本篇我們將先介紹DNS系統部署架構體系,並向大家分享兩個案例,深化大家對DNS系統的理解,最後我們也會討論安全防護問題。
DNS系統部署架構
寬帶業務DNS架構
寬帶業務的DNS架構主要提供寬帶網絡寬帶用戶進行互聯網訪問,DNS系統主要以遞歸查詢爲主,以緩存遞歸分離的方式和原則進行搭建部署。
互動業務DNS架構
互動業務DNS系統主要提供互動機頂盒進行內部域名解析以及部分互聯網訪問解析,DNS 系統主要以權威查詢爲主,以遞歸權威分離的方式爲原則部署。
案例介紹
案例一
下面我們看下某廣電企業DNS雲化部署案例
面臨挑戰
- Cache(緩存)下沉部署後中間鏈路帶寬消耗較大
- 地市出口不統一
- DNS業務存在資源調度問題
解決思路
- 推出二平面概念,從而減少中間鏈路帶寬消耗
- 實現全網IP Anycast部署架構,發佈統一服務地址
- 實現全省緩存資源的靈活調度
- 將管理與業務分離
案例二
再看另外一個案例
面臨的挑戰
- 穩定性方面:通用服務器+Bind軟件服務不穩定,系統上其他功能故障影響DNS服務
- 詳細解析日誌及統計報告:Bind無法提供詳細的日誌和報告,用戶無法掌握解析成功率、TOPIP、TOP域名等信息
- 維護方面:多臺設備數據同步、配置、系統升級複雜、可擴展性差
解決方案(也可以在http://www.zdns.cn/sva.html查看詳細介紹)
- 通過專業設備可提升DNS系統的可管理性和可靠性
- 使用專業設備可以提供智能核心網絡支持方案
- 專業設備具備可擴展性,使得部署新DNS設備簡單快捷
最後說一下安全防護的問題。廣電的寬帶用戶羣體很複雜,廣電網絡面臨的攻擊也是非常多的。因爲廣電網絡是面向終端用戶的,每個家庭裏面都有電腦、ipad、手機等,針對這些終端設備的攻擊很多。因此我們可以在遞歸設備前加一套安全設備,如域名國家工程研究中心研製的DNS防火牆,提供動態域名庫、威脅情報、防緩存攻擊、防DDoS攻擊等(http://tinyurl.com/yyx2e8cx 有更詳細介紹)。而對於機頂盒用戶,由於機頂盒是固化的,受到的攻擊相對較少,這裏不討論。