学术交流
当前位置:

构建广电宽带网络域名服务系统平台

2015-02-14 22:26 来源:电视技术

责编:陈默

【原编者按】 随着近年来广电运营商的不断发展壮大,宽带数据业务用户数大幅增长,域名服务作为互联网的基础服务,对提升宽带用户的网络体验和广电网络安全起到越发重要的作用。今天,来自深圳天威的笔者通过搭建广电运营商的域名服务平台,结合初期域名服务系统架构和域名策略存在的缺陷,提出优化改进的方式方法,最终构建一个安全可靠的广电网络域名服务平台。


构建广电宽带网络域名服务系统平台

2015-02-04 任晓峰 天威视讯宽带事业部

域名系统(DNS)作为互联网最基本的网络服务之一,主要负责互联网域名与IP地址间的转换工作,其安全稳定与高效运行对于网络质量与服务显得至关重要。

近年来广电运营商的宽带业务发展迅速,其宽带用户规模也不断增长,很多地方级的广电运营商宽带业务用户已由最初的几千增长至几十万,广电宽带网络的承载业务由最初的单一数据业务逐步发展为多种业务并存,不同业务对应的产品类型也呈多样化发展趋势。伴随宽带领域的竞争加剧,广电宽带产品的带宽不断升级,用户对域名查询的要求越来越高。因此,建立一套高性能、高可靠性、高安全性的电信级、高可用DNS系统对于广电运营商来说非常必要。

1 域名服务系统初期搭建

域名系统平台搭建初期,用户规模有限,功能需求单一,只需满足简单的DNS递归查询即可。将DNS服务器架设在数据机房,便于网管中心(NMC)的运维监控。DNS服务需要同外部internet上的服务器交互,因此适合配置为公网IP段网络,通过核心层的路由器接入网络。基于性能和安全等方面考虑,DNS服务器采用CentOS+BIND的方式搭建,即CentOS5.9的操作系统搭载BIND9.3的开源软件,为广电的宽带用户提供域名服务。初期建设的平台架构如图1所示。

1 初期域名系统平台架构

2 域名服务系统平台的改造优化

2.1 域名系统平台架构改造

1 建立按照功能划分的DNS服务器组

由于历史原因,中国电信和中国联通等几大基础运营商占据了90%以上的国际互联网宽带出口资源,而作为二级运营商的广电系统,没有自身的国际出口资源,不得不向基础运营商购买出口带宽,导致运营成本升高的同时,业务的可靠性也有所降低。广电运营商出口路由策略与基础运营商的策略紧密相关,导致作为互联网基础服务的域名服务策略也同基础运营商有着更紧密的联系。

域名系统是个分布式的树形结构系统,因此域名策略必然涉及到外部DNS服务器以及根服务器。基于IP地址辨识度的因素,即对于根服务器来说,国内基础运营商的IP地址段基本都有注册,辨识度很高,根服务器便于返回精确的权威服务器地址给这些IP地址为源的IP地址请求。广电运营商的IP地址段相对中国电信和联通的地址,被根服务器的辨识较低,因此,广电的DNS服务器可以向出口合作方(基础运营商)的DNS服务器转发,以达到更优的解析效果。同时,综合考虑出口流量的引导、基础运营商DNS服务器的潜在运行风险以及自身域名解析的稳定性,广电运营商还应当搭建只用于递归解析的DNS服务器。综合以上两点,按照功能区分,部署两组DNS服务器,一组向外部DNS服务器转发,另一组向根服务器递归查询。

2 建立网络结构的冗余备份,消除网络单点故障

建设初期的DNS内部网络采用单一链路结构,这样的网络结构通常较简易,适合初期建设,但同时也存在较大缺陷,即网络中存在单点故障隐患,服务器以下层面的网络设备一旦发生故障,整个域名系统将处于瘫痪状态,该系统的稳定性大大降低。

双路冗余结构是解决网络单点故障最常用的方法。在建设初期的网络中,分别增加一台路由器和交换机。两台交换机分别连接缓存服务器组和递归服务器组,两台路由器保证了路由转发层面的双机备份,同时在服务器层面架设两组服务器。这样的网络架构保证了在正常情况下,至少有一台路由器和一台交换机能够正常运行,两组DNS服务器中至少有一组能够正常运行,确保了DNS服务的持续安全运行。因此实现了域名系统所在网络的构架优化。

3 建立防火墙的冗余机制,抵御外部攻击

在互联网飞速发展的今天,网络安全成为了日益突出的问题,为保障广电宽带的网络安全,作为提供基础服务的域名系统所在的网络安全显得尤为重要。针对域名系统的攻击,比较常见的是域名劫持、缓存投毒以及DDOS攻击。上述攻击大多会使DNS服务器系统负荷异常升高,甚至导致服务器瘫痪。

架设硬件防火墙的方式通常被用于抵御外部网络攻击。硬件防火墙较之于软件防火墙,最大的优势是其把防火墙程序做到芯片里面,由硬件执行这些功能,减少了CPU的负担,路由也更稳定。DNS服务器位于防火墙后端,收到的数据包是经过防火墙处理的,再搭配架设IPS设备,通过配置其策略,可以有效过滤防火墙不能过滤的攻击,从而对DNS服务器起到很好的保护效果。同路由交换层面的架构一样,防火墙也采用冗余结构。所以架设硬件防火墙的方式成为系统优化的一种有效手段。改进后的平台架构如图2所示。

2 改进后域名系统平台架构

2.2 域名服务器策略优化

按照功能划分,两组DNS服务器分别实现转发和递归,在交换机虚拟两个IP地址,分别代表两组服务器,每一组内均采用Round Robin(轮询)策略,实现DNS请求的负载均衡。两个虚拟IP随着DHCP应答包下发给用户,成为客户端的首选和备选DNS地址。

服务器层面的策略又可通过BIND软件实现全局策略和单个域的策略。对于转发功能的服务器,全局策略可以配置为“forward first”,意为转发优先,当转发目的服务器无响应时,重新发起递归查询;单个域可以配置为单独转发,转发的IP地址不同于全局转发的DNS服务器地址,当有用户发起向这个域下的域名查询时,该查询请求会转发至该域里配置的转发地址,而不是全局转发地址,单个域的策略优先级高于全局策略。

对于递归功能的服务器,全局策略可以配置为“recursion yes”,意为递归解析,单个域可以配置为单独转发,单个域的策略优先级高于全局策略,当查询的域名不在单个域策略里时,将会通过一个完整的递归查询,再返回结果给用户。优化后的域名策略如图3所示。

3 域名策略

2.3 其他升级改造内容

随着广电宽带用户基数的不断增长,用户域名查询的复杂程度逐渐提高,对大查询量下的DNS响应时间要求更高。广电运营商网内CDN以及Cache建设规模的不断扩大,将使得流量通过DNS重定向到网内资源的作用愈发明显。随着广电运营商在BGP以及对等互联出口层面的策略变化,DNS将在流量引导方面起到更重要的作用。2014年广电运营商在各自网内对于IPv6技术的推进,也需要对IPv6更好地支持域名系统。基于以上几点,广电宽带域名系统的改造升级主要存在以下几方面需求:

1 智能解析——需要实现DNS系统的智能解析功能来解决跨网解析带来的问题,提高访问速度,方便用户访问。

2 域名纠错——当用户端输入错误的或者不存在的域名时,需要重定向到广电运营商预设好的广告经营页面,实现广告收入。

3 DNS流量分析——当前网管系统缺乏对DNS业务的监控,缺少对域名访问的统计和分析手段。需要实现深度的DNS流量分析监控与可视化。

4 IPv6支持——需要提供对IPv6的全面支持,包括过渡阶段IPv4网络与IPv6网络间的域名解析服务。

5 安全加固——目前开源软件BIND存在安全风险,需加强安全防护功能,实现对DNS系统一般攻击的防护。

6 业界相关标准的支持——支持DNSSECDNS安全扩展机制)、EDNS0DNS的扩展名机制)、支持IDN域名(国际化多语种域名)。

3 结束语

随着国家“三网融合”发展战略的推进,以及双向改造的完成,各地广电运营商迎来了发展的新契机,广电宽带业务的用户数稳步上升,广电运营商对自身的发展提出了更高要求,逐步向电信级运营商看齐。而要与电信级运营商展开竞争,首先就要在域名服务这样的互联网基础服务上提升自身的稳定性,同时在提升网络安全、可靠性的基础上,利用广电系统自身的优势。本文阐述了构建适合广电自身发展的域名系统平台以及改进优化的思路。通过本文的介绍,希望能够对各地处在不同发展阶段的广电运营商在搭建域名系统平台方面提供一些参考,使其在未来数据业务及多种增值业务的发展方面奠定较好的基础。


 

该文已刊登在《电视技术》2015年第2期

订阅电话:010-59570227