【入门】广电行业DNS、DHCP解决方案详解（三）——DNS部署架构及案

【入门】广电行业DNS、DHCP解决方案详解（三）——DNS部署架构及案

• DNS系统部署架构
• 宽带业务DNS架构
• 互动业务DNS架构
• 案例介绍
• 案例一
• 案例二

本篇我们将先介绍DNS系统部署架构体系，并向大家分享两个案例，深化大家对DNS系统的理解，最后我们也会讨论安全防护问题。

DNS系统部署架构

宽带业务DNS架构

宽带业务的DNS架构主要提供宽带网络宽带用户进行互联网访问，DNS系统主要以递归查询为主，它的架构以缓存递归分离的方式和原则进行搭建部署。例如，最小的部署方式为两个缓存、两个递归、一个管理共五台设备。两个缓存通过OSPF的架构实现冗余，当然如果数据量比较大、宽带用户比较多，也可以通过OSPF搭建缓存集群。

互动业务DNS架构

互动业务DNS系统主要提供互动机顶盒进行内部域名解析以及部分互联网访问解析，DNS 系统主要以权威查询为主，以递归权威分离的方式为原则部署，最小的部署方式也是五台设备，一台负责管理，两台设备专门负责机顶盒业务上公网域名查询，两台专门解析本地的域名。

案例介绍

案例一

下面我们看下某广电企业DNS云化部署案例

面临挑战

• 首先是Cache（缓存）下沉部署：广电为了减轻互联网出口链路带宽消耗，将缓存设备下沉部署至各个地市通过OSPF形成大的网络集群，将省网与地市资源互联互通，需要通过DNS调度全省资源，中间链路带宽消耗较大
• 地市出口不统一：各地市拥有各自出口链路，集中部署
• DNS业务存在资源调度问题 用户就近性访问：宽带用户就近进行DNS响应，提升访问速度

解决思路

• 推出二平面概念，将整套DNS系统下沉到各个地市分别部署，使得出口链路及中间链路带宽消耗减少
• 实现全网IP Anycast部署架构，发布统一服务地址
• 实现全省缓存资源的灵活调度
• 将管理与业务分离

案例二

再看另外一个案例

面临的挑战

• 稳定性方面：之前采用通用服务器+Bind软件服务不稳定，系统上其他功能故障影响DNS服务
• 详细解析日志及统计报告：Bind无法提供详细的日志和报告，用户无法掌握解析成功率，TOPIP、TOP域名等信息
• 维护方面：现在多台设备数据同步、配置、系统升级复杂、可扩展性差

解决方案

• 提升DNS系统的可管理性和可靠性
• 提供智能核心网络支持方案
• 具备可扩展性，部署新DNS设备简单快捷

具体来看，该广电企业在省级公司统一部署，分两套节点，机顶盒一套、宽带网络一套。机顶盒有负责缓存递归、有负责权威解析的若干设备，一台进行集中管理。宽带网络有一台集中管理，两台负责递归查询，还有若干台部署为缓存集群，其中缓存集群都是通过OSPF做负载集群。

最后说一下安全防护的问题。广电的宽带用户群体很复杂，广电网络面临的攻击也是非常多的。因为广电网络是面向终端用户的，每个家庭里面都有电脑、ipad、手机等，针对这些终端设备的攻击很多。因此我们可以在递归设备前加一套安全设备，如域名国家工程研究中心研制的DNS防火墙，提供动态域名库、威胁情报、防缓存攻击、防DDoS攻击等（http://tinyurl.com/yyx2e8cx有更详细介绍）。而对于机顶盒用户，由于机顶盒是固化的，受到的攻击相对较少，这里不讨论。