DNSoverIPAnycast技术说明书.docxVIP

DNSover IPAnycast技术说明书目录1前言32 DNS四层交换机部署方式42.1传统部署方式42.2存在的问题52.2.1防火墙能力不足52.2.2四层交换机能力不足52.2.3整个节点层次太多52.2.4业务冗灾能力不足52.2.5故障影响可控性不足53 DNS over IPAnycast部署方式63.1 IP Anycast技术介绍63.2 IP Anycast组网方案63.2.1 IP Anycast架构原理63.2.2 DNS over IPAnycast组网方案73.3 IP Anycast组网优势84总结10前言概述本文档基于当前DNS系统组网往IP Anycast网络架构发展的趋势，有针对性的对传统基于四层交换机DNS部署方式的缺点以及IP Anycast部署方式的组网方案和该组网方式带来的优点进行说明。读者对象本文档主要适用于以下工程师：DNS销售工程师DNS技术工程师修订记录版本描述发布日期作者签发人DNS四层交换机部署方式2.1传统部署方式基于社会经济的发展趋势，早期各大运营商业务网络，主要是为满足传统语音业务的需求，对于数据业务的需求相对较小，技术也相对不成熟，所以早期各大运用商对于DNS系统的网络部署，一般采用四层交换机技术建立服务器集群，提供集中式的域名解析服务。运营商典型的L4部署方式，如下图所示：运用商在两个节点建设两套互备的DNS系统，每套系统都采用四层交换机技术建立DNS服务器集群，两套DNS分别采用不同的DNS服务IP A和IP B，通过告知客户主备DNS服务器地址的IP来实现冗灾。每个节点DNS系统采用防火墙/流量清洗、四层交换机、DNS服务器群的三层架构，防火墙用来保护整个系统的安全防止黑客的攻击；四层交换机用来将用户DNS请求平均分配到集群内每台DNS服务器，完成流量负载均衡作用；DNS服务器用来完成最终的地址解析。该部署方式的特点是：建设强大的服务节点，依靠系统的健壮性保障服务的可靠性，用系统的高可用性弥补体系设计上的不足。2.2存在的问题2.2.1防火墙能力不足防火墙设置在系统前端，其处理能力成为整个系统业务量增长的瓶颈。根据经验值估算，500万用户的网络中忙时产生约10万qps的用户请求量(每秒10万个用户请求)，如果分担在3个节点，则每个节点需要承担3万多qps，而现在防火墙在实际使用过程中一般最大能支持每秒2万～4万新建会话数(sessions)，因此当发生网络攻击时，防火墙成为最薄弱的环节。2.2.2四层交换机能力不足四层交换机的流量分配主要是通过设备内部的软件系统和硬件芯片，进行针对数据包的查看、重组和分发等负载工作。虽然目前四层交换机适合各种复杂协议的应用，能够提供针对web、邮件、流媒体等服务的负载均衡功能；但是DNS服务是一种比较简单的UDP协议应用，具有流量带宽占用很小，包交换量巨大的特点；因此四层交换机的优势在DNS系统中无法体现。四层交换机的包交换能力无法与三层交换机相比，所以说虽然可以利用四层交换机实现负载均衡，但是它在包交换能力上的欠缺使其成为DNS系统中的另一个瓶颈。2.2.3整个节点层次太多每个节点DNS系统均部署有防火墙、四层交换机、DNS服务器群甚至DPI流量清洗设备，导致单节点存在过多的故障点，只要有一层设备故障就会造成整个系统的瘫痪。2.2.4业务冗灾能力不足集中式服务，由于其负载的集中，一但遭到外部异常流量的DDos狼群攻击，很容易造成超载的情况。2.2.5故障影响可控性不足发生于运营商网络内部某一点的用户攻击，由于其集中式服务的特点，会放大影响到全网用户的正常业务使用。DNS over IPAnycast部署方式随着社会经济的快速发展，运营商数据业务得到了爆发式的增长，作为数据业务的核心网元DNS的重要性越来越凸显，伴随着近年来不断发生的针对DNS系统的网络攻击行为，DNS网络部署方式以及DNS技术的缺陷日益明显，Anycast技术能有效的解决DNS部署中在组网架构上的缺陷。IP Anycast技术介绍Anycast(选播)是一种新型的网络服务技术，定义在IP网络上通过一个Anycast地址标识一组提供特定服务的主机，同时服务访问者并不关心提供服务的是哪一台主机，访问该地址的报文可以被IP网络路由到这一组目标中的任何一台主机上。Anycast提供的是一种无状态的、尽力而为的服务。Anycast是一种一点对多点的通信方式，与组播类似，Anycast也是多个节点共享同一地址，不同的是组播中同一组播地址的每个节点都期待接收发给该组播地址的数据包，而Anycast数据包将被投递到离这组主机最近的任意一台服务器。Anycast可以选择最优服务器，可以支持主机自动配置，可以有效分摊链路负载，起到负载均衡的作用。Anycast这些特性非常适