第1页/共27页武汉电信DNS项目实施方案第2页/共27页一、用户需求随着宽带业务的飞速发展,武汉电信DNS系统承担的负载越来越大,目前四台DNS系统已逐渐难以承受系统的压力,影响了对用户的服务质量。因此我公司决定对目前的DNS系统进行改造,改造思路如下:1、采用四层交换设备组建DNS系统,实现各性能不一的DNS服务器间的负载分担;2、进一步增加DNS服务器主机数量。四台DNS服务器的主机型号和IP地址分别为:1)202.103.0.117E250;2)202.103.44.5ULTRA2;3)202.103.24.68E3000;4)202.103.0.68E250。鉴于武汉电信的现状,我们推荐使用F5公司的BIG-IP2400实现DNS的负载均衡,同时为方便管理,将所有的DNS服务器统一放置。推荐武汉电信采用一个独立的网段提供DNS服务,以下的方案假设采用202.103.24.64-202.103.24.95网段,现实环境可能IP地址有所变更。第3页/共27页二、网络拓扑结构如下图所以,采用同一网络管理:物理连接图第4页/共27页三、网络说明与核心交换机的连接(externalVLAN)在本方案中,两台核心交换机采用HSRP协议连接两台BIGIP2400,两台BIGIP2400也采用类似VRRP的组网方式,从而实现系统在两台设备间的自动切换。其具体配置如下:1.Switch1地址202.103.24.74/29,Switch2地址202.103.24.75/29,HSRP共享地址为202.103.24.73/29;2.BIGIP1externalVLAN地址202.103.24.76/29,BIGIP2externalVLAN地址202.103.24.77/29,共享地址shareIP202.103.24.78/29;3.在核心交换机上添加静态路由,将服务器网段202.103.24.80/28以及虚拟服务器网段202.103.24.72/29指向下联的BIGIP:iproute202.103.24.64/27202.103.24.784.在F5的BIGIP2400上设置默认网关为202.103.24.73;5.Cisco6509负责将202.103.24.64/27向全网发布;与SUN服务器的连接(internalVLAN)在本方案中所有SUN服务器与两台BIGIP中一台分别相连,其具体配置如下:1.Sun服务器的地址分配:SUN1对外服务地址202.103.24.81-91/24,默认网关202.103.24.94SUN1ce0地址202.103.24.81/28SUN2ce0地址202.103.24.82/282.BIGIP2400的内网(internalVLAN)配置如下:BIGIP1internalVLANselfip202.103.24.92/24shareip202.103.24.94BIGIP2internalVLANselfip202.103.24.93/24shareip202.103.24.942.SUN1和SUN2分别连接不同的BIG-IP,以确保单台BIG-IP故障时至少还有一台SUN可以提供服务;4.IGIP1和BIGIP2采用port2.2光纤方式实现VLANinternal的沟通;第5页/共27页与管理网络的连接在本方案中两台BIGIP2400的port1.16端口互连,构筑起管理网络,以供两台设备间通讯。1.BIGIP1的adminVLAN地址Selfip192.168.1.1/24shareip192.168.1.32.BIGIP2的adminVLAN地址Selfip192.168.1.2/24shareip192.168.1.4第6页/共27页VlanNameHostNameInterfaceIPaddress备注ExternalVLANSwitch1202.103.24.74/29HSRPSwitch2202.103.24.75/29HSRPSwitch1-Switch2share202.103.24.73/29HSRPbig1.wuhan.net.cn2.1+2.2202.103.24.76/292.2互连big2.wuhan.net.cn2.1+2.2202.103.24.77/292.2互连bigshareshareIP202.103.24.78/29InternalVLANbig1.wuhan.net.cn1.1-1.14202.103.24.92/281.7/1.8trunking互连big2.wuhan.net.cn1.1-1.14202.103.24.93/281.7/1.8trunking互连bigshare1.1-1.14202.103.24.94/28a1.wuhan.net.cnce0202.103.24.81/28a2.wuhan.net.cnce0202.103.24.82/28A3-A11ce0202.103.24.83-91/28预留AdminVLANbig1.wuhan.net.cn1.15-1.16192.168.1.11.16互连big2.wuhan.net.cn1.15-1.16192.168.1.21.16互连bigshare192.168.1.3对外发布地址(LoopbackAddress)VS1202.103.24.68:53VS202.103.24.65-71对外发布DNS地址第7页/共27页四、F5上的业务系统配置本次的系统主要是对4台SUN服务器构筑的DNS服务集群进行负载均衡,由于4台服务器的配置均相同,故系统采用动态负载均衡方式——最少连接数least_connection,以尽可能的调节系统的负载,同时今后如果需要进一步的扩展,也可以十分方便的增加服务器。1.构建DNS_SERVERpool,使用动态比例方式作为负载均衡baddpooldns_pool{lb_methodDynamicRatio202.103.24.81:53202.103.24.82:53}2.构建对外提供服务的虚拟服务器bvirtual202.103.24.68:53usepooldns_pool3.构建对DNS服务器的健康检测默认状态下使用ICMP检测所有服务器DNS检测程序为DnsRespChk,使用该程序检测bnode202.103.24.81202.103.24.82monitoruseicmpbnode202.103.24.81:53monitoruseDnsRespChkbnode202.103.24.82:53monitoruseDnsRespChk4.将DNS访问的超时时间设置为TCP=30秒,UDP=8秒bservice53tcpenablebservice53udpenablebservice53timeouttcp30bservice53timeoutudp8注,此处为便于表述故采用命令行方式表达配置,详细的配置说明请参阅第五节系统安装说明第8页/共27页五、安全设置(推荐)由于本系统是直接连接到internet,并无防火墙的保护,所以为了安全的考虑,本系统设置了最高的安全等级,具体配置如下:1.将系统的IP路由功能关闭,从而确保从internet无法直接连接到4台SUN的DNS服务器,避免了服务器被人直接攻击的可能。同时,由于关闭了路由功能,所以如果黑客采用地址扫描的方式妄图了解系统构建,也是不可能的。所有访问只能通过地址为202.103.24.68:53的虚拟服务器进入(并且系统只开放该DNS服务端口),任何试图连接该地址以外的服务器或者连接该地址的非53端口访问,均会被系统屏蔽。该功能为F5的默认方式。2.同时,为保证服务器能够顺利的外出访问internet上的域名服务器,故在内网上作了一个通配的虚拟服务器0.0.0.0:0并将其设置为forwarding,换言之就是只允许内网的服务器主动发起对外网的访问。bvirtualinternal:*{forward}3.未避免不必要的安全漏洞,所以在F5上将internalVLAN上的portlock_downenable,从而不可以通过internalVLAN进入管理,而在adminVLAN上将portlock_downdisable,允许用户从admin进入管理。4.由于F5的系统是采用SSH和HTTPS的加密方式管理,所以可以有效的避免攻击或系统漏洞。5.如果系统遭受攻击可以采用F5上的FILTER功能将攻击源屏蔽。第9页/共27页六、系统安装说明六、1设备面板标识1.面板结构F5BigIP设备的面板结构:10/100interface多个10/100M自适应的网络接口Gigabitfiberinterface多个1000M多模光纤接口Serialconsoleport一个串口命令行管理端口Failoverport一个串口冗余状态判断端口Mgmtinterface一个10/100M管理端口2.状态灯判断BigIP在正常工作时可以通过端口状态显示灯判断工作状态:10/100M端口连接状态灯,绿色为100M连接正常,橙色为10M连接正常10/100M端口数据通讯状态灯,停止为无流量,闪烁为正在进行数据通讯1000M端口连接状态灯,绿色为1000M连接正常1000M端口数据通讯状态灯,停止为无流量,闪烁为正在进行数据通讯系统面板右侧系统状态灯System正常情况下为绿色,为系统工作正常Status正常情况下的Active设备为绿色,而Backup设备为橙色Activity在有数据流量通过时闪烁,无数据流量时定时闪Alarm为健康检查报警,当系统发现有服务节点处于“不健康”状态时的提示报警第10页/共27页六、2F5设备的初始配置准备1.配置BIG-IP的准备工作1.网络管理终端一台2.F5的ConsoleCable一根3.标准的网线一根4.超级终端软件(推荐使用secureCRT)5.SSH客户端软件(推荐使用secureCRT)6.支持HTTPS的浏览器软件2.如何连接到BIG-IP你可以使用超级终端或SSH方式进入到BIG-IP的命令行界面,当然也可以使用HTTPS连接到BIG-IP的图形界面。在作初始配置和网络配置时,我们推荐使用命令行方式避免误操作,而配置业务系统时推荐使用图形界面便于理解。1.使用超级终端建立一个连接,通过Console电缆一端连接BIGIP,一端连接网管终端的Com端口,超级终端的参数设置如图:推荐使用VT100终端模式连接BIG-IP。由于中文Windows的超级终端存在Bug,可能不支持方向键输入,所以推荐使用其他超级终端软件,例如secureCRT。2.你也可以使用SSH客户端连接到BIG-IP,当然前提是你已经知道BIG-IP的管理地址并将你的网管终端设置为该网段地址。在本案例中,BIG-IP的地址分别为:big1.wuhan.net.cn192.168.0.1big2.wuhan.net.cn192.168.0.2active的BIG-IP192.168.0.3推荐使用secureCRT连接到BIG-IP,命令行的默认用户/密码是root/default第11页/共27页3.当你知道BIG-IP的管理地址时,就可以使用浏览器通过进入图形界面管理,默认的用户名密码是admin/admin第12页/共27页六、3命令行初始登录系统1、建立连接后,输入”root”帐号和密码后,进入页面如图:2、缺省的终端类型为vt100,回车后如图:3、缺省的主机名字是:default,在提示符下面输入:config命令如图:第13页/共27页4、命令执行后,出现页面如图:在图中有各个选项,当我们第一次配置时可以使用选项A,以后修改配置时可以使用相关的单独配置选项。第14页/共27页六、4F5设备的网络系统配置推荐使用命令行方式配置网络系统,如上节所示,在任意目录下输入config命令进入到FTBU(fir