摘要：DNS作為互聯(lián)網(wǎng)基礎(chǔ)核心服務(wù)，牽涉到信息點(diǎn)web應(yīng)用。當(dāng)DNS服務(wù)器需要大規(guī)模切換，會(huì)給網(wǎng)絡(luò)帶來(lái)重大影響。本文通過(guò)搭建在centos5.5平臺(tái)下bind9.3，響應(yīng)原有DNS服務(wù)器服務(wù)，通過(guò)IP SLA服務(wù)體系保證DNS服務(wù)無(wú)縫平滑切換。經(jīng)過(guò)生產(chǎn)系統(tǒng)檢驗(yàn)實(shí)踐出一條平滑可靠的DNS服務(wù)無(wú)縫切換方法。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)；DNS服務(wù)器；切換

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 24-0137-02

某大型企業(yè)，內(nèi)部信息點(diǎn)通過(guò)邊界防火墻SNAT方式訪(fǎng)問(wèn)互聯(lián)網(wǎng)，內(nèi)部局域網(wǎng)地址分配管理方法是靜態(tài)IP地址分配管理，所有DNS配置通過(guò)下屬單位網(wǎng)絡(luò)管理員直接配置，DNS服務(wù)器直接使用電信提供的DNS服務(wù)器，全部信息點(diǎn)總數(shù)量超過(guò)4000。

DNS 是域名系統(tǒng) （Domain Name System）的縮寫(xiě)，作為因特網(wǎng)的一項(xiàng)核心基礎(chǔ)服務(wù)，將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪(fǎng)問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP地址。

目前單位直接使用電信DNS服務(wù)器，存在以下問(wèn)題：首先DNS響應(yīng)緩慢，大量的DNS請(qǐng)求對(duì)邊界防火墻壓力很大，正常7%左右的UDP包都在響應(yīng)DNS服務(wù)，一般情況DNS響應(yīng)延遲達(dá)到15MS，高峰期達(dá)到40MS或更高，嚴(yán)重影響企業(yè)WEB應(yīng)用使用體驗(yàn)；內(nèi)部信息點(diǎn)大量DNS查詢(xún)，導(dǎo)致電信服務(wù)器認(rèn)為單位外網(wǎng)出口發(fā)起DDOS攻擊，經(jīng)常屏蔽防火墻出口DNS查詢(xún)，造成大規(guī)模WEB網(wǎng)站打不開(kāi)，當(dāng)然部分機(jī)器偶發(fā)的針對(duì)DNS攻擊的病毒，也會(huì)造成以上問(wèn)題；內(nèi)部互聯(lián)應(yīng)用業(yè)務(wù)增多，提出了針對(duì)不同區(qū)域選擇不同的網(wǎng)絡(luò)地址響應(yīng)，譬如內(nèi)部機(jī)器希望通過(guò)內(nèi)部地址進(jìn)行響應(yīng)，電信的機(jī)器通過(guò)電信外部地址訪(fǎng)問(wèn)，聯(lián)通信息點(diǎn)訪(fǎng)問(wèn)聯(lián)通WEB地址，通過(guò)有效區(qū)域劃分針對(duì)性提供訪(fǎng)問(wèn)服務(wù)，提升響應(yīng)速度，對(duì)網(wǎng)絡(luò)DNS服務(wù)提出更高的服務(wù)要求；目前單位出口運(yùn)營(yíng)商電信和聯(lián)通多個(gè)業(yè)務(wù)網(wǎng)絡(luò)，由于電信和聯(lián)通的DNS服務(wù)器只能為它們自身網(wǎng)絡(luò)提供服務(wù)，以前在邊界防火墻上使用專(zhuān)門(mén)的DNS訪(fǎng)問(wèn)控制策略，將所有DNS服務(wù)引入到電信服務(wù)器處理，電信的DNS服務(wù)器對(duì)電信網(wǎng)絡(luò)做了很多優(yōu)化，導(dǎo)致聯(lián)通的網(wǎng)絡(luò)利用效率一直不高。以上種種問(wèn)題要求單位必須根據(jù)對(duì)DNS服務(wù)器做相當(dāng)程度的優(yōu)化，將DNS服務(wù)器切換成內(nèi)部服務(wù)器是解決問(wèn)題核心。

企業(yè)切換DNS服務(wù)器，波及范圍很大，影響所有上網(wǎng)用戶(hù)。根據(jù)現(xiàn)在企業(yè)使用現(xiàn)狀，如果通過(guò)通知所有下屬管理員手工切換，該單位有4000信息點(diǎn)，工作量十分繁重，手工操作出錯(cuò)幾率很大，如果DNS內(nèi)部自建服務(wù)器，發(fā)生故障頻率比較高，一旦出現(xiàn)故障，再次切換就會(huì)帶來(lái)很大負(fù)面影響，出現(xiàn)大規(guī)模網(wǎng)絡(luò)混亂。采取平滑切換方式，將DNS服務(wù)器切換對(duì)網(wǎng)絡(luò)帶來(lái)的影響降低到最低。

根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，轉(zhuǎn)換思路，實(shí)踐的核心思想如下：通過(guò)構(gòu)建內(nèi)部DNS服務(wù)器，響應(yīng)以前電信DNS服務(wù)器地址，在核心設(shè)備上利用CISCO IP SLA（服務(wù)協(xié)議等級(jí)監(jiān)測(cè)）機(jī)制，對(duì)DNS服務(wù)進(jìn)行全面監(jiān)控，發(fā)現(xiàn)內(nèi)部DNS服務(wù)器響應(yīng)出現(xiàn)問(wèn)題，重新引入電信DNS服務(wù)器，達(dá)到高可靠性的DNS服務(wù)。

首先構(gòu)建內(nèi)部DNS運(yùn)行平臺(tái)。安裝Centos5.5。單位采用的開(kāi)源社區(qū)系統(tǒng)Centos，Centos是Redhat企業(yè)版經(jīng)開(kāi)源社區(qū)重新編譯，去除掉版權(quán)信息重新發(fā)布的系統(tǒng)，能夠提供跟Redhat企業(yè)版近似的產(chǎn)品，操作跟Redhat完全一致，安全、性能調(diào)優(yōu)都很好。通過(guò)關(guān)閉不需要的服務(wù)，保證系統(tǒng)服務(wù)的可靠性。注意：網(wǎng)卡安裝，網(wǎng)卡需要綁定多個(gè)地址，默認(rèn)網(wǎng)卡使用內(nèi)部網(wǎng)絡(luò)地址，同時(shí)需要綁定電信的DNS服務(wù)地址。在本次項(xiàng)目中，電信的DNS服務(wù)器地址是61.147.37.1，內(nèi)部DNS服務(wù)器規(guī)劃為10.100.1.162，所以需要在一塊網(wǎng)卡綁定雙地址，就是ETH0網(wǎng)卡地址配置10.100.1.162，ETH0：1地址配置61.147.37.1，默認(rèn)網(wǎng)關(guān)配置10.100.1.1。檢查路由表route是否正確，如下圖：

安裝Bind9.3。centos5.5，通過(guò)yum –y install bind-chroot*，默認(rèn)安裝bind9.3，由于 DNS的Bind偶爾會(huì)出現(xiàn)溢出漏洞攻擊，通過(guò)chroot機(jī)制，軟件調(diào)用庫(kù)函數(shù).chroot，改變Bind能看見(jiàn)的根目錄，使得Bind使用named 運(yùn)行查看的權(quán)限僅僅是/var/named/chroot/下。將整個(gè)named權(quán)限限制在固定的目錄下，即使named服務(wù)爆發(fā)漏洞，也能保證服務(wù)器安全運(yùn)行，僅需把Bind安全補(bǔ)丁安裝完成，就能保證系統(tǒng)服務(wù)可靠運(yùn)行。通過(guò)檢查/etc/sysconfig/named配置中是否存在 ROOTDIR=/var/nam ed/chroot ， 保證bind的chroot機(jī)制正常工作。Yum –y install caching-nameserver* 安裝DNS緩存服務(wù)器配置腳本，簡(jiǎn)化部署，這個(gè)包里包含大部分bind基礎(chǔ)配置包。安裝完成需要打開(kāi)防火墻53號(hào)通信端口，和SElinux。通過(guò)修改啟動(dòng)配置chkconfig –level 35 named on，保證在運(yùn)行級(jí)別35上自動(dòng)開(kāi)啟named服務(wù)（DNS服務(wù)）。進(jìn)入/var/named/chroot/etc，cp –a named.caching-nameserver.conf named.conf，-a參數(shù)是帶文件屬性copy，也可以不加參數(shù)copy過(guò)后通過(guò)chown root：named named.conf ，如果不修改服務(wù)啟動(dòng)不正常，報(bào)文件訪(fǎng)問(wèn)權(quán)限錯(cuò)誤。根據(jù)需要修改named.conf配置。修改完成通過(guò)named-checkconf命令對(duì)

（下轉(zhuǎn)第139頁(yè)）