-1-企业秘密中国电信运维〔2011〕99号关于印发《中国电信DNS系统组网规范(2011版)》的通知集团公司各省级分公司,股份公司并转各省级分公司:为全面提升中国电信DNS系统的健壮性和安全性,保障DNS系统安全稳定、优质高效运营,集团公司组织相关单位和省公司,制订了《中国电信DNS系统组网规范(2011版)》,现印发你们,请遵照执行。有关要求与说明如下:一、本规范基于中国电信DNS系统现状和网络发展趋势,对DNS系统的组网原则、总体架构、组网要求等内容进行了规范。二、本规范是各级部门在DNS系统部署、优化调整和安全加固等方面的重要依据,各省应以此为基础制订相应的实施方案,对省内DNS系统进行加固与完善,实现规范的各项要求。-2-三、集团公司将根据技术发展与演进策略,定期完善、发布新的修订版本。在本规范执行过程中,如有意见和建议请及时与集团公司联系。集团公司联系人:刘式颖,010-58501725,liusy@chinatelecom.com.cn。二○一一年十二月十二日中国电信DNS系统组网规范(2011版)中国电信集团公司2011年11月编制单位:编写单位:中国电信集团公司、中国电信股份有限公司广州研究院编写:集团公司:刘式颖、刘紫千广州研究院:曹维华、李文云、陈乙群统稿:李文云审稿:刘式颖、刘紫千、张文强总审核:吴湘东、毛东峰目录编制说明..................................................................................................................................................1术语、定义和缩略语..............................................................................................................................21DNS系统概述...............................................................................................................................41.1DNS节点..................................................................41.2DNS系统..................................................................42DNS系统组网原则及总体架构....................................................................................................52.1组网原则..................................................................52.2DNS系统总体架构..........................................................53缓存服务节点组网原则................................................................................................................83.1节点内部架构要求..........................................................83.2节点容量设计原则.........................................................103.3节点部署原则.............................................................103.4安全策略.................................................................134授权服务节点组网原则..............................................................................................................164.1节点内部架构要求.........................................................164.2节点容量设计原则.........................................................174.3节点部署原则.............................................................174.4安全策略.................................................................17附件1:DNS系统设备命名规范........................................................................................................19附件2:DNS节点内负载分担方式比较............................................................................................22中国电信DNS系统组网规范(2011版)第1页编制说明DNS系统作为用户访问网络的门户环节,是互联网中关键的基础网络设施。为全面提升中国电信DNS系统的健壮性和安全性,保障DNS系统安全稳定、优质高效运营,实现支撑全网业务发展、提升用户感知的总体目标,特制定本规范。本规范从组网原则、总体架构、组网要求等方面对DNS系统的组网进行了规范,各省在DNS系统优化调整和扩容改造时应贯彻执行本规范的各项要求。本规范的解释和修改权属于中国电信集团公司网络运行维护事业部。中国电信DNS系统组网规范(2011版)第2页术语、定义和缩略语1.术语及定义缓存服务器:是指负责接受用户端(解析器)发送的解析请求,然后通过向递归服务器发出查询请求获得用户需要的查询结果,并返回给用户端的解析器。缓存服务器不会维护或者管理任何域的资源记录数据,它只负责接收用户(解析器)的查询,并且通过查找缓存或者向递归服务器发出查询从而获得查询结果。递归服务器:是指负责接受缓存服务器发送的查询请求,然后通过向各级授权服务器发出查询请求获得缓存服务器需要的查询结果,昀后返回给缓存服务器的解析器。递归服务器不会维护或者管理任何域的资源记录数据,它只负责接收缓存服务器的查询,并且通过查找缓存或者向包括根在内的授权服务器发出查询从而获得查询结果。授权服务器:是指对于某个或者多个区具有授权的服务器,授权服务器保存着其所拥有授权的区的原始域名资源记录信息。授权服务器不提供递归解析服务,它只负责维护和保存它所拥有授权的区的资源记录信息,并且接受递归服务器的查询请求。主授权服务器:是被配置成区数据发布源的授权服务器。辅授权服务器:是通过区传送协议来获取区数据的授权服务器。2.缩略语本文中将使用下列缩略语,除非文中特别说明,否则意义如下;对于未说明的缩略语,应做业界标准或惯例理解。DNSDomainNameServer域名服务器QPSQueryPerSecond每秒查询数CacheCacheServer缓存服务器中国电信DNS系统组网规范(2011版)第3页RecurRecursiverServer递归服务器Authauthoritativeserver授权服务器MAMasterAuthoritativeServer主授权服务器SASlaverAuthoritativeServer辅授权服务器IGPInteriorGatewayProtocol内部网关协议BGPBorderGatewayProtocol边界网关协议中国电信DNS系统组网规范(2011版)第4页1DNS系统概述1.1DNS节点DNS节点是指同一物理位置的、由网络设备和服务器组成的、能对外提供DNS解析服务的功能实体,按照功能分为缓存服务节点和授权服务节点。缓存服务节点:由完成缓存和递归功能的服务器及配套网络设备组成。授权服务节点:由完成授权功能的服务器及配套网络设备组成。缓存服务节点和授权服务节点从逻辑功能上又可以分为接入转发层与服务提供层。接入转发层由网络设备组成,用于实现DNS节点内各服务器的网络接入、安全控制和流量负载均衡等功能。服务提供层由运行DNS应用软件的服务器组成,用于提供DNS解析服务。图1.1-1DNS节点示意图1.2DNS系统DNS系统是负责完成域名与IP地址相互转换的网络基础设施。中国电信的DNS系统由部署在中国电信网内不同位置的缓存服务节点和授权服务节点组成,主要为中国电信网内用户访问网络时提供域名解析服务。中国电信DNS系统组网规范(2011版)第5页2DNS系统组网原则及总体架构2.1组网原则1.高可靠性原则:系统具备电信级的高可用性,系统设备及链路均具有一定的冗余度,不会因单台设备或单条链路故障而引起服务质量下降,同时系统具有容灾备份机制,能够不间断的对外提供服务。2.高安全性原则:系统部署有完备的安全防护策略和一定的安全防护手段,能够实现安全风险的隔离、可控。3.高扩展性原则:系统具备平滑升级、扩容的能力,在保护已有投资的基础上易于实现容量及功能的灵活扩展。2.2DNS系统总体架构随着中国电信互联网和移动业务的不断发展,为更好地支撑业务,同时实现DNS系统的高安全性和高可靠性,中国电信DNS系统的总体架构如下:中国电信DNS系统组网规范(2011版)第6页图2.2-1中国电信DNS系统总体架构示意图1.为提高系统的安全性,中国电信DNS系统分开部署缓存服务节点和授权服务节点,缓存服务节点仅提供缓存、递归功能,授权服务节点仅提供授权功能,同一缓存服务节点中分开部署缓存服务器与递归服务器,实现缓存功能、递归功能和授权功能的物理分离。2.为防止授权服务数据被篡改,保证授权服务数据的准确性和安全性,授权服务节点中的授权服务器均为辅授权服务器,主授权服务器不对外提供服务,只用于保存授权服务数据以及实现与辅授权服务器数据的主辅更新。3.根据业务发展和提供的服务对象不同,缓存服务节点分为CHINANET缓存服务节点、CN2缓存服务节点和私网缓存服务节点。¾CHINANET缓存服务节点部署在CHINANET网内,为公众互联网用户及C网用户(通过NAI:CTNET拨入)提供域名解析服务,节点由各省集中部署,原则上每省的节点只为本省用户提供域名解析服务。¾CN2缓存服务节点部署在CN2网内,仅为经CN2访问互联网的用户提供域名解析服务,节点由集团集中部署。¾私网缓存服务节点部署在CN2的C网VPN内,主要用于满足C网业务域名解析服务需求,为中国电信CDMA网络的自有业务平台和C网用户(通过NAI:CTWAP拨入)提供域名解析服务,节点由集团集中部署。4.根据提供的服务对象和承载数据的不同,授权服务节点分为公网授权服务节点和私网授权服务节点。¾公网授权服务节点用于承载中国电信使用的公网域名数据,其域名空间是国际域名空间的一部份,部署在CHINANET网内,为全球递归服务器提供查询。公网授权服务节点由集团和省分别进行部署,集团层面的节点由集团集中部署,原则上用于维护和保存集团统一规划业务的域名数据;省层面的节点由省集中部署,原则上用于维护和保存省内自行规划业务的域名数