文/張丹東 馬迎 趙志輝

DNS調(diào)配出口實(shí)踐

文/張丹東 馬迎 趙志輝

DNS(Domain Name Service)域名解析系統(tǒng)是網(wǎng)絡(luò)的基礎(chǔ)構(gòu)架, 是因特網(wǎng)的一項(xiàng)核心服務(wù)。各大高校均有自己的DNS，這就為校園網(wǎng)絡(luò)多出口流量調(diào)整提供了基礎(chǔ)，通過DNS調(diào)配校園多出口流量，具有無可比擬的優(yōu)勢，在技術(shù)操作層面，操作簡單，又可以根據(jù)實(shí)際情況隨時(shí)調(diào)整。在用戶體驗(yàn)方面，通過DNS調(diào)整出口流量無感知操作，用戶體驗(yàn)良好。

校園網(wǎng)絡(luò)出口流量調(diào)控

2013年底，學(xué)校調(diào)整出口帶寬，計(jì)劃將原教育網(wǎng)千兆，聯(lián)通千兆的出口切換為教育網(wǎng)300M、聯(lián)通千兆、電信800M。此次調(diào)整旨在增加了某運(yùn)營商帶寬，提升校園出口穩(wěn)定性。但是，如何平滑穩(wěn)定的切換，對網(wǎng)絡(luò)管理工作是一個(gè)嚴(yán)峻的考驗(yàn)。

在多個(gè)網(wǎng)絡(luò)運(yùn)營商出口之間調(diào)整流量，目前主要方法有兩種，一為通過出口防火墻添加目標(biāo)地址視圖，尤其教育網(wǎng)，可以通過Cernet和10ms網(wǎng)站整理出較完整的地址列表，通過ISP路由，將目標(biāo)地址為教育網(wǎng)IP的回話轉(zhuǎn)向教育網(wǎng)出口，電信亦是如此，其他流量通過默認(rèn)路由指向諸如聯(lián)通之類的出口。這個(gè)出口流量調(diào)控方法存在的問題是，校園網(wǎng)絡(luò)管理員無法控制用戶行為，因而無法控制多出口之間的流量分配，為了保證正常的網(wǎng)絡(luò)應(yīng)用（http、mail等），必須通過流控設(shè)備對P2P等行為進(jìn)行限制，因而給用戶造成“網(wǎng)速很慢”的用戶體驗(yàn)。

調(diào)整出口流量的另一種方法是強(qiáng)制分配源地址，將校內(nèi)用戶按照樓宇或者地理位置，分成與各出口帶寬相對應(yīng)的等份，通過DHCP下發(fā)不同的用戶地址，在出口路由器分配分配用戶走不同的出口。這樣雖然有利于出口流量分配，但是對用戶所有訪問均指向一個(gè)出口，會導(dǎo)致在用戶數(shù)據(jù)運(yùn)營商之間傳遞，大大增加了用戶網(wǎng)絡(luò)延遲。

以上兩種調(diào)整出口流量的方法都有其弊端，為了更精確的調(diào)配出口流量，并給用戶提供良好的用戶體驗(yàn)，我們經(jīng)過實(shí)踐，采取了基于DNS的高校出口流量調(diào)配措施。

調(diào)配措施基礎(chǔ)

CDN服務(wù)的普遍實(shí)施

內(nèi)容發(fā)布網(wǎng)絡(luò)（Content DeliveryNetwork）將用戶重定向到附近的CDN網(wǎng)絡(luò)的邊緣節(jié)點(diǎn)服務(wù)器來提高用戶獲取內(nèi)容信息的效率和質(zhì)量。對網(wǎng)絡(luò)服務(wù)運(yùn)營商來說，DNS可以給CDN帶來顯著的優(yōu)勢和靈活性。

對于校園網(wǎng)用戶來說，雖然單個(gè)用戶的DNS解析需求是多種多樣的，但是眾多用戶的需求卻可以通過大數(shù)據(jù)分析獲得TOP5和TOP10的網(wǎng)站，以中國人民大學(xué)為例，DNS服務(wù)器為bind9搭建，通過#dnstop eth0命令可獲得DNS解析數(shù)據(jù)分析，2014年2月25日校內(nèi)兩萬多用戶DNS查詢的結(jié)果如圖1所示。

根據(jù)圖1的解析結(jié)果，我們結(jié)合各運(yùn)營商提供的公共DNS來查詢可劫持對象：

電信對外DNS：219.141.136.10219.141.140.10教育網(wǎng)對外DNS：202.38.184.13 2.38.184.29聯(lián)通對外DNS：202.106.196.115 2.106.0.20

以視頻網(wǎng)站優(yōu)酷優(yōu)酷為例：

;; QUESTION SECTION:

;www.youku.com. IN A

優(yōu)酷-電信DNS(219.141.136.10)dig解析結(jié)果：;; ANSWER SECTION:

www.youku.com. 10 IN CNAME zw-w. youku.com.

zw-w.youku.com. 1548 IN A 220.181.185.141

優(yōu)酷-教育網(wǎng)DNS(202.38.184.13)dig解析結(jié)果：

圖1 校園DSN服務(wù)器5分鐘解析統(tǒng)計(jì)

;; ANSWER SECTION:

www.youku.com. 300 IN CNAME edu-w.youku.com.

edu-w.youku.com. 3600 IN A 118.228.16.231

優(yōu)酷-聯(lián)通DNS(202.106.196.115)dig解析結(jié)果：

;; ANSWER SECTION:

www.youku.com. 253 IN CNAME zwn-w.youku.com.

zw-n-w.youku.com. 1081 IN A 123.126.99.31

由以上測試結(jié)果得見，優(yōu)酷會根據(jù)用戶的查詢DNS提供不同的別名，電信別名為zw-w.youku.com，教育網(wǎng)的別名為edu-w. youku.com，聯(lián)通的別名為zw-n-w.youku. com，這個(gè)通過別名解析不同的IP地址給用戶的CND網(wǎng)絡(luò)正是我們通過DNS調(diào)整校園網(wǎng)出口流量的基礎(chǔ)。

校內(nèi)多臺DNS部署

高校的DNS應(yīng)包括對內(nèi)、對外兩套體系，對外DNS為教育網(wǎng)地址，分主備，對內(nèi)DNS為一臺內(nèi)網(wǎng)設(shè)備。

人民大學(xué)搭建了對外部提供服務(wù)的主DNS(202.112.112.101)和備DNS(202.112.112.100)，提供人民大學(xué)ruc.edu.cn和ruc6.ruc.edu.cn的解析。與此同時(shí)，以內(nèi)網(wǎng)地址205作為校內(nèi)兩萬多用戶的DNS服務(wù)器，通過DHCP下發(fā)配置，對于特殊功用的校內(nèi)服務(wù)，可以在校內(nèi)DNS上添加DNS域名劫持，而不會污染到外網(wǎng)。

除此之外，針對中國人民大學(xué)聯(lián)通、電信、教育網(wǎng)三個(gè)出口，我們專門搭建了只提供單一運(yùn)營商解析的校內(nèi)DNS服務(wù)器,包括聯(lián)通201，電信202，教育網(wǎng)203。

出口防火墻與流控設(shè)備相應(yīng)部署

由于防火墻上各出口路由是由網(wǎng)絡(luò)管理員配置ISP路由，ISP路由的正確與否直接決定了DNS調(diào)配出口流量是否成功。我校教育網(wǎng)地址由本校教育地址段、nic. edu.cn聚類地址與10ms.edu.cn三部分構(gòu)成，其中人大教育網(wǎng)地址10條，nic聚類地址73條，10ms地址共計(jì)116條，地址共計(jì)199條教育網(wǎng)地址。電信出口則是由電信提供電信地址列表。默認(rèn)出口為聯(lián)通出口。

流控策略中分別對網(wǎng)管協(xié)議、DNS服務(wù)器組、視頻會議服務(wù)器組和特殊地址組予以帶寬保障，同時(shí)限制服務(wù)器組和全校的P2P下載做忙時(shí)和閑事的總帶寬限制，對于P2P進(jìn)出流量還根據(jù)出口帶寬設(shè)定了最大50%左右的限制，限制類的策略還需根據(jù)流量觀察結(jié)果作出相應(yīng)調(diào)整。

DNS出口調(diào)配實(shí)踐

校內(nèi)DNS的基礎(chǔ)配置

校內(nèi)DNS服務(wù)器采用Debian操作系統(tǒng)，安裝bind9提供域名解析服務(wù)，通過/etc/ named.conf配置DNS服務(wù)。

在校內(nèi)DNS中，以校外輔助DNS為forward對象，若劫持校外地址，則可以在named.conf.local文件中添加include文件。通過DNS調(diào)整出口流量的配置，同樣在此添加文件。

通過DNS調(diào)整流量

第一步：創(chuàng)建調(diào)配流量zone文件，DNS校外地址默認(rèn)forwarders對象為電信DNS，故僅需創(chuàng)建教育網(wǎng)出口zones.cernet文件和聯(lián)通配置出口zones.cnc即可。

zones.cernet文件內(nèi)容如下：

zone"edu.cn" IN {

type forward;

forwarders { 202.112.0.35; 202.112.0.13; };

};

zone"youku.com" IN {

type forward;

forwarders { [校 內(nèi) dns203]; 202.38.184.13; 202.38.184.29; };

};

zones.cnc的配置格式同上，只需將域名修改為希望聯(lián)通的站點(diǎn)，將forwarders對象修改為聯(lián)通公網(wǎng)DNS即可。

第二步：named.conf中調(diào)用配置文件。

根據(jù)DNS文件解析結(jié)構(gòu)，在named. conf.local中調(diào)用zones.cernet和zones.cnc文件，配置內(nèi)容如下：

include "/etc/bind/zones.cernet";

include "/etc/bind/zones.cnc"; include "/etc/bind/zones.ruc";

第三步：根據(jù)流控結(jié)果調(diào)整配置文件內(nèi)容。

經(jīng)過幾輪調(diào)整，學(xué)校最終實(shí)現(xiàn)了如下流量調(diào)配結(jié)果：

教育網(wǎng)：優(yōu)酷、土豆、愛奇藝、edu. cn；

聯(lián)通：淘寶、百度、qq、360、weibo. com、163、搜狗；

各出口周流量統(tǒng)計(jì)如下：教育網(wǎng)出口，原千兆，調(diào)整為300M；

聯(lián)通出口，保持千兆；

電信出口，新增800M；

相較于其他調(diào)整出口流量的方法，通過DNS調(diào)配流量，具有無可比擬的優(yōu)勢，在技術(shù)操作層面，操作簡單，有可以根據(jù)實(shí)際情況隨時(shí)調(diào)整。在用戶體驗(yàn)方面，通過DNS調(diào)整出口流量是無感知操作，用戶體驗(yàn)良好。

（作者單位為中國人民大學(xué)信息技術(shù)中心）

Aruba Networks發(fā)布“移動定義網(wǎng)絡(luò)”

本刊訊 近日，Aruba Networks發(fā)布了Aruba Mobility-Defined Networks ，一種用于IT部門建設(shè)全移動工作環(huán)境的全新架構(gòu)，可以提升Wi-Fi控的滿意度和創(chuàng)造力。配合這種新的架構(gòu)，Aruba同時(shí)發(fā)布了5種支持高移動員工網(wǎng)絡(luò)需求的創(chuàng)新軟件，即下一代移動防火墻、交互式統(tǒng)一通信控制臺、ClearPassExchange和Technology Partners、自動登錄、AirGroup（現(xiàn)在支持DLNA和UPnP），為IT帶來高粒度的可見性、性能優(yōu)化和安全自動化。

同時(shí)，Aruba新任中國區(qū)總裁馮滿亮（David Fung）首次亮相，他將繼續(xù)帶領(lǐng)Aruba中國團(tuán)隊(duì)擴(kuò)展企業(yè)網(wǎng)絡(luò)市場，助力客戶向新一代全移動網(wǎng)絡(luò)環(huán)境的轉(zhuǎn)型?！癢i-Fi已經(jīng)成為個(gè)人生活和工作的必需品。隨著Wi-Fi控時(shí)代的到來，Aruba推出的‘4S’全無線網(wǎng)絡(luò)解決方案，為使用者提供了穩(wěn)定、安全、智能、簡單的網(wǎng)絡(luò)環(huán)境，這同時(shí)也體現(xiàn)了我們區(qū)別于其他同業(yè)產(chǎn)品的重要差異化優(yōu)勢。我們致力于推動全移動世界的到來，這樣既可以很好地滿足個(gè)人在生活和工作方面的上網(wǎng)需求，同時(shí)能夠幫助企業(yè)和機(jī)構(gòu)提高效率，降低成本?！瘪T滿亮表示。