背景
中国电信股份有限公司陕西分公司(简称中国电信陕西公司)是中国电信股份有限公司在陕西省设立的省级分公司,是陕西省内主导的全业务通信运营企业。根据中国电信股份有限公司的授权,中国电信陕西公司下辖10个市级分公司、89个县(市、区)级分公司及1个直属单位(西安机动通信局)、1个专业子公司(陕西公众信息产业有限公司),服务网点遍布陕西城乡各地。目前公司主要经营话音、数据、图像、多媒体等业务,可以提供移动电话、本地电话、长途电话、互联网接入及应用、数据通信、视讯服务、国际及港澳台通信等多种类综合信息服务,能够满足广大客户的各种通信及信息服务需求。
随着宽带用户数的不断增长以及互联网应用的日益丰富和多样,DNS业务需求成倍的增长,DNS业务的安全稳定性要求也越来越高。面临业务的不断增长、系统和系统外界的病毒以及各种形式的攻击等威胁,要保障DNS业务稳定、安全、高效的运行从而为用户提供可靠的DNS服务,就必须采用主动的维护管理手段,对DNS系统进行有效的监控和管理。
DNS是当今Internet的基础架构,众多的网络服务(如Http、Ftp、Email等等)都是建立在DNS体系基础之上的。DNS系统的稳定正常与否,已经成为互联网业务是否正常的基础标志。
针对这几年不断发生的DoS/DDoS攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等针对DNS系统的攻击,一般的提升自身DNS性能的解决方式已经跟不上DDOS攻击的迅速增长;同时目前有一些专门针对DNS系统缓存部分的攻击比较频繁,造成DNS系统的缓存中毒,使得有些域名被篡改,有时其攻击流量超过DNS系统的设计值,容易造成DNS系统的瘫痪。当DNS系统瘫痪、或者一些核心的政治域名被篡改,将给运营商带来非常大的的影响。
原先那种粗放式、被动的管理方式已经无法保证DNS系统的正常运转。尤其是5.19DNS断网事件发生时,由于DNS系统没有主动的报警信息,技术人员只能被动地对各种系统进行逐个排查,消耗了大量的时间,无法及时恢复网络。我们认真分析和研究了事件发生的起因、经过和影响,结合当前各地DNS系统的现状,我们认为对DNS系统进行主动监控管理,实施DNS系统监控项目十分必要。
基于DNS系统的业务特点,融海咨询的技术人员和陕西电信网监中心的技术人员一起,确定了DNS系统监控管理项目需要重点实现的四大目标:确保DNS系统的可用性、保证DNS高性能、DNS系统运行状况分析报告、故障准确预警。
从最近几年的趋势看,DNS系统所遭受的攻击越来越频繁,自身DNS性能的不断提升已经跟不上DDOS攻击的迅速增长。因此,需要一种主动的监控手段,能够在攻击开始时,及时地进行准确预警,以便管理员能够及时得到攻击的方式以及来源,便于启动攻击的应急预案,保证网络性能不下降、网络不中断。
对于DNS系统监控的预警必须达到以下需求:
准确预警(DNS的流量有时变化比较大,因此需要准确的预警,排除异常误报);
能够在QPS等指标异常时,抓取DNS的运行状态,抓取请求IP的Top-Ten排行,请求域名的Top-Ten排行;
能够分级别告警;
能够提供声音报警及邮件报警等多种报警方式。
融海咨询帮助陕西电信成功部署AppManagerDNS监控管理系统
由于陕西电信的DNS系统拥有两个节点。两套DNS系统均使用RadWare四层交换机进行DNS负载均衡。因此DNS服务器均无法与城域网直接通讯。根据这种分布情况,需要两套AppManager的管理服务器基础模块平台收集和监测数据,一个用于监控节点1DNS系统;另一个用于监控节点2DNS系统。
为了便于统一管理,我们建议两套管理服务器都采用双网卡模式(一网卡连接四层交换机内部,与Dns服务器保持一致,相互间能够通讯;另外一网卡设置为公网IP,便于分析中心及控制中心与之通讯。),同时与内网网保持联系,只有这样才能在统一的控制中心实时获得监控数据。
基于陕西电信DNS系统的软硬件环境(如图2-1所示),在AppManage的监控管理系统部署中需要分别按DNS系统监控(控制台包括Web控制台及知识库)与Agent、分析中心与控制中心、响应时间监控三个部分进行实际设计部署。
图:DNS监控系统部署
图:4月8日—14日节点1交换机各端口连接数周报
图:4月8日-14日节点2各服务器CPU利用率周报
AppManager提供了专门用于数据分析的产品-分析中心(AnalysisCenter)。分析中心是构建在数据仓库基础上的分析系统,能够对AppManager 收集的各种数据进行有效的统计、分析从中挖掘出有用的信息,为领导决策、故障分析和预警提供有力的依据。
Appmanager的AnalysisCenter提供给用户功能强大、类型极为丰富的多种报表,如服务水平报表,性能报表,趋势分析报表等等。报表查询快捷,可灵活定制。用户可以自行定制报表中要分析的数据、数据的时间段、数据如何进行计算(均值、最大最小值、求和或者用户指定算法)、报表的表现形式(柱状图、饼型图、点线图等)、报表中的数据粒度(比如在日报表中可以指定是1小时聚合一次数据还是2小时聚合一次数据;1小时聚合一次,则日报中包含24个数据点,2小时聚合一次则日报中包含12个数据点)等等。
由于AnalysisCenter支持丰富的报表类型,因此制作报表时,需要根据查看报表的人员角色不同,选择合适的报表模板。对于管理人员,只需要提供有关系统整体状况的报表,而不需要关心具体的性能报表。如下图通过Dashboard模板使得用户可在一张报表中分别从系统资源使用情况、业务响应时间、应用服务器性能状况几个不同的角度清晰地了解到系统的整体状况: