配置介绍:利用AX产品启用DNS Cache和安全防护提高DNS系统的可用性和安全性

简介:

本人在9月份写了一个Blog,介绍有关AX产品如何提升DNS系统整体的可用性和安全性的文章。大致介绍了一下方案的思路,这次结合具体的配置,来给大家分享一下。

配置的目的:

1、 利用AX产品基于DNS应用层的健康监测机制,对DNS服务器提供最准确的应用层可用性探测;

2、 利用AX产品对DNS服务器群提供高效的负载分担算法,保障每台服务器的访问压力比较均衡,任何一台服务器出现故障都不会影响整个DNS系统的可用性;

3、 利用AX产品提供的DNS Cache功能,通过在AX系统内存中缓存DNS服务器的应答数据,可以极大的降低DNS服务器的访问压力;同时,还可按照灵活的策略缓存或不缓存指定域名,提供不同的缓存策略;

4、 利用AX产品提供的DNS应用策略,实现非法DNS请求的过滤、速率限制、连接数限制等安全策略,例如可基于源IP地址、基于DNS域名等实现连接数和连接速率限制等;

部署拓扑结构:

clip_image002

 

结合以上这四点,分别介绍一下相关的AX配置(以命令行为例):

1、DNS服务器应用层健康检查

health monitor DNS-CHECK 
method dns domain www.baidu.com   ;#检查某个域名,查看被检查的DNS服务器是否有应答

slb server DNS-1 xx.xx.xx.209 
   port 53  udp 
       health-check DNS-CHECK   ;#对递归DNS服务器启用此前创建的DNS健康检查方法

2、配置DNS服务器组的负载均衡算法(最少连接数算法)

slb service-group DNS-ANYCAST udp 
    method least-connection 
    member DNS-1:53 
    member DNS-2:53 
    member DNS-3:53 
    member DNS-4:53

3、配置DNS Cache策略和速率限制策略 
class-list DNS            ;#按照不同的域名归类,以便按照这些类别配置不同的策略,如果策略域名比较多,这个Class-list也可以以文件的形式导入 
dns ends-with .com lid 1 
dns ends-with .cn lid 2 

slb template dns CACHE       ;#配置DNS缓存策略模板  
   class-list name dns               ;#绑定此前创建的DNS类别表 
   class-list lid 1                       ;#按照不同的类别ID配置不同的策略 
      dns cache-enable 
      dns ttl 500 
      conn-rate-limit 100 per 1    ;#配置该类别域名查询速率的限制(每100毫秒接受100个该域名的DNS查询请求) 
      over-limit-action lockout 60 log 1 
   class-list lid 2 
      dns cache-disable               ;#缺省对该域名类别不缓存 
      dns ttl 300 
      conn-rate-limit 200 per 1 
      over-limit-action lockout 60 log 1

4、配置对外提供DNS服务的VIP

slb template udp UDP             ;#由于DNS应用基本都是UDP的短连接,建议配置较短的空闲超时时间,并减小会话生命期 
idle-timeout 60 
aging short 
re-select-if-server-down 
!

slb virtual-server VIP-173 xx.xx.xx.173       ;#配置VIP名和IP地址  
   disable when-all-ports-down         ;#当所有递归DNS服务器端口down时,关闭此VIP  
   port 53 dns-udp 
        source-nat pool SNAT 
        service-group DNS-ANYCAST 
        template udp UDP  
        template dns CACHE               ;#启用相关的模板

 5、启用OSPF路由,配置IP Anycast

router ospf 100
 ospf router-id xx.xx.xx.193
 redistribute vip             ;#将VIP地址的主机路由广播出去
 network xx.xx.xx.192 0.0.0.15 area 60

大概的配置就是这样的一个过程,可以按照这个思路将来有机会尝试一些其它的配置和策略。 

 

S.G



本文转自 virtualadc 51CTO博客,原文链接:http://blog.51cto.com/virtualadc/685907

相关文章
|
1月前
|
测试技术
软件测试中的QPS和TPS解析:以秒杀系统为例
软件测试中的QPS和TPS解析:以秒杀系统为例
28 0
软件测试中的QPS和TPS解析:以秒杀系统为例
|
1月前
|
算法 C++ 容器
C++ STL:空间配置器源码解析
C++ STL:空间配置器源码解析
|
15天前
|
域名解析 网络协议 应用服务中间件
云解析DNS问题之配置域名解析ip地址如何解决
DNS解析是指将人类可读的域名转换成机器可读的IP地址的过程,它是互联网访问中不可或缺的一环;本合集将介绍DNS解析的机制、类型和相关问题的解决策略,以确保域名解析的准确性和高效性。
20 1
|
22天前
|
安全 Unix Shell
【Linux】Linux系统编程——Linux命令解析器
【Linux】Linux系统编程——Linux命令解析器
21 1
|
26天前
|
域名解析 应用服务中间件 Linux
【服务器】使用域名解析服务器的IP地址并配置SSL证书
【服务器】使用域名解析服务器的IP地址并配置SSL证书
211 0
|
29天前
|
域名解析 存储 负载均衡
DNS 域名解析系统
DNS 域名解析系统
|
30天前
|
网络协议 Linux 网络安全
Linux服务器配置指南:网络、用户管理、共享服务及DNS配置详解
Linux服务器配置指南:网络、用户管理、共享服务及DNS配置详解
104 0
|
1月前
|
Go 索引
Go系统编程不求人:os包全面解析
Go系统编程不求人:os包全面解析
24 0
|
1月前
|
消息中间件 数据库
面试题解析:RabbitMQ在多线程秒杀系统中的关键作用
面试题解析:RabbitMQ在多线程秒杀系统中的关键作用
20 0
|
1月前
|
消息中间件 存储 NoSQL
面试题解析:如何解决分布式秒杀系统中的库存超卖问题?
面试题解析:如何解决分布式秒杀系统中的库存超卖问题?
56 0

相关产品

  • 云解析DNS
  • 推荐镜像

    更多