基于策略路由和BIND9的校園網(wǎng)快速訪問研究

趙建勛

(西安文理學(xué)院 信息與現(xiàn)代教育技術(shù)中心， 陜西 西安 710065)

0 引言

高校校園網(wǎng)的邊界網(wǎng)絡(luò)拓?fù)浯蠖嗍怯蛇吔绶阑饓?、出入口鏈路、DMZ服務(wù)器區(qū)等組成的，主要用于實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問公網(wǎng)、內(nèi)外網(wǎng)用戶校園Web站點(diǎn)訪問以及教育網(wǎng)資源共享等[1]。在IPv4下，內(nèi)網(wǎng)和外網(wǎng)用戶數(shù)據(jù)交互時必須要經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)，為了保證校園網(wǎng)資源對外能訪問，傳統(tǒng)DNS解析的結(jié)果都是經(jīng)過NAT后的公網(wǎng)地址，內(nèi)網(wǎng)用戶訪問校園網(wǎng)服務(wù)器就必須也要經(jīng)過NAT，特別是當(dāng)服務(wù)器不在DMZ區(qū)時，還要經(jīng)過一系列路由后再次NAT才能訪問。如此過程不僅復(fù)雜，而且對校園網(wǎng)帶寬帶來不必要的負(fù)載，易造成網(wǎng)絡(luò)卡頓。本文結(jié)合NAT技術(shù)和策略路由，在BIND9技術(shù)基礎(chǔ)上對西安文理學(xué)院校園網(wǎng)資源訪問進(jìn)行優(yōu)化整合，提升網(wǎng)絡(luò)訪問性能和效率。

1 相關(guān)技術(shù)簡介

1.1 NAT技術(shù)

在全球IPv4地址即將枯竭的時候，NAT技術(shù)的出現(xiàn)解決了這個燃眉之急。它可以對數(shù)據(jù)報文的源地址、目的地址甚至是端口進(jìn)行更改，即用戶在園區(qū)內(nèi)可以私有地址訪問各類資源，只有當(dāng)訪問外網(wǎng)時才進(jìn)行NAT，大大節(jié)約了公網(wǎng)IP地址。根據(jù)對源地址還是對目的地址進(jìn)行地址轉(zhuǎn)換，NAT[2]技術(shù)還可分為SNAT和DNAT，以上兩種技術(shù)廣泛應(yīng)用于邊界網(wǎng)關(guān)。

SNAT是對數(shù)據(jù)報文的源地址進(jìn)行轉(zhuǎn)換，常將多個私有IP地址轉(zhuǎn)換為公有IP地址，以便于數(shù)據(jù)包在公網(wǎng)上路由，主要用于私有IP地址的用戶訪問公網(wǎng)資源；DNAT是對數(shù)據(jù)報文的目的地址進(jìn)行轉(zhuǎn)換，常將單個公有IP地址轉(zhuǎn)換為私有IP地址，以便于私有網(wǎng)絡(luò)里的服務(wù)被外網(wǎng)訪問，其中報文中目的地址的端口在轉(zhuǎn)換前可以自行定制，主要用于私有IP的資源被公網(wǎng)用戶訪問。

1.2 策略路由

路由是網(wǎng)絡(luò)數(shù)據(jù)包在網(wǎng)絡(luò)上的轉(zhuǎn)發(fā)機(jī)制，由多個路由表組成。通過修改路由表可控制網(wǎng)絡(luò)數(shù)據(jù)包的可達(dá)與否，這種方式稱為路由策略，其僅基于數(shù)據(jù)包里目的地址進(jìn)行選擇其下一跳地址。

基于用戶自定義的策略如根據(jù)數(shù)據(jù)報源地址或協(xié)議等，再進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)的稱之為策略路由，其優(yōu)先于直連路由、靜態(tài)路由、動態(tài)路由等路由策略[3]。策略路由可以根據(jù)用戶的IP地址或所訪問的協(xié)議再精確指定下一跳地址，在邊界網(wǎng)關(guān)上應(yīng)用，可實(shí)現(xiàn)不同運(yùn)營商下多出口的流量測量等。

1.3 BIND9

BIND(Berkeley Internet Name Domain)是當(dāng)前應(yīng)用最廣的開源DNS服務(wù)器組件，在類UNIX系統(tǒng)中以名稱為named的守護(hù)進(jìn)程存在，當(dāng)前最新軟件版本是第9版。BIND9除了具備傳統(tǒng)DNS的功能以外，還可結(jié)合ACL(訪問控制列表)和VIEW(視圖)功能，根據(jù)用戶的源IP地址將請求的域名解析到相應(yīng)的不同IP地址，實(shí)現(xiàn)靈活解析的智能DNS[4]。

2 校園網(wǎng)資源訪問的優(yōu)化整合

2.1 現(xiàn)狀

西安文理學(xué)院校園網(wǎng)主要服務(wù)內(nèi)容有兩個：一是讓內(nèi)網(wǎng)用戶安全有效地訪問外網(wǎng)，二是為內(nèi)外網(wǎng)用戶提供安全穩(wěn)定的網(wǎng)絡(luò)資源訪問。如圖1所示，校園網(wǎng)三條出口鏈路分為兩家運(yùn)營商(電信網(wǎng)和教育網(wǎng))，且?guī)挷町愝^大；網(wǎng)絡(luò)資源主要分布在DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)區(qū)；內(nèi)網(wǎng)網(wǎng)中除了研究測試與DNS為教育網(wǎng)IP，其余均為172.16.0.0/16的私有網(wǎng)。

圖1 服務(wù)器及邊界網(wǎng)絡(luò)拓?fù)鋱D

校園網(wǎng)用戶訪問外網(wǎng)時均為默認(rèn)路由，對于多出口以帶寬大小作為權(quán)重；在邊界網(wǎng)關(guān)上使用默認(rèn)SNAT時，也以最大帶寬的出口優(yōu)先。但當(dāng)用戶訪問一個國外或教育網(wǎng)資源時，因為優(yōu)先路由以電信網(wǎng)訪問，可能造成訪問卡頓甚至無法訪問。

校園網(wǎng)資源以包含域名或公網(wǎng)IP的統(tǒng)一資源定位符(Uniform Resource Locator,URL)出現(xiàn)，當(dāng)內(nèi)網(wǎng)用戶訪問該URL時，即使和該資源在同一網(wǎng)段，也必須經(jīng)過路由到達(dá)邊界網(wǎng)關(guān)，然后邊界網(wǎng)關(guān)經(jīng)過雙重NAT(DNAT和SNAT)后，再返回用戶端，特別當(dāng)該URL指向內(nèi)容為大流量文件時，不僅造成訪問卡頓，也會對校園網(wǎng)骨干網(wǎng)造成不必要的負(fù)載，影響整體校園網(wǎng)的穩(wěn)定和性能。

2.2 優(yōu)化及實(shí)踐

2.2.1 優(yōu)化出口帶寬用途

由于邊界網(wǎng)關(guān)上的流量SNAT遠(yuǎn)遠(yuǎn)大于DNAT[2]，因此在2 Gb/s大帶寬的出口上使用SNAT作為所有內(nèi)網(wǎng)用戶訪問外網(wǎng)的首選，防止100 Mb/s小帶寬上有大流量時造成網(wǎng)絡(luò)堵塞；對于100 Mb/s的小帶寬出口，由于電信運(yùn)營商提供了較多的公網(wǎng)IP地址，對外可提供豐富的網(wǎng)絡(luò)服務(wù)，因此將其主要用于DNAT，作為外網(wǎng)用戶訪問校園網(wǎng)Web資源的首選；而500 Mb/s帶寬的教育網(wǎng)用于科研、實(shí)驗等特殊用途的精準(zhǔn)訪問。

2.2.2 啟用策略路由精準(zhǔn)訪問

出口路由為三條以帶寬大小為優(yōu)先級的默認(rèn)路由，如表1所示。以上路由保證了出口鏈路的冗余，但使得內(nèi)網(wǎng)用戶可能無法訪問教育網(wǎng)。針對教育網(wǎng)的專網(wǎng)特性，須保證其流量必須經(jīng)教育網(wǎng)出口。采用策略路由實(shí)現(xiàn)上述目的，方法大致如下：

(1)確定內(nèi)網(wǎng)用戶聚合IP為172.16.0.0/16，所有對象為any，目標(biāo)地址為教育網(wǎng)多條IP聚類[5]，以下以其中一個網(wǎng)絡(luò)202.112.0.46/18為例。

(2)定制擴(kuò)展ACL，允許源地址為172.16.0.0/16的內(nèi)部網(wǎng)絡(luò)訪問目的地址為202.112.0.46/18的所有服務(wù)。

(3)應(yīng)用此ACL到邊界網(wǎng)關(guān)的教育網(wǎng)接口上，且以202.200.29.157為此策略路由的網(wǎng)關(guān)。

表1 三條出口的默認(rèn)路由

2.2.3 BIND9的智能DNS

對于校園URL中的含有公網(wǎng)IP的字符全部以域名代替，當(dāng)用戶在校園網(wǎng)內(nèi)以URL訪問校內(nèi)資源時，智能DNS將域名解析為內(nèi)網(wǎng)IP，可免除繞路經(jīng)過邊界網(wǎng)關(guān)帶來骨干網(wǎng)多余網(wǎng)絡(luò)負(fù)載，使得內(nèi)網(wǎng)互相訪問不必再使用NAT，減少邊界網(wǎng)關(guān)并發(fā)壓力。以上主要通過搭建BIND9實(shí)現(xiàn)，基本完成過程如下：

首先，完成校園網(wǎng)接入層的安全管理，通過IP Source Guard并配合DHCP Server統(tǒng)一下發(fā)用戶的IP信息[6]，將校內(nèi)用戶的DNS綁定為校內(nèi)智能DNS地址。

其次，設(shè)計BIND9服務(wù)器上的named.conf主配置文件。

(1)開啟DNS服務(wù)選項中的緩存和轉(zhuǎn)發(fā)功能，即優(yōu)先使用本服務(wù)器上的緩存解析，對不在本域或緩存的解析請求發(fā)送到公共DNS。

options {allow-query-cache { any;};

forwarders{

114.114.114.114;……};

forward first;……

(2)通過acl功能設(shè)定校內(nèi)網(wǎng)區(qū)域?qū)ο髕au。

acl xau{172.16.0.0/16;}

(3)通過view功能定制校內(nèi)網(wǎng)xau和其他對象的域名解析方式。對xawl.edu.cn的子域名解析時，當(dāng)請求的IP地址屬于對象xau時，按照解析文件named.xawl1.edu.cn完成，如果為其他IP的請求，則按照文件named.xawl.edu.cn完成；而對baidu.com子域名解析時，可直接將請求轉(zhuǎn)發(fā)到百度的公共DNS，既加快解析速度又增加解析準(zhǔn)確性。

view "xau"{match-clients { xau;};

//校內(nèi)網(wǎng)解析匹配

zone "xawl.edu.cn" IN {

file "named.xawl1.edu.cn";……};

zone "baidu.com" IN{

type forward;

forwarders{180.76.76.76;};};……

view "any"{ match-clients { any;};

//其他域名解析

zone "xawl.edu.cn" IN {

file "named.xawl.edu.cn";};};……

最后，對應(yīng)xau內(nèi)網(wǎng)地址和其他地址對xawl.edu.cn子域名的請求，分別完成不同解析結(jié)果的文件，即named.xawl1.edu.cn和named.xawl.edu.cn。例如域名zsb.xawl.edu.cn在兩個文件中結(jié)果如下：

zsb IN A 172.16.122.14

//內(nèi)網(wǎng)域名解析

zsb IN A 222.91.187.6

//其他網(wǎng)域名解析

2.3 實(shí)驗結(jié)果

測試主機(jī)環(huán)境為Intel i5-4570的CPU，8 GB內(nèi)存，Windows 10操作系統(tǒng)，網(wǎng)絡(luò)IP地址為172.16.122.35/24。

2.3.1 策略路由

對www.nic.edu.cn(IP地址為202.112.0.46，屬于教育網(wǎng))進(jìn)行訪問測試，以ping命令測試，結(jié)果如表2所示。未啟用路由策略時，到達(dá)終點(diǎn)根據(jù)TTL值[7]測算經(jīng)歷了11個節(jié)點(diǎn)，平均延時34 ms；啟用策略后，到達(dá)終點(diǎn)經(jīng)歷了6個節(jié)點(diǎn)，平均延時17 ms。 結(jié)果表明，啟用策略路由后，優(yōu)化了路由，縮短了訪問延時。

表2 啟用策略路由前后的數(shù)據(jù)包探測

2.3.2 智能DNS

對zsb.xawl.edu.cn進(jìn)行訪問測試，以路由追蹤命令tracert及Wireshark軟件抓包，結(jié)果如表3所示，其中指標(biāo)RTT[8](Round Trip Time)取TCP三次握手的前兩次握手的往返時間。在應(yīng)用智能DNS前，到達(dá)DNAT后的公網(wǎng)IP共經(jīng)歷了3個路由節(jié)點(diǎn)，另外還需要再次SNAT后按原路由返回內(nèi)網(wǎng)IP，又經(jīng)歷3個節(jié)點(diǎn)，總共需要經(jīng)過6個路由節(jié)點(diǎn)，RTT為0.650 ms；啟用智能DNS后在同網(wǎng)段內(nèi)直接訪問，經(jīng)過了0個路由節(jié)點(diǎn)，RTT為0.052 ms。結(jié)果表明，啟用智能DNS后，內(nèi)網(wǎng)訪問路由更合理、更優(yōu)，減少了骨干網(wǎng)多余帶寬的占用，也免去了邊界網(wǎng)關(guān)需要雙重NAT的負(fù)載。

表3 啟用智能DNS前后的訪問情況

3 結(jié)論

通過對學(xué)?，F(xiàn)有網(wǎng)絡(luò)情況的分析，根據(jù)運(yùn)營商的出口帶寬和服務(wù)質(zhì)量，在邊界網(wǎng)關(guān)上優(yōu)化了出口使用策略；通過啟用策略路由，保證了用戶在高速訪問互聯(lián)網(wǎng)的同時，也可根據(jù)需求優(yōu)化路由，縮短了訪問延遲；通過智能DNS服務(wù)器的搭建和接入網(wǎng)實(shí)施，使得內(nèi)網(wǎng)用戶訪問校內(nèi)網(wǎng)絡(luò)資源更加直接，提升了訪問速度，減少了網(wǎng)絡(luò)整體負(fù)載。

當(dāng)然，智能DNS將服務(wù)器真實(shí)IP暴露給內(nèi)網(wǎng)用戶，需要加強(qiáng)訪問控制技術(shù)來保證服務(wù)器安全；另外，隨著各類教育網(wǎng)與電信網(wǎng)更深層次的互聯(lián)互通，屆時策略路由還需要再基于更廣泛的因素來優(yōu)化。