DNS 系統(tǒng)建設(shè)方案（初稿） 注：以下內(nèi)容為通過跟用戶進一步溝通之后，了解整理出的需求和技術(shù)規(guī)范，請認真查看各條內(nèi)容，并進行解答，是否能夠滿足。如果不能滿足，請?zhí)岢鰜恚懈玫慕ㄗh都可以提出來，我們好

DNS 系統(tǒng)建設(shè)方案（初稿） 注：以下內(nèi)容為通過跟用戶進一步溝通之后，了解整理出的需求和技術(shù)規(guī)范，請認真查看各條內(nèi)容，并進行解答，是否能夠滿足。如果不能滿足，請?zhí)岢鰜恚懈玫慕ㄗh都可以提出來，我們好及時跟用戶溝通，進行修改。

電信目前的內(nèi)網(wǎng)DNS 系統(tǒng)于2008年建成，采用的是2臺服務(wù)器分別安裝BIND 軟件提供DNS 服務(wù)的方式，2臺DNS 互為備份，統(tǒng)一接入維護公司DMZ 區(qū)。自建成至今為門戶、OA 等少量系統(tǒng)提供DNS 服務(wù)，而前臺對大量其他系統(tǒng)的訪問均是采用直接通過IP 地址的方式。

2013年以來隨著EDC 第三機房、云平臺的建設(shè)，其部門已建立起異地雙活雙數(shù)據(jù)中心。隨著大量的IT 系統(tǒng)向云平臺的遷移，為了保障各系統(tǒng)的穩(wěn)定、可靠、遷移，為了實現(xiàn)應(yīng)用的高可用性，有必要將目前直接通過IP 地址訪問MBOSS 系統(tǒng)的方式改成通過域名訪問。而當前的DNS 系統(tǒng)無論從組網(wǎng)結(jié)構(gòu)、容量處理能力以及安全防護方面存在諸多問題，因此，亟需建設(shè)一套全新的DNS 系統(tǒng)，以滿足雙活雙數(shù)據(jù)中心環(huán)境下應(yīng)用高可用性的需求。

1. 域名系統(tǒng)概述

1.1. 域名服務(wù)體系概述

域名服務(wù)是一種互聯(lián)網(wǎng)應(yīng)用層資源的尋址服務(wù)，是其他互聯(lián)網(wǎng)絡(luò)應(yīng)用服務(wù)的基礎(chǔ)。常見的互聯(lián)網(wǎng)絡(luò)應(yīng)用服務(wù)有Web 服務(wù)，電子郵件服務(wù)，F(xiàn)TP 服務(wù)等，它們都是以域名服務(wù)為基礎(chǔ)，來實現(xiàn)系統(tǒng)內(nèi)部資源的尋址和定位的。

域名解析服務(wù)是以樹型拓撲結(jié)構(gòu)來定義的，由不同類別的域名解析服務(wù)提供機構(gòu)負責不同級域名的解析服務(wù)。

整個域名服務(wù)系統(tǒng)從職能上看，包括兩大類服務(wù)：即權(quán)威域名服務(wù)（Authoritative DNS)和遞歸域名服務(wù)（Recursive DNS)：

（1）權(quán)威域名服務(wù)是指擁有某個區(qū)的域名信息，并為該區(qū)提供域名解析的服務(wù)。權(quán)威域名服務(wù)通常面向的不是終端用戶。

提供權(quán)威域名服務(wù)的設(shè)備即權(quán)威域名服務(wù)器，是指對于某個或者多個域具有授權(quán)的服務(wù)器，權(quán)威服務(wù)器保存著其所擁有授權(quán)的域的原始域名資源記錄信息。

簡單來說，權(quán)威域名服務(wù)器中擁有域名和對應(yīng)的IP 地址之間的原始數(shù)據(jù)并在接到請求后對外發(fā)布。

（2）遞歸域名服務(wù)則相反，它不針對某個區(qū)提供域名解析服務(wù)，而是直接面向終端用戶，為終端用戶提供遞歸的域名解析服務(wù)。

提供遞歸域名服務(wù)的設(shè)備即遞歸域名服務(wù)器，主要在廣大的互聯(lián)網(wǎng)用戶側(cè)（本地），它負責接受用戶端（解析器）發(fā)送的請求，然后通過向各級權(quán)威域名服務(wù)器發(fā)出查詢請求獲得用戶需要的查詢結(jié)果，最后返回給用戶端的解析器。遞歸域名服務(wù)器可以將權(quán)威域名服務(wù)器返回的各種記錄進行緩存從而減少查詢次數(shù)和提高查詢效率。

電信企業(yè)內(nèi)網(wǎng)DNS 系統(tǒng)作為向電信企業(yè)內(nèi)網(wǎng)用戶提供內(nèi)網(wǎng)業(yè)務(wù)訪問能力的基礎(chǔ)設(shè)備，不僅需要對本網(wǎng)內(nèi)授權(quán)域名解析，還要同時負責向用戶提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，因此其DNS 系統(tǒng)需要同時具備權(quán)威DNS 服務(wù)器及遞歸DNS 服務(wù)器功能。

西默智能DNS 為統(tǒng)一域名解析方案，可同時支持兩種解析方式，且有較多此方案的大型網(wǎng)絡(luò)部署案例。

2. 設(shè)計要求

1. 系統(tǒng)具備電信級的高可用性，系統(tǒng)設(shè)備及鏈路均具有一定的冗余度，不會因單臺設(shè)備或單條鏈路故障而引起服務(wù)質(zhì)量下降，同時系統(tǒng)具有容災(zāi)備份機制，能夠不間斷的對外提供服務(wù)。

DNS 的可用性是DNS 系統(tǒng)的最重要的參數(shù)，西默智能DNS 設(shè)備支持雙機熱備部署，且通過專線或VPN 環(huán)境，可實現(xiàn)異地容災(zāi)，雙機熱備組中任一臺主機出現(xiàn)故障或線路故障，DNS 熱備組不失效，可提供不間斷的服務(wù)。

2. 系統(tǒng)部署有完備的安全防護策略和一定的安全防護手段，能夠?qū)崿F(xiàn)安全風險的隔離、可控。

西默智能DNS 自帶防火墻功能，僅開放系統(tǒng)必須端口，從根本上保障設(shè)備安全，另外DNSSEC 、遞歸解析控制等，都可從根本上提高系統(tǒng)的安全性。

3. 系統(tǒng)具備平滑升級、擴容的能力，在保護已有投資的基礎(chǔ)上易于實現(xiàn)容量及功能的靈活擴展。

西默作為國內(nèi)DNS 產(chǎn)品的領(lǐng)導(dǎo)廠商，將持續(xù)為用戶提供優(yōu)質(zhì)的服務(wù)了和解

決方案，以保護用戶的投資。

4. 為保證節(jié)點具有一定的抗風險能力，節(jié)點容量設(shè)計應(yīng)遵循以下原則：服務(wù)節(jié)點總?cè)萘坎恍∮诓樵兎逯档? 倍，總處理能力不低于10萬QPS, 服務(wù)器CPU 利用率不超過30。

需選擇合適的型號

5. 兩個數(shù)據(jù)中心機房分別部署DNS 節(jié)點，并根據(jù)雙活數(shù)據(jù)中心的建設(shè)標準，將兩臺DNS 專業(yè)設(shè)備部署為權(quán)威DNS ，即分別部署在兩個數(shù)據(jù)中心的DNS 設(shè)備都處于提供DNS 服務(wù)的活動狀態(tài)。

支持

6. 兩臺DNS 設(shè)備分別對外提供獨立的IP 地址，并在不同的IP 網(wǎng)段。

西默智能DNS 雙機熱備解決方案可提供不同網(wǎng)段的服務(wù)IP ，且此IP 具有故障轉(zhuǎn)移動力。

3. 技術(shù)要求

3.1. 安全防護能力要求

DNS 系統(tǒng)應(yīng)具備一定的安全措施和防護手段，具有如下防護能力：

(1) 能夠?qū)Ξ惓０M行過濾，并能夠?qū)P 非法、DNS 非法查詢包（長度異常、格式異常、內(nèi)容異常）進行丟棄處理；能夠防范DNS 緩存投毒、防止錯誤域名以及能夠?qū)NS Flood、UDP Flood 等常見DDoS 攻擊進行過濾。

支持

(2) 能夠基于IP 地址或域名進行限速，可過濾單個用戶發(fā)起的DoS 域名請求攻擊行為或?qū)δ承┨囟ㄓ蛎M行訪問限速。

支持自動限速，不支持自定義配置

(3) 能夠?qū)崿F(xiàn)基于IP 地址及域名的黑白名單管理，確保重要域名正常服務(wù)的同時阻止非法域名的解析。

支持

(4) 能夠有效防護遞歸查詢攻擊，對相同域名后綴的查詢數(shù)進行監(jiān)視，超過閥值進行策略丟棄，同時結(jié)合白名單功能保證重點域名服務(wù)。

支持

(5) 具備緩存快照及相應(yīng)解析記錄導(dǎo)入能力，即在沒有遞歸能力的極端情況下進行本地解析

西默智能DNS 高級緩存功能可滿足此要求。

3.2. 網(wǎng)管要求

DNS 系統(tǒng)網(wǎng)管要求如下：

（1） 設(shè)備應(yīng)至少提供SNMP 、Syslog 、FTP 、Telnet 、SSH 等管理通信接口。

設(shè)備邏輯管理接口應(yīng)支持標準開放的管理接口；網(wǎng)管模塊的運行不應(yīng)

對DNS 業(yè)務(wù)處理產(chǎn)生影響。

滿足

（2） 設(shè)備應(yīng)支持完備的日志管理功能。支持syslog 功能，支持日志的本地

保存和遠程保存。本地日志應(yīng)保存在非易失性的介質(zhì)上，系統(tǒng)重啟或

宕機時日志數(shù)據(jù)不會消失。

滿足

設(shè)備輸出的日志應(yīng)分為系統(tǒng)日志、解析日志和操作日志三部分。系統(tǒng)日志應(yīng)包括系統(tǒng)硬件、軟件運行狀態(tài)。解析日志信息中應(yīng)至少包括用戶源地址、請求域名、請求接受時間和處理時延、域名解析結(jié)果IP 、解析結(jié)果代碼等（詳細要求參見附錄A ）。操作日志應(yīng)記錄登錄者對DNS 的所有操作情況（至少詳細到文件級別）。三類日志要求應(yīng)存儲至少三個月。

滿足

（3）DNS 設(shè)備應(yīng)接入數(shù)據(jù)網(wǎng)管系統(tǒng)，并至少提供以下監(jiān)控指標：

設(shè)備運行指標：服務(wù)器的CPU 、內(nèi)存、主要進程、磁盤空間等，并提供5分鐘粒度的實時指標曲線呈現(xiàn)和告警呈現(xiàn)；

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

業(yè)務(wù)相關(guān)指標：DNS 業(yè)務(wù)解析成功率、網(wǎng)內(nèi)DNS 解析時延、網(wǎng)內(nèi)DNS 解析成功率、最大并發(fā)請求數(shù)QPS 和DNS 業(yè)務(wù)量，并提供5分鐘粒度的實時指標曲線呈現(xiàn)和告警呈現(xiàn)；

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

DNS 性能統(tǒng)計指標：CPU 利用率、內(nèi)存利用率、成功數(shù)、失敗數(shù)、遞歸請求查詢數(shù)、非遞歸查詢數(shù)、總請求數(shù)、頻率、磁盤空間利用率，并提供5分鐘粒度的實時指標曲線呈現(xiàn)和告警呈現(xiàn)；

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

域名解析請求排行指標：域名、次數(shù)、總請求次數(shù)、比例，并提供5分鐘粒度的實時指標曲線呈現(xiàn)和告警呈現(xiàn)。

滿足，周期為20分鐘，可根據(jù)需要調(diào)整

3.3. 設(shè)備要求

（1） 高可用性：系統(tǒng)平均無故障時間(MTBF)>10,000小時；設(shè)計時必須按照

所有設(shè)備的壽命在正常使用下不少于10年，所有設(shè)備（包括電源設(shè)備）在給定的性能指標下運行，連續(xù)4000小時內(nèi)不需要人工調(diào)整和維護。 滿足

（2） 要求主要部件冗余配置，為避免單點故障，采用雙電源、雙風扇、雙網(wǎng)

卡、系統(tǒng)鏡像盤保護數(shù)據(jù)。

支持，但不支持系統(tǒng)鏡像和雙風扇。

（3） 主機系統(tǒng)的主要部件必需實現(xiàn)熱插拔、熱更換，包括熱插拔的PCI I/O

卡；熱插拔內(nèi)置硬盤驅(qū)動器；熱更換冗余電源；熱更換冗余風扇。

僅電源支持熱插撥

（4） 主機系統(tǒng)應(yīng)具備故障檢測、隔離和修復(fù)等自動檢測手段，持續(xù)監(jiān)測各個

系統(tǒng)部件，并根據(jù)動態(tài)變化的系統(tǒng)狀態(tài)，實時調(diào)整系統(tǒng)，保證正常運行 軟件支持，硬件不支持。

（5） 高可靠性設(shè)計：支持HA 雙機備份接入方式, 雙機同時運行業(yè)務(wù), 并可以

自動切換。一對HA 設(shè)備必須能夠?qū)λ峁┑乃蟹?wù)（DNS/DHCP/IPAM 等）和協(xié)議的數(shù)據(jù)進行同步和保護。切換后應(yīng)能接管全部的管理功能和服務(wù)。故障恢復(fù)必須是自動的，無須手工的。

滿足

（6） 10/100/1000 Base-T 以太網(wǎng) (LAN) 端口，不少于4 個。

滿足

3.4. DNS功能要求（均支持）

（1） 系統(tǒng)必須支持標準的 DNS 服務(wù)。支持反向DNS 解析功能。

（2） 支持基于ＲＦＣ標準的DNS 記錄類型：如A 、AAAA 、CNAME 、MX 、NAPTR 、

PTR 、SRV 等。

（3） 兼容微軟和BIND 等主流DHCP ， DNS 服務(wù)器配置。

（4） DNS 數(shù)據(jù)導(dǎo)入導(dǎo)出，能夠通過圖形管理界面導(dǎo)出記錄進行備份，也可以

通過圖形界面導(dǎo)回記錄進行恢復(fù)，支持批量修改。

（5） 支持根據(jù)IP 來源地址實現(xiàn)智能DNS 解析。

（6） 支持應(yīng)用服務(wù)狀態(tài)檢測，以便給出有效的域名記錄解析。。

（7） 管理界面可以完成所有DNS 的配置及管理功能。

3.5. DNS系統(tǒng)部署要求

DNS 系統(tǒng)部署要求如下圖所示：

3.6. DNS系統(tǒng)部署：

為考慮DNS 服務(wù)的依賴性與重要性，將在荷花園和麓谷兩個數(shù)據(jù)中心的DMZ 區(qū)部署DNS 域名解析服務(wù)系統(tǒng)，并根據(jù)雙活數(shù)據(jù)中心的建設(shè)標準，將兩臺DNS 設(shè)備部署為權(quán)威DNS ，即分別部署在兩個數(shù)據(jù)中心的DNS 設(shè)備都處于提供DNS 服務(wù)的活動狀態(tài)。由于還要同時負責提供互聯(lián)網(wǎng)授權(quán)域名的遞歸解析能力，因此湖南電信DNS 系統(tǒng)需要同時具備權(quán)威DNS 服務(wù)器及遞歸DNS 服務(wù)器功能。

支持，但需滿足雙機熱備組中物理IP 在同一子網(wǎng)的條件（VPN 或?qū)＞€）。

3.7. 負載均衡部署

根據(jù)全省各本地網(wǎng)訪問業(yè)務(wù)系統(tǒng)的大小，將訪問流量分流到2個數(shù)據(jù)中心，以實現(xiàn)應(yīng)用系統(tǒng)的負載均衡。為了實現(xiàn)根據(jù)源IP 地址判斷DNS 查詢請求的業(yè)務(wù)流量在兩個業(yè)務(wù)數(shù)據(jù)中心的業(yè)務(wù)分流，通過采用DNS 標準建設(shè)體系中的DNS View 實現(xiàn)。在DNS View中定義不同的源IP 地址段，并根據(jù)源IP 地址進行View 命中。以實現(xiàn)不同本地網(wǎng)分別訪問不同的數(shù)據(jù)中心，實現(xiàn)業(yè)務(wù)分流。

滿足

3.8. 容災(zāi)部署

為了實現(xiàn)在一個數(shù)據(jù)中心單臺、多臺服務(wù)器甚至整個數(shù)據(jù)中心崩潰的情況下，相關(guān)訪問流量能迅速切換到正常提供服務(wù)的服務(wù)器或數(shù)據(jù)中心，DNS 系統(tǒng)應(yīng)能支持利用F5的健康檢查機制或DNS 自身提供的其它方式進行服務(wù)器狀態(tài)檢查，根據(jù)服務(wù)器服務(wù)狀態(tài)進行DNS 業(yè)務(wù)流量的切換。

支持自身健康檢測和切換。

3.9. 安全策略部署

1. 在DMZ 防火墻上部署訪問策略，只允許源協(xié)議端口號1023 以上訪問DNS IP 地址的UDP/TCP 53 端口；

2. 在DNS 節(jié)點與網(wǎng)絡(luò)互聯(lián)的鏈路上部署帶寬限速的QoS 策略，去往節(jié)點服務(wù)IP 的流量限制在節(jié)點容量的80以內(nèi)；

3. 通過流量分析系統(tǒng)對 DNS 流量進行監(jiān)控，及時發(fā)現(xiàn)異常的攻擊特征并告警。

4. 出于安全和應(yīng)急的考慮，DNS 系統(tǒng)必須具備帶外管理能力；

可在以上環(huán)境中部署