HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Trường Thành NGHIÊN CỨU ÁP DỤNG CÔNG NGHỆ ANYCAST CHO HỆ THỐNG DNS QUỐC GIA Chuyên ngành: Kỹ thuật Điện tử Mã số: 60.52.70 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Đặng Hoài Bắc…….………………………… (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài: Ngày Internet dịch vụ trao đổi thông tin sở mạng Internet phát triển cách mạnh mẽ Trên giới có nhiều tên miền cấp phép, sử dụng để cung cấp dịch vụ hạ tầng Internet Các tên miền lưu trữ hệ thống DNS có cấu trúc trải rộng phạm vi tồn giới Hệ thống DNS đóng vai trò hệ thống mục Internet, truy xuất rộng rãi không hạn chế thông qua giao thức truy vấn/trả lời thông tin DNS Sự phát triển Internet với ứng dụng sử dụng tên miền Internet cách nhanh chóng đặt gánh nặng lên hệ thống DNS, hệ thống phải phát triển không ngừng nhằm trả lời truy vấn tên miền cách nhanh Để giải vấn đề nhiều tổ chức quản lý DNS giới áp dụng công nghệ định tuyến địa Anycast Việt Nam cung cấp dịch vụ Internet từ năm 1997 đạt số thành tựu quan trọng góp phần vào cơng xây dựng phát triển kinh tế đất nước, nâng cao vị vai trò Việt Nam lĩnh vực cơng nghệ thơng tin nói chung Trải qua 10 năm phát triển Internet, số lượng tên miền Internet VN cấp phát cài đặt máy chủ DNS quốc gia lên đến gần 300.000 tên miền truyền thống 900.000 tên miền tiếng việt Hiện hệ thống DNS quốc gia triển khai nhiều điểm, đảm bảo an toàn nhiều biện pháp kỹ thuật, chưa có hệ thống Anycast triển khai Việt Nam Việc tiến hành nghiên cứu thử nghiệm công nghệ Anycast đánh giá khả áp dụng Việt Nam nhằm nâng cao khả hoạt động tốt cho hệ thống DNS quốc gia Mục đích nghiên cứu: - Nghiên cứu, tìm hiểu, phân tích ưu/nhược điểm cơng nghệ Anycast Giải pháp kỹ thuật áp dụng Anycast cho hệ thống máy chủ tên miền DNS - Thử nghiệm, đánh giá công nghệ Anycast đề xuất khả áp dụng cho hệ thống máy chủ tên miền quốc gia, đảm bảo an toàn, bảo mật, khả mở rộng cao Đối tượng phạm vi nghiên cứu: - Hệ thống máy chủ quản lý tên miền DNS quốc gia - Mơ hình đề xuất áp dụng giải pháp Anycast cho hệ thống máy chủ tên miền DNS quốc gia - Tiến hành thử nghiệm hệ thống máy chủ tên miền DNS quốc gia Trung tâm Internet Việt Nam - Bộ Thông tin Truyền thông - Thời gian thực hiện: năm 2012 Phương pháp nghiên cứu - Tìm hiểu tài liệu, tiêu chuẩn giải pháp Anycast áp dụng Anycast cho hệ thống máy chủ tên miền DNS - Tiến hành thử nghiệm: xây dựng mạng thử nghiệm gồm hệ thống mạng Anycast, hệ thống máy chủ tên miền DNS, hệ thống máy trạm Sử dụng thiết bị mạng máy chủ, máy trạm, công cụ … để thử đo kiểm kết NỘI DUNG Chương 1: Khảo sát trạng hệ thống DNS quốc gia Nội dung chương tiến hành khảo sát trạng hệ thống DNS quốc gia, bao gồm hạ tầng hệ thống kỹ thuật, kết nối hệ thống máy chủ tên miền DNS Nội dung cụ thể chương bao gồm: I Hiện trạng hệ thống kỹ thuật IPv4 IPv4 NATIVE – VPN IPv6 VNNIC IPv6 -HN NAT IVE –V PN IPv VNNIC IPv6 - HCM IPv6 VPN – IVE NAT VNNIC IPv6 - DN IPv4 ISP ISP ISP ISP ISP ISP VNIX6 VNIX6 VNIX IPv6 INTERNET VNIX IPv4 INTERNET BLUE: IPv4 YELLOW: IPv6 Tổng thể mạng DNS quốc gia Hệ thống kỹ thuật gồm site phân bố toàn quốc, liên kết với qua hạ tầng kết nối tốc độ cao với đặc điểm sau: - Hệ thống mạng DNS quốc gia gồm 02 mạng IPv4/IPv6 kết nối với - Hạ tầng kết nối (core) bao gồm kết nối cáp quang, kết nối qua backbone Internet Việt Nam, trạm trung chuyển Internet quốc gia VNIX hệ thống VPN liên kết vùng - Hệ thống mạng DNS quốc gia với cụm máy chủ DNS quốc gia (05 cụm nước 02 cụm nước ngoài) đáp ứng toàn nhu cầu truy vấn DNS toàn quốc - Hệ thống trạm trung chuyển Internet quốc gia VNIX trung chuyển lưu lượng Internet nước nhà cung cấp dịch vụ ISP Hệ thống truyền dẫn kết nối mạng DNS quốc gia hình thành sở mạng DNS quốc gia, trạm trung chuyển Internet quốc gia VNIX, mạng ISP: Trạm trung chuyển Internet quốc gia VNIX - 03 trạm trung chuyển Internet quốc gia VNIX đặt Hà Nội TP Hồ Chí Minh Đà Nẵng: Hà Nội kết nối với 10 ISP (VNPT, Viettel, FPT, VTC, SPT, HTC, NGT, GDS, CMCTI), TP.HCM kết nối với 15 ISP (VNPT, FPT, Viettel, HTC, VTC, SPT, VinaDATA, NGT, SCTV, DTS, Newlife, Netnam, ODS, CMCTI), Đà Nẵng kết nối với 02 ISP (Viettel, CMCTI) Các kết nối có tốc độ cao 1-10Gbps, thơng qua kết nối này, lưu lượng trung chuyển ISP nước lưu chuyển, đồng thời lưu lượng dịch vụ truy vấn DNS (trong nước quốc tế) chuyển tiếp - Cụm máy chủ DNS quốc gia kết nối với backbone Internet quốc gia trạm trung chuyển Internet quốc gia VNIX, kết nối logic thông qua hệ thống VPN đa điểm Có cụm DNS quốc gia đặt gateway VNPT kết nối với backbone Internet quốc gia gateway quốc tế II Hiện trạng hệ thống máy chủ tên miền DNS quốc gia Hiện trạng hệ thống DNS Hệ thống máy chủ tên miền (DNS) quốc gia Trung tâm Internet Việt Nam (VNNIC) quản lý có nhiệm vụ quản lý khơng gian tên miền cấp quốc gia VN; tiếp nhận trả lời truy vấn tên miền VN: - Hệ thống DNS gồm máy chủ độc lập, sử dụng địa IP khác nhau, đặt vị trí khác Địa quản lý (management) địa dịch vụ giống - Hiện hệ thống máy chủ tên miền quốc gia gồm cụm máy chủ đặt nước (2 cụm thành phố Hồ Chí Minh; cụm Hà Nội cụm đặt Đà Nẵng), cụm máy chủ đặt nước nhiều điểm khác giới - Ngồi hệ thống DNS quốc gia cịn có thêm cụm máy chủ DNS Caching (DNS Caching nscache1/nscache2.vnnic.net.vn) để thực trả lời toàn truy vấn tên miền VN từ máy chủ DNS ISP nước chuyển tới Như vậy, tên miền quốc gia Việt Nam ".VN" quản lý, đảm bảo 07 cụm máy chủ DNS đặt điểm khác toàn giới (40 điểm nước ngoài, điểm nước) sử dụng công nghệ định tuyến địa Anycast, cân tải (CSM) … Truy vấn tên miền ".VN" từ phía người dùng khắp giới thực nhanh qua máy chủ DNS gần tìm thấy số máy chủ tên miền ".VN" Hệ thống DNS quốc gia triển khai bổ sung cụm máy chủ DNS quốc gia có kết nối mạng IPv6 địa (2001:678:4::12 & 2001:67c:e0::126), thơng qua người dùng Internet truy vấn tên miền ”.VN” qua hai mạng IPv4 IPv6 Một số đặc điểm bật: - Triển khai nhiều cấu hình phần cứng hệ điều hành khác đảm bảo an tồn - Ứng dụng cơng nghệ Anycast (2 cụm DNS quốc gia nước ngoài) cân tải CSM (B,C), an toàn mở rộng cao - Tên máy chủ quy hoạch thống A-F.dns-servers.vn - Hoạt động an toàn ổn định - Thời gian truy vấn nhanh:  Nước ngoài: A: ~100msec; B-F: ~200msec  Trong nước: A: ~300msec; B-F: ~80msec  Trong nước Cache: vn: ~15-20msec, gTLd: 200msec Những tồn tại: Tuy nhiên điểm hệ thống DNS quốc gia nước áp dụng công nghệ đảm bảo tính sẵn sàng cao (HA - High Availbility) giải pháp cluster (Active/Active, Active/Standby), công nghệ cân tải CSM (Content Switching Module) Các công nghệ có ưu điểm tăng tính an tồn, sẵn 12  Interior Gateway Routing Protocol (IGRP)  Enhanced IGRP (EIGRP) - Giao thức định tuyến ngoài: o Exterior Gateway Protocol (EGP) o Border Gateway Protocol (BGP) o Constrained Shortest Path First (CSPF) Trong BGP sử dụng làm giao thức đinh tuyến toàn cầu Các khái niệm giao thức bao gồm: BGP giao thức định tuyến, giao thức thiết kế để kết nối AS (Autonomous system), không kết nối subnets với AS Một AS nhóm router chia sẻ sách hoạt động miền định Mỗi AS định danh số cung cấp nhà cung cấp AS ISPs Con số chia làm loại: Public có giá trị từ đến 64511, privite có giá trị từ 64512 đến 65535 Các công ty lớn dùng BGP kết nối mạng quốc gia khác II Định tuyến Anycast Sử dụng địa Unicast kết hợp với định tuyến mạng BGP (Border Gateway Protocol) triển khai dịch vụ gọi Anycast nâng cao lực hệ thống, chống công Công nghệ Anycast cho phép triển khai nhiều máy chủ nhiều địa điểm khác sử dụng 01 địa IP tên miền nhất, điều 13 đảm bảo việc tăng tốc độ trả lời truy vấn tên miền, chịu tải lớn khả mở rộng, an toàn cao, hoàn toàn suốt với người sử dụng - Nhiều instance dịch vụ dùng chung 01 địa IP - Hạ tầng định tuyến đưa gói tin từ nguồn đến đích instance gần Hình vẽ mơ tả việc chọn đường gói tin đến 02 máy chủ DNS sử dụng chung địa IP 10.0.0.1 Thông qua bảng định tuyến Router đường tốt đến máy chủ danh sách đường đi/máy chủ mà biết Chọn đường router sử dụng anycast III Phân tích kỹ thuật Anycast hệ thống máy chủ tên miền DNS 14 Khi áp dụng Anycast vào DNS ngun tắc định tuyến hồn toàn tuân thủ giải pháp kỹ thuật định tuyến Anycast, nhiên ứng dụng cụ thể nên có đặc điểm riêng Anycast ứng dụng DNS Mơ hình local cluster: - Triển khai 01 điểm gồm nhiều node (>=2 node) - Các máy chủ kết nối vào hệ thống địa kết nối, đồng thời địa quản lý - Sử dụng giao diện ảo (sub-interface loopback) để lảm giao diện chạy dịch vụ DNS - Trên node cài phần mềm DNS, cấu hình trả lời truy vấn địa anycast - Router chuyển lưu lượng truy vấn DNS đến máy chủ DNS theo bảng định tuyến Router 15 Local cluster Anycast Mơ hình global cluster: Sau triển khai local cluster xong bước triển khai mở rộng cụm máy chủ nhiều địa điểm nhằm đảm bảo an toàn, sẵn sàng cao: - Sử dụng BGP Unicast Routing - Quảng bá số hiệu mạng vùng địa sử dụng làm anycast nhiều địa điểm khác tới ISP upstream - Tối ưu hóa định tuyến, sách định tuyến 16 Global cluster sử dụng BGP Anycast Routing IV Ứng dụng kỹ thuật Anycast giới Kết nghiên cứu, phân tích khẳng định việc triển khai áp dụng cơng nghệ Anycast có ưu điểm vượt trội: - Các client, server Router không cần phần mềm đặc biệt - Không ảnh hưởng xấu tới hệ thống mạng tại, cần tận dụng hở hạ tầng sẵn có - Cân tải - Tăng độ linh động, dự phòng, sẵn sàng dịch vụ - Cải tiến trễ - Cơ chế phân tán, giảm nguy DoS - Khả mở rộng “khơng giới hạn” Những lợi điểm hồn toàn phù hợp với hệ thống máy chủ dịch vụ 17 Triển khai DNS Anycast có nhiều lợi thế: - Nhiều node DNS nhiều vị trí địa lý khác chia sẻ địa IP, khả mở rộng cao, suốt với người sử dụng - Hệ thống định tuyến chuyển gói tin tới node DNS gần nhất, làm tăng tốc độ truy vấn - Nâng cao lực hệ thống cách dễ dàng Hiện có nhiều nước, tổ chức giới triển khai ứng dụng công nghệ Anycast cho hệ thống DNS, điển hình có tổ chức, quốc gia sau: Dự án 112: Dự án AS112 (www.as112.net) đời để giải vấn đề nêu trên, giải pháp kỹ thuật đưa triển khai hệ thống DNS Anycast sử dụng số hiệu mạng (ASN) 112 Hệ thống trả lời truy vấn/update tên miền ngược vùng địa RFC1918 nói thay hệ thống DNS ROOT phải trả lời, máy chủ AS gọi “black-hole servers” khơng có câu trả lời cho vùng địa RFC1918 ROOT DNS: Theo nguyên tắc hoạt động hệ thống máy chủ DNS, tồn q trình truy vấn tên miền nói chung phải thực qua ROOT DNS, với số lượng tên miền nhiều hệ thống ROOT DNS phải thực trả lời số lượng lớn tên miền Ngoài theo nguyên tắc kỹ thuật hệ thống DNS tên miền có tối đa 13 DNS, cần có giải pháp để: 18 - Tăng khả cụm máy chủ ROOT DNS - Trả lời tên miền cách nhanh toàn giới Giải pháp Anycast áp dụng cho hệ thống máy chủ tên miền ROOT, nhiều cụm máy chủ DNS ROOT áp dụng công nghệ Anycast ccTLD DNS: Đã có nhiều nước giới triển khai áp dụng Anycast cho hệ thống DNS, điển hình có Hàn Quốc, Nhật Bản, … 19 Chương 3: Thử nghiệm triển khai hệ thống DNS sử dụng công nghệ Anycast Trên sở nghiên cứu lý thuyết giải pháp định tuyến Anycast trên, tiến hành áp dụng thử nghiệm triển khai hệ thống DNS sử dụng công nghệ Anycast Nội dung cụ thể chương gồm có: I Xây dựng mơ hình thử nghiệm Trong kế hoạch thử nghiệm, mạng Anycast xây dựng đặt điểm Hà Nội TP HCM, thực quảng bá thông tin định tuyến vào trạm trung chuyển Internet quốc gia VNIX điểm Các ISP kết nối trạm trung chuyển Internet quốc gia VNIX nhận định tuyến mạng DNS anycast (202.47.142.66/24) điểm, điểm mạng, client có lựa chọn đường để đến mạng DNS anycast đường ngắn lựa chọn qua điểm VNIX-HN qua VNIX-HCM Nguyên tắc chung: - Áp dụng công nghệ anycast - Nhóm máy chủ vị trí khác thành cụm máy chủ - Cụm máy chủ thể mạng (01 địa anycast) Vấn đề kết nối, quản lý: 20 - Sử dụng địa kết nối, quản lý trước - Các máy chủ quản lý từ xa qua địa quản lý - Các máy chủ đồng liệu (zone transfer) qua địa quản lý Trả lời dịch vụ DNS: - Sử dụng địa anycast, không sử dụng địa quản lý Vùng địa chỉ, số hiệu mạng sử dụng: - IP: 202.47.142.0/24 - AS: 45554 International link ISP VNIX-HN VNIX-HCM RouterGateway VNNIC eBGP eBGP RouterGateway VNNIC eBGP eBGP Router Anycast Router Anycast VNNIC Network VNNIC network Firewall Firewall Router-AL Router-AL ANYCAST DNS ANYCAST DNS ASN: 45554 IP: 202.47.142.0/24 ASN: 45554 IP: 202.47.142.0/24 HÀ NỘI Tp HỒ CHÍ MINH Mơ hình hệ thống thử nghiệm Vùng địa chỉ, số hiệu mạng phục vụ thử nghiệm anycast đăng ký quản lý Trung tâm Internet Việt Nam (VNNIC) 21 II Triển khai thử nghiệm Hệ thống mạng thử nghiệm công nghệ anycast ứng dụng cho DNS 01 điểm bao gồm thành phần sau: - 01 Router anycast: làm nhiệm vụ định tuyến cho toàn mạng DNS anycast, giao thức định tuyến động BGP nhận định tuyến từ Router local quảng bá phía ngồi - 01 Firewall: làm nhiệm vụ bảo vệ máy chủ anycast phía - 01 Router anycast local: làm nhiệm vụ định tuyến cho máy chủ DNS, phân tải máy chủ DNS - 02 máy chủ DNS: nhận trả lời truy vấn tên miền Có thể mở rộng nhiều máy chủ cần III Đánh giá kết thử nghiệm 22 Qua thử nghiệm, hệ thống hoạt động theo mơ hình thiết kế, đảm bảo yêu cầu sau: - Vùng địa IP, số hiệu mạng quảng bá vào ISP - Bảng định tuyến cập nhật tự động theo tình trạng máy chủ, phần mềm dịch vụ DNS - Truy vấn đến máy chủ gần thông qua lệnh trace - Để nâng cao lực hệ thống thêm/bớt máy chủ dễ dàng, hồn toàn suốt với người sử dụng - Các chương trình giám sát, cập nhật tự động hoạt động tốt, tăng tần suất giám sát 23 Chương 4: Đánh giá khả áp dụng cho hệ thống máy chủ tên miền DNS quốc gia Qua kết phân tích kết thử nghiệm đánh giá khả đề xuất mơ hình áp dụng cơng nghệ Anycast cho hệ thống máy chủ tên miền DNS quốc gia Nội dung cụ thể chương gồm: I Đánh giá khả áp dụng công nghệ Anycast cho hệ thống máy chủ tên miền quốc gia Kết thử nghiệm cho thấy giải pháp DNS Anycast hoàn toàn áp dụng vào hệ thống DNS quốc gia điểm sau: - Hệ thống DNS quốc gia triển khai nhiều điểm - Hệ thống DNS quốc gia kết nối tới trạm trung chuyển Internet quốc gia VNIX, nơi có nhiều ISP kết nối đến - Khả dự phòng cụm mang tính cục giải pháp cluster, CSM - Giải pháp Anycast phù hợp với việc triển khai cụm DNS có tính sẵn sàng cao nhiều điểm II Lộ trình khả mở rộng Giai đoạn 1: - Triển khai cụm DNS Anycast Trung tâm Internet Việt Nam: - Đặt IDC Trung tâm Internet Việt Nam - VNNIC - Quảng bá vùng địa số hiệu mạng vào ISP thông qua trạn trung chuyển Internet quốc gia VNIX 24 - Đăng ký với IANA thực chuyển giao tên miền VN máy chủ Giai đoạn 2: - Triển khai cụm DNS Anycast ISP: - Đặt trực tiếp ISP theo mơ - Đăng ký với IANA thực chuyển giao tên miền VN máy chủ này, hủy cụm nhóm Giai đoạn 3: - Phù thuộc vào tình hình thực tế để bổ sung node anycast địa điểm phù hợp - Việc lựa chọn điểm triển khai Anycast phù thuộc vào trình giám sát, phân tích hoạt động hàng ngày Khả mở rộng: - Hệ thống hồn tồn mở rộng sau: - Triển khai cụm Anycast IDC nước ngồi, nơi có số đơng cộng đồng người Việt sinh sống, mật độ truy vấn DNS VN nhiều - Triển khai áp dụng cho hệ thống DNS Caching, đảm bảo hỗ trợ cho việc truy vấn tên miền VN nhanh chóng khơng bị gián đoạn bị tuyến kết nối quốc tế 25 KẾT LUẬN Đề tài tìm hiểu, phân tích giải pháp Anycast, tiến hành thử nghiệm đánh giá, đề xuất khả áp dụng công nghệ Anycast cho hệ thống máy chủ tên miền DNS quốc gia Trung tâm Internet Việt Nam - Bộ Thông tin Truyền thông quản lý Kết nghiên cứu đề tài áp dụng làm tài liệu tham khảo cho việc triển khai ứng dụng công nghệ Anycast hệ thống máy chủ quản lý tên miền DNS Những lợi điểm hoàn toàn phù hợp với hệ thống máy chủ dịch vụ DNS với đặc tính tương ứng: - Đặc điểm phân tán DNS - Giao thức truy vấn sử dụng UDP - Nhu cầu dự phòng mở rộng lớn - Hiện trạng hệ thống DNS quốc gia phân bố nhiều địa điểm, chưa áp dụng giải pháp sẵn sàng cụm DNS mà áp dụng cho cụm riêng rẽ Triển khai DNS Anycast có nhiều lợi thế: - Nhiều node DNS nhiều vị trí địa lý khác chia sẻ địa IP, khả mở rộng cao, suốt với người sử dụng - Hệ thống định tuyến chuyển gói tin tới node DNS gần nhất, làm tăng tốc độ truy vấn - Có khả chống lại cơng từ chối dịch vụ - Nâng cao lực hệ thống cách dễ dàng 26 Hướng phát triển đề tài: Kết đề tài việc áp dụng cho việc triển khai cho hệ thống DNS quốc gia áp dụng triển khai mở rộng cho hệ thống máy chủ tên miền đệm (DNS Caching) Đây hệ thống tương đối quan trọng, với hệ thống DNS Caching giúp truy vấn tên miền VN nhanh chóng, truy vấn tên miền VN thực đường kết nối từ Việt Nam quốc tế bị gián đoạn ... khả áp dụng công nghệ Anycast cho hệ thống máy chủ tên miền quốc gia Kết thử nghiệm cho thấy giải pháp DNS Anycast hoàn toàn áp dụng vào hệ thống DNS quốc gia điểm sau: - Hệ thống DNS quốc gia. .. phạm vi nghiên cứu: - Hệ thống máy chủ quản lý tên miền DNS quốc gia - Mơ hình đề xuất áp dụng giải pháp Anycast cho hệ thống máy chủ tên miền DNS quốc gia - Tiến hành thử nghiệm hệ thống máy... triển khai áp dụng Anycast cho hệ thống DNS, điển hình có Hàn Quốc, Nhật Bản, … 19 Chương 3: Thử nghiệm triển khai hệ thống DNS sử dụng công nghệ Anycast Trên sở nghiên cứu lý thuyết giải pháp định