下一代DNS系统Foundation介绍.docxVIP

下一代 DNS 系统 Foundation 介绍(Nominum) DNS (Domain Name System)是Internet中一个非常重要的部分，在TCP/IP的世界中， 都是以IP地址识别主机，虽然这种表示方法适合路由器等來使用，但是并不适合人们去记 忆，因此，一般來说，网络中的主机都被指定了一个独一无二的名称，也就是域名(Domain Name)o然而这又带来了另外一个问题，这些名称不易为路由器等处理，也不含可找到主机 的位置信息。所以需要一种系统在IP地址和机器的名称间建立一种对应关系，DNS系统也 就应运而生了。当然在早期的时候，并没有很复杂，只是在一台中央授权机器上建立名称与 IP地址的对应关系。 到了 80年代中期，DNS才真正发展起来，冃前在全球所采用的DNS大多都是由ISC (Internet Software Consortium)发布的 BIND (Berkeley Internet Name Domain )o 但是由于 先天性的原因,BIND系统有着很多无法克服的问题。全球领先的DNS方案提供商Nominum 在其经验和倾听了很多用户意见的基础上，推出了下一代的DNS系统Foundation,按功能 划分，该系统包括 CNS (Caching Name Server)ANS (Authoritative Name Server)和 FMC (Foundation Management Center),目前经被世界众多知名电信公司和企业所采用。 一 BIND的问题 作为一款公开代码的DNS服务程序，BIND在现行的DNS的系统中，得到了的非常广 泛的使用。Nominum公司在2000年九月向ISC发布了 BIND9.0,到2003中期，大约三分 之一的主要英特网连接的DNS服务器都运行BIND 9o BIND 9被事实证明的确比BINDS 更好，包括提高了安全性、可维护性、以及向对BINDS的兼容性等。但是随着网络迅速的 发展，人们不断的发现BIND已经不适应在如今复杂的网络环境下提供DNS服务了。BIND 开发是针对早期网络环境的，在其开发汁划中有很多很重要的问题都没有被提出来，即使是 最新版本的BIND9也只适应90年代屮期的网络环境，而且由于架构设计的原因，很多问题 无法通过软件升级來解决。其问题主要表现在以下儿个方面，在此，我们先简单描述一下， 在后续的内容屮再详细讨论。 1.1处理能力 现在使用的DNS系统的处理能力非常的差，服务器经常处在高负荷运行的状态，表现 为CPU和RAM利用率居高不卞，请求响应时间长、吞吐量小，面对用户大量的查询，经 常导致查询丢失。 1.2安全性 安全性能问题一直是运营商非常关心的问题，DNS欺骗、针对DNS的(D) DOS攻击 等，都是经常遇到的和让运营商非常头疼的问题，而且BIND的代码是公开的，这使得其更 容易受到各类攻击。由于在设计上的先天性问题，BIND更对这些安全问题常常束手无策。 SANS把BIND列为Unix中易受攻击的系统的第一位，有关更详细内容，请参考： /top20 和 http://www.sans.Org/top20/#ul o 1.3可靠性 BIND在受到攻击或者修改配置的时候，经常需要重启，而重启少则几秒，多则几十秒, 甚至若干分钟(这取决于需要往缓存中读取的数据量)。而在这段时间里，该DNS服务器是 不提供任何服务的，从而造成了服务的中断。 1 -4可扩展性 BIND 9主要是面向上世纪的市场需求而设计的，面向中等规模的DNS系统，并不适合 当今的大规模的网络。其在QPS (Queries Per Second)＞区域(Zone)数目、区域(Zone) 大小等参数方面都不能适应进一步的需求。 1.5管理 BIND系统的管理问题主要体现在两个方面。首先，BIND没有一个图形化的管理界面, 而且，系统的运行状态无法进行了解和管理。其次，尽管BIND是免费的，但是经常需要添 加补丁等，而且DNS协议和BIND配置的句法是比较复杂的，很简单的一些问题，比如缺 少了分号、数字被调换了、不正确的断句以及一些其他的句法错误就能使得BIND的服务中 止。甚至那些很熟练的管理员也会在保持BIND正常运行上碰到很多问题，意识到问题可能 就需要儿个小时甚至儿个星期，而解决问题就要花更久的时间了。 1.6服务 由于BIND是免费的，所以没有人提供技术支持，出了问题更找不到人解决。这是免费 系统最直接的问题。 二 Nominum 公司 Foundation 系统 2.1系统组成 按照功能,Foundation 包括 CNS(Caching Name Server)x ANS( Authoritative Name Server) 和 FMC (