DNS调配出口实践-论文

D N S 调配出口实践a m e D N s (D om ai n N文，张丹东马迎赵志辉se Ⅳi c e) 域名解析系统是网络的基础构架，是因特网的一项核心服务。各大高校均有自己的D N s ，

D N S 调配出口实践

a m e D N s (D om ai n N

文，张丹东马迎赵志辉

se Ⅳi c e) 域名解析系统是网络的基础构架，是因特网的一项核心服务。

各大高校均有自己的D N s ，这就为校园网络多出口流量调整提供了基础，通过D N s 调配校园

多出口流量，具有无可比拟的优势，在技术操作层面，操作简单，又可以根据实际情况随时调整。在用户体验方面，通过D N s 调整出口流量无感知操作，用户体验良好。

校园网络出口流量调控

如何平滑稳定地切换不同运营网络，对网络管理工作是一个严峻的考验。

在多个网络运营商出口之间调整流量，目前主要方法有两种，一为通过出口防火墙添加目标地址视图，尤其教育网，可以

通过C e r ne t 和10m s 网站整理出较完整的

调配措施基础

C D N 服务的普遍实施

内容发布网络(C o 兀t ent D el l ve 叫N 曲m r k) 将用户重定向到附近的C D N 网络的边缘节点服务器来提高用户获取内容信息的效率和质量。对网络服务运营商来说，D N S 可以给C D N 带来显著的优势和灵活l l 生。

对于校园网用户来说，虽然单个用户的D N S 解析需求是多种多样的，但是众多用户的需求却可以通过大数据分析获得TO P5和TO Pl O 的网站，以中国人民大学为例，D N S 服务器为bl nd9搭建，通过社dns t op

et hO

地址列表，通过I SP 路由，将目标地址为教育网I P 的回话转向教育网出口，电信亦是如此，其他流量通过默认路由指向诸如联通之类的出口。这个出口流量调控方法存在的问题是，校园网络管理员无法控制用户行为，因而无法控制多出口之间的流量分配，为了保证正常的网络应用(ht t D 、

m

命令可获得D N S 解析数据分析，2014年2月25日校内两万多用户D N S 查询的结果如图1所示。

根据图1的解析结果，我们结合各运营网络提供的公共D N S 来查询可劫持对象：

电信对外D N S ：219．141．13610219141．140．10教育网对外D N S ：20238184．132．38．18429联通对外D N S ：202．1061961152106．0．20

：：A N SW ER SE C T I O N ：

w w w youku c O m edu —w ．yOuku ．cO m m edu —w ．yO uku cO 11822816．231

3600

l N

A

300

I N

C N A M E

a11等) ，必须通过流控设备对P2P 等行

为进行限制，因而给用户造成“网速很慢”的用户体验。

调整出口流量的另一种方法是强制分配源地址，将校内用户按照楼宇或者地理位置，分成与各出口带宽相对应的等份，通过D H CP 下发不同的用户地址，在出口路由器分配分

配用户走不同的出口。这样虽然有利于出口

以视频网站优酷优酷为例：

：：Q U E ST I O N SE C T I O N ：

：w w w

优酷一联通D N S(202．106．196．115) dl g 解析结果：

：：A N SW ERS EC TI O N ：w w w yO uku ．cO m m n —w ．yO u ku c O

253

I N

C N A M E

zw —

m yO uku cO

I N A

流量分配，但是对用户所有访问均指向一个出口，会导致在用户数据运营商之间传递，大大增加了用户网络延迟。

以上两种调整出口流量的方法都有其弊端，为了更精确地调配出口流量，并给用户提供良好的用户体验，我们经过实践，采取了基于D N S 的高校出口流量调配措施。

优酷一电信D N S(21914113610) di g 解析结果：

C T l O N ：：：A N SW ER SE w w w yO uku ．cO m yO u ku c O m

zw —w

10IN C N A M E z w —w

z w —n —w ．yO u ku com 1231269931

1081I N A

yo uku 185141

cO m 1548I N A

由以上测试结果得见，优酷会根据用户的查询D N S 提供不同的别名，电信别名为zw —w ．youku ．com ，教育网的别名为edu —w ．youku ．com ，联通的别名为zw —n —w ．youku ．

220181

优酷一教育网D N S(202．38．184．13) dl g 解析结果：

ed u ．cn 聚类地址与1O m s ．

zone s ．cnc 的配置格式I 司上，只需将域

edu ．cn 三部分构成，其中人大教育网地址10条，nl c 聚类地址73条，10m s 地址共计儿6条，地址共计199条

譬■C ，0舒*平均■

名修改为希望联通的站点，将f or w ar der s 对象修改为联通公网D N S 即可。

第二步：nam ed ．con f 中调用配置文件。根据D N S 文件解析结构，在nam ed ．

conf ．]oca]中调用zones ．cer net 和zones ．cnc

教育网地址。电信出口则是由电信提供电信地址列表。默认出口为联通出口。

流控策略中分别对网管

文件，配置内容如下：

i ncIude 。／el c ，bi nd ／zones ．cem el 。：

i “cIu de ‘／e l c ／bl “d ／zo “es

c “c 。：

厂意¨

V 黧

广¨

、＼一∞髀蛐

协识DNS 服务器组、视频会m d 洲薹笺! “麓裟≥果调整配置文件内

议月艮务器组和特殊地址组予以带宽保障，同时限制服务器组和全校的P2P 下载做忙时和闲时的总带宽限制，对于P2P 进出流量还根据出口带宽设定了最大5嘣左右的限制，限制类的策略还需根据流量观察结果作出相应调整。

容。

相较于其他调整出口流量的方法，通

l N I H l 『司口r j 面目．j 宣7日丌ul H 、l 。l ^j F ．

过D s 、调配流量，具有无可比拟的优势，

1、l

l 十H

在技术操作层面，操作简单，有可以根据

。～l 、…』I ．…u ………

1、l

实际情况随时调整。在用户体验方面，通

E ．F 马P o

…Y ，…』n

J Ⅲ、1l 匍d 墨H j l lj 前百i 亡—7厂，q^d 【_：#‘l 过D N s 调整出口流量是无感知操作，用户r R ’‘T “体验良好。

14xj W

(作者单位为中国人民大学信息技术中心)

com ，这个通过别名解析不同的I P 地址给用户的C N D 网络正是我们通过D N S 调整校园网出口流量的基础。

D N S 出口调配实践

校内D N S 的基础配置

校内D N S 服务器采用D ebl an 操作系统，安装bl nd9提供域名解析服务，通过／et c ／nam ed ．conf 配置D N S 服务。

在校内D N S 中，以校外辅助D N S 为f or w ar d 对象，若劫持校外地址，则可以在nam ed ．conf ．10ca]文件中添加1nc]ude 文件。通过D N S 调整出口流量的配置，同样在此添加文件。

通过D N S 调整流量

第一步：创建调配流量z one 文件，D N S 校外地址默认f or w ar der s 对象为电信D N S ，故仅需创建教育网出口zones ．cer net 文件和

联通配置出口zones ．cn c 即可。

z o nes

A r uba N e t w O r ks

校内多台D N S 部署

高校的D N S 应包括对内、对外两套体系，对外D N S 为教育网地址，分主备，对内D N S 为一台内网设备。

人民大学搭建了对外部提供服务的主D NS(a吧．112．11组01) 和备D N 甄硇巳112．112．1㈣，提供人民大学r uc ．edu ．cn 和ruc6．r uc ．edu ．cn 的解析。与此同时，以内网地址205作为校内两万多用户的D N S 服务器，通过D H C P 下发配置，对于特殊功用的校内服务，可以在校内D N S 上添加D N S 域名劫持，而不会污染到外网。

除此之外，针对中国人民大学联通、电信、教育网三个出口，我们专门搭建了只提供单一运营商解析的校内D N S 服务器，包括

联通201、电信202、教育网203。

发布“移动定义网络”

本刊讯近日，A r uha N et w or ks 发布了

A r ul ) a

M ob i l i I v —D e f i ned

N P l w ()r ks ，一种用于

I T 部门建设全移动工作环境的全新架构，可以提升w i Fi 控的满意度和创造力：配合这种新的架构，A r uha 同时发布了5种支持高移动员工网络需求的创新软件，即下代移动防火墙、交互式统一通信控制台、

C l ear Pas s Ex change 和Technol ogy Par t ner s 、

自动登录、A i r cr oup(现在支持D LN A 和0PnP) ，为I T 带来高粒度的可见性、性能优化和安全自动化

同时，A r uI ，a 新任中国区总裁冯满亮

(D avi d F ung) 首次亮相，他将继续带领

A l uI ，a 中国团队扩展企业网络市场，助力客户向新一代全移动网络环境的转型。

“w i Fj

ce m e l 文件内容如下：

已经成为个人生活和r 作的必需品。随管w i Fi 控时代的到来，A r uh a 推出的‘4s ’全无线网络解决方案，为使用者提供了稳定、

zone 。edu ．cn 。I N I

t yp e f o r w ard ：

f or w ar der s{202：

zon e 。y ouku

112035：202．112．0．13：l ：

安全、智能、简单的网络环境．这同时也体现了我们区别于其他同业产品的重要差异化优势，我们致力丁推动全移动世界的到来．这样既可以很好地满足个人在生活和工作方

出口防火墙与流控设备相应部署

由于防火墙上各出口路由是由网络管

理员配置I SP 路由，ISP 路由的正确与否直接决定了D N S 调配出口流量是否成功。

com “I N {

r w ard ：t yp e f O fo

r w a

r der s {[校内dns 203】：202

3818413：

面的上网需求，同时能够帮助企业和机构提高效率，降低成本。”冯满亮表示。

20238．18429：l ：

我校教育网地址由本校教育地址段、nl c ．

}：

国教舟附铺79