任曉峰
(天威視訊寬帶事業(yè)部,廣東 深圳 518036)
構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺(tái)
任曉峰
(天威視訊寬帶事業(yè)部,廣東 深圳 518036)
隨著近年來廣電運(yùn)營(yíng)商的不斷發(fā)展壯大,寬帶數(shù)據(jù)業(yè)務(wù)用戶數(shù)大幅增長(zhǎng),域名服務(wù)作為互聯(lián)網(wǎng)的基礎(chǔ)服務(wù),對(duì)提升寬帶用戶的網(wǎng)絡(luò)體驗(yàn)和廣電網(wǎng)絡(luò)安全起到越發(fā)重要的作用。通過搭建廣電運(yùn)營(yíng)商的域名服務(wù)平臺(tái),結(jié)合初期域名服務(wù)系統(tǒng)架構(gòu)和域名策略存在的缺陷,提出優(yōu)化改進(jìn)的方式方法,最終構(gòu)建一個(gè)安全可靠的廣電網(wǎng)絡(luò)域名服務(wù)平臺(tái)。
廣電;寬帶網(wǎng)絡(luò);域名服務(wù)
域名系統(tǒng)(DNS)作為互聯(lián)網(wǎng)最基本的網(wǎng)絡(luò)服務(wù)之一,主要負(fù)責(zé)互聯(lián)網(wǎng)域名與IP地址間的轉(zhuǎn)換工作,其安全穩(wěn)定與高效運(yùn)行對(duì)于網(wǎng)絡(luò)質(zhì)量與服務(wù)顯得至關(guān)重要。
近年來廣電運(yùn)營(yíng)商的寬帶業(yè)務(wù)發(fā)展迅速,其寬帶用戶規(guī)模也不斷增長(zhǎng),很多地方級(jí)的廣電運(yùn)營(yíng)商寬帶業(yè)務(wù)用戶已由最初的幾千增長(zhǎng)至幾十萬,廣電寬帶網(wǎng)絡(luò)的承載業(yè)務(wù)由最初的單一數(shù)據(jù)業(yè)務(wù)逐步發(fā)展為多種業(yè)務(wù)并存,不同業(yè)務(wù)對(duì)應(yīng)的產(chǎn)品類型也呈多樣化發(fā)展趨勢(shì)。伴隨寬帶領(lǐng)域的競(jìng)爭(zhēng)加劇,廣電寬帶產(chǎn)品的帶寬不斷升級(jí),用戶對(duì)域名查詢的要求越來越高。因此,建立一套高性能、高可靠性、高安全性的電信級(jí)、高可用DNS系統(tǒng)對(duì)于廣電運(yùn)營(yíng)商來說非常必要。
域名系統(tǒng)平臺(tái)搭建初期,用戶規(guī)模有限,功能需求單一,只需滿足簡(jiǎn)單的DNS遞歸查詢即可。將DNS服務(wù)器架設(shè)在數(shù)據(jù)機(jī)房,便于網(wǎng)管中心(NMC)的運(yùn)維監(jiān)控。DNS服務(wù)需要同外部internet上的服務(wù)器交互,因此適合配置為公網(wǎng)IP段網(wǎng)絡(luò),通過核心層的路由器接入網(wǎng)絡(luò)?;谛阅芎桶踩确矫婵紤],DNS服務(wù)器采用CentOS+BIND的方式搭建,即CentOS5.9的操作系統(tǒng)搭載BIND9.3的開源軟件,為廣電的寬帶用戶提供域名服務(wù)。初期建設(shè)的平臺(tái)架構(gòu)如圖1所示。
圖1 初期域名系統(tǒng)平臺(tái)架構(gòu)
2.1 域名系統(tǒng)平臺(tái)架構(gòu)改造
1)建立按照功能劃分的DNS服務(wù)器組[1]
由于歷史原因,中國(guó)電信和中國(guó)聯(lián)通等幾大基礎(chǔ)運(yùn)營(yíng)商占據(jù)了90%以上的國(guó)際互聯(lián)網(wǎng)寬帶出口資源,而作為二級(jí)運(yùn)營(yíng)商的廣電系統(tǒng),沒有自身的國(guó)際出口資源,不得不向基礎(chǔ)運(yùn)營(yíng)商購買出口帶寬,導(dǎo)致運(yùn)營(yíng)成本升高的同時(shí),業(yè)務(wù)的可靠性也有所降低。廣電運(yùn)營(yíng)商出口路由策略與基礎(chǔ)運(yùn)營(yíng)商的策略緊密相關(guān),導(dǎo)致作為互聯(lián)網(wǎng)基礎(chǔ)服務(wù)的域名服務(wù)策略也同基礎(chǔ)運(yùn)營(yíng)商有著更緊密的聯(lián)系。
域名系統(tǒng)是個(gè)分布式的樹形結(jié)構(gòu)系統(tǒng),因此域名策略必然涉及到外部DNS服務(wù)器以及根服務(wù)器?;贗P地址辨識(shí)度的因素,即對(duì)于根服務(wù)器來說,國(guó)內(nèi)基礎(chǔ)運(yùn)營(yíng)商的IP地址段基本都有注冊(cè),辨識(shí)度很高,根服務(wù)器便于返回精確的權(quán)威服務(wù)器地址給這些IP地址為源的IP地址請(qǐng)求。廣電運(yùn)營(yíng)商的IP地址段相對(duì)中國(guó)電信和聯(lián)通的地址,被根服務(wù)器的辨識(shí)較低,因此,廣電的DNS服務(wù)器可以向出口合作方(基礎(chǔ)運(yùn)營(yíng)商)的DNS服務(wù)器轉(zhuǎn)發(fā),以達(dá)到更優(yōu)的解析效果。同時(shí),綜合考慮出口流量的引導(dǎo)、基礎(chǔ)運(yùn)營(yíng)商DNS服務(wù)器的潛在運(yùn)行風(fēng)險(xiǎn)以及自身域名解析的穩(wěn)定性,廣電運(yùn)營(yíng)商還應(yīng)當(dāng)搭建只用于遞歸解析的DNS服務(wù)器。綜合以上兩點(diǎn),按照功能區(qū)分,部署兩組DNS服務(wù)器,一組向外部DNS服務(wù)器轉(zhuǎn)發(fā),另一組向根服務(wù)器遞歸查詢。
2)建立網(wǎng)絡(luò)結(jié)構(gòu)的冗余備份,消除網(wǎng)絡(luò)單點(diǎn)故障
建設(shè)初期的DNS內(nèi)部網(wǎng)絡(luò)采用單一鏈路結(jié)構(gòu),這樣的網(wǎng)絡(luò)結(jié)構(gòu)通常較簡(jiǎn)易,適合初期建設(shè),但同時(shí)也存在較大缺陷,即網(wǎng)絡(luò)中存在單點(diǎn)故障隱患,服務(wù)器以下層面的網(wǎng)絡(luò)設(shè)備一旦發(fā)生故障,整個(gè)域名系統(tǒng)將處于癱瘓狀態(tài),該系統(tǒng)的穩(wěn)定性大大降低。
雙路冗余結(jié)構(gòu)是解決網(wǎng)絡(luò)單點(diǎn)故障最常用的方法。在建設(shè)初期的網(wǎng)絡(luò)中,分別增加一臺(tái)路由器和交換機(jī)。兩臺(tái)交換機(jī)分別連接緩存服務(wù)器組和遞歸服務(wù)器組,兩臺(tái)路由器保證了路由轉(zhuǎn)發(fā)層面的雙機(jī)備份,同時(shí)在服務(wù)器層面架設(shè)兩組服務(wù)器。這樣的網(wǎng)絡(luò)架構(gòu)保證了在正常情況下,至少有一臺(tái)路由器和一臺(tái)交換機(jī)能夠正常運(yùn)行,兩組DNS服務(wù)器中至少有一組能夠正常運(yùn)行,確保了DNS服務(wù)的持續(xù)安全運(yùn)行。因此實(shí)現(xiàn)了域名系統(tǒng)所在網(wǎng)絡(luò)的構(gòu)架優(yōu)化。
3)建立防火墻的冗余機(jī)制,抵御外部攻擊
在互聯(lián)網(wǎng)飛速發(fā)展的今天,網(wǎng)絡(luò)安全成為了日益突出的問題,為保障廣電寬帶的網(wǎng)絡(luò)安全,作為提供基礎(chǔ)服務(wù)的域名系統(tǒng)所在的網(wǎng)絡(luò)安全顯得尤為重要。針對(duì)域名系統(tǒng)的攻擊,比較常見的是域名劫持、緩存投毒以及DDOS攻擊。上述攻擊大多會(huì)使DNS服務(wù)器系統(tǒng)負(fù)荷異常升高,甚至導(dǎo)致服務(wù)器癱瘓。
架設(shè)硬件防火墻的方式通常被用于抵御外部網(wǎng)絡(luò)攻擊。硬件防火墻較之于軟件防火墻,最大的優(yōu)勢(shì)是其把防火墻程序做到芯片里面,由硬件執(zhí)行這些功能,減少了CPU的負(fù)擔(dān),路由也更穩(wěn)定。DNS服務(wù)器位于防火墻后端,收到的數(shù)據(jù)包是經(jīng)過防火墻處理的,再搭配架設(shè)IPS設(shè)備,通過配置其策略,可以有效過濾防火墻不能過濾的攻擊,從而對(duì)DNS服務(wù)器起到很好的保護(hù)效果。同路由交換層面的架構(gòu)一樣,防火墻也采用冗余結(jié)構(gòu)。所以架設(shè)硬件防火墻的方式成為系統(tǒng)優(yōu)化的一種有效手段。改進(jìn)后的平臺(tái)架構(gòu)如圖2所示。
圖2 改進(jìn)后域名系統(tǒng)平臺(tái)架構(gòu)
2.2 域名服務(wù)器策略優(yōu)化
按照功能劃分,兩組DNS服務(wù)器分別實(shí)現(xiàn)轉(zhuǎn)發(fā)和遞歸,在交換機(jī)虛擬兩個(gè)IP地址,分別代表兩組服務(wù)器,每一組內(nèi)均采用Round Robin(輪詢)策略,實(shí)現(xiàn)DNS請(qǐng)求的負(fù)載均衡。兩個(gè)虛擬IP隨著DHCP應(yīng)答包下發(fā)給用戶,成為客戶端的首選和備選DNS地址。
服務(wù)器層面的策略又可通過BIND軟件實(shí)現(xiàn)全局策略和單個(gè)域的策略。對(duì)于轉(zhuǎn)發(fā)功能的服務(wù)器,全局策略可以配置為“forward first”[2],意為轉(zhuǎn)發(fā)優(yōu)先,當(dāng)轉(zhuǎn)發(fā)目的服務(wù)器無響應(yīng)時(shí),重新發(fā)起遞歸查詢;單個(gè)域可以配置為單獨(dú)轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)的IP地址不同于全局轉(zhuǎn)發(fā)的DNS服務(wù)器地址,當(dāng)有用戶發(fā)起向這個(gè)域下的域名查詢時(shí),該查詢請(qǐng)求會(huì)轉(zhuǎn)發(fā)至該域里配置的轉(zhuǎn)發(fā)地址,而不是全局轉(zhuǎn)發(fā)地址,單個(gè)域的策略優(yōu)先級(jí)高于全局策略。
對(duì)于遞歸功能的服務(wù)器,全局策略可以配置為“recur?sion yes”,意為遞歸解析,單個(gè)域可以配置為單獨(dú)轉(zhuǎn)發(fā),單個(gè)域的策略優(yōu)先級(jí)高于全局策略,當(dāng)查詢的域名不在單個(gè)域策略里時(shí),將會(huì)通過一個(gè)完整的遞歸查詢,再返回結(jié)果給用戶。優(yōu)化后的域名策略如圖3所示。
圖3 域名策略
2.3 其他升級(jí)改造內(nèi)容
隨著廣電寬帶用戶基數(shù)的不斷增長(zhǎng),用戶域名查詢的復(fù)雜程度逐漸提高,對(duì)大查詢量下的DNS響應(yīng)時(shí)間要求更高。廣電運(yùn)營(yíng)商網(wǎng)內(nèi)CDN以及Cache建設(shè)規(guī)模的不斷擴(kuò)大,將使得流量通過DNS重定向到網(wǎng)內(nèi)資源的作用愈發(fā)明顯。隨著廣電運(yùn)營(yíng)商在BGP以及對(duì)等互聯(lián)出口層面的策略變化,DNS將在流量引導(dǎo)方面起到更重要的作用。2014年廣電運(yùn)營(yíng)商在各自網(wǎng)內(nèi)對(duì)于IPv6技術(shù)的推進(jìn),也需要對(duì)IPv6更好地支持域名系統(tǒng)?;谝陨蠋c(diǎn),廣電寬帶域名系統(tǒng)的改造升級(jí)主要存在以下幾方面需求:
1)智能解析——需要實(shí)現(xiàn)DNS系統(tǒng)的智能解析功能來解決跨網(wǎng)解析帶來的問題,提高訪問速度,方便用戶訪問。
2)域名糾錯(cuò)——當(dāng)用戶端輸入錯(cuò)誤的或者不存在的域名時(shí),需要重定向到廣電運(yùn)營(yíng)商預(yù)設(shè)好的廣告經(jīng)營(yíng)頁面,實(shí)現(xiàn)廣告收入。
3)DNS流量分析——當(dāng)前網(wǎng)管系統(tǒng)缺乏對(duì)DNS業(yè)務(wù)的監(jiān)控,缺少對(duì)域名訪問的統(tǒng)計(jì)和分析手段。需要實(shí)現(xiàn)深度的DNS流量分析監(jiān)控與可視化。
4)IPv6支持——需要提供對(duì)IPv6的全面支持,包括過渡階段IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)間的域名解析服務(wù)[3]。
5)安全加固——目前開源軟件BIND存在安全風(fēng)險(xiǎn),需加強(qiáng)安全防護(hù)功能,實(shí)現(xiàn)對(duì)DNS系統(tǒng)一般攻擊的防護(hù)。
6)業(yè)界相關(guān)標(biāo)準(zhǔn)的支持——支持DNSSEC(DNS安全擴(kuò)展機(jī)制)、EDNS0(DNS的擴(kuò)展名機(jī)制)、支持IDN域名(國(guó)際化多語種域名)。
隨著國(guó)家“三網(wǎng)融合”發(fā)展戰(zhàn)略的推進(jìn),以及雙向改造的完成,各地廣電運(yùn)營(yíng)商迎來了發(fā)展的新契機(jī),廣電寬帶業(yè)務(wù)的用戶數(shù)穩(wěn)步上升,廣電運(yùn)營(yíng)商對(duì)自身的發(fā)展提出了更高要求,逐步向電信級(jí)運(yùn)營(yíng)商看齊。而要與電信級(jí)運(yùn)營(yíng)商展開競(jìng)爭(zhēng),首先就要在域名服務(wù)這樣的互聯(lián)網(wǎng)基礎(chǔ)服務(wù)上提升自身的穩(wěn)定性,同時(shí)在提升網(wǎng)絡(luò)安全、可靠性的基礎(chǔ)上,利用廣電系統(tǒng)自身的優(yōu)勢(shì)。本文闡述了構(gòu)建適合廣電自身發(fā)展的域名系統(tǒng)平臺(tái)以及改進(jìn)優(yōu)化的思路。通過本文的介紹,希望能夠?qū)Ω鞯靥幵诓煌l(fā)展階段的廣電運(yùn)營(yíng)商在搭建域名系統(tǒng)平臺(tái)方面提供一些參考,使其在未來數(shù)據(jù)業(yè)務(wù)及多種增值業(yè)務(wù)的發(fā)展方面奠定較好的基礎(chǔ)。
[1] 張?jiān)魄?,胡家顏,孫莉.下一代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京:國(guó)防工業(yè)出版社,2006.
[2] ETF RFC 2694—1999,DNS extensions to Network Address Trans-lators(DNS_ALG)[S].1999.
[3]陳艷敏,張思東,張宏科.IPv4/IPv6雙棧域名系統(tǒng)的研究[J].電視技術(shù),2005,29(9):70-73.
Design and Im p lementation of Domain Name System of CATV Network
REN Xiaofeng
(Broadband cause Department of Topway Video Communication Co.,Ltd.,Guangdong Shenzhen 518036,China)
With the continuous development of CATV operators in recent years,the number of broadband users increases significantly.As the basis of Internet services,domain name service play an increasingly important role in improving network experience and CATV network security.In this paper,through instances of building domain name service platform for CATV operators,in combination with the defects of initial DNS system architecture and the domain name strategy,the methods of optimization and improvement is put forward,eventually to build a secure and reliable DNS platform of CATV network.
CATV;broadband network;domain name service
TN913
B
10.16280/j.videoe.2015.02.007
2014-07-17
【本文獻(xiàn)信息】任曉峰.構(gòu)建廣電寬帶網(wǎng)絡(luò)域名服務(wù)系統(tǒng)平臺(tái)[J].電視技術(shù),2015,39(2).
任曉峰(1983—),碩士,工程師,主要從事有線電視HFC接入網(wǎng)、廣電城域網(wǎng)以及廣電運(yùn)營(yíng)商域名系統(tǒng)等方面的工作。
責(zé)任編輯:許 盈