移动dns解决方案_第1页
移动dns解决方案_第2页
移动dns解决方案_第3页
移动dns解决方案_第4页
移动dns解决方案_第5页
已阅读5页,还剩22页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

|17webweb服务器会指数级增长,性能耗费要远大于提供单一站点访问的原因此CacheServer除了对内存要求特别高以外, 一般都采用集群方式部署, 并且要求做到高效率的负载均衡。2)DNS智能解析实现CDN的前提是能够有效将用户的访问引至最近的 CacheServer。这就要求负责该域名解析的DNS服务器支持智能解析,能够按照来访用户所属物理地域范围,返回合理的 IP地址。普通DNS服务器并不能做到这一高级功能。二、ISP级别DNS部署方式DNS简介DNS是域名系统(DomainNameSystem)的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应 IP地址,并具有将域名转换为 IP地址功能的服务器。其中域名必须对应一个 IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机 /服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为 IP地址的过程就称为 域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。 DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入网站名称时, DNS服务可以将此名称解析为与之相关的其他信息,如 IP地址。因为,你在上网时输入的网址,是通过域名解析系统解析找到了相对应的 IP地址,这样才能上网。ISP传统DNS部署方案及问题传统运营商DNS部署方案与普通用户不同,运营商DNS服务器对性能、稳定性要求更加苛刻。联通、电信等运与普通用户不同,运营商DNS服务器就位于各地市的ISP中心机房。联通、电信的DNS服务器,主要充当了DNS转发、缓存的角色,因为用户访问互联网的绝大部分网站,都不在运营商本地 DNS上。即,联通和电信的本地 DNS服务器不是用户访问目标的权威解析服务器,其主要负担来自缓存和转发。DNS服务器就位于各地市的ISP中心机房。联通、电信的DNS服务器,主要充当了DNS转发、缓存的角色,因为用户访问互联网的绝大部分网站,都不在运营商本地 DNS上。即,联通和电信的本地 DNS服务器不是用户访问目标的权威解析服务器,其主要负担来自缓存和转发。每秒千万级别的查询请求,需要强大处理能力做支撑,任何常规的DNS服务器都是无法胜任的。为了解决 DNS服务器瓶颈问题,服务器集群方案被引入DNS部署架构。同一地点的DNS服务器群内,每台服务器除了私网地址外,还公用同一个公网ip地址,该地址即为注册生效的DNS地址CacheServer^群营商,由于提供宽带上网业务,宽带用户群体庞大,客户端上网所设k %20DNS集群图1常规ISPDNS部署图如图1所示,通常运营商会选择多台性能强劲的 X86通用服务器,安装 windows或者Linux操作系统,然后结合 windows自带的服务或者Bind软件,以服务器集群的方式搭建DNS服务。传统方案存在的问题1)解析不够智能Windows平台下不能实现智能解析。Windows平台下不能实现智能解析。额外安装系统自带的 dns服务和相关组件就可以搭ISP建一个简单的DNS服务器,但是无法实现按照线路和区域实现智能解析,不能解决不同ISP互访的瓶颈问题。DNS软更常见的DNS服务器是搭建在 Linux系统下的。BindDNS软件。作为DNS各种规范的实际“制作者” ,Bind源自Unix系统,却发祥与 Linux。90%以上的DNS服务器就是基于 Linux下的Bind软件实现的。当然,Bind是可以实现部分智能解析功能的,比如按照来访用户所属运营商不同,返回不同的 IP地址等。但是该功能的实现是基于比较简单的方法 线路区域。需要手工建立一个个 IP地址段,定义某些 IP段属于哪个ISP线路。但Bind要实现某些高级的智能解析就有点吃力了,比如对 CDN的支持就不够完美,甚至某些情况下无法实现。2)性能有瓶颈Windows友好的操作界面确实为管理员提供了不少方便之处,但是庞大的 windows系统本身并不是为专业 DNS服务量身定做的系统,即使在没有任何工作的情况下,绝大部分内存、cpu和中断等资源都被系统各种服务和无关进程占用着, DNS服务并不能获得高优先级,因此,windows下搭建DNS应付小需求还可以,在运营商部署确是一个噩梦。Linux下的Bind已经相当出众,但却受到所在平台的严重约束。强大的硬件平台,却无法得到Linux高度的优化,各种协议栈的通用性降低了系统对硬件性能的挖掘力度,不能很好的提升网卡的处理能力,特别是小包和短时间内的链接建立、保持、断开。当代,通用的X86平台硬件配置已经相当优越, 并且升级也非常方便, 但是X86平台并不适和实时操作系统和网络任务,尤其针对小包的处理,性能下降率在 60%至90%!Bind结合Mysql数据库,在3.0Ghz双核cpu、4G内存的服务器上测试, 性能为40000qps上下。针对省级 DNS千万qps级别的处理量,需要这样的服务器约上百台。当然目前服务器的硬件配置已经相当可观。但是如此强劲的配置得到的性能确实不太理想的。并且如图1所示,常规的集群方法是通过 Windows或者Linux自带的服务器或者软件实现负载均衡。其实通过操作系统实现的集群方式的负载均衡, 本身存在一定的问题。因为对外透明的情况下,同一角色的集群成员服务器公用同一个公网 IP,当数据包到达该 IP,即到达该集群,集群服务或者软件会根据一定的算法判断由其中某一台服务器做出响应, 初衷是好的,但是实现方式确实以广播的形式通过给该集群的每一位成员。 最然最终是只有一台服务器响应,但是每台服务器每次都要接受处理广播报文, 对整个集群的性能也是一种不小的负担!

安全性差随着信息化的高速发展,目前的网络安全现状和前几年相比,已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、 DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对 DNS(域名服务器, DomainNameService)的攻击也已成为最严重的威胁之一。 DNS是Internet的重要基础,包括 WEB访问、Email服务在内的众多网络服务都和 DNS息息相关,因此 DNS的安全直接关系到整个互联网应用能否正常使用。DNS系统面临的安全威胁作为当前全球最大最复杂的分布式层次数据库系统, 由于其开放、 庞大、复杂的特性以及设计之初对于安全性的考虑不足, 再加上人为攻击和破坏, DNS系统面临非常严重的安全威胁,因此如何解决DNS安全问题并寻求相关解决方案是当今 DNS亟待解决的问题。 DNS安全防护主要面临如下威胁:对DNS的DDoS攻击DDoS(DistributedDenialofService)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源, 造成被攻击网络无法处理合法用户的请求。 而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。□按攻击发起者分类僵尸网络:控制大批僵尸网络利用真实 DNS协议栈发起大量域名查询请求模拟工具:利用工具软件伪造源 IP发送海量DNS查询□按攻击特征分类DNS查询请求Flood攻击:发送海量 DNSDNS查询请求DNS服务器持续进行迭代查询,从而DNSDNS服务器持续进行迭代查询,从而DNS服务器由于自身的设计缺陷,接从而引起众多安全问题, 例如将用户引达到较少的攻击流量消耗大量服务器资源的目的■DNS欺骗DNS欺骗是最常见的 DNS安全问题之一。当一个收了一个错误信息, 那么就将做出错误的域名解析,导到错误的互联网站点, 甚至是一个钓鱼网站; 又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行 DNS欺骗:□缓存污染:击者米用特殊的□缓存污染:击者米用特殊的DNS请求,将虚假信息放入 DNS的缓存中DNS信息劫持:攻击者监听 DNS会话,猜测DNS服务器响应ID,抢先将虚假的响应提交给客户端DNS重定向:将DNS名称查询重定向到恶意 DNS服务器■系统漏洞众多BIND(BerkeleyInternetNameDomain) 是最常用的DNS服务软件,具有广泛的使用基础,Internet上的绝大多数 DNS服务器都是基于这个软件的。 BIND提供高效服务的同时也存在着众多的安全性漏洞。 ,CNCERT/CC在2009年安全报告中指出: 2009年7月底被披露的“Bind9”高危漏洞,影响波及全球数万台域名解析服务器,我国有数千台政府和重要信息系统部门、基础电信运营企业以及域名注册管理和服务机构的域名解析服务器受到影响。除此之外,DNS服务器的自身安全性也是非常重要。目前主流的操作系统如 Windows、UNIX、Linux均存在不同程度的系统漏洞和安全风险,而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分。4)管理不方便Linux环境下通过Bind软件搭建的DNS服务器,由于是基于命令行的管理方式, 不能提供Web方式的管理,操作复杂,门槛较高。并且在需要大量新建或者更改记录时,一条条命令输入对管理员来说,将会是一件非常痛苦的经历。另外,缺乏有效的审计和日志功能,不能提供详细的统计报表等有价值信息。三、 阿姆瑞特智能DNS解决方案阿姆瑞特公司简介阿姆瑞特(亚洲)网络有限公司,是一家专业从事网络安全产品研发和服务的跨国 IT企业,总部设在瑞典, 拥有雄厚的公司实力及技术优势, 多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络, 为不同的客户提供最先进的、 特色化的安全产品和服务。2002年阿姆瑞特进入中国市场,推出了适合中国市场需求的阿姆瑞特安全网关,灵活地为SOH0、企业和电信级用户提供不同的产品和服务,凭借先进的技术和在网络安全领域的丰富的经验, 阿姆瑞特安全网关每三个月至六个月更新一次版本, 以保持产品技术的不断领先,使用户得到更新,更安全的服务。目前,阿姆瑞特已经在北京、西安、南京、上海、广州、成都、重庆、郑州等地先后建立办事处并将销售延伸到全国各个省市, 建立起遍及全国的销售和服务平台。 此外,阿姆瑞特在中国成立了自己的研发中心,进行 QoS产品、IPv6安全网关等产品的研发。经过几年的努力,成功的将这些产品推向市场,已在金融、电信、教育、广电、电力、制造和政府等行业有广泛应用,得到了客户的一致好评。通过在玛赛、联想、赛迪、计算机世界等国内大型实验室的优异测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力。阿姆瑞特人愿通过不懈的努力, 与合作伙伴共同为中国网络安全发展做出贡献。 阿姆瑞特的目标是: 服务于中国的信息安全产业, 为用户提供全球领先的安全产品和完善的服务。阿姆瑞特智能 DNS简介普通的DNS服务器只负责为用户解析出 IP记录,而不去判断用户从哪里来,这样会造成所有用户都只能解析到固定的 IP地址上。图2阿姆瑞特智能DNS解析流程图阿姆瑞特智能 DNS颠复了这个概念。阿姆瑞特智能 DNS会判断用户的来路,而做出一些智能化的处理,然后把智能化判断后的 IP返回给用户。比如,阿姆瑞特智能 DNS会自动判断用户的上网线路是网通还是电信,然后智能返回网通或者电信服务器的 IP地址。提供CDN服务的智能DNS,能根据用户的来源,分城市或地区来判断用户来源,实质上是多线多地区智能 DNS。阿姆瑞特多线多地区智能 DNS,能够自动判断用户的上网线路是上海电信还是广东电信, 然后返回对应的上海电信或广东电信服务器 IP。同时阿姆瑞特智能dns还有宕机检测功能。如果服务器宕机或者被检测的服务停止,阿姆瑞特智能 dns能够实时检测出宕机或应用服务有问题的服务器 IP,并把dns解析请求解析到运行正常的服务器。从而提供一个高可靠永不宕机的服务。另外,当故障的服务器恢复正常后,阿姆瑞特智能DNS还能够自动恢复相应的配置。阿姆瑞特DNS移动IDC解决方案二1< 1孵PBGPWMA—I二1< 1孵PBGPWMA—I/ \DNS:202.10d.1DNS2021011图3各地市DNS部署方案XM^DNS12000CacheServe『集君tCacheServe『集君t图4XM-DNS单AS内部署方案1)方案介绍通常,运营商会在不同地市各自部署不同级别的 DNS集群。同时,同一个省内,多个DNS集群使用的却是同一个公网 IP。那么如何实现同一个 IP在不同物理位置重复使用呢?这就要借助BGP协议和任播协议了。任播从实质范围分为subnetAnycast和GlobalAnyeast,多使用在ipv6中,ipv4中使用很少,主要在DNS部署时。由于ipv6在广域网使用不是很广泛, 所以此方案主要是使用 ipv4地址定义的任播GlobalAnyeas,其中DNS集群可以理解为subnetAnyeast。在图3中,用户使用来解析,当解析请求报文到核心路由器 A时,BGP协议判断出最优路径, 从而将报文路由到本地的 DNS集群、自治域B或者自治域C。通常情况下,会优先将报文路由到本地自治域。 接到解析请求时转发到 DNS集群,DNS集群解析后把解析结果返回给 ,然后再把解析结果返回给用户。在同一个地域,阿姆瑞特推荐使用两台高端的 XM-DNS12000。同时,和CDN的CacheServer共享负载均衡设备F5BigIP。如图4所示,两台 12000配置完全一样,不额外配置双机热备等策略。同时作为 CDN重要边界内容副本的 CacheServer也不做系统集群,而是由F5实现负载分担与状态检测。2)解决了什么问题通过BGP和任播协议,允许运营商在一个省内的多个地市分布式的部署 dns集群,使DNS服务器更加接近最终用户,实现用户就进访问 DNS,大幅度降低了解析时延。同时,专业的负载均衡设备不但提升了 CacheServer集群性能,也将DNS从建立、保持、释放回话的这些重复繁琐的任务中解脱出来, 从而能够更好的提供智能解析和其他特殊功能。在阿姆瑞特智能DNS的配合下,轻松实现智能 DNS解析。根据来访用户所属线路、区域给出最优质的解析结果:是返回电信 ip还是网通ip,是返回河南的电信 ip还是北京的电信ip,等等。阿姆瑞特智能 DNS内建性能强大的防火墙功能,可以抵御 90%以上的各种非法攻击,有效保障自身安全。同时,阿姆瑞特智能 DNS是阿姆瑞特依托自己强大的研发实力,经过长期的研究和测试开发出来的第四代 DNS!针对强大的专业硬件设备, 深度裁剪、 定制的嵌入式系统, 充分挖掘每一分硬件性能,提供高性能、高可靠性的同时, 从根源上避免了通用

的Windows和Linux操作系统本身漏洞,大大降低了可攻击面,有效解决了 DNS系统存在的各种安全隐患。阿姆瑞特智能 DNS,功能强大却不失小巧玲珑。简单明了的 web管理方式,支持批量操作,将管理人员从大量的命令操作中解脱出来。 同时能提供详细直观的解析日志、 设备性能等曲线图,为管理员分析发现潜在价值或问题提供难得的第一手资料。阿姆瑞特智能 dns部分成功案例中国移动通信CHINAMOBILEChinaunicorn中国联中国移动通信CHINAMOBILEChinaunicorn中国联ii浙国家电网公司

泰! StateQud浙国家电网公司

泰! StateQud空t <l"HPnRATIOWOFI^fTNA[PTMNATIONFCIIfTIun|inuniversityofriiurirt&rxon(輸J丿饲峠儿■0汀鬲张未乂孝' 片E眄I Ml■•肓|・■fbI'MJI輸J丿饲峠儿■0汀鬲张未乂孝' 片E眄I Ml■•肓|・■fbI'MJIfT」#!?*£f|«■|n^呛"亠£ 岸p肯*"d"M逵*肚EDQODnaD平«M■»⑷E站#四、阿姆瑞特科技售后服务承诺函阿姆瑞特通信科技有限公司高度重视售后服务与技术支持, 并将“为客户服务,时刻满足客户需求”作为企业文化的首要点, 力求通过服务来完成自己的使命。凡是购买阿姆瑞特产品及服务的客户, 我们将成立由软、硬件与系统集成工程师组成的技术支持及售后服务小组,为客户提供全面的售后技术支持与服务。我公司将提供业界最为专业的服务方案。热线电话和传真服务阿姆瑞特通信科技有限公司全国的热线电话和传真服务:服务热线:传真服务:电子邮件和网站技术支持网站支持:电子邮件:三年服务软件产品的更新及维护免费提供主要软件版本的更新升级服务;提供软件修补包及替代方法;4•三年服务期内硬件产品的更新及维护当产品出现硬件故障时,依据情况而确定是否需要更新产品硬件, 同时提供后备产品支持;产品的售后服务体系5.1、规模庞大的售后服务网络覆盖全国阿姆瑞特服务体系覆盖广泛,布局合理,响应及时,三级服务网络分别为:第一级本部信息系统管理专家服务队伍: 负责全国服务网络的技术支持、 管理、监督与协调。第二级各区域信息系统管理专业服务队伍: 包括华南区、华中区、华东区、西部区、华北区和东北区,具备相当的技术实力,是本部在外的分支机构,直接承担所在地区的信息系统管理服务业务,并负责所辖区域的管理和技术支持。第三级信息系统专业服务商: 遍布全国各行业的专业服务商, 为您提供延伸到地市一级城市的信息化管理服务。上述信息化管理服务网络的每个环节都受阿姆瑞特科技直接管理, 对于每一个拥有信息系统管理产品及服务的最终用户来说, 您将在最短的时间内享受到阿姆瑞特科技的完美服务。5.2、远程故障诊断和现场支持服务远程故障诊断:阿姆瑞特远程支持工程师对故障诊断具有丰富的经验。 阿姆瑞特科技已经投入了大量的人力和物力以模拟不同的网络环境, 以便对用户故障进行模拟故障诊断,有

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论