基于智能DNS 的校園宿舍網出口流量調控

繆元照，劉志南

（1.天津美術學院信息化工作辦公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校園網宿舍網絡已成為數字校園的重要組成部分，在大學生的學習、生活中占據重要地位，已經成為高校信息化建設的重點關注區域。學生宿舍網的建設和管理已成為高校校園網重要的組成部分，也是校園網管理的難點問題。傳統的模式有高校自主建設運營和運營商獨家投資建設運營兩種，運營商獨家運營存在收費較高、用戶因寬帶上網與手機綁定而無法自主選擇、無法順暢訪問校園網數字資源的問題，而且隨著工信部多次發文規范運營商在校園內的經營行為[1-2]，很多大學宿舍網多家運營商共同接入的運營模式開始出現[3-4]。

天津美術學院師生使用校園網對于設計素材和一些影視的下載和在線瀏覽觀看是專業學習和提升的重要組成部分，同時校園網以各種應用服務系統為載體，將教學、科研、管理和校園生活進行充分融合，將院系、學生與教師緊密地聯系在一起，是教職員工和學生獲取資源和信息的主要途徑，已成為校園工作、學習和生活中不可或缺的一部分。由于學校規模不大，學生對于校園資源的依賴比較大，天津美術學院校園宿舍網絡一直是堅持自己建設、自己運行的模式。如何優化宿舍網絡，滿足學生對于網絡需求，提高滿意度是校園網建設的重要組成部分。

1 天津美術學院校園網宿舍網絡基本情況

天津美術學院宿舍網是2014 年開始建設，2017 年進行了校園網核心及主干升級改造，天津美術學院校園網采用銳捷的極簡大二層網絡部署方式，使用兩臺銳捷RG-N18010 交換機做橫向虛擬化為一臺邏輯設備作為校園網核心交換機，北校區部署2 臺銳捷的萬兆匯聚交換機，橫向虛擬化為一臺邏輯設備，通過雙萬兆聚合鏈路與南院核心通過二層互聯，兩個校區之間的連接通過2 條不同路由的10G 光纖鏈路實現鏈路聚合捆綁互聯，保證兩個校區的互聯帶寬速率和可靠性。

南北兩個校區的所有業務網管都設置在兩臺虛擬化RG-N18010 上。RG-N18010 的兩塊無線控制器板卡同樣做虛擬化，兩臺MSC 板卡虛擬化的方式流量控制，將用戶流量引流到MSC 板卡進行流量統計。由虛擬化的RG18010 交換機進行擔任大二層網關設備，配合銳捷的SAM+和MCS 業務流量計費板卡，實現有線網絡和無線網絡的Web 認證和802.1x 認證的無感知認證的配合，實現無線用戶通過802.1x 認證上網，有線用戶通過Portal 認證上網，全部校園實現無線信號的覆蓋。

南校區后綜合樓（教師工作室及部分教學區域）采用智分+的無線網絡覆蓋，由主AP 可以通過網線下聯24 個微AP 進行供電，并實現對微AP 的統一管理，微AP 部署到房間內，支持IEEE 802.11ac 標準，確保在屋內無線信號滿格和高速率接入，并且在走廊內部署放裝AP。

網絡認證計費系統采用銳捷SAM+企業版，同時提供自助服務平臺，便于用戶進行密碼的修改和信息的查詢，提升了認證的效率，天津美術學院校園網免費提供師生員工網絡服務。

天津美術學院學生宿舍區未布設有線網絡，全部采用無線網絡全覆蓋，2014 年開始建設，是天津市第一家實現宿舍網無線全覆蓋的高校。南北校區宿舍采用銳捷智能分布式（二代）無線系統解決方案，采用六類綜合布線系統，每個宿舍內安裝專用室內美化天線，保證無線覆蓋效果。二代智分型AP 采用雙路雙頻硬件架構，可支持同時工作在802.11a/n 和802.11b/g/n模式。

天津美術學院校園網出口擁有CERNET、聯通、電信、移動四個運營商的網絡連接，其中CERNET 與天津教育科研城域網實現1000M 連接，聯通帶寬為1G，電信帶寬為600M，移動帶寬為400M，均為1000M 光纖接口。使用校園網邊界防火墻的策略路由技術，最大程度發揮設備性能，實現了路由鏈路的冗余和容錯，滿足校園網用戶對于網絡需求，提高用戶的滿意度。

2 基于智能DNS的天津美術學院宿舍網多出口流量調控

天津美術學院校園網使用策略路由技術完成校園網多出口建設，校園網用戶訪問根據目的地址的歸屬，路由選擇聯通、電信、移動等運營商線路，網絡流量平穩，校園網用戶體驗比較好，但是在晚上高峰時期，由于宿舍網流量劇增，校園網出口，主要是聯通出口會發生一定的擁塞，而由于北方地區聯通的資源比較多，電信出口和移動出口，特別是移動出口的流量比較小。

北京郵電大學基于DNS 進行了流量的調度[5]，河海大學曾經使用DNS 遞歸解析，將辦公網絡指向教育網，將宿舍網絡指向移動網絡[6]，大連工業大學采用DNS 多緩存策略優化了多出口的流量[7]，浙江理工大學基于私有云集群部署了開源智能DNS[8]，引導了用戶訪問量的合理分流，實現了不同運營商出口網絡流量的負載均衡，提升了學校互聯網出口帶寬的使用效益。

本文選擇校園網私有云服務器資源池，在虛擬機上選擇CentOS 7 搭建智能DNS 主從服務器并使用智能DNS 對于天津美術學院南校區宿舍進行了流量調控，目的是在教學區及北校區宿舍區域依舊使用出口策略路由完成校園網多出口的選路，而在南校區宿舍采用智能DNS 進行選擇目的地址路由的工作，在保證用戶上網體驗的前提下，盡可能將流量更多指向移動接口和電信接口，緩解校園網聯通出口的壓力，提高宿舍網的可用性，整體提升校園網用戶的網絡使用體驗。

2.1 DNS主從服務器的構建

在校園網私有云服務器集群資源上，VMware 虛擬機上安裝兩臺CentOS 7 系統[9-10]，過程不再贅述，CentOS 安裝需要設置主機名及IP 地址，設置DNS 服務器才可以正常工作，為了便于討論，主從服務器設置為Master DNS：192.168.216.8，Slave DNS：192.168.216.7，此處校園網真實IP 地址用192.168.地址代替，以后不再說明。需要特別說明的是CentOS 必須開啟，以保證主從兩臺服務器是始終處于安全防護之下的，DNS 服務器上線后，除了必要的DNS 服務和其他網絡管理需要的端口以外，其他端口一定是在防火墻禁止的狀態下。

兩臺CentOS 服務器通過yum install-y bind 命令安裝相應的named 服務[11]，隨后確保主從服務器的時區時間一致，可通過安裝ntpdate 命令進行同步網絡時間。兩臺主從DNS 服務器的DNS 解析設置不再贅述，主要說明主從服務器的設置。

編輯修改主DNS 服務器/etc/named.rfc1912.zones：

編輯修改從DNS 服務器/etc/named.rfc1912.zones：

2.2 智能DNS的構建

實現DNS 服務器的智能DNS 解析，需要設置view，就是將不同IP 地址段發來的查詢響應到不同的DNS 解析。如需要對兩個不同的IP 地址段進行配置，就需要明確這些IP 地址段的范圍，這樣view 才能生效。需要注意的是，一旦使用了view，所有域都必須定義在view 中[12]。本文主要說明view 的定義，需要修改主DNS 服務器的named.conf：

2.3 宿舍網絡多出口流量的調控

智能DNS 服務器的view 配置，一般情況下是CERNET 免費列表需要進行梳理，凡是CERNET 直連地址，校園網用戶訪問需要路由選擇CERNET 線路，凡是學校圖書館購買的數據庫資源，校園網用戶訪問原則上路由選擇CERNET 線路，按照聯通、電信、移動運營商的地址列表，校園網用戶訪問根據目的地址的歸屬，路由選擇相關運營商線路。

南院宿舍區主要是造型學院（油畫、版畫、雕塑專業）、中國畫學院、人文學院研究生和本科生住宿，學生人數大概是1000 多人，約占天津美術學院總學生人數的1/3 左右，距離信息化辦公室距離很近，便于做測試和調試，本文選擇南院宿舍區，進行宿舍網絡多出口的流量調控。

首先是在學院DHCP 服務器進行設置，南院宿舍區的相關VLAN 中，當南院宿舍區的無線網絡用戶登錄網絡獲取地址的時候，DNS 服務器直接推送為本文所設置的主從DNS 服務器，同時校園網出口策略路由不對于相關VLAN 地址進行路由選址，相關地址的上網訪問選路工作由智能DNS 服務器完成。

為了提高校園網多出口帶寬的利用率，在CERNET 線路路由不做大的調整的前提下，在測試網絡通達性完全可以滿足學生學習生活需求的前提下，將原本是聯通線路直連的地址，在view 的地址池強行指向電信出口或者是移動出口，從而提高電信出口，特別是移動出口的使用效率。

北京郵電大學基于DNS 的流量調度[5]，是使用遞歸算法進行的自動修正，但是自動修正是很難完全顧及到網絡使用者的上網體驗，因此本文采用手動測試調整view 的地址池的辦法，不完全根據目的地址的ISP 歸屬確定路由指向，而是在網絡通達性可以滿足的前提下，以流量為主導進行地址池配置，以提高帶寬的使用效益。

3 結語

本文選擇開源軟件系統，搭建智能DNS 主從服務器天津美術學院南校區宿舍進行了流量調控，在學校其他區域依舊使用出口策略路由完成校園網多出口的選路，而在南校區宿舍采用智能DNS 進行選擇目的地址路由，在保證校園網用戶的整體體驗的前提下，達到了調控多出口流量，提高校園網流量的使用效益。同時，CentOS 自帶防火墻功能，由于主從DNS 服務器是在校園網整體的安全防護體系中，因此安全性可以保證，設置主從DNS 服務器，就是為了防止因為單臺DNS 故障造成宿舍網絡的單點故障，雖然手工進行測試與設置view 地址池的方式會消耗比較多的人力，但是使用效果較好，能夠滿足天津美術學院宿舍網和校園網的管理需求。