【入门】广电行业DNS、DHCP解决方案详解(三)——DNS部署架构及案
- DNS系统部署架构
- 宽带业务DNS架构
- 互动业务DNS架构
- 案例介绍
- 案例一
- 案例二
本篇我们将先介绍DNS系统部署架构体系,并向大家分享两个案例,深化大家对DNS系统的理解,最后我们也会讨论安全防护问题。
DNS系统部署架构
宽带业务DNS架构
宽带业务的DNS架构主要提供宽带网络宽带用户进行互联网访问,DNS系统主要以递归查询为主,以缓存递归分离的方式和原则进行搭建部署。
互动业务DNS架构
互动业务DNS系统主要提供互动机顶盒进行内部域名解析以及部分互联网访问解析,DNS 系统主要以权威查询为主,以递归权威分离的方式为原则部署。
案例介绍
案例一
下面我们看下某广电企业DNS云化部署案例
面临挑战
- 首先是Cache(缓存)下沉部署后中间链路带宽消耗较大
- 地市出口不统一
- DNS业务存在资源调度问题
解决思路
- 推出二平面概念减少出口链路及中间链路带宽消耗
- 实现全网IP Anycast部署架构,发布统一服务地址
- 实现全省缓存资源的灵活调度
- 将管理与业务分离
案例二
再看另外一个案例
面临的挑战
- 稳定性方面:通用服务器+Bind软件服务不稳定,系统上其他功能故障影响DNS服务
- 详细解析日志及统计报告:Bind无法提供详细的日志和报告,用户无法掌握解析成功率、TOPIP、TOP域名等信息
- 维护方面:现在多台设备数据同步、配置、系统升级复杂、可扩展性差
解决方案(也可以在http://www.zdns.cn/sva.html查看详细介绍)
- 通过专业设备提升DNS系统的可管理性和可靠性
- 使用专业设备提供智能核心网络支持方案
- 专业设备具备可扩展性,部署新DNS设备简单快捷
最后说一下安全防护的问题。广电的宽带用户群体很复杂,广电网络面临的攻击也是非常多的。因为广电网络是面向终端用户的,每个家庭里面都有电脑、ipad、手机等,针对这些终端设备的攻击很多。因此我们可以在递归设备前加一套安全设备,如域名国家工程研究中心研制的DNS防火墙,提供动态域名库、威胁情报、防缓存攻击、防DDoS攻击等(http://tinyurl.com/yyx2e8cx 有更详细介绍)。而对于机顶盒用户,由于机顶盒是固化的,受到的攻击相对较少,这里不讨论。