广电网络宽带DNS系统设计建设

摘要：随着三网融合业务的发展，广电网络越来越需要宽带业务来增加用户的黏性，提高每个用户的AURP值，因此相关的宽带系统配套建设就显得非常重要。DNS（域名系统）作为其中最重要的基础服务之一，系统的好坏直接决定了用户的宽带上网体验，由于广电网络在宽带方面的建设进展落后于其他三家电信运营商，因此在网络资源与结构等方面也与另外三家电信运营商存在差异。鉴于此，在DNS的建设上也需要进行相应的优化，以便为用户提供更好的宽带体验。本文针对广电网络的特点，对广电网络建设宽带DNS系统问题进行了探讨。

关键词：域名系统;宽带出口;负载均衡;安全

1背景

在三网融合的大背景下，广电网络需要大力发展宽带业务，以保证用户的黏性。目前，国内的互联网出口及资源基本上集中在其他三大电信运营商手中，广电网络通常只能从第三方渠道购买互联网出口资源，因此广电网络的互联网出口通常会由其他不同运营商的互联网出口组成，广电网络需要根据情况进行出口优化，以保证用户拥有最优的上网体验，同时尽量避免各不同电信运营商之间互联互通的问题。要解决这些问题，除了在路由上进行调度外，还需要DNS系统的配合优化。对用户而言，在大部分情况下都不用关心所使用网络的DNS问题，甚至不需要知道使用的是由谁提供的DNS服务，但是对于网络提供者而言，DNS系统部署的好坏直接关系到了用户的上网体验。因此，必须给用户提供可靠稳定的DNS服务来保证其上网体验。所以，构建一个良好的DNS系统是提升广电网络品质的基本要求。

2DNS的类型

2.1按DNS服务提供方划分

（1）电信运营商电信运营商提供的DNS主要是为自己的宽带用户提供域名解析服务。（2）ICPICP（互联网内容提供商）提供的DNS主要是对其内容进行分发的优化调度，使用户能就近访问互联网资源。

2.2按DNS功能划分

（1）根域名DNS根域名服务器只提供全球顶级域名的解析服务。（2）权威DNS权威域名服务器是经过上一级授权对域名进行解析的服务器，也可以将解析授权给其他的服务器，权威域名服务器只会对自己所拥有的域名进行解析。（3）递归DNS递归服务器接受用户对任意域名的查询，并返回结果给用户。（4）转发（缓存）DNS转发（缓存）服务器是将DNS的请求转发给上一级DNS（通常是递归DNS）进行解析，自身也对解析结果进行缓存。对于广电网络和另外三家电信运营商来说，主要需求是给用户提供域名递归服务，但由于DNS访问量巨大，因此从DNS架构设计上通常会增加一层转发（缓存）服务，进行专门的优化以提高整个DNS系统的可靠性。

3广电网络宽带出口的组成与DNS的关系

广电网络由于自身定位及发展的原因，没有国际互联网出口，且国内ICP的资源基本上也都集中在另外三大电信运营商手中，因此广电网络要发展宽带，必须直接或间接与另外三家电信运营商进行互联。广电网络解决宽带出口问题通常采用以下几种方式。

3.1直接与其他电信运营商互联

广电网络直接与其他电信运营商合作，完全使用其他电信运营商提供的宽带出口和IP地址。这种情况下，可直接使用其他电信运营商的DNS，这种方式甚至无需自建DNS服务器，但基于如下一些情况，建议还是自建DNS服务器。（1）及时响应用户投诉，提高故障处理能力，尽可能少的依赖于其他电信运营商。（2）其他电信运营商的DNS通常对无效域名都会进行强制重定向到该运营商定制的站点进行广告宣传，不利于广电网络的品牌宣传。（3）其他电信运营商的DNS通常会对单IP的单位时间访问量进行限制，若超限会认为是被攻击，通常会将该IP进行屏蔽，广电网络如果采用NAT（网络地址转换）的方式接入宽带用户，则很可能会遇到此问题。

3.2与第三方宽带出口提供商合作

第三方出口商实际上也需要从其他电信运营商处获得互联网资源，为了降低成本，通常会引入一些主要ICP的CDN（内容分发网络）资源，这些资源通过路由和DNS进行调度和优化。

3.3广电网络自行引入互联网

CDN混合电信运营商出口资源广电网络引入互联网CDN可将用户流量尽可能地留在网内，减少对其他电信运营商纯出口的依赖，互联网CDN的资源也需要路由与DNS的调度优化。因此，广电网络无论采用以上哪种方式发展宽带业务，自建DNS都是一个较好的选择。

4广电网络DNS系统的规划与建设

4.1网络发展初期多出口的DNS架构

在网络发展初期，根据各出口情况分别配置DNS，即分别为每个第三方出口提供一套DNS服务，如图1所示。用户通过防火墙映射，访问不同ISP（互联网服务提供商）出口的DNS，不同的ISP出口所使用的DNS通过防火墙策略调度走不同的ISP出口；同时，考虑DNS横向扩展提高并发能力，使用负载均衡设备进行调度。此方案在用户发展到一定规模后，会存在如下一些问题。（1）使用不同ISP出口的用户需要配置不同的DNS地址，如果出口数多，则容易对一线维护人员造成困扰。（2）防火墙容易成为整个网络的瓶颈，因为DNS服务使用的是无连接状态的UDP，防火墙的Session数容易被占满，特别是在针对DNS的DDoS攻击时，如果防火墙Session被占满，则所有DNS将无法再提供服务。（3）负载均衡设备也有可能成为整个DNS系统网络的瓶颈，当遭受DDoS攻击的时候，也将导致所有的DNS无法提供服务。

4.2缓存+递归的二级架构

在网络发展到一定规模后，随着流量的增加与出口的增多，可考虑将DNS分为二级架构，部署缓存服务器和递归服务器，在缓存服务器上采用视图的方式将不同用户的DNS请求转发到对应的递归DNS服务器上。如此，所有的广电用户都可以设置同样的DNS地址，即便用户更换ISP出口也无需变更DNS的配置。同时，对于营维人员来说，由于所有宽带出口使用的DNS的IP地址都是相同的，因此也能避免营维人员将DNS与宽带出口的对应关系弄混。当用户都将DNS地址设置为缓存服务器地址后，缓存DNS系统将会承载很高压力，因此需要考虑使用负载均衡的方式来调度多台缓存DNS，但传统的负载均衡设备也容易成为瓶颈。考虑DNS服务的特点，DNS采用的是UDP协议，同时DNS服务不需要进行Session级别的保持，因此可以使用OSPF（开放路径最短优先）协议来进行负载均衡的调度，也就是网络设备和缓存DNS服务器组之间通过OSPF协议进行路由调度，通过网络的通断来进行服务调度。由于OSPF只能进行网络层的健康检测，因此在DNS服务器上需要将DNS服务与OSPF服务进行关联，一旦DNS服务关闭，则也需要将OSPF服务进行关闭。如此，网络设备检测到这台DNS服务器的OSPF路由不通，就不会将流量往这台DNS服务器牵引，从而达到故障切换和负载均衡的目的。带缓存的多出口DNS网络架构图如图2所示。相比图1所示方案，图2所示方案增加了缓存DNS，用户不再直接访问各ISP出口的递归DNS，而是访问缓存DNS服务器，缓存服务器再根据DNS视图规则访问不同的递归服务器，这样可以极大程度降低递归服务器的DNS解析请求量，因此递归服务器在设计上可以使用图1的架构，通过防火墙和负载均衡设备进行DNS服务的映射和调度，由于负载较低，同时递归服务器不直接对用户提供DNS解析服务，所以递归服务器也可以不使用负载均衡设备，缓存服务器直接通过内部网络转发DNS请求到递归服务器。采用这种方案需要注意的是，由于OSPF协议不像专业负载均衡设备一样，可以根据服务器的负载能力进行不同的负载量转发，因此缓存DNS服务器组中各服务器的性能最好是一致的，否则最低性能的服务器容易成为瓶颈，会导致部分解析请求无法响应。

5安全

DNS系统是提供给广电网络宽带用户使用的，通常面对的用户众多，属于半开放的系统，DNS系统主要风险在于系统内部风险和系统外部风险。5.1内部风险内部风险主要是DNS软件自身的漏洞，对此，系统管理员需要针对DNS软件的漏洞及时更新补丁进行修复。

5.2外部风险

外部风险主要是来自网络层面的攻击，对于DNS系统来说，常见的攻击是DDoS攻击，对抗DDoS攻击可以从以下几个方面进行考虑。（1）在网络层面增加ACL（访问控制列表）控制，只允许广电网络内部用户的IP地址访问DNS系统，严格限制对外开放的IP和端口。在采用二级架构的时候，要对用户隐藏递归服务器的地址。缓存服务器只开放DNS服务的端口即可。（2）提高DNS系统的QPS（每秒查询量），可以选择设计QPS较高的DNS软件，提高服务器硬件配置，如提供更强的CPU、更多的内存等；同时，使用负载均衡技术进行横向扩展，提高系统解析能力。（3）在DNS系统之前增加专业抗DDoS设备，对异常流量先进行清洗过滤。（4）若DNS软件支持，可增加对每个客户端QPS的限制配置。（5）考虑到DNS系统的重要性，对于省级广电网络来说，还需要考虑DNS的异地容灾问题，可以使用网络层面的Anycast（任播）技术来实现。

6DNS软件的选择

DNS软件的选择主要需要在功能和性能上考虑，目前使用最广的DNS软件是由美国加州大学伯克利分校开发和维护的开源的BIND（伯克利互联网域名）软件。BIND在功能上可以满足基本需求，但在并发能力和抗攻击上相比商业DNS系统有所不足，虽可通过横向扩展方式进行扩容增加性能，但也会相应地增加系统的维护量；同时，在没有足够开发人员的情况下，DNS个性化方面的需求也难以得到满足，因此在预算充足情况下，可考虑采用商业DNS软件建设域名系统。

7结语

DNS是互联网最基本、最重要的服务之一，福建广电网络作为广电网络运营商，近几年网络和用户规模逐步发展，DNS系统也同步根据网络规模、宽带出口组成等情况进行了升级优化，逐步建设完成一个稳定可靠的DNS系统，保障了宽带业务顺利发展。

参考文献

[1](美)阿尔贝茨.DNS与BIND（第5版）[M].北京:人民邮电出版社,2014.

[2](美)ThomasM.ThomasII.OSPF网络设计解决方案（第2版）[M].北京:人民邮电出版社,2004.

作者：王纬城 单位：福建广电网络集团股份有限公司