• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于策略路由和BIND9的校園網(wǎng)快速訪問研究

    2019-05-27 06:12:00趙建勛
    關(guān)鍵詞:教育網(wǎng)公網(wǎng)IP地址

    趙建勛

    (西安文理學(xué)院 信息與現(xiàn)代教育技術(shù)中心, 陜西 西安 710065)

    0 引言

    高校校園網(wǎng)的邊界網(wǎng)絡(luò)拓?fù)浯蠖嗍怯蛇吔绶阑饓?、出入口鏈路、DMZ服務(wù)器區(qū)等組成的,主要用于實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問公網(wǎng)、內(nèi)外網(wǎng)用戶校園Web站點(diǎn)訪問以及教育網(wǎng)資源共享等[1]。在IPv4下,內(nèi)網(wǎng)和外網(wǎng)用戶數(shù)據(jù)交互時必須要經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,NAT),為了保證校園網(wǎng)資源對外能訪問,傳統(tǒng)DNS解析的結(jié)果都是經(jīng)過NAT后的公網(wǎng)地址,內(nèi)網(wǎng)用戶訪問校園網(wǎng)服務(wù)器就必須也要經(jīng)過NAT,特別是當(dāng)服務(wù)器不在DMZ區(qū)時,還要經(jīng)過一系列路由后再次NAT才能訪問。如此過程不僅復(fù)雜,而且對校園網(wǎng)帶寬帶來不必要的負(fù)載,易造成網(wǎng)絡(luò)卡頓。本文結(jié)合NAT技術(shù)和策略路由,在BIND9技術(shù)基礎(chǔ)上對西安文理學(xué)院校園網(wǎng)資源訪問進(jìn)行優(yōu)化整合,提升網(wǎng)絡(luò)訪問性能和效率。

    1 相關(guān)技術(shù)簡介

    1.1 NAT技術(shù)

    在全球IPv4地址即將枯竭的時候,NAT技術(shù)的出現(xiàn)解決了這個燃眉之急。它可以對數(shù)據(jù)報文的源地址、目的地址甚至是端口進(jìn)行更改,即用戶在園區(qū)內(nèi)可以私有地址訪問各類資源,只有當(dāng)訪問外網(wǎng)時才進(jìn)行NAT,大大節(jié)約了公網(wǎng)IP地址。根據(jù)對源地址還是對目的地址進(jìn)行地址轉(zhuǎn)換,NAT[2]技術(shù)還可分為SNAT和DNAT,以上兩種技術(shù)廣泛應(yīng)用于邊界網(wǎng)關(guān)。

    SNAT是對數(shù)據(jù)報文的源地址進(jìn)行轉(zhuǎn)換,常將多個私有IP地址轉(zhuǎn)換為公有IP地址,以便于數(shù)據(jù)包在公網(wǎng)上路由,主要用于私有IP地址的用戶訪問公網(wǎng)資源;DNAT是對數(shù)據(jù)報文的目的地址進(jìn)行轉(zhuǎn)換,常將單個公有IP地址轉(zhuǎn)換為私有IP地址,以便于私有網(wǎng)絡(luò)里的服務(wù)被外網(wǎng)訪問,其中報文中目的地址的端口在轉(zhuǎn)換前可以自行定制,主要用于私有IP的資源被公網(wǎng)用戶訪問。

    1.2 策略路由

    路由是網(wǎng)絡(luò)數(shù)據(jù)包在網(wǎng)絡(luò)上的轉(zhuǎn)發(fā)機(jī)制,由多個路由表組成。通過修改路由表可控制網(wǎng)絡(luò)數(shù)據(jù)包的可達(dá)與否,這種方式稱為路由策略,其僅基于數(shù)據(jù)包里目的地址進(jìn)行選擇其下一跳地址。

    基于用戶自定義的策略如根據(jù)數(shù)據(jù)報源地址或協(xié)議等,再進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的稱之為策略路由,其優(yōu)先于直連路由、靜態(tài)路由、動態(tài)路由等路由策略[3]。策略路由可以根據(jù)用戶的IP地址或所訪問的協(xié)議再精確指定下一跳地址,在邊界網(wǎng)關(guān)上應(yīng)用,可實(shí)現(xiàn)不同運(yùn)營商下多出口的流量測量等。

    1.3 BIND9

    BIND(Berkeley Internet Name Domain)是當(dāng)前應(yīng)用最廣的開源DNS服務(wù)器組件,在類UNIX系統(tǒng)中以名稱為named的守護(hù)進(jìn)程存在,當(dāng)前最新軟件版本是第9版。BIND9除了具備傳統(tǒng)DNS的功能以外,還可結(jié)合ACL(訪問控制列表)和VIEW(視圖)功能,根據(jù)用戶的源IP地址將請求的域名解析到相應(yīng)的不同IP地址,實(shí)現(xiàn)靈活解析的智能DNS[4]。

    2 校園網(wǎng)資源訪問的優(yōu)化整合

    2.1 現(xiàn)狀

    西安文理學(xué)院校園網(wǎng)主要服務(wù)內(nèi)容有兩個:一是讓內(nèi)網(wǎng)用戶安全有效地訪問外網(wǎng),二是為內(nèi)外網(wǎng)用戶提供安全穩(wěn)定的網(wǎng)絡(luò)資源訪問。如圖1所示,校園網(wǎng)三條出口鏈路分為兩家運(yùn)營商(電信網(wǎng)和教育網(wǎng)),且?guī)挷町愝^大;網(wǎng)絡(luò)資源主要分布在DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)區(qū);內(nèi)網(wǎng)網(wǎng)中除了研究測試與DNS為教育網(wǎng)IP,其余均為172.16.0.0/16的私有網(wǎng)。

    圖1 服務(wù)器及邊界網(wǎng)絡(luò)拓?fù)鋱D

    校園網(wǎng)用戶訪問外網(wǎng)時均為默認(rèn)路由,對于多出口以帶寬大小作為權(quán)重;在邊界網(wǎng)關(guān)上使用默認(rèn)SNAT時,也以最大帶寬的出口優(yōu)先。但當(dāng)用戶訪問一個國外或教育網(wǎng)資源時,因為優(yōu)先路由以電信網(wǎng)訪問,可能造成訪問卡頓甚至無法訪問。

    校園網(wǎng)資源以包含域名或公網(wǎng)IP的統(tǒng)一資源定位符(Uniform Resource Locator,URL)出現(xiàn),當(dāng)內(nèi)網(wǎng)用戶訪問該URL時,即使和該資源在同一網(wǎng)段,也必須經(jīng)過路由到達(dá)邊界網(wǎng)關(guān),然后邊界網(wǎng)關(guān)經(jīng)過雙重NAT(DNAT和SNAT)后,再返回用戶端,特別當(dāng)該URL指向內(nèi)容為大流量文件時,不僅造成訪問卡頓,也會對校園網(wǎng)骨干網(wǎng)造成不必要的負(fù)載,影響整體校園網(wǎng)的穩(wěn)定和性能。

    2.2 優(yōu)化及實(shí)踐

    2.2.1 優(yōu)化出口帶寬用途

    由于邊界網(wǎng)關(guān)上的流量SNAT遠(yuǎn)遠(yuǎn)大于DNAT[2],因此在2 Gb/s大帶寬的出口上使用SNAT作為所有內(nèi)網(wǎng)用戶訪問外網(wǎng)的首選,防止100 Mb/s小帶寬上有大流量時造成網(wǎng)絡(luò)堵塞;對于100 Mb/s的小帶寬出口,由于電信運(yùn)營商提供了較多的公網(wǎng)IP地址,對外可提供豐富的網(wǎng)絡(luò)服務(wù),因此將其主要用于DNAT,作為外網(wǎng)用戶訪問校園網(wǎng)Web資源的首選;而500 Mb/s帶寬的教育網(wǎng)用于科研、實(shí)驗等特殊用途的精準(zhǔn)訪問。

    2.2.2 啟用策略路由精準(zhǔn)訪問

    出口路由為三條以帶寬大小為優(yōu)先級的默認(rèn)路由,如表1所示。以上路由保證了出口鏈路的冗余,但使得內(nèi)網(wǎng)用戶可能無法訪問教育網(wǎng)。針對教育網(wǎng)的專網(wǎng)特性,須保證其流量必須經(jīng)教育網(wǎng)出口。采用策略路由實(shí)現(xiàn)上述目的,方法大致如下:

    (1)確定內(nèi)網(wǎng)用戶聚合IP為172.16.0.0/16,所有對象為any,目標(biāo)地址為教育網(wǎng)多條IP聚類[5],以下以其中一個網(wǎng)絡(luò)202.112.0.46/18為例。

    (2)定制擴(kuò)展ACL,允許源地址為172.16.0.0/16的內(nèi)部網(wǎng)絡(luò)訪問目的地址為202.112.0.46/18的所有服務(wù)。

    (3)應(yīng)用此ACL到邊界網(wǎng)關(guān)的教育網(wǎng)接口上,且以202.200.29.157為此策略路由的網(wǎng)關(guān)。

    表1 三條出口的默認(rèn)路由

    2.2.3 BIND9的智能DNS

    對于校園URL中的含有公網(wǎng)IP的字符全部以域名代替,當(dāng)用戶在校園網(wǎng)內(nèi)以URL訪問校內(nèi)資源時,智能DNS將域名解析為內(nèi)網(wǎng)IP,可免除繞路經(jīng)過邊界網(wǎng)關(guān)帶來骨干網(wǎng)多余網(wǎng)絡(luò)負(fù)載,使得內(nèi)網(wǎng)互相訪問不必再使用NAT,減少邊界網(wǎng)關(guān)并發(fā)壓力。以上主要通過搭建BIND9實(shí)現(xiàn),基本完成過程如下:

    首先,完成校園網(wǎng)接入層的安全管理,通過IP Source Guard并配合DHCP Server統(tǒng)一下發(fā)用戶的IP信息[6],將校內(nèi)用戶的DNS綁定為校內(nèi)智能DNS地址。

    其次,設(shè)計BIND9服務(wù)器上的named.conf主配置文件。

    (1)開啟DNS服務(wù)選項中的緩存和轉(zhuǎn)發(fā)功能,即優(yōu)先使用本服務(wù)器上的緩存解析,對不在本域或緩存的解析請求發(fā)送到公共DNS。

    options {allow-query-cache { any;};

    forwarders{

    114.114.114.114;……};

    forward first;……

    (2)通過acl功能設(shè)定校內(nèi)網(wǎng)區(qū)域?qū)ο髕au。

    acl xau{172.16.0.0/16;}

    (3)通過view功能定制校內(nèi)網(wǎng)xau和其他對象的域名解析方式。對xawl.edu.cn的子域名解析時,當(dāng)請求的IP地址屬于對象xau時,按照解析文件named.xawl1.edu.cn完成,如果為其他IP的請求,則按照文件named.xawl.edu.cn完成;而對baidu.com子域名解析時,可直接將請求轉(zhuǎn)發(fā)到百度的公共DNS,既加快解析速度又增加解析準(zhǔn)確性。

    view "xau"{match-clients { xau;};

    //校內(nèi)網(wǎng)解析匹配

    zone "xawl.edu.cn" IN {

    file "named.xawl1.edu.cn";……};

    zone "baidu.com" IN{

    type forward;

    forwarders{180.76.76.76;};};……

    view "any"{ match-clients { any;};

    //其他域名解析

    zone "xawl.edu.cn" IN {

    file "named.xawl.edu.cn";};};……

    最后,對應(yīng)xau內(nèi)網(wǎng)地址和其他地址對xawl.edu.cn子域名的請求,分別完成不同解析結(jié)果的文件,即named.xawl1.edu.cn和named.xawl.edu.cn。例如域名zsb.xawl.edu.cn在兩個文件中結(jié)果如下:

    zsb IN A 172.16.122.14

    //內(nèi)網(wǎng)域名解析

    zsb IN A 222.91.187.6

    //其他網(wǎng)域名解析

    2.3 實(shí)驗結(jié)果

    測試主機(jī)環(huán)境為Intel i5-4570的CPU,8 GB內(nèi)存,Windows 10操作系統(tǒng),網(wǎng)絡(luò)IP地址為172.16.122.35/24。

    2.3.1 策略路由

    對www.nic.edu.cn(IP地址為202.112.0.46,屬于教育網(wǎng))進(jìn)行訪問測試,以ping命令測試,結(jié)果如表2所示。未啟用路由策略時,到達(dá)終點(diǎn)根據(jù)TTL值[7]測算經(jīng)歷了11個節(jié)點(diǎn),平均延時34 ms;啟用策略后,到達(dá)終點(diǎn)經(jīng)歷了6個節(jié)點(diǎn),平均延時17 ms。 結(jié)果表明,啟用策略路由后,優(yōu)化了路由,縮短了訪問延時。

    表2 啟用策略路由前后的數(shù)據(jù)包探測

    2.3.2 智能DNS

    對zsb.xawl.edu.cn進(jìn)行訪問測試,以路由追蹤命令tracert及Wireshark軟件抓包,結(jié)果如表3所示,其中指標(biāo)RTT[8](Round Trip Time)取TCP三次握手的前兩次握手的往返時間。在應(yīng)用智能DNS前,到達(dá)DNAT后的公網(wǎng)IP共經(jīng)歷了3個路由節(jié)點(diǎn),另外還需要再次SNAT后按原路由返回內(nèi)網(wǎng)IP,又經(jīng)歷3個節(jié)點(diǎn),總共需要經(jīng)過6個路由節(jié)點(diǎn),RTT為0.650 ms;啟用智能DNS后在同網(wǎng)段內(nèi)直接訪問,經(jīng)過了0個路由節(jié)點(diǎn),RTT為0.052 ms。結(jié)果表明,啟用智能DNS后,內(nèi)網(wǎng)訪問路由更合理、更優(yōu),減少了骨干網(wǎng)多余帶寬的占用,也免去了邊界網(wǎng)關(guān)需要雙重NAT的負(fù)載。

    表3 啟用智能DNS前后的訪問情況

    3 結(jié)論

    通過對學(xué)?,F(xiàn)有網(wǎng)絡(luò)情況的分析,根據(jù)運(yùn)營商的出口帶寬和服務(wù)質(zhì)量,在邊界網(wǎng)關(guān)上優(yōu)化了出口使用策略;通過啟用策略路由,保證了用戶在高速訪問互聯(lián)網(wǎng)的同時,也可根據(jù)需求優(yōu)化路由,縮短了訪問延遲;通過智能DNS服務(wù)器的搭建和接入網(wǎng)實(shí)施,使得內(nèi)網(wǎng)用戶訪問校內(nèi)網(wǎng)絡(luò)資源更加直接,提升了訪問速度,減少了網(wǎng)絡(luò)整體負(fù)載。

    當(dāng)然,智能DNS將服務(wù)器真實(shí)IP暴露給內(nèi)網(wǎng)用戶,需要加強(qiáng)訪問控制技術(shù)來保證服務(wù)器安全;另外,隨著各類教育網(wǎng)與電信網(wǎng)更深層次的互聯(lián)互通,屆時策略路由還需要再基于更廣泛的因素來優(yōu)化。

    猜你喜歡
    教育網(wǎng)公網(wǎng)IP地址
    淺析大臨鐵路公網(wǎng)覆蓋方案
    中國新通信(2022年4期)2022-04-23 23:04:20
    鐵路遠(yuǎn)動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
    公網(wǎng)鐵路應(yīng)急通信質(zhì)量提升的技術(shù)應(yīng)用
    基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
    黑龍江電力(2017年1期)2017-05-17 04:25:16
    基于公網(wǎng)短信的河北省高速公路數(shù)據(jù)傳輸應(yīng)用
    我國警用通信專網(wǎng)與公網(wǎng)比較研究
    中國省級教育信息綜合網(wǎng)站排行榜
    中國省級教育信息綜合網(wǎng)站排行榜
    中國省級教育信息綜合網(wǎng)站排行榜
    中國省級教育信息綜合網(wǎng)站排行榜
    陇西县| 大冶市| 仲巴县| 祥云县| 西青区| 三台县| 屯门区| 瑞丽市| 安平县| 阿合奇县| 巴南区| 金山区| 故城县| 花莲县| 渝北区| 剑河县| 磐石市| 旬邑县| 台南市| 泸州市| 南江县| 陆良县| 蕉岭县| 沅江市| 教育| 剑阁县| 丹东市| 河西区| 红原县| 石阡县| 柞水县| 宁化县| 湟中县| 丰台区| 永年县| 昭觉县| 梨树县| 区。| 通城县| 衢州市| 宜黄县|