DNS調配出口實踐

文/張丹東 馬迎 趙志輝

DNS調配出口實踐

文/張丹東 馬迎 趙志輝

DNS(Domain Name Service)域名解析系統是網絡的基礎構架, 是因特網的一項核心服務。各大高校均有自己的DNS，這就為校園網絡多出口流量調整提供了基礎，通過DNS調配校園多出口流量，具有無可比擬的優勢，在技術操作層面，操作簡單，又可以根據實際情況隨時調整。在用戶體驗方面，通過DNS調整出口流量無感知操作，用戶體驗良好。

校園網絡出口流量調控

2013年底，學校調整出口帶寬，計劃將原教育網千兆，聯通千兆的出口切換為教育網300M、聯通千兆、電信800M。此次調整旨在增加了某運營商帶寬，提升校園出口穩定性。但是，如何平滑穩定的切換，對網絡管理工作是一個嚴峻的考驗。

在多個網絡運營商出口之間調整流量，目前主要方法有兩種，一為通過出口防火墻添加目標地址視圖，尤其教育網，可以通過Cernet和10ms網站整理出較完整的地址列表，通過ISP路由，將目標地址為教育網IP的回話轉向教育網出口，電信亦是如此，其他流量通過默認路由指向諸如聯通之類的出口。這個出口流量調控方法存在的問題是，校園網絡管理員無法控制用戶行為，因而無法控制多出口之間的流量分配，為了保證正常的網絡應用（http、mail等），必須通過流控設備對P2P等行為進行限制，因而給用戶造成“網速很慢”的用戶體驗。

調整出口流量的另一種方法是強制分配源地址，將校內用戶按照樓宇或者地理位置，分成與各出口帶寬相對應的等份，通過DHCP下發不同的用戶地址，在出口路由器分配分配用戶走不同的出口。這樣雖然有利于出口流量分配，但是對用戶所有訪問均指向一個出口，會導致在用戶數據運營商之間傳遞，大大增加了用戶網絡延遲。

以上兩種調整出口流量的方法都有其弊端，為了更精確的調配出口流量，并給用戶提供良好的用戶體驗，我們經過實踐，采取了基于DNS的高校出口流量調配措施。

調配措施基礎

CDN服務的普遍實施

內容發布網絡（Content DeliveryNetwork）將用戶重定向到附近的CDN網絡的邊緣節點服務器來提高用戶獲取內容信息的效率和質量。對網絡服務運營商來說，DNS可以給CDN帶來顯著的優勢和靈活性。

對于校園網用戶來說，雖然單個用戶的DNS解析需求是多種多樣的，但是眾多用戶的需求卻可以通過大數據分析獲得TOP5和TOP10的網站，以中國人民大學為例，DNS服務器為bind9搭建，通過#dnstop eth0命令可獲得DNS解析數據分析，2014年2月25日校內兩萬多用戶DNS查詢的結果如圖1所示。

根據圖1的解析結果，我們結合各運營商提供的公共DNS來查詢可劫持對象：

電信對外DNS：219.141.136.10219.141.140.10教育網對外DNS：202.38.184.13 2.38.184.29聯通對外DNS：202.106.196.115 2.106.0.20

以視頻網站優酷優酷為例：

;; QUESTION SECTION:

;www.youku.com. IN A

優酷-電信DNS(219.141.136.10)dig解析結果：;; ANSWER SECTION:

www.youku.com. 10 IN CNAME zw-w. youku.com.

zw-w.youku.com. 1548 IN A 220.181.185.141

優酷-教育網DNS(202.38.184.13)dig解析結果：

圖1 校園DSN服務器5分鐘解析統計

;; ANSWER SECTION:

www.youku.com. 300 IN CNAME edu-w.youku.com.

edu-w.youku.com. 3600 IN A 118.228.16.231

優酷-聯通DNS(202.106.196.115)dig解析結果：

;; ANSWER SECTION:

www.youku.com. 253 IN CNAME zwn-w.youku.com.

zw-n-w.youku.com. 1081 IN A 123.126.99.31

由以上測試結果得見，優酷會根據用戶的查詢DNS提供不同的別名，電信別名為zw-w.youku.com，教育網的別名為edu-w. youku.com，聯通的別名為zw-n-w.youku. com，這個通過別名解析不同的IP地址給用戶的CND網絡正是我們通過DNS調整校園網出口流量的基礎。

校內多臺DNS部署

高校的DNS應包括對內、對外兩套體系，對外DNS為教育網地址，分主備，對內DNS為一臺內網設備。

人民大學搭建了對外部提供服務的主DNS(202.112.112.101)和備DNS(202.112.112.100)，提供人民大學ruc.edu.cn和ruc6.ruc.edu.cn的解析。與此同時，以內網地址205作為校內兩萬多用戶的DNS服務器，通過DHCP下發配置，對于特殊功用的校內服務，可以在校內DNS上添加DNS域名劫持，而不會污染到外網。

除此之外，針對中國人民大學聯通、電信、教育網三個出口，我們專門搭建了只提供單一運營商解析的校內DNS服務器,包括聯通201，電信202，教育網203。

出口防火墻與流控設備相應部署

由于防火墻上各出口路由是由網絡管理員配置ISP路由，ISP路由的正確與否直接決定了DNS調配出口流量是否成功。我校教育網地址由本校教育地址段、nic. edu.cn聚類地址與10ms.edu.cn三部分構成，其中人大教育網地址10條，nic聚類地址73條，10ms地址共計116條，地址共計199條教育網地址。電信出口則是由電信提供電信地址列表。默認出口為聯通出口。

流控策略中分別對網管協議、DNS服務器組、視頻會議服務器組和特殊地址組予以帶寬保障，同時限制服務器組和全校的P2P下載做忙時和閑事的總帶寬限制，對于P2P進出流量還根據出口帶寬設定了最大50%左右的限制，限制類的策略還需根據流量觀察結果作出相應調整。

DNS出口調配實踐

校內DNS的基礎配置

校內DNS服務器采用Debian操作系統，安裝bind9提供域名解析服務，通過/etc/ named.conf配置DNS服務。

在校內DNS中，以校外輔助DNS為forward對象，若劫持校外地址，則可以在named.conf.local文件中添加include文件。通過DNS調整出口流量的配置，同樣在此添加文件。

通過DNS調整流量

第一步：創建調配流量zone文件，DNS校外地址默認forwarders對象為電信DNS，故僅需創建教育網出口zones.cernet文件和聯通配置出口zones.cnc即可。

zones.cernet文件內容如下：

zone"edu.cn" IN {

type forward;

forwarders { 202.112.0.35; 202.112.0.13; };

};

zone"youku.com" IN {

type forward;

forwarders { [校 內 dns203]; 202.38.184.13; 202.38.184.29; };

};

zones.cnc的配置格式同上，只需將域名修改為希望聯通的站點，將forwarders對象修改為聯通公網DNS即可。

第二步：named.conf中調用配置文件。

根據DNS文件解析結構，在named. conf.local中調用zones.cernet和zones.cnc文件，配置內容如下：

include "/etc/bind/zones.cernet";

include "/etc/bind/zones.cnc"; include "/etc/bind/zones.ruc";

第三步：根據流控結果調整配置文件內容。

經過幾輪調整，學校最終實現了如下流量調配結果：

教育網：優酷、土豆、愛奇藝、edu. cn；

聯通：淘寶、百度、qq、360、weibo. com、163、搜狗；

各出口周流量統計如下：教育網出口，原千兆，調整為300M；

聯通出口，保持千兆；

電信出口，新增800M；

相較于其他調整出口流量的方法，通過DNS調配流量，具有無可比擬的優勢，在技術操作層面，操作簡單，有可以根據實際情況隨時調整。在用戶體驗方面，通過DNS調整出口流量是無感知操作，用戶體驗良好。

（作者單位為中國人民大學信息技術中心）

Aruba Networks發布“移動定義網絡”

本刊訊 近日，Aruba Networks發布了Aruba Mobility-Defined Networks ，一種用于IT部門建設全移動工作環境的全新架構，可以提升Wi-Fi控的滿意度和創造力。配合這種新的架構，Aruba同時發布了5種支持高移動員工網絡需求的創新軟件，即下一代移動防火墻、交互式統一通信控制臺、ClearPassExchange和Technology Partners、自動登錄、AirGroup（現在支持DLNA和UPnP），為IT帶來高粒度的可見性、性能優化和安全自動化。

同時，Aruba新任中國區總裁馮滿亮（David Fung）首次亮相，他將繼續帶領Aruba中國團隊擴展企業網絡市場，助力客戶向新一代全移動網絡環境的轉型。“Wi-Fi已經成為個人生活和工作的必需品。隨著Wi-Fi控時代的到來，Aruba推出的‘4S’全無線網絡解決方案，為使用者提供了穩定、安全、智能、簡單的網絡環境，這同時也體現了我們區別于其他同業產品的重要差異化優勢。我們致力于推動全移動世界的到來，這樣既可以很好地滿足個人在生活和工作方面的上網需求，同時能夠幫助企業和機構提高效率，降低成本。”馮滿亮表示。