Tài liệu Nghiên cứu áp dụng công nghệ anycast cho hệ thống dns quốc gia

  • Số trang: 27 |
  • Loại file: PDF |
  • Lượt xem: 71 |
  • Lượt tải: 0
nganguyen

Đã đăng 34345 tài liệu

Mô tả:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------------------- Nguyễn Trường Thành NGHIÊN CỨU ÁP DỤNG CÔNG NGHỆ ANYCAST CHO HỆ THỐNG DNS QUỐC GIA Chuyên ngành: Kỹ thuật Điện tử Mã số: 60.52.70 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 1 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. Đặng Hoài Bắc…….………………………… (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………….. Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: ....... giờ ....... ngày ....... tháng ....... .. năm ............... Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 2 MỞ ĐẦU 1. Lý do chọn đề tài: Ngày nay Internet và các dịch vụ trao đổi thông tin cơ sở mạng Internet đang phát triển một cách mạnh mẽ. Trên thế giới hiện có rất nhiều tên miền được cấp phép, sử dụng để cung cấp các dịch vụ trên hạ tầng Internet. Các tên miền được lưu trữ trên một hệ thống DNS có cấu trúc và trải rộng trên phạm vi toàn thế giới. Hệ thống DNS đóng vai trò như hệ thống chỉ mục Internet, được truy xuất rộng rãi không hạn chế thông qua các giao thức truy vấn/trả lời thông tin DNS. Sự phát triển của Internet cùng với sự ứng dụng sử dụng tên miền Internet một cách nhanh chóng như hiện nay đặt một gánh nặng lên hệ thống DNS, hệ thống này phải được phát triển không ngừng nhằm trả lời truy vấn tên miền một cách nhanh nhất. Để giải quyết vấn đề này hiện nay nhiều tổ chức quản lý DNS trên thế giới đã áp dụng công nghệ định tuyến địa chỉ Anycast. Việt Nam mới cung cấp dịch vụ Internet từ năm 1997 nhưng đã đạt được một số thành tựu quan trọng góp phần vào công cuộc xây dựng và phát triển kinh tế đất nước, nâng cao vị thế và vai trò của Việt Nam về lĩnh vực công nghệ thông tin nói chung. Trải qua hơn 10 năm phát triển Internet, số lượng tên miền Internet .VN được cấp phát và cài đặt trên máy chủ DNS quốc gia đã lên đến hơn gần 300.000 tên miền truyền thống và hơn 900.000 tên miền tiếng việt. Hiện nay hệ thống DNS quốc gia đã được triển khai tại nhiều điểm, đảm bảo an 3 toàn bằng nhiều biện pháp kỹ thuật, nhưng vẫn chưa có hệ thống Anycast nào triển khai tại Việt Nam. Việc tiến hành nghiên cứu thử nghiệm công nghệ Anycast và đánh giá khả năng áp dụng tại Việt Nam nhằm nâng cao khả năng hoạt động tốt nhất cho hệ thống DNS quốc gia. 2. Mục đích nghiên cứu: - Nghiên cứu, tìm hiểu, phân tích ưu/nhược điểm của công nghệ Anycast. Giải pháp kỹ thuật áp dụng Anycast cho hệ thống máy chủ tên miền DNS. - Thử nghiệm, đánh giá về công nghệ Anycast và đề xuất khả năng áp dụng cho hệ thống máy chủ tên miền quốc gia, đảm bảo an toàn, bảo mật, khả năng mở rộng cao. 3. Đối tượng và phạm vi nghiên cứu: - Hệ thống máy chủ quản lý tên miền DNS quốc gia. - Mô hình đề xuất áp dụng giải pháp Anycast cho hệ thống máy chủ tên miền DNS quốc gia. - Tiến hành thử nghiệm trên hệ thống máy chủ tên miền DNS quốc gia tại Trung tâm Internet Việt Nam - Bộ Thông tin và Truyền thông. - Thời gian thực hiện: năm 2012 4. Phương pháp nghiên cứu 4 - Tìm hiểu các tài liệu, tiêu chuẩn về giải pháp Anycast và áp dụng Anycast cho hệ thống máy chủ tên miền DNS - Tiến hành thử nghiệm: xây dựng mạng thử nghiệm gồm hệ thống mạng Anycast, hệ thống máy chủ tên miền DNS, hệ thống máy trạm. Sử dụng các thiết bị mạng và máy chủ, máy trạm, công cụ … để thử và đo kiểm kết quả. 5 NỘI DUNG Chương 1: Khảo sát hiện trạng hệ thống DNS quốc gia Nội dung chương tiến hành khảo sát hiện trạng hệ thống DNS quốc gia, bao gồm hạ tầng hệ thống kỹ thuật, kết nối và hệ thống máy chủ tên miền DNS. Nội dung cụ thể của chương bao gồm: I. Hiện trạng hệ thống kỹ thuật IPv4 IPv4 NATIVE – VPN IPv6 VNNIC IPv6 -HN NAT IVE –V PN IPv 6 VNNIC IPv6 - HCM IPv6 VPN – IVE NAT VNNIC IPv6 - DN IPv4 ISP ISP ISP ISP ISP ISP VNIX6 VNIX6 VNIX IPv6 INTERNET VNIX IPv4 INTERNET BLUE: IPv4 YELLOW: IPv6 Tổng thể mạng DNS quốc gia hiện tại Hệ thống kỹ thuật gồm 5 site chính phân bố trên toàn quốc, liên kết với nhau qua hạ tầng kết nối tốc độ cao với các đặc điểm sau: - Hệ thống mạng DNS quốc gia gồm 02 mạng IPv4/IPv6 có thể kết nối với nhau. - Hạ tầng kết nối (core) bao gồm các kết nối cáp quang, kết nối qua backbone Internet Việt Nam, trạm trung chuyển Internet quốc gia VNIX và các hệ thống VPN liên kết các vùng. 6 - Hệ thống mạng DNS quốc gia với 7 cụm máy chủ DNS quốc gia (05 cụm trong nước và 02 cụm ở nước ngoài) đáp ứng toàn bộ nhu cầu truy vấn DNS toàn quốc. - Hệ thống trạm trung chuyển Internet quốc gia VNIX trung chuyển lưu lượng Internet trong nước giữa các nhà cung cấp dịch vụ ISP. Hệ thống truyền dẫn kết nối của mạng DNS quốc gia được hình thành trên cơ sở mạng DNS quốc gia, trạm trung chuyển Internet quốc gia VNIX, các mạng của ISP: Trạm trung chuyển Internet quốc gia VNIX - 03 trạm trung chuyển Internet quốc gia VNIX đặt tại Hà Nội và TP. Hồ Chí Minh và Đà Nẵng: tại Hà Nội kết nối với 10 ISP (VNPT, Viettel, FPT, VTC, SPT, HTC, NGT, GDS, CMCTI), 7 tại TP.HCM kết nối với 15 ISP (VNPT, FPT, Viettel, HTC, VTC, SPT, VinaDATA, NGT, SCTV, DTS, Newlife, Netnam, ODS, CMCTI), tại Đà Nẵng kết nối với 02 ISP (Viettel, CMCTI). Các kết nối đều có tốc độ cao 1-10Gbps, thông qua các kết nối này, lưu lượng trung chuyển giữa các ISP trong nước được lưu chuyển, đồng thời lưu lượng dịch vụ truy vấn DNS (trong nước và quốc tế) cũng được chuyển tiếp. - Cụm máy chủ DNS quốc gia kết nối với backbone Internet quốc gia và trạm trung chuyển Internet quốc gia VNIX, kết nối logic thông qua hệ thống VPN đa điểm. Có 3 cụm DNS quốc gia được đặt tại gateway của VNPT kết nối với backbone Internet quốc gia và gateway quốc tế. II. Hiện trạng hệ thống máy chủ tên miền DNS quốc gia Hiện trạng hệ thống DNS hiện tại 8 Hệ thống máy chủ tên miền (DNS) quốc gia do Trung tâm Internet Việt Nam (VNNIC) quản lý có nhiệm vụ quản lý không gian tên miền cấp quốc gia .VN; tiếp nhận trả lời các truy vấn tên miền .VN: - Hệ thống DNS gồm các máy chủ độc lập, sử dụng các địa chỉ IP khác nhau, đặt tại các vị trí khác nhau. Địa chỉ quản lý (management) và địa chỉ dịch vụ là giống nhau. - Hiện tại hệ thống máy chủ tên miền quốc gia gồm 5 cụm máy chủ đặt trong nước (2 cụm tại thành phố Hồ Chí Minh; 2 cụm tại Hà Nội và 1 cụm đặt tại Đà Nẵng), 2 cụm máy chủ đặt ở nước ngoài tại nhiều điểm khác nhau trên thế giới. - Ngoài ra hệ thống DNS quốc gia còn có thêm các cụm máy chủ DNS Caching (DNS Caching nscache1/nscache2.vnnic.net.vn) để thực hiện trả lời toàn bộ các truy vấn tên miền .VN từ máy chủ DNS của ISP trong nước chuyển tới. Như vậy, hiện tên miền quốc gia Việt Nam ".VN" đã được quản lý, đảm bảo bởi 07 cụm máy chủ DNS đặt tại các điểm khác nhau trên toàn thế giới (40 điểm tại nước ngoài, 5 điểm trong nước) sử dụng các công nghệ mới nhất như định tuyến địa chỉ Anycast, cân bằng tải (CSM) … Truy vấn tên miền ".VN" từ phía người dùng trên khắp thế giới sẽ được thực hiện rất nhanh qua máy chủ DNS gần nhất được tìm thấy trong số các máy chủ tên miền ".VN". Hệ thống DNS quốc gia 9 cũng đã triển khai bổ sung cụm máy chủ DNS quốc gia có kết nối mạng IPv6 tại địa chỉ (2001:678:4::12 & 2001:67c:e0::126), thông qua đó người dùng Internet có thể truy vấn tên miền ”.VN” qua cả hai mạng IPv4 cũng như IPv6. Một số đặc điểm nổi bật: - Triển khai trên nhiều cấu hình phần cứng và hệ điều hành khác nhau đảm bảo an toàn. - Ứng dụng các công nghệ Anycast (2 cụm DNS quốc gia tại nước ngoài) và cân bằng tải CSM (B,C), an toàn và mở rộng cao. - Tên máy chủ đã được quy hoạch thống nhất A-F.dns-servers.vn. - Hoạt động an toàn ổn định. - Thời gian truy vấn nhanh:  Nước ngoài: A: ~100msec; B-F: ~200msec  Trong nước: A: ~300msec; B-F: ~80msec  Trong nước Cache: .vn: ~15-20msec, gTLd: 200msec. Những tồn tại: Tuy nhiên tại từng điểm của hệ thống DNS quốc gia trong nước hiện nay mới chỉ áp dụng các công nghệ đảm bảo tính sẵn sàng cao (HA - High Availbility) như các giải pháp cluster (Active/Active, Active/Standby), công nghệ cân bằng tải CSM (Content Switching Module). Các công nghệ này có ưu điểm là tăng tính an toàn, sẵn 10 sàng, và dự phòng cho hệ thống tại từng điểm. Tuy nhiên vẫn có nhược điểm là: - Khả năng mở rộng là hữu hạn, phụ thuộc vào năng lực và giới hạn (maximum) mở rộng của thiết bị, phần mềm. - Mỗi cụm máy chủ chỉ có tính dự phòng tại từng điểm, mang tính cục bộ của cụm đó, chưa có khả năng mở rộng 1 cụm ra nhiều điểm ở các vị trí địa lý khác nhau. - Truy vấn từ DNS client đến các máy chủ DNS quốc gia .VN theo cơ chế quay vòng/ngẫu nhiên, do đó thời gian truy vấn chưa được tối ưu vì client có thể chọn 1 máy chủ DNS ở rất xa để thực hiện truy vấn thay vì chọn máy chủ DNS gần nhất. 11 Chương 2: Nghiên cứu giải pháp định tuyến địa chỉ Anycast Nội dung chương tiến hành tìm hiểu về giải pháp Anycast. Phân tích ưu, nhược điểm của định tuyến Anycast. Tìm hiểu về giải pháp kỹ thuật Anycast trong hệ thống máy chủ tên miền DNS quốc gia. Nội dung cụ thể của chương tập trung nghiên cứu, tìm hiểu các vấn đề sau: I. Các giao thức định tuyến trên Internet Giao thức định tuyến được dùng trong khi thi hành thuật toán định tuyến để thuận tiện cho việc trao đổi thông tin giữa các mạng, cho phép các router xây dựng bảng định tuyến một cách linh hoạt. Có 2 loại giao thức định tuyến là định tuyến tĩnh và định tuyến động. Giao thức định tuyến tĩnh sử dụng phương thức chỉ đường cho gói tin một cách cố định. Trong đó định tuyến động được sử dụng rộng rãi hơn đối với các mạng diện rộng yêu cầu thiết bị định tuyến phải tìm ra đường đi tốt nhất để thực hiện chuyển tiếp gói tin. Danh sách các giao thức định tuyến: - Giao thức định tuyến trong: o Router Information Protocol (RIP) o Open Shortest Path First (OSPF) o Intermediate System to Intermediate System (IS-IS) o Hai giao thức sau đây thuộc sở hữa của Cisco, và được hỗ trợ bởi các router Cisco hay những router của những nhà cung cấp mà Cisco đã đăng ký công nghệ: 12  Interior Gateway Routing Protocol (IGRP)  Enhanced IGRP (EIGRP) - Giao thức định tuyến ngoài: o Exterior Gateway Protocol (EGP) o Border Gateway Protocol (BGP) o Constrained Shortest Path First (CSPF) Trong đó BGP được sử dụng làm giao thức đinh tuyến toàn cầu. Các khái niệm cơ bản của giao thức bao gồm: BGP là một giao thức định tuyến, giao thức này được thiết kế để kết nối các AS (Autonomous system), không kết nối các subnets với 1 AS. Một AS là một nhóm các router cùng chia sẻ một chính sách và hoạt động trong cùng một miền nhất định. Mỗi AS được định danh bởi một số và được cung cấp bởi một nhà cung cấp AS hoặc bởi các ISPs. Con số này được chia ra làm 2 loại: Public có giá trị từ 1 đến 64511, privite có giá trị từ 64512 đến 65535. Các công ty lớn dùng BGP như là một kết nối giữa các mạng ở các quốc gia khác nhau. II. Định tuyến Anycast Sử dụng địa chỉ Unicast kết hợp với định tuyến mạng BGP (Border Gateway Protocol) có thể triển khai dịch vụ mới gọi là Anycast nâng cao năng lực hệ thống, chống tấn công. Công nghệ Anycast cho phép triển khai nhiều máy chủ tại nhiều địa điểm khác nhau nhưng chỉ sử dụng 01 địa chỉ IP và tên miền duy nhất, điều đó 13 đảm bảo việc tăng tốc độ trả lời truy vấn tên miền, chịu tải rất lớn và khả năng mở rộng, an toàn cao, hoàn toàn trong suốt với người sử dụng. - Nhiều instance của dịch vụ dùng chung 01 địa chỉ IP - Hạ tầng định tuyến sẽ đưa gói tin từ nguồn đến đích là instance gần nhất. Hình vẽ dưới đây mô tả việc chọn đường của gói tin đến 02 máy chủ DNS sử dụng chung một địa chỉ IP là 10.0.0.1. Thông qua bảng định tuyến Router sẽ đường đi tốt nhất đến máy chủ trong danh sách các đường đi/máy chủ mà nó biết được. Chọn đường trong router khi sử dụng anycast III. Phân tích kỹ thuật Anycast trong hệ thống máy chủ tên miền DNS 14 Khi áp dụng Anycast vào DNS thì nguyên tắc định tuyến hoàn toàn tuân thủ giải pháp kỹ thuật về định tuyến Anycast, tuy nhiên đây là một ứng dụng cụ thể nên sẽ có những đặc điểm riêng. Anycast ứng dụng trong DNS Mô hình local cluster: - Triển khai tại 01 điểm gồm nhiều node (>=2 node). - Các máy chủ kết nối vào hệ thống bằng địa chỉ kết nối, đồng thời cũng là địa chỉ quản lý. - Sử dụng giao diện ảo (sub-interface loopback) để lảm giao diện chạy dịch vụ DNS. - Trên các node cài phần mềm DNS, cấu hình trả lời truy vấn trên địa chỉ anycast. - Router sẽ chuyển lưu lượng truy vấn DNS đến máy chủ DNS theo bảng định tuyến trên Router. 15 Local cluster trong Anycast Mô hình global cluster: Sau khi triển khai local cluster xong thì bước tiếp theo là triển khai mở rộng cụm máy chủ đó trên nhiều địa điểm nhằm đảm bảo an toàn, sẵn sàng cao: - Sử dụng BGP Unicast Routing. - Quảng bá số hiệu mạng và vùng địa chỉ sử dụng làm anycast tại nhiều địa điểm khác nhau tới ISP upstream. - Tối ưu hóa định tuyến, chính sách định tuyến. 16 Global cluster sử dụng BGP Anycast Routing IV. Ứng dụng kỹ thuật Anycast trên thế giới. Kết quả nghiên cứu, phân tích khẳng định việc triển khai áp dụng công nghệ Anycast có những ưu điểm vượt trội: - Các client, server và Router không cần các phần mềm đặc biệt. - Không ảnh hưởng xấu tới hệ thống mạng hiện tại, chỉ cần tận dụng cơ hở hạ tầng sẵn có. - Cân bằng tải - Tăng độ linh động, dự phòng, sẵn sàng của dịch vụ. - Cải tiến về trễ - Cơ chế phân tán, giảm nguy cơ DoS - Khả năng mở rộng “không giới hạn”. Những lợi điểm này hoàn toàn phù hợp với hệ thống máy chủ dịch vụ. 17 Triển khai DNS Anycast có nhiều lợi thế: - Nhiều node DNS tại nhiều vị trí địa lý khác nhau chia sẻ một địa chỉ IP, khả năng mở rộng cao, trong suốt với người sử dụng. - Hệ thống định tuyến chuyển gói tin tới node DNS gần nhất, làm tăng tốc độ truy vấn. - Nâng cao năng lực hệ thống một cách dễ dàng. Hiện tại có nhiều nước, tổ chức trên thế giới đã triển khai ứng dụng công nghệ Anycast cho hệ thống DNS, trong đó điển hình có các tổ chức, quốc gia sau: Dự án 112: Dự án AS112 (www.as112.net) ra đời để giải quyết vấn đề nêu trên, giải pháp kỹ thuật đưa ra là triển khai một hệ thống DNS Anycast sử dụng số hiệu mạng (ASN) là 112. Hệ thống này sẽ trả lời các truy vấn/update tên miền ngược của vùng địa chỉ RFC1918 nói trên thay vì hệ thống DNS ROOT phải trả lời, các máy chủ trong AS này gọi là “black-hole servers” vì nó không có câu trả lời cho vùng địa chỉ RFC1918. ROOT DNS: Theo nguyên tắc hoạt động của hệ thống máy chủ DNS, toàn bộ quá trình truy vấn tên miền nói chung đều phải được thực hiện qua ROOT DNS, với số lượng tên miền nhiều như hiện nay thì hệ thống ROOT DNS phải thực hiện trả lời một số lượng lớn tên miền. Ngoài ra theo nguyên tắc kỹ thuật của hệ thống DNS thì mỗi tên miền chỉ có thể có tối đa 13 DNS, vì vậy cần có giải pháp để: 18 - Tăng khả năng của từng cụm máy chủ ROOT DNS - Trả lời tên miền một cách nhanh nhất trên toàn thế giới. Giải pháp Anycast đã được áp dụng cho hệ thống máy chủ tên miền ROOT, hiện nay rất nhiều cụm máy chủ DNS ROOT đã áp dụng công nghệ Anycast ccTLD DNS: Đã có nhiều nước trên thế giới triển khai áp dụng Anycast cho hệ thống DNS, điển hình có Hàn Quốc, Nhật Bản, … 19 Chương 3: Thử nghiệm triển khai hệ thống DNS sử dụng công nghệ Anycast. Trên cơ sở nghiên cứu lý thuyết về giải pháp định tuyến Anycast ở trên, tiến hành áp dụng thử nghiệm triển khai hệ thống DNS sử dụng công nghệ Anycast. Nội dung cụ thể của chương này gồm có: I. Xây dựng mô hình thử nghiệm Trong kế hoạch thử nghiệm, mạng Anycast được xây dựng và được đặt tại 2 điểm Hà Nội và TP. HCM, thực hiện quảng bá thông tin định tuyến vào 2 trạm trung chuyển Internet quốc gia VNIX tại 2 điểm đó. Các ISP kết nối trạm trung chuyển Internet quốc gia VNIX sẽ nhận định tuyến mạng DNS anycast (202.47.142.66/24) tại 2 điểm, khi đó tại một điểm bất kỳ trên mạng, các client có 2 lựa chọn đường đi để đến mạng DNS anycast và đường đi ngắn nhất được lựa chọn hoặc qua điểm VNIX-HN hoặc qua VNIX-HCM. Nguyên tắc chung: - Áp dụng công nghệ anycast. - Nhóm các máy chủ ở các vị trí khác nhau thành một cụm máy chủ. - Cụm máy chủ được thể hiện duy nhất trên mạng (01 địa chỉ anycast). Vấn đề kết nối, quản lý:
- Xem thêm -