亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺(tái)

        2015-07-02 00:30:30任曉峰
        電視技術(shù) 2015年2期
        關(guān)鍵詞:域名防火墻廣電

        任曉峰

        (天威視訊寬帶事業(yè)部,廣東 深圳 518036)

        構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺(tái)

        任曉峰

        (天威視訊寬帶事業(yè)部,廣東 深圳 518036)

        隨著近年來廣電運(yùn)營(yíng)商的不斷發(fā)展壯大,寬帶數(shù)據(jù)業(yè)務(wù)用戶數(shù)大幅增長(zhǎng),域名服務(wù)作為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù),對(duì)提升寬帶用戶的網(wǎng)絡(luò)體驗(yàn)和廣電網(wǎng)絡(luò)安全起到越發(fā)重要的作用。通過搭建廣電運(yùn)營(yíng)商的域名服務(wù)平臺(tái),結(jié)合初期域名服務(wù)系統(tǒng)架構(gòu)和域名策略存在的缺陷,提出優(yōu)化改進(jìn)的方式方法,最終構(gòu)建一個(gè)安全可靠的廣電網(wǎng)絡(luò)域名服務(wù)平臺(tái)。

        廣電;寬帶網(wǎng)絡(luò);域名服務(wù)

        域名系統(tǒng)(DNS)作為互聯(lián)網(wǎng)最基本的網(wǎng)絡(luò)服務(wù)之一,主要負(fù)責(zé)互聯(lián)網(wǎng)域名與IP地址間的轉(zhuǎn)換工作,其安全穩(wěn)定與高效運(yùn)行對(duì)于網(wǎng)絡(luò)質(zhì)量與服務(wù)顯得至關(guān)重要。

        近年來廣電運(yùn)營(yíng)商的寬帶業(yè)務(wù)發(fā)展迅速,其寬帶用戶規(guī)模也不斷增長(zhǎng),很多地方級(jí)的廣電運(yùn)營(yíng)商寬帶業(yè)務(wù)用戶已由最初的幾千增長(zhǎng)至幾十萬,廣電寬帶網(wǎng)絡(luò)的承載業(yè)務(wù)由最初的單一數(shù)據(jù)業(yè)務(wù)逐步發(fā)展為多種業(yè)務(wù)并存,不同業(yè)務(wù)對(duì)應(yīng)的產(chǎn)品類型也呈多樣化發(fā)展趨勢(shì)。伴隨寬帶領(lǐng)域的競(jìng)爭(zhēng)加劇,廣電寬帶產(chǎn)品的帶寬不斷升級(jí),用戶對(duì)域名查詢的要求越來越高。因此,建立一套高性能、高可靠性、高安全性的電信級(jí)、高可用DNS系統(tǒng)對(duì)于廣電運(yùn)營(yíng)商來說非常必要。

        1 域名服務(wù)系統(tǒng)初期搭建

        域名系統(tǒng)平臺(tái)搭建初期,用戶規(guī)模有限,功能需求單一,只需滿足簡(jiǎn)單的DNS遞歸查詢即可。將DNS服務(wù)器架設(shè)在數(shù)據(jù)機(jī)房,便于網(wǎng)管中心(NMC)的運(yùn)維監(jiān)控。DNS服務(wù)需要同外部internet上的服務(wù)器交互,因此適合配置為公網(wǎng)IP段網(wǎng)絡(luò),通過核心層的路由器接入網(wǎng)絡(luò)?;谛阅芎桶踩确矫婵紤],DNS服務(wù)器采用CentOS+BIND的方式搭建,即CentOS5.9的操作系統(tǒng)搭載BIND9.3的開源軟件,為廣電的寬帶用戶提供域名服務(wù)。初期建設(shè)的平臺(tái)架構(gòu)如圖1所示。

        圖1 初期域名系統(tǒng)平臺(tái)架構(gòu)

        2 域名服務(wù)系統(tǒng)平臺(tái)的改造優(yōu)化

        2.1 域名系統(tǒng)平臺(tái)架構(gòu)改造

        1)建立按照功能劃分的DNS服務(wù)器組[1]

        由于歷史原因,中國(guó)電信和中國(guó)聯(lián)通等幾大基礎(chǔ)運(yùn)營(yíng)商占據(jù)了90%以上的國(guó)際互聯(lián)網(wǎng)寬帶出口資源,而作為二級(jí)運(yùn)營(yíng)商的廣電系統(tǒng),沒有自身的國(guó)際出口資源,不得不向基礎(chǔ)運(yùn)營(yíng)商購買出口帶寬,導(dǎo)致運(yùn)營(yíng)成本升高的同時(shí),業(yè)務(wù)的可靠性也有所降低。廣電運(yùn)營(yíng)商出口路由策略與基礎(chǔ)運(yùn)營(yíng)商的策略緊密相關(guān),導(dǎo)致作為互聯(lián)網(wǎng)基礎(chǔ)服務(wù)的域名服務(wù)策略也同基礎(chǔ)運(yùn)營(yíng)商有著更緊密的聯(lián)系。

        域名系統(tǒng)是個(gè)分布式的樹形結(jié)構(gòu)系統(tǒng),因此域名策略必然涉及到外部DNS服務(wù)器以及根服務(wù)器?;贗P地址辨識(shí)度的因素,即對(duì)于根服務(wù)器來說,國(guó)內(nèi)基礎(chǔ)運(yùn)營(yíng)商的IP地址段基本都有注冊(cè),辨識(shí)度很高,根服務(wù)器便于返回精確的權(quán)威服務(wù)器地址給這些IP地址為源的IP地址請(qǐng)求。廣電運(yùn)營(yíng)商的IP地址段相對(duì)中國(guó)電信和聯(lián)通的地址,被根服務(wù)器的辨識(shí)較低,因此,廣電的DNS服務(wù)器可以向出口合作方(基礎(chǔ)運(yùn)營(yíng)商)的DNS服務(wù)器轉(zhuǎn)發(fā),以達(dá)到更優(yōu)的解析效果。同時(shí),綜合考慮出口流量的引導(dǎo)、基礎(chǔ)運(yùn)營(yíng)商DNS服務(wù)器的潛在運(yùn)行風(fēng)險(xiǎn)以及自身域名解析的穩(wěn)定性,廣電運(yùn)營(yíng)商還應(yīng)當(dāng)搭建只用于遞歸解析的DNS服務(wù)器。綜合以上兩點(diǎn),按照功能區(qū)分,部署兩組DNS服務(wù)器,一組向外部DNS服務(wù)器轉(zhuǎn)發(fā),另一組向根服務(wù)器遞歸查詢。

        2)建立網(wǎng)絡(luò)結(jié)構(gòu)的冗余備份,消除網(wǎng)絡(luò)單點(diǎn)故障

        建設(shè)初期的DNS內(nèi)部網(wǎng)絡(luò)采用單一鏈路結(jié)構(gòu),這樣的網(wǎng)絡(luò)結(jié)構(gòu)通常較簡(jiǎn)易,適合初期建設(shè),但同時(shí)也存在較大缺陷,即網(wǎng)絡(luò)中存在單點(diǎn)故障隱患,服務(wù)器以下層面的網(wǎng)絡(luò)設(shè)備一旦發(fā)生故障,整個(gè)域名系統(tǒng)將處于癱瘓狀態(tài),該系統(tǒng)的穩(wěn)定性大大降低。

        雙路冗余結(jié)構(gòu)是解決網(wǎng)絡(luò)單點(diǎn)故障最常用的方法。在建設(shè)初期的網(wǎng)絡(luò)中,分別增加一臺(tái)路由器和交換機(jī)。兩臺(tái)交換機(jī)分別連接緩存服務(wù)器組和遞歸服務(wù)器組,兩臺(tái)路由器保證了路由轉(zhuǎn)發(fā)層面的雙機(jī)備份,同時(shí)在服務(wù)器層面架設(shè)兩組服務(wù)器。這樣的網(wǎng)絡(luò)架構(gòu)保證了在正常情況下,至少有一臺(tái)路由器和一臺(tái)交換機(jī)能夠正常運(yùn)行,兩組DNS服務(wù)器中至少有一組能夠正常運(yùn)行,確保了DNS服務(wù)的持續(xù)安全運(yùn)行。因此實(shí)現(xiàn)了域名系統(tǒng)所在網(wǎng)絡(luò)的構(gòu)架優(yōu)化。

        3)建立防火墻的冗余機(jī)制,抵御外部攻擊

        在互聯(lián)網(wǎng)飛速發(fā)展的今天,網(wǎng)絡(luò)安全成為了日益突出的問題,為保障廣電寬帶的網(wǎng)絡(luò)安全,作為提供基礎(chǔ)服務(wù)的域名系統(tǒng)所在的網(wǎng)絡(luò)安全顯得尤為重要。針對(duì)域名系統(tǒng)的攻擊,比較常見的是域名劫持、緩存投毒以及DDOS攻擊。上述攻擊大多會(huì)使DNS服務(wù)器系統(tǒng)負(fù)荷異常升高,甚至導(dǎo)致服務(wù)器癱瘓。

        架設(shè)硬件防火墻的方式通常被用于抵御外部網(wǎng)絡(luò)攻擊。硬件防火墻較之于軟件防火墻,最大的優(yōu)勢(shì)是其把防火墻程序做到芯片里面,由硬件執(zhí)行這些功能,減少了CPU的負(fù)擔(dān),路由也更穩(wěn)定。DNS服務(wù)器位于防火墻后端,收到的數(shù)據(jù)包是經(jīng)過防火墻處理的,再搭配架設(shè)IPS設(shè)備,通過配置其策略,可以有效過濾防火墻不能過濾的攻擊,從而對(duì)DNS服務(wù)器起到很好的保護(hù)效果。同路由交換層面的架構(gòu)一樣,防火墻也采用冗余結(jié)構(gòu)。所以架設(shè)硬件防火墻的方式成為系統(tǒng)優(yōu)化的一種有效手段。改進(jìn)后的平臺(tái)架構(gòu)如圖2所示。

        圖2 改進(jìn)后域名系統(tǒng)平臺(tái)架構(gòu)

        2.2 域名服務(wù)器策略優(yōu)化

        按照功能劃分,兩組DNS服務(wù)器分別實(shí)現(xiàn)轉(zhuǎn)發(fā)和遞歸,在交換機(jī)虛擬兩個(gè)IP地址,分別代表兩組服務(wù)器,每一組內(nèi)均采用Round Robin(輪詢)策略,實(shí)現(xiàn)DNS請(qǐng)求的負(fù)載均衡。兩個(gè)虛擬IP隨著DHCP應(yīng)答包下發(fā)給用戶,成為客戶端的首選和備選DNS地址。

        服務(wù)器層面的策略又可通過BIND軟件實(shí)現(xiàn)全局策略和單個(gè)域的策略。對(duì)于轉(zhuǎn)發(fā)功能的服務(wù)器,全局策略可以配置為“forward first”[2],意為轉(zhuǎn)發(fā)優(yōu)先,當(dāng)轉(zhuǎn)發(fā)目的服務(wù)器無響應(yīng)時(shí),重新發(fā)起遞歸查詢;單個(gè)域可以配置為單獨(dú)轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)的IP地址不同于全局轉(zhuǎn)發(fā)的DNS服務(wù)器地址,當(dāng)有用戶發(fā)起向這個(gè)域下的域名查詢時(shí),該查詢請(qǐng)求會(huì)轉(zhuǎn)發(fā)至該域里配置的轉(zhuǎn)發(fā)地址,而不是全局轉(zhuǎn)發(fā)地址,單個(gè)域的策略優(yōu)先級(jí)高于全局策略。

        對(duì)于遞歸功能的服務(wù)器,全局策略可以配置為“recur?sion yes”,意為遞歸解析,單個(gè)域可以配置為單獨(dú)轉(zhuǎn)發(fā),單個(gè)域的策略優(yōu)先級(jí)高于全局策略,當(dāng)查詢的域名不在單個(gè)域策略里時(shí),將會(huì)通過一個(gè)完整的遞歸查詢,再返回結(jié)果給用戶。優(yōu)化后的域名策略如圖3所示。

        圖3 域名策略

        2.3 其他升級(jí)改造內(nèi)容

        隨著廣電寬帶用戶基數(shù)的不斷增長(zhǎng),用戶域名查詢的復(fù)雜程度逐漸提高,對(duì)大查詢量下的DNS響應(yīng)時(shí)間要求更高。廣電運(yùn)營(yíng)商網(wǎng)內(nèi)CDN以及Cache建設(shè)規(guī)模的不斷擴(kuò)大,將使得流量通過DNS重定向到網(wǎng)內(nèi)資源的作用愈發(fā)明顯。隨著廣電運(yùn)營(yíng)商在BGP以及對(duì)等互聯(lián)出口層面的策略變化,DNS將在流量引導(dǎo)方面起到更重要的作用。2014年廣電運(yùn)營(yíng)商在各自網(wǎng)內(nèi)對(duì)于IPv6技術(shù)的推進(jìn),也需要對(duì)IPv6更好地支持域名系統(tǒng)?;谝陨蠋c(diǎn),廣電寬帶域名系統(tǒng)的改造升級(jí)主要存在以下幾方面需求:

        1)智能解析——需要實(shí)現(xiàn)DNS系統(tǒng)的智能解析功能來解決跨網(wǎng)解析帶來的問題,提高訪問速度,方便用戶訪問。

        2)域名糾錯(cuò)——當(dāng)用戶端輸入錯(cuò)誤的或者不存在的域名時(shí),需要重定向到廣電運(yùn)營(yíng)商預(yù)設(shè)好的廣告經(jīng)營(yíng)頁面,實(shí)現(xiàn)廣告收入。

        3)DNS流量分析——當(dāng)前網(wǎng)管系統(tǒng)缺乏對(duì)DNS業(yè)務(wù)的監(jiān)控,缺少對(duì)域名訪問的統(tǒng)計(jì)和分析手段。需要實(shí)現(xiàn)深度的DNS流量分析監(jiān)控與可視化。

        4)IPv6支持——需要提供對(duì)IPv6的全面支持,包括過渡階段IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)間的域名解析服務(wù)[3]。

        5)安全加固——目前開源軟件BIND存在安全風(fēng)險(xiǎn),需加強(qiáng)安全防護(hù)功能,實(shí)現(xiàn)對(duì)DNS系統(tǒng)一般攻擊的防護(hù)。

        6)業(yè)界相關(guān)標(biāo)準(zhǔn)的支持——支持DNSSEC(DNS安全擴(kuò)展機(jī)制)、EDNS0(DNS的擴(kuò)展名機(jī)制)、支持IDN域名(國(guó)際化多語種域名)。

        3 結(jié)束語

        隨著國(guó)家“三網(wǎng)融合”發(fā)展戰(zhàn)略的推進(jìn),以及雙向改造的完成,各地廣電運(yùn)營(yíng)商迎來了發(fā)展的新契機(jī),廣電寬帶業(yè)務(wù)的用戶數(shù)穩(wěn)步上升,廣電運(yùn)營(yíng)商對(duì)自身的發(fā)展提出了更高要求,逐步向電信級(jí)運(yùn)營(yíng)商看齊。而要與電信級(jí)運(yùn)營(yíng)商展開競(jìng)爭(zhēng),首先就要在域名服務(wù)這樣的互聯(lián)網(wǎng)基礎(chǔ)服務(wù)上提升自身的穩(wěn)定性,同時(shí)在提升網(wǎng)絡(luò)安全、可靠性的基礎(chǔ)上,利用廣電系統(tǒng)自身的優(yōu)勢(shì)。本文闡述了構(gòu)建適合廣電自身發(fā)展的域名系統(tǒng)平臺(tái)以及改進(jìn)優(yōu)化的思路。通過本文的介紹,希望能夠?qū)Ω鞯靥幵诓煌l(fā)展階段的廣電運(yùn)營(yíng)商在搭建域名系統(tǒng)平臺(tái)方面提供一些參考,使其在未來數(shù)據(jù)業(yè)務(wù)及多種增值業(yè)務(wù)的發(fā)展方面奠定較好的基礎(chǔ)。

        [1] 張?jiān)魄?,胡家顏,孫莉.下一代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京:國(guó)防工業(yè)出版社,2006.

        [2] ETF RFC 2694—1999,DNS extensions to Network Address Trans-lators(DNS_ALG)[S].1999.

        [3]陳艷敏,張思東,張宏科.IPv4/IPv6雙棧域名系統(tǒng)的研究[J].電視技術(shù),2005,29(9):70-73.

        Design and Im p lementation of Domain Name System of CATV Network

        REN Xiaofeng
        (Broadband cause Department of Topway Video Communication Co.,Ltd.,Guangdong Shenzhen 518036,China)

        With the continuous development of CATV operators in recent years,the number of broadband users increases significantly.As the basis of Internet services,domain name service play an increasingly important role in improving network experience and CATV network security.In this paper,through instances of building domain name service platform for CATV operators,in combination with the defects of initial DNS system architecture and the domain name strategy,the methods of optimization and improvement is put forward,eventually to build a secure and reliable DNS platform of CATV network.

        CATV;broadband network;domain name service

        TN913

        B

        10.16280/j.videoe.2015.02.007

        2014-07-17

        【本文獻(xiàn)信息】任曉峰.構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺(tái)[J].電視技術(shù),2015,39(2).

        任曉峰(1983—),碩士,工程師,主要從事有線電視HFC接入網(wǎng)、廣電城域網(wǎng)以及廣電運(yùn)營(yíng)商域名系統(tǒng)等方面的工作。

        責(zé)任編輯:許 盈

        猜你喜歡
        域名防火墻廣電
        探討大數(shù)據(jù)在廣電新媒體中的應(yīng)用
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        如何購買WordPress網(wǎng)站域名及綁定域名
        廣電新聞出版整合對(duì)廣電業(yè)發(fā)展影響的思考
        新聞傳播(2016年21期)2016-07-10 12:22:35
        EPON技術(shù)在廣電網(wǎng)絡(luò)的應(yīng)用
        騰訊八百萬美元收購域名
        下一代防火墻要做的十件事
        廣電巨貪借改制謀暴利
        頂級(jí)域名爭(zhēng)奪戰(zhàn):ICANN放出1930個(gè)通用頂級(jí)域名,申請(qǐng)者有上千家
        筑起網(wǎng)吧“防火墻”
        欧美日本道免费二区三区| 国产又猛又黄又爽| 天天综合网在线观看视频| 好爽…又高潮了毛片免费看 | 蜜臀性色av免费| 粗了大了 整进去好爽视频| 国产一级淫片a免费播放口| 亚洲一区亚洲二区中文字幕| 老鲁夜夜老鲁| av午夜久久蜜桃传媒软件| 国产成人乱色伦区小说| 精品国产车一区二区三区| 西川结衣中文字幕在线| 精品国产sm捆绑最大网免费站| 国产精品自产拍在线18禁| 亚洲熟女一区二区三区不卡| 爽爽影院免费观看| 精品亚洲成a人7777在线观看| 久久天堂av色综合| 国产91在线播放九色快色| 日韩精品专区av无码| 69精品丰满人妻无码视频a片| 特黄三级一区二区三区| 日韩人妻中文字幕专区| 伊人久久大香线蕉综合影院首页| 在线免费毛片| 国产精品亚洲一区二区三区妖精| 日本xxxx色视频在线观看免费| 午夜福利麻豆国产精品| 精品无码成人片一区二区| 男女动态91白浆视频| 国产成人a在线观看视频免费| 欧美性福利| 日本精品啪啪一区二区| 真人抽搐一进一出视频| 亚洲精品国产精品国自产观看 | 亚洲av天堂久久精品| 丁香婷婷激情视频在线播放| 欧美极品少妇无套实战| 熟女人妻丰满熟妇啪啪| 久久亚洲网站中文字幕|