一種基于域名系統(tǒng)的綠網(wǎng)方案

中國電信股份有限公司江蘇分公司 榮 濤

一種基于域名系統(tǒng)的綠網(wǎng)方案

中國電信股份有限公司江蘇分公司 榮 濤

目前在寬帶網(wǎng)通過VPDN的方式實(shí)現(xiàn)了綠色上網(wǎng)功能，但該方案擴(kuò)容成本大，不利用業(yè)務(wù)的發(fā)展。提出了一種基于DNS實(shí)現(xiàn)綠色上網(wǎng)的方案，具備擴(kuò)展性強(qiáng)，投資成本小的特點(diǎn)。

域名系統(tǒng)；綠網(wǎng)；遠(yuǎn)程認(rèn)證撥號用戶服務(wù)；虛擬專用撥號網(wǎng)

綠色上網(wǎng)業(yè)務(wù)是采用先進(jìn)的網(wǎng)絡(luò)技術(shù)，結(jié)合高效的網(wǎng)站安全過濾引擎，在安全穩(wěn)定的前提下向用戶提供過濾非法網(wǎng)站的服務(wù)。如何突破僅限于使用VPDN（虛擬專用撥號網(wǎng)）的方式實(shí)現(xiàn)綠色上網(wǎng)，本文探索使用DNS（域名系統(tǒng)）方式實(shí)現(xiàn)過濾的方案，可解決傳統(tǒng)VPDN方案擴(kuò)展性差的缺陷，為拓展綠色上網(wǎng)業(yè)務(wù)提供了一種思路。

1 原綠網(wǎng)實(shí)現(xiàn)方案

綠色上網(wǎng)面向所有寬帶ADSL（非對稱數(shù)字用戶線）用戶以及使用PPPoE（以太網(wǎng)上點(diǎn)到點(diǎn)協(xié)議）方式撥號的LAN（局域網(wǎng)）用戶開放，具備設(shè)置簡單、使用方便以及安全穩(wěn)定的特點(diǎn),攔截服務(wù)不會產(chǎn)生任何附加的流量，在過濾不良信息的同時(shí)絲毫不影響用戶上網(wǎng)速度。

綠色上網(wǎng)系統(tǒng)當(dāng)前采用的是L2TP（第2層隧道協(xié)議）VPDN技術(shù)，該方案通過對RADIUS（遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）和LNS（L2TP網(wǎng)絡(luò)服務(wù)器）進(jìn)行改造來實(shí)現(xiàn)綠色上網(wǎng)功能。RADIUS更改邏輯，實(shí)現(xiàn)判斷綠網(wǎng)用戶，從而向BRAS（寬帶接入服務(wù)器）下發(fā)L2TP對端隧道地址。LNS是全省所有綠色上網(wǎng)用戶流量的匯聚點(diǎn)，用戶的PPPoE連接在LNS上終結(jié)。LNS匯聚后的流量將全部經(jīng)過綠色上網(wǎng)過濾系統(tǒng)進(jìn)行內(nèi)容過濾。綠網(wǎng)平臺可以配置需過濾的網(wǎng)站以及制定靈活的策略控制,其網(wǎng)絡(luò)架構(gòu)如圖1所示。

基于L2TP VPDN的方式，是在現(xiàn)網(wǎng)架構(gòu)的基礎(chǔ)上進(jìn)行功能的部分改造而實(shí)現(xiàn)的，具有部署簡便的特點(diǎn)。但是該方式前期未考慮到業(yè)務(wù)量的發(fā)展，當(dāng)需要擴(kuò)容時(shí)需要新增LNS設(shè)備和鏈路，擴(kuò)容成本較高。

隨著業(yè)務(wù)量的發(fā)展，目前我省綠網(wǎng)資源基本處于飽和狀態(tài)，同時(shí)如果LNS設(shè)備或鏈路出現(xiàn)問題，將導(dǎo)致全省綠網(wǎng)用戶無法上網(wǎng)。本文提出一種采用基于DNS實(shí)現(xiàn)綠網(wǎng)業(yè)務(wù)的方案，通過將現(xiàn)網(wǎng)DNS服務(wù)器作為綠網(wǎng)用戶的備用DNS，保證了在綠網(wǎng)平臺出現(xiàn)問題時(shí)不影響用戶正常上網(wǎng)，具有投資成本小，擴(kuò)展性高等特點(diǎn)。

2 基于專用DNS的實(shí)現(xiàn)方案

隨著綠網(wǎng)業(yè)務(wù)的發(fā)展以及用戶數(shù)的增加，為了突破VPDN方案的限制，同時(shí)避免綠網(wǎng)系統(tǒng)異常或故障影響到所有寬帶用戶的正常上網(wǎng)，本文探索了如何通過部署一套綠網(wǎng)用戶專用DNS實(shí)現(xiàn)綠色上網(wǎng)。

DNS是互聯(lián)網(wǎng)上的關(guān)鍵應(yīng)用，它基于用戶的DNS解析請求流量進(jìn)行相關(guān)業(yè)務(wù)處理。基于DNS的方案為綠網(wǎng)用戶配置專用的DNS服務(wù)器，對現(xiàn)網(wǎng)RADIUS進(jìn)行改造，認(rèn)證請求到RADIUS時(shí)，RADIUS根據(jù)用戶的標(biāo)識，判斷該用戶是否為綠網(wǎng)用戶，如是將為其下發(fā)專用的DNS服務(wù)器地址。當(dāng)綠網(wǎng)DNS服務(wù)器收到用戶請求后，將向策略控制服務(wù)器查詢該用戶的過濾策略，根據(jù)過濾策略判斷其請求域名是否為需要屏蔽非綠色網(wǎng)站。該方案主要網(wǎng)絡(luò)架構(gòu)如圖2所示。

在圖2中，該方案在現(xiàn)網(wǎng)的架構(gòu)上，新建了一套綠網(wǎng)DNS平臺，增加了綠網(wǎng)專用DNS解析服務(wù)器和策略控制服務(wù)器，策略控制服務(wù)器跟RADIUS進(jìn)行交互采集計(jì)費(fèi)開始和結(jié)束報(bào)文，以維護(hù)綠網(wǎng)用戶在線信息和每個用戶策略信息。

該方案對RADIUS系統(tǒng)進(jìn)行改造以實(shí)現(xiàn)綠網(wǎng)用戶撥號時(shí)由原來的BRAS下發(fā)DNS服務(wù)器地址改造成由RADIUS系統(tǒng)向各廠家BRAS設(shè)備下發(fā)綠網(wǎng)專用DNS服務(wù)器地址，如圖3所示。

為了與現(xiàn)有系統(tǒng)保持兼容，RADSIU系統(tǒng)需要增加新的字段來區(qū)別是否是綠網(wǎng)用戶。當(dāng)前主流BRAS廠家設(shè)備支持的DNS地址下發(fā)屬性值如表1所示。

?

基于專用DNS實(shí)現(xiàn)綠色上網(wǎng)的整體業(yè)務(wù)流程如圖4所示。

①綠網(wǎng)用戶撥號呼叫LAC（L2TP訪問集中器）（BRAS）；

②LAC（BRAS）將用戶認(rèn)證信息發(fā)往RADIUS認(rèn)證中心；

③省RADIUS中心識別該用戶為綠網(wǎng)業(yè)務(wù)用戶，返回綠網(wǎng)專用DNS信息，BRAS為綠網(wǎng)用戶分配專用DNS地址作為DNS解析首選地址（備用DNS server可選擇電信DNS）；

④用戶上線，BRAS發(fā)起計(jì)費(fèi)開始報(bào)文到RADIUS；

⑤RADIUS系統(tǒng)通過與綠網(wǎng)平臺接口，抄送一份綠網(wǎng)用戶的計(jì)費(fèi)開始報(bào)文給綠網(wǎng)策略控制器，控制器收到開始報(bào)文后實(shí)時(shí)更新綠網(wǎng)用戶的在線信息表（用戶賬號、IP信息等）。

⑥綠網(wǎng)用戶向綠網(wǎng)專用DNS解析器發(fā)起DNS請求；

⑦DNS解析器根據(jù)源IP地址發(fā)請求道策略控制器反查該IP對應(yīng)的用戶賬號及其過濾策略；

⑧DNS解析服務(wù)器對符合策略要求的域名解析請求給予響應(yīng)，用戶正常訪問網(wǎng)站；

⑨ 綠網(wǎng)用戶下線時(shí)，BRAS發(fā)送計(jì)費(fèi)結(jié)束報(bào)文到RADIUS系統(tǒng)；

⑩RADIUS將綠網(wǎng)用戶的計(jì)費(fèi)結(jié)束報(bào)文抄送給綠網(wǎng)策略控制器，控制其收到結(jié)束報(bào)文后刪除該用戶的在線記錄，保證在線庫的準(zhǔn)確性。

3 結(jié)束語

現(xiàn)有的基于L2TP VPDN方案的綠網(wǎng)業(yè)務(wù)，擴(kuò)容成本高、冗余性差，本文提出一種基于綠網(wǎng)專用DNS的解決方案，該方案通過新建一套綠網(wǎng)平臺，減少了后期擴(kuò)容成本。通過對RADIUS進(jìn)行改造，該方案為綠網(wǎng)用戶下發(fā)專用DNS地址，并為綠網(wǎng)平臺抄送計(jì)費(fèi)報(bào)文，保證綠網(wǎng)平臺用戶在線準(zhǔn)確性，使平臺具備靈活的策略控制能力。同時(shí),該方案將現(xiàn)網(wǎng)DNS服務(wù)器作為綠網(wǎng)用戶的備用服務(wù)器，解決了當(dāng)綠網(wǎng)平臺故障時(shí)，用戶無法上網(wǎng)的問題。隨著4G業(yè)務(wù)的發(fā)展，作者還需探索在移動網(wǎng)實(shí)現(xiàn)綠色上網(wǎng)的可行方案。