構建廣電寬帶網絡域名服務系統平臺

任曉峰

（天威視訊寬帶事業部，廣東 深圳 518036）

構建廣電寬帶網絡域名服務系統平臺

任曉峰

（天威視訊寬帶事業部，廣東 深圳 518036）

隨著近年來廣電運營商的不斷發展壯大，寬帶數據業務用戶數大幅增長，域名服務作為互聯網的基礎服務，對提升寬帶用戶的網絡體驗和廣電網絡安全起到越發重要的作用。通過搭建廣電運營商的域名服務平臺，結合初期域名服務系統架構和域名策略存在的缺陷，提出優化改進的方式方法，最終構建一個安全可靠的廣電網絡域名服務平臺。

廣電；寬帶網絡；域名服務

域名系統（DNS）作為互聯網最基本的網絡服務之一，主要負責互聯網域名與IP地址間的轉換工作，其安全穩定與高效運行對于網絡質量與服務顯得至關重要。

近年來廣電運營商的寬帶業務發展迅速，其寬帶用戶規模也不斷增長，很多地方級的廣電運營商寬帶業務用戶已由最初的幾千增長至幾十萬，廣電寬帶網絡的承載業務由最初的單一數據業務逐步發展為多種業務并存，不同業務對應的產品類型也呈多樣化發展趨勢。伴隨寬帶領域的競爭加劇，廣電寬帶產品的帶寬不斷升級，用戶對域名查詢的要求越來越高。因此，建立一套高性能、高可靠性、高安全性的電信級、高可用DNS系統對于廣電運營商來說非常必要。

1 域名服務系統初期搭建

域名系統平臺搭建初期，用戶規模有限，功能需求單一，只需滿足簡單的DNS遞歸查詢即可。將DNS服務器架設在數據機房，便于網管中心（NMC）的運維監控。DNS服務需要同外部internet上的服務器交互，因此適合配置為公網IP段網絡，通過核心層的路由器接入網絡。基于性能和安全等方面考慮，DNS服務器采用CentOS+BIND的方式搭建，即CentOS5.9的操作系統搭載BIND9.3的開源軟件，為廣電的寬帶用戶提供域名服務。初期建設的平臺架構如圖1所示。

圖1 初期域名系統平臺架構

2 域名服務系統平臺的改造優化

2.1 域名系統平臺架構改造

1）建立按照功能劃分的DNS服務器組[1]

由于歷史原因，中國電信和中國聯通等幾大基礎運營商占據了90%以上的國際互聯網寬帶出口資源，而作為二級運營商的廣電系統，沒有自身的國際出口資源，不得不向基礎運營商購買出口帶寬，導致運營成本升高的同時，業務的可靠性也有所降低。廣電運營商出口路由策略與基礎運營商的策略緊密相關，導致作為互聯網基礎服務的域名服務策略也同基礎運營商有著更緊密的聯系。

域名系統是個分布式的樹形結構系統，因此域名策略必然涉及到外部DNS服務器以及根服務器。基于IP地址辨識度的因素，即對于根服務器來說，國內基礎運營商的IP地址段基本都有注冊，辨識度很高，根服務器便于返回精確的權威服務器地址給這些IP地址為源的IP地址請求。廣電運營商的IP地址段相對中國電信和聯通的地址，被根服務器的辨識較低，因此，廣電的DNS服務器可以向出口合作方（基礎運營商）的DNS服務器轉發，以達到更優的解析效果。同時，綜合考慮出口流量的引導、基礎運營商DNS服務器的潛在運行風險以及自身域名解析的穩定性，廣電運營商還應當搭建只用于遞歸解析的DNS服務器。綜合以上兩點，按照功能區分，部署兩組DNS服務器，一組向外部DNS服務器轉發，另一組向根服務器遞歸查詢。

2）建立網絡結構的冗余備份，消除網絡單點故障

建設初期的DNS內部網絡采用單一鏈路結構，這樣的網絡結構通常較簡易，適合初期建設，但同時也存在較大缺陷，即網絡中存在單點故障隱患，服務器以下層面的網絡設備一旦發生故障，整個域名系統將處于癱瘓狀態，該系統的穩定性大大降低。

雙路冗余結構是解決網絡單點故障最常用的方法。在建設初期的網絡中，分別增加一臺路由器和交換機。兩臺交換機分別連接緩存服務器組和遞歸服務器組，兩臺路由器保證了路由轉發層面的雙機備份，同時在服務器層面架設兩組服務器。這樣的網絡架構保證了在正常情況下，至少有一臺路由器和一臺交換機能夠正常運行，兩組DNS服務器中至少有一組能夠正常運行，確保了DNS服務的持續安全運行。因此實現了域名系統所在網絡的構架優化。

3）建立防火墻的冗余機制，抵御外部攻擊

在互聯網飛速發展的今天，網絡安全成為了日益突出的問題，為保障廣電寬帶的網絡安全，作為提供基礎服務的域名系統所在的網絡安全顯得尤為重要。針對域名系統的攻擊，比較常見的是域名劫持、緩存投毒以及DDOS攻擊。上述攻擊大多會使DNS服務器系統負荷異常升高，甚至導致服務器癱瘓。

架設硬件防火墻的方式通常被用于抵御外部網絡攻擊。硬件防火墻較之于軟件防火墻，最大的優勢是其把防火墻程序做到芯片里面，由硬件執行這些功能，減少了CPU的負擔，路由也更穩定。DNS服務器位于防火墻后端，收到的數據包是經過防火墻處理的，再搭配架設IPS設備，通過配置其策略，可以有效過濾防火墻不能過濾的攻擊，從而對DNS服務器起到很好的保護效果。同路由交換層面的架構一樣，防火墻也采用冗余結構。所以架設硬件防火墻的方式成為系統優化的一種有效手段。改進后的平臺架構如圖2所示。

圖2 改進后域名系統平臺架構

2.2 域名服務器策略優化

按照功能劃分，兩組DNS服務器分別實現轉發和遞歸，在交換機虛擬兩個IP地址，分別代表兩組服務器，每一組內均采用Round Robin（輪詢）策略，實現DNS請求的負載均衡。兩個虛擬IP隨著DHCP應答包下發給用戶，成為客戶端的首選和備選DNS地址。

服務器層面的策略又可通過BIND軟件實現全局策略和單個域的策略。對于轉發功能的服務器，全局策略可以配置為“forward first”[2]，意為轉發優先，當轉發目的服務器無響應時，重新發起遞歸查詢；單個域可以配置為單獨轉發，轉發的IP地址不同于全局轉發的DNS服務器地址，當有用戶發起向這個域下的域名查詢時，該查詢請求會轉發至該域里配置的轉發地址，而不是全局轉發地址，單個域的策略優先級高于全局策略。

對于遞歸功能的服務器，全局策略可以配置為“recur?sion yes”，意為遞歸解析，單個域可以配置為單獨轉發，單個域的策略優先級高于全局策略，當查詢的域名不在單個域策略里時，將會通過一個完整的遞歸查詢，再返回結果給用戶。優化后的域名策略如圖3所示。

圖3 域名策略

2.3 其他升級改造內容

隨著廣電寬帶用戶基數的不斷增長，用戶域名查詢的復雜程度逐漸提高，對大查詢量下的DNS響應時間要求更高。廣電運營商網內CDN以及Cache建設規模的不斷擴大，將使得流量通過DNS重定向到網內資源的作用愈發明顯。隨著廣電運營商在BGP以及對等互聯出口層面的策略變化，DNS將在流量引導方面起到更重要的作用。2014年廣電運營商在各自網內對于IPv6技術的推進，也需要對IPv6更好地支持域名系統。基于以上幾點，廣電寬帶域名系統的改造升級主要存在以下幾方面需求：

1）智能解析——需要實現DNS系統的智能解析功能來解決跨網解析帶來的問題，提高訪問速度，方便用戶訪問。

2）域名糾錯——當用戶端輸入錯誤的或者不存在的域名時，需要重定向到廣電運營商預設好的廣告經營頁面，實現廣告收入。

3）DNS流量分析——當前網管系統缺乏對DNS業務的監控，缺少對域名訪問的統計和分析手段。需要實現深度的DNS流量分析監控與可視化。

4）IPv6支持——需要提供對IPv6的全面支持，包括過渡階段IPv4網絡與IPv6網絡間的域名解析服務[3]。

5）安全加固——目前開源軟件BIND存在安全風險，需加強安全防護功能，實現對DNS系統一般攻擊的防護。

6）業界相關標準的支持——支持DNSSEC（DNS安全擴展機制）、EDNS0（DNS的擴展名機制）、支持IDN域名（國際化多語種域名）。

3 結束語

隨著國家“三網融合”發展戰略的推進，以及雙向改造的完成，各地廣電運營商迎來了發展的新契機，廣電寬帶業務的用戶數穩步上升，廣電運營商對自身的發展提出了更高要求，逐步向電信級運營商看齊。而要與電信級運營商展開競爭，首先就要在域名服務這樣的互聯網基礎服務上提升自身的穩定性，同時在提升網絡安全、可靠性的基礎上，利用廣電系統自身的優勢。本文闡述了構建適合廣電自身發展的域名系統平臺以及改進優化的思路。通過本文的介紹，希望能夠對各地處在不同發展階段的廣電運營商在搭建域名系統平臺方面提供一些參考，使其在未來數據業務及多種增值業務的發展方面奠定較好的基礎。

[1] 張云青，胡家顏，孫莉.下一代計算機網絡技術[M].北京：國防工業出版社，2006.

[2] ETF RFC 2694—1999，DNS extensions to Network Address Trans-lators(DNS_ALG)[S].1999.

[3]陳艷敏，張思東，張宏科.IPv4/IPv6雙棧域名系統的研究[J].電視技術，2005，29（9）：70-73.

Design and Im p lementation of Domain Name System of CATV Network

REN Xiaofeng
（Broadband cause Department of Topway Video Communication Co.,Ltd.,Guangdong Shenzhen 518036,China）

With the continuous development of CATV operators in recent years,the number of broadband users increases significantly.As the basis of Internet services,domain name service play an increasingly important role in improving network experience and CATV network security.In this paper,through instances of building domain name service platform for CATV operators,in combination with the defects of initial DNS system architecture and the domain name strategy,the methods of optimization and improvement is put forward,eventually to build a secure and reliable DNS platform of CATV network.

CATV;broadband network;domain name service

TN913

B

10.16280/j.videoe.2015.02.007

2014-07-17

【本文獻信息】任曉峰.構建廣電寬帶網絡域名服務系統平臺[J].電視技術，2015，39（2）.

任曉峰（1983—），碩士，工程師，主要從事有線電視HFC接入網、廣電城域網以及廣電運營商域名系統等方面的工作。

責任編輯：許 盈