王 琪，王宏偉，丁 佳

（江蘇農(nóng)牧科技職業(yè)學(xué)院，江蘇 泰州 225300）

高校IPV6網(wǎng)絡(luò)與DNS聯(lián)動實(shí)現(xiàn)資源分流訪問需求的設(shè)計(jì)與實(shí)現(xiàn)

王 琪，王宏偉，丁 佳

（江蘇農(nóng)牧科技職業(yè)學(xué)院，江蘇 泰州 225300）

IPV6網(wǎng)絡(luò)資源成為高?？蒲薪虒W(xué)工作中較為重要的信息采集來源，在接入使用過程中由于網(wǎng)絡(luò)模型設(shè)計(jì)不當(dāng)常有IPV6資源無法訪問、速度卡頓、使用繁瑣或影響其他普通常用軟件等用戶體驗(yàn)低下的問題。當(dāng)前主要的IPV6網(wǎng)絡(luò)使用方式由于各種客觀條件的限制，對高校網(wǎng)絡(luò)管理人員和用戶而言實(shí)現(xiàn)有一定困難和不便。所以本文主要圍繞域名解析系統(tǒng)與IPV6資源的關(guān)聯(lián)性進(jìn)行闡述和研究，詳細(xì)分析各類流量特點(diǎn)和訪問路徑，設(shè)計(jì)了一種用戶無感知體驗(yàn)度高、快捷靈活、免費(fèi)的聯(lián)動模型方便管理和使用，并且圍繞設(shè)計(jì)思路進(jìn)行相關(guān)方案的具體實(shí)現(xiàn)。

高校；IPV6；DNS；網(wǎng)絡(luò)資源

0 引言

因科研和教學(xué)訪問要求，當(dāng)前IPV6網(wǎng)絡(luò)已經(jīng)成為高校數(shù)字化資源的不可或缺的標(biāo)準(zhǔn)配置。由于改造升級支持 IPV6協(xié)議網(wǎng)絡(luò)運(yùn)行對于運(yùn)營商而言投入巨大，相關(guān)軟件開發(fā)技術(shù)未能同步發(fā)展，所以目前IPV6網(wǎng)絡(luò)在國內(nèi)仍屬于教育研究性質(zhì)，并未形成正式規(guī)范商業(yè)化運(yùn)行模式，在使用中有較多問題。作者作為高校校園網(wǎng)管理人員，在維護(hù)用戶接入和提供對外服務(wù)資源也遇到過不少的問題。在研究對比后，在 IPV4與IPV6網(wǎng)絡(luò)同時(shí)運(yùn)行的情況下，存在目標(biāo)資源路徑不合理、訪問速度不理想、域名解析污染劫持等問題。本文以作者所在單位的校園雙棧網(wǎng)絡(luò)架構(gòu)結(jié)合域名解析系統(tǒng)為案例，利用教育科研網(wǎng)資源，將常見的DNS、廣域網(wǎng)路由技術(shù)與局域網(wǎng)管理進(jìn)行有機(jī)結(jié)合，實(shí)現(xiàn)流量識別、資源路徑就近訪問的目標(biāo)。

1 高校IPV6網(wǎng)絡(luò)接入及使用狀

1.1 IPV6網(wǎng)絡(luò)資源在高校中的應(yīng)用

由于國外站點(diǎn)如谷歌搜索引擎、論文資源庫、學(xué)習(xí)論壇、聊天工具臉書等資源由于IPV4網(wǎng)絡(luò)受限等原因無法直接訪問，一般可以通過VPN或協(xié)議代理瀏覽，但這類方法對普通用戶而言存在收費(fèi)高、不穩(wěn)定、使用不便捷的問題，所以國內(nèi)訪問境外各類熱門資源的用戶群體規(guī)模較小。

高校用戶可以通過國家教育部審批同意的教育科研網(wǎng)線路與國際IPV6網(wǎng)絡(luò)直接對接，出于鼓勵下一代互聯(lián)網(wǎng)技術(shù)使用的原因，國外相關(guān)IPV6網(wǎng)絡(luò)資源站點(diǎn)較多、限制或計(jì)費(fèi)較少，尤其是國外研究機(jī)構(gòu)、大學(xué)等都是同時(shí)支持 IPV4、IPV6雙棧網(wǎng)絡(luò)運(yùn)行，學(xué)術(shù)交流科研等目的的 IPV6資源訪問流量較大。用戶并不關(guān)心資源是通過IPV4或IPV6網(wǎng)絡(luò)方式訪問，關(guān)注的重點(diǎn)在于資源可達(dá)和訪問體驗(yàn)，對于管理人員而言，盡可能的要讓用戶操作設(shè)置簡單無感知，實(shí)現(xiàn)隨時(shí)接入隨時(shí)使用、流暢、穩(wěn)定的效果[1]。

同時(shí)國內(nèi)不少高校使用雙棧協(xié)議網(wǎng)絡(luò)對外提供應(yīng)用服務(wù)，在資源服務(wù)數(shù)據(jù)中心也啟用了IPV6協(xié)議棧，與IPV4類似方式提供對外服務(wù)，唯一不同的是IPV6網(wǎng)絡(luò)全部為實(shí)際公網(wǎng)地址，不需要經(jīng)過公網(wǎng)地址的NAT轉(zhuǎn)換即可對外發(fā)布，只關(guān)注路由即可，使用較為簡單方便；在校外需要同樣使用IPV6資源的情況下，需要借助校內(nèi)遠(yuǎn)程接入設(shè)備登錄，遠(yuǎn)程接入同時(shí)需要支持IPV4的常用SSL或IPSEC加密隧道，打通進(jìn)入后再使用 IPV6線路訪問國外相關(guān)站點(diǎn)；由于國內(nèi)不少安全防護(hù)類和應(yīng)用服務(wù)還未完全支持IPV6網(wǎng)絡(luò)的應(yīng)用，安全管理上還存在一定的隱患，應(yīng)用服務(wù)也不夠豐富，瀏覽量并不大，所以高校的IPV6數(shù)據(jù)流多為對外訪問流量[2]。

1.2 IPV6網(wǎng)絡(luò)接入模式

當(dāng)前國內(nèi)高校 IPV6網(wǎng)絡(luò)物理接入方式主要是借助運(yùn)營商租賃的光纖內(nèi)部線路，互聯(lián)從高校所在地接入到各省教育科研網(wǎng)分中心，借助全國范圍內(nèi)的光纖環(huán)網(wǎng)，最終接入到北京教育科研網(wǎng)總部；教育網(wǎng)總部作為與國內(nèi)外各主要運(yùn)營商的互聯(lián)互通的節(jié)點(diǎn)，將數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)出去。一般而言，教育科研網(wǎng)的IPV6線路帶寬較小，而其他IPV4運(yùn)營商的線路帶寬較高，雙方在業(yè)務(wù)承載上有明確的區(qū)分。

在業(yè)務(wù)邏輯接入模式上，主要的還是依靠雙棧接入和隧道 6to4兩種；前者借助的是完全的 IPV6路由全部打通，后者依靠的是在現(xiàn)有IPV4網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行IPV6網(wǎng)絡(luò)的孤島互聯(lián)。在功能穩(wěn)定性上相對而言，雙棧接入為更好的選擇，相互之間為兩套網(wǎng)絡(luò)協(xié)議獨(dú)立運(yùn)行計(jì)算，邏輯或物理隔離。

2 IPV6與IPV4網(wǎng)絡(luò)資源在使用中的關(guān)聯(lián)與問題

2.1 資源及線路選擇問題

在用戶使用TCP/IP協(xié)議訪問，站點(diǎn)資源都是借助于IP地址支撐，不可或缺的必然涉及到DNS域名解析協(xié)議與路由選擇。

IPV4與IPV6從本質(zhì)上而言是兩套路由上完全獨(dú)立隔絕的網(wǎng)絡(luò)，相互之間路由、交換或安全方面并無關(guān)聯(lián)，但在雙方共同的會節(jié)點(diǎn)域名解析DNS上卻有相應(yīng)的尷尬重疊。DNS系統(tǒng)會對于一個(gè)域名的解析請求同時(shí)支持兩套協(xié)議網(wǎng)絡(luò)的解析，無論是IPV4的DNS或IPV6的DNS系統(tǒng)，如不加以處理，都會同時(shí)返回兩套協(xié)議的IP地址解析結(jié)果。當(dāng)雙棧客戶端接收到域名查詢的返回結(jié)果后，會根據(jù)應(yīng)答的結(jié)果IP地址按照設(shè)計(jì)的路由出發(fā)訪問目標(biāo)站點(diǎn)。

這里面會造成困惑的地方在于IPV4和IPV6的解析結(jié)果會從同一臺DNS服務(wù)器上返回，客戶端選擇哪個(gè)結(jié)果作為訪問的依據(jù)。如果兩個(gè)結(jié)果都可以到達(dá)目標(biāo)站點(diǎn)，那么選擇IPV4還是IPV6資源作為優(yōu)先訪問的目標(biāo)有一定的困難。這里舉谷歌的解析結(jié)果為例，如果選擇IPV4解析結(jié)果則會造成訪問被攔截；選擇 IPV6的解析結(jié)果，會造成國內(nèi)其他域名不能按照IPV4帶寬資源最豐富或路徑最短的線路訪問。

這里涉及到線路帶寬資源和站點(diǎn)資源密度的考量，我們在管理IPV4網(wǎng)絡(luò)時(shí)候較為關(guān)注的是哪種運(yùn)營商的線路帶寬資源更為充分或路由最短訪問速度較快[3]。以往各運(yùn)營商存在線路互訪瓶頸限制，隨著電信、聯(lián)通、移動三大主流運(yùn)營商的逐年建設(shè)投入，不少資源站點(diǎn)已經(jīng)實(shí)現(xiàn)了在各大運(yùn)營商的線路中接入，所以無論選擇哪家線路作為學(xué)院的主要出口，必然需要選擇相應(yīng)接入商的域名解析系統(tǒng)實(shí)現(xiàn)資源就近訪問。

但在國內(nèi)的IPV6網(wǎng)絡(luò)中，唯一的接入運(yùn)營商就是中國教育科研網(wǎng)，相比較而言教育科研網(wǎng)的站點(diǎn)資源相對匱乏、線路帶寬資源小，如以教育科研網(wǎng)作為主要的域名解析，勢必造成解析資源增多、部分資源訪問速度偏慢或帶寬利用率過高的情況。因?yàn)?IPV6的解析答案中會包含教育科研網(wǎng)或其他非主要運(yùn)營商IPV4資源結(jié)果，未必是考慮到高校當(dāng)前主要線路帶寬和訪問速率的最佳選擇，如圖1-3所示。

圖1 同一域名中解析返回的兩個(gè)協(xié)議地址結(jié)果Fig.1 Two results from one domain resolution

圖2 騰訊站點(diǎn)IPV4資源訪問速度相對較快Fig.2 Fast behavior in tencent IPV4 website

圖3 騰訊站點(diǎn)IPV6資源訪問速度相對較慢Fig.3 slow behavior in tencent IPV6 website

2.2 域名污染、劫持問題

在國內(nèi)訪問使用站點(diǎn)資源時(shí)，不少特定資源被解析成類似201：開頭的IPV6的錯誤污染結(jié)果。解析請求發(fā)出后，收到了一個(gè)錯誤的地址，類似IPV4中的回環(huán)地址而無法使用。這是DNS協(xié)議體系設(shè)計(jì)的不完善問題，一旦發(fā)動對根服務(wù)器、權(quán)威域名服務(wù)器的攻擊或偽造應(yīng)答，會造成正確結(jié)果無法及時(shí)回傳或虛假應(yīng)答，而造成大面積的域名解析污染，在一定區(qū)域內(nèi)無法訪問需要的站點(diǎn)資源。

DNS劫持問題更為常見，如2006年與2013年百度和 CN域名攻擊的案例，就是利用了飽和攻擊權(quán)威域名服務(wù)器方式、更改權(quán)威DNS解析結(jié)果或篡改權(quán)威DNS服務(wù)器IP等方式，造成國內(nèi)大面積用戶無法訪問造成嚴(yán)重?fù)p失[4]。

2.3 客戶端問題

上述問題對客戶端層面的解決方案可以采用的措施有：修改客戶端系統(tǒng)目錄中 host文件，將如google等資源靜態(tài)綁定為正確的IPV6地址，使本地機(jī)器不去訪問 DNS服務(wù)器，而直接從本地獲取 IP地址進(jìn)行訪問；另外也可以要求用戶對網(wǎng)卡中解析和流量的優(yōu)先級進(jìn)行調(diào)整。

這幾種方法對用戶使用有一定的難度、難以應(yīng)對動態(tài)解析的變化，仍然會造成IPV4流量無法靈活調(diào)度的問題。

3 解決方案的設(shè)計(jì)與實(shí)現(xiàn)

3.1 解決思路

由于各類操作系統(tǒng)的規(guī)則，如蘋果MAC、微軟WINDOWS、LINUX等主流桌面操作系統(tǒng)中優(yōu)先選擇IPV6協(xié)議DNS服務(wù)器，同時(shí)同一域名下解析出的IPV6地址一般優(yōu)于IPV4地址訪問。

結(jié)合高校的業(yè)務(wù)要求，優(yōu)選IPV6會造成許多其他域名解析出的 IPV4地址未必是帶寬資源充足的那條線路運(yùn)營商；由于IPV4的DNS服務(wù)器也能解析 IPV6的站點(diǎn)資源，所以在設(shè)計(jì)中直接屏蔽使用IPV6的DNS服務(wù)器。

無論是運(yùn)營商DNS或第三方DNS同時(shí)由于存在域名劫持污染問題，所以在解析時(shí)必然要架設(shè)內(nèi)部DNS進(jìn)行分離不同的解析請求。在設(shè)置考慮IPV4的DNS轉(zhuǎn)發(fā)的時(shí)候，要盡量考慮優(yōu)先使用流量帶寬資源充足的線路接入商的如特定運(yùn)營商的DNS服務(wù)器，而非國內(nèi)外的常見公共 DNS，如 114.114.114.114、8.8.8.8等。

終端操作系統(tǒng)中 TCP/IP協(xié)議中需要設(shè)置的多DNS地址作為備用，當(dāng)首 DNS忙碌或不可達(dá)會輪詢下一個(gè)服務(wù)器，必須確保內(nèi)部DNS的工作穩(wěn)定。其次在內(nèi)部DNS工作環(huán)節(jié)中，需要設(shè)置本單位內(nèi)部域名ZONE的解析、其他普通域名ZONE轉(zhuǎn)發(fā)解析、興趣域名ZONE的特定轉(zhuǎn)發(fā)解析；另外在設(shè)計(jì)中將校外普通域名資源的解析設(shè)置為只返回IPV4結(jié)果，不接受IPV6結(jié)果，防止舍近求遠(yuǎn)的情況出現(xiàn)，對于校外特定資源的解析設(shè)置為允許同時(shí)返回 IPV4和IPV6 結(jié)果[5]。

3.2 業(yè)務(wù)分流模型圖

如圖4所示。

3.3 流量區(qū)分與分流方案的實(shí)現(xiàn)

DNS的分配依靠 DHCP局域網(wǎng)管理技術(shù)來實(shí)現(xiàn)，可以根據(jù)用戶或建筑群體分為多個(gè)不同的地址池，要考慮校內(nèi)DNS服務(wù)器為主、兼顧負(fù)載均衡，同時(shí)又要防止內(nèi)部故障同時(shí)配備一到兩個(gè)外部可靠DNS服務(wù)器做備份。

例如DHCP使用分地址池實(shí)現(xiàn)簡單的內(nèi)部DNS服務(wù)器的負(fù)載平衡，或使用硬件負(fù)載均衡設(shè)備自動分流訪問請求。以DHCP分配地址池這種方式為例，案例中IPV6為無狀態(tài)地址獲取且為配置IPV6協(xié)議的DNS服務(wù)器地址，如圖5所示：

使用內(nèi)部DNS配置，將用戶數(shù)據(jù)流進(jìn)行識別，以bind技術(shù)搭建的雙棧DNS服務(wù)配置為例，如圖6所示：

單位內(nèi)部區(qū)域解析，單位域名下所有 IPV4和IPV6的站點(diǎn)地址信息，單位內(nèi)部由于路由和延時(shí)等開銷基本一致，所以無論是IPV4或IPV6解析均為理想結(jié)果。

單位外部IPV6資源區(qū)域解析，配合國外IPV6 DNS服務(wù)器或可靠未污染的第三方IPV4的DNS服務(wù)器，將解析出正確的IPV6地址進(jìn)行訪問。

其他區(qū)域解析，配合相應(yīng)帶寬資源較充足的運(yùn)營商DNS服務(wù)器進(jìn)行轉(zhuǎn)發(fā)解析，提升主線路的利用率。

4 結(jié)論

目前由于主要網(wǎng)絡(luò)資源仍是IPV4地址居多，所以在操作上采用分類解析流量分流的方式較為可行，但考慮到未來發(fā)展的變化，如IPV6資源站點(diǎn)接入的增多，必然會造成教育科研網(wǎng)線路的繁忙和主線路出口帶寬的閑置。理想的解決方案應(yīng)該各主要運(yùn)營商逐步普及IPV6網(wǎng)絡(luò)的接入，屆時(shí)IPV6網(wǎng)絡(luò)的發(fā)展會越來越快，應(yīng)用資源越來越充分。

圖4 分流業(yè)務(wù)模型圖Fig.4 Different work flows model

圖5 IPV4和IPV6的地址池分配Fig.5 IPV4 and IPV6 pool distribution

圖6 本地DNS服務(wù)器中關(guān)于不同區(qū)域的轉(zhuǎn)發(fā)Fig.6 Different zones forward in local DNS server

[1] 王洪智, 尚尊義. IPv4與IPv6的比較與過渡策略[J]．科技導(dǎo)報(bào), 2011, 29(24):77-79.

[2] 姚興苗, 李樂民. 一種快速IPv6路由查找方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2005, 28(2): 214-219.

[3] 穆曉霞, 陳留院, 牛振齊. IPv4到IPv6的遷移技術(shù)研究[J].河南師范大學(xué)學(xué)報(bào)(自然科學(xué)版), 2010, 38(6): 50-53.

[4] 王彥輝. 基于IPV6 的數(shù)字校園設(shè)計(jì)與應(yīng)用研究[J]. 網(wǎng)絡(luò)天地, 2015.

[5] 張五紅, 王宇. 高校IPv6校園網(wǎng)的部署與配置[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(13): 3106-3110.

[6] 鄒軍. 全球互聯(lián)網(wǎng)治理的模式重構(gòu)、中國機(jī)遇和參與路徑[J]. 南京師大學(xué)報(bào): 社會科學(xué)版, 2016(03): 57-63.

[7] 孫宇, 馮麗爍. 1994-2014 年中國互聯(lián)網(wǎng)治理政策的變遷邏輯[J]. 情報(bào)雜志, 2017(01): 87-91.

[8] 萬群, 郭賢生, 陳章鑫. 室內(nèi)定位理論、方法和應(yīng)用[M].北京: 電子工業(yè)出版社, 2012.

[9] 吳金鳳. 面向IPv6網(wǎng)絡(luò)的運(yùn)營支撐系統(tǒng)的研究與實(shí)現(xiàn)[D].廣州: 華南理工大學(xué), 2012.

[10] 王彥輝. 基于IPV6的數(shù)字校園設(shè)計(jì)與應(yīng)用研究[J]. 網(wǎng)絡(luò)天地, 2015.

[11] 李志剛. 基于物聯(lián)網(wǎng)智慧校園服務(wù)機(jī)制建設(shè)的探討[J]. 電子技術(shù)與軟件工程, 2015(16).

[12] 高倩. 基于物聯(lián)網(wǎng)的智慧校園基礎(chǔ)架構(gòu)與應(yīng)用研究[J].漯河職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2015, 14(2).

[13] 崔怡文. 智能手機(jī)時(shí)代的“智慧校園”建設(shè)[J]. 中國市場,2015(23): 247-248.

[14] 游戰(zhàn)清, 李蘇劍. 無線射頻識別技術(shù)理論與應(yīng)用[M]. 北京:科學(xué)出版社, 2010: 4.

[15] 高等學(xué)校智慧校園架構(gòu)與應(yīng)用研究[J]. 白麗媛, 陳瑛, 李亞文. 北京聯(lián)合大學(xué)學(xué)報(bào). 2014(02).

Design and Implementation of Solutions of IPV6 Network and DNS Cooperation for Dirfferent Flows Access Requirement in College Network

WANG Qi, WANG Hong-wei, DING Jia
(Jiangsu Agri-animal Husbandry Vocational College, Taizhou 225300, China)

Due to research and teaching access requirements, the current IPV6 network has become an indispensable standard for digital resources in colleges and universities. Due to the transformation and upgrade to support IPV6 protocol network operation for operators in terms of huge investment, the relevant software development technology failed to develop simultaneously, so the current IPV6 network in the country is still a nature of education and research, did not form a formal standard commercial operation mode, in use There are more problems. As a college campus network administrator, the author has encountered many problems in maintaining user access and providing external service resources. After researching and contrasting, in the situation that IPV4 and IPV6 networks run at the same time, there are such problems as unreasonable target resource path, unsatisfactory access speed, domain name resolution pollution hijacking and so on. This article takes the campus double stack network architecture of the author as an example, and uses the resources of education and scientific research network to combine the common DNS and WAN routing technologies with the LAN management to realize the goal of traffic identification and resource access.

College; IPV6; DNS; Network resource

TP393

A

10.3969/j.issn.1003-6970.2017.12.035

本文著錄格式：王琪，王宏偉，丁佳. 高校IPV6網(wǎng)絡(luò)與DNS聯(lián)動實(shí)現(xiàn)資源分流訪問需求的設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件，2017，38（12）：185-189

王琪(1983-)，男，碩士，工程師。研究方向：軟件開發(fā)；王宏偉(1976-)，男，碩士，副教授。研究方向：財(cái)務(wù)信息管理；丁佳(1998-)，男，學(xué)士。研究領(lǐng)域：軟件開發(fā)。