基于bind9軟件的DNs服務(wù)歸集的設(shè)計(jì)與實(shí)現(xiàn)

引言

隨著公司智能電網(wǎng)的建設(shè),域名服務(wù)器數(shù)量不斷增長(zhǎng),對(duì)DNS服務(wù)器統(tǒng)一管理、統(tǒng)一監(jiān)測(cè)變得尤為重要。目前,我公司現(xiàn)有3臺(tái)DNS服務(wù)器提供主DNS服務(wù)以及地址轉(zhuǎn)發(fā)服務(wù),各市公司及直屬單位各有1～2臺(tái)DNS服務(wù)器提供輔助服務(wù),為加強(qiáng)公司惡意軟件監(jiān)測(cè)能力,現(xiàn)開(kāi)展了DNS歸集工作,將各市公司及直屬單位的DNS統(tǒng)一歸集過(guò)來(lái),對(duì)公司DNS服務(wù)器進(jìn)行統(tǒng)一管理、統(tǒng)一監(jiān)測(cè)。

1DNS服務(wù)歸集原理及內(nèi)容

本項(xiàng)目在加強(qiáng)硬件設(shè)施的基礎(chǔ)上,使用DNS緩存技術(shù)、負(fù)載均衡F5,實(shí)現(xiàn)對(duì)各市DNS的歸集。首先,利用Linux系統(tǒng),部署bind9工具,搭建DNS本地服務(wù),提供本地解析服務(wù):其次,搭建DNS緩存服務(wù),配置轉(zhuǎn)發(fā)以及緩存策略,提供DNS緩存服務(wù):最后,利用F5為DNS緩存服務(wù)提供負(fù)載均衡,通過(guò)上述技術(shù)實(shí)現(xiàn)對(duì)公司DNS服務(wù)進(jìn)行有效管理和監(jiān)測(cè),進(jìn)一步提升服務(wù)穩(wěn)定性、安全性,同時(shí)保證公司DNS服務(wù)器以及信息網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。本項(xiàng)目技術(shù)主要分為3個(gè)模塊:本地DNS服務(wù)、DNS緩存服務(wù)、負(fù)載均衡F5,DNS歸集架構(gòu)如圖1所示。

(1）DNS本地服務(wù):本地服務(wù)主要是在Linux系統(tǒng)部署bind9軟件,通過(guò)配置相關(guān)策略新建主域和同步輔域,為整個(gè)架構(gòu)提供DNS本地服務(wù)。

(2）DNS緩存服務(wù):緩存服務(wù)主要是在Linux系統(tǒng)中部署bind9軟件,通過(guò)配置查詢轉(zhuǎn)發(fā)以及緩存策略,為整個(gè)架構(gòu)提供DNS緩存服務(wù)。

(3）負(fù)載均衡F5:主要是將搭建好的DNS緩存服務(wù)器掛在F5上,為整個(gè)DNS服務(wù)提供負(fù)載均衡。

DNS服務(wù)歸集的主要內(nèi)容:

(1）搭建DNS本地服務(wù)。準(zhǔn)備兩臺(tái)虛擬機(jī)安裝CENT0S6<.操作系統(tǒng)的虛擬服務(wù)器,做好相關(guān)安全策略,配置8I地址,放行53個(gè)端口,用于數(shù)據(jù)通信,掛載鏡像,安裝binP9軟件,參考公司現(xiàn)有DNS服務(wù),建立主區(qū)域文件,配置區(qū)域文件同步策略,從上層主DNS服務(wù)器同步所需要的輔域,然后將各市公司的域名添加到新部署的本地DNS服務(wù)中。

(2）測(cè)試本地DNS服務(wù)域名解析。先用一臺(tái)客戶端進(jìn)行測(cè)試,將客戶端DNS配置更改成本地DNS服務(wù)器8I地址,然后使用dig命令進(jìn)行解析測(cè)試,然后逐漸增加終端數(shù)量,進(jìn)行測(cè)試。

(3）搭建DNS緩存服務(wù)。準(zhǔn)備兩臺(tái)虛擬機(jī)安裝CENT0S6<.操作系統(tǒng)的虛擬服務(wù)器,做好相關(guān)安全策略,配置8I地址,放行53個(gè)端口,用于數(shù)據(jù)通信,掛載鏡像,安裝binP9軟件,配置DNS查詢轉(zhuǎn)發(fā)策略,兩臺(tái)緩存服務(wù)器的查詢轉(zhuǎn)發(fā)分別指向兩臺(tái)DNS本地服務(wù),配置緩存策略,啟動(dòng)binP服務(wù)。

(4）測(cè)試緩存服務(wù)域名解析。先用一臺(tái)終端進(jìn)行測(cè)試,將終端DNS配置更改成DNS緩存服務(wù)器8I地址,然后使用Pig命令進(jìn)行解析測(cè)試,然后逐漸增加終端數(shù)量,進(jìn)行測(cè)試。

(5）使用負(fù)載均衡F5。將搭建好的兩臺(tái)DNS緩存服務(wù)器掛

在F5上,并進(jìn)行解析測(cè)試。

(6）性能測(cè)試。在Linux系統(tǒng)中安裝queryperf壓力測(cè)試工具對(duì)DNS服務(wù)進(jìn)行壓力測(cè)試,測(cè)試記錄域名解析速率以及每秒所能承受的做大訪問(wèn)并發(fā)量,測(cè)試結(jié)果如表1所示。

2各地市推廣方案

首先在池州下屬縣公司進(jìn)行小范圍測(cè)試,通過(guò)VRV推送DNS配置腳本自動(dòng)修改桌面終端DNS配置進(jìn)行測(cè)試,觀察DNS解析是否正常,小范圍測(cè)試正常后再在池州公司進(jìn)行全面測(cè)試。

(1）小范圍測(cè)試。通過(guò)VRV推送腳本更改DNS配置進(jìn)行小范圍測(cè)試,具體過(guò)程如下:考慮到修改桌面終端眾多,系統(tǒng)版本系統(tǒng)運(yùn)行環(huán)境不同,編制自動(dòng)化執(zhí)行腳本,降低對(duì)運(yùn)行環(huán)境的依賴,實(shí)現(xiàn)自動(dòng)化修改桌面終端DNS配置。

(2）池州全面推廣應(yīng)用。使用并觀察配置新的DNS終端訪問(wèn)是否異常,確保一切正常后,以縣為單位逐步進(jìn)行推送。

(3）各市公司全面推廣應(yīng)用。各市公司按照池州推送的方案,先小范圍推送測(cè)試,確保正常后,再以縣公司為單位逐步進(jìn)行推送。

3結(jié)語(yǔ)

通過(guò)在省公司統(tǒng)一部署DNS本地服務(wù)和緩存服務(wù),去除市公司DNS域名服務(wù)器,實(shí)現(xiàn)各地市公司DNS服務(wù)歸集的目標(biāo),進(jìn)而實(shí)現(xiàn)公司對(duì)DNS服務(wù)器的統(tǒng)一管控,提升域名訪問(wèn)服務(wù)的穩(wěn)定性、安全性,保證信息網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行,為公司后期統(tǒng)一惡意域名監(jiān)測(cè)奠定基礎(chǔ)。