陜西電信DNS 系統(tǒng)優(yōu)化工程項(xiàng)目系統(tǒng)規(guī)劃技術(shù)方案北京融海恒信咨詢有限公司2008年10月1 ,目 錄一、DNS 系統(tǒng)優(yōu)化升級設(shè)計(jì)目標(biāo) ..................

陜西電信

DNS 系統(tǒng)優(yōu)化工程項(xiàng)目

系統(tǒng)規(guī)劃技術(shù)方案

北京融海恒信咨詢有限公司

2008年10月

1

目 錄

一、DNS 系統(tǒng)優(yōu)化升級設(shè)計(jì)目標(biāo) ........................................................................ 3

二、陜西電信DNS 平臺優(yōu)化調(diào)整方案 ............................................................... 3

1、DNS 系統(tǒng)性能優(yōu)化方案目標(biāo) ................................................................ 3

2、陜西電信DNS 系統(tǒng)優(yōu)化調(diào)整技術(shù)依據(jù) ............................................... 6

3、陜西電信DNS 優(yōu)化調(diào)整部署方案 ....................................................... 7

4、陜西電信DNS 優(yōu)化升級方案預(yù)算 ..................................................... 10

附件1：陜西電信近期DNS 流量統(tǒng)計(jì)表 .......................................................... 11

附件2：基于DNS 的電信增值業(yè)務(wù)平臺解決方案－Vantio . ........................ 12

2

一、DNS 系統(tǒng)優(yōu)化升級設(shè)計(jì)目標(biāo)

1、繼續(xù)加強(qiáng)DNS 系統(tǒng)穩(wěn)定性，優(yōu)化DNS 平臺，降低DNS 系統(tǒng)的維護(hù)量和維護(hù)成本；

2、按照客戶類型進(jìn)行DNS 業(yè)務(wù)分級，確保重要客戶的使用體驗(yàn)，針對大客戶，部署專門的DNS 服務(wù)器 ，實(shí)現(xiàn)對大客戶服務(wù)質(zhì)量的提升同時為實(shí)現(xiàn)對大客戶互聯(lián)網(wǎng)使用習(xí)慣的分析提供數(shù)據(jù)基礎(chǔ)；

3、搭建一個可管理及深層分析的DNS 平臺，為后續(xù)客戶數(shù)據(jù)挖掘和客戶行為分析提供有效數(shù)據(jù)，基于DNS 系統(tǒng)數(shù)據(jù)為業(yè)務(wù)系統(tǒng)提供有價值的客戶分析支撐，實(shí)現(xiàn)對互聯(lián)網(wǎng)用戶訪問行為習(xí)慣等的挖掘和分析；

二、陜西電信DNS 平臺優(yōu)化調(diào)整方案

1、DNS 系統(tǒng)性能優(yōu)化方案目標(biāo)

(1)、DNS 的業(yè)務(wù)分級(建立VIP 客戶專屬DNS 服務(wù)器)

目前陜西全省寬帶用戶共用一套DNS 系統(tǒng)，當(dāng)系統(tǒng)繁忙后者遭到攻擊的時候，所有用戶的業(yè)務(wù)都受到影響。根據(jù)用戶的業(yè)務(wù)級別，電信需要在DNS 層次上提供分級服務(wù)，例如，對應(yīng)Gold 級別的用戶，需要最大限度的保證DNS 服務(wù)的穩(wěn)定性和低延時，提高用戶體驗(yàn)。

目前，用戶DNS 服務(wù)的分級控制有以下兩種方案：

1、建立一套VIP 用戶專用的DNS 服務(wù)器，只對VIP 用戶的IP 開放服務(wù)，服務(wù)器設(shè)計(jì)負(fù)載應(yīng)小于20，保證用戶查詢的相應(yīng)速度。

2、在現(xiàn)有DNS 架構(gòu)的基礎(chǔ)上，在網(wǎng)絡(luò)上設(shè)置QOS 優(yōu)先級，保證VIP 用戶流量的優(yōu)先級最高。

（2）、建立可分析的DNS 業(yè)務(wù)平臺

為了實(shí)現(xiàn)數(shù)據(jù)分析功能，要求DNS 系統(tǒng)可以提供所有用戶請求的原始數(shù)據(jù)，在原始數(shù)據(jù)的基礎(chǔ)上，用戶可以實(shí)現(xiàn)定制的分析功能，例如：Top N 數(shù)據(jù)的采集、某些域名訪問量的統(tǒng)計(jì)、二級域名訪問排行、IP 分類排行、用戶興趣分析等等。 3

在基于Bind 的解決方案中，由于Syslog 功能會消耗大量CPU 資源，不建議在現(xiàn)網(wǎng)中實(shí)施。

Nominum 公司的CNS/Vantio支持實(shí)時的syslog ，用戶也可以直接把log 記錄到文件，文件log 的方式會帶來約20的CPU overhead 。用戶可以通過配置選項(xiàng)定制log 的記錄內(nèi)容，包括管理員修改記錄，用戶請求記錄等等。

缺省的數(shù)據(jù)記錄格式如下：

1193996470.512 202.102.224.82#32923 www.ourtu.cn. IN A

另外一種解決方案就是在二層交換機(jī)上通過鏡像功能把所有DNS 相關(guān)數(shù)據(jù)傳送到第三方服務(wù)器上，在第三方服務(wù)器上通過包分析和包記錄工具實(shí)時記錄所有原始數(shù)據(jù)。

（3）、遞歸查詢和緩存功能的分離效果試驗(yàn)

陜西電信現(xiàn)有DNS 服務(wù)器7臺，分布部署在二長以及西華門機(jī)房。硬件平臺均為SUN X4200，節(jié)點(diǎn)內(nèi)部DNS 服務(wù)器連接到二層交換機(jī)Cisco 3650上。前端為四層交換機(jī)AD3020。本次調(diào)整中將對遞歸查詢和緩存功能的分離效果進(jìn)行實(shí)際現(xiàn)網(wǎng)試驗(yàn)。

緩存域名服務(wù)器實(shí)現(xiàn)的DNS 功能由以前兩部分組成：

1、接受客戶發(fā)起的DNS 請求，并將緩存內(nèi)的DNS 記錄返回給用戶

2、當(dāng)緩存內(nèi)沒有相應(yīng)記錄的時候，服務(wù)器到互聯(lián)網(wǎng)上執(zhí)行遞歸查詢，獲得相應(yīng)記錄放入緩存，并把結(jié)果返回給客戶。

相關(guān)系統(tǒng)性能研究表明，第二部分功能也就是遞歸查詢的功能消耗了大量的CPU 資源，以下是SUN X4200上的測試數(shù)據(jù)：

4

上表中，Hot cache 表示所有測試數(shù)據(jù)都在緩存內(nèi)，服務(wù)器不需要執(zhí)行遞歸查詢的時候，服務(wù)器能夠提供的最大QPS ，Cold Cache表示數(shù)據(jù)都不在緩存內(nèi)，所有DNS 請求都需要遞歸查詢的情況下，系統(tǒng)可以支持的負(fù)載。我們可以清楚的看出，前者的QPS 峰值是后者的5到6倍.

以上是基于CNS 的測試數(shù)據(jù)，對于Bind9.3以上版本，Hot cache 的測試結(jié)果也比Cold Cache要高出數(shù)倍（>5）。

5

2、陜西電信DNS 系統(tǒng)優(yōu)化調(diào)整技術(shù)依據(jù)

1、二長DNS 系統(tǒng)總體業(yè)務(wù)處理能力及穩(wěn)定性優(yōu)化

調(diào)整前，四臺BIND 服務(wù)器在峰值時平均每臺解析量達(dá)到7000QPS 左右，而實(shí)際應(yīng)用經(jīng)驗(yàn)表明，BIND 服務(wù)器在現(xiàn)網(wǎng)應(yīng)用中解析量達(dá)到8000QPS 左右時業(yè)務(wù)響應(yīng)速度明顯放慢，同時穩(wěn)定性降低。

調(diào)整后，一臺CNS 承擔(dān)了西安地區(qū)VIP 客戶的請求，峰值約為：16000 QPS 左右，而一臺CNS 服務(wù)器在線網(wǎng)應(yīng)用中處理峰值為：25000 QPS，所以能完全滿足業(yè)務(wù)需要。經(jīng)過VIP 客戶專屬皆系服務(wù)器分流后的流量峰值為：12000QPS ，剩余的其他三臺BIND 服務(wù)器每臺只需要負(fù)擔(dān)約4000 QPS 的業(yè)務(wù)量。

這樣調(diào)整后，整個二長DNS 系統(tǒng)的處理能力和穩(wěn)定性將得到本質(zhì)的改善。

DNS 日均值DNS 峰值流量

日均值峰值流量qps16000qps10000

西安撥號用戶主用DNS 西安VIP 用戶主用DNS

DNS:218.30.19.40

2、VIP 專屬DNS 系統(tǒng)的冗余性優(yōu)化 DNS:XXX.XXX.XXX.XXX 圖：DNS 流量分配圖

調(diào)整后，需要通過兩方面工作對VIP 專屬DNS 系統(tǒng)進(jìn)行冗余保障： 首先，要求VIP 客戶設(shè)定除專屬DNS 服務(wù)器地址之外的備用DNS 服務(wù)器地址。

其次，通過對四層交換機(jī)進(jìn)行配置，實(shí)現(xiàn)如果CNS 服務(wù)器無法工作，可以將流量分配到原有的三臺BIND 服務(wù)器，確保用戶的應(yīng)用。 6

3、陜西電信DNS 優(yōu)化調(diào)整部署方案

本期DNS 優(yōu)化升級規(guī)劃主要工作為：在二長添加一臺CNS 業(yè)務(wù)平臺，作為VIP 客戶專屬服務(wù)器，提高VIP 客戶的DNS 使用質(zhì)量和提升大客戶滿意度，同時為VIP 客戶訪問習(xí)慣分析提供條件。

具體部署方案有以下三種：

方案一：不增加服務(wù)器硬件，將原有的一臺BIND 服務(wù)器替換為CNS 服務(wù)器，通過四層交換機(jī)設(shè)置流量等，拓?fù)淙缦聢D：

)

待定）

DNS 服務(wù)器

（SUN X4200)

BIND DNS 服務(wù)器（SUN X4200) BIND DNS 服務(wù)器（SUN X4200) BIND

DNS :218.30.19.4010G 電路

GE 電路

FE 電路

圖：方案1系統(tǒng)拓?fù)鋱D

此方案的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)，無需增加硬件設(shè)備，部署快速，同時調(diào)整比較靈活，可隨時通過四層交換機(jī)的配置進(jìn)行流量的分配和控制。

缺點(diǎn)，對于VIP 專用的DNS 服務(wù)器沒有專用的容災(zāi)備份服務(wù)器，需要通過四層交換機(jī)進(jìn)行配置，實(shí)現(xiàn)如果CNS 服務(wù)器宕機(jī)，另外三臺BIND 服務(wù)器自動分流，從而實(shí)現(xiàn)應(yīng)急備份。

7

方案二（推薦）：增加一臺SUN X4200服務(wù)器，安裝CNS 軟件，將原有的BIND 服務(wù)器拿出一臺作為CNS 服務(wù)器的備份，同時為VIP 用戶提供DNS 解析服務(wù)。

西安撥號用戶主用DNS

峰值Qps ：12000峰值Qps ：16000

圖例:10G 電路

GE 電路

FE 電路

圖：方案2系統(tǒng)拓?fù)鋱D

此方案的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)，增加一臺Bind 服務(wù)器，提高了此系統(tǒng)的冗余度，同時保障在任意一臺服務(wù)器出現(xiàn)異常時，整個DNS 系統(tǒng)不會發(fā)生服務(wù)中斷，提高了系統(tǒng)的可用性、穩(wěn)定性和安全性。

缺點(diǎn)，需要增加一套服務(wù)器設(shè)備，成本提高。此外，由于兩套DNS 系統(tǒng)共用一臺四層交換機(jī)，因此當(dāng)四層交換機(jī)出現(xiàn)故障時，會同時造成兩套系統(tǒng)均無法正常運(yùn)行。

方案三：

8

新增加一臺四層交換機(jī)和一臺SUN X4200服務(wù)器，建立全新獨(dú)立的VIP 專用DNS 系統(tǒng)，和原有系統(tǒng)獨(dú)立運(yùn)行。

GSR 2416-1GSR 2416-2

7609-27609-1

DNS 服務(wù)器

（SUN X4200)

CNS DNS:XXX.XXX.XXX.XXX

西安VIP 用戶專用DNS

峰值Qps ：16000DNS 服務(wù)器（SUN X4200) BIND 圖例:10G 電路GE 電路

FE 電路

圖：方案3系統(tǒng)拓?fù)鋱D

此方案的優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)，獨(dú)立采用使用一臺四層交換機(jī)進(jìn)行分配流量，與原有DNS 系統(tǒng)完全獨(dú)立，降低了由于四層交換機(jī)故障造成兩套系統(tǒng)均癱瘓的可能性。

缺點(diǎn)，需要增加開支，增加一臺四層交換機(jī)及服務(wù)器。此外，由于新的系統(tǒng)獨(dú)立于原有系統(tǒng)，會增加日常管理維護(hù)負(fù)擔(dān)。

9

4、陜西電信DNS 優(yōu)化升級方案預(yù)算

DNS 系統(tǒng)優(yōu)化方案預(yù)算

10