 b bi in nd d 图例： 10g 电路 ge电路 fe 电路 镜像端口电路 sas电缆 四层交换机 四层交换机 dns:b1 图：图：xx 电信电信 dns 系统系统 -8- 二、二、xx 移动移动 dns 系统现状分析系统现状分析 1 1、xxxx 移动移动 dnsdns 系统现状系统现状 xx 移动目前全省共有 2 个 dns 服务器。两台服务器采用 bind 软件，同时作为 授权及递归服务器使用。 随着移动 3g 网络的开通，各种基于无线数据网的宽带业务逐步增加，例如 类型的个性化用户服务网站和多媒体邮件，导致网络上 dns 的请求呈 现指数型增长趋势。（

14、见下图） internet hosts (machine names) intranet hosts windows 2000 services spam and anti-spam rfid enum ipv6 198820031998199319832008 图：图：dnsdns 应用的增长趋势图应用的增长趋势图 目前目前 xxxx 移动移动 dnsdns 系统存在的主要问题：系统存在的主要问题： 域名解析服务器负载高； 无法满足用户数请求数量递增的趋势 bind 服务器不够稳定，处理能力有限（在 cpu 负荷 60%时极限处理能力为 6000qps）,按照 xx 移动目前的用户增长速度预

15、测，到 2010 年初，dns 系 统 -9- bind 服务器容易受到 dos&ddos 攻击的影响 现行 dns 管理方式不便； 安全性较低，容易遭受攻击 难以对域名请求的内容进行统计和分析 难以处理域名服务器中的垃圾数据； 没有得到及时的 dns 问题响应和处理支持。 2 2、现有系统运行数据测算、现有系统运行数据测算 利用 dns 管理分析手段对 xx 移动两套 dns 系统在线统计，发现目前两节点 的 qps 增长速度较快。目前 xx 移动 dns 节点的高峰 qps 已经接近 6000。 在 2008 年 7 月 bind 免费 dns 软件爆出重大 bug，在升级后，其处理能力有

16、 一定程度的下降。通过统计发现枢纽节点的处理能力已经接近其峰值，具体的数据 如下： 时间时间服务器服务器 cpucpu % %qpsqps 2009.7.02dns144.39-49.443340.47-4631.72 2009.7.04dns245.91-52.913520.23-4922.13 2009.7.22dns137.43-41.093637.92-5052.75 2009.7.29dns236.52-42.383889.80-6090.97 2009.8.25dns138.12-43.923494.46-5859.79 2009.8.26dns239.42-43.563569.6

17、4-6514.39 2009.8.22dns136.54-42.653481.18-6024.54 2009.8.23dns236.32-41.643666.06-5777.74 表一：近期枢纽节点数据采集表一：近期枢纽节点数据采集 -10- 图：图：2009 年年 8 月月 9 日日 21 点点 cns 实时数据实时数据 考虑到目前免费的 bind 软件在升级后，处理能力的下降，dns 节点目前已经接 近极限处理峰值。同时免费的 bind 软件安全性无法保障因素，需要近期尽快对整 个 xx 移动 dns 系统进行升级，以提高系统的处理能力、安全措施以及冗余能力 从而保障数据业务的稳定高效以及

18、良好发展。 -11- 3 3、dnsdns 系统处理能力设计需求分析系统处理能力设计需求分析 根据中国移动 xx 公司数据业务发展规划，到 2012 年，全省手机上网用户将 发展到 1554 万户。 详见下表： 表表 5 5 2009200920122012 年年 xxxx 移动手机上网用户预测表移动手机上网用户预测表 年份年份/ /月月 20092009 20102010 年年20112011 年年20122012 年年 全省万户万户万户万户 目前，在高峰期全省用户 qps 达到万 15000 左右，达到目前 dns 系统总处理 能力的 55，要保证 dns 系统稳定安全运行应保持业务量在系

19、统最大处理能力的 30%以内，按照以上预测结果以及规则，dns 业务需求表如下表所示： 表表 2 2 2009200920122012 年年 xxxx 电信电信 dnsdns 业务需求表业务需求表 年份年份/ /月月 20092009 20122012 年年 8 8 月底月底 手机上网用户数 8401554 全省全省 qps1000019000 -12- 三、三、xx 移动移动 dns 系统升级改造系统升级改造设计方案设计方案 1、dns 系统改造方案系统改造方案 通过分析 xx 移动现网 dns 结构和流量数据，北京融海公司建议的 dns 改造方 案如下： （1 1） 、分离授权和缓存域名解

20、析功能、分离授权和缓存域名解析功能 dns 的授权功能是对本地负责的域名实现解析功能，为全球用户提供服务；而 缓存功能则是运营商为本网用户提供的 dns 查询缓存功能，同一台 dns 服务器充当 两个职责会带来严重的安全问题。 为了分离授权和缓存，我们建议：保留原 dns 服务器为授权 dns 使用。 （2 2）、新建专业商用软件的缓存）、新建专业商用软件的缓存 dnsdns 节点，分配新的节点，分配新的 ipip 地址。地址。 a) 在两个异地备份节点各部署一台 vantio 服务器，两个节点互为冗余备份。 当用户设置的第一域名服务器出现故障的情况下，用户的 dns 请求会由操 作系统自动切

21、换到第二域名服务器。 b) 负载分担：疆内部份用户使用 a 节点做为第一域名服务器，b 节点作为备 用域名服务器，另外一部分用户使用 b 节点做为第一域名服务器，a 节点 作为备用域名服务器。 c) 第一阶段，俩节点均可以采用常规的单机模式,根据业务增长趋势，可以灵 活的变更为四层交换机架构或 anycast 架构。 按照授权与递归分离的原则，xx 移动新建 dns 系统的架构如下所示： -13- cmnet国干网 报话 m320-1报话 m320-2 m320 gege ne5ke-1 ne5ke-2 2.5 g 10 g 8508-1 2ge gege 8508-2 sisi 3550 g

22、e 授权服务器 dns-1 fe 授权服务器 dns-1 fe 递归服务器 vantio dns-2 递归服务器 vantio dns-1 fe fe 图：图：xxxx 移动移动 dnsdns 系统架构系统架构 （3 3）、该方案的主要优点如下：）、该方案的主要优点如下： 在 dns 改造过程中，保证原授权域名解析功能的正常运行。 新增缓存 dns 节点的建设不影响现有系统的运行，整个升级改造过程可 以实现服务无中断，保证升级过程中用户对 dns 的正常使用。 在保证和提升了性能的前提下极大的节省了硬件投资，并提供了将来通 过硬件升级进一步提高系统性能的可行性。 未来可以方便的通过部署 any

23、cast 方式以及增加服务器进行系统扩容升 级。无需对网络结构进行大的调整。 -14- 2、dns 组网硬件和网络环境设计分析组网硬件和网络环境设计分析 服务器的配置： 新增 2 台服务器，建议使用基于 x86 的 pc 服务器平台 建议的服务器配置如下： cpu 内存硬盘操作系统 sun x4150xeon(r) x5460（3.16g hz）*2 4x2gb pc2- 5300 667 mhz ecc ddr2 2x 146gb 10k rpm 2.5 sas drives solaris 10 x86 注：采用 sun 的服务器主要是考虑到 solaris 10 的操作系统的安全性相比

24、redhat as5 要高。用户可根据此推荐配置选择性能相当的 pc 服务器，可以安装 redhat as5 操作系统。vantio 在两个操作系统的处理能力基本相同。 四层交换机 按设计指标，不需要配置四层交换机 四层交换机存在瓶颈问题，并且增加了故障点。 目前 anycast 技术已经成熟，未来可采用 anycast 方式进行扩容，节 省开支，避免四层瓶颈 防火墙 - 可以单独配置防火墙设备或者使用前端路由设备的防火墙功能 不建议对 dns 流量进行包检测。 dns 服务的端口 53 必须提供向用户服务 防火墙不能阻挡针对 dns 的攻击（缓存毒害攻击） 通过防火墙设备可以实现 对服务器本

25、身的防护 对访问 ip 地址的限制 流量清洗设备（可选） 在数据中心可以配置流量检测和清洗设备 当发生 ddos 攻击时，需要管理员手工干预 -15- 3、dns 系统设计性能指标系统设计性能指标 至 2009 年 6 月为止，xx 移动全省移动用户总数为 1700 万；手机上网用户数 为 800 万；其中绝大部分为基于 1-2g 的 wap 和 cmnet 用户。 从今年开始，xx 移动在全省范围内向用户提供基于 td-scdma 的 3g 移动业务， 预计到 2012 年底，xx 省的手机上网用户总数将达到为 1554 万。在选定 3g 业务渗 透率为 15的前提下，使用 3g 移动上网的

26、用户总数为 230 万。 根据我们在国内现网的经验，在当前网络情况下，100 万宽带用户对应的平均 每秒查询数（即 qps）为 10,000-15,000，峰值 qps 为 25,000-30,000。 3g 在国内属于新业务，暂时没有国内相关的 dns 统计数据，根据国外 cdma1x 和 gprs 网络上的经验值，预计每 100 万 3g 用户产生的 dns 峰值查询数为每秒 10000 次左右。 同时，xx 移动将努力发展大客户和集团专线上网业务，专线用户产生的 dns 查询量较高，1 万专线用户对应的峰值 qps 为 500010000 左右。 根据以上分析，建议本次 dns 系统升级

27、应考虑到 2012 年专线和移动 3g 用户数 目增长带来的 dns 流量增长。具体设计指标如下： 1、预计到 2012 年 6 月底，xx 移动全省 dns 系统需要支持的峰值每秒查询数 qps = 30000； dns 系统改造的设计目标应该满足 全省全省 dnsdns 支持的忙时支持的忙时 qpsqps = 30,00030,000 2、在单节点出现故障的情况下，dns 系统依然可以满足全省用户正常网络查 询的需求。即 单节点可以支持最大单节点可以支持最大 qpsqps = 30,00030,000 3、为保证系统稳定运行，防范 ddos 黑客攻击，系统设计时应考虑足够的富裕 度。在全省

28、 dns 系统正常运行正常运行情况下，服务器 cpu 平均负载应保持在 30%以下。 单台服务器的平均单台服务器的平均 cpucpu loadload 30%30% 北京融海公司推荐的 nominum 公司的缓存域名服务器系统 vantio 是业界性能 最高的缓存域名服务器，完全可以满足 xx 移动的 dns 系统设计指标。 -16- nominum 建议使用的硬件平台为基于 x86 架构的 pc 服务器。 参考硬件平台：dell r805，2x quad core amd opteron 2393se，内存 8gb (4x2gb), 800mhz, dual ranked，操作系统为 red

29、hat enterprise linux v5.3。 在上述硬件平台上运行 vantio v4.0 的现网参考指标如下： 在保证服务质量的前提下在保证服务质量的前提下，单台服务器支持的最大 qps 值约为 40,000； xx 移动全省部署两台服务器，dns 支持的最大 qps 值为 80,000； 单台服务器在系统正常情况下的平均 cpu 负载 30%。 4、系统可管理性、系统可管理性设计设计 本次扩容选配的专业商用 nominum dns 软件所有产品系统支持统一的管理架 构，包括以下类型的管理工具： snmp soap/xml 接口 cc (command channel) 命令行交互式

30、管理工具 eac(engine administration console) - 基于 web 的远程管理工具，可 以方便的修改系统配置，管理域文件，同步主从服务器。 syslog 和统计(statistics)功能 融海咨询基于 dns 应用的特点结合互联网用户访问行为分析等需求， 开发出了一套完整的专业 dns 系统管理分析系统软件，能够对 dns 系统 进行应用级的监控管理以及用户访问行为分析等功能。后期可根据需求进行 选配。 5、dns 系统可扩展功能设计系统可扩展功能设计 传统的运营商角色定义为互联网的网路承载平台和网络硬件平台提供者，随着 互联网的发展和宽带业务的广泛应用，越来越

31、多的运营商意识到发展互联网上用户 -17- 业务和用户流量经营的重要性。通过提供给最终用户更好的业务和服务，运营商可 以在更多的层次上细化业务种类和吸引新的客户。 dns 是互联网上的关键应用，它直接关系到用户的最终体验，因特网的大规模 发展对现有 dns 系统的安全性，可扩展性，稳定性等方面提出了更高的要求。dns 在 ip 网上的核心地位也决定了它在作为新的业务增值切入点的角色。互联网流量 汇聚就是最近在国际国内快速发展的一种新的业务。 nominum 公司作为世界各地顶级运营商 dns 架构的软件提供商，可以在第一时 间了解到运营商的各种增值业务需求，并把握到互联网上 dns 未来技术发

32、展的动态。 公司最新推出的 vantio 业务承载平台就是在 ip 域名技术基础之上，根据各大 运营商的业务要求开发的的一个通用增值业务平台，vantio 为网络运营商提供了 包括错误域名转发在内的多项增值业务模块，它的基本架构如下图一所示： 图一：图一：vantiovantio 软件系统结构软件系统结构 uar vantio base server (extensible dns server for value-added dns-based services) extensibleextensibleextensible vantiovantiovantio basebasebase s

33、erverserverserver withwithwith pluggablepluggablepluggable dns-baseddns-baseddns-based serviceserviceservice deliverydeliverydelivery modulesmodulesmodules nxr nxdomainnxdomainnxdomain redirectionredirectionredirection (nxr)(nxr)(nxr) mdr useruseruser accessaccessaccess redirectionredirectionredirec

34、tion (uar)(uar)(uar) application:application:application: walledwalledwalled gardensgardensgardens firstfirstfirst customer:customer:customer: comcastcomcastcomcast maliciousmaliciousmalicious domaindomaindomain redirectionredirectionredirection (mdr)(mdr)(mdr) applications:applications:applications

35、: illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem. firstfirstfirst customer:customer:customer: upcupcupc -18- 如上图所示，nominum 公司的 vantio 服务器是在 vantio 缓存域名服务器技术 基础上开发的可扩展 dns 平台，在 vantio 平台上用户可以按业务需求定制多种基 于 dns 的增值业务模块，包括 nxr：错误域名转发模块 mdr：非法和恶意域名转发模块 uar：用户接入控制模块 sml：垃圾邮件控制模块 6、本次、

36、本次 dns 系统规划中系统规划中 anycast 架构设计规划架构设计规划 anycast方式最初定义于rfc1546，意为处于互联网中的一台主机向某一 anycast地址发送ip协议报文，互联网负责将其送往一个接收目的地址为anycast地 址的主机。这里anycast地址定义为用于实现主机标记的ipv4或ipv6地址，可能有 多个互联网主机接收目的地为该地址的ip报文。 利用anycast技术，提供同一类服务的所有服务器可配置同一个anycast ip地 址，路由系统自动将服务请求送至最近的服务器。 图：图：anycast 技术原理技术原理 anycast 是目前当前应用较广的负载均衡技

37、术。国外很多 dns 系统都应用了 anycast 技术，它具有以下优点： 优点：全网负载均衡较好，用户按地域的就近访问，网络时延小；强大的冗余 备份功能，域名解析服务不依赖于少数几个节点的连通性，每个节点都具有冗 -19- 余备份功能，节点越多冗余备份功能越强；能有效预防 ddos 攻击；有利于 ipv6 网络的部署，节点升级对用户几乎没有影响。 anycast 技术既可以在整个网络间使用，也可以在单节点内采用等价路由实现 负载分担，通过前期测试，其负载基本维持在 1：1 的比例，负载差异最大在 10% 以内，能够满足一般节点的负载均衡要求。 一般在省级的 dns 系统中，为保证系统的可维护

38、性，建议采用节点内 anycast 架构，其原理如图所示： 图：节点内图：节点内 anycast 示意图示意图 anycastanycast 架构与四层交换机架构优缺点对比架构与四层交换机架构优缺点对比 四层交换机架构的优点：四层交换机架构的优点： 扩容简单 负载均衡比例可设置 四层交换机架构的缺点：四层交换机架构的缺点： 系统瓶颈，四层交换机瘫痪会导致整个节点瘫痪（根据统计，国内 dns 系统节 点故障的 80%集中在四层交换机） 硬件无法升级，需要重复投资（支持的会话数无法升级，每次扩容需要购买更 强的四层交换机） anycastanycast 架构的优点：架构的优点： 扩容简单,设计灵活

39、（既可设计广域的 anycast 架构，也可设计节点内的 anycast 架构） -20- 多台服务器自动形成冗余备份，不会造成 dns 节点整理瘫痪 无需购买硬件，现有的核心路由器即可支持 anycastanycast 架构的缺点：架构的缺点： 负载无法按照设置分配，其服务器分配流量均在 1：1，要求服务器处理能力相 当 -21- 四、四、xx 移动移动 dns 系统升级改造项目实施系统升级改造项目实施内容及计划内容及计划 考虑到系统实施的复杂性及涉及的范围，融海咨询对本项目的具体实现方式、 进度安排等实施方案建议如下。 1、项目组织结构、项目组织结构 我们建议的项目组织结构如图 51 所示

40、。 公司高层领导客户方技术负责人 公司项目经理客户方项目经理 项 目 管 理 系 统 工 程 师 实 施 工 程 师 培 训 人 员 协 调 人 员 技 术 人 员 操 作 人 员 测 试 人 员 融海咨询客户方 图图 5 51 1项目组织结构图项目组织结构图 用户和公司各派出高层领导担任本项目负责人，把握项目的方向、决定项目的 重大事项、协调双方的关系。 项目经理由公司和客户各派一人担任，负责项目计划、组织和分工、控制项目 进度、考核项目人员业绩、协调项目人员间的关系。项目管理的具体工作主要由公 司的项目经理负责，但客户方也应派出项目经理（项目负责人），参与项目管理。 2、项目实施配合需求、

41、项目实施配合需求 在工程实施过程中，需要 xx 移动配合提供的环境保障方面的工作有： (1)、提供硬件服务器，提供网络环境。 -22- 提供安装 vantio 软件的硬件服务器及网络安装环境（包括 ip 等），以便 顺利安装调试软件。 (2)、提供新的系统分配 ip，以便配合 vantio 设置支持范围。 -23- 五、技术及售后服务内容五、技术及售后服务内容 1、标准技术支持内容、标准技术支持内容 融海咨询依托融海咨询依托 nominum 厂商的鼎力支持，依靠自身在厂商的鼎力支持，依靠自身在 dns 系统的建设、维系统的建设、维 护、管理等方面雄厚的技术力量储备，不仅提供管理系统的整体技术服

42、务，同时可护、管理等方面雄厚的技术力量储备，不仅提供管理系统的整体技术服务，同时可 以提供强有力的整体的技术维护服务以提供强有力的整体的技术维护服务, ,确保确保 xxxx 电信电信 dnsdns 系统稳定安全运行。并在优系统稳定安全运行。并在优 化工程的实施过程中，提供指导意见。化工程的实施过程中，提供指导意见。 技术支持是指在 appmanager 所支持的平台上，帮助客户解决问题，包括操作指 导、问题解决、实施指导、项目实施、培训和二次开发。服务获取方式包括： 服务内容 通知 文档 电话支持 online 支持 远程诊断(需客户同意) 新版本升级 获取 beta 版 产品 2、故障级别、

43、故障级别 根据系统受影响的程度，将故障分为四个级别： l1：system down 系统宕机（硬件故障），不能工作。 l2：critical 系统仍在工作，但性能严重下降。 l3：work-around 系统可以工作，但不太正常。 l4：minor 系统工作不受影响。 -24- 3、响应时长、响应时长 服务内容电话服务email 服务 l1 级故障服务7*24 服务 1 小时内响应并到现场 l2 级故障服务7*24 服务 2 小时内响应 l3 级故障服务5*8 服务 4-24 小时内响应 4-24 小时内响应 l4 级故障服务5*8 服务 4-24 小时内响应 4-24 小时内响应 注：出现

44、l1 级故障时，为保证业务正常运行，融海公司为 xx 电信安装 cns 备 机（硬件由 xx 电信提供，可以将先用 bind 服务器临时安装 cns 保证业务的正常 运行）。 当出现 l2 级及以下故障时，融海公司将及时配合用户解决问题。 4、高级服务、高级服务 出标准技术支持内容外高级服务包括：出标准技术支持内容外高级服务包括： 现场服务 项目实施 培训 实施指导 高级服务响应时长：高级服务响应时长： 服务内容服务内容高级服务高级服务 知识库 故障服务 online 用户论坛 -25- 通知 文档 电话支持 online 支持 l1 级故障服务1 小时内响应 l2 级故障服务1 小时内响应

45、l3 级故障服务1 小时内响应 l4 级故障服务1 小时内响应 远程诊断(需客户同意) 联系人个数10 人 hotfixes and inline releases service packs 新版本升级 获取 beta 版 产品 -26- 六、培训六、培训计划计划 我们在项目整体规划以及实施中，对用户相关项目技术人员提供全程免费的现 场培训服务，同时重点在厂家技术人员进行项目实施时为用户提供全方位的产品现 场培训以及产品技术答疑等服务，保证使用户相关技术管理人员熟练掌握产品技术 及处理产品常见问题。 在产品使用过程中，如遇产品升级，融海咨询技术人员协同厂家技术人员对用 户进行免费的产品现场升

46、级培训。 培训方式：培训方式：1、现场随工培训：厂家和融海咨询技术人员在系统安装调测的同步， 对用户相关的技术维护负责人员进行现场培训指导，保证用户能够熟练掌握软件的 安装、配置和初级故障分析。 2、集中讲座培训：由用户提供场地。融海咨询邀请厂家资深技术经理 将为用户做半天到一天的产品集中讲座培训，人数不限，主要就产品的使用特性、 配置管理、常见问题处理等用户关注的问题进行讲解，同时提供重点问题答疑服务。 培训对象：培训对象：操作配置 dns 系统的技术人员、dns 系统相关人员以及对 vantio 产品感兴趣的人员 在系统在试运行后，融海咨询提供一天的使用培训课程。 培训内容：培训内容： v

47、antio安装 vantio设置 vantio实时状态读取 日常维护 -27- 附件附件 1、nominum 公司公司 dns 系统解决方案系统解决方案 1 1、nominumnominum 公司介绍公司介绍 nominum 公司 1999 年在美国加里佛里亚州硅谷成立，公司技术总裁保罗博士 是 internet 网 dns 的系统设计者和 bind 软件的开发者。公司成立初期受 isc（互 联网协会组织）委托，编写了新一代 bind 9 域名解析软件，并为 bind 9 提供开 源代码和技术支持。nominum 公司同时还参与并制定了与 dns 相关的所有 ietf 标 准。 由于互联网的高

48、速发展，运营商需要性能更高，稳定性更高，安全性更高的域 名解析系统来保障业务的正常运行，目前市场上所有商用 dns 系统都是基于 bind 9 二次开发的改良版本，而 bind9 的软件设计已经不能满足这些新的要求。 基于市场需求，nominum 公司在 2001 年开始为运营商开发了新一代 dns 域名 解析系统，产品采用全新的软件架构，完全重新编写代码，采用了包括 vdb 在内的 多种专利技术。目前公司的缓存域名服务器产品 vantio 在全球 80 多家运营商现网 运行，国内中国网通，中国电信的 10 余家省级运营商也采用了我公司的 dns 解决 方案。 2 2、nominumnomin

49、um 运营商级专业运营商级专业 dnsdns 系统系统 nominum 的 dns 系统包括 vantio（caching name server）、 ans（authoritative name server）两个独立系统。vantio 完成缓存（cache）功 能，ans 完成授权（authority）功能，把缓存和授权功能分开是一个很重要的设 计方向。 互联网上的域名服务器有两种不同的角色： 一方面，有些 dns 服务器是其存贮的域名的授权者，这些授权域名服务器保存 着其所负责的域名数据。我们熟悉的授权域名服务器中有根域名服务器“.”、顶 级域名服务器如“com”、“cn”，还有二级域名

50、服务器如“”等等。它 们的职责是“publish data”。例如， 的授权域名服务器包含了 以及 -28- ， 等域名的 ns，a，mx，ptr 记录。 另一方面，互联网用户并不直接和授权域名服务器打交道，网络运营商的缓存 服务器充当了本地用户的代理，用户通过这些代理域名服务器查询域名并得到结果。 这些代理域名服务器与各级授权域名服务器联系，如果需要的话，通过对授权域名 服务器的递归查询得到需要解析的域名信息，并且把信息在本地缓存以备将来的需 要。缓存域名服务器的职责是“收集数据”。它们在缓存里保存本地客户近期查询 的所有域名信息，这可以显著地加快客户域名查询的响应速度，为客户提供更优质 的

51、服务。 目前网络上，基于 bind 的 dns 服务器同时充当授权域名服务器和缓存域名服 务器是最常见的。出于系统性能、可靠性和安全性等方面的综合考虑，每台域名服 务器应该只完成单一功能。 首先，授权权域名服务器的主要职责是“publish data”，需要管理很大的区 域（zone）和很多的区域；而缓存域名服务器的职责是“collect data”。不同的 职责决定了这两者应该有不同的处理算法。授权域名服务器需要处理多个表单的数 据并要求在单个表单更新数据的同时不影响到其它表单的查询；缓存域名服务器则 需要实时快速的处理大量的数据更新并提供更高效的查询算法。所以，在实际网络 设计中应当把两者

52、分开，采用不同的算法进行处理，从而提高授权域名服务器的域 名解析和缓存域名服务器的用户响应性能。（在 bind 中，授权功能和缓存功能只 是一个设置上的区别而已。） 注：详细介绍见附件注：详细介绍见附件ansans 技术白皮书，技术白皮书，vantiovantio 技术白皮书技术白皮书 其次，一台 dns 服务器充当两个职责会带来严重的安全问题。internic 要求 所有的授权域名服务器开放访问权限，因为互联网上的缓存域名服务器需要通过查 询授权域名服务器以获得对应域名的解析。另一方面，运营商的缓存域名服务器应 当只对本网用户开放访问权限，以有效防止来自外网的 ddos 攻击。基于 bind

53、 的域 名服务器将两个功能捆绑在一起的实现方法，不但增加了服务器的负载，也降低了 服务器的安全级别。 -29- 基于以上的原因，在 nominum 的 dns 系统设计中，授权功能和缓存功能分别由 ans 和 vantio 完成。 缓存域名服务器 vantio 完成以下功能： 处理来自客户的 dns 请求 搜索本地缓存，如果没有查询结果，从根授权服务器开始递归查询，最终从 对应的授权服务器获取域名数据并返回给客户 缓存里域名的存储时间由 ttl 值决定，ttl 过期后从缓存里清除数据 授权域名服务器 ans 完成以下功能： 拒绝所有递归查询 域名数据在本地保存，服务器只负责本级和下级对应域名的

54、解析 由本地管理员修改配置本地域名 3 3、nominumnominum dnsdns 架构的优点架构的优点 稳定性 产品成熟可靠，在世界各地数十家电信运营商平台上广泛采用，从来未发生 任何事故。 24x7 的专业技术支持和产品升级，降低了技术和运营风险 高效可靠的内存管理技术，有效的提高了内存使用效率以及缓存命中率，系 统长期稳定运行，不需要网管干预。 高性能 在同类硬件平台和运营商现网上，系统的 qps（每秒查询数）比 bind9 增加 了 600到 1000 用户域名查询时延比 bind9 降低超过 1000 cpu 的使用率提高了 60 -30- 安全性 高性能系统，有效的降低了 dd

55、os 攻击造成用户服务中断的几率。 可以有效抵御其它针对 dns 的攻击如“cache poising”和 pharming 攻击。 方便灵活的管理模式 业界唯一在软件层次上支持 snmp 协议的 dns 系统，可以和其它网管工具结 合，提供 dns 应用层面上的报警/检测功能。 支持 syslog，支持 netiq，catci 等第三方网管工具。 统一的管理接口，支持基于 web 浏览器的 eac 后台管理系统，可以方便的修 改、查询配置和统计数据 基于命令行的在线命令通道，可是实时修改数据而不需要中断服务。 提供多种灵活的工具 可以从现有 bind 的配置直接转化生成 vantio 的 配

56、置，方便了系统升级。 -31- 附件附件 2、vantio 产品介绍产品介绍 1、vantio 简介简介 传统的运营商角色定义为互联网的网路承载平台和网络硬件平台提供者，随着 互联网的发展和宽带业务的广泛应用，越来越多的运营商意识到发展互联网上用户 业务和用户流量经营的重要性。通过提供给最终用户更好的业务和服务，运营商可 以在更多的层次上细化业务种类和吸引新的客户。业务上的需求也产生了对运营商 的 dns 系统提出了新的要求： 1、dns 是互联网上的关键应用，它直接关系到用户的最终体验，因特网的大规模 发展对现有 dns 系统的安全性，可扩展性，稳定性等方面提出了更高的要求。 2、dns 在

57、 ip 网上的核心地位也决定了它在作为新的业务增值切入点的角色。 dns 是所有 ip 应用的核心，互联网上面几乎的所有应用都要使用 dns。 对于绝大多数应用，用户首先会访问 dns，dns 是业务层面的第一“接触点” 。 dns 系统已经部署在网内，在 dns 上发展新业务不需要修改网络结构。 在 dns 软件基础上为用户提供增值业务开销最小，具有性价比的优势。 nominum 公司最新推出的 vantio 业务承载平台就是在 ip 域名技术基础之上， 根据各大运营商的业务要求开发的的一个通用增值业务平台，vantio 为网络运营 商提供了包括错误域名转发在内的多项增值业务模块，它的基本架

58、构如下图一所示： -32- uar vantiovantiovantio 基础服务器基础服务器基础服务器 可扩展可扩展可扩展 vantiovantiovantio 基础服基础服基础服 务器务器务器, , , 支持多种增值业支持多种增值业支持多种增值业 务服务插件模块务服务插件模块务服务插件模块 nxr 错误域名转发模块错误域名转发模块错误域名转发模块 (nxr)(nxr)(nxr) mdr 用户接入控制模块用户接入控制模块用户接入控制模块 (uar)(uar)(uar) 应用应用应用: : : walledwalledwalled gardensgardensgardens 客户示例客户示例客

59、户示例: : : comcastcomcastcomcast 恶意域名控制模块恶意域名控制模块恶意域名控制模块 (mdr)(mdr)(mdr) 应用应用应用: : : illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem. 客户示例客户示例客户示例: : : upcupcupc 如上图所示，nominum 公司的 vantio 服务器是在缓存域名服务器技术基础上 开发的可扩展 dns 平台，在 vantio 平台上用户可以按业务需求定制多种基于 dns 的增值业务模块，包括 nxr：错误域名转发模块 mdr：非法和恶意域名转发模块 uar：用户接入控制模块 vantio 服务器同时为运营商提供了丰富的 dns 管理功能和附加安全特性，例 如： 域名分析系统：基于域名和 ip 的全 dns 请求日志和分析 错误域名分析部件，可以分析错误域名的种类，提供所有错误域名访问的记录 并产生相关分析报告 2 2、vantiovantio 的系统安全性介绍的系统安全性介绍 对 dos、ddos 攻击的防范措施： vantio 支持基于源 ip 地址的访问列表控制，管理员可以通过实时设置，屏 蔽来自某些 ip 的域名解析请求， -33- defense on attach 技术：vantio 系统可以自动检测在