Значимость DNS

Интернет.
Недостаточное качество реализации DNS сервиса влияет на клиентов также как и маршрутизатор сети теряющий пакеты: медленная или ненадежная работа DNS воспринимается как услуга доступа в Интернет низкого качества.

потерь из-за простоя
Уменьшение стоимости обслуживания системы DNS
Возможность оказывать дополнительные сервисы на базе решения CNS (фильтрация, безопасность, NXR)
Повышение лояльности клиентов
Сокращение количества необходимого оборудования
Возможности диагностики CNS позволили выявить аномалии в поведении клиентов и оборудования

производительности обычно применяемого программного обеспечения у Операторов Связи с большим количеством абонентов часто используются десятки серверов для обслуживания DNS трафика.

Проблемы с производительностью программного обеспечения “затыкаются” увеличением количества серверов, использованием дорогостоящих балансировщиков нагрузки, разделением трафика от разных групп абонентов на разные кластера DNS серверов.

Большое количество оборудования усложняет диагностику и приводит к длительному решению возможных проблем.

программное обеспечение DNS с открытым кодом создавалось в расчете на некоего усредненного пользователя или как эталонная реализация той или иной спецификации RFC.

Ни в одной реализации программного обеспечения с открытым исходным кодом кеширующего DNS не реализованы функции, необходимые Операторам Связи, такие как: политики DNS, диагностика выполнения запросов в контексте сервера, механизм ограничения скорости запросов в расчете на единичных абонентов или групп абонентов, адаптивное проактивное кеширование, API, SNMP и других.

других реализаций кеширующих DNS серверов

других реализаций кеширующих DNS серверов

других реализаций кеширующих DNS серверов

обслуживания 4М запросов в секунду при пятидесятипроцентной нагрузке оборудования необходимо всего четыре сервера CNS в защищенной от сбоев конфигурации. Этого достаточно для обслуживания жителей небольшой страны в 40М Абонентов на одном кластере CNS.

Типовая архитектура решения CNS предполагает балансировку нагрузки через equal-cost multi-path routing схему и не требует балансировщиков нагрузки.

Получаем более простую и производительную архитектуру кеширующего DNS, защищенную от сбоев по аппаратному обеспечению и электропитанию.

кластер DNS всех клиентов

Решение CNS не испытывает никаких трудностей при обслуживании большого количества клиентов, даже в случае существенно различающейся характеристики нагрузки от них. Оптимизированные структуры кеша и алгоритмы работы делают невозможным его “вымывание” одними клиентами в ущерб другим. Чем больше трафика обслуживает решение CNS, тем меньшую задержку обработки запросов получают его клиенты.

Получаем лучшее качество обслуживания клиентов за счет большей наполненности кеша DNS и как следствие лучшего Cache Hit Ratio.

в 2019 году утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс.

Получаем соблюдение нового законодательства при помощи родного для протокола DNS программного обеспечения, улучшая, а не ухудшая качество облуживания Абонентов.

Решение CNS полностью отвечает требованиям приказа Минкомсвязи №510 от 16.09.2019 и может быть развернуто на всех Абонентах за считанные дни.

сетевых экранов

Решение CNS позволяет гибко управлять DNS трафиком для клиентов через механизм политик, выполнять ограничение скорости для единичных клиентов или групп клиентов. “Плохие” запросы обрабатываются на ранних этапах и не вредят производительности решения CNS. Для любых манипуляций с трафиком DNS достаточно встроенных механизмов решения.

Получаем единый механизм управления безопасностью DNS, исключаем фрагментацию ответственности между разными отделами за работоспособность решения.

диагностику

Решение CNS позволяет проводить диагностику DNS запросов в контексте сервера без потери производительности. Любая диагностика запросов требует только лишь встроенных средств. Помимо встроенной диагностики выполнения запросов есть возможность инспектировать содержимое кеша сервера, включая сведения о том с какого авторитативного внешнего сервера были получены и закешированы данные. Все запросы от клиентов и все запросы самого CNS на внешние сервера журналируются без снижения производительности.

Получаем быструю, простую и достоверную диагностику.

CNS позволяет организовывать на своей основе дополнительные сервисы.

Получаем более лояльных клиентов и зарабатываем на предоставлении дополнительного сервиса.

Примером такого сервиса может быть фильтрация вирусных доменов.

запросов Абонентов от перетекания в Google

Решение CNS имеет встроенную поддержку DNS over TLS (DoT) и DNS over HTTPS (DoH).

Кроме того, и Google, и Mozilla объявили, что будут поддерживать DoH в следующих версиях Chrome и Firefox.

Эти стандарты набирают популярность в программном обеспечении для мобильных устройств и в веб-браузерах. В последних версиях Android теперь будет пытаться создать DoT-сессию, прежде чем использовать незашифрованный DNS-сеанс.

запросов Абонентов от перетекания в Google

Google, в частности, заявил, что в Chrome они попытаются использовать DoH-сервер, если он может быть обнаружен в локальной сети, а также упростят пользователям выбор другого сервера, который поддерживает DoH, если DoH у текущего провайдера недоступен. Очень вероятно, что в конечном итоге Google Chrome начнет предупреждать пользователей об отсутствии поддержки DoH у текущего оператора, что может привести к массовому уводу DNS-трафика от службы DNS оператора к OTT-провайдеру, в частности к Google.

запросов Абонентов от перетекания в Google

Mozilla уже заявляла, что их цель - перевести всех своих пользователей в один из надежных провайдеров (OTT), поддерживающих DoH, которые поддерживают строгие требования конфиденциальности. Единственный способ стать частью этого списка - запустить DoH-совместимую службу DNS.

Если оператор связи не развернет DoT/DoH службы DNS, то большая часть трафика DNS будет маршрутизироваться вне его сети. Результатом будет не только отсутствие видимости DNS, но и ухудшение взаимодействия с пользователем с точки зрения задержки и производительности, а так же снижение лояльности Клиентов.

объектах и взаимоотношениях между объектами.

Конфигурация на объектах дает широкие возможности, такие как простое создание сложных политик обработки трафика или использование миллионов представлений (view) для клиентов.

Конфигурация сохраняется в “in memory” легковесной базе данных с регулярными чекпоинтами на файловую систему.

к которому привязался наш кеш по RTT перестал отвечать?

В случае ISC BIND тайм-аут наступит только через 5 секунд.

В случае CNS: тайм-аут через 2 x RTT. Например для сервера, у которого мы фиксировали RTT в 20 миллисекунд время ожидание перед запросом другого сервера составит всего 40 миллисекунд.

Клиент получит ответ в 125 раз быстрее, если он в этой ситуации обслуживался решением CNS!

авторитативному DNS серверу составляет 500 миллисекунд и TTL у запрашиваемой популярной у клиентов записи установлен в 60 секунд?

В случае ISC BIND раз в 60 секунд клиенты обращающиеся за этой записью будут ждать до 500 дополнительных миллисекунд, перед тем как получить ответ.

В случае CNS задержки перед ответом не будет, так как CNS проактивно перекеширует популярный у клиентов домен, до того как он исчезнет из кеша по TTL.

авторитативные сервера, обслуживающие популярный у клиентов домен перестали отвечать?

В случае ISC BIND клиенты будут получать код ответа SERVFAIL, после того как данные по записи устареют вследствие превышения TTL.

В случае CNS клиенты будут получать последние доступные на момент работоспособности авторитативного сервера данные. Для того, чтобы клиенты не кешировали такие ответы CNS будет их отдавать с TTL 0.

DNS over HTTPS (DoH).

Решение CNS имеет встроенную поддержку DNS over TLS (DoT) и DNS over HTTPS (DoH).

Встроенная в CNS поддержка DoT/DoH делает возможным журналировать трафик таких клиентов, сохраняя их IP-адреса и порты, а так-же выполнять встроенную диагностику, в отличии от других решений без нее.

В случае CNS клиенты будут получать лучшую производительность DoH и DoT, чем на DNS решениях, которые поддерживают данные протоколы только с помощью стороннего программного обеспечения (stunnel, nginx).

пользователей к сервису и от сервиса к авторитативным серверам. Потоковая трансляция данных с оборудования на внешний агрегатор.

Не влияет на производительность!

Для выгрузки информации из журнала можно использовать модификаторы поиска.

Возможна выгрузка данных журнала в Apache Kafka.

CNS поддерживает мониторинг своего состояния по протоколу SNMP.

Симуляция выполнения DNS запроса с трассировкой внутренних состояний обработки и принудительной рекурсией.

Инспектирование содержания кеша одной командой с выводом имени домена и относящихся к нему записей, включая данные о том с какого авторитативного сервера была получена информация, оказавшаяся впоследствии в кеше.

условиях постоянных аномалий клиентских запросов.

Гибкая обработка очередей запросов, LRU. “Плохо сформированные запросы” отвергаются на ранней стадии.

Специальная реализация защиты от Chinese Water Turtle атак на DNS.

двух ДЦ

отправляет телеметрию производителю.

Производитель в курсе операционного состояния сервиса и может прогнозировать производительность, видеть ошибки и оказывать сервис до того как случится что то, что могут заметить клиенты!

.NET

сети, предоставим и настроим демонстрационное оборудование для тестов или опытной эксплуатации.

доходы, предложив клиентам лучшие услуги!