中國電信股份有限公司江蘇分公司 榮 濤

一種基于域名系統(tǒng)的綠網(wǎng)方案

中國電信股份有限公司江蘇分公司 榮 濤

目前在寬帶網(wǎng)通過VPDN的方式實現(xiàn)了綠色上網(wǎng)功能，但該方案擴容成本大，不利用業(yè)務(wù)的發(fā)展。提出了一種基于DNS實現(xiàn)綠色上網(wǎng)的方案，具備擴展性強，投資成本小的特點。

域名系統(tǒng)；綠網(wǎng)；遠程認證撥號用戶服務(wù)；虛擬專用撥號網(wǎng)

綠色上網(wǎng)業(yè)務(wù)是采用先進的網(wǎng)絡(luò)技術(shù)，結(jié)合高效的網(wǎng)站安全過濾引擎，在安全穩(wěn)定的前提下向用戶提供過濾非法網(wǎng)站的服務(wù)。如何突破僅限于使用VPDN（虛擬專用撥號網(wǎng)）的方式實現(xiàn)綠色上網(wǎng)，本文探索使用DNS（域名系統(tǒng)）方式實現(xiàn)過濾的方案，可解決傳統(tǒng)VPDN方案擴展性差的缺陷，為拓展綠色上網(wǎng)業(yè)務(wù)提供了一種思路。

1 原綠網(wǎng)實現(xiàn)方案

綠色上網(wǎng)面向所有寬帶ADSL（非對稱數(shù)字用戶線）用戶以及使用PPPoE（以太網(wǎng)上點到點協(xié)議）方式撥號的LAN（局域網(wǎng)）用戶開放，具備設(shè)置簡單、使用方便以及安全穩(wěn)定的特點,攔截服務(wù)不會產(chǎn)生任何附加的流量，在過濾不良信息的同時絲毫不影響用戶上網(wǎng)速度。

綠色上網(wǎng)系統(tǒng)當前采用的是L2TP（第2層隧道協(xié)議）VPDN技術(shù)，該方案通過對RADIUS（遠程認證撥號用戶服務(wù)）和LNS（L2TP網(wǎng)絡(luò)服務(wù)器）進行改造來實現(xiàn)綠色上網(wǎng)功能。RADIUS更改邏輯，實現(xiàn)判斷綠網(wǎng)用戶，從而向BRAS（寬帶接入服務(wù)器）下發(fā)L2TP對端隧道地址。LNS是全省所有綠色上網(wǎng)用戶流量的匯聚點，用戶的PPPoE連接在LNS上終結(jié)。LNS匯聚后的流量將全部經(jīng)過綠色上網(wǎng)過濾系統(tǒng)進行內(nèi)容過濾。綠網(wǎng)平臺可以配置需過濾的網(wǎng)站以及制定靈活的策略控制,其網(wǎng)絡(luò)架構(gòu)如圖1所示。

基于L2TP VPDN的方式，是在現(xiàn)網(wǎng)架構(gòu)的基礎(chǔ)上進行功能的部分改造而實現(xiàn)的，具有部署簡便的特點。但是該方式前期未考慮到業(yè)務(wù)量的發(fā)展，當需要擴容時需要新增LNS設(shè)備和鏈路，擴容成本較高。

隨著業(yè)務(wù)量的發(fā)展，目前我省綠網(wǎng)資源基本處于飽和狀態(tài)，同時如果LNS設(shè)備或鏈路出現(xiàn)問題，將導(dǎo)致全省綠網(wǎng)用戶無法上網(wǎng)。本文提出一種采用基于DNS實現(xiàn)綠網(wǎng)業(yè)務(wù)的方案，通過將現(xiàn)網(wǎng)DNS服務(wù)器作為綠網(wǎng)用戶的備用DNS，保證了在綠網(wǎng)平臺出現(xiàn)問題時不影響用戶正常上網(wǎng)，具有投資成本小，擴展性高等特點。

2 基于專用DNS的實現(xiàn)方案

隨著綠網(wǎng)業(yè)務(wù)的發(fā)展以及用戶數(shù)的增加，為了突破VPDN方案的限制，同時避免綠網(wǎng)系統(tǒng)異常或故障影響到所有寬帶用戶的正常上網(wǎng)，本文探索了如何通過部署一套綠網(wǎng)用戶專用DNS實現(xiàn)綠色上網(wǎng)。

DNS是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它基于用戶的DNS解析請求流量進行相關(guān)業(yè)務(wù)處理。基于DNS的方案為綠網(wǎng)用戶配置專用的DNS服務(wù)器，對現(xiàn)網(wǎng)RADIUS進行改造，認證請求到RADIUS時，RADIUS根據(jù)用戶的標識，判斷該用戶是否為綠網(wǎng)用戶，如是將為其下發(fā)專用的DNS服務(wù)器地址。當綠網(wǎng)DNS服務(wù)器收到用戶請求后，將向策略控制服務(wù)器查詢該用戶的過濾策略，根據(jù)過濾策略判斷其請求域名是否為需要屏蔽非綠色網(wǎng)站。該方案主要網(wǎng)絡(luò)架構(gòu)如圖2所示。

在圖2中，該方案在現(xiàn)網(wǎng)的架構(gòu)上，新建了一套綠網(wǎng)DNS平臺，增加了綠網(wǎng)專用DNS解析服務(wù)器和策略控制服務(wù)器，策略控制服務(wù)器跟RADIUS進行交互采集計費開始和結(jié)束報文，以維護綠網(wǎng)用戶在線信息和每個用戶策略信息。

該方案對RADIUS系統(tǒng)進行改造以實現(xiàn)綠網(wǎng)用戶撥號時由原來的BRAS下發(fā)DNS服務(wù)器地址改造成由RADIUS系統(tǒng)向各廠家BRAS設(shè)備下發(fā)綠網(wǎng)專用DNS服務(wù)器地址，如圖3所示。

為了與現(xiàn)有系統(tǒng)保持兼容，RADSIU系統(tǒng)需要增加新的字段來區(qū)別是否是綠網(wǎng)用戶。當前主流BRAS廠家設(shè)備支持的DNS地址下發(fā)屬性值如表1所示。

?

基于專用DNS實現(xiàn)綠色上網(wǎng)的整體業(yè)務(wù)流程如圖4所示。

①綠網(wǎng)用戶撥號呼叫LAC（L2TP訪問集中器）（BRAS）；

②LAC（BRAS）將用戶認證信息發(fā)往RADIUS認證中心；

③省RADIUS中心識別該用戶為綠網(wǎng)業(yè)務(wù)用戶，返回綠網(wǎng)專用DNS信息，BRAS為綠網(wǎng)用戶分配專用DNS地址作為DNS解析首選地址（備用DNS server可選擇電信DNS）；

④用戶上線，BRAS發(fā)起計費開始報文到RADIUS；

⑤RADIUS系統(tǒng)通過與綠網(wǎng)平臺接口，抄送一份綠網(wǎng)用戶的計費開始報文給綠網(wǎng)策略控制器，控制器收到開始報文后實時更新綠網(wǎng)用戶的在線信息表（用戶賬號、IP信息等）。

⑥綠網(wǎng)用戶向綠網(wǎng)專用DNS解析器發(fā)起DNS請求；

⑦DNS解析器根據(jù)源IP地址發(fā)請求道策略控制器反查該IP對應(yīng)的用戶賬號及其過濾策略；

⑧DNS解析服務(wù)器對符合策略要求的域名解析請求給予響應(yīng)，用戶正常訪問網(wǎng)站；

⑨ 綠網(wǎng)用戶下線時，BRAS發(fā)送計費結(jié)束報文到RADIUS系統(tǒng)；

⑩RADIUS將綠網(wǎng)用戶的計費結(jié)束報文抄送給綠網(wǎng)策略控制器，控制其收到結(jié)束報文后刪除該用戶的在線記錄，保證在線庫的準確性。

3 結(jié)束語

現(xiàn)有的基于L2TP VPDN方案的綠網(wǎng)業(yè)務(wù)，擴容成本高、冗余性差，本文提出一種基于綠網(wǎng)專用DNS的解決方案，該方案通過新建一套綠網(wǎng)平臺，減少了后期擴容成本。通過對RADIUS進行改造，該方案為綠網(wǎng)用戶下發(fā)專用DNS地址，并為綠網(wǎng)平臺抄送計費報文，保證綠網(wǎng)平臺用戶在線準確性，使平臺具備靈活的策略控制能力。同時,該方案將現(xiàn)網(wǎng)DNS服務(wù)器作為綠網(wǎng)用戶的備用服務(wù)器，解決了當綠網(wǎng)平臺故障時，用戶無法上網(wǎng)的問題。隨著4G業(yè)務(wù)的發(fā)展，作者還需探索在移動網(wǎng)實現(xiàn)綠色上網(wǎng)的可行方案。