西安dns

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

1

【关键字】系统

陕西电信

DNS系统优化工程项目

系统规划技术方案

北京融海恒信咨询有限公司

2008年10月

目录

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

2

一、DNS系统优化升级设计目标

1、继续加强DNS系统稳定性，优化DNS平台，降低DNS系统的维护量和维

护成本；

2、按照客户类型进行DNS业务分级，确保重要客户的使用体验，针对大客

户，部署专门的DNS服务器，实现对大客户服务质量的提升同时为实现对大客

户互联网使用习惯的分析提供数据基础；

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

3

3、搭建一个可管理及深层分析的DNS平台，为后续客户数据挖掘和客户行

为分析提供有效数据，基于DNS系统数据为业务系统提供有价值的客户分析支

撑，实现对互联网用户访问行为习惯等的挖掘和分析；

二、陕西电信DNS平台优化调整方案

1、DNS系统性能优化方案目标

(1)、DNS的业务分级(建立VIP客户专属DNS服务器)

目前陕西全省宽带用户共用一套DNS系统，当系统繁忙后者遭到攻击的时

候，所有用户的业务都受到影响。根据用户的业务级别，电信需要在DNS层次上

提供分级服务，例如，对应Gold级别的用户，需要最大限度的保证DNS服务的

稳定性和低延时，提高用户体验。

目前，用户DNS服务的分级控制有以下两种方案：

1、建立一套VIP用户专用的DNS服务器，只对VIP用户的IP开放服务，服务器

设计负载应小于20%，保证用户查询的相应速度。

2、在现有DNS架构的基础上，在网络上设置QOS优先级，保证VIP用户流量的

优先级最高。

（2）、建立可分析的DNS业务平台

为了实现数据分析功能，要求DNS系统可以提供所有用户请求的原始数据，

在原始数据的基础上，用户可以实现定制的分析功能，例如：TopN数据的采集、

某些域名访问量的统计、二级域名访问排行、IP分类排行、用户兴趣分析等等。

在基于Bind的解决方案中，由于Syslog功能会消耗大量CPU资源，不建议

在现网中实施。

Nominum公司的CNS/Vantio支持实时的syslog，用户也可以直接把log记

录到文件，文件log的方式会带来约20%的CPUoverhead。用户可以通过配置选

项定制log的记录内容，包括管理员修改记录，用户请求记录等等。

缺省的数据记录格式如下：

.512INA

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

4

另外一种解决方案就是在二层交换机上通过镜像功能把所有DNS相关数据

传送到第三方服务器上，在第三方服务器上通过包分析和包记录工具实时记录所

有原始数据。

（3）、递归查询和缓存功能的分离效果试验

陕西电信现有DNS服务器7台，分布部署在二长以及西华门机房。硬件平台

均为SUNX4200，节点内部DNS服务器连接到二层交换机Cisco3650上。前端

为四层交换机AD3020。本次调整中将对递归查询和缓存功能的分离效果进行实

际现网试验。

缓存域名服务器实现的DNS功能由以前两部分组成：

1、接受客户发起的DNS请求，并将缓存内的DNS记录返回给用户

2、当缓存内没有相应记录的时候，服务器到互联网上执行递归查询，获得

相应记录放入缓存，并把结果返回给客户。

相关系统性能研究表明，第二部分功能也就是递归查询的功能消耗了大量的

CPU资源，以下是SUNX4200上的测试数据：

HardwareRemoteANSLocalANS

ColdCacheHotCacheColdCacheHotCache

qpsLatencyqpslatencyqpslatencyqpslatency

X4100

2.8Gcpu

2GMem

Solaris10

184671.6.3165861.8.3

183961.9.3164982.1.3

187431.7.4168303.0.4

184003.0.5168383.3.5

179693.3.5165753.6.5

185134.0.6165964.5.6

185304.3.6162864.9.7

189294.8.6162565.5.7

186176.2.6161957.1.9

188997.90.0165139.1.9

1838710.91.11652512.11.6

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

5

上表中，Hotcache表示所有测试数据都在缓存内，服务器不需要执行递归

查询的时候，服务器能够提供的最大QPS，ColdCache表示数据都不在缓存内，

所有DNS请求都需要递归查询的情况下，系统可以支持的负载。我们可以清楚的

看出，前者的QPS峰值是后者的5到6倍.

以上是基于CNS的测试数据，对于Bind9.3以上版本，Hotcache的测试结

果也比ColdCache要高出数倍（>5）。

2、陕西电信DNS系统优化调整技术依据

1、二长DNS系统总体业务处理能力及稳定性优化

调整前，四台BIND服务器在峰值时平均每台解析量达到7000QPS左右，

而实际应用经验表明，BIND服务器在现网应用中解析量达到8000QPS左右

时业务响应速度明显放慢，同时稳定性降低。

调整后，一台CNS承担了西安地区VIP客户的请求，峰值约为：16000QPS

左右，而一台CNS服务器在线网应用中处理峰值为：25000QPS，所以能完

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

6

全满足业务需要。经过VIP客户专属皆系服务器分流后的流量峰值为：

12000QPS，剩余的其他三台BIND服务器每台只需要负担约4000QPS的业务

量。

这样调整后，整个二长DNS系统的处理能力和稳定性将得到本质的改

善。

DNS峰值流量qps12000

日均值qps10000

DNS峰值流量28000

日均值18000

DNS峰值流量qps16000

日均值qps10000

DNS总体

流量

西安拨号用户主用DNS西安VIP用户主用DNS

DNS:218.30.19.40DNS:

图：DNS流量分配图

2、VIP专属DNS系统的冗余性优化

调整后，需要通过两方面工作对VIP专属DNS系统进行冗余保障：

首先，要求VIP客户设定除专属DNS服务器地址之外的备用DNS服务器

地址。

其次，通过对四层交换机进行配置，实现如果CNS服务器无法工作，可

以将流量分配到原有的三台BIND服务器，确保用户的应用。

3、陕西电信DNS优化调整部署方案

本期DNS优化升级规划主要工作为：在二长添加一台CNS业务平台，作为

VIP客户专属服务器，提高VIP客户的DNS使用质量和提升大客户满意度，同时

为VIP客户访问习惯分析提供条件。

具体部署方案有以下三种：

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

7

方案一：不增加服务器硬件，将原有的一台BIND服务器替换为CNS服务器，

通过四层交换机设置流量等，拓扑如下图：

GSR12416-1GSR12416-2

7609-2

7609-1

四层交换机

AD3020

CISCO3650

CNS

DNS服务器

（SUNX4200)

BIND

DNS服务器

（SUNX4200)

BIND

DNS服务器

（SUNX4200)

BIND

DNS服务器

（SUNX4200)

图例：

10G电路

GE电路

FE电路

DNS:218.30.19.40

DNS:

（面向VIP用户,IP待定）

图：方案1系统拓扑图

此方案的优缺点：

优点，无需增加硬件设备，部署快速，同时调整比较灵活，可随时通过四层

交换机的配置进行流量的分配和控制。

缺点，对于VIP专用的DNS服务器没有专用的容灾备份服务器，需要通过四

层交换机进行配置，实现如果CNS服务器宕机，另外三台BIND服务器自动分流，

从而实现应急备份。

方案二（推荐）：增加一台SUNX4200服务器，安装CNS软件，将原有的

BIND服务器拿出一台作为CNS服务器的备份，同时为VIP用户提供DNS解析服

务。

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

8

GSR2416-1

DNS:218.30.19.40

图例:

CISCO3650

DNS服务器

（SUNX4200)

BIND

10G电路

GE电路

FE电路

DNS服务器

（SUNX4200)

BIND

DNS服务器

（SUNX4200)

BIND

DNS服务器

（SUNX4200)

7609-1

四层交换机

AD3020

7609-2

GSR2416-2

西安VIP用户专用DNS

峰值Qps：16000

西安拨号用户主用DNS

峰值Qps：12000

DNS服务器

（SUNX4200)

BIND

CNS

DNS:

图：方案2系统拓扑图

此方案的优缺点：

优点，增加一台Bind服务器，提高了此系统的冗余度，同时保障在任意一

台服务器出现异常时，整个DNS系统不会发生服务中断，提高了系统的可用性、

稳定性和安全性。

缺点，需要增加一套服务器设备，成本提高。此外，由于两套DNS系统共用

一台四层交换机，因此当四层交换机出现故障时，会同时造成两套系统均无法正

常运行。

方案三：

新增加一台四层交换机和一台SUNX4200服务器，建立全新独立的VIP专用

DNS系统，和原有系统独立运行。

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

9

GSR2416-1

图例:

10G电路

GE电路

FE电路

DNS服务器

（SUNX4200)

7609-1

四层交换机

7609-2

GSR2416-2

西安VIP用户专用DNS

峰值Qps：16000

DNS服务器

（SUNX4200)

BIND

CNS

DNS:

图：方案3系统拓扑图

此方案的优缺点：

优点，独立采用使用一台四层交换机进行分配流量，与原有DNS系统完全独

立，降低了由于四层交换机故障造成两套系统均瘫痪的可能性。

缺点，需要增加开支，增加一台四层交换机及服务器。此外，由于新的系统

独立于原有系统，会增加日常管理维护负担。

4、陕西电信DNS优化升级方案预算

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

10

DNS系统优化方案预算

序号报价项目产品描述产品型号目录单价

折

扣

率

成交单价数量总价

1CNS软件

Foundation

CNSServer

Licen

Version

3.1

￥1,250,00060%￥500,0001套￥500,000

2

保修和

升级服务

1Years

Supportand

maintenance

ofCNS

Per

Instance

￥275,00060%￥110,0002年￥220,000

3服务器

2*2.8G/8GM

/2*146G

SUN42001台￥80,000

3

系统安

装实施及

培训费

Nominum厂家及融海咨询专业工程师现场安装培训1年￥50,000

总计￥850,000.00

11

附件1：陕西电信近期DNS流量统计表

西华门节点近期DNS流量数据

时间峰值qps日平均qps平均递归/s成功率%vip用户比例vip峰值qpsvip日平均qps

2008-9-22091.2456%76375542

2008-9-235190.8256%79745993

2008-9-24290.1356%89295469

2008-9-253089.9856%91526541

2008-9-26491.1756%85315586

2008-9-273190.8756%90847569

2008-9-284191.2256%91386294

二长节点近期DNS流量数据

时间峰值qps日平均qps平均递归/s成功率%vip用户比例vip峰值qpsvip日平均qps

2008-9-22289.7356%116828210

2008-9-23230.2756%128898567

2008-9-24249.9156%139458481

2008-9-25263991557471290.4556%147838721

2008-9-262720.7256%152429113

2008-9-27263791618470890.9556%147729063

2008-9-28288951750169891.1856%161819801

12

附件2：基于DNS的电信增值业务平台解决方案－Vantio

传统的运营商角色定义为互联网的网路承载平台和网络硬件平台提供者，

随着互联网的发展和宽带业务的广泛应用，越来越多的运营商意识到发展互联

网上用户业务和用户流量经营的重要性。通过提供给最终用户更好的业务和服

务，运营商可以在更多的层次上细化业务种类和吸引新的客户。

DNS是互联网上的关键应用，它直接关系到用户的最终体验，因特网的大

规模发展对现有DNS系统的安全性，可扩展性，稳定性等方面提出了更高的要

求。DNS在IP网上的核心地位也决定了它在作为新的业务增值切入点的角色。

例如互联网流量汇聚就是最近在国际国内快速发展的一种新的业务。

Nominum公司作为世界各地顶级运营商DNS架构的软件提供商，可以在第

一时间了解到运营商的各种增值业务需求，并把握到互联网上DNS未来技术发

展的动态；公司最新推出的Vantio业务承载平台就是在IP域名技术基础之上，

根据各大运营商的业务要求开发的的一个通用增值业务平台，Vantio为网络运

营商提供了包括错误域名转发在内的多项增值业务模块，它的基本架构如下图

一所示：

图一：Vantio软件系统结构

13

如上图所示，Nominum公司的Vantio服务器是在CNS缓存域名服务器技术基础

上开发的可扩展DNS平台，在Vantio平台上用户可以按业务需求定制多种基于

DNS的增值业务模块，包括

•NXR：错误域名转发模块

应用案例：对NXDOMAIN类型的错误域名结果返回电信制定的IP，将流量汇聚

到指定网站，实现流量的后继经营或者提供增值服务

•MDR：非法和恶意域名转发模块

应用案例：由政府统一的List站点完成色情或者非法站点的列表，Vantio服

务器到List站点获取列表，并根据列表实现网站过滤功能，将访问这些站点的

用户重定向到指定的网站。

•UAR：用户接入控制模块

应用案例：由后台计费系统对欠费用户统计，在用户接入的时候判断用户是否

欠费，并将欠费用户的IP送往DNS服务器，Vantio服务器根据IP将用户指向

电信服务网站，提示并引导用户网上缴费。

此文档是由网络收集并进行重新排版整理.word可编辑版本！

VantioBaServer

(ExtensibleDNSrverforvalue-added

DNS-badrvices)

可扩展的Vantio基础

服务平台，提供缓存域

名服务功能，并提供多

种增值业务的接口

错误域名转发模块(NXR)

用户接入控制模块(UAR)

Application:walledgardens

Firstcustomer:Comcast

恶意域名转发模块(MDR)

Applications:illegaldomains,botrem.

Firstcustomer:UPC