相明瓊，魏媛，趙中輝，李月

0 引言

域名系統(tǒng)DNS（Domain Name System）是現(xiàn)代各行各業(yè)使用最為廣泛的IT基礎(chǔ)服務(wù)之一，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使互聯(lián)網(wǎng)用戶、企業(yè)內(nèi)部員工更方便的訪問企業(yè)的任何信息系統(tǒng) ，而不用去記住能夠被機器直接讀取的 IP地址。作為企業(yè)ICT（信息通信技術(shù)）基礎(chǔ)設(shè)施，域名服務(wù)系統(tǒng)是影響互聯(lián)網(wǎng)各項應(yīng)用性能的重要環(huán)節(jié)，穩(wěn)定的域名解析服務(wù)是確?；ヂ?lián)網(wǎng)業(yè)務(wù)、企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)正常運行的基礎(chǔ)。域名解析的流程采取分布式樹形結(jié)構(gòu)，高效的實現(xiàn)數(shù)據(jù)的管理、更新、一致性具有一定的難度。因此，構(gòu)建企業(yè)高可用域名解析服務(wù)，需要深入結(jié)合企業(yè)現(xiàn)有的網(wǎng)絡(luò)布線情況，制定出完善的域名解析容災(zāi)和恢復(fù)機制，提升可控性和高效性。

1 企業(yè)內(nèi)部域名服務(wù)現(xiàn)狀

目前，企業(yè)搭建域名解析服務(wù)分為兩種方式：自建DNS平臺和第三方托管。自建DNS服務(wù)平臺存在因基礎(chǔ)設(shè)施、技術(shù)力量及帶寬資源投入有限而無法抵御 DDOS攻擊等問題；第三方托管用戶范圍廣，群體復(fù)雜，易成為攻擊目標，且第三方的托管平臺經(jīng)常暴漏出安全和故障問題。目前，國內(nèi)大多數(shù)企業(yè)采用自建 DNS平臺的方式，但由于微傳統(tǒng)DNS技術(shù)較為復(fù)雜，加之技術(shù)人員匱乏，DNS系統(tǒng)通常需要借助人工手段實現(xiàn)解析數(shù)據(jù)的一致性，費時費力，管理效率低；大型企業(yè)在不同地域的分支機構(gòu)DNS平臺復(fù)雜多樣，存在較多的安全漏洞，難以實現(xiàn)一致的DNS響應(yīng)能力，直接影響用戶的體驗和系統(tǒng)的推廣；IT資源重復(fù)建設(shè)，浪費嚴重，且無法實現(xiàn)全網(wǎng)的智能災(zāi)備，存在DNS不可用風險。

1.1 傳統(tǒng)DNS服務(wù)架構(gòu)應(yīng)用特點

集中式部署：集中式部署的特點是管理簡單，但解析質(zhì)量受企業(yè)內(nèi)部網(wǎng)絡(luò)互連互通影響，存在網(wǎng)絡(luò)擁塞、單點故障、解析延時等風險，例如某企業(yè)在全國三十幾個省級行政區(qū)均有分支機構(gòu)，這些分支機構(gòu)與總部的網(wǎng)絡(luò)互通情況受網(wǎng)絡(luò)運營商、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)延遲等多因素影響，與總部的 DNS互通情況并不理想，導(dǎo)致解析效率減慢、系統(tǒng)登陸不穩(wěn)定等情況。另外，集中部署還存在單點故障的風險，一旦部署節(jié)點網(wǎng)絡(luò)不可達或出現(xiàn)故障，整個企業(yè)依賴于域名解析的生產(chǎn)、辦公業(yè)務(wù)都面臨中斷的風險。

傳統(tǒng)分布式部署：企業(yè)的主DNS服務(wù)器部署在企業(yè)總部，同時在位于三十幾個省級行政區(qū)的分支機構(gòu)部署本地化服務(wù)節(jié)點，與集中式部署相比，可有效提高業(yè)務(wù)可用性及性能，但是大大的增加了成本，且存在安全風險，如分支機構(gòu)缺乏專業(yè)的技術(shù)人員，導(dǎo)致管理風險。分布式部署采用主、輔更新方式，所有分支機構(gòu)DNS的數(shù)據(jù)來自于主DNS，但缺乏反饋機制，存在如下隱患：

（1）數(shù)據(jù)同步效率低：主、輔DNS都需經(jīng)過不斷的交互來保證數(shù)據(jù)最新，效率較低，且在網(wǎng)絡(luò)不暢的情況下，會出現(xiàn)數(shù)據(jù)丟幀，造成數(shù)據(jù)不一致。

（2）全網(wǎng)故障：輔DNS數(shù)據(jù)過期后，向主DNS申請更新，如果主DNS發(fā)生故障或網(wǎng)絡(luò)不可達，輔DNS將停止服務(wù)，導(dǎo)致局部或者全網(wǎng)DNS不可用。

1.2 DNS面臨的安全風險

DNS作為網(wǎng)絡(luò)翻譯官,其作用至關(guān)重要，同時黑客掌握了對DNS造成安全威脅的種種手段，比如DDos攻擊、DNS緩存投毒、域名劫持等，2014年1月21日，全國大范圍出現(xiàn)DNS故障，下午15時20分左右，中國頂級域名根服務(wù)器出現(xiàn)故障，大部分網(wǎng)站受影響，試想如果企業(yè)內(nèi)部 DNS出現(xiàn)故障，將導(dǎo)致內(nèi)部系統(tǒng)域名無法解析，對外業(yè)務(wù)無法辦理,近而嚴重影響盈利能力和公眾形象。網(wǎng)絡(luò)安全和管理解決方案頂級研究公司Arbor Networks統(tǒng)計的網(wǎng)絡(luò)攻擊數(shù)據(jù)，如圖1所示：

圖1 Arbor Networks統(tǒng)計的網(wǎng)絡(luò)攻擊數(shù)據(jù)

近年來針對DNS基礎(chǔ)設(shè)施攻擊增長迅猛，2014年達到200%，被攻擊對象中企業(yè)占42%，其中金融業(yè)占13%，其遭受的損失排在第一位。從圖中可以看出，DNS攻擊僅此于http攻擊，成為黑客的重點攻擊目標，因此，企業(yè)應(yīng)用安全、高效的DNS架構(gòu)已迫在眉睫。

2 高可用域名解析服務(wù)機制

2.1 高可用分布式部署機制

隨著經(jīng)濟全球化發(fā)展，各企事業(yè)單位需要跨地域部署DNS服務(wù)器，對服務(wù)架構(gòu)的可擴展性、網(wǎng)絡(luò)服務(wù)安全性和高可用性有較高的要求，下面提出一種分布式部署機制，可以為企事業(yè)單位關(guān)鍵業(yè)務(wù)和支撐環(huán)境提供不間斷的DNS服務(wù)。分布式部署由DNS中央管理設(shè)備和節(jié)點服務(wù)設(shè)備組成，設(shè)備之間相互配合，數(shù)據(jù)共享，其實也單位在各個地域具有多個營業(yè)點，管理方式各異，有的采用總部統(tǒng)一管理，有的總部只管理二級機構(gòu)，由二級機構(gòu)分管下屬企業(yè)，對于以上情況，均可通過分布式部署機制實現(xiàn)。各區(qū)域管理設(shè)備可使用各個策略和配置來控制節(jié)點服務(wù)設(shè)備，中央管理設(shè)備可提供對各個區(qū)域管理設(shè)備的完全可見性，如圖2所示：

圖2 DNS的分布機構(gòu)圖

例如，新節(jié)點服務(wù)設(shè)備安裝或者故障設(shè)備替換時，區(qū)域管理設(shè)備自動同步設(shè)備配置信息和數(shù)據(jù)信息至新設(shè)備，短時間內(nèi)自動實現(xiàn)與被替換設(shè)備完全相同的部署，接管所有本地服務(wù)。另一方面，為了確保設(shè)備操作的安全性及故障可追溯性，中央管理設(shè)備、區(qū)域管理設(shè)備均需配備三個角色，分別為權(quán)限管理員、DNS管理員、審查員，權(quán)限管理員負責分配DNS管理員和審查員所擁有的操作權(quán)限，DNS管理員執(zhí)行日常管理、配置操作，審查員負責定期檢查DNS管理員的操作是否合規(guī)，如圖1所示：

2.2 工業(yè)級數(shù)據(jù)同步機制

基于高可用分布式部署機制的各DNS服務(wù)器之間需要有智能、高效的數(shù)據(jù)同步機制，此機制采用基于消息總線的工業(yè)級分布式數(shù)據(jù)通信框架，利用實時的動態(tài)更新機制，使得所有共享資源能得到實時更新，保證了網(wǎng)絡(luò)數(shù)據(jù)一致性，比主輔配置機制更加簡便、安全。DNS節(jié)點服務(wù)設(shè)備和中央管理設(shè)備之間具有加密的雙向配置同步功能，同時也能夠交換報告信息和統(tǒng)計數(shù)據(jù)，如圖3所示：

圖3 DNS節(jié)點服務(wù)設(shè)備運行

當管理員對一個DNS服務(wù)設(shè)備或一組設(shè)備進行配置或策略變更時，中央管理設(shè)備自動將變更傳播到所管理的每個服務(wù)設(shè)備。節(jié)點服務(wù)設(shè)備具有消息隊列，保證服務(wù)設(shè)備即使在網(wǎng)絡(luò)中斷恢復(fù)后，也能收到消息，處于不可用狀態(tài)、無法接收更新數(shù)據(jù)的DNS設(shè)備將在下次恢復(fù)使用時接收更新數(shù)據(jù)。下圖描述了此機制的運行原理：

2.2.1 網(wǎng)絡(luò)和節(jié)點正常，新增、刪除或變更的數(shù)據(jù)由中央管理設(shè)備加密同步傳輸至目標節(jié)點設(shè)備，目標節(jié)點設(shè)備反饋同步情況。

2.2.2 網(wǎng)絡(luò)或節(jié)點故障，新增、刪除或變更的數(shù)據(jù)無法完成同步，中央管理設(shè)備會在每次發(fā)動數(shù)據(jù)同步時自動生成消息隊列，將所需同步的數(shù)據(jù)存放在消息隊列中。

2.2.3 網(wǎng)絡(luò)或節(jié)點設(shè)備恢復(fù)，中央管理服務(wù)器將消息隊列中的數(shù)據(jù)重新同步至目標節(jié)點設(shè)備，目標節(jié)點設(shè)備反饋同步情況。

2.3 智能DHCP實現(xiàn)

隨著信息技術(shù)的不斷發(fā)展，連接企業(yè)網(wǎng)絡(luò)的終端設(shè)備類別日益豐富，連接企業(yè)網(wǎng)絡(luò)的人群也不斷細分，出于安全需要，針對不同角色的權(quán)限控制急需加強，本文以“智能化、便捷化”為基礎(chǔ)，應(yīng)用輕量級協(xié)議LDAP和“指紋”識別技術(shù)，提出一種實現(xiàn)DHCP業(yè)務(wù)的方法，如圖4所示：

圖4 DHCP的實現(xiàn)過程

LDAP（Lightweight Directory Access Protocol）即輕量目錄訪問協(xié)議，以樹狀的層次結(jié)構(gòu)來存儲數(shù)據(jù)，存儲結(jié)構(gòu)類似于DNS樹及UNIX文件目錄樹，對比傳統(tǒng)數(shù)據(jù)庫，LDAP的架構(gòu)和優(yōu)化主要是針對讀取而不是寫入，作為一個統(tǒng)一認證的解決方案，主要優(yōu)點在于能夠快速、高效的響應(yīng)用戶的查找需求。以實現(xiàn)“用戶認證”為例，如果用數(shù)據(jù)庫來實現(xiàn)，由于數(shù)據(jù)庫結(jié)構(gòu)分成了各個表，每次都需要搜索數(shù)據(jù)庫并合成過濾，可能產(chǎn)生大量的并發(fā)。LDAP只是一張表，只需要用戶名和口令，便可通過樹形結(jié)構(gòu)模式查找不同用戶的訪問權(quán)限，有“搭建便捷、容易維護、使用高效”等特點。“指紋”識別技術(shù)可智能顯示 上網(wǎng)設(shè)備所使用的系統(tǒng)類別及版本號，如“Windows”、“Mac”“Redhat”、“Android”等；可只能識別網(wǎng)絡(luò)設(shè)備品牌型號，如“Cisco”、“Huawei”、“H3C”等；可智能識別移動終端品牌型號，如“BlackBerry”、“Ipad Air2”、“Ipad Mini”、“IPhone 6”、“Samsung s6 edge”等詳細信息。

2.3.1 前端認證系統(tǒng)登記新用戶、修改用戶信息，數(shù)據(jù)記入數(shù)據(jù)庫。

2.3.2 用戶信息中與開通入網(wǎng)權(quán)限相關(guān)的屬性由數(shù)據(jù)庫寫入LDAP，例如用戶MAC，身份證號、用戶名等。

2.3.3 當數(shù)據(jù)庫中的用戶數(shù)據(jù)與LDAP中不一致時，自動執(zhí)行從數(shù)據(jù)庫到LDAP的同步過程。

2.3.4 用戶使用各種終端開機入網(wǎng)，終端向DNS服務(wù)器發(fā)出DHCP請求。DNS服務(wù)器通過指紋識別功能識別設(shè)備詳細信息，并根據(jù)用戶設(shè)備信息（MAC）查詢LDAP，LDAP服務(wù)器檢查這個MAC對應(yīng)的屬性，確定用戶是否存在和狀態(tài)是否開通，如果用戶存在并且狀態(tài)為開通，那么將client-class-name傳送給DNS的DHCP服務(wù)器，client-class中包括scope-selection-tag，通過這個標記使用這個MAC的設(shè)備對應(yīng)的scope和相應(yīng)的policy，獲得相應(yīng)的地址空間，支持靜態(tài)IP地址分配和動態(tài)IP地址分配等多種分配方式，可實現(xiàn)MAC和IP地址的臨時和永久綁定；如果用戶不存在或者狀態(tài)為不開通，那么DNS將使用默認的配置。

3 總結(jié)

本文以國內(nèi)外通用DNS服務(wù)架構(gòu)為基礎(chǔ)，提出分布式部署機制、工業(yè)級數(shù)據(jù)同步機制、智能DHCP實現(xiàn)等技術(shù)并搭建模擬環(huán)境進行測試，取得了良好效果，暫未發(fā)現(xiàn)數(shù)據(jù)同步失敗、網(wǎng)絡(luò)服務(wù)失效等問題，保持了較高的服務(wù)效率，可供大型企事業(yè)單位參考使用。

[1] 蔣劍鳴.互聯(lián)網(wǎng)域名與商標沖突研究.[M]北京:中國人民公安大學(xué)出版社,2011,4.

[2] Cricket Liu Paul Albitz.DNS與BIND(第5版) [M],北京:人民郵電出版社,2014,1.

[3] 伊藤直也,張毅.服務(wù)器/基礎(chǔ)設(shè)施核心技術(shù) [M],北京:人民郵電出版社,2015,1.

[4] 段鋼.加密與解密(第3版) [M],北京:電子工業(yè)出版社,2008,7.

[5] 王珊.數(shù)據(jù)庫系統(tǒng)概論(第4版) [M],北京:高等教育出版社, 2008,6.