引言

隨著公司智能電網(wǎng)的建設,域名服務器數(shù)量不斷增長,對DNS服務器統(tǒng)一管理、統(tǒng)一監(jiān)測變得尤為重要。目前,我公司現(xiàn)有3臺DNS服務器提供主DNS服務以及地址轉(zhuǎn)發(fā)服務,各市公司及直屬單位各有1～2臺DNS服務器提供輔助服務,為加強公司惡意軟件監(jiān)測能力,現(xiàn)開展了DNS歸集工作,將各市公司及直屬單位的DNS統(tǒng)一歸集過來,對公司DNS服務器進行統(tǒng)一管理、統(tǒng)一監(jiān)測。

1DNS服務歸集原理及內(nèi)容

本項目在加強硬件設施的基礎上,使用DNS緩存技術(shù)、負載均衡F5,實現(xiàn)對各市DNS的歸集。首先,利用Linux系統(tǒng),部署bind9工具,搭建DNS本地服務,提供本地解析服務:其次,搭建DNS緩存服務,配置轉(zhuǎn)發(fā)以及緩存策略,提供DNS緩存服務:最后,利用F5為DNS緩存服務提供負載均衡,通過上述技術(shù)實現(xiàn)對公司DNS服務進行有效管理和監(jiān)測,進一步提升服務穩(wěn)定性、安全性,同時保證公司DNS服務器以及信息網(wǎng)絡的穩(wěn)定運行。本項目技術(shù)主要分為3個模塊:本地DNS服務、DNS緩存服務、負載均衡F5,DNS歸集架構(gòu)如圖1所示。

(1）DNS本地服務:本地服務主要是在Linux系統(tǒng)部署bind9軟件,通過配置相關(guān)策略新建主域和同步輔域,為整個架構(gòu)提供DNS本地服務。

(2）DNS緩存服務:緩存服務主要是在Linux系統(tǒng)中部署bind9軟件,通過配置查詢轉(zhuǎn)發(fā)以及緩存策略,為整個架構(gòu)提供DNS緩存服務。

(3）負載均衡F5:主要是將搭建好的DNS緩存服務器掛在F5上,為整個DNS服務提供負載均衡。

DNS服務歸集的主要內(nèi)容:

(1）搭建DNS本地服務。準備兩臺虛擬機安裝CENT0S6<.操作系統(tǒng)的虛擬服務器,做好相關(guān)安全策略,配置8I地址,放行53個端口,用于數(shù)據(jù)通信,掛載鏡像,安裝binP9軟件,參考公司現(xiàn)有DNS服務,建立主區(qū)域文件,配置區(qū)域文件同步策略,從上層主DNS服務器同步所需要的輔域,然后將各市公司的域名添加到新部署的本地DNS服務中。

(2）測試本地DNS服務域名解析。先用一臺客戶端進行測試,將客戶端DNS配置更改成本地DNS服務器8I地址,然后使用dig命令進行解析測試,然后逐漸增加終端數(shù)量,進行測試。

(3）搭建DNS緩存服務。準備兩臺虛擬機安裝CENT0S6<.操作系統(tǒng)的虛擬服務器,做好相關(guān)安全策略,配置8I地址,放行53個端口,用于數(shù)據(jù)通信,掛載鏡像,安裝binP9軟件,配置DNS查詢轉(zhuǎn)發(fā)策略,兩臺緩存服務器的查詢轉(zhuǎn)發(fā)分別指向兩臺DNS本地服務,配置緩存策略,啟動binP服務。

(4）測試緩存服務域名解析。先用一臺終端進行測試,將終端DNS配置更改成DNS緩存服務器8I地址,然后使用Pig命令進行解析測試,然后逐漸增加終端數(shù)量,進行測試。

(5）使用負載均衡F5。將搭建好的兩臺DNS緩存服務器掛

在F5上,并進行解析測試。

(6）性能測試。在Linux系統(tǒng)中安裝queryperf壓力測試工具對DNS服務進行壓力測試,測試記錄域名解析速率以及每秒所能承受的做大訪問并發(fā)量,測試結(jié)果如表1所示。

2各地市推廣方案

首先在池州下屬縣公司進行小范圍測試,通過VRV推送DNS配置腳本自動修改桌面終端DNS配置進行測試,觀察DNS解析是否正常,小范圍測試正常后再在池州公司進行全面測試。

(1）小范圍測試。通過VRV推送腳本更改DNS配置進行小范圍測試,具體過程如下:考慮到修改桌面終端眾多,系統(tǒng)版本系統(tǒng)運行環(huán)境不同,編制自動化執(zhí)行腳本,降低對運行環(huán)境的依賴,實現(xiàn)自動化修改桌面終端DNS配置。

(2）池州全面推廣應用。使用并觀察配置新的DNS終端訪問是否異常,確保一切正常后,以縣為單位逐步進行推送。

(3）各市公司全面推廣應用。各市公司按照池州推送的方案,先小范圍推送測試,確保正常后,再以縣公司為單位逐步進行推送。

3結(jié)語

通過在省公司統(tǒng)一部署DNS本地服務和緩存服務,去除市公司DNS域名服務器,實現(xiàn)各地市公司DNS服務歸集的目標,進而實現(xiàn)公司對DNS服務器的統(tǒng)一管控,提升域名訪問服務的穩(wěn)定性、安全性,保證信息網(wǎng)絡安全穩(wěn)定運行,為公司后期統(tǒng)一惡意域名監(jiān)測奠定基礎。