基于bind9軟件的DNs服務(wù)歸集的設(shè)計與實現(xiàn)
引言
隨著公司智能電網(wǎng)的建設(shè),域名服務(wù)器數(shù)量不斷增長,對DNS服務(wù)器統(tǒng)一管理、統(tǒng)一監(jiān)測變得尤為重要。目前,我公司現(xiàn)有3臺DNS服務(wù)器提供主DNS服務(wù)以及地址轉(zhuǎn)發(fā)服務(wù),各市公司及直屬單位各有1~2臺DNS服務(wù)器提供輔助服務(wù),為加強(qiáng)公司惡意軟件監(jiān)測能力,現(xiàn)開展了DNS歸集工作,將各市公司及直屬單位的DNS統(tǒng)一歸集過來,對公司DNS服務(wù)器進(jìn)行統(tǒng)一管理、統(tǒng)一監(jiān)測。
1DNS服務(wù)歸集原理及內(nèi)容
本項目在加強(qiáng)硬件設(shè)施的基礎(chǔ)上,使用DNS緩存技術(shù)、負(fù)載均衡F5,實現(xiàn)對各市DNS的歸集。首先,利用Linux系統(tǒng),部署bind9工具,搭建DNS本地服務(wù),提供本地解析服務(wù):其次,搭建DNS緩存服務(wù),配置轉(zhuǎn)發(fā)以及緩存策略,提供DNS緩存服務(wù):最后,利用F5為DNS緩存服務(wù)提供負(fù)載均衡,通過上述技術(shù)實現(xiàn)對公司DNS服務(wù)進(jìn)行有效管理和監(jiān)測,進(jìn)一步提升服務(wù)穩(wěn)定性、安全性,同時保證公司DNS服務(wù)器以及信息網(wǎng)絡(luò)的穩(wěn)定運行。本項目技術(shù)主要分為3個模塊:本地DNS服務(wù)、DNS緩存服務(wù)、負(fù)載均衡F5,DNS歸集架構(gòu)如圖1所示。
(1)DNS本地服務(wù):本地服務(wù)主要是在Linux系統(tǒng)部署bind9軟件,通過配置相關(guān)策略新建主域和同步輔域,為整個架構(gòu)提供DNS本地服務(wù)。
(2)DNS緩存服務(wù):緩存服務(wù)主要是在Linux系統(tǒng)中部署bind9軟件,通過配置查詢轉(zhuǎn)發(fā)以及緩存策略,為整個架構(gòu)提供DNS緩存服務(wù)。
(3)負(fù)載均衡F5:主要是將搭建好的DNS緩存服務(wù)器掛在F5上,為整個DNS服務(wù)提供負(fù)載均衡。
DNS服務(wù)歸集的主要內(nèi)容:
(1)搭建DNS本地服務(wù)。準(zhǔn)備兩臺虛擬機(jī)安裝CENT0S6<.操作系統(tǒng)的虛擬服務(wù)器,做好相關(guān)安全策略,配置8I地址,放行53個端口,用于數(shù)據(jù)通信,掛載鏡像,安裝binP9軟件,參考公司現(xiàn)有DNS服務(wù),建立主區(qū)域文件,配置區(qū)域文件同步策略,從上層主DNS服務(wù)器同步所需要的輔域,然后將各市公司的域名添加到新部署的本地DNS服務(wù)中。
(2)測試本地DNS服務(wù)域名解析。先用一臺客戶端進(jìn)行測試,將客戶端DNS配置更改成本地DNS服務(wù)器8I地址,然后使用dig命令進(jìn)行解析測試,然后逐漸增加終端數(shù)量,進(jìn)行測試。
(3)搭建DNS緩存服務(wù)。準(zhǔn)備兩臺虛擬機(jī)安裝CENT0S6<.操作系統(tǒng)的虛擬服務(wù)器,做好相關(guān)安全策略,配置8I地址,放行53個端口,用于數(shù)據(jù)通信,掛載鏡像,安裝binP9軟件,配置DNS查詢轉(zhuǎn)發(fā)策略,兩臺緩存服務(wù)器的查詢轉(zhuǎn)發(fā)分別指向兩臺DNS本地服務(wù),配置緩存策略,啟動binP服務(wù)。
(4)測試緩存服務(wù)域名解析。先用一臺終端進(jìn)行測試,將終端DNS配置更改成DNS緩存服務(wù)器8I地址,然后使用Pig命令進(jìn)行解析測試,然后逐漸增加終端數(shù)量,進(jìn)行測試。
(5)使用負(fù)載均衡F5。將搭建好的兩臺DNS緩存服務(wù)器掛
在F5上,并進(jìn)行解析測試。
(6)性能測試。在Linux系統(tǒng)中安裝queryperf壓力測試工具對DNS服務(wù)進(jìn)行壓力測試,測試記錄域名解析速率以及每秒所能承受的做大訪問并發(fā)量,測試結(jié)果如表1所示。
2各地市推廣方案
首先在池州下屬縣公司進(jìn)行小范圍測試,通過VRV推送DNS配置腳本自動修改桌面終端DNS配置進(jìn)行測試,觀察DNS解析是否正常,小范圍測試正常后再在池州公司進(jìn)行全面測試。
(1)小范圍測試。通過VRV推送腳本更改DNS配置進(jìn)行小范圍測試,具體過程如下:考慮到修改桌面終端眾多,系統(tǒng)版本系統(tǒng)運行環(huán)境不同,編制自動化執(zhí)行腳本,降低對運行環(huán)境的依賴,實現(xiàn)自動化修改桌面終端DNS配置。
(2)池州全面推廣應(yīng)用。使用并觀察配置新的DNS終端訪問是否異常,確保一切正常后,以縣為單位逐步進(jìn)行推送。
(3)各市公司全面推廣應(yīng)用。各市公司按照池州推送的方案,先小范圍推送測試,確保正常后,再以縣公司為單位逐步進(jìn)行推送。
3結(jié)語
通過在省公司統(tǒng)一部署DNS本地服務(wù)和緩存服務(wù),去除市公司DNS域名服務(wù)器,實現(xiàn)各地市公司DNS服務(wù)歸集的目標(biāo),進(jìn)而實現(xiàn)公司對DNS服務(wù)器的統(tǒng)一管控,提升域名訪問服務(wù)的穩(wěn)定性、安全性,保證信息網(wǎng)絡(luò)安全穩(wěn)定運行,為公司后期統(tǒng)一惡意域名監(jiān)測奠定基礎(chǔ)。