DNS調(diào)配出口實(shí)踐

文/張丹東 馬迎 趙志輝

DNS調(diào)配出口實(shí)踐

文/張丹東 馬迎 趙志輝

DNS(Domain Name Service)域名解析系統(tǒng)是網(wǎng)絡(luò)的基礎(chǔ)構(gòu)架, 是因特網(wǎng)的一項(xiàng)核心服務(wù)。各大高校均有自己的DNS，這就為校園網(wǎng)絡(luò)多出口流量調(diào)整提供了基礎(chǔ)，通過(guò)DNS調(diào)配校園多出口流量，具有無(wú)可比擬的優(yōu)勢(shì)，在技術(shù)操作層面，操作簡(jiǎn)單，又可以根據(jù)實(shí)際情況隨時(shí)調(diào)整。在用戶(hù)體驗(yàn)方面，通過(guò)DNS調(diào)整出口流量無(wú)感知操作，用戶(hù)體驗(yàn)良好。

校園網(wǎng)絡(luò)出口流量調(diào)控

2013年底，學(xué)校調(diào)整出口帶寬，計(jì)劃將原教育網(wǎng)千兆，聯(lián)通千兆的出口切換為教育網(wǎng)300M、聯(lián)通千兆、電信800M。此次調(diào)整旨在增加了某運(yùn)營(yíng)商帶寬，提升校園出口穩(wěn)定性。但是，如何平滑穩(wěn)定的切換，對(duì)網(wǎng)絡(luò)管理工作是一個(gè)嚴(yán)峻的考驗(yàn)。

在多個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商出口之間調(diào)整流量，目前主要方法有兩種，一為通過(guò)出口防火墻添加目標(biāo)地址視圖，尤其教育網(wǎng)，可以通過(guò)Cernet和10ms網(wǎng)站整理出較完整的地址列表，通過(guò)ISP路由，將目標(biāo)地址為教育網(wǎng)IP的回話(huà)轉(zhuǎn)向教育網(wǎng)出口，電信亦是如此，其他流量通過(guò)默認(rèn)路由指向諸如聯(lián)通之類(lèi)的出口。這個(gè)出口流量調(diào)控方法存在的問(wèn)題是，校園網(wǎng)絡(luò)管理員無(wú)法控制用戶(hù)行為，因而無(wú)法控制多出口之間的流量分配，為了保證正常的網(wǎng)絡(luò)應(yīng)用（http、mail等），必須通過(guò)流控設(shè)備對(duì)P2P等行為進(jìn)行限制，因而給用戶(hù)造成“網(wǎng)速很慢”的用戶(hù)體驗(yàn)。

調(diào)整出口流量的另一種方法是強(qiáng)制分配源地址，將校內(nèi)用戶(hù)按照樓宇或者地理位置，分成與各出口帶寬相對(duì)應(yīng)的等份，通過(guò)DHCP下發(fā)不同的用戶(hù)地址，在出口路由器分配分配用戶(hù)走不同的出口。這樣雖然有利于出口流量分配，但是對(duì)用戶(hù)所有訪(fǎng)問(wèn)均指向一個(gè)出口，會(huì)導(dǎo)致在用戶(hù)數(shù)據(jù)運(yùn)營(yíng)商之間傳遞，大大增加了用戶(hù)網(wǎng)絡(luò)延遲。

以上兩種調(diào)整出口流量的方法都有其弊端，為了更精確的調(diào)配出口流量，并給用戶(hù)提供良好的用戶(hù)體驗(yàn)，我們經(jīng)過(guò)實(shí)踐，采取了基于DNS的高校出口流量調(diào)配措施。

調(diào)配措施基礎(chǔ)

CDN服務(wù)的普遍實(shí)施

內(nèi)容發(fā)布網(wǎng)絡(luò)（Content DeliveryNetwork）將用戶(hù)重定向到附近的CDN網(wǎng)絡(luò)的邊緣節(jié)點(diǎn)服務(wù)器來(lái)提高用戶(hù)獲取內(nèi)容信息的效率和質(zhì)量。對(duì)網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商來(lái)說(shuō)，DNS可以給CDN帶來(lái)顯著的優(yōu)勢(shì)和靈活性。

對(duì)于校園網(wǎng)用戶(hù)來(lái)說(shuō)，雖然單個(gè)用戶(hù)的DNS解析需求是多種多樣的，但是眾多用戶(hù)的需求卻可以通過(guò)大數(shù)據(jù)分析獲得TOP5和TOP10的網(wǎng)站，以中國(guó)人民大學(xué)為例，DNS服務(wù)器為bind9搭建，通過(guò)#dnstop eth0命令可獲得DNS解析數(shù)據(jù)分析，2014年2月25日校內(nèi)兩萬(wàn)多用戶(hù)DNS查詢(xún)的結(jié)果如圖1所示。

根據(jù)圖1的解析結(jié)果，我們結(jié)合各運(yùn)營(yíng)商提供的公共DNS來(lái)查詢(xún)可劫持對(duì)象：

電信對(duì)外DNS：219.141.136.10219.141.140.10教育網(wǎng)對(duì)外DNS：202.38.184.13 2.38.184.29聯(lián)通對(duì)外DNS：202.106.196.115 2.106.0.20

以視頻網(wǎng)站優(yōu)酷優(yōu)酷為例：

;; QUESTION SECTION:

;www.youku.com. IN A

優(yōu)酷-電信DNS(219.141.136.10)dig解析結(jié)果：;; ANSWER SECTION:

www.youku.com. 10 IN CNAME zw-w. youku.com.

zw-w.youku.com. 1548 IN A 220.181.185.141

優(yōu)酷-教育網(wǎng)DNS(202.38.184.13)dig解析結(jié)果：

圖1 校園DSN服務(wù)器5分鐘解析統(tǒng)計(jì)

;; ANSWER SECTION:

www.youku.com. 300 IN CNAME edu-w.youku.com.

edu-w.youku.com. 3600 IN A 118.228.16.231

優(yōu)酷-聯(lián)通DNS(202.106.196.115)dig解析結(jié)果：

;; ANSWER SECTION:

www.youku.com. 253 IN CNAME zwn-w.youku.com.

zw-n-w.youku.com. 1081 IN A 123.126.99.31

由以上測(cè)試結(jié)果得見(jiàn)，優(yōu)酷會(huì)根據(jù)用戶(hù)的查詢(xún)DNS提供不同的別名，電信別名為zw-w.youku.com，教育網(wǎng)的別名為edu-w. youku.com，聯(lián)通的別名為zw-n-w.youku. com，這個(gè)通過(guò)別名解析不同的IP地址給用戶(hù)的CND網(wǎng)絡(luò)正是我們通過(guò)DNS調(diào)整校園網(wǎng)出口流量的基礎(chǔ)。

校內(nèi)多臺(tái)DNS部署

高校的DNS應(yīng)包括對(duì)內(nèi)、對(duì)外兩套體系，對(duì)外DNS為教育網(wǎng)地址，分主備，對(duì)內(nèi)DNS為一臺(tái)內(nèi)網(wǎng)設(shè)備。

人民大學(xué)搭建了對(duì)外部提供服務(wù)的主DNS(202.112.112.101)和備DNS(202.112.112.100)，提供人民大學(xué)ruc.edu.cn和ruc6.ruc.edu.cn的解析。與此同時(shí)，以?xún)?nèi)網(wǎng)地址205作為校內(nèi)兩萬(wàn)多用戶(hù)的DNS服務(wù)器，通過(guò)DHCP下發(fā)配置，對(duì)于特殊功用的校內(nèi)服務(wù)，可以在校內(nèi)DNS上添加DNS域名劫持，而不會(huì)污染到外網(wǎng)。

除此之外，針對(duì)中國(guó)人民大學(xué)聯(lián)通、電信、教育網(wǎng)三個(gè)出口，我們專(zhuān)門(mén)搭建了只提供單一運(yùn)營(yíng)商解析的校內(nèi)DNS服務(wù)器,包括聯(lián)通201，電信202，教育網(wǎng)203。

出口防火墻與流控設(shè)備相應(yīng)部署

由于防火墻上各出口路由是由網(wǎng)絡(luò)管理員配置ISP路由，ISP路由的正確與否直接決定了DNS調(diào)配出口流量是否成功。我校教育網(wǎng)地址由本校教育地址段、nic. edu.cn聚類(lèi)地址與10ms.edu.cn三部分構(gòu)成，其中人大教育網(wǎng)地址10條，nic聚類(lèi)地址73條，10ms地址共計(jì)116條，地址共計(jì)199條教育網(wǎng)地址。電信出口則是由電信提供電信地址列表。默認(rèn)出口為聯(lián)通出口。

流控策略中分別對(duì)網(wǎng)管協(xié)議、DNS服務(wù)器組、視頻會(huì)議服務(wù)器組和特殊地址組予以帶寬保障，同時(shí)限制服務(wù)器組和全校的P2P下載做忙時(shí)和閑事的總帶寬限制，對(duì)于P2P進(jìn)出流量還根據(jù)出口帶寬設(shè)定了最大50%左右的限制，限制類(lèi)的策略還需根據(jù)流量觀察結(jié)果作出相應(yīng)調(diào)整。

DNS出口調(diào)配實(shí)踐

校內(nèi)DNS的基礎(chǔ)配置

校內(nèi)DNS服務(wù)器采用Debian操作系統(tǒng)，安裝bind9提供域名解析服務(wù)，通過(guò)/etc/ named.conf配置DNS服務(wù)。

在校內(nèi)DNS中，以校外輔助DNS為forward對(duì)象，若劫持校外地址，則可以在named.conf.local文件中添加include文件。通過(guò)DNS調(diào)整出口流量的配置，同樣在此添加文件。

通過(guò)DNS調(diào)整流量

第一步：創(chuàng)建調(diào)配流量zone文件，DNS校外地址默認(rèn)forwarders對(duì)象為電信DNS，故僅需創(chuàng)建教育網(wǎng)出口zones.cernet文件和聯(lián)通配置出口zones.cnc即可。

zones.cernet文件內(nèi)容如下：

zone"edu.cn" IN {

type forward;

forwarders { 202.112.0.35; 202.112.0.13; };

};

zone"youku.com" IN {

type forward;

forwarders { [校 內(nèi) dns203]; 202.38.184.13; 202.38.184.29; };

};

zones.cnc的配置格式同上，只需將域名修改為希望聯(lián)通的站點(diǎn)，將forwarders對(duì)象修改為聯(lián)通公網(wǎng)DNS即可。

第二步：named.conf中調(diào)用配置文件。

根據(jù)DNS文件解析結(jié)構(gòu)，在named. conf.local中調(diào)用zones.cernet和zones.cnc文件，配置內(nèi)容如下：

include "/etc/bind/zones.cernet";

include "/etc/bind/zones.cnc"; include "/etc/bind/zones.ruc";

第三步：根據(jù)流控結(jié)果調(diào)整配置文件內(nèi)容。

經(jīng)過(guò)幾輪調(diào)整，學(xué)校最終實(shí)現(xiàn)了如下流量調(diào)配結(jié)果：

教育網(wǎng)：優(yōu)酷、土豆、愛(ài)奇藝、edu. cn；

聯(lián)通：淘寶、百度、qq、360、weibo. com、163、搜狗；

各出口周流量統(tǒng)計(jì)如下：教育網(wǎng)出口，原千兆，調(diào)整為300M；

聯(lián)通出口，保持千兆；

電信出口，新增800M；

相較于其他調(diào)整出口流量的方法，通過(guò)DNS調(diào)配流量，具有無(wú)可比擬的優(yōu)勢(shì)，在技術(shù)操作層面，操作簡(jiǎn)單，有可以根據(jù)實(shí)際情況隨時(shí)調(diào)整。在用戶(hù)體驗(yàn)方面，通過(guò)DNS調(diào)整出口流量是無(wú)感知操作，用戶(hù)體驗(yàn)良好。

（作者單位為中國(guó)人民大學(xué)信息技術(shù)中心）

Aruba Networks發(fā)布“移動(dòng)定義網(wǎng)絡(luò)”

本刊訊 近日，Aruba Networks發(fā)布了Aruba Mobility-Defined Networks ，一種用于IT部門(mén)建設(shè)全移動(dòng)工作環(huán)境的全新架構(gòu)，可以提升Wi-Fi控的滿(mǎn)意度和創(chuàng)造力。配合這種新的架構(gòu)，Aruba同時(shí)發(fā)布了5種支持高移動(dòng)員工網(wǎng)絡(luò)需求的創(chuàng)新軟件，即下一代移動(dòng)防火墻、交互式統(tǒng)一通信控制臺(tái)、ClearPassExchange和Technology Partners、自動(dòng)登錄、AirGroup（現(xiàn)在支持DLNA和UPnP），為IT帶來(lái)高粒度的可見(jiàn)性、性能優(yōu)化和安全自動(dòng)化。

同時(shí)，Aruba新任中國(guó)區(qū)總裁馮滿(mǎn)亮（David Fung）首次亮相，他將繼續(xù)帶領(lǐng)Aruba中國(guó)團(tuán)隊(duì)擴(kuò)展企業(yè)網(wǎng)絡(luò)市場(chǎng)，助力客戶(hù)向新一代全移動(dòng)網(wǎng)絡(luò)環(huán)境的轉(zhuǎn)型。“Wi-Fi已經(jīng)成為個(gè)人生活和工作的必需品。隨著Wi-Fi控時(shí)代的到來(lái)，Aruba推出的‘4S’全無(wú)線(xiàn)網(wǎng)絡(luò)解決方案，為使用者提供了穩(wěn)定、安全、智能、簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境，這同時(shí)也體現(xiàn)了我們區(qū)別于其他同業(yè)產(chǎn)品的重要差異化優(yōu)勢(shì)。我們致力于推動(dòng)全移動(dòng)世界的到來(lái)，這樣既可以很好地滿(mǎn)足個(gè)人在生活和工作方面的上網(wǎng)需求，同時(shí)能夠幫助企業(yè)和機(jī)構(gòu)提高效率，降低成本。”馮滿(mǎn)亮表示。