XX公司DNS系统建议方案

XXX公司DNS系统建议方案上海西默通信技术有限公司2014年2月目录项目概述 11.1 项目背景 31.2 项目目标 41.3 项目设计原则 32. XXX公司DNS系统建议方案 52.1 拓扑结构 52.2 方案设计详述及特点 62.3 西默智能DNS特色功能 63. 西默智能DNS功能 73.1 双机热备特色功能 83.2 主辅同步 83.3 高性能解析 93.4 分线路、分区域智能解析 93.5 域名缓存加速 103.6 断线检测 103.7 快速恢复故障服务器 103.8 中文域名支持 113.9 域名的DNSSEC防护 113.10 完善丰富的日志功能 11项目概述随着大量的IT系统向云平台的迁移，为了保障各系统的稳定、可靠、迁移，为了实现应用的高可用性，…公司将目前直接通过IP地址访问MBOSS系统的方式改成通过域名访问。而当前的DNS系统无论从组网结构、容量处理能力以及安全防护方面存在诸多问题，西默智能DNS系统，不仅能对本网内授权域名解析，还要同时负责向用户提供互联网授权域名的递归解析能力，同时具备权威DNS服务器及递归DNS服务器功能。同时系统应具备电信级的高可用性，系统设备及链路均具有一定的冗余度，不会因单台设备或单条链路故障而引起服务质量下降，同时系统具有容灾备份机制，能够不间断的对外提供服务。项目背景电信目前的内网DNS系统于2008年建成，采用的是2台服务器分别安装BIND软件提供DNS服务的方式，2台DNS互为备份，统一接入维护公司DMZ区。自建成至今为门户、OA等少量系统提供DNS服务，而前台对大量其他系统的访问均是采用直接通过IP地址的方式。2013年以来随着EDC第三机房、云平台的建设，其部门已建立起异地双活双数据中心。随着大量的IT系统向云平台的迁移，为了保障各系统的稳定、可靠、迁移，为了实现应用的高可用性，有必要将目前直接通过IP地址访问MBOSS系统的方式改成通过域名访问。而当前的DNS系统无论从组网结构、容量处理能力以及安全防护方面存在诸多问题，因此，亟需建设一套全新的DNS系统，以满足双活双数据中心环境下应用高可用性的需求。

1.2项目目标本方案从贵公司实际需求出发，在作为权威域名服务器时，保存着其所拥有授权域的原始域名资源记录信息，对授权用户提供域名解析服务。同时接受广大互联网用户的解析请求，通过递归查询功能向各级权威域名服务器发出查询请求，将获得的查询结果，最后返回给用户端。通过双机热备功能提供电信级的高可用性，系统设备及链路均具有一定的冗余度，不会因单台设备或单条链路故障而引起服务质量下降，同时系统具有容灾备份机制，能够不间断的对外提供服务。1.3项目设计原则安全可靠西默智能DNS支持本地和异地双机热备功能，在正常情况下，本地两台设备使用一个虚拟IP地址为用户提供服务，当其中一台出现故障而不致解析服务中断；异地两台设备通过专线或VPN功能同样能实现异地容灾功能。西默科技智能DNS同时具备线路检测功能，周期性的检测各条线路的运行状况，并根据检测结果进行故障的自动切换，如在网通线路出现故障的时候，把网通用户的访问量自动切换到电信线路上，从而保障用户站点7*24不间断的连通性。安全性西默智能DNS内置防火墙功能，对常见的网络攻击和病毒入侵有很好的防御功能，从根本上实现安全风险的隔离，可控.设备本身能够对异常包进行过滤，防止错误域名以及能够对DNSFlood、UDPFlood等常见DDoS攻击进行过滤，能够实现基于IP地址及域名的黑白名单管理，确保重要域名正常服务的同时阻止非法域名的解析。可扩展性西默智能DNS产品充分考虑到客户的现状和未来的发展，在满足客户现实的需求基础之上，同时兼顾客户将来业务扩大和功能扩展需求，具有很好的兼容性和可扩展性，充分保护客户投资。可管理性西默智能DNS提供友好的基于web的管理方式，简单易用，方便用户对设备的操作和管理，提供SNMP、Syslog、FTP、Telnet、SSH等管理功能及完备的日志查看和导出功能，同时可以查看设备的实时运行状况。丰富的日志功能，通过提供系统日志、解析日志和操作日志方便管理员了解设备的运行状况和用户登录情况，为故障排查提供很好的参考和依据。同时设备提供服务器的CPU、内存、主要进程、磁盘空间等实时利用率。2XXX公司DNS系统建议方案2.1拓扑结构2.2该方案设计详述及特点1可靠性高本方案通过在两地数据中心部署两台西默DNS设备，通过专线或者VPN实现双机热备，实现两台服务器都能同时工作，原理是通过在DNS里面建立两组双机热备策略。例如本方案中，通过双击热备功能实现荷花园数据中心的DNS和麓谷数据中心的DNS同时工作，实现了设备的充分利用，一旦随便一台DNS服务器挂了，另一台都会起来工作。也能同时保证设备的稳定性。这样可以两全其美的解决客户的问题实现异地容灾，双机热备组中任一台主机出现故障或线路故障，DNS热备组不失效，可提供不间断的服务。在为内网用户访问资源提供域名解析服务的同时，也为用户访问外网或外部用户的解析请求实现递归和嵌套查询。故障切换设备通过双链路接入到网络，通过定期的自动检测机制，发现某条链路出现故障后实现自动切换，保证系统业务正常运行，不影响设备对外提供解析服务。风险隔离西默智能DNS自带防火墙功能，能对常见的网络攻击和病毒入侵起到很好的保护作用，如DDOS攻击和ARP欺骗，通过关闭不常用的端口，实现同风险的真正隔离。通过对异常请求包的分析，能实现拒绝非法的解析请求。能够实现基于IP地址及域名的黑白名单管理，确保重要域名正常服务的同时阻止非法域名的解析。支持平滑升级扩容西默智能DNS具备良好的扩容能力和平滑升级功能，由于一个公司或者企业的发展不断壮大，业务需求不断增长，相应的对DNS性能和功能有新的需求，西默智能DNS在充分考虑到保护用户投资的情况下，满足用户日后长期发展需求和灵活的扩容型。2.3.西默智能DNS特色功能域名解析西默智能DNS采用旁路模式接入，不影响公司现有的网络拓扑。可以实现为内网用户访问内部资源提供域名解析的同时，负责向用户提供互联网授权域名的递归解析和嵌套查询能力。西默智能DNS系统能根据来访问的IP智能的返回一个和用户在同一运营商线路内的服务器IP供其进行访问，即网通用户访问网通的服务器，电信用户访问电信的服务器，避免了走不同运营商之间的接口，造成的瓶颈问题。双机热备西默智能DNS通过双机热备功能，实现两台服务器都能同时工作，一旦一台DNS服务器出现故障，另一台都会起来工作。也能同时保证设备的稳定性。这样可以实现异地容灾，双机热备组中任一台主机出现故障或线路故障，DNS热备组不失效，可提供不间断的服务。安全可靠西默智能DNS通过一系列自动安全措施，实现设备自身的安全防护，通过自带防火墙功能，只对用户开放常用的业务端口，对常见的网络攻击有很好的防护功能。设备支持电源的热插拔，主要部件采用冗余配置，如采用双电源可以避免单点故障导致的业务中断。4）线路智能切换 出口假如有联通、电信。一旦某条断开，出故障的话，必定导致内部用户会有一部分无法上网。采用西默智能DNS，在做一个策略后，设备会实时监控每条外线的情况，一旦发现外线出问题，也就是电信或者联通的线路出问题，设备就回自动切换线路，让内部用户全部访问那条正常的线路，保证网络的不间断，同时会通过邮件通告管理员，外线出问题了。5）丰富日志功能系统提供了丰富的日志和系统运行状态实时监控功能，使您对DNS服务器的运行情况和用户的访问行为实现了解，并对网站的访问量进行TopN排名，以便您对网站内容和服务器进行合理的部署。3西默智能DNS其他功能概要西默智能DNS是国内唯一一家具有国家著作专权、完全自主研发的产品！西默智能DNS产品提供线路管理，域名管理，域名查询统计，监控及报警，无限ISP区域设置，多用户管理，操作日志等功能，系统软件采用嵌入式操作系统，并自带完备的防火墙功能，用户界面全部采用全中文WEB界面操作，人性化设计，简单易用。西默智能DNS在安全性方面：支持服务器、线路的检测和告警，可及时发现网络中的故障，实现故障的自动切换与转移！支持主、辅及双击热备功能，防止因单点故障造成网络瘫痪！完全自主研发，具有国家版权局自主知识产权证书和权威机构检测报告！西默智能DNS的性能方面：可实现普通DNS服务器的所有功能！支持分线路、分区域智能解析!支持记录容错和错误自动检测功能！、支持虚拟服务器功能！支持纯IPV6环境及IPV4/IPV6混合环境，满足未来发展需求！西默智能DNS在管理方面：全中文GUI方式管理，简单又好用！支持域名自助申请功能、管理委派、用户名和域名绑定等功能，为管理员减少管理负担！支持完善的日志、告警和访问报表统计，以便及时发现和处理网络故障！支持地址库自动更新，保障解析的准确性，减少IP库更新的麻烦！双机热备特色功能传统的DNS做双机热备的时候，都是主辅形式运行，一台主DNS运行辅DNS就备用，不会工作，这样在正常工作的时候，白白浪费一台服务器。而西默智能DNS可以做到，当做双机热备的时候，两台服务器都能同时工作，原理是通过在DNS里面建立两组双机热备策略。例如一组策略，A充当主DNS，B充当辅DNS，此时A在工作，B备用。第二组策略，A当辅DNS，B充当主DNS，此时B在工作。两组策略同时运行，能够保证两台DNS都同时工作，保证设备的充分利用，一旦随便一台DNS服务器挂了，另一台都会起来工作。也能同时保证设备的稳定性。这样可以两全其美的解决客户的问题。主辅同步西默DNS主辅同步是自主完成的，主DNS配置好以后，辅DNS每隔5分钟就是同步一次主DNS的数据，保证数据一致性。高性能解析西默智能DNS具有先进的处理机制，通过哈希计算，为每条记录建立索引，全部载入内存。有效避免了传统DNS数据库检索及存储介质的速度瓶颈，性能提升10倍以上。分线路、分区域智能解析普通的DNS只是简单的将域名转换成IP地址，或者执行相反的过程，西默智能DNS系统能根据来访问的IP智能的返回一个和用户在同一运营商线路内的服务器IP供其进行访问，即网通用户访问网通的服务器，电信用户访问电信的服务器，同样教育网用户访问教育网的服务器，避免了走不同运营商之间的接口，造成的瓶颈问题。同时，也可实现按城市、区域来进行区域用户的自动识别，从而使各地域的用户只用一个域名就能快速的访问到距其最近的您服务器，减小访问路径，提高访问速度。域名缓存加速域名缓存加速，对解析过的域名进行缓存，当再次对该域名解析时就直接调用，缩短用户解析等待时间。断线检测当多出口环境下，某条线路发生故障，导致通过这条线路出去的用户无法访问外网，给工作带来极大的影响。西默智能DNS能够自主检测到出口那条线路断开，并且启动策略把内部用户全部转移到可以正常上网的线路上，让用户正常上网工作，保护网络的稳定性。快速恢复故障服务器传统的DNS服务器都是基于Windows或Linux操作系统下的，服务器出现故障时，排查速度慢，造成更大的损失。西默智能DNS服务器集成一键恢复功能，可以在服务器出现故障后立即，恢复至正常状态，减少损失。中文域名