網(wǎng)絡(luò)的基礎(chǔ)：全新下一代DNS系統(tǒng)

　　在一個TCP/IP架構(gòu)的網(wǎng)絡(luò)環(huán)境中，DNS是一個非常重要且常用的系統(tǒng)。DNS本質(zhì)上作為一個數(shù)據(jù)庫，主要功能就是將人易于記憶的Domain Name與人不容易記憶的IP Address作轉(zhuǎn)換。DNS系統(tǒng)中的服務(wù)器按照在網(wǎng)絡(luò)中的功能可分為具有授權(quán)能力的Authoritative Name Server和具有緩存功能的Caching Name Server。目前全球所采用的DNS大多都是由ISC（Internet Software Consortium）發(fā)布的BIND（Berkeley Internet Name Domain）。但是由于BIND軟件是針對簡單網(wǎng)絡(luò)設(shè)計的，隨著網(wǎng)絡(luò)的迅速發(fā)展，BIND 系統(tǒng)已經(jīng)不適應(yīng)在如今復(fù)雜的網(wǎng)絡(luò)環(huán)境下提供DNS服務(wù)了。DNS的創(chuàng)造者，Nominum公司主席兼首席科學(xué)家Paul V. Mockapetris博士認(rèn)為，DNS要滿足未來的網(wǎng)絡(luò)需求，特別是在處理能力和安全性能等方面的要求，必須向下一代技術(shù)發(fā)展。

目前DNS系統(tǒng)BIND存在的問題

　　作為一款公開代碼的DNS 服務(wù)程序，BIND 在現(xiàn)行的DNS 的系統(tǒng)中，得到了非常廣泛的運用。但BIND開發(fā)只是針對早期網(wǎng)絡(luò)環(huán)境，即使是最新版本的BIND9也只適應(yīng)90 年代中期的網(wǎng)絡(luò)環(huán)境，而且由于架構(gòu)設(shè)計的原因，很多問題無法通過軟件升級來解決。

　　Paul V. Mockapetris博士介紹，BIND系統(tǒng)所存在的問題主要有以下幾個方面：處理能力差，經(jīng)常導(dǎo)致查詢丟失和查詢速度異常緩慢；安全性能不高，DNS欺騙 ，利用軟件的漏洞來發(fā)動攻擊，利用網(wǎng)絡(luò)協(xié)議的漏洞來發(fā)動DOS攻擊；可靠性不強(qiáng)，需要經(jīng)常的耗時不短的重啟；管理不方便，管理BIND服務(wù)器需要系統(tǒng)和網(wǎng)絡(luò)管理員的大量時間；可擴(kuò)展性有限，即使BIND 9并不適合當(dāng)今的大規(guī)模的網(wǎng)絡(luò)；出了問題找不到人解決，因為使用的是免費程序，找不到人為這樣的程序負(fù)責(zé)。

下一代DNS系統(tǒng)能做什么？

　　針對目前要解決的問題，Nominum公司推出了下一代DNS系統(tǒng)Foundation。按照功能劃分，包括CNS（Caching Name Server）、ANS（Authoritative Name Server）和FMC（Foundation Management Center）。CNS完成緩存（Cache）功能，ANS完成授權(quán)（Authority）功能，F(xiàn)MC完成對系統(tǒng)的圖形化管理。其中授權(quán)域名服務(wù)器應(yīng)該部署在寬帶骨干網(wǎng)中，冗余備份以提高可靠性。緩存域名服務(wù)器應(yīng)當(dāng)部署在靠近客戶端的地方。Foundation把緩存功能和授權(quán)功能分開處理，這對于提高DNS的性能、可靠性和安全性等方面是十分重要的。

　　Foundation CNS 是一高性能的緩存域名服務(wù)器，可以提供電信級的服務(wù)，響應(yīng)大量客戶端的域名解析請求。相對于其他DNS 服務(wù)器來說，對成功的或不成功的請求，CNS 都可以提供更快的請求響應(yīng)時間。CNS 還提供了對網(wǎng)絡(luò)中廣泛傳播的針對UNIX 系統(tǒng)的各種攻擊的防范措施，此外，CNS還支持一些高級設(shè)置，比如Global forwarding、Domain-specific forwarding 和IPv6 等。

　　Foundation ANS 是一授權(quán)域名服務(wù)器，符合所有的DNS 授權(quán)服務(wù)器標(biāo)準(zhǔn)，包括DNSSEC、Notify、Dynamic Update、EDNS、IXFR 和IPv6，提高可支持上百萬的域名和上百萬的區(qū)域，可進(jìn)行靈活、快速地配置，并采用了Berkeley 的數(shù)據(jù)庫技術(shù)和更多的安全措施。由于采用了很多先進(jìn)的技術(shù)，ANS 可以提供極高的性能和可靠性。

　　Nominum的FMC是一個綜合的IP網(wǎng)絡(luò)地址管理系統(tǒng)，使得IP網(wǎng)絡(luò)的部署和管理更為簡單。FMC的管理對象包括DNS和DHCP服務(wù)器。其目標(biāo)主要是提供一個統(tǒng)一的，可以管理CNS/ANS/BIND 系統(tǒng)的、方便易用的控制管理中心。通過其API，可以訂制客戶化的管理機(jī)制以及與其他管理系統(tǒng)的集成。該系統(tǒng)基于SUN 或者Linux 的平臺和Oracle/HSQL 數(shù)據(jù)庫，可以提供高的可靠性和擴(kuò)展性。同時，該系統(tǒng)還支持SNMP。

Foundation 系統(tǒng)的特點

　　Foundation 系統(tǒng)有著極高的處理能力。在Red Hat Linux、SuSE 或FreeBSD 系統(tǒng)下，CPU 為Pentium IV 2.4GHz 或更高，RAM 為1GB，磁盤空間2GB 以上的配置環(huán)境下，CNS 每秒可以處理88,000 個查詢，ANS每秒可以處理66,000 查詢。這表明了在相同硬件配置下Foundation 的查詢速度大約是BIND 的4~8 倍，在相同的QPS （查詢速度）的情況下，F(xiàn)oundation的CPU 利用率大約是BIND 的1/5，RAM 的利用率也大大提高，而且其在高峰期的查詢丟失率也比BIND 大大降低。

　　Foundation 系統(tǒng)相對于BIND 有著不可比擬的安全性。首先，F(xiàn)oundation 的處理能力大大強(qiáng)于BIND，所以對于很多針對DNS 系統(tǒng)的攻擊，F(xiàn)oundation 可以充分“吸收”。另外，由于對于一個響應(yīng)的請求時間大大縮短，也在一定程度上較少了被所謂的“Man in the Middle”攻擊的可能性。其次，F(xiàn)oundation 是全新編寫的程序，沒有共享BIND 的任何代碼。再次，BIND 的一個有毒的或者非法的網(wǎng)站域名代替一個經(jīng)常被訪問的網(wǎng)站的域名，就會感染授權(quán)服務(wù)的數(shù)據(jù)，這是災(zāi)難性的。而在Foundation 中，緩存服務(wù)器和授權(quán)服務(wù)器是分開的，這就避免了這樣的問題。而且在CNS 中還可以對特定的非法記錄進(jìn)行刪除操作，這也是BIND所不具備的功能。最后，F(xiàn)oundation實現(xiàn)了很多先進(jìn)的安全技術(shù)，使得該DNS系統(tǒng)更加安全，這包括：DNSSEC（DNS Security Extension）、

Upstream Recursion Control（這一技術(shù)保證系統(tǒng)遭到很多攻擊時，CNS 仍能夠正常的工作）、Glue Segregation（這種技術(shù)可防止緩存中毒）、RV（Response Validation）（可以通過RV防止廣為人知的弱點攻擊，CNS是唯一可以防止該攻擊的緩存域名服務(wù)器）。

Foundation 的可靠性。Foundation 系統(tǒng)在對配置進(jìn)行修改的可靠性；在配置過程中，系統(tǒng)還會自動給出提示，對錯誤進(jìn)行修改，無需重新啟動；Foundation 系統(tǒng)的重啟時間相對BIND 要短，進(jìn)程加載只需要一秒鐘。

　　Foundation 系統(tǒng)靈活的可擴(kuò)展性。首先，由于Foundation 系統(tǒng)提供極高的處理能可以為更大規(guī)模的網(wǎng)絡(luò)服務(wù)。其次，F(xiàn)oundation 系統(tǒng)可以處0,000 個左右，而每個區(qū)域的容量可達(dá)100,000,000 條記錄左右，這些都遠(yuǎn)遠(yuǎn)大于BIND所能夠處理的數(shù)目，大約是其100 倍。

Foundation 系統(tǒng)提供很多管理信息�？刹樵兯俣扔媴�數(shù)，比如recursion-contexts-in-use、uptime、user-time、system-time等等；ANS可以統(tǒng)計的信息包括服務(wù)器收到的關(guān)于每種資源記錄類型的請求的數(shù)目，也可以隨時提供Slaves6的狀態(tài)。另外，ANS的區(qū)域配置模板是一種非常強(qiáng)大的工具，能夠有效并容易地創(chuàng)建DNS的配置。此外，ANS可以提供很多其他的統(tǒng)計參數(shù)，也和CNS 一樣支持命令行，其它DNS 系統(tǒng)都不提供這樣的功能。其次，F(xiàn)oundation 系統(tǒng)還可以通過FMC 提供更多的管理功能：定義DNS 數(shù)據(jù)（Defining DNS Data）、導(dǎo)入DNS 數(shù)據(jù)（Importing DNS Data）、配置DNS 數(shù)據(jù)（Deploying DNS Data）、對應(yīng)DNS 和IP（Bridging DNS and IP），其中對應(yīng)DNS 和IP 被應(yīng)用在動態(tài)DNS（DDNS）中。

　　支持眾多的新技術(shù)。Foundation 還支持很多新技術(shù)，包括：命令信道（Command channel）、DNSSEC、動態(tài)DNS、EDNS（Extended DNS）、NOTIFY 、IXFR、負(fù)載均衡技術(shù)等。如：命令信道技術(shù)也就是命令行方式的管理和控制，可以在服務(wù)器仍然正常工作的同時，控制服務(wù)器、更改配置和其他的應(yīng)用進(jìn)行交互。動態(tài)DNS則是可以自動對其更新等紀(jì)錄進(jìn)行更新。再如負(fù)載均衡技術(shù)：CNS/ANS 提供一定的負(fù)載均衡能力，但是需要兩個條件配合，Anycast和BGP，也就意味著主和從服務(wù)器需要是同一個IP 地址。在滿足了這兩個條件后，CNS/ANS 可在服務(wù)器組間均衡流量。

Foundation 對環(huán)境的要求

Foundation 系統(tǒng)在不同的硬件配置下的性能表示是不同的，依情況而定。在使用Foundation 系統(tǒng)為DNS 的時候，一般沒有必要附加任何硬件設(shè)備如防火墻、負(fù)載均衡設(shè)備等。在性能方面，我們的優(yōu)越性已是毫無疑問，在通常情況下，可以輕松地處理業(yè)務(wù)負(fù)荷；在安全方面，我們符合所有的DNS 基于安全方面的標(biāo)準(zhǔn)采用了更多的技術(shù)保證安全，我們也不會受到任何知道BIND 安全弱點的人的攻擊；在通信量非常大的情況下，可在Foundation 前端采用負(fù)載均衡系統(tǒng)。

帶給客戶超值的投資回報

　　“盡管Foundation有著BIND無可比擬的技術(shù)優(yōu)勢，不過BIND的巨大優(yōu)勢在于它是免費的系統(tǒng)，因此決定采用Foundation替代BIND還是需要考慮的。”Paul V. Mockapetris博士說：“那么我們現(xiàn)在就再來分析一下采用BIND和Foundation所帶來的其他方面的成本對比�！�

　　就服務(wù)器硬件成本來說，F(xiàn)oundation 的性能是BIND 的幾倍，所以一般來說，采用Foundation 后，服務(wù)器的數(shù)量至少可以減少一半。另外，其他方面的成本節(jié)省也不能忽視，包括空調(diào)、供電、機(jī)架。在一般情況下，采用Foundation 系統(tǒng)后，每臺服務(wù)器第一年最少節(jié)省$8,000。

　　服務(wù)器管理成本，雖然BIND系統(tǒng)是免費的，但是由于其代碼實際上也是免費的，所以造成了很多管理BIND 系統(tǒng)方面的成本。BIND 系統(tǒng)每4 到6 個月就會發(fā)布補(bǔ)丁來彌補(bǔ)其不斷出現(xiàn)的新問題，這就意味著維護(hù)DNS工程師必須等到深夜才能對系統(tǒng)去進(jìn)行升級以盡量減少影響。減少了服務(wù)器的數(shù)目，也就意味著減少了維護(hù)的工作量。采用了Foundation 系統(tǒng)后，每臺服務(wù)器節(jié)省的成本大概是$100,000*5%=$5,000。

　　業(yè)務(wù)連續(xù)性成本，由于BIND系統(tǒng)固有的技術(shù)問題，常使DNS系統(tǒng)經(jīng)常不可用，這直接導(dǎo)致Internet 的應(yīng)用變慢甚至使整個網(wǎng)絡(luò)業(yè)務(wù)癱瘓。對于電信運營商和ISP來說和一般的企業(yè)來說，代價都是慘重的。但采用了Foundation 系統(tǒng)后，由于業(yè)務(wù)連續(xù)性每年節(jié)省的成本大約是$150,000*100%=$150,000。

　　從以上可以看出，盡管BIND 系統(tǒng)本身是免費的，可采用了Foundation 系統(tǒng)后，在其他方面節(jié)省的投入遠(yuǎn)遠(yuǎn)超過Foundation 本身的成本。

關(guān)于Nominum 公司

　　Nominum 是一個面向網(wǎng)絡(luò)DNS服務(wù)和IP地址管理的一個先導(dǎo)，它提供可信的和安全的DNS、DHCP和IP地址管理工具。1999 年，David Conrad和Paul Vixie創(chuàng)辦了Nominum并且接受了編寫B(tài)IND9 的工作。Conrad和Vixie吸收了許多在Internet領(lǐng)域非常受關(guān)注和尊重的，并且有遠(yuǎn)見卓識的人加入這個公司，其中包括Paul Mockapetris，他在1983 年發(fā)明了DNS而且寫了最初的DNS RFCs2，還有Ted Lemon，他是ISC-DHCP的主要開發(fā)者以及DHCP Handbook3 的共同作者之一。Nominum在2000 年9月向ISC發(fā)布了BIND 9.0。在將BIND 9 捐贈給ISC之后，Nominum密切地與全球2000 多個客戶合作，很快了解了他們對DNS產(chǎn)品的要求。BIND 9 過去沒有也不可能滿足他們所有的要求，甚至主要的升級更新也不能完全克服BIND9 在設(shè)計上固有的缺陷，Nominum意識到需要重新編寫一套全新的DNS系統(tǒng)，于是Nominum轉(zhuǎn)變成為一家商業(yè)的軟件公司，在市場上競爭有著自己的項目管理、市場和營銷團(tuán)隊。但同時他們沒有放棄開放代碼資源的共享，而是依然是ISC的發(fā)展戰(zhàn)略伙伴之一，依然在為BIND 9 進(jìn)行新版本的開發(fā)。毫無疑問地，Nominum在寫B(tài)IND9 的時候積累了很多經(jīng)驗，對DNS的需求有著深刻地理解，并且參與了很多相關(guān)國際標(biāo)準(zhǔn)的制定，在DNS方面處于全球的領(lǐng)先地位。關(guān)于Nominum的更多資訊，請參見www.nominum.com。

關(guān)于北京泰策科技有限公司

　　北京泰策科技有限公司位于北京市海淀科技園區(qū)，是一家專業(yè)致力于提供提高網(wǎng)絡(luò)/設(shè)備效率的系統(tǒng)和工具的高科技公司，公司由一群年富力強(qiáng)、長期從事于通信行業(yè)的工程師及專家組成，對通信技術(shù)及業(yè)務(wù)的發(fā)展有著深刻的認(rèn)識和良好的把握。北京泰策的合作伙伴包括：Nominum、Argo、Comarco、Polystar、Shura、Abor和Visual Netwoks等，目前，提供的方案有NGN/3G端到端性能測試、3G核心網(wǎng)壓力測試、網(wǎng)絡(luò)流量分析和安全監(jiān)測方案、大客戶服務(wù)水平（SLA）監(jiān)測及分析、DNS及其管理等。

　　泰策專注在通信領(lǐng)域，并且主要面向下一代網(wǎng)絡(luò)，也就是以NGN和3G為代表的未來網(wǎng)絡(luò)。公司的目標(biāo)是成為一家專業(yè)的工具/系統(tǒng)提供商，同時，也希望在公司所專注的領(lǐng)域，并不僅僅只是提供一個產(chǎn)品，而是為客戶提供一個全面的方案。這個目標(biāo)的實現(xiàn)，主要通過我們國際上領(lǐng)先的廠家之間的合作。

由CHINA通信網(wǎng)組稿