基本介绍:
1、DNS
DNS本质上是一个分布式数据库,主要功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。 DNS系统中的服务器按照在网络中的功能可分为具有授权能力的Authoritative Name Server和具有缓存功能的Caching Name Server。
目前全球所采用的DNS大多都是由ISC(Internet Software Consortium)发布的BIND(Berkeley Internet Name Domain)。但是由于BIND软件是针对简单网络设计的,随着网络的迅速发展,BIND 系统已经不适应在如今复杂的大规模网络环境下提供DNS服务了。而参与BIND9编写的Nominum公司重新编写一套全新的DNS系统Foundation。
2、BIND介绍
BIND是域名系统 的 Berkeley 实现,是一种分布式网络信息查找服务,用于将主机名映射到 Internet 地址和将 Internet 地址映射到主机名。BIND为开源项目,现在最新的发行版本为BIND 9.4.2 。
3、CNS介绍
Nominum公司的Foundation系统按照功能划分,包括CNS(Caching Name Server)、ANS(Authoritative Name Server)和FMC(Foundation Management Center)。CNS完成缓存(Cache)功能,ANS完成授权(Authority)功能,FMC完成对系统的图形化管理。
其中授权域名服务器应该部署在宽带骨干网中,冗余备份以提高可靠性。缓存域名服务器应当部署在靠近客户端的地方。Foundation把缓存功能和授权功能分开处理,这对于提高 DNS的性能、可靠性和安全性等方面是十分重要的。
Foundation CNS是一高性能的商业缓存域名服务器,可以提供电信级的服务,响应大量客户端的域名解析请求。相对于其他DNS服务器来说,对成功的或不成功的请求,CNS都可以提供更快的请求响应时间。CNS还提供了对网络中广泛传播的针对UNIX系统的各种攻击的防范措施,此外,CNS还支持一些高级设置,比如Global forwarding、Domain-specific forwarding和IPv6等。
二、BIND与Foundation系统间的比较:
Foundation ANS/CNS | BIND9 | |
Performance | 60,000 Queries per second; DNSSEC has minimal impact; | 7,000 Queries per second; DNSSEC has major performance impact |
Scaling | Unlimited; Use both memory &database | limitied to avaliable memory |
Management | On-the-fly reconfiguration; Centralized console for full remote reconfiguration and management; User friendly GUI | Reconfiguration requires restart server ‘deaf’ while restarting; Management by configuration file; Limited remote management |
Integration | Backend databases | None |
Support | Full commercial product. Training. Bug fixes. | Third-party contractors. Self-maintenance. |
BIND的不足:
l 处理能力差,经常导致查询丢失和查询速度异常缓慢;
l 安全性能不高,DNS 欺骗,利用软件的漏洞来发动攻击,利用网络协议的漏洞来发动DOS攻击;
l 可靠性不强,需要经常的耗时不短的重启;
l 管理不方便,管理BIND服务器需要系统和网络管理员的大量时间;
l 可扩展性有限,即使BIND 9并不适合当今的大规模的网络;
l 出了问题找不到人解决,因为使用的是免费程序,找不到人为这样的程序负责。
附A:Foundation给出的性能测试
在Red Hat Linux、SuSE或FreeBSD系统下,CPU为Pentium IV 2.4GHz或更高,RAM为1GB,磁盘空间2GB以上的配置环境下,CNS每秒可以处理88,000个查询,ANS每秒可以处理66,000查询。这 表明了Foundation系统极高的处理能力。
在相同硬件配置下Foundation的查询速度大约是BIND的4~8倍,查询速度可以用延迟(Latency)和QPS(Query Per Second)来表示。在相同的QPS的情况下,Foundation的CPU利用率大约是BIND的1/5,RAM的利用率也大大提高,而且其在高峰期 的查询丢失率也比BIND大大降低。下面我们根据一些来自用户的实际结果看一下(图例来自英国电信和日本电信等的实测结果)。
关于Nominum 公司
Nominum 是一个面向网络DNS服务和IP地址管理的一个先导,它提供可信的和安全的DNS、DHCP和IP地址管理工具。1999 年,David Conrad和Paul Vixie创办了Nominum并且接受了编写BIND9 的工作。Conrad和Vixie吸收了许多在Internet领域非常受关注和尊重的,并且有远见卓识的人加入这个公司,其中包括Paul Mockapetris,他在1983 年发明了DNS而且写了最初的DNS RFCs2,还有Ted Lemon,他是ISC-DHCP的主要开发者以及DHCP Handbook3 的共同作者之一。Nominum在2000 年9月向ISC发布了BIND 9.0。在将BIND 9 捐赠给ISC之后,Nominum密切地与全球2000 多个客户合作,很快了解了他们对DNS产品的要求。BIND 9 过去没有也不可能满足他们所有的要求,甚至主要的升级更新也不能完全克服BIND9 在设计上固有的缺陷,Nominum意识到需要重新编写一套全新的DNS系统,于是Nominum转变成为一家商业的软件公司,在市场上竞争有着自己的项目管理、市场和营销团队。但同时他们没有放弃开放代码资源的共享,而是依然是ISC的发展战略伙伴之一,依然在为BIND 9 进行新版本的开发。毫无疑问地,Nominum在写BIND9 的时候积累了很多经验,对DNS的需求有着深刻地理解,并且参与了很多相关国际标准的制定,在DNS方面处于全球的领先地位。
术语表:
ANS(Authoritative Name Server)
ANS完成授权(Authority)功能
BIND :
Berkeley
Internet Name Domain
官方网址:http://www.isc.org/
手册为:http://www.isc.org/index.pl
CNS : Caching Name Server
CNS完成缓存(Cache)功能, 可以提供电信级的服务,响应大量客户端的域名解析请求。
官方网站为 :http://www.nominum.com
国内代理网址:http://www.testor.com.cn/
FMC(Foundation Management Center)
FMC完成对系统的图形化管理。
在 http://www.nominum.com 中可以下载 DNS Unbound – A New Generation of DNS Servers 的文档查看更详细BIND与CNS的比较说明。