项目背景
校园网络的稳定可靠是教育信息化得以不断深入的基础保证,而网络基础设施是网络运行的基石,直接决定网络通信、应用访问是否稳定可靠。
北京航空航天大学在校生近三万人,随着校园无线网的普及,其校园网用户基数越来越大,而且上网高峰集中。提升访问网络体验及网络稳定可靠性,将对北京航空航天大学深入推进教育信息化、以信息化手段扩大优质教育资源的普及和覆盖有着积极意义。
面临问题
北航原DNS系统采用开源BIND系统搭建,系统可提供基础解析服务,但同时存在诸多问题:
BIND系统无法实现多链路出口流量智能调配,多链路带宽使用不均,教职员工访问网络体验差;
BIND系统对部分国外学术网站的IPv6解析不稳定,有时不得不通过手工方式维护非本校的IPv6解析内容;
BIND系统存在安全风险,管理员需要经常对BIND高危漏洞进行升级,且每次升级需逐一对多台服务器进行;
二级域名申请通过行政手段实现,管理员需手工维护域名记录。
北航DHCP系统采用开源Windows系统搭建,系统问题具体表现在以下几点:
随着校园内无线终端数量越来越多,自建DHCP系统上网高峰期可能导致终端获取IP地址困难;
自建DHCP系统不具备精细化IP管理功能,不能进行主动探测发现,尽快记录在线状态、定位接入位置、识别身份特征、发现冲突等;
无法控制非法接入:无法实现一键控制非法路由器非法接入网络;
自建系统不能支持HA部署,一旦DHCP服务失效,所有的服务都将受到影响:无法收发E-mail,无法访问WEB站点,内部系统和关键应用停止服务——几乎所有网络活动都将停顿。
应用场景
多链路流量智能调配,实现北航联通、电信、教育网多条链路的智能解析;
集中管理功能,实现管理平面、数据平面、监控平面完全隔离,提高系统可靠性,保持业务持续性;
基于角色的管理功能,允许最高管理者建立分权管理/操作人员账号,每个账号都可以灵活地指定必要的权限;
加固安全性防护,全方位建立可靠的安全策略,更大限度地保障DNS系统的安全稳定运行。
特色优势
配合负载均衡设备部署,具有极强的业务容灾性和可扩展性,单个DNS服务器故障不影响全网域名解析业务,保障业务连续性;
从架构部署、硬件设计、系统开发、管理角色授权等方面全方位建立可靠的安全策略,更大限度保障DNS系统的安全稳定运行;
DNS系统支持多种默认指标的实时和历史数据统计分析,还可根据管理需要对解析服务近20种状态指标生成数十个自定义报表;
提供可自主访问的WEB页面进行域名自助注册申请,管理员只需设置允许开放注册的域名区并设定注册审核流程即可;
DHCP系统HA部署,保证高可靠、专业化的DHCP系统,具备冗余性;
通过多种标准协议、接口进行平台开发,无缝对接第三方系统:在本项目中,ZDNS系统通过API接口对接认证计费系统,实现计费联动,无感知认证。IP动态感知使得地址管理从传统的“出问题后被动解决”转变为“感知隐患主动规避”,使得北航地址管理在即时性和可靠性上都得到了保障;
系统支持Debug、Info、Notice、Warning、Err、Alert等多种日志级别自定义设置,系统地址管理支持通过指定网络协议探测和发现网络内地址,更加准确、全面地进行网络地址管理。