域名解析系統(tǒng)生存時(shí)間值的研究

時(shí)長江孟曉青*胡煒張萍劉國梁徐君郭曙超

（1.山東出入境檢驗(yàn)檢疫局山東青島266001；2.青島出入境檢驗(yàn)檢疫局）

域名解析系統(tǒng)生存時(shí)間值的研究

時(shí)長江1孟曉青1*胡煒2張萍1劉國梁1徐君1郭曙超1

（1.山東出入境檢驗(yàn)檢疫局山東青島266001；2.青島出入境檢驗(yàn)檢疫局）

中國電子檢驗(yàn)檢疫主干系統(tǒng)上線運(yùn)行后，部分客戶端在網(wǎng)絡(luò)暢通的情況下時(shí)而出現(xiàn)“目前網(wǎng)絡(luò)擁堵或服務(wù)器斷開，請(qǐng)稍后”的提示。本文分析了中國電子檢驗(yàn)檢疫主干系統(tǒng)域名解析系統(tǒng)的工作流程，基于實(shí)驗(yàn)和網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)找出了域名解析系統(tǒng)的生存時(shí)間值設(shè)置過小是導(dǎo)致上述問題的主要原因。通過增大生存時(shí)間值，既解決了上述問題，又保持了線路和應(yīng)用負(fù)載均衡的工作機(jī)制。

中國電子檢驗(yàn)檢疫；域名解析系統(tǒng)；生存時(shí)間值

1 前言

國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局（下稱“質(zhì)檢總局”）中國電子檢驗(yàn)檢疫（e-CIQ）主干系統(tǒng)的推廣應(yīng)用實(shí)現(xiàn)了全國檢驗(yàn)檢疫數(shù)據(jù)和業(yè)務(wù)的大集中管理，進(jìn)一步強(qiáng)化了質(zhì)檢總局對(duì)全國檢驗(yàn)檢疫業(yè)務(wù)的統(tǒng)一指揮、統(tǒng)一風(fēng)險(xiǎn)預(yù)警、統(tǒng)一決策的能力，提高了信息共享水平，提升了執(zhí)法把關(guān)和服務(wù)水平。e-CIQ主干系統(tǒng)部署在北京雙活中心，實(shí)現(xiàn)了網(wǎng)絡(luò)雙活、應(yīng)用雙活、數(shù)據(jù)庫雙活和存儲(chǔ)雙活，各直屬局利用兩臺(tái)核心路由器，通過聯(lián)通和移動(dòng)雙線路分別與總局雙活中心連接。當(dāng)e-CIQ客戶端每次應(yīng)用請(qǐng)求時(shí)，都要向雙活中心發(fā)起域名解析請(qǐng)求，申請(qǐng)進(jìn)入雙活中心應(yīng)用服務(wù)器的IP地址，e-CIQ主干系的域名解析系統(tǒng)（DNS）按照負(fù)載均衡的原則，對(duì)所有請(qǐng)求進(jìn)行智能分析并自動(dòng)分配給每個(gè)e-CIQ客戶端訪問應(yīng)用服務(wù)器IP地址。

2 問題現(xiàn)象

在e-CIQ主干系統(tǒng)培訓(xùn)環(huán)境和上線運(yùn)行過程中，部分客戶端時(shí)而出現(xiàn)如圖1的提示。造成該提示的原因可能包括：網(wǎng)絡(luò)擁堵、域名解析錯(cuò)誤、應(yīng)用服務(wù)器響應(yīng)超時(shí)等。在網(wǎng)絡(luò)暢通下，當(dāng)出現(xiàn)該提示時(shí)，e-CIQ客戶端使用ping eciq.aqsiq（內(nèi)置在e-CIQ客戶端的域名）測(cè)試發(fā)現(xiàn)無法ping通，直接ping IP地址可以ping通。

圖1 網(wǎng)絡(luò)擁堵錯(cuò)誤提示

該提示帶來如下問題：①影響業(yè)務(wù)流暢度，客戶體驗(yàn)感不佳；②在集中審單和現(xiàn)場(chǎng)查驗(yàn)等環(huán)節(jié)容易造成系統(tǒng)死鎖，需要管理員解鎖才能繼續(xù)使用，影響使用效率；③有的用戶為避免頻繁出現(xiàn)這樣錯(cuò)誤提示，在e-CIQ客戶端的設(shè)置界面強(qiáng)行設(shè)置一個(gè)應(yīng)用服務(wù)器的IP地址，應(yīng)用系統(tǒng)只跑一條線路，只使用一個(gè)數(shù)據(jù)中心的資源，導(dǎo)致雙活機(jī)制不能啟用，系統(tǒng)無法實(shí)現(xiàn)負(fù)載均衡，造成資源浪費(fèi)；④部分使用者根據(jù)提示誤導(dǎo)為就是網(wǎng)絡(luò)擁堵問題，影響了e-CIQ主干系統(tǒng)的推廣應(yīng)用。

3 問題分析

3.1 DNS工作原理

DNS是網(wǎng)絡(luò)中作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使用戶更方便地訪問互聯(lián)網(wǎng)，而不用去記住各網(wǎng)站的IP地址。通過主機(jī)名最終得到該主機(jī)名與對(duì)應(yīng)IP地址的過程叫做域名解析[1]，DNS會(huì)將最終域名解析的結(jié)果緩存至本地，域名解析時(shí)設(shè)置生存時(shí)間（Time-To-Live，TTL），TTL內(nèi)域名記錄駐留在本機(jī)內(nèi)存。主機(jī)進(jìn)行域名解析申請(qǐng)時(shí)先從本機(jī)獲取解析記錄，本機(jī)緩存里在TTL指定的時(shí)間存有解析記錄，此時(shí)主機(jī)直接使用該記錄。如果TTL時(shí)間過期，本機(jī)就需要重新向DNS服務(wù)器請(qǐng)求解析域名[2]。

3.2 DNS解析流程

DNS服務(wù)器按層級(jí)關(guān)系可分為根域DNS服務(wù)器和子域DNS服務(wù)器，當(dāng)根域DNS服務(wù)器中不存在需解析域名對(duì)應(yīng)的記錄時(shí)，將向其子域DNS服務(wù)器進(jìn)行查詢。在e-CIQ主干系統(tǒng)中，質(zhì)檢總局DNS服務(wù)器就設(shè)置兩層，根域DNS服務(wù)器為總局DNS服務(wù)器，子域DNS服務(wù)器為雙活DNS服務(wù)器。質(zhì)檢總局根DNS服務(wù)器通過配置NS記錄，將shua nghuo.aqsiq域的解析授權(quán)給ns1.shuanghuo.aqsiq及ns2.shuanghuo.aqsiq。同時(shí)，為了實(shí)現(xiàn)xxx.aqsiq這種“短”域名的訪問方式，根域DNS需要將這種短域名方式配置成CNAME別名記錄，真實(shí)域名采用xxx.shuanghuo.aqsiq，其解析流程如圖2所示。

圖2 e-CIQ主干系統(tǒng)DNS解析流程圖

3.3 DNS解析步驟分析

在e-CIQ主干系統(tǒng)中，域名解析的步驟如下：

步驟1：e-CIQ客戶端提出域名解析請(qǐng)求，首先遞歸查詢本機(jī)HOST文件，由于雙活設(shè)置，本機(jī)HOST文件中不存放該信息。系統(tǒng)再查詢本機(jī)DNS緩存，如果TTL值未到期，緩存中有該記錄，則向e-CIQ客戶端返回域名解析結(jié)果。

步驟2：如果第一次或是TTL值到期，本機(jī)緩存中不存在DNS解析信息，則本機(jī)向本機(jī)DNS服務(wù)器（local DNS server）發(fā)起域名解析的迭代查詢。

步驟3：本機(jī)DNS服務(wù)器發(fā)送請(qǐng)求至質(zhì)檢總局根DNS服務(wù)器，根域DNS服務(wù)器不存在該域名解析紀(jì)錄。

步驟4：根DNS服務(wù)器返回該域名的查詢子域（雙活系統(tǒng)DNS服務(wù)器shuanghuo.aqsiqDNS server）給本機(jī)DNS服務(wù)器。

步驟5：本機(jī)DNS服務(wù)器向雙活系統(tǒng)DNS服務(wù)器發(fā)起解析請(qǐng)求，雙活系統(tǒng)DNS服務(wù)器查詢到解析記錄，并設(shè)置該解析記錄的TTL值，即IP地址與域名對(duì)應(yīng)表和有效期。

步驟6：雙活系統(tǒng)DNS服務(wù)器返回本機(jī)DNS服務(wù)器其查詢到的DNS解析記錄。

步驟7：本機(jī)DNS服務(wù)器返回解析記錄給e-CIQ客戶端，e-CIQ客戶端根據(jù)返回TTL生存時(shí)間確定在本機(jī)緩存中IP地址與域名對(duì)應(yīng)關(guān)系的存留時(shí)間。

通過以上分析，在網(wǎng)絡(luò)暢通情況下，出現(xiàn)如圖1所示的提示，其原因不是網(wǎng)絡(luò)線路問題，很有可能是DNS的TTL值設(shè)置不當(dāng)所導(dǎo)致。

4 實(shí)驗(yàn)內(nèi)容

根據(jù)e-CIQ主干系統(tǒng)的DNS解析流程，通過實(shí)驗(yàn)設(shè)備和監(jiān)控軟件跟蹤e-CIQ客戶端出現(xiàn)圖1提示時(shí)域名解析的各種數(shù)據(jù)，驗(yàn)證并比較TTL值設(shè)置大小對(duì)系統(tǒng)的影響。

4.1 實(shí)驗(yàn)設(shè)備

山東出入境檢驗(yàn)檢疫局（下稱“山東檢驗(yàn)檢疫局”）1臺(tái)配置WIN7操作系統(tǒng)的電腦，安裝e-CIQ中國電子檢驗(yàn)檢疫主干系統(tǒng)客戶端生產(chǎn)環(huán)境，安裝抓包工具Wireshark V2.2.0版本；在山東檢驗(yàn)檢疫局e-CIQ廣域網(wǎng)絡(luò)出口處的核心交換機(jī)放置鏡像端口，旁路部署1臺(tái)深信服安全審計(jì)設(shè)備，對(duì)e-CIQ客戶端應(yīng)用的流量進(jìn)行監(jiān)控；總局雙活中心部署勤智網(wǎng)管軟件。

4.2 實(shí)驗(yàn)方法

4.2.1 TTL值改變前

首先e-CIQ客戶端電腦啟動(dòng)wireshark抓包工具，其次在DOS狀態(tài)下通過ping eciq.aqsiq（該域名內(nèi)置在e-CIQ客戶端配置文件中）和ipconfig/displaydns命令得到雙活中心應(yīng)用服務(wù)器的CNAME記錄。該記錄顯示eciq.aqsiq對(duì)應(yīng)的長域名為：eciq.shuanghuo.aqsiq。通過ping eciq.shuanghuo.aqsiq和ipconfig/displaydns命令，得到e-CIQ客戶端DNS解析的A記錄，其TTL值隨機(jī)為1-40 s。如圖3所示，抓包數(shù)據(jù)所示解析的TTL至僅為7 s，DNS解析記錄幾乎不在緩存中駐留，每次應(yīng)用請(qǐng)求時(shí)，都需要通過圖2所示的流程去獲取IP地址。

圖3 DNS解析抓包數(shù)據(jù)的結(jié)果

在e-CIQ客戶端機(jī)器上測(cè)試，啟動(dòng)e-CIQ主干系統(tǒng)前清空DNS（ipconfig/flushdns，模擬DNS的TTL值過期）。通過抓包工具可以看到啟動(dòng)時(shí)系統(tǒng)請(qǐng)求DNS解析，如果其中TTL值小于60 s，DNS解析記錄在e-CIQ客戶端登陸到主界面時(shí)已經(jīng)清空。進(jìn)入業(yè)務(wù)界面每次進(jìn)行數(shù)據(jù)請(qǐng)求時(shí)，如果DNS已經(jīng)清空，系統(tǒng)每次都會(huì)進(jìn)行DNS解析請(qǐng)求，執(zhí)行3.3的步驟1-步驟7。如果DNS記錄保留，e-CIQ客戶端進(jìn)行數(shù)據(jù)請(qǐng)求時(shí)，抓包工具監(jiān)控到系統(tǒng)不再請(qǐng)求DNS解析，直接與雙活數(shù)據(jù)中心進(jìn)行交互，僅執(zhí)行3.3的步驟1。如圖4抓包截圖所示，如果DNS記錄在緩存中，系統(tǒng)則不再發(fā)出DNS解析請(qǐng)求。

圖4 e-CIQ啟動(dòng)時(shí)無DNS請(qǐng)求的截圖

4.2.2 TTL值改變后

將雙活中心域名解析服務(wù)器的TTL值增大后，在山東檢驗(yàn)檢疫局e-CIQ客戶端機(jī)器啟動(dòng)wireshark抓包工具，再啟動(dòng)e-CIQ客戶端軟件，抓包截圖所如圖5示。系統(tǒng)在啟動(dòng)時(shí)發(fā)起了DNS解析請(qǐng)求，其TTL值為22471 s，在其后業(yè)務(wù)訪問中再?zèng)]有出現(xiàn)DNS解析請(qǐng)求的數(shù)據(jù)。說明DNS記錄保存在了機(jī)器緩存中，系統(tǒng)請(qǐng)求僅執(zhí)行3.3的步驟1。

圖5 TTL值增大后DNS請(qǐng)求抓包結(jié)果

4.2.3 實(shí)驗(yàn)結(jié)果分析

TTL值增大前，e-CIQ主干系統(tǒng)雙活系統(tǒng)的DNS服務(wù)器設(shè)置TTL值為60 s，返回e-CIQ主干系統(tǒng)客戶端的DNS TTL過短。當(dāng)e-CIQ客戶端請(qǐng)求e-CIQ應(yīng)用時(shí)，DNS緩存中存放的域名eciq.aqsiq與IP地址的對(duì)應(yīng)關(guān)系失效，需要按照3.3步驟1-7執(zhí)行。山東檢驗(yàn)檢疫局按每天1000臺(tái)e-CIQ客戶端訪問e-CIQ主干系統(tǒng)，每臺(tái)e-CIQ客戶端數(shù)據(jù)請(qǐng)求量平均按照50次/天，直屬局DNS、質(zhì)檢總局大通關(guān)DNS和雙活中心DNS就各需要工作5萬次；全國35個(gè)直屬局同時(shí)工作時(shí)，域名解析環(huán)節(jié)多且請(qǐng)求頻繁，當(dāng)中間某個(gè)環(huán)節(jié)出現(xiàn)延時(shí)，就有可能會(huì)出現(xiàn)圖1所示的提示。

雙活數(shù)據(jù)中心的DNS的TTL值調(diào)大后，在網(wǎng)絡(luò)暢通的情況下，山東檢驗(yàn)檢疫局各e-CIQ客戶端沒有再出現(xiàn)如圖1所示的提示。只有網(wǎng)絡(luò)不暢通時(shí)，該提示才會(huì)出現(xiàn)。通過對(duì)山東檢驗(yàn)檢疫局本地流量監(jiān)控和總局流量監(jiān)控反饋情況看，修改TTL值后，雙活系統(tǒng)的負(fù)載基本均衡。

從對(duì)流量負(fù)載的監(jiān)控?cái)?shù)據(jù)來看，山東檢驗(yàn)檢疫局e-CIQ客戶端瞬時(shí)訪問雙活中心的應(yīng)用基本保持均衡。

e-CIQ主干系統(tǒng)DNS的TTL值增大后，系統(tǒng)性能明顯優(yōu)化。TTL值變化前后內(nèi)容和性能對(duì)比關(guān)系如表1所示。

表1 DNS的TTL值增大前后性能對(duì)比表

5 結(jié)論

在e-CIQ主干系統(tǒng)內(nèi)，應(yīng)用服務(wù)器地址和域名對(duì)應(yīng)關(guān)系基本保持穩(wěn)定，建議將DNS服務(wù)器TTL值設(shè)置在1 h以上，這樣域名記錄會(huì)在e-CIQ客戶端緩存中存放較長時(shí)間，可以減少e-CIQ客戶端DNS請(qǐng)求頻率，從而提高應(yīng)用服務(wù)器訪問效率，減輕DNS服務(wù)器的負(fù)擔(dān)。在網(wǎng)絡(luò)暢通情況下，不再出現(xiàn)如圖1所示的錯(cuò)誤提示，同時(shí)保持了應(yīng)用和線路的負(fù)載均衡。

[1]鄭亞，謝琳.DNS的原理及其應(yīng)用[J].軟件導(dǎo)刊，2012，11（6）：133-135.

[2]羅學(xué)君，張汝元.DNS相關(guān)的減少WWW訪問延遲的方法[J].計(jì)算機(jī)工程與應(yīng)用，2002，38（15）：225-227.

[3]平立，沈軍.異構(gòu)分布式環(huán)境下DNS動(dòng)態(tài)負(fù)載均衡模型研究[J].計(jì)算機(jī)應(yīng)用與軟件，2006，23（11）：16-18.

Study on the DNS’s TTL Value

SHI Changjiang1，MENG Xiaoqing1*，HU Wei2，ZHANG Ping1，LIU Guoliang1，XU Jun1，GUO Shuchao1
（1.Shandong Entry-Exit Inspection and Quarantine Bureau，Qingdao，Shandong，266001；2.Qingdao Entry-Exit Inspection and Quarantine Bureau）

After the e-CIQ backbone system running on line，some e-CIQ clients sometimes prompt"the current network congestion or server disconnection，please wait a moment."This paper analyzes the DNS working process of e-CIQ system.Basing on the experiment and network monitoring data，this paper finds the reason for the prompt，which is the TTL survival value setting too small.Through increasing the DNS TTL value，the problem has been solved.At the same time the load balances of the network line and application system have been maintained.

e-CIQ；DNS；Time-To-Live

F224

Email：shicj@sdciq.gov.cn；*通訊作者Email：mengxq@sdciq.gov.cn

2016-10-11