高校IPV6網絡與DNS聯動實現資源分流訪問需求的設計與實現

王 琪，王宏偉，丁 佳

（江蘇農牧科技職業學院，江蘇 泰州 225300）

高校IPV6網絡與DNS聯動實現資源分流訪問需求的設計與實現

王 琪，王宏偉，丁 佳

（江蘇農牧科技職業學院，江蘇 泰州 225300）

IPV6網絡資源成為高校科研教學工作中較為重要的信息采集來源，在接入使用過程中由于網絡模型設計不當常有IPV6資源無法訪問、速度卡頓、使用繁瑣或影響其他普通常用軟件等用戶體驗低下的問題。當前主要的IPV6網絡使用方式由于各種客觀條件的限制，對高校網絡管理人員和用戶而言實現有一定困難和不便。所以本文主要圍繞域名解析系統與IPV6資源的關聯性進行闡述和研究，詳細分析各類流量特點和訪問路徑，設計了一種用戶無感知體驗度高、快捷靈活、免費的聯動模型方便管理和使用，并且圍繞設計思路進行相關方案的具體實現。

高校；IPV6；DNS；網絡資源

0 引言

因科研和教學訪問要求，當前IPV6網絡已經成為高校數字化資源的不可或缺的標準配置。由于改造升級支持 IPV6協議網絡運行對于運營商而言投入巨大，相關軟件開發技術未能同步發展，所以目前IPV6網絡在國內仍屬于教育研究性質，并未形成正式規范商業化運行模式，在使用中有較多問題。作者作為高校校園網管理人員，在維護用戶接入和提供對外服務資源也遇到過不少的問題。在研究對比后，在 IPV4與IPV6網絡同時運行的情況下，存在目標資源路徑不合理、訪問速度不理想、域名解析污染劫持等問題。本文以作者所在單位的校園雙棧網絡架構結合域名解析系統為案例，利用教育科研網資源，將常見的DNS、廣域網路由技術與局域網管理進行有機結合，實現流量識別、資源路徑就近訪問的目標。

1 高校IPV6網絡接入及使用狀

1.1 IPV6網絡資源在高校中的應用

由于國外站點如谷歌搜索引擎、論文資源庫、學習論壇、聊天工具臉書等資源由于IPV4網絡受限等原因無法直接訪問，一般可以通過VPN或協議代理瀏覽，但這類方法對普通用戶而言存在收費高、不穩定、使用不便捷的問題，所以國內訪問境外各類熱門資源的用戶群體規模較小。

高校用戶可以通過國家教育部審批同意的教育科研網線路與國際IPV6網絡直接對接，出于鼓勵下一代互聯網技術使用的原因，國外相關IPV6網絡資源站點較多、限制或計費較少，尤其是國外研究機構、大學等都是同時支持 IPV4、IPV6雙棧網絡運行，學術交流科研等目的的 IPV6資源訪問流量較大。用戶并不關心資源是通過IPV4或IPV6網絡方式訪問，關注的重點在于資源可達和訪問體驗，對于管理人員而言，盡可能的要讓用戶操作設置簡單無感知，實現隨時接入隨時使用、流暢、穩定的效果[1]。

同時國內不少高校使用雙棧協議網絡對外提供應用服務，在資源服務數據中心也啟用了IPV6協議棧，與IPV4類似方式提供對外服務，唯一不同的是IPV6網絡全部為實際公網地址，不需要經過公網地址的NAT轉換即可對外發布，只關注路由即可，使用較為簡單方便；在校外需要同樣使用IPV6資源的情況下，需要借助校內遠程接入設備登錄，遠程接入同時需要支持IPV4的常用SSL或IPSEC加密隧道，打通進入后再使用 IPV6線路訪問國外相關站點；由于國內不少安全防護類和應用服務還未完全支持IPV6網絡的應用，安全管理上還存在一定的隱患，應用服務也不夠豐富，瀏覽量并不大，所以高校的IPV6數據流多為對外訪問流量[2]。

1.2 IPV6網絡接入模式

當前國內高校 IPV6網絡物理接入方式主要是借助運營商租賃的光纖內部線路，互聯從高校所在地接入到各省教育科研網分中心，借助全國范圍內的光纖環網，最終接入到北京教育科研網總部；教育網總部作為與國內外各主要運營商的互聯互通的節點，將數據進行轉發出去。一般而言，教育科研網的IPV6線路帶寬較小，而其他IPV4運營商的線路帶寬較高，雙方在業務承載上有明確的區分。

在業務邏輯接入模式上，主要的還是依靠雙棧接入和隧道 6to4兩種；前者借助的是完全的 IPV6路由全部打通，后者依靠的是在現有IPV4網絡的基礎上進行IPV6網絡的孤島互聯。在功能穩定性上相對而言，雙棧接入為更好的選擇，相互之間為兩套網絡協議獨立運行計算，邏輯或物理隔離。

2 IPV6與IPV4網絡資源在使用中的關聯與問題

2.1 資源及線路選擇問題

在用戶使用TCP/IP協議訪問，站點資源都是借助于IP地址支撐，不可或缺的必然涉及到DNS域名解析協議與路由選擇。

IPV4與IPV6從本質上而言是兩套路由上完全獨立隔絕的網絡，相互之間路由、交換或安全方面并無關聯，但在雙方共同的會節點域名解析DNS上卻有相應的尷尬重疊。DNS系統會對于一個域名的解析請求同時支持兩套協議網絡的解析，無論是IPV4的DNS或IPV6的DNS系統，如不加以處理，都會同時返回兩套協議的IP地址解析結果。當雙?？蛻舳私邮盏接蛎樵兊姆祷亟Y果后，會根據應答的結果IP地址按照設計的路由出發訪問目標站點。

這里面會造成困惑的地方在于IPV4和IPV6的解析結果會從同一臺DNS服務器上返回，客戶端選擇哪個結果作為訪問的依據。如果兩個結果都可以到達目標站點，那么選擇IPV4還是IPV6資源作為優先訪問的目標有一定的困難。這里舉谷歌的解析結果為例，如果選擇IPV4解析結果則會造成訪問被攔截；選擇 IPV6的解析結果，會造成國內其他域名不能按照IPV4帶寬資源最豐富或路徑最短的線路訪問。

這里涉及到線路帶寬資源和站點資源密度的考量，我們在管理IPV4網絡時候較為關注的是哪種運營商的線路帶寬資源更為充分或路由最短訪問速度較快[3]。以往各運營商存在線路互訪瓶頸限制，隨著電信、聯通、移動三大主流運營商的逐年建設投入，不少資源站點已經實現了在各大運營商的線路中接入，所以無論選擇哪家線路作為學院的主要出口，必然需要選擇相應接入商的域名解析系統實現資源就近訪問。

但在國內的IPV6網絡中，唯一的接入運營商就是中國教育科研網，相比較而言教育科研網的站點資源相對匱乏、線路帶寬資源小，如以教育科研網作為主要的域名解析，勢必造成解析資源增多、部分資源訪問速度偏慢或帶寬利用率過高的情況。因為 IPV6的解析答案中會包含教育科研網或其他非主要運營商IPV4資源結果，未必是考慮到高校當前主要線路帶寬和訪問速率的最佳選擇，如圖1-3所示。

圖1 同一域名中解析返回的兩個協議地址結果Fig.1 Two results from one domain resolution

圖2 騰訊站點IPV4資源訪問速度相對較快Fig.2 Fast behavior in tencent IPV4 website

圖3 騰訊站點IPV6資源訪問速度相對較慢Fig.3 slow behavior in tencent IPV6 website

2.2 域名污染、劫持問題

在國內訪問使用站點資源時，不少特定資源被解析成類似201：開頭的IPV6的錯誤污染結果。解析請求發出后，收到了一個錯誤的地址，類似IPV4中的回環地址而無法使用。這是DNS協議體系設計的不完善問題，一旦發動對根服務器、權威域名服務器的攻擊或偽造應答，會造成正確結果無法及時回傳或虛假應答，而造成大面積的域名解析污染，在一定區域內無法訪問需要的站點資源。

DNS劫持問題更為常見，如2006年與2013年百度和 CN域名攻擊的案例，就是利用了飽和攻擊權威域名服務器方式、更改權威DNS解析結果或篡改權威DNS服務器IP等方式，造成國內大面積用戶無法訪問造成嚴重損失[4]。

2.3 客戶端問題

上述問題對客戶端層面的解決方案可以采用的措施有：修改客戶端系統目錄中 host文件，將如google等資源靜態綁定為正確的IPV6地址，使本地機器不去訪問 DNS服務器，而直接從本地獲取 IP地址進行訪問；另外也可以要求用戶對網卡中解析和流量的優先級進行調整。

這幾種方法對用戶使用有一定的難度、難以應對動態解析的變化，仍然會造成IPV4流量無法靈活調度的問題。

3 解決方案的設計與實現

3.1 解決思路

由于各類操作系統的規則，如蘋果MAC、微軟WINDOWS、LINUX等主流桌面操作系統中優先選擇IPV6協議DNS服務器，同時同一域名下解析出的IPV6地址一般優于IPV4地址訪問。

結合高校的業務要求，優選IPV6會造成許多其他域名解析出的 IPV4地址未必是帶寬資源充足的那條線路運營商；由于IPV4的DNS服務器也能解析 IPV6的站點資源，所以在設計中直接屏蔽使用IPV6的DNS服務器。

無論是運營商DNS或第三方DNS同時由于存在域名劫持污染問題，所以在解析時必然要架設內部DNS進行分離不同的解析請求。在設置考慮IPV4的DNS轉發的時候，要盡量考慮優先使用流量帶寬資源充足的線路接入商的如特定運營商的DNS服務器，而非國內外的常見公共 DNS，如 114.114.114.114、8.8.8.8等。

終端操作系統中 TCP/IP協議中需要設置的多DNS地址作為備用，當首 DNS忙碌或不可達會輪詢下一個服務器，必須確保內部DNS的工作穩定。其次在內部DNS工作環節中，需要設置本單位內部域名ZONE的解析、其他普通域名ZONE轉發解析、興趣域名ZONE的特定轉發解析；另外在設計中將校外普通域名資源的解析設置為只返回IPV4結果，不接受IPV6結果，防止舍近求遠的情況出現，對于校外特定資源的解析設置為允許同時返回 IPV4和IPV6 結果[5]。

3.2 業務分流模型圖

如圖4所示。

3.3 流量區分與分流方案的實現

DNS的分配依靠 DHCP局域網管理技術來實現，可以根據用戶或建筑群體分為多個不同的地址池，要考慮校內DNS服務器為主、兼顧負載均衡，同時又要防止內部故障同時配備一到兩個外部可靠DNS服務器做備份。

例如DHCP使用分地址池實現簡單的內部DNS服務器的負載平衡，或使用硬件負載均衡設備自動分流訪問請求。以DHCP分配地址池這種方式為例，案例中IPV6為無狀態地址獲取且為配置IPV6協議的DNS服務器地址，如圖5所示：

使用內部DNS配置，將用戶數據流進行識別，以bind技術搭建的雙棧DNS服務配置為例，如圖6所示：

單位內部區域解析，單位域名下所有 IPV4和IPV6的站點地址信息，單位內部由于路由和延時等開銷基本一致，所以無論是IPV4或IPV6解析均為理想結果。

單位外部IPV6資源區域解析，配合國外IPV6 DNS服務器或可靠未污染的第三方IPV4的DNS服務器，將解析出正確的IPV6地址進行訪問。

其他區域解析，配合相應帶寬資源較充足的運營商DNS服務器進行轉發解析，提升主線路的利用率。

4 結論

目前由于主要網絡資源仍是IPV4地址居多，所以在操作上采用分類解析流量分流的方式較為可行，但考慮到未來發展的變化，如IPV6資源站點接入的增多，必然會造成教育科研網線路的繁忙和主線路出口帶寬的閑置。理想的解決方案應該各主要運營商逐步普及IPV6網絡的接入，屆時IPV6網絡的發展會越來越快，應用資源越來越充分。

圖4 分流業務模型圖Fig.4 Different work flows model

圖5 IPV4和IPV6的地址池分配Fig.5 IPV4 and IPV6 pool distribution

圖6 本地DNS服務器中關于不同區域的轉發Fig.6 Different zones forward in local DNS server

[1] 王洪智, 尚尊義. IPv4與IPv6的比較與過渡策略[J]．科技導報, 2011, 29(24):77-79.

[2] 姚興苗, 李樂民. 一種快速IPv6路由查找方案[J]. 計算機學報, 2005, 28(2): 214-219.

[3] 穆曉霞, 陳留院, 牛振齊. IPv4到IPv6的遷移技術研究[J].河南師范大學學報(自然科學版), 2010, 38(6): 50-53.

[4] 王彥輝. 基于IPV6 的數字校園設計與應用研究[J]. 網絡天地, 2015.

[5] 張五紅, 王宇. 高校IPv6校園網的部署與配置[J]. 計算機工程與設計, 2007, 28(13): 3106-3110.

[6] 鄒軍. 全球互聯網治理的模式重構、中國機遇和參與路徑[J]. 南京師大學報: 社會科學版, 2016(03): 57-63.

[7] 孫宇, 馮麗爍. 1994-2014 年中國互聯網治理政策的變遷邏輯[J]. 情報雜志, 2017(01): 87-91.

[8] 萬群, 郭賢生, 陳章鑫. 室內定位理論、方法和應用[M].北京: 電子工業出版社, 2012.

[9] 吳金鳳. 面向IPv6網絡的運營支撐系統的研究與實現[D].廣州: 華南理工大學, 2012.

[10] 王彥輝. 基于IPV6的數字校園設計與應用研究[J]. 網絡天地, 2015.

[11] 李志剛. 基于物聯網智慧校園服務機制建設的探討[J]. 電子技術與軟件工程, 2015(16).

[12] 高倩. 基于物聯網的智慧校園基礎架構與應用研究[J].漯河職業技術學院學報, 2015, 14(2).

[13] 崔怡文. 智能手機時代的“智慧校園”建設[J]. 中國市場,2015(23): 247-248.

[14] 游戰清, 李蘇劍. 無線射頻識別技術理論與應用[M]. 北京:科學出版社, 2010: 4.

[15] 高等學校智慧校園架構與應用研究[J]. 白麗媛, 陳瑛, 李亞文. 北京聯合大學學報. 2014(02).

Design and Implementation of Solutions of IPV6 Network and DNS Cooperation for Dirfferent Flows Access Requirement in College Network

WANG Qi, WANG Hong-wei, DING Jia
(Jiangsu Agri-animal Husbandry Vocational College, Taizhou 225300, China)

Due to research and teaching access requirements, the current IPV6 network has become an indispensable standard for digital resources in colleges and universities. Due to the transformation and upgrade to support IPV6 protocol network operation for operators in terms of huge investment, the relevant software development technology failed to develop simultaneously, so the current IPV6 network in the country is still a nature of education and research, did not form a formal standard commercial operation mode, in use There are more problems. As a college campus network administrator, the author has encountered many problems in maintaining user access and providing external service resources. After researching and contrasting, in the situation that IPV4 and IPV6 networks run at the same time, there are such problems as unreasonable target resource path, unsatisfactory access speed, domain name resolution pollution hijacking and so on. This article takes the campus double stack network architecture of the author as an example, and uses the resources of education and scientific research network to combine the common DNS and WAN routing technologies with the LAN management to realize the goal of traffic identification and resource access.

College; IPV6; DNS; Network resource

TP393

A

10.3969/j.issn.1003-6970.2017.12.035

本文著錄格式：王琪，王宏偉，丁佳. 高校IPV6網絡與DNS聯動實現資源分流訪問需求的設計與實現[J]. 軟件，2017，38（12）：185-189

王琪(1983-)，男，碩士，工程師。研究方向：軟件開發；王宏偉(1976-)，男，碩士，副教授。研究方向：財務信息管理；丁佳(1998-)，男，學士。研究領域：軟件開發。