DNS系统建筑方案(初稿-西默响应文件).docxVIP

DNS系统建设方案（初稿）注：以下内容为通过跟用户进一步沟通之后，了解整理出的需求和技术规范，请认真查看各条内容，并进行解答，是否能够满足。如果不能满足，请提出来，有更好的建议都可以提出来，我们好及时跟用户沟通，进行修改。电信目前的内网DNS系统于2008年建成，采用的是2台服务器分别安装BIND 软件提供DNS服务的方式，2台DNS互为备份，统一接入维护公司DMZ区。自建成至今为门户、OA等少量系统提供DNS服务，而前台对大量其他系统的访问均是采用直接通过IP地址的方式。2013年以来随着EDC第三机房、云平台的建设，其部门已建立起异地双活双数据中心。随着大量的IT系统向云平台的迁移，为了保障各系统的稳定、可靠、迁移，为了实现应用的高可用性，有必要将目前直接通过IP地址访问MBOSS系统的方式改成通过域名访问。而当前的DNS系统无论从组网结构、容量处理能力以及安全防护方面存在诸多问题，因此，亟需建设一套全新的DNS系统，以满足双活双数据中心环境下应用高可用性的需求。域名系统概述域名服务体系概述域名服务是一种互联网应用层资源的寻址服务，是其他互联网络应用服务的基础。常见的互联网络应用服务有Web服务，电子邮件服务，FTP服务等，它们都是以域名服务为基础，来实现系统内部资源的寻址和定位的。域名解析服务是以树型拓扑结构来定义的，由不同类别的域名解析服务提供机构负责不同级域名的解析服务。整个域名服务系统从职能上看，包括两大类服务：即权威域名服务（Authoritative DNS)和递归域名服务（Recursive DNS)：（1）权威域名服务是指拥有某个区的域名信息，并为该区提供域名解析的服务。权威域名服务通常面向的不是终端用户。提供权威域名服务的设备即权威域名服务器，是指对于某个或者多个域具有授权的服务器，权威服务器保存着其所拥有授权的域的原始域名资源记录信息。简单来说，权威域名服务器中拥有域名和对应的IP地址之间的原始数据并在接到请求后对外发布。（2）递归域名服务则相反，它不针对某个区提供域名解析服务，而是直接面向终端用户，为终端用户提供递归的域名解析服务。提供递归域名服务的设备即递归域名服务器，主要在广大的互联网用户侧（本地），它负责接受用户端（解析器）发送的请求，然后通过向各级权威域名服务器发出查询请求获得用户需要的查询结果，最后返回给用户端的解析器。递归域名服务器可以将权威域名服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率。电信企业内网DNS系统作为向电信企业内网用户提供内网业务访问能力的基础设备，不仅需要对本网内授权域名解析，还要同时负责向用户提供互联网授权域名的递归解析能力，因此其DNS系统需要同时具备权威DNS服务器及递归DNS服务器功能。西默智能DNS为统一域名解析方案，可同时支持两种解析方式，且有较多此方案的大型网络部署案例。设计要求系统具备电信级的高可用性，系统设备及链路均具有一定的冗余度，不会因单台设备或单条链路故障而引起服务质量下降，同时系统具有容灾备份机制，能够不间断的对外提供服务。DNS的可用性是DNS系统的最重要的参数，西默智能DNS设备支持双机热备部署，且通过专线或VPN环境，可实现异地容灾，双机热备组中任一台主机出现故障或线路故障，DNS热备组不失效，可提供不间断的服务。系统部署有完备的安全防护策略和一定的安全防护手段，能够实现安全风险的隔离、可控。西默智能DNS自带防火墙功能，仅开放系统必须端口，从根本上保障设备安全，另外DNSSEC、递归解析控制等，都可从根本上提高系统的安全性。系统具备平滑升级、扩容的能力，在保护已有投资的基础上易于实现容量及功能的灵活扩展。西默作为国内DNS产品的领导厂商，将持续为用户提供优质的服务了和解决方案，以保护用户的投资。为保证节点具有一定的抗风险能力，节点容量设计应遵循以下原则：服务节点总容量不小于查询峰值的3 倍，总处理能力不低于10万QPS,服务器CPU 利用率不超过30%。需选择合适的型号两个数据中心机房分别部署DNS节点，并根据双活数据中心的建设标准，将两台DNS专业设备部署为权威DNS，即分别部署在两个数据中心的DNS设备都处于提供DNS服务的活动状态。支持两台DNS设备分别对外提供独立的IP地址，并在不同的IP网段。西默智能DNS双机热备解决方案可提供不同网段的服务IP，且此IP具有故障转移动力。技术要求安全防护能力要求DNS 系统应具备一定的安全措施和防护手段，具有如下防护能力：能够对异常包进行过滤，并能够对IP 非法、DNS 非法查询包（长度异常、格式异常、内容异常）进行丢弃处理；能够防范DNS 缓存投毒、防止错误域名以及能够对DNS Flood、UDP Flood 等常见DDoS 攻击进行过滤。支持能够基于IP 地址或域名进行限速，