專業提供企業網絡專線 、MPLS VPN、SD-WAN、IPLC、IPLC、海外IDC、云專線等技術方案。
咨詢熱線:400-028-9798

IPLC

SDWAN的智能DNS

發布時間:2021-08-10 13:10:11來源:zartbot作者:扎波特的網線鉗閱讀:

[導讀]: 本文主要講述兩個話題: 基于SDWAN的CDN識別和多路徑優化DNS及基于DoT(DoH)的零信任網絡架構實現...
SDWAN智能DNS

最近處理一些客戶的案例,發現在應用進行動態選路的時候,DNS通常并沒有識別SaaS的CDN能力,最后流量調度南轅北轍. 所以最近基于ZaDNS項目寫了一些DNS多出口并行解析和CDN發現的功能.

項目地址: github.com/zartbot/zadns

很多CDN業務的DNS會根據請求的源地址不同響應不同的業務地址,一個SDWAN Fabric通常跨越多地并且有多個運營商出口,將DNS解析結構收集歸納,并通過反查AS號來識別CDN或者使用GeoIP查詢來計算物理距離。然后將最優的結果反饋給終端并且控制SDWAN轉發平面的路徑配置。

例如訪問思科可以得到如下列表

IP ASN City Country Lat/Long Distance(km)
96.16.179.237 GTT Communications Inc. San Jose United States 37.33,-121.88 9977.29
72.163.4.161 CISCOSYSTEMS Richardson United States 32.94,-96.70 11860.22
104.111.198.247 AKAMAI-AS Hong Kong China 22.29,114.15 1199.81
104.95.63.78 AKAMAI-AS Dallas United States 32.77,-96.80 11870.65
104.76.12.36 AKAMAI-AS Osaka Japan 34.68,135.51 1390.96

或者某網站:

IP ASN City Country Lat/Long Distance(km)
157.240.11.35 FACEBOOK Los Angeles United States 34.05,-118.24 10464.99
157.240.218.35 FACEBOOK Singapore Singapore 1.30,103.85 3778.04
179.60.194.35 FACEBOOK Kuala Lumpur Malaysia 3.16,101.70 3714.48
31.13.93.35 FACEBOOK Dallas United States 32.77,-96.80 11870.65

SDWAN應該內置一個DNS服務器來實現這些功能,并且和SDWAN控制器和本地網關聯動實現動態的基于性能的選路,例如對每個路徑進行HTTPS Ping或者TCP ping 80、443、UDP-QUIC等計算RTT,然后和網關間的SLA整合一起計算出最優路徑來。ZaDNS在Cisco SDWAN路由器上可以直接通過Container安裝運行,然后配合API控制vSmart或者本地Local Policy即可完成路徑選擇

基于DNS的ZTNA

很多云原生業務都有DNS實現業務發現和注冊,這些在K8s里面已經很普遍了,而針對廣域網側或者用戶端側,例如SDWAN、SDA,我們的實現是LISP動態加載Overlay地址進轉發表實現的,或者在SDWAN路由器上構建防火墻實現廣域網的安全隔離。為了將整個鏈路拉通對齊,傳統的零信任網絡架構需要一個控制器,那么不干脆把這些東西全部整合進DNS里面。但是DNS無法對終端進行鑒權,還好DNS over TLS和DNS over HTTPS的出現可以解決這些問題了、這樣我們就可以通過DNS知道客戶端需要訪問某個服務,然后自動的通過DNS鑒權客戶后修改網關的ACL和路由表實現動態的策略通行。

SDWAN的智能DNS

這個功能架構設計已經完成,以后會在ZaDNS中實現。

免責聲明:部分文章信息來源于網絡以及網友投稿,本網站只負責對文章進行整理、排版、編輯,是出于傳遞 更多信息之目的,并不意味著贊同其觀點或證實其內容的真實性,如本站文章和轉稿涉及版權等問題,請作者在及時聯系我們本站,我們會盡快處理。

標題:SDWAN的智能DNS

TAG標簽: SD-WAN

地址:http://www.indiamait.com/SD_WAN/335.html

常見問題