［彭巍 賀曉東 李韶英 葉玉劍］

1 引言

域名服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)設(shè)施，是寬帶及移動(dòng)互聯(lián)網(wǎng)的起點(diǎn)和入口，是全球互聯(lián)網(wǎng)通信的重要保障。根據(jù)《中國(guó)互聯(lián)網(wǎng)2021 發(fā)展報(bào)告》：中國(guó)網(wǎng)民規(guī)模已達(dá)9.89億人，互聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展對(duì)國(guó)內(nèi)經(jīng)濟(jì)發(fā)展起到了極大的促進(jìn)作用，互聯(lián)網(wǎng)產(chǎn)業(yè)是國(guó)民經(jīng)濟(jì)發(fā)展的重量力量。但傳統(tǒng)的DNS 系統(tǒng)用戶查詢、應(yīng)答模式基本采用UDP 協(xié)議的典型C/S 架構(gòu)，其協(xié)議在網(wǎng)絡(luò)安全、性能等方面存在嚴(yán)重的問題，缺乏路由選擇能力，易于控制，運(yùn)營(yíng)商的差異化運(yùn)營(yíng)能力不足，在現(xiàn)有形勢(shì)下難于滿足互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展需求。

當(dāng)前的DNS 網(wǎng)絡(luò)架構(gòu)下，DNS 流量在網(wǎng)絡(luò)中不進(jìn)行識(shí)別直接傳送至目的解析服務(wù)器，而近年出現(xiàn)黑客通過利用各種漏洞惡意篡改寬帶用戶終端的DNS 地址配置，將用戶正?；ヂ?lián)網(wǎng)訪問指向仿冒欺詐網(wǎng)站的情形，將導(dǎo)致互聯(lián)網(wǎng)用戶面臨嚴(yán)重安全風(fēng)險(xiǎn)、可能導(dǎo)致重大損失。同時(shí)DNS 網(wǎng)絡(luò)運(yùn)營(yíng)者也無法有效對(duì)各個(gè)DNS 節(jié)點(diǎn)間進(jìn)行訪問流量分配，可能導(dǎo)致流量分布極不均勻，提升了網(wǎng)絡(luò)建設(shè)、擴(kuò)容、管理的難度。而SDN 體系是一種可編程的網(wǎng)絡(luò)組織模式，它作為一種新型網(wǎng)絡(luò)組織體系的理念，在IP 網(wǎng)、傳輸網(wǎng)等均得到了廣泛應(yīng)用，是一種集中控制模式的網(wǎng)絡(luò)調(diào)度架構(gòu)。有鑒于此，本文結(jié)合DNS 網(wǎng)絡(luò)的現(xiàn)狀、發(fā)展需求以及SDN 架構(gòu)的優(yōu)勢(shì)，提出了一種建立于SDN 體系的DNS 流量調(diào)度控制架構(gòu)，可以實(shí)現(xiàn)對(duì)DNS 業(yè)務(wù)流量轉(zhuǎn)發(fā)的策略定制。通過網(wǎng)絡(luò)運(yùn)營(yíng)者事先定義的策略路由方式，將用戶的DNS查詢流量識(shí)別出來，然后根據(jù)已編程的策略轉(zhuǎn)發(fā)至相應(yīng)的DNS 服務(wù)節(jié)點(diǎn)，保證用戶DNS 流量訪問穩(wěn)定、服務(wù)質(zhì)量可靠、安全可信的域名服務(wù)節(jié)點(diǎn)。

2 現(xiàn)有DNS 網(wǎng)絡(luò)服務(wù)流程分析

DNS 域名解析分正向解析、反向解析和“遞歸查詢”，正向解析就是將域名轉(zhuǎn)換成對(duì)應(yīng)的IP 地址的過程，它應(yīng)用于在瀏覽器地址欄中輸入網(wǎng)站域名時(shí)的情形；而反向解析是將IP 地址轉(zhuǎn)換成對(duì)應(yīng)域名的過程，“遞歸查詢”的基本含義就是在某個(gè)DNS 服務(wù)器上查找不到相應(yīng)的域名與IP 地址對(duì)應(yīng)關(guān)系時(shí)，自動(dòng)轉(zhuǎn)到另外一臺(tái)DNS 服務(wù)器上進(jìn)行查詢。

當(dāng)用戶訪問某網(wǎng)站時(shí)，在輸入域名后，首先就有一臺(tái)首選DNS 服務(wù)器（通常是緩存服務(wù)器）進(jìn)行解析，如果在它的域名和IP 地址映射表中查詢到相應(yīng)的網(wǎng)站的IP 地址，則立即可以訪問，如果在當(dāng)前子DNS 服務(wù)器上沒有查找到相應(yīng)域名所對(duì)應(yīng)的IP 地址，它就會(huì)自動(dòng)把查詢請(qǐng)求轉(zhuǎn)到根DNS 服務(wù)器上進(jìn)行查詢。如果是相應(yīng)域名服務(wù)商ICP 的域名，在根DNS 服務(wù)器中可以查詢到相應(yīng)域名IP 地址的，如果訪問的不是相應(yīng)域名服務(wù)商域名下的網(wǎng)站，則會(huì)把相應(yīng)查詢轉(zhuǎn)到對(duì)應(yīng)域名服務(wù)商的域名服務(wù)器上。如圖1 所示。

圖1 傳統(tǒng)DNS 系統(tǒng)架構(gòu)示意圖

在實(shí)際網(wǎng)絡(luò)中，緩存服務(wù)器、遞歸服務(wù)器屬于同一個(gè)DNS 服務(wù)節(jié)點(diǎn)。該查詢流程中，DNS 查詢流量基于用戶終端（PC、路由器、手機(jī)等）配置的DNS 服務(wù)器地址在網(wǎng)絡(luò)中傳送，即直接由用戶端發(fā)送到目標(biāo)DNS 緩存服務(wù)地址，中間網(wǎng)絡(luò)設(shè)備只DNS 查詢流量進(jìn)行透明轉(zhuǎn)發(fā)。而運(yùn)營(yíng)商網(wǎng)絡(luò)主要關(guān)注從用戶請(qǐng)求至DNS 緩存服務(wù)器的路徑，在當(dāng)前網(wǎng)絡(luò)組織下存在著多種風(fēng)險(xiǎn)。

（1）在此路徑上存在著可能被域名攻擊者使用“撞 庫”的方法給用戶發(fā)送大量虛假DNS 應(yīng)答包，導(dǎo)致用戶接收錯(cuò)誤域名結(jié)果，產(chǎn)生嚴(yán)重的安全后果，例如將用戶正?；ヂ?lián)網(wǎng)訪問指向仿冒欺詐網(wǎng)頁；同時(shí)還可能存在篡改用戶配置為地址虛假惡意DNS 服務(wù)地址的情況。

（2）在運(yùn)營(yíng)商網(wǎng)絡(luò)中，DNS 服務(wù)節(jié)點(diǎn)實(shí)際有多個(gè)，DNS 查詢流量通過IP 選路選擇對(duì)應(yīng)的DNS 節(jié)點(diǎn)，網(wǎng)絡(luò)運(yùn)營(yíng)者缺乏控制手段，無法實(shí)現(xiàn)流量均衡，也可能導(dǎo)致個(gè)別DNS 服務(wù)節(jié)點(diǎn)超限。

（3）當(dāng)前DNS 查詢?cè)L問流量規(guī)模極速擴(kuò)大，且寬帶、移動(dòng)網(wǎng)用戶的訪問也存在差異性，當(dāng)前網(wǎng)絡(luò)組織缺乏對(duì)上述流量的調(diào)度編程能力。

3 基于SDN 體系的DNS 架構(gòu)組織

3.1 體系架構(gòu)原理

SDN 的網(wǎng)絡(luò)體系中心設(shè)計(jì)思想是將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，并實(shí)現(xiàn)可編程化控制，以統(tǒng)一集中控制的方式解決網(wǎng)絡(luò)的復(fù)雜性問題，包括路由計(jì)算、數(shù)據(jù)轉(zhuǎn)發(fā)。狹義的SDN 通常指基于OpenFlow 等協(xié)議的控制器、OpenFlow 交換機(jī)構(gòu)成的控制平面與轉(zhuǎn)發(fā)平面。而廣義上SDN 是一種基于集中控制調(diào)度的轉(zhuǎn)發(fā)與控制分離的組網(wǎng)模式。本文總結(jié)SDN 的優(yōu)勢(shì)，把SDN 技術(shù)引入至DNS 網(wǎng)絡(luò)組織，建立一種基于SDN 控制的DNS 組織架構(gòu)，使傳統(tǒng)DNS 實(shí)現(xiàn)轉(zhuǎn)發(fā)與控制相分離，將網(wǎng)絡(luò)設(shè)備及DNS 緩存設(shè)備抽象化，通過邏輯上的集中控制,實(shí)現(xiàn)域名服務(wù)器資源的靈活調(diào)度及新域名服務(wù)的快速部署。本文提出的體系模式如圖2 所示。

圖2 采用SDN 技術(shù)的DNS 系統(tǒng)架構(gòu)示意圖

DNS 業(yè)務(wù)控制器具備開放的南北向接口，提供可編程能力，屏蔽底層物理設(shè)備的差異實(shí)現(xiàn)資源池化，但在邏輯上實(shí)現(xiàn)集中化的統(tǒng)一控制，滿足大規(guī)模DNS 部署需求。DNS 業(yè)務(wù)控制器，向域名服務(wù)應(yīng)用程序展示網(wǎng)絡(luò)信息，把統(tǒng)計(jì)數(shù)據(jù)收集和事件通知融入管理會(huì)話的數(shù)據(jù)中。主動(dòng)關(guān)聯(lián)用戶類型、安全策略、拓?fù)浒l(fā)現(xiàn)等多維信息編排生成控制策略及流表，通過安全隧道下發(fā)DNS 服務(wù)安全網(wǎng)關(guān)。

DNS 業(yè)務(wù)控制器與DNS 服務(wù)安全網(wǎng)關(guān)間通過OpenFlow/Netconf/XML/CLI 等協(xié)議交互，實(shí)現(xiàn)策略的下發(fā)和控制。DNS 服務(wù)安全網(wǎng)關(guān)對(duì)DNS 流量進(jìn)行精確識(shí)別，匹配流表從對(duì)應(yīng)的端口進(jìn)行轉(zhuǎn)發(fā)，并按需添加、刪除或者修改流表中的某些字段，通過建立安全隧道實(shí)現(xiàn)轉(zhuǎn)發(fā)路由的安全可靠，通過DNS 服務(wù)安全網(wǎng)關(guān)，將流量按運(yùn)營(yíng)商策略轉(zhuǎn)發(fā)至對(duì)應(yīng)的DNS 服務(wù)節(jié)點(diǎn)。

3.2 網(wǎng)絡(luò)組織方案

在原有的網(wǎng)絡(luò)組織中并沒有基于SDN 架構(gòu)的DNS 流量控制轉(zhuǎn)發(fā)這一部分，在不改變?cè)械木W(wǎng)絡(luò)組織的前提下，集中部署DNS 業(yè)務(wù)控制器，由網(wǎng)絡(luò)邊緣設(shè)備將DNS 查詢流量轉(zhuǎn)發(fā)至前置DNS 服務(wù)安全網(wǎng)關(guān)，DNS 服務(wù)安全網(wǎng)關(guān)（以下簡(jiǎn)稱DNS 網(wǎng)關(guān)）根據(jù)DNS 業(yè)務(wù)控制器下發(fā)的策略進(jìn)行流量轉(zhuǎn)發(fā)。

網(wǎng)絡(luò)組織主要特點(diǎn)如圖3 所示。

圖3 基于轉(zhuǎn)發(fā)和控制分離的DNS 系統(tǒng)架構(gòu)網(wǎng)絡(luò)部署

（1）各網(wǎng)絡(luò)邊緣設(shè)備與前置DNS 網(wǎng)關(guān)之間建立GRE隧道，用于轉(zhuǎn)發(fā)DNS 請(qǐng)求流量；

（2）前置DNS 服務(wù)安全網(wǎng)關(guān)終結(jié)GRE 隧道，與各DNS 網(wǎng)關(guān)連接，并將DNS 請(qǐng)求數(shù)據(jù)包分發(fā)至各DNS 網(wǎng)關(guān)；

（3）各DNS 網(wǎng)關(guān)之間不互聯(lián)，所有的DNS 服務(wù)安全網(wǎng)關(guān)與控制器之間通過帶內(nèi)建立安全通道；

（4）各DNS 網(wǎng)關(guān)與出口路由器之間直聯(lián)，由各DNS網(wǎng)關(guān)處理后的DNS 請(qǐng)求數(shù)據(jù)包直接轉(zhuǎn)發(fā)至出口路由器。

基于DNS 業(yè)務(wù)控制器及DNS 服務(wù)安全網(wǎng)關(guān)，實(shí)現(xiàn)的功能包括DNS 流量實(shí)時(shí)精確識(shí)別匹配、可編程DNS 流量控制、域名安全隧道、等重要控制轉(zhuǎn)發(fā)功能，提供差異化域名服務(wù)能力。

DNS 業(yè)務(wù)控制器是一個(gè)邏輯集中的DNS 業(yè)務(wù)控制實(shí)體,其基本功能是將DNS 應(yīng)用的應(yīng)用業(yè)務(wù)策略轉(zhuǎn)換成具體流表下發(fā)給網(wǎng)關(guān)，實(shí)現(xiàn)DNS 安全防護(hù)功能。DNS 業(yè)務(wù)控制器可基于開源控制器進(jìn)行的二次開發(fā)，有5 個(gè)主要的核心模塊。

（1）拓?fù)浒l(fā)現(xiàn)和管理：與DNS 網(wǎng)關(guān)建立鏈接后，控制器發(fā)現(xiàn)DNS 網(wǎng)關(guān)間的連接關(guān)系并進(jìn)行管理；

（2）鏈路狀態(tài)監(jiān)測(cè)：監(jiān)測(cè)各鏈路狀態(tài)，分析各DNS網(wǎng)關(guān)的運(yùn)行狀態(tài)；

（3）流量分發(fā)策略：控制器監(jiān)測(cè)各DNS 網(wǎng)關(guān)運(yùn)行狀態(tài)，通過向前置DNS 網(wǎng)關(guān)下發(fā)流表將DNS 流量分發(fā)給各DNS 網(wǎng)關(guān)進(jìn)行處理；

（4）DNS 服務(wù)節(jié)點(diǎn)狀態(tài)監(jiān)測(cè)：通過北向接口與DNS平臺(tái)管理系統(tǒng)連接，查詢接收DNS 服務(wù)節(jié)點(diǎn)運(yùn)行狀態(tài)；

（5）DNS 選擇策略：根據(jù)用戶分類選擇DNS 服務(wù)節(jié)點(diǎn)，生成流表并下發(fā)給指定DNS 網(wǎng)關(guān)。

4 基于SDN 的DNS 流量調(diào)度功能實(shí)現(xiàn)

在圖3 的網(wǎng)絡(luò)組織模式下，通過SDN 業(yè)務(wù)控制的統(tǒng)一控制，利用DNS 網(wǎng)關(guān)實(shí)現(xiàn)用戶查詢流量的牽引、調(diào)度及安全轉(zhuǎn)發(fā)，實(shí)現(xiàn)流量均衡、安全調(diào)度等多種功能。本文提出2 種功能實(shí)現(xiàn)思路。

（1）流表方式。具體數(shù)據(jù)處理流程如圖4 所示。

圖4 DNS 流量調(diào)度處理流程

控制器通過接口與AAA 系統(tǒng)對(duì)接，獲取用戶屬性、區(qū)域及IP 地址等信息，建立用戶類別與IP 地址段的對(duì)應(yīng)關(guān)系；根據(jù)各類用戶選擇DNS 服務(wù)節(jié)點(diǎn)、以及DNS 服務(wù)節(jié)點(diǎn)的性能的原則向各DNS 網(wǎng)關(guān)的table1 下發(fā)flow entry。例如：

Flow entry1：match field 源IP 地址=類型1 用戶IP地址段（IP 地址+mask）；action=修改目的IP 地址為選定的DNS 服務(wù)節(jié)點(diǎn)a 的IP 地址、修改目的MAC 為出口路由器端口MAC，output 至各DNS 網(wǎng)關(guān)與前置DNS 網(wǎng)關(guān)連接的端口。

對(duì)于鏈路狀態(tài)監(jiān)測(cè)和流量分發(fā)策略，控制器需要監(jiān)測(cè)DNS 網(wǎng)關(guān)鏈路的運(yùn)行狀態(tài)，從而判斷前置DNS 網(wǎng)關(guān)應(yīng)該將DNS 流量分發(fā)到各DNS 網(wǎng)關(guān)的比例。

（2）安全轉(zhuǎn)發(fā)隧道方式

除了通過下發(fā)流表進(jìn)行DNS 業(yè)務(wù)流量轉(zhuǎn)發(fā)，流量控制也可通過DNS 服務(wù)安全網(wǎng)關(guān)與DNS 節(jié)點(diǎn)間建立的隧道轉(zhuǎn)發(fā)來實(shí)現(xiàn)，如圖5 所示。

圖5 安全隧道進(jìn)行DNS 業(yè)務(wù)流量調(diào)度

DNS 業(yè)務(wù)控制器根據(jù)用戶等級(jí)、屬性對(duì)用戶進(jìn)行分組，結(jié)合用戶分組、DNS 服務(wù)器狀態(tài)等制定DNS 服務(wù)器選擇策略。DNS 服務(wù)安全網(wǎng)關(guān)轉(zhuǎn)發(fā)也可采用IP 路由方式，在此情形下，配置信息通過Telnet 方式下發(fā)至DNS 服務(wù)安全網(wǎng)關(guān)，DNS 服務(wù)安全網(wǎng)關(guān)接收配置信息，并根據(jù)配置信息進(jìn)行DNS 流量的轉(zhuǎn)發(fā)至性能良好、安全可靠的DNS 服務(wù)地址，從而實(shí)現(xiàn)流量的負(fù)載均衡，保證業(yè)務(wù)流量的安全以及DNS 服務(wù)節(jié)點(diǎn)高效運(yùn)行。

5 結(jié)束語

本文研究分析SDN 技術(shù)的實(shí)現(xiàn)以及目前DNS網(wǎng)絡(luò)組織中流量傳送的問題，提出了一種建立在SDN 體系上的DNS架構(gòu)，可以實(shí)現(xiàn)對(duì)DNS查詢流量的調(diào)度、控制，應(yīng)用場(chǎng)景可包括DNS 流量安全轉(zhuǎn)發(fā)、DNS 節(jié)點(diǎn)間的負(fù)載均衡等功能，可為網(wǎng)絡(luò)運(yùn)營(yíng)商提供新的DNS 網(wǎng)絡(luò)建設(shè)思路與方案，提供差異化業(yè)務(wù)提供能力、安全服務(wù)能力，適應(yīng)5G 業(yè)務(wù)快速發(fā)展的快速、高效、準(zhǔn)確等域名解析需求。