基于策略DNS和HTTPProxy的多宿主網絡服務部署的研究*

王子榮，胡 浩，尹紹鋒，王宇科

(湖南大學校園信息化建設與管理辦公室，湖南 長沙 410082)

基于策略DNS和HTTPProxy的多宿主網絡服務部署的研究*

王子榮，胡 浩，尹紹鋒，王宇科

(湖南大學校園信息化建設與管理辦公室，湖南 長沙 410082)

針對目前常用的多宿主網絡服務部署方法中存在的由于ISP網絡地址集的變化或DNS配置等因素會造成服務訪問路由不可達的不足，提出了一種基于策略DNS與HTTP Proxy在多宿主網絡中服務的部署策略，在各ISP出口安裝HTTP Proxy服務器，配合策略DNS服務進行聯合部署。從理論上對該策略進行了分析，并對部署方法進行了詳細闡述。通過實例分析及效果測量，證實了在不改變網絡拓撲、基本不增加投入的情況下，通過該策略可大幅度提高校園網或企業網信息資源服務的互聯網用戶訪問速度和訪問質量，并解決了傳統方式中路由不可達的問題。

策略DNS;HTTP Proxy;多宿主網絡

1 引言

隨著Internet技術的飛速發展，中國的幾大主流網絡均得到了快速發展，用戶規模增長很快，加上近年來用戶網絡應用對帶寬需求的日益膨脹，幾大運營商之間的競爭日益激烈，互聯狀況則日益惡化，幾大網絡之間一直存在互通瓶頸，直接導致用戶的資源訪問體驗因所屬運營商的不同而出現明顯差異，作為信息化部門，面向Internet用戶提供資源服務時經常陷入訪問質量投訴困境。為此，大部分高校和企事業單位通過采取將校園網或企業網接入不同運營商的方式，盡力為來自不同運營商的用戶提供相同網絡質量的資源訪問服務。例如，將校園網接入到CERNET的同時，也接入到中國電信、中國聯通等。這樣雖然很好地提高了網內用戶對分布在不同運營商的資源訪問質量，但是由于多出口的存在，對外提供網內資源時在出口路由設計上陷入困境。

2 多宿主網絡服務的常用部署方法

多宿主網絡(Multi-Homed Network)[1]是指一個局部網絡通過多個ISP(Internet Service Provider)連接到Internet。這種情況常見于高校校園網，校園網為網內師生提供由內向外的快速資源訪問；同時，校園網內有大量的網絡信息資源，需要為網外用戶提供快速訪問，校園網通常以多個出口的方式連入不同的ISP，形成了多宿主網絡的校園網。具體采用以下方法：

由于運營商存在互聯互通的瓶頸，高校校園網多采用多出口運行模式[2]。如圖1所示，某校園網到CERNET的出口鏈路為P1，增加到CHINANET的出口鏈路P3，變成多宿主網絡，服務器S1分配一個CERNET的IP地址，再分配一個CHINANET的互聯網地址，直接或者以網絡地址轉換NAT(Network Address Translate)方式連接到CHINANET，S1成為了一臺多宿主主機，邊界路由器R采用策略路由或者靜態路由[3]負責IP包的交換。當校園網內用戶訪問Internet時，路由器R按照路由信息，根據目標IP地址為訪問對象選擇相應的出口鏈路，屬于CERNET的目標IP則路由走P1，屬于CHINANET及其他ISP的目標IP走P3；當Internet用戶訪問校園網內服務器S1時，采用策略域名系統DNS(Domain Named System)為不同源地址返回相應的解析結果[4]，即屬于CHINANET及其他ISP的源地址用戶將得到服務器S1屬于P3鏈路上的IP地址解析結果，屬于CERNET的源地址用戶則得到S1屬于P1鏈路上的IP地址解析結果。在圖1的例子中，用戶H2通過鏈路P3訪問S1，而用戶H1則通過鏈路P1訪問S1，此情景的理想狀況下，可大幅度提高H2用戶對S1訪問的速度，達到用戶H1、H2都可快速訪問到S1的目的。這就是目前常用的服務部署方法。

Figure 1 Routing in traditional multi-homed network圖1 傳統的多宿主網絡的服務訪問路由

實際上這種方法存在一定的不足，它將會因ISP地址集合變化和DNS配置信息的影響而出現路由不可達[5]。上述方法需要在S1上為每個ISP出口配置一個網絡端口，分配一個屬于該ISP的IP地址，并按當時各ISP的IP地址集合聚合形成靜態訪問路由列表，將靜態路由列表的下一跳指向屬于該ISP的網絡端口IP。一般為減少服務器S1路由表的長度，會將項數最多的路由下一跳指向默認缺省路由網絡端口IP。但是ISP的IP地址集合會經常更新，用戶DNS配置信息與用戶IP歸屬不同，或者因策略DNS服務配置中地址集劃分的差異等因素，很容易出現目標IP路由不可達的情況。例如，H1為CERNET地址用戶，其使用屬于CHINANET的DNS服務器，H1到S1的原定路由是走鏈路P1，但由于H1使用的DNS服務器屬于CHINANET，按照策略DNS的配置，其獲得S1的IP地址屬于CHINANET，結果H1到S1的請求包的路由鏈路P3，而應答包的路由在P1，H1將無法正確接收到來自S1的應答，表現為路由不可達。

隨著高校校園網或者企業網對外提供的資源和應用服務越來越多，傳統的多宿主網絡服務部署模式面臨的問題日益明顯：

(1)有限的公網IP地址與日益增長的應用和服務器的數量之間的供需矛盾；

(2)多出口的不同網絡地址歸屬，路由信息的相互獨立性，增加了路由配置的復雜度；

(3)多宿主網絡的連接方式對低端校園網或企業網而言，大幅增加了網絡拓撲結構的復雜性，尤其加大了出口管理的難度；

(4)傳統路由中的策略路由或靜態路由的枚舉特性，在多宿主網絡環境下，增加了路由表的人工構建和維護難度，路由信息表的即時性、完整性和準確性也難以保證；

(5)多出口的存在，網內對外提供服務途徑的增多，增加了服務器IP地址的分配與管理復雜度。

如何讓網內對外提供服務的主機很好地依托多宿主的多鏈路獲得最佳的訪問路由，是多宿主網絡必須解決的關鍵問題。

3 基于策略DNS與HTTP Proxy的多宿主網絡服務部署策略分析

HTTP Proxy[6]的主要功能是針對Web客戶端提出的瀏覽請求，訪問指定的Web服務器，并將取得的相應內容返回給Web客戶端。其工作過程為：(1)在HTTP Proxy的某個固定端口，監聽客戶端的連接，接收客戶端的HTTP請求。(2)解析和處理客戶請求的HTTP包，產生新的請求包；建立與Web服務器的連接，將新的請求發送給Web服務器。(3)等待并接收Web服務器返回的HTTP響應。(4)將HTTP響應轉發給客戶端Web瀏覽器[7]。

目前的各類網絡信息資源服務主要采用B/S結構建設，并通過HTTP協議對外發布。針對此特點，在投入成本有限的前提下，本文提出了基于策略DNS與HTTP Proxy相結合的多宿主網絡服務部署策略，有效解決了上述常見部署模式中的問題，提高了信息資源服務的訪問速度。

假設在某高校已知以下條件：

條件1所有Internet互聯網IP全集為A，所有網絡運營商所分配的IP段集為a1,…,an(n為所有網絡運營商個數)，則有：

條件2假設某網絡有m(2≤m≤n)個運營商出口；

條件3此網內有k(k>0)臺服務器S1,…,Sk對外提供服務。

在以上條件下基于策略DNS與HTTP Proxy的部署步驟如下：

步驟1部署一臺被授權的對外域名解析服務器D1，為其設置m段請求來源IP地址集對應m個運營商，準確識別DNS請求的用戶所屬運營商，并針對m個IP地址集配置對應的DNS解析數據文件，準確返回與用戶同屬一運營商的DNS解析結果IP地址。

步驟2對每個出口部署一臺雙以太網網卡的 HTTP Proxy服務器P1,…,Pm，分別為Pi配置一個屬于運營商i的互聯網IP地址和一個內網IP地址，Pi通過Intranet與k臺服務器相連，配置一條缺省路由指向Pi的互聯網IP地址端口，配置k條到k臺服務器主機的單主機靜態路由指向Pi的內網IP地址端口。這樣就避免了“多出口運行模式”中Internet用戶訪問時可能出現的路由不對等情況的發生。即使出現IP地址誤判或漏判，只會造成策略DNS的解析結果地址與來訪者地址不屬同一ISP而給出一條訪問速度相對慢的訪問路由，而不會因路由不可達而無法訪問。

步驟3在Intarnet中部署一臺內網域名解析服務器D2，HTTP Proxy的DNS服務器配置使用D2，以確保HTTP Proxy服務器在接收到Internet用戶的HTTP請求時，能準確地將請求轉發到實際的服務器。

步驟4網內對外提供服務的服務器S1,…,Sk的網絡IP配置與HTTP Proxy服務器同網可達的IP地址，路由僅需配置一條默認路由，指向服務器所在子網的網關。

通過以上步驟完成部署后，多宿主網絡環境下的服務部署拓撲示意圖如圖2所示，當Internet用戶Hi(i=1,2,3)訪問內網服務器Sj(j=1,…,k)時，此部署策略的運作機制如下：

(1)Internet用戶Hi首先發出DNS請求，D1收到來自Hi的DNS請求后，根據用戶的來源地址識別其所屬網絡運營商，返回對應該運營商出口的HTTP Proxy服務器的互聯網地址；

(2)Internet用戶Hi向這臺HTTP Proxy服務器發出HTTP請求；

(3)HTTP Proxy服務器接收到請求后，通過D2查詢到內網服務器Sj的內網IP地址，并將HTTP請求轉發給內網服務器Sj；

(4)內網服務器Sj收到訪問請求，先將應答內容返回給HTTP Proxy，HTTP Proxy再將來自Sj的應答內容返回給用戶Hi。

Figure 2 Topological graph of multi-homed network based on strategy DNS and HTTP proxy圖2 基于策略DNS與HTTP Proxy 的多宿主網絡服務部署拓撲

4 實例分析

某高校具有電信、聯通、教育網三個網絡出口，按照基于策略DNS與HTTP Proxy的多宿主網絡服務部署策略，為每個出口提供了一臺獨立的HTTP Proxy服務器；提供內網DNS服務器、外網DNS服務器各一臺；同時，此高校對互聯網開放了三個應用服務。具體相關信息如表1所示。

Table 1 Detailed information of multi-homednetwork applications in the university表1 某高校多宿主網絡特性下服務部署信息表

按照上文提出的部署步驟對策略DNS與HTTP Proxy進行如下部署：

步驟1使用Linux的bind9配置一臺test.edu.cn對外的域名服務器，針對三個不同出口，在DNS的named.conf文件中配置教育網IP集、聯通網IP集和其他所有IP集共三段訪問控制地址列表acl，并對應配置視圖view和對應的域名解析的數據文件。配置示例如下：

(1)named.conf配置文件內容及說明如下：

acl edu-nets {//所有教育網的IP段

58.154.0.0/15;

……

};

acl cnc-nets{//所有聯通網的IP段

110.16.0.0/14;

……

};

view "CncNet"{

match-clients {cnc-nets;};

/*匹配請求IP屬聯通，從test.edu.cn.cnc數據文件查詢域名*/

zone "test.edu.cn" IN {

type master;

file "test.edu.cn.cnc";

};

};

view "CerNet"{

match-clients {edu-nets;};

/*匹配請求IP屬教育網，從test.edu.cn.cernet數據文件查詢域名*/

zone "test.edu.cn" IN {

type master;

file "test.edu.cn.cernet";

};

};

view "ChinaNet"{

match-clients {any;};

/*上述均未匹配，從test.edu.cn.chinanet數據文件查詢域名*/

zone "hnu.edu.cn" IN {

type master;

file "test.edu.cn.chinanet";

};

};

(2)聯通用戶對應的數據文件test.edu.cn.cnc配置：

@ IN SOA DNS.TEST.EDU.CN..(20100708; serial number…3600); minimum TTL

@ NS dns

www IN A 58.20.46.196

jxgl IN A 58.20.46.196

jyzd IN A 58.20.46.196

……

(3)教育網用戶對應的數據文件test.edu.cn.cernet配置：

@IN SOA DNS.TEST.EDU.CN..(20100709; serial number…3600); minimum TTL

@ NS dns

www IN A 210.43.96.249

jxgl IN A 210.43.96.249

jyzd IN A 210.43.96.249

……

(4)其他運營商(包括電信)用戶對應的數據文件test.edu.cn.chinanet配置：

@IN SOA DNS.TEST.EDU.CN..(20100710; serial number…3600); minimum TTL

@ NS dns

www IN A 61.187.64.7

jxgl IN A 61.187.64.7

jyzd IN A 61.187.64.7

……

將所有應用服務的域名均解析為HTTP Proxy服務器的出口互聯地址。

步驟2采用Linux的Squid進程提供HTTP Proxy服務，HTTP Proxy服務器的DNS設置內網DNS服務器192.168.1.1。以聯通出口HTTP Proxy服務器為例，squid.conf的配置如下：

http_port 58.20.46.196:80 transparent/*開通聯通IP的80端口代理*/

……

acl alldst dst 0.0.0.0/0.0.0.0

acl dst001 dst 192.168.0.100/32

……

http_access allow dst001

……

http_access deny alldst

步驟3部署1臺test.edu.cn的內網DNS服務器，同樣采用Linux的bind9作為DNS服務軟件，但僅提供給內網使用，如所有的HTTP Proxy服務器等。內網DNS服務器進行標準配置以完成域名test.edu.cn的內網解析，其正向解析文件配置示例如下：

@IN SOA DNS.TEST.EDU.CN..(20100711; serial number……3600); minimum TTL

@ NS dns

www IN A 192.168.0.100

jxgl IN A 192.168.0.101

jyzd IN A 192.168.0.102

……

以上基于策略DNS與HTTP Proxy的多宿主網絡環境下的服務部署實例，只需額外為每個出口增添一臺HTTP Proxy服務器，而Linux下的Squid進程對服務器的性能要求很低，系統資源開銷很小，一般普通配置的PC服務器即可滿足要求，成本投入不多。與常用的多宿主網絡服務部署中需為每一臺服務器分別分配一個隸屬于各ISP的互聯網IP地址相比，新部署策略則只需為每一臺HTTP Proxy服務器分配一個其所在的ISP的互聯網IP地址，所有對外提供信息資源服務的服務器均只需分配一個內網IP，甚至可以是私有IP，解決了當應用增多而從ISP分配到的地址不夠的互聯IP資源緊缺問題。在上述實例中，三臺服務器按傳統方式部署，需要九個互聯網IP地址，按新策略部署，則只需三個互聯網IP地址，即使資源服務器不斷增加也不會增加互聯網IP地址。

按照圖2的模型，從教育網用戶H1、中國聯通用戶H2、中國電信用戶H3，連續一周，每天8點～22點，按1小時的時間間隔進行定時測量，測量訪問單教育科研網出口提供的學校門戶主頁www.test.edu.cn服務、新的策略DNS+HTTP Proxy部署方式下學校門戶主頁www.test.edu.cn服務，記錄下各測量時間點的服務響應時間，對比結果如圖3所示。

Figure 3 Effect of multi-homed network based on strategy DNS and HTTP Proxy圖3 基于策略DNS與HTTP Proxy的 多宿主網絡服務部署策略效果圖

從圖3中可以看出，中國電信用戶、中國聯通用戶在策略DNS+HTTP Proxy部署模式下訪問獲取學校門戶網站www.test.edu.cn服務的速度有明顯改善。

5 結束語

針對多出口的校園網或企業網普遍存在的現狀，本文提出了基于策略DNS與HTTP Proxy的多宿主網絡服務部署策略，理論研究和實踐表明，與傳統的多宿主網絡服務部署方式相比較，此策略

的部署實施具有成本低、可操作性強、效果明顯的優點，可以適用于任何基于HTTP協議的應用及資源服務。通過該部署策略不僅提高了Internet用戶訪問這些網內服務的速度，而且可避免出現因用戶IP、DNS、路由等因素可能導致的路由不可達，因此該策略在高校乃至其他企事業單位都具有良好的推廣性。

[1] Bates T, Rekhter Y. Scalable support for multi-homed multi-provider connection[S]. RFC 2260, 1998.

[2] Wang Zi-rong, Yang Guan-zhong, Ma Yi-wu, et al. Algorithms design of application-oriented border routing[J]. Journal of Hunan University(Natural Sciences), 2006,33(2):114-117.(in Chinese)

[3] Chen Song, Zhan Xue-gang. Policy of safety and fast access to inner network server based on DNAT, SNAT and intelligent DNS[J]. Computer Engineering and Design,2009,30(12):2941-2944.(in Chinese)

[4] Wang Zi-rong, Yang Guan-zhong,Wang Yu-ke,et al. Analysis and design of a border route service gateway[J]. Computer Engineering & Science, 2007, 29(1):19-21.(in Chinese)

[5] Xu Dong-min, Ren Yu. Implementation of intelligent DNS-based policy routing in campus[J].Journal of Chendu University of Information Technology,2007,22(6):716-718.(in Chinese)

[6] Chen G T，Zhang G，Burkard R E． The Web proxy location

problem in general tree of rings networks[J]．Journal of Combinatorial Optimization，2006，12(4):327-336.

[7] Shi Cheng-yi.Design and implementation of integrating HTTP proxy into website based on J2EE[J]. Journal of Computer Applications,2011,31(suppl.1):27-29.(in Chinese)

附中文參考文獻：

[2] 王子榮,楊貫中,馬億旿,等. 面向應用的邊界路由算法設計[J]. 湖南大學學報(自然科學版),2006,33(2):114-117.

[3] 陳松,戰學剛. 基于雙向NAT和智能DNS內網服務器安全快速訪問策略[J]. 計算機工程與設計,2009,30(12):2941-2944.

[4] 王子榮,楊貫中,王宇科,等.邊界路由服務網關的分析與設計[J].計算機工程與科學, 2007, 29(1):19-21.

[5] 許東民,任宇.基于智能DNS的策略路由在校園網中的實現[J].成都信息工程學院學報, 2007, 22(6):716-718.

[7] 史承毅.在基于J2EE架構的網站中集成HTTP代理的設計與實現[J]. 計算機應用,2011,31(增1):27-29.

WANGZi-rong,born in 1971,MS,senior engineer,his research interest includes computer networks.

Researchofmulti-homednetworkservicedeploymentbasedonstrategyDNSandHTTPProxy

WANG Zi-rong,HU hao,YIN Shao-feng,WANG Yu-ke

(Informatization Construction and Management Office,Hunan University,Changsha 410082,China)

In current multi-homed network service deployment methods, the service access route is unreachable due to the changed ISP network addresses, DNS configuration, or other factors. Aiming at this drawback, the paper proposes a strategy of multi-homed network service deployment based on strategy DNS and HTTP Proxy. The proposed strategy installs HTTP Proxy server on each ISP output and works with DNS server to perform joint deployment. The strategy is analyzed theoretically and the deployment method is described in detail. Case analysis and effect evaluation demonstrate that the proposed strategy can greatly improve the speed and quality of internet user access of the campus network and enterprise network information resource services, without changing the network topology and increasing no more investment basically. It is concluded that the strategy solve the problem that the route is unreachable in the traditional way.

strategy DNS;HTTP Proxy;multi-homed network

2012-11-26;

：2013-05-08

1007-130X(2014)02-0238-06

TP393.07

：A

10.3969/j.issn.1007-130X.2014.02.009

王子榮(1971-),男,湖南永州人，碩士，高級工程師，研究方向為計算機網絡。E-mail:zrwang@hnu.edu.cn

通信地址：410082 湖南省長沙市湖南大學校園信息化建設與管理辦公室Address:Informatization Construction and Management Office,Hunan University,Changsha 410082,Hunan,P.R.China