1、xxxx移動移動dnsdns系統擴容改造項目系統擴容改造項目 技術建議書技術建議書 北京北京 xx 咨詢有限公司咨詢有限公司 2009 年年 11 月月 -2- 目目 錄錄 一、dns 系統的現狀以及發展方向介紹 .4 1.dns 業務發展介紹 .4 2、國內主流 dns 建設使用情況分析 .5 二、xx 移動 dns 系統現狀分析.8 1、xx 移動 dns 系統現狀 .8 2、現有系統運行數據測算 .9 3、dns 系統處理能力設計需求分析 .11 三、xx 移動 dns 系統升級改造設計方案.12 1、dns 系統改造方案 .12 2、dns 組網硬件和網絡環境設計分析 .14 3、dn

2、s 系統設計性能指標 .15 4、系統可管理性設計 .16 5、dns 系統可擴展功能設計 .16 6、本次 dns 系統規劃中 anycast 架構設計規劃.18 四、xx 移動 dns 系統升級改造項目實施內容及計劃.21 1、項目組織結構 .21 2、項目實施配合需求 .21 五、技術及售后服務內容 .23 1、標準技術支持內容 .23 2、故障級別 .23 3、響應時長 .24 4、高級服務 .24 六、培訓計劃 .26 附件 1、nominum 公司 dns 系統解決方案.27 1、nominum 公司介紹 .27 2、nominum 運營商級專業 dns 系統 .27 3、nomi

3、num dns 架構的優點 .29 附件 2、vantio 產品介紹 .31 1、vantio 簡介 .31 2、vantio 的系統安全性介紹 .32 3、vantio 系統可靠性介紹 .33 4、vantio 的網絡延時性能 .34 5、系統管理工具 .34 1)網絡設備性能監測.35 2)服務器性能監測.35 3)cns（vantio）及 bind 系統性能及可用性監測 .36 4)cns（vantio）及 bind 基本配置管理 .36 5)響應時間及 dns 系統可用性監測（從用戶角度體驗式分析系統可用性） 37 6)監控告警.37 -3- 7)報表分析.38 附件 3、軟件性能測試

4、對比數據 .41 1、vantio 服務器性能測試結果 .41 2、vantio 和 bind 的比較數據 .41 附錄 a vantio 和 bind 的功能比較 .43 附錄 b nominum 公司全球部分用戶列表 .44 -4- 一、一、dns 系統的現狀以及發展方向介紹系統的現狀以及發展方向介紹 1.dns1.dns 業務發展介紹業務發展介紹 隨著移動數據業務的不斷推廣以及 3g 移動互聯網的推出，移動數據應用增長 迅猛，xx 移動 wap 用戶普及率已經達到 50%左右，wap 上網用戶的增加以及 wap 應 用的不斷豐富帶來了 dns 請求量的大幅增長，dns 系統作為數據業務應

5、用以及互聯 網應用的基礎支撐平臺，在數據業務和移動互聯網業務應用的支撐方面有著非常重 要的作用。建設一個穩定、安全、高效的 dns 系統已成為 xx 移動業務發展的必然 需要。 今年以來，5.19 以及 7.30 等多次斷網事件都是因為 dns 系統的安全穩定性不 夠高而導致了數據業務以及互聯網應用癱瘓，這些事件的發生給我們的 dns 系統建 設提出更高的要求。 同時，傳統的運營商角色定義為互聯網的網路承載平臺和網絡硬件平臺提供者， 隨著互聯網的發展和寬帶業務的廣泛應用，越來越多的運營商意識到發展互聯網上 用戶業務用戶業務和用戶流量經營用戶流量經營的重要性。通過提供給最終用戶更好的業務和服務，

6、運營 商可以在更多的層次上細化業務種類和吸引新的客戶。 業務上的需求也產生了對運營商的業務上的需求也產生了對運營商的 dnsdns 系統提出了新的要求：系統提出了新的要求： 1、dns 是互聯網數據業務上的關鍵應用，它直接關系到用戶的最終體驗，因特網 的大規模發展對現有 dns 系統的安全性，可擴展性，穩定性等方面提出了更高的要 求。 2、dns 在 ip 網上的核心地位也決定了它在作為新的業務增值切入點的角色新的業務增值切入點的角色。 dns 是所有 ip 應用的核心，互聯網上面幾乎的所有應用都要使用 dns。 對于絕大多數應用，用戶首先會訪問 dns，dns 是業務層面的第一“接觸點” 。

7、 dns 系統已經部署在網內，在 dns 上發展新業務不需要修改網絡結構。 在 dns 軟件基礎上為用戶提供增值業務開銷最小，具有性價比的優勢。 -5- 2 2、國內主流、國內主流 dnsdns 建設使用情況分析建設使用情況分析 (1).目前典型的目前典型的 dns 組網架構組網架構 沿襲技術的發展，目前國內電信運營商除個別 dns 壓力較少的省份外，基本上 采用四層交換機的架構組建 dns 系統。每個節點利用四層交換機進行負載分擔到各 臺 dns 服務器。dns 服務器大部分采用商用 dns 軟件 cns（vantio）服務器替代了 免費的 bind 服務器。 例如： xx 電信 dns 系

8、統的結構圖如下: （）202.98.96.68 cache （）61.139.2.69 cache 218.6.200.139 （） cache 163 授權服務器 圖 0-1 四川電信 dns 節點結構 xx 電信 dns 系統部署于成都新華樞紐樓，設備情況包括：北電 alteon2424 四臺、f5 一臺、sun 490 兩臺、sun x4100 兩臺、sun e2900 一臺、sun t2000 兩臺、dell 2950 一臺、hp dl360 4 四臺。dns 平臺使用軟件包括： bind、cns（vantio）、ans。授權服務器與緩存服務器實現分開設置。 -6- (2).四層交換機

9、架構目前普遍出現的問題四層交換機架構目前普遍出現的問題 投資壓力，由于四層交換機的會話數有限，無法進行硬件升級。因此當 dns 流量上升到一定程度時，經常需要更換新的硬件，無法實現有效投資保護。 性能瓶頸，根據中國電信的統計，在 80%左右的 dns 節點癱瘓的重大故障中， 均和四層交換機性能不足有一定得關系。 免費的 dns 軟件穩定性、安全性、可管理性、業務增值應用擴展性以及分析 性等均無法保障。由此造成了多次大面積的業務故障事故。已經不能適應目前 運營商業務發展的需要。 (3).dns 架構的發展方向架構的發展方向 anycast 及及 cns（vantio）商業軟件）商業軟件 目前在國

10、外的電信行業中，anycast 架構已經廣泛應用于 dns 系統。在很多域 名的根節點及 dns 遞歸節點中采用。在國內的中國電信集團的 cn2 網絡 dns 系 統及部分省市已經采用。 圖：中國電信 cn2 dns 體系架構 中國電信 cn2 的 dns 系統由四個節點組成，每個節點由三臺采用 cns 的服 務器組成。 anycast 架構的優點架構的優點 利用 ecmp 等價路由，實現負載分擔（目前的路由器一般最大支持 16 臺服 務器） 節省投資，直接在核心路由器上實現，無需另外采購硬件 -7- 擴容容易，節點增加服務器時，只需要配置好相應的路由進程即可平滑進 行擴容 最新擴容調整后 x

11、x 電信的 dns 架構如下: dns:a2 d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d dns 服務器 cns dns 服務器 cns 張張家家堡堡節節點點 xx市市撥撥號號用用戶戶主主用用 xx市市專專線線用用戶戶主主用用 dns:a1 dns:b2 西西華華門門節節點點 dns 服務器 cns dns 服務

12、器 cns d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d x地地市市專專線線用用戶戶主主用用 x地地市市撥撥號號用用戶戶主主用用 xx電信ip網 d dn ns s服服務務器器 s su un n x x4 42 20 00 0 b bi in nd d d dn ns s服服務務器器 s su un n x x4

13、 42 20 00 0 b bi in nd d 圖例： 10g 電路 ge電路 fe 電路 鏡像端口電路 sas電纜 四層交換機 四層交換機 dns:b1 圖：圖：xx 電信電信 dns 系統系統 -8- 二、二、xx 移動移動 dns 系統現狀分析系統現狀分析 1 1、xxxx 移動移動 dnsdns 系統現狀系統現狀 xx 移動目前全省共有 2 個 dns 服務器。兩臺服務器采用 bind 軟件，同時作為 授權及遞歸服務器使用。 隨著移動 3g 網絡的開通，各種基于無線數據網的寬帶業務逐步增加，例如 類型的個性化用戶服務網站和多媒體郵件，導致網絡上 dns 的請求呈 現指數型增長趨勢。（

14、見下圖） internet hosts (machine names) intranet hosts windows 2000 services spam and anti-spam rfid enum ipv6 198820031998199319832008 圖：圖：dnsdns 應用的增長趨勢圖應用的增長趨勢圖 目前目前 xxxx 移動移動 dnsdns 系統存在的主要問題：系統存在的主要問題： 域名解析服務器負載高； 無法滿足用戶數請求數量遞增的趨勢 bind 服務器不夠穩定，處理能力有限（在 cpu 負荷 60%時極限處理能力為 6000qps）,按照 xx 移動目前的用戶增長速度預

15、測，到 2010 年初，dns 系 統 -9- bind 服務器容易受到 dos&ddos 攻擊的影響 現行 dns 管理方式不便； 安全性較低，容易遭受攻擊 難以對域名請求的內容進行統計和分析 難以處理域名服務器中的垃圾數據； 沒有得到及時的 dns 問題響應和處理支持。 2 2、現有系統運行數據測算、現有系統運行數據測算 利用 dns 管理分析手段對 xx 移動兩套 dns 系統在線統計，發現目前兩節點 的 qps 增長速度較快。目前 xx 移動 dns 節點的高峰 qps 已經接近 6000。 在 2008 年 7 月 bind 免費 dns 軟件爆出重大 bug，在升級后，其處理能力有

16、 一定程度的下降。通過統計發現樞紐節點的處理能力已經接近其峰值，具體的數據 如下： 時間時間服務器服務器 cpucpu % %qpsqps 2009.7.02dns144.39-49.443340.47-4631.72 2009.7.04dns245.91-52.913520.23-4922.13 2009.7.22dns137.43-41.093637.92-5052.75 2009.7.29dns236.52-42.383889.80-6090.97 2009.8.25dns138.12-43.923494.46-5859.79 2009.8.26dns239.42-43.563569.6

17、4-6514.39 2009.8.22dns136.54-42.653481.18-6024.54 2009.8.23dns236.32-41.643666.06-5777.74 表一：近期樞紐節點數據采集表一：近期樞紐節點數據采集 -10- 圖：圖：2009 年年 8 月月 9 日日 21 點點 cns 實時數據實時數據 考慮到目前免費的 bind 軟件在升級后，處理能力的下降，dns 節點目前已經接 近極限處理峰值。同時免費的 bind 軟件安全性無法保障因素，需要近期盡快對整 個 xx 移動 dns 系統進行升級，以提高系統的處理能力、安全措施以及冗余能力 從而保障數據業務的穩定高效以及

18、良好發展。 -11- 3 3、dnsdns 系統處理能力設計需求分析系統處理能力設計需求分析 根據中國移動 xx 公司數據業務發展規劃，到 2012 年，全省手機上網用戶將 發展到 1554 萬戶。 詳見下表： 表表 5 5 2009200920122012 年年 xxxx 移動手機上網用戶預測表移動手機上網用戶預測表 年份年份/ /月月 20092009 20102010 年年20112011 年年20122012 年年 全省萬戶萬戶萬戶萬戶 目前，在高峰期全省用戶 qps 達到萬 15000 左右，達到目前 dns 系統總處理 能力的 55，要保證 dns 系統穩定安全運行應保持業務量在系

19、統最大處理能力的 30%以內，按照以上預測結果以及規則，dns 業務需求表如下表所示： 表表 2 2 2009200920122012 年年 xxxx 電信電信 dnsdns 業務需求表業務需求表 年份年份/ /月月 20092009 20122012 年年 8 8 月底月底 手機上網用戶數 8401554 全省全省 qps1000019000 -12- 三、三、xx 移動移動 dns 系統升級改造系統升級改造設計方案設計方案 1、dns 系統改造方案系統改造方案 通過分析 xx 移動現網 dns 結構和流量數據，北京融海公司建議的 dns 改造方 案如下： （1 1） 、分離授權和緩存域名解

20、析功能、分離授權和緩存域名解析功能 dns 的授權功能是對本地負責的域名實現解析功能，為全球用戶提供服務；而 緩存功能則是運營商為本網用戶提供的 dns 查詢緩存功能，同一臺 dns 服務器充當 兩個職責會帶來嚴重的安全問題。 為了分離授權和緩存，我們建議：保留原 dns 服務器為授權 dns 使用。 （2 2）、新建專業商用軟件的緩存）、新建專業商用軟件的緩存 dnsdns 節點，分配新的節點，分配新的 ipip 地址。地址。 a) 在兩個異地備份節點各部署一臺 vantio 服務器，兩個節點互為冗余備份。 當用戶設置的第一域名服務器出現故障的情況下，用戶的 dns 請求會由操 作系統自動切

21、換到第二域名服務器。 b) 負載分擔：疆內部份用戶使用 a 節點做為第一域名服務器，b 節點作為備 用域名服務器，另外一部分用戶使用 b 節點做為第一域名服務器，a 節點 作為備用域名服務器。 c) 第一階段，倆節點均可以采用常規的單機模式,根據業務增長趨勢，可以靈 活的變更為四層交換機架構或 anycast 架構。 按照授權與遞歸分離的原則，xx 移動新建 dns 系統的架構如下所示： -13- cmnet國干網 報話 m320-1報話 m320-2 m320 gege ne5ke-1 ne5ke-2 2.5 g 10 g 8508-1 2ge gege 8508-2 sisi 3550 g

22、e 授權服務器 dns-1 fe 授權服務器 dns-1 fe 遞歸服務器 vantio dns-2 遞歸服務器 vantio dns-1 fe fe 圖：圖：xxxx 移動移動 dnsdns 系統架構系統架構 （3 3）、該方案的主要優點如下：）、該方案的主要優點如下： 在 dns 改造過程中，保證原授權域名解析功能的正常運行。 新增緩存 dns 節點的建設不影響現有系統的運行，整個升級改造過程可 以實現服務無中斷，保證升級過程中用戶對 dns 的正常使用。 在保證和提升了性能的前提下極大的節省了硬件投資，并提供了將來通 過硬件升級進一步提高系統性能的可行性。 未來可以方便的通過部署 any

23、cast 方式以及增加服務器進行系統擴容升 級。無需對網絡結構進行大的調整。 -14- 2、dns 組網硬件和網絡環境設計分析組網硬件和網絡環境設計分析 服務器的配置： 新增 2 臺服務器，建議使用基于 x86 的 pc 服務器平臺 建議的服務器配置如下： cpu 內存硬盤操作系統 sun x4150xeon(r) x5460（3.16g hz）*2 4x2gb pc2- 5300 667 mhz ecc ddr2 2x 146gb 10k rpm 2.5 sas drives solaris 10 x86 注：采用 sun 的服務器主要是考慮到 solaris 10 的操作系統的安全性相比

24、redhat as5 要高。用戶可根據此推薦配置選擇性能相當的 pc 服務器，可以安裝 redhat as5 操作系統。vantio 在兩個操作系統的處理能力基本相同。 四層交換機 按設計指標，不需要配置四層交換機 四層交換機存在瓶頸問題，并且增加了故障點。 目前 anycast 技術已經成熟，未來可采用 anycast 方式進行擴容，節 省開支，避免四層瓶頸 防火墻 - 可以單獨配置防火墻設備或者使用前端路由設備的防火墻功能 不建議對 dns 流量進行包檢測。 dns 服務的端口 53 必須提供向用戶服務 防火墻不能阻擋針對 dns 的攻擊（緩存毒害攻擊） 通過防火墻設備可以實現 對服務器本

25、身的防護 對訪問 ip 地址的限制 流量清洗設備（可選） 在數據中心可以配置流量檢測和清洗設備 當發生 ddos 攻擊時，需要管理員手工干預 -15- 3、dns 系統設計性能指標系統設計性能指標 至 2009 年 6 月為止，xx 移動全省移動用戶總數為 1700 萬；手機上網用戶數 為 800 萬；其中絕大部分為基于 1-2g 的 wap 和 cmnet 用戶。 從今年開始，xx 移動在全省范圍內向用戶提供基于 td-scdma 的 3g 移動業務， 預計到 2012 年底，xx 省的手機上網用戶總數將達到為 1554 萬。在選定 3g 業務滲 透率為 15的前提下，使用 3g 移動上網的

26、用戶總數為 230 萬。 根據我們在國內現網的經驗，在當前網絡情況下，100 萬寬帶用戶對應的平均 每秒查詢數（即 qps）為 10,000-15,000，峰值 qps 為 25,000-30,000。 3g 在國內屬于新業務，暫時沒有國內相關的 dns 統計數據，根據國外 cdma1x 和 gprs 網絡上的經驗值，預計每 100 萬 3g 用戶產生的 dns 峰值查詢數為每秒 10000 次左右。 同時，xx 移動將努力發展大客戶和集團專線上網業務，專線用戶產生的 dns 查詢量較高，1 萬專線用戶對應的峰值 qps 為 500010000 左右。 根據以上分析，建議本次 dns 系統升級

27、應考慮到 2012 年專線和移動 3g 用戶數 目增長帶來的 dns 流量增長。具體設計指標如下： 1、預計到 2012 年 6 月底，xx 移動全省 dns 系統需要支持的峰值每秒查詢數 qps = 30000； dns 系統改造的設計目標應該滿足 全省全省 dnsdns 支持的忙時支持的忙時 qpsqps = 30,00030,000 2、在單節點出現故障的情況下，dns 系統依然可以滿足全省用戶正常網絡查 詢的需求。即 單節點可以支持最大單節點可以支持最大 qpsqps = 30,00030,000 3、為保證系統穩定運行，防范 ddos 黑客攻擊，系統設計時應考慮足夠的富裕 度。在全省

28、 dns 系統正常運行正常運行情況下，服務器 cpu 平均負載應保持在 30%以下。 單臺服務器的平均單臺服務器的平均 cpucpu loadload 30%30% 北京融海公司推薦的 nominum 公司的緩存域名服務器系統 vantio 是業界性能 最高的緩存域名服務器，完全可以滿足 xx 移動的 dns 系統設計指標。 -16- nominum 建議使用的硬件平臺為基于 x86 架構的 pc 服務器。 參考硬件平臺：dell r805，2x quad core amd opteron 2393se，內存 8gb (4x2gb), 800mhz, dual ranked，操作系統為 red

29、hat enterprise linux v5.3。 在上述硬件平臺上運行 vantio v4.0 的現網參考指標如下： 在保證服務質量的前提下在保證服務質量的前提下，單臺服務器支持的最大 qps 值約為 40,000； xx 移動全省部署兩臺服務器，dns 支持的最大 qps 值為 80,000； 單臺服務器在系統正常情況下的平均 cpu 負載 30%。 4、系統可管理性、系統可管理性設計設計 本次擴容選配的專業商用 nominum dns 軟件所有產品系統支持統一的管理架 構，包括以下類型的管理工具： snmp soap/xml 接口 cc (command channel) 命令行交互式

30、管理工具 eac(engine administration console) - 基于 web 的遠程管理工具，可 以方便的修改系統配置，管理域文件，同步主從服務器。 syslog 和統計(statistics)功能 融海咨詢基于 dns 應用的特點結合互聯網用戶訪問行為分析等需求， 開發出了一套完整的專業 dns 系統管理分析系統軟件，能夠對 dns 系統 進行應用級的監控管理以及用戶訪問行為分析等功能。后期可根據需求進行 選配。 5、dns 系統可擴展功能設計系統可擴展功能設計 傳統的運營商角色定義為互聯網的網路承載平臺和網絡硬件平臺提供者，隨著 互聯網的發展和寬帶業務的廣泛應用，越來越

31、多的運營商意識到發展互聯網上用戶 -17- 業務和用戶流量經營的重要性。通過提供給最終用戶更好的業務和服務，運營商可 以在更多的層次上細化業務種類和吸引新的客戶。 dns 是互聯網上的關鍵應用，它直接關系到用戶的最終體驗，因特網的大規模 發展對現有 dns 系統的安全性，可擴展性，穩定性等方面提出了更高的要求。dns 在 ip 網上的核心地位也決定了它在作為新的業務增值切入點的角色。互聯網流量 匯聚就是最近在國際國內快速發展的一種新的業務。 nominum 公司作為世界各地頂級運營商 dns 架構的軟件提供商，可以在第一時 間了解到運營商的各種增值業務需求，并把握到互聯網上 dns 未來技術發

32、展的動態。 公司最新推出的 vantio 業務承載平臺就是在 ip 域名技術基礎之上，根據各大 運營商的業務要求開發的的一個通用增值業務平臺，vantio 為網絡運營商提供了 包括錯誤域名轉發在內的多項增值業務模塊，它的基本架構如下圖一所示： 圖一：圖一：vantiovantio 軟件系統結構軟件系統結構 uar vantio base server (extensible dns server for value-added dns-based services) extensibleextensibleextensible vantiovantiovantio basebasebase s

33、erverserverserver withwithwith pluggablepluggablepluggable dns-baseddns-baseddns-based serviceserviceservice deliverydeliverydelivery modulesmodulesmodules nxr nxdomainnxdomainnxdomain redirectionredirectionredirection (nxr)(nxr)(nxr) mdr useruseruser accessaccessaccess redirectionredirectionredirec

34、tion (uar)(uar)(uar) application:application:application: walledwalledwalled gardensgardensgardens firstfirstfirst customer:customer:customer: comcastcomcastcomcast maliciousmaliciousmalicious domaindomaindomain redirectionredirectionredirection (mdr)(mdr)(mdr) applications:applications:applications

35、: illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem. firstfirstfirst customer:customer:customer: upcupcupc -18- 如上圖所示，nominum 公司的 vantio 服務器是在 vantio 緩存域名服務器技術 基礎上開發的可擴展 dns 平臺，在 vantio 平臺上用戶可以按業務需求定制多種基 于 dns 的增值業務模塊，包括 nxr：錯誤域名轉發模塊 mdr：非法和惡意域名轉發模塊 uar：用戶接入控制模塊 sml：垃圾郵件控制模塊 6、本次、

36、本次 dns 系統規劃中系統規劃中 anycast 架構設計規劃架構設計規劃 anycast方式最初定義于rfc1546，意為處于互聯網中的一臺主機向某一 anycast地址發送ip協議報文，互聯網負責將其送往一個接收目的地址為anycast地 址的主機。這里anycast地址定義為用于實現主機標記的ipv4或ipv6地址，可能有 多個互聯網主機接收目的地為該地址的ip報文。 利用anycast技術，提供同一類服務的所有服務器可配置同一個anycast ip地 址，路由系統自動將服務請求送至最近的服務器。 圖：圖：anycast 技術原理技術原理 anycast 是目前當前應用較廣的負載均衡技

37、術。國外很多 dns 系統都應用了 anycast 技術，它具有以下優點： 優點：全網負載均衡較好，用戶按地域的就近訪問，網絡時延小；強大的冗余 備份功能，域名解析服務不依賴于少數幾個節點的連通性，每個節點都具有冗 -19- 余備份功能，節點越多冗余備份功能越強；能有效預防 ddos 攻擊；有利于 ipv6 網絡的部署，節點升級對用戶幾乎沒有影響。 anycast 技術既可以在整個網絡間使用，也可以在單節點內采用等價路由實現 負載分擔，通過前期測試，其負載基本維持在 1：1 的比例，負載差異最大在 10% 以內，能夠滿足一般節點的負載均衡要求。 一般在省級的 dns 系統中，為保證系統的可維護

38、性，建議采用節點內 anycast 架構，其原理如圖所示： 圖：節點內圖：節點內 anycast 示意圖示意圖 anycastanycast 架構與四層交換機架構優缺點對比架構與四層交換機架構優缺點對比 四層交換機架構的優點：四層交換機架構的優點： 擴容簡單 負載均衡比例可設置 四層交換機架構的缺點：四層交換機架構的缺點： 系統瓶頸，四層交換機癱瘓會導致整個節點癱瘓（根據統計，國內 dns 系統節 點故障的 80%集中在四層交換機） 硬件無法升級，需要重復投資（支持的會話數無法升級，每次擴容需要購買更 強的四層交換機） anycastanycast 架構的優點：架構的優點： 擴容簡單,設計靈活

39、（既可設計廣域的 anycast 架構，也可設計節點內的 anycast 架構） -20- 多臺服務器自動形成冗余備份，不會造成 dns 節點整理癱瘓 無需購買硬件，現有的核心路由器即可支持 anycastanycast 架構的缺點：架構的缺點： 負載無法按照設置分配，其服務器分配流量均在 1：1，要求服務器處理能力相 當 -21- 四、四、xx 移動移動 dns 系統升級改造項目實施系統升級改造項目實施內容及計劃內容及計劃 考慮到系統實施的復雜性及涉及的范圍，融海咨詢對本項目的具體實現方式、 進度安排等實施方案建議如下。 1、項目組織結構、項目組織結構 我們建議的項目組織結構如圖 51 所示

40、。 公司高層領導客戶方技術負責人 公司項目經理客戶方項目經理 項 目 管 理 系 統 工 程 師 實 施 工 程 師 培 訓 人 員 協 調 人 員 技 術 人 員 操 作 人 員 測 試 人 員 融海咨詢客戶方 圖圖 5 51 1項目組織結構圖項目組織結構圖 用戶和公司各派出高層領導擔任本項目負責人，把握項目的方向、決定項目的 重大事項、協調雙方的關系。 項目經理由公司和客戶各派一人擔任，負責項目計劃、組織和分工、控制項目 進度、考核項目人員業績、協調項目人員間的關系。項目管理的具體工作主要由公 司的項目經理負責，但客戶方也應派出項目經理（項目負責人），參與項目管理。 2、項目實施配合需求、

41、項目實施配合需求 在工程實施過程中，需要 xx 移動配合提供的環境保障方面的工作有： (1)、提供硬件服務器，提供網絡環境。 -22- 提供安裝 vantio 軟件的硬件服務器及網絡安裝環境（包括 ip 等），以便 順利安裝調試軟件。 (2)、提供新的系統分配 ip，以便配合 vantio 設置支持范圍。 -23- 五、技術及售后服務內容五、技術及售后服務內容 1、標準技術支持內容、標準技術支持內容 融海咨詢依托融海咨詢依托 nominum 廠商的鼎力支持，依靠自身在廠商的鼎力支持，依靠自身在 dns 系統的建設、維系統的建設、維 護、管理等方面雄厚的技術力量儲備，不僅提供管理系統的整體技術服

42、務，同時可護、管理等方面雄厚的技術力量儲備，不僅提供管理系統的整體技術服務，同時可 以提供強有力的整體的技術維護服務以提供強有力的整體的技術維護服務, ,確保確保 xxxx 電信電信 dnsdns 系統穩定安全運行。并在優系統穩定安全運行。并在優 化工程的實施過程中，提供指導意見。化工程的實施過程中，提供指導意見。 技術支持是指在 appmanager 所支持的平臺上，幫助客戶解決問題，包括操作指 導、問題解決、實施指導、項目實施、培訓和二次開發。服務獲取方式包括： 服務內容 通知 文檔 電話支持 online 支持 遠程診斷(需客戶同意) 新版本升級 獲取 beta 版 產品 2、故障級別、

43、故障級別 根據系統受影響的程度，將故障分為四個級別： l1：system down 系統宕機（硬件故障），不能工作。 l2：critical 系統仍在工作，但性能嚴重下降。 l3：work-around 系統可以工作，但不太正常。 l4：minor 系統工作不受影響。 -24- 3、響應時長、響應時長 服務內容電話服務email 服務 l1 級故障服務7*24 服務 1 小時內響應并到現場 l2 級故障服務7*24 服務 2 小時內響應 l3 級故障服務5*8 服務 4-24 小時內響應 4-24 小時內響應 l4 級故障服務5*8 服務 4-24 小時內響應 4-24 小時內響應 注：出現

44、l1 級故障時，為保證業務正常運行，融海公司為 xx 電信安裝 cns 備 機（硬件由 xx 電信提供，可以將先用 bind 服務器臨時安裝 cns 保證業務的正常 運行）。 當出現 l2 級及以下故障時，融海公司將及時配合用戶解決問題。 4、高級服務、高級服務 出標準技術支持內容外高級服務包括：出標準技術支持內容外高級服務包括： 現場服務 項目實施 培訓 實施指導 高級服務響應時長：高級服務響應時長： 服務內容服務內容高級服務高級服務 知識庫 故障服務 online 用戶論壇 -25- 通知 文檔 電話支持 online 支持 l1 級故障服務1 小時內響應 l2 級故障服務1 小時內響應

45、l3 級故障服務1 小時內響應 l4 級故障服務1 小時內響應 遠程診斷(需客戶同意) 聯系人個數10 人 hotfixes and inline releases service packs 新版本升級 獲取 beta 版 產品 -26- 六、培訓六、培訓計劃計劃 我們在項目整體規劃以及實施中，對用戶相關項目技術人員提供全程免費的現 場培訓服務，同時重點在廠家技術人員進行項目實施時為用戶提供全方位的產品現 場培訓以及產品技術答疑等服務，保證使用戶相關技術管理人員熟練掌握產品技術 及處理產品常見問題。 在產品使用過程中，如遇產品升級，融海咨詢技術人員協同廠家技術人員對用 戶進行免費的產品現場升

46、級培訓。 培訓方式：培訓方式：1、現場隨工培訓：廠家和融海咨詢技術人員在系統安裝調測的同步， 對用戶相關的技術維護負責人員進行現場培訓指導，保證用戶能夠熟練掌握軟件的 安裝、配置和初級故障分析。 2、集中講座培訓：由用戶提供場地。融海咨詢邀請廠家資深技術經理 將為用戶做半天到一天的產品集中講座培訓，人數不限，主要就產品的使用特性、 配置管理、常見問題處理等用戶關注的問題進行講解，同時提供重點問題答疑服務。 培訓對象：培訓對象：操作配置 dns 系統的技術人員、dns 系統相關人員以及對 vantio 產品感興趣的人員 在系統在試運行后，融海咨詢提供一天的使用培訓課程。 培訓內容：培訓內容： v

47、antio安裝 vantio設置 vantio實時狀態讀取 日常維護 -27- 附件附件 1、nominum 公司公司 dns 系統解決方案系統解決方案 1 1、nominumnominum 公司介紹公司介紹 nominum 公司 1999 年在美國加里佛里亞州硅谷成立，公司技術總裁保羅博士 是 internet 網 dns 的系統設計者和 bind 軟件的開發者。公司成立初期受 isc（互 聯網協會組織）委托，編寫了新一代 bind 9 域名解析軟件，并為 bind 9 提供開 源代碼和技術支持。nominum 公司同時還參與并制定了與 dns 相關的所有 ietf 標 準。 由于互聯網的高

48、速發展，運營商需要性能更高，穩定性更高，安全性更高的域 名解析系統來保障業務的正常運行，目前市場上所有商用 dns 系統都是基于 bind 9 二次開發的改良版本，而 bind9 的軟件設計已經不能滿足這些新的要求。 基于市場需求，nominum 公司在 2001 年開始為運營商開發了新一代 dns 域名 解析系統，產品采用全新的軟件架構，完全重新編寫代碼，采用了包括 vdb 在內的 多種專利技術。目前公司的緩存域名服務器產品 vantio 在全球 80 多家運營商現網 運行，國內中國網通，中國電信的 10 余家省級運營商也采用了我公司的 dns 解決 方案。 2 2、nominumnomin

49、um 運營商級專業運營商級專業 dnsdns 系統系統 nominum 的 dns 系統包括 vantio（caching name server）、 ans（authoritative name server）兩個獨立系統。vantio 完成緩存（cache）功 能，ans 完成授權（authority）功能，把緩存和授權功能分開是一個很重要的設 計方向。 互聯網上的域名服務器有兩種不同的角色： 一方面，有些 dns 服務器是其存貯的域名的授權者，這些授權域名服務器保存 著其所負責的域名數據。我們熟悉的授權域名服務器中有根域名服務器“.”、頂 級域名服務器如“com”、“cn”，還有二級域名

50、服務器如“”等等。它 們的職責是“publish data”。例如， 的授權域名服務器包含了 以及 -28- ， 等域名的 ns，a，mx，ptr 記錄。 另一方面，互聯網用戶并不直接和授權域名服務器打交道，網絡運營商的緩存 服務器充當了本地用戶的代理，用戶通過這些代理域名服務器查詢域名并得到結果。 這些代理域名服務器與各級授權域名服務器聯系，如果需要的話，通過對授權域名 服務器的遞歸查詢得到需要解析的域名信息，并且把信息在本地緩存以備將來的需 要。緩存域名服務器的職責是“收集數據”。它們在緩存里保存本地客戶近期查詢 的所有域名信息，這可以顯著地加快客戶域名查詢的響應速度，為客戶提供更優質 的

51、服務。 目前網絡上，基于 bind 的 dns 服務器同時充當授權域名服務器和緩存域名服 務器是最常見的。出于系統性能、可靠性和安全性等方面的綜合考慮，每臺域名服 務器應該只完成單一功能。 首先，授權權域名服務器的主要職責是“publish data”，需要管理很大的區 域（zone）和很多的區域；而緩存域名服務器的職責是“collect data”。不同的 職責決定了這兩者應該有不同的處理算法。授權域名服務器需要處理多個表單的數 據并要求在單個表單更新數據的同時不影響到其它表單的查詢；緩存域名服務器則 需要實時快速的處理大量的數據更新并提供更高效的查詢算法。所以，在實際網絡 設計中應當把兩者

52、分開，采用不同的算法進行處理，從而提高授權域名服務器的域 名解析和緩存域名服務器的用戶響應性能。（在 bind 中，授權功能和緩存功能只 是一個設置上的區別而已。） 注：詳細介紹見附件注：詳細介紹見附件ansans 技術白皮書，技術白皮書，vantiovantio 技術白皮書技術白皮書 其次，一臺 dns 服務器充當兩個職責會帶來嚴重的安全問題。internic 要求 所有的授權域名服務器開放訪問權限，因為互聯網上的緩存域名服務器需要通過查 詢授權域名服務器以獲得對應域名的解析。另一方面，運營商的緩存域名服務器應 當只對本網用戶開放訪問權限，以有效防止來自外網的 ddos 攻擊。基于 bind

53、 的域 名服務器將兩個功能捆綁在一起的實現方法，不但增加了服務器的負載，也降低了 服務器的安全級別。 -29- 基于以上的原因，在 nominum 的 dns 系統設計中，授權功能和緩存功能分別由 ans 和 vantio 完成。 緩存域名服務器 vantio 完成以下功能： 處理來自客戶的 dns 請求 搜索本地緩存，如果沒有查詢結果，從根授權服務器開始遞歸查詢，最終從 對應的授權服務器獲取域名數據并返回給客戶 緩存里域名的存儲時間由 ttl 值決定，ttl 過期后從緩存里清除數據 授權域名服務器 ans 完成以下功能： 拒絕所有遞歸查詢 域名數據在本地保存，服務器只負責本級和下級對應域名的

54、解析 由本地管理員修改配置本地域名 3 3、nominumnominum dnsdns 架構的優點架構的優點 穩定性 產品成熟可靠，在世界各地數十家電信運營商平臺上廣泛采用，從來未發生 任何事故。 24x7 的專業技術支持和產品升級，降低了技術和運營風險 高效可靠的內存管理技術，有效的提高了內存使用效率以及緩存命中率，系 統長期穩定運行，不需要網管干預。 高性能 在同類硬件平臺和運營商現網上，系統的 qps（每秒查詢數）比 bind9 增加 了 600到 1000 用戶域名查詢時延比 bind9 降低超過 1000 cpu 的使用率提高了 60 -30- 安全性 高性能系統，有效的降低了 dd

55、os 攻擊造成用戶服務中斷的幾率。 可以有效抵御其它針對 dns 的攻擊如“cache poising”和 pharming 攻擊。 方便靈活的管理模式 業界唯一在軟件層次上支持 snmp 協議的 dns 系統，可以和其它網管工具結 合，提供 dns 應用層面上的報警/檢測功能。 支持 syslog，支持 netiq，catci 等第三方網管工具。 統一的管理接口，支持基于 web 瀏覽器的 eac 后臺管理系統，可以方便的修 改、查詢配置和統計數據 基于命令行的在線命令通道，可是實時修改數據而不需要中斷服務。 提供多種靈活的工具 可以從現有 bind 的配置直接轉化生成 vantio 的 配

56、置，方便了系統升級。 -31- 附件附件 2、vantio 產品介紹產品介紹 1、vantio 簡介簡介 傳統的運營商角色定義為互聯網的網路承載平臺和網絡硬件平臺提供者，隨著 互聯網的發展和寬帶業務的廣泛應用，越來越多的運營商意識到發展互聯網上用戶 業務和用戶流量經營的重要性。通過提供給最終用戶更好的業務和服務，運營商可 以在更多的層次上細化業務種類和吸引新的客戶。業務上的需求也產生了對運營商 的 dns 系統提出了新的要求： 1、dns 是互聯網上的關鍵應用，它直接關系到用戶的最終體驗，因特網的大規模 發展對現有 dns 系統的安全性，可擴展性，穩定性等方面提出了更高的要求。 2、dns 在

57、 ip 網上的核心地位也決定了它在作為新的業務增值切入點的角色。 dns 是所有 ip 應用的核心，互聯網上面幾乎的所有應用都要使用 dns。 對于絕大多數應用，用戶首先會訪問 dns，dns 是業務層面的第一“接觸點” 。 dns 系統已經部署在網內，在 dns 上發展新業務不需要修改網絡結構。 在 dns 軟件基礎上為用戶提供增值業務開銷最小，具有性價比的優勢。 nominum 公司最新推出的 vantio 業務承載平臺就是在 ip 域名技術基礎之上， 根據各大運營商的業務要求開發的的一個通用增值業務平臺，vantio 為網絡運營 商提供了包括錯誤域名轉發在內的多項增值業務模塊，它的基本架

58、構如下圖一所示： -32- uar vantiovantiovantio 基礎服務器基礎服務器基礎服務器 可擴展可擴展可擴展 vantiovantiovantio 基礎服基礎服基礎服 務器務器務器, , , 支持多種增值業支持多種增值業支持多種增值業 務服務插件模塊務服務插件模塊務服務插件模塊 nxr 錯誤域名轉發模塊錯誤域名轉發模塊錯誤域名轉發模塊 (nxr)(nxr)(nxr) mdr 用戶接入控制模塊用戶接入控制模塊用戶接入控制模塊 (uar)(uar)(uar) 應用應用應用: : : walledwalledwalled gardensgardensgardens 客戶示例客戶示例客

59、戶示例: : : comcastcomcastcomcast 惡意域名控制模塊惡意域名控制模塊惡意域名控制模塊 (mdr)(mdr)(mdr) 應用應用應用: : : illegalillegalillegal domains,domains,domains, botbotbot rem.rem.rem. 客戶示例客戶示例客戶示例: : : upcupcupc 如上圖所示，nominum 公司的 vantio 服務器是在緩存域名服務器技術基礎上 開發的可擴展 dns 平臺，在 vantio 平臺上用戶可以按業務需求定制多種基于 dns 的增值業務模塊，包括 nxr：錯誤域名轉發模塊 mdr：非法和惡意域名轉發模塊 uar：用戶接入控制模塊 vantio 服務器同時為運營商提供了豐富的 dns 管理功能和附加安全特性，例 如： 域名分析系統：基于域名和 ip 的全 dns 請求日志和分析 錯誤域名分析部件，可以分析錯誤域名的種類，提供所有錯誤域名訪問的記錄 并產生相關分析報告 2 2、vantiovantio 的系統安全性介紹的系統安全性介紹 對 dos、ddos 攻擊的防范措施： vantio 支持基于源 ip 地址的訪問列表控制，管理員可以通過實時設置，屏 蔽來自某些 ip 的域名解析請求， -33- defense on attach 技術：vantio 系統可以自動檢測在