西安dns

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

1

【關鍵字】系統

陜西電信

DNS系統優化工程項目

系統規劃技術方案

北京融海恒信咨詢有限公司

2008年10月

目錄

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

2

一、DNS系統優化升級設計目標

1、繼續加強DNS系統穩定性，優化DNS平臺，降低DNS系統的維護量和維

護成本；

2、按照客戶類型進行DNS業務分級，確保重要客戶的使用體驗，針對大客

戶，部署專門的DNS服務器，實現對大客戶服務質量的提升同時為實現對大客

戶互聯網使用習慣的分析提供數據基礎；

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

3

3、搭建一個可管理及深層分析的DNS平臺，為后續客戶數據挖掘和客戶行

為分析提供有效數據，基于DNS系統數據為業務系統提供有價值的客戶分析支

撐，實現對互聯網用戶訪問行為習慣等的挖掘和分析；

二、陜西電信DNS平臺優化調整方案

1、DNS系統性能優化方案目標

(1)、DNS的業務分級(建立VIP客戶專屬DNS服務器)

目前陜西全省寬帶用戶共用一套DNS系統，當系統繁忙后者遭到攻擊的時

候，所有用戶的業務都受到影響。根據用戶的業務級別，電信需要在DNS層次上

提供分級服務，例如，對應Gold級別的用戶，需要最大限度的保證DNS服務的

穩定性和低延時，提高用戶體驗。

目前，用戶DNS服務的分級控制有以下兩種方案：

1、建立一套VIP用戶專用的DNS服務器，只對VIP用戶的IP開放服務，服務器

設計負載應小于20%，保證用戶查詢的相應速度。

2、在現有DNS架構的基礎上，在網絡上設置QOS優先級，保證VIP用戶流量的

優先級最高。

（2）、建立可分析的DNS業務平臺

為了實現數據分析功能，要求DNS系統可以提供所有用戶請求的原始數據，

在原始數據的基礎上，用戶可以實現定制的分析功能，例如：TopN數據的采集、

某些域名訪問量的統計、二級域名訪問排行、IP分類排行、用戶興趣分析等等。

在基于Bind的解決方案中，由于Syslog功能會消耗大量CPU資源，不建議

在現網中實施。

Nominum公司的CNS/Vantio支持實時的syslog，用戶也可以直接把log記

錄到文件，文件log的方式會帶來約20%的CPUoverhead。用戶可以通過配置選

項定制log的記錄內容，包括管理員修改記錄，用戶請求記錄等等。

缺省的數據記錄格式如下：

.512INA

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

4

另外一種解決方案就是在二層交換機上通過鏡像功能把所有DNS相關數據

傳送到第三方服務器上，在第三方服務器上通過包分析和包記錄工具實時記錄所

有原始數據。

（3）、遞歸查詢和緩存功能的分離效果試驗

陜西電信現有DNS服務器7臺，分布部署在二長以及西華門機房。硬件平臺

均為SUNX4200，節點內部DNS服務器連接到二層交換機Cisco3650上。前端

為四層交換機AD3020。本次調整中將對遞歸查詢和緩存功能的分離效果進行實

際現網試驗。

緩存域名服務器實現的DNS功能由以前兩部分組成：

1、接受客戶發起的DNS請求，并將緩存內的DNS記錄返回給用戶

2、當緩存內沒有相應記錄的時候，服務器到互聯網上執行遞歸查詢，獲得

相應記錄放入緩存，并把結果返回給客戶。

相關系統性能研究表明，第二部分功能也就是遞歸查詢的功能消耗了大量的

CPU資源，以下是SUNX4200上的測試數據：

HardwareRemoteANSLocalANS

ColdCacheHotCacheColdCacheHotCache

qpsLatencyqpslatencyqpslatencyqpslatency

X4100

2.8Gcpu

2GMem

Solaris10

184671.6.3165861.8.3

183961.9.3164982.1.3

187431.7.4168303.0.4

184003.0.5168383.3.5

179693.3.5165753.6.5

185134.0.6165964.5.6

185304.3.6162864.9.7

189294.8.6162565.5.7

186176.2.6161957.1.9

188997.90.0165139.1.9

1838710.91.11652512.11.6

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

5

上表中，Hotcache表示所有測試數據都在緩存內，服務器不需要執行遞歸

查詢的時候，服務器能夠提供的最大QPS，ColdCache表示數據都不在緩存內，

所有DNS請求都需要遞歸查詢的情況下，系統可以支持的負載。我們可以清楚的

看出，前者的QPS峰值是后者的5到6倍.

以上是基于CNS的測試數據，對于Bind9.3以上版本，Hotcache的測試結

果也比ColdCache要高出數倍（>5）。

2、陜西電信DNS系統優化調整技術依據

1、二長DNS系統總體業務處理能力及穩定性優化

調整前，四臺BIND服務器在峰值時平均每臺解析量達到7000QPS左右，

而實際應用經驗表明，BIND服務器在現網應用中解析量達到8000QPS左右

時業務響應速度明顯放慢，同時穩定性降低。

調整后，一臺CNS承擔了西安地區VIP客戶的請求，峰值約為：16000QPS

左右，而一臺CNS服務器在線網應用中處理峰值為：25000QPS，所以能完

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

6

全滿足業務需要。經過VIP客戶專屬皆系服務器分流后的流量峰值為：

12000QPS，剩余的其他三臺BIND服務器每臺只需要負擔約4000QPS的業務

量。

這樣調整后，整個二長DNS系統的處理能力和穩定性將得到本質的改

善。

DNS峰值流量qps12000

日均值qps10000

DNS峰值流量28000

日均值18000

DNS峰值流量qps16000

日均值qps10000

DNS總體

流量

西安撥號用戶主用DNS西安VIP用戶主用DNS

DNS:218.30.19.40DNS:

圖：DNS流量分配圖

2、VIP專屬DNS系統的冗余性優化

調整后，需要通過兩方面工作對VIP專屬DNS系統進行冗余保障：

首先，要求VIP客戶設定除專屬DNS服務器地址之外的備用DNS服務器

地址。

其次，通過對四層交換機進行配置，實現如果CNS服務器無法工作，可

以將流量分配到原有的三臺BIND服務器，確保用戶的應用。

3、陜西電信DNS優化調整部署方案

本期DNS優化升級規劃主要工作為：在二長添加一臺CNS業務平臺，作為

VIP客戶專屬服務器，提高VIP客戶的DNS使用質量和提升大客戶滿意度，同時

為VIP客戶訪問習慣分析提供條件。

具體部署方案有以下三種：

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

7

方案一：不增加服務器硬件，將原有的一臺BIND服務器替換為CNS服務器，

通過四層交換機設置流量等，拓撲如下圖：

GSR12416-1GSR12416-2

7609-2

7609-1

四層交換機

AD3020

CISCO3650

CNS

DNS服務器

（SUNX4200)

BIND

DNS服務器

（SUNX4200)

BIND

DNS服務器

（SUNX4200)

BIND

DNS服務器

（SUNX4200)

圖例：

10G電路

GE電路

FE電路

DNS:218.30.19.40

DNS:

（面向VIP用戶,IP待定）

圖：方案1系統拓撲圖

此方案的優缺點：

優點，無需增加硬件設備，部署快速，同時調整比較靈活，可隨時通過四層

交換機的配置進行流量的分配和控制。

缺點，對于VIP專用的DNS服務器沒有專用的容災備份服務器，需要通過四

層交換機進行配置，實現如果CNS服務器宕機，另外三臺BIND服務器自動分流，

從而實現應急備份。

方案二（推薦）：增加一臺SUNX4200服務器，安裝CNS軟件，將原有的

BIND服務器拿出一臺作為CNS服務器的備份，同時為VIP用戶提供DNS解析服

務。

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

8

GSR2416-1

DNS:218.30.19.40

圖例:

CISCO3650

DNS服務器

（SUNX4200)

BIND

10G電路

GE電路

FE電路

DNS服務器

（SUNX4200)

BIND

DNS服務器

（SUNX4200)

BIND

DNS服務器

（SUNX4200)

7609-1

四層交換機

AD3020

7609-2

GSR2416-2

西安VIP用戶專用DNS

峰值Qps：16000

西安撥號用戶主用DNS

峰值Qps：12000

DNS服務器

（SUNX4200)

BIND

CNS

DNS:

圖：方案2系統拓撲圖

此方案的優缺點：

優點，增加一臺Bind服務器，提高了此系統的冗余度，同時保障在任意一

臺服務器出現異常時，整個DNS系統不會發生服務中斷，提高了系統的可用性、

穩定性和安全性。

缺點，需要增加一套服務器設備，成本提高。此外，由于兩套DNS系統共用

一臺四層交換機，因此當四層交換機出現故障時，會同時造成兩套系統均無法正

常運行。

方案三：

新增加一臺四層交換機和一臺SUNX4200服務器，建立全新獨立的VIP專用

DNS系統，和原有系統獨立運行。

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

9

GSR2416-1

圖例:

10G電路

GE電路

FE電路

DNS服務器

（SUNX4200)

7609-1

四層交換機

7609-2

GSR2416-2

西安VIP用戶專用DNS

峰值Qps：16000

DNS服務器

（SUNX4200)

BIND

CNS

DNS:

圖：方案3系統拓撲圖

此方案的優缺點：

優點，獨立采用使用一臺四層交換機進行分配流量，與原有DNS系統完全獨

立，降低了由于四層交換機故障造成兩套系統均癱瘓的可能性。

缺點，需要增加開支，增加一臺四層交換機及服務器。此外，由于新的系統

獨立于原有系統，會增加日常管理維護負擔。

4、陜西電信DNS優化升級方案預算

文檔來源為:從網絡收集整理.word版本可編輯.歡迎下載支持.

10

DNS系統優化方案預算

序號報價項目產品描述產品型號目錄單價

折

扣

率

成交單價數量總價

1CNS軟件

Foundation

CNSServer

Licen

Version

3.1

￥1,250,00060%￥500,0001套￥500,000

2

保修和

升級服務

1Years

Supportand

maintenance

ofCNS

Per

Instance

￥275,00060%￥110,0002年￥220,000

3服務器

2*2.8G/8GM

/2*146G

SUN42001臺￥80,000

3

系統安

裝實施及

培訓費

Nominum廠家及融海咨詢專業工程師現場安裝培訓1年￥50,000

總計￥850,000.00

11

附件1：陜西電信近期DNS流量統計表

西華門節點近期DNS流量數據

時間峰值qps日平均qps平均遞歸/s成功率%vip用戶比例vip峰值qpsvip日平均qps

2008-9-22091.2456%76375542

2008-9-235190.8256%79745993

2008-9-24290.1356%89295469

2008-9-253089.9856%91526541

2008-9-26491.1756%85315586

2008-9-273190.8756%90847569

2008-9-284191.2256%91386294

二長節點近期DNS流量數據

時間峰值qps日平均qps平均遞歸/s成功率%vip用戶比例vip峰值qpsvip日平均qps

2008-9-22289.7356%116828210

2008-9-23230.2756%128898567

2008-9-24249.9156%139458481

2008-9-25263991557471290.4556%147838721

2008-9-262720.7256%152429113

2008-9-27263791618470890.9556%147729063

2008-9-28288951750169891.1856%161819801

12

附件2：基于DNS的電信增值業務平臺解決方案－Vantio

傳統的運營商角色定義為互聯網的網路承載平臺和網絡硬件平臺提供者，

隨著互聯網的發展和寬帶業務的廣泛應用，越來越多的運營商意識到發展互聯

網上用戶業務和用戶流量經營的重要性。通過提供給最終用戶更好的業務和服

務，運營商可以在更多的層次上細化業務種類和吸引新的客戶。

DNS是互聯網上的關鍵應用，它直接關系到用戶的最終體驗，因特網的大

規模發展對現有DNS系統的安全性，可擴展性，穩定性等方面提出了更高的要

求。DNS在IP網上的核心地位也決定了它在作為新的業務增值切入點的角色。

例如互聯網流量匯聚就是最近在國際國內快速發展的一種新的業務。

Nominum公司作為世界各地頂級運營商DNS架構的軟件提供商，可以在第

一時間了解到運營商的各種增值業務需求，并把握到互聯網上DNS未來技術發

展的動態；公司最新推出的Vantio業務承載平臺就是在IP域名技術基礎之上，

根據各大運營商的業務要求開發的的一個通用增值業務平臺，Vantio為網絡運

營商提供了包括錯誤域名轉發在內的多項增值業務模塊，它的基本架構如下圖

一所示：

圖一：Vantio軟件系統結構

13

如上圖所示，Nominum公司的Vantio服務器是在CNS緩存域名服務器技術基礎

上開發的可擴展DNS平臺，在Vantio平臺上用戶可以按業務需求定制多種基于

DNS的增值業務模塊，包括

?NXR：錯誤域名轉發模塊

應用案例：對NXDOMAIN類型的錯誤域名結果返回電信制定的IP，將流量匯聚

到指定網站，實現流量的后繼經營或者提供增值服務

?MDR：非法和惡意域名轉發模塊

應用案例：由政府統一的List站點完成色情或者非法站點的列表，Vantio服

務器到List站點獲取列表，并根據列表實現網站過濾功能，將訪問這些站點的

用戶重定向到指定的網站。

?UAR：用戶接入控制模塊

應用案例：由后臺計費系統對欠費用戶統計，在用戶接入的時候判斷用戶是否

欠費，并將欠費用戶的IP送往DNS服務器，Vantio服務器根據IP將用戶指向

電信服務網站，提示并引導用戶網上繳費。

此文檔是由網絡收集并進行重新排版整理.word可編輯版本！

VantioBaServer

(ExtensibleDNSrverforvalue-added

DNS-badrvices)

可擴展的Vantio基礎

服務平臺，提供緩存域

名服務功能，并提供多

種增值業務的接口

錯誤域名轉發模塊(NXR)

用戶接入控制模塊(UAR)

Application:walledgardens

Firstcustomer:Comcast

惡意域名轉發模塊(MDR)

Applications:illegaldomains,botrem.

Firstcustomer:UPC