移动dns解决方案.doc

《移动dns解决方案.doc》由会员分享，可在线阅读，更多相关《移动dns解决方案.doc（14页珍藏版）》请在咨信网上搜索。

1、移动DNS解决方案目 录一、移动IDC机房需求分析31。移动IDC简介32.域名注册与DNS托管33.移动DNS部署需求44。Cache服务器需求41)本地Cache Server42）DNS智能解析5二、ISP级别DNS部署方式51。DNS简介52.ISP传统DNS部署方案及问题6传统运营商DNS部署方案6传统方案存在的问题7三、阿姆瑞特智能DNS解决方案101.阿姆瑞特公司简介102。阿姆瑞特智能DNS简介113。XMDNS移动IDC解决方案121)方案介绍132)解决了什么问题134.阿姆瑞特智能dns部分成功案例14四、阿姆瑞特科技售后服务承诺函151。热线电话和传真服务162。电子邮

2、件和网站技术支持163. 三年服务软件产品的更新及维护164. 三年服务期内硬件产品的更新及维护165.产品的售后服务体系166.售后服务计划17保修期内售后服务承诺17保修期外售后服务承诺18一、 移动IDC机房需求分析1. 移动IDC简介传统IDC（Internet Data Center），即互联网数据中心，是专门承接IT资源外包以及专业网络服务的数据中心。IDC为各类用户提供一个安全、可靠、高速、可扩展的电信服务场所，借助丰富的网络&IT资源向企业、网站出租带宽和机位资源，并提供有品质保证的服务.它提供的业务主要有主机托管、虚拟主机、增值服务和企业应用等.移动互联网数据中心是中国移动通

3、信集团公司所属的,依照国际一流标准设计建设的专业互联网数据中心。移动IDC是依托移动一流的电信级数据网络环境建立起来的具备大规模服务器托管能力的数据中心，其高度自动化管理系统和高度可扩充设施系统能够为不同用户提供可靠、快速、全面的托管服务;为上千台服务器提供高品质的网络资源和专业化服务。作为国内数据业务的主要运营商之一，移动IDC将运用自身专业化管理、全新的服务理念,以及技术、市场和资源优势，与企业一起探索电子商务创新的经营模式、务实的管理机制，提供开展电子商务所需的技术服务,推动企业核心价值的稳定增长.2. 域名注册与DNS托管任何个人或机构,必须先与管理域信息的两个单独实体接洽，然后才能在

4、 Internet 上使用自己的域名，这两个实体分别是“域名注册机构”和“DNS 托管机构”.通常，域名注册机构也是 DNS 托管机构。但是,并非始终如此。域名注册机构是负责注册域名的公司。从个人到跨国公司，所有用户都必须先通过域名注册机构注册其域名。所有域名注册机构都必须获得互联网名称与数字地址分配机构 （ICANN） 的认证。当您在特定域名注册机构那里搜索可用域名时，实际上是在向全世界的所有域名注册机构搜索该域名的可用性。DNS 托管服务是拥有包含域的 DNS 记录的 DNS 服务器的公司。某些域名注册机构提供 DNS 托管服务，作为其域注册的一部分；而其他域名注册机构则不提供 DNS 托

5、管服务.与必须在可信任的域名注册机构那里注册的域名不同，任何具有已注册的域名和公用 IP 地址的个人或公司都可以创建公用 DNS 服务器，并驻留任意数量域的 DNS 记录.当某个域的 DNS 记录由 DNS 托管服务驻留时，您和 Internet 的其余人实际上都可以使用该域。3. 移动DNS部署需求虽然任何具有已注册域名和公网IP地址的个人或公司都可以自行创建DNS服务器，并驻留任意数量的DNS记录，但对于绝大部分的个人、中小企业和政企机构等用户，自行创建并维护DNS服务器，是一件非常可拍的事情。首先，额外的硬件资本投入是一份不小的开支，其次个人搭建的DNS服务器在稳定性、性能和安全等方面存

6、在很大隐患，再次，DNS服务器的维护需要占用额外的人力。因此几乎90%以上用户会选择DNS托管服务。然而，选择DNS托管机构也是一件非常麻烦的事情。某些 DNS 托管公司允许用户自行创建和修改域的 DNS 记录。其他 DNS 托管公司则不允许用户直接修改。而且,并非所有 DNS 托管服务都支持所有种类的 DNS 记录.例如,某些 DNS 托管服务不支持 TXT 记录或 SRV 记录。另外，DNS的主动权掌握在别人手中,需要自行增加二级域名等情况发生时，需要向托管机构提交申请,要等待漫长的验证时间。作为河南省最大的IDC之一，移动占据了大量的服务器等托管业务市场份额。托管的网站等业务，如果DNS

7、解析不能自己掌握，将会是一件非常可怕的事情！同联通、电信不同，移动IDC主要提供服务器托管、DNS解析托管，用户请求的域名基本都在本地DNS部署,即移动IDC机房的DNS服务器是这些网站的权威DNS服务器，DNS主要工作压力来自解析查询和响应。4. Cache服务器需求移动IDC web托管服务中,必不可少的一项就是为客户提供边缘网络镜像,即CDN的边界内容缓存服务器.例如北京电信托管的某大型门户网站,要求实现CDN功能，当河南的用户访问该网站，要能够遵循就进访问的原则，访问河南本地的镜像内容。达到这一预期目标，有两点是必须做到的:DNS智能解析、河南内容Cache服务器。1) 本地Cache

8、 Server首先，河南本地必须有Cache Server，用来提供用户访问的网站内容，这是前提条件。CDN边界内容服务器并不是传统意义的镜像站点.它可以是一台服务器,同时缓存N多站点的全部或部分内容，灵活的提供边界层次的便捷访问，对于来访用户完全透明。其次,随着缓存内容的增加,来访用户并发连接、每秒新建回话数、服务器查询进程等会指数级增长,性能耗费要远大于提供单一站点访问的原web服务器。因此Cache Server除了对内存要求特别高以外，一般都采用集群方式部署,并且要求做到高效率的负载均衡。2) DNS智能解析实现CDN的前提是能够有效将用户的访问引至最近的Cache Server.这就

9、要求负责该域名解析的DNS服务器支持智能解析，能够按照来访用户所属物理地域范围，返回合理的IP地址。普通DNS服务器并不能做到这一高级功能。二、 ISP级别DNS部署方式1. DNS简介DNS 是域名系统 （Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器.其中域名必须对应一个IP地址,而IP地址不一定有域名.域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析

10、。在Internet上域名与IP地址之间是一对一（或者多对一）的,域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中,通过用户友好的名称查找计算机和服务.当用户在应用程序中输入网站名称时,DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址,这样才能上网.2. ISP传统DNS部署方案及问题传统运营商DNS部署方案与普通用户不同,运营商DN

11、S服务器对性能、稳定性要求更加苛刻。联通、电信等运营商,由于提供宽带上网业务，宽带用户群体庞大,客户端上网所设DNS服务器就位于各地市的ISP中心机房。联通、电信的DNS服务器，主要充当了DNS转发、缓存的角色,因为用户访问互联网的绝大部分网站,都不在运营商本地DNS上。即，联通和电信的本地DNS服务器不是用户访问目标的权威解析服务器,其主要负担来自缓存和转发.每秒千万级别的查询请求，需要强大处理能力做支撑,任何常规的DNS服务器都是无法胜任的。为了解决DNS服务器瓶颈问题，服务器集群方案被引入DNS部署架构。同一地点的DNS服务器群内，每台服务器除了私网地址外,还公用同一个公网ip地址，该地

12、址即为注册生效的DNS地址。图1 常规ISP DNS部署图如图1所示，通常运营商会选择多台性能强劲的X86通用服务器，安装windows或者Linux操作系统，然后结合windows自带的服务或者Bind软件，以服务器集群的方式搭建DNS服务。传统方案存在的问题1) 解析不够智能Windows平台下不能实现智能解析。额外安装系统自带的dns服务和相关组件就可以搭建一个简单的DNS服务器,但是无法实现按照线路和区域实现智能解析，不能解决不同ISP互访的瓶颈问题。更常见的DNS服务器是搭建在Linux系统下的。Bind无疑是业界实用最普遍的DNS软件。作为DNS各种规范的实际“制作者”，Bind源

13、自Unix系统,却发祥与Linux。90% 以上的DNS服务器就是基于Linux下的Bind软件实现的。当然,Bind是可以实现部分智能解析功能的，比如按照来访用户所属运营商不同，返回不同的IP地址等.但是该功能的实现是基于比较简单的方法线路区域.需要手工建立一个个IP地址段，定义某些IP段属于哪个ISP线路.但Bind要实现某些高级的智能解析就有点吃力了，比如对CDN的支持就不够完美，甚至某些情况下无法实现。2) 性能有瓶颈Windows友好的操作界面确实为管理员提供了不少方便之处,但是庞大的windows系统本身并不是为专业DNS服务量身定做的系统，即使在没有任何工作的情况下，绝大部分内存

14、、cpu和中断等资源都被系统各种服务和无关进程占用着,DNS服务并不能获得高优先级，因此，windows下搭建DNS应付小需求还可以，在运营商部署确是一个噩梦.Linux下的Bind已经相当出众，但却受到所在平台的严重约束。强大的硬件平台，却无法得到Linux高度的优化，各种协议栈的通用性降低了系统对硬件性能的挖掘力度，不能很好的提升网卡的处理能力，特别是小包和短时间内的链接建立、保持、断开。当代，通用的X86平台硬件配置已经相当优越，并且升级也非常方便,但是X86平台并不适和实时操作系统和网络任务，尤其针对小包的处理，性能下降率在60%至90%！Bind结合Mysql数据库，在3.0Ghz双

15、核cpu、4G内存的服务器上测试,性能为40000qps上下。针对省级DNS千万qps级别的处理量，需要这样的服务器约上百台。当然目前服务器的硬件配置已经相当可观。但是如此强劲的配置得到的性能确实不太理想的。并且如图1所示，常规的集群方法是通过Windows或者Linux自带的服务器或者软件实现负载均衡.其实通过操作系统实现的集群方式的负载均衡，本身存在一定的问题。因为对外透明的情况下，同一角色的集群成员服务器公用同一个公网IP，当数据包到达该IP，即到达该集群,集群服务或者软件会根据一定的算法判断由其中某一台服务器做出响应，初衷是好的,但是实现方式确实以广播的形式通过给该集群的每一位成员。最

16、然最终是只有一台服务器响应，但是每台服务器每次都要接受处理广播报文，对整个集群的性能也是一种不小的负担！3) 安全性差随着信息化的高速发展，目前的网络安全现状和前几年相比，已经发生了很大的改变.蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其中针对DNS（域名服务器，Domain Name Service）的攻击也已成为最严重的威胁之一。DNS是Internet的重要基础，包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关,因此DNS的安全直接关系到整个互联网应用能否正常使用。DNS系统面临的安全威胁作为当前全球最

17、大最复杂的分布式层次数据库系统，由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足，再加上人为攻击和破坏，DNS系统面临非常严重的安全威胁,因此如何解决DNS安全问题并寻求相关解决方案是当今DNS亟待解决的问题。DNS安全防护主要面临如下威胁：对DNS的DDoS攻击DDoS （Distributed Denial of Service）攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类。 按攻击发起者分类僵尸网络：控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求模拟工具：

18、利用工具软件伪造源IP发送海量DNS查询 按攻击特征分类Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求资源消耗攻击：发送大量非法域名查询报文引起DNS服务器持续进行迭代查询，从而达到较少的攻击流量消耗大量服务器资源的目的 DNS欺骗DNS欺骗是最常见的DNS安全问题之一。当一个DNS服务器由于自身的设计缺陷,接收了一个错误信息，那么就将做出错误的域名解析，从而引起众多安全问题,例如将用户引导到错误的互联网站点，甚至是一个钓鱼网站；又或者发送一个电子邮件到一个未经授权的邮件服务器。攻击者通常通过三种方法进行DNS欺骗： 缓存污染：击者采用特殊的DNS请求,将

19、虚假信息放入DNS的缓存中 DNS信息劫持：攻击者监听DNS会话,猜测DNS服务器响应ID，抢先将虚假的响应提交给客户端 DNS重定向：将DNS名称查询重定向到恶意DNS服务器 系统漏洞众多BIND（Berkeley Internet Name Domain)是最常用的DNS服务软件，具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。BIND提供高效服务的同时也存在着众多的安全性漏洞.,CNCERT/CC在2009年安全报告中指出：2009年7月底被披露的“Bind9”高危漏洞,影响波及全球数万台域名解析服务器，我国有数千台政府和重要信息系统部门、基础电信运营企业

20、以及域名注册管理和服务机构的域名解析服务器受到影响。除此之外，DNS服务器的自身安全性也是非常重要。目前主流的操作系统如Windows、UNIX、Linux均存在不同程度的系统漏洞和安全风险，而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分。4) 管理不方便Linux环境下通过Bind软件搭建的DNS服务器，由于是基于命令行的管理方式,不能提供Web方式的管理，操作复杂,门槛较高.并且在需要大量新建或者更改记录时，一条条命令输入对管理员来说，将会是一件非常痛苦的经历。另外，缺乏有效的审计和日志功能，不能提供详细的统计报表等有价值信息。三、 阿姆瑞特智能DNS解决方案1. 阿姆瑞特公司

21、简介阿姆瑞特（亚洲)网络有限公司，是一家专业从事网络安全产品研发和服务的跨国IT企业，总部设在瑞典,拥有雄厚的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务，在全球范围设有多个研发机构和销售网络，为不同的客户提供最先进的、特色化的安全产品和服务。 2002年阿姆瑞特进入中国市场，推出了适合中国市场需求的阿姆瑞特安全网关，灵活地为SOHO、企业和电信级用户提供不同的产品和服务，凭借先进的技术和在网络安全领域的丰富的经验,阿姆瑞特安全网关每三个月至六个月更新一次版本，以保持产品技术的不断领先，使用户得到更新,更安全的服务。目前，阿姆瑞特已经在北京、西安、南京、上海、广州、成都、重庆、

22、郑州等地先后建立办事处并将销售延伸到全国各个省市，建立起遍及全国的销售和服务平台.此外，阿姆瑞特在中国成立了自己的研发中心，进行QoS产品、IPv6安全网关等产品的研发。经过几年的努力，成功的将这些产品推向市场,已在金融、电信、教育、广电、电力、制造和政府等行业有广泛应用，得到了客户的一致好评。通过在玛赛、联想、赛迪、计算机世界等国内大型实验室的优异测试结果，显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力。阿姆瑞特人愿通过不懈的努力，与合作伙伴共同为中国网络安全发展做出贡献。阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务。2. 阿姆瑞特智能DNS简介普通

23、的DNS服务器只负责为用户解析出IP记录，而不去判断用户从哪里来，这样会造成所有用户都只能解析到固定的IP地址上。图2 阿姆瑞特智能DNS解析流程图阿姆瑞特智能DNS颠复了这个概念。阿姆瑞特智能DNS会判断用户的来路，而做出一些智能化的处理，然后把智能化判断后的IP返回给用户.比如，阿姆瑞特智能DNS会自动判断用户的上网线路是网通还是电信,然后智能返回网通或者电信服务器的IP地址。提供CDN服务的智能DNS，能根据用户的来源,分城市或地区来判断用户来源，实质上是多线多地区智能DNS.阿姆瑞特多线多地区智能DNS，能够自动判断用户的上网线路是上海电信还是广东电信，然后返回对应的上海电信或广东电信

24、服务器IP。同时阿姆瑞特智能dns还有宕机检测功能。如果服务器宕机或者被检测的服务停止，阿姆瑞特智能dns能够实时检测出宕机或应用服务有问题的服务器IP，并把dns解析请求解析到运行正常的服务器.从而提供一个高可靠永不宕机的服务.另外，当故障的服务器恢复正常后，阿姆瑞特智能DNS还能够自动恢复相应的配置。3. 阿姆瑞特DNS移动IDC解决方案图3 各地市DNS部署方案图4 XMDNS单AS内部署方案1) 方案介绍通常，运营商会在不同地市各自部署不同级别的DNS集群。同时，同一个省内,多个DNS集群使用的却是同一个公网IP。那么如何实现同一个IP在不同物理位置重复使用呢?这就要借助BGP协议和任

25、播协议了.任播从实质范围分为subnet Anycast和Global Anycast，多使用在ipv6中，ipv4中使用很少，主要在DNS部署时。由于ipv6在广域网使用不是很广泛，所以此方案主要是使用ipv4地址定义的任播Global Anycas,其中DNS集群可以理解为subnet Anycast.在图3中，用户使用DNS 202。10.1.1来解析，当解析请求报文到核心路由器A时，BGP协议判断出最优路径,从而将报文路由到本地的DNS集群、自治域B或者自治域C.通常情况下，会优先将报文路由到本地自治域。202.10。1.1接到解析请求时转发到DNS集群，DNS集群解析后把解析结果返回

26、给202。10。1。1，然后202。10.1.1再把解析结果返回给用户.在同一个地域,阿姆瑞特推荐使用两台高端的XM-DNS 12000.同时，和CDN的Cache Server共享负载均衡设备F5 Big IP。如图4所示，两台12000配置完全一样，不额外配置双机热备等策略。同时作为CDN重要边界内容副本的Cache Server也不做系统集群，而是由F5实现负载分担与状态检测。2) 解决了什么问题通过BGP和任播协议，允许运营商在一个省内的多个地市分布式的部署dns集群，使DNS服务器更加接近最终用户，实现用户就进访问DNS，大幅度降低了解析时延。同时，专业的负载均衡设备不但提升了Cac

27、he Server集群性能,也将DNS从建立、保持、释放回话的这些重复繁琐的任务中解脱出来，从而能够更好的提供智能解析和其他特殊功能.在阿姆瑞特智能DNS的配合下，轻松实现智能DNS解析.根据来访用户所属线路、区域给出最优质的解析结果：是返回电信ip还是网通ip，是返回河南的电信ip还是北京的电信ip，等等.阿姆瑞特智能DNS内建性能强大的防火墙功能，可以抵御90以上的各种非法攻击，有效保障自身安全.同时,阿姆瑞特智能DNS是阿姆瑞特依托自己强大的研发实力，经过长期的研究和测试开发出来的第四代DNS！针对强大的专业硬件设备,深度裁剪、定制的嵌入式系统，充分挖掘每一分硬件性能,提供高性能、高可靠

28、性的同时，从根源上避免了通用的Windows和Linux操作系统本身漏洞，大大降低了可攻击面，有效解决了DNS系统存在的各种安全隐患。阿姆瑞特智能DNS，功能强大却不失小巧玲珑。简单明了的web管理方式,支持批量操作,将管理人员从大量的命令操作中解脱出来.同时能提供详细直观的解析日志、设备性能等曲线图,为管理员分析发现潜在价值或问题提供难得的第一手资料。4. 阿姆瑞特智能dns部分成功案例四、 阿姆瑞特科技售后服务承诺函阿姆瑞特通信科技有限公司高度重视售后服务与技术支持,并将“为客户服务,时刻满足客户需求”作为企业文化的首要点,力求通过服务来完成自己的使命。凡是购买阿姆瑞特产品及服务的客户,我

29、们将成立由软、硬件与系统集成工程师组成的技术支持及售后服务小组，为客户提供全面的售后技术支持与服务。我公司将提供业界最为专业的服务方案。1。热线电话和传真服务阿姆瑞特通信科技有限公司全国的热线电话和传真服务：服务热线：传真服务：2。电子邮件和网站技术支持网站支持: 电子邮件:3. 三年服务软件产品的更新及维护免费提供主要软件版本的更新升级服务；提供软件修补包及替代方法；4. 三年服务期内硬件产品的更新及维护当产品出现硬件故障时，依据情况而确定是否需要更新产品硬件,同时提供后备产品支持;5。产品的售后服务体系5。1、规模庞大的售后服务网络覆盖全国阿姆瑞特服务体系覆盖广泛，布局合理，响应及时，三级

30、服务网络分别为：第一级本部信息系统管理专家服务队伍:负责全国服务网络的技术支持、管理、监督与协调。第二级 各区域信息系统管理专业服务队伍：包括华南区、华中区、华东区、西部区、华北区和东北区，具备相当的技术实力，是本部在外的分支机构，直接承担所在地区的信息系统管理服务业务，并负责所辖区域的管理和技术支持。第三级信息系统专业服务商：遍布全国各行业的专业服务商，为您提供延伸到地市一级城市的信息化管理服务。 上述信息化管理服务网络的每个环节都受阿姆瑞特科技直接管理，对于每一个拥有信息系统管理产品及服务的最终用户来说，您将在最短的时间内享受到阿姆瑞特科技的完美服务。5。2、远程故障诊断和现场支持服务远程

31、故障诊断：阿姆瑞特远程支持工程师对故障诊断具有丰富的经验。阿姆瑞特科技已经投入了大量的人力和物力以模拟不同的网络环境,以便对用户故障进行模拟故障诊断，有丰富技术经验的工程师为AMARANTEN产品的最终用户提供高级的远程故障诊断，并且根据用户类型的不同而组成不同的用户服务小组。同时，AMARANTEN还随时可以得到研发工程师的高级技术支持，从而保证了最终用户的应用故障在承诺的时间内予以解决。现场支持服务:依托强大的售后服务体系，对于某些特殊的技术问题，如:故障诊断、软件升级等，AMARANTEN公司将提供现场技术支持服务。6.售后服务计划保修期内售后服务承诺阿姆瑞特通信技术有限公司对本项目承诺

32、如下：l 提供热线电话和技术支持热线；l 提供724小时电话技术支持和技术咨询。l 提供响应式服务；l 备品备件服务；l 设备保修和升级服务；l 文档提供和更新服务;l 有阿姆瑞特科技公司提供专业技术支持；l 技术人员，能够完成技术咨询、培训、排障和巡检等服务；l 提供间隔不超过3个日历月的定期和不定期提供上门检修服务l 质保期内我方负责对出现故障的设备免费维修或更换并提供性能相同的替用设备.l 质保期内在网络和设备扩容及相关软件升级时，我方派技术人员到场免费实施或指导。l 在设备发生严重故障的情况下，我方将提出应急解决措施（724的响应时间， 在24小时内提供不低于故障产品规格型号档次的备用

33、产品供项目单位使用，直至故障产品修复）。l 我方承诺对由阿姆瑞特专业培训工程师至项目现场给相关技术进行培训,使其能达到熟练调试本产品，以及进行故障排查等水平.l 我方提供包括：技术咨询、技术资料、设备技术说明书、使用说明书、维护说明书等.l 我方在设备投入运行后，如对系统软件有所改进，增加新功能以及适应新建议所做修改的最新版本。l 对于目前为止尚未形成最终建议的规范，我方将在标准化组织发表一定时期内免费修改及更新软件版本和必要的系统设备硬件。保修期外售后服务承诺在保修期外，我方售后承诺如下:l 提供热线电话和技术支持热线；l 文档提供和更新(电子档）服务；l 有阿姆瑞特通信技术有限公司提供专业技术支持；l 提供热线电话，立即电话响应；l 我方承诺针对此项目对在保修期外出现的问题，只收取成本费. 14 | 14