DNS系统建设方案(初稿-西默响应文件)

DNS系统建设方案（初稿）

注：以下内容为通过跟用户进一步沟通之后，了解整理出的需求和技术规范，请认真查看各条内容，并进行解答，是否能够满足。如果不能满足，请提出来，有更好的建议都可以提出来，我们好及时跟用户沟通，进行修改。

电信目前的内网DNS系统于2008年建成，采用的是2台服务器分别安装BIND 软件提供DNS服务的方式，2台DNS互为备份，统一接入维护公司DMZ区。自建成至今为门户、OA等少量系统提供DNS服务，而前台对大量其他系统的访问均是采用直接通过IP地址的方式。

2013年以来随着EDC第三机房、云平台的建设，其部门已建立起异地双活双数据中心。随着大量的IT系统向云平台的迁移，为了保障各系统的稳定、可靠、迁移，为了实现应用的高可用性，有必要将目前直接通过IP地址访问MBOSS系统的方式改成通过域名访问。而当前的DNS系统无论从组网结构、容量处理能力以及安全防护方面存在诸多问题，因此，亟需建设一套全新的DNS系统，以满足双活双数据中心环境下应用高可用性的需求。

1. 域名系统概述

1.1. 域名服务体系概述

域名服务是一种互联网应用层资源的寻址服务，是其他互联网络应用服务的基础。常见的互联网络应用服务有Web服务，电子邮件服务，FTP服务等，它们都是以域名服务为基础，来实现系统内部资源的寻址和定位的。

域名解析服务是以树型拓扑结构来定义的，由不同类别的域名解析服务提供机构负责不同级域名的解析服务。

整个域名服务系统从职能上看，包括两大类服务：即权威域名服务（Authoritative DNS)和递归域名服务（Recursive DNS)：

（1）权威域名服务是指拥有某个区的域名信息，并为该区提供域名解析的服务。权威域名服务通常面向的不是终端用户。

提供权威域名服务的设备即权威域名服务器，是指对于某个或者多个域具有授权的服务器，权威服务器保存着其所拥有授权的域的原始域名资源记录信息。

简单来说，权威域名服务器中拥有域名和对应的IP地址之间的原始数据并在接到请求后对外发布。

（2）递归域名服务则相反，它不针对某个区提供域名解析服务，而是直接面向终端用户，为终端用户提供递归的域名解析服务。

提供递归域名服务的设备即递归域名服务器，主要在广大的互联网用户侧（本地），它负责接受用户端（解析器）发送的请求，然后通过向各级权威域名服务器发出查询请求获得用户需要的查询结果，最后返回给用户端的解析器。递归域名服务器可以将权威域名服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率。

电信企业内网DNS系统作为向电信企业内网用户提供内网业务访问能力的基础设备，不仅需要对本网内授权域名解析，还要同时负责向用户提供互联网授权域名的递归解析能力，因此其DNS系统需要同时具备权威DNS服务器及递归DNS服务器功能。

西默智能DNS为统一域名解析方案，可同时支持两种解析方式，且有较多此方案的大型网络部署案例。

2. 设计要求

1. 系统具备电信级的高可用性，系统设备及链路均具有一定的冗余度，不

会因单台设备或单条链路故障而引起服务质量下降，同时系统具有容灾

备份机制，能够不间断的对外提供服务。

DNS的可用性是DNS系统的最重要的参数，西默智能DNS设备支持双机热备部署，且通过专线或VPN环境，可实现异地容灾，双机热备组中任一台主机出现故障或线路故障，DNS热备组不失效，可提供不间断的服务。

2. 系统部署有完备的安全防护策略和一定的安全防护手段，能够实现安全

风险的隔离、可控。

西默智能DNS自带防火墙功能，仅开放系统必须端口，从根本上保障设备安全，另外DNSSEC、递归解析控制等，都可从根本上提高系统的安全性。

3. 系统具备平滑升级、扩容的能力，在保护已有投资的基础上易于实现容

量及功能的灵活扩展。

西默作为国内DNS产品的领导厂商，将持续为用户提供优质的服务了和解

决方案，以保护用户的投资。

4. 为保证节点具有一定的抗风险能力，节点容量设计应遵循以下原则：服

务节点总容量不小于查询峰值的3 倍，总处理能力不低于10万QPS,服务

器CPU 利用率不超过30%。

需选择合适的型号

5. 两个数据中心机房分别部署DNS节点，并根据双活数据中心的建设标准，

将两台DNS专业设备部署为权威DNS，即分别部署在两个数据中心的DNS

设备都处于提供DNS服务的活动状态。

支持

6. 两台DNS设备分别对外提供独立的IP地址，并在不同的IP网段。

西默智能DNS双机热备解决方案可提供不同网段的服务IP，且此IP具有故

障转移动力。

3. 技术要求

3.1. 安全防护能力要求

DNS 系统应具备一定的安全措施和防护手段，具有如下防护能力：

(1)能够对异常包进行过滤，并能够对IP 非法、DNS 非法查询包（长度异常、格式异常、

内容异常）进行丢弃处理；能够防范DNS 缓存投毒、防止错误域名以及能够对DNS Flood、UDP Flood 等常见DDoS 攻击进行过滤。

支持

(2)能够基于IP 地址或域名进行限速，可过滤单个用户发起的DoS 域名请求攻

击行为或对某些特定域名进行访问限速。

支持自动限速，不支持自定义配置

(3)能够实现基于IP 地址及域名的黑白名单管理，确保重要域名正常服务的同

时阻止非法域名的解析。

支持

(4)能够有效防护递归查询攻击，对相同域名后缀的查询数进行监视，超过阀值

进行策略丢弃，同时结合白名单功能保证重点域名服务。

支持

(5) 具备缓存快照及相应解析记录导入能力，即在没有递归能力的极端情况下进行本地解析

西默智能DNS高级缓存功能可满足此要求。

3.2. 网管要求

DNS系统网管要求如下：

（1）设备应至少提供SNMP、Syslog、FTP、Telnet、SSH等管理通信接口。

设备逻辑管理接口应支持标准开放的管理接口；网管模块的运行不应

对DNS业务处理产生影响。

满足

（2）设备应支持完备的日志管理功能。支持syslog功能，支持日志的本地保存和远程保存。本地日志应保存在非易失性的介质上，系统重启或

宕机时日志数据不会消失。

满足

设备输出的日志应分为系统日志、解析日志和操作日志三部分。系统日志应包括系统硬件、软件运行状态。解析日志信息中应至少包括用户源地址、请求域名、请求接受时间和处理时延、域名解析结果IP、解析结果代码等（详细要求参见附录A）。操作日志应记录登录者对DNS的所有操作情况（至少详细到文件级别）。三类日志要求应存储至少三个月。

满足

（3）DNS设备应接入数据网管系统，并至少提供以下监控指标：

设备运行指标：服务器的CPU、内存、主要进程、磁盘空间等，并提供5分钟粒度的实时指标曲线呈现和告警呈现；

满足，周期为20分钟，可根据需要调整

业务相关指标：DNS业务解析成功率、网内DNS解析时延、网内DNS解析成功率、最大并发请求数QPS和DNS业务量，并提供5分钟粒度的实时指标曲线呈现和告警呈现；

满足，周期为20分钟，可根据需要调整