高校互聯網多出口鏈路環境下的跨網通信和鏈路均衡問題探索與實踐

◆張文亮

高校互聯網多出口鏈路環境下的跨網通信和鏈路均衡問題探索與實踐

◆張文亮

（湖北科技學院 湖北 437100）

目前，我國網絡運營提供商ISP主要分為四家：中國電信、中國移動、中國聯通、中國教育網。不同運營商之間的互訪是網絡傳輸的最大瓶頸，這種瓶頸既有互連帶寬的因素，也有網際結算的因素。電信與聯通的互訪、教育與電信的互訪等，其速度和質量很難保障。在傳統的模式下，客戶將內網服務器映射到某個出口IP地址，DNS將用戶請求固定解析到這個IP地址上，必將造成其他ISP網內用戶采用跨網通訊的方式連入到服務器，其結果是質量無法保障，甚至無法訪問。

跨網通信；映射；解析

1 高校互聯網多出口鏈路運行現狀

隨著互聯網上各種應用的普及和增長，對寬帶的需求越來越高、對網絡的依賴也越來越高。根據不同高校的網絡運行經費實際情況，部分高校經費寬裕，可以采取提升帶寬等方式解決網絡擁堵，但有的高校經費緊張，沒有足夠的經費支付高昂的帶寬費用。如何在不產生跨網通信和不降低用戶體驗的前提下，有效地提高中國移動等資費較低的出口線路的使用效率，為學校節省出口成本，是高校面臨的現實問題。經過研究與實踐，部署嵌入式智能DNS系統可以有效解決以上問題。

2 嵌入式智能DNS

嵌入式智能DNS定位為一款多出口網絡環境下的網絡優化系統，通過內置ISP地址庫、動態監測出口負載、探測ISP網內資源分布等多種手段，同時優化inbound和outbound兩個方向的流量結構，克服了傳統負載分擔方式的不足，為用戶提供內外網智能解析、inbound服務不間斷、屏蔽出口故障，減少跨網通信、基于域名的應用分流等功能，提供無感知的上網體驗，提高各個出口的負載比例，提升客戶網絡的價值。

作為應用支撐平臺，在多出口校園網環境中，DNS的重要性日益凸顯，嵌入式智能DNS可以解決如下問題：

2.1 授權域智能解析

普通的DNS服務器只負責為用戶解析出固定的IP記錄，并不會判斷用戶從哪里來，這樣會使得所有用戶都只能解析到固定的IP地址（如教育網IP地址）上，造成運營商之間訪問瓶頸。某高校將WWW 服務器映射到一個教育網IP，聯通和電信用戶訪問該站點時，DNS服務器向外網用戶解析教育網的IP地址。這樣，報文需要跨網轉發到教育網，然后再被遞交到站點服務器，當教育網鏈路中斷后，用戶將不能訪問學校的站點。

外網智能解析是針對目前電信與網通、教育網、移動等ISP之間互聯互通問題推出的一種智能DNS解決方案。具體實現的效果是：把同樣的域名（如www.bingchuan.net），網通的客戶訪問會返回一個指向“網通”服務器的IP地址，電信的客戶訪問會指向一個電信服務器的IP地址，教育網的客戶訪問會指向教育服務器的IP地址，通過這種方式，避免網通的客戶去訪問電信的網絡，電信的客戶去訪問網通的網絡以及教育訪問其他的網絡。部署外網智能DNS后，將避免跨ISP訪問，從而明顯提高訪問的質量。

2.2 Inbound服務不間斷

隨著高校信息化建設的不斷深入，越來越多的應用逐步通過網絡部署，作為應用的基礎支撐平臺，為各類應用提供不間斷的服務成為網絡的基本要求。傳統的智能DNS內置ISP地址庫，可以根據請求的源IP地址返回相應的結果，從而避免用戶通過跨網途徑訪問校園網資源。但僅僅實現外網智能解析功能是遠遠不夠的，當學校某條出口中斷后，DNS不會做相應的調整，仍然會導致應用中斷。

如圖1所示，學校將WWW解析到電信、教育和聯通，實現外網智能解析。傳統的DNS采用“被動響應、靜態解析”的工作方式，當電信出口中斷后，DNS不能動態地適應網絡的變化，仍會將電信用戶的訪問請求解析到電信地址，從而導致服務中斷。

圖1 實現外網智能解析

智能DNS系統可以很好解決此類故障，確保學校的關鍵應用不因某個出口的故障而中斷。通過SNMP協議，DNS系統可以實時地獲取各個出口的負載和通斷情況，當某條出口中斷或負載達到指定閾值（如85%，在被攻擊的情況下）時，DNS自動啟用相應的智能解析策略，將后續請求，解析到正常鏈路對應的鏡像地址上，確保應用不會因某一鏈路的中斷或堵塞而受到影響。

2.3 內網智能解析

在多出口網絡環境下，影響用戶體驗最主要的兩個因素就是跨網通信和鏈路堵塞。跨網通信產生的根本原因是數據報文的目標地址（主要通過 DNS 解析）與出口轉發策略不匹配，例如www.qq.com被解析成電信的鏡像地址，但在防火墻上卻被轉發到聯通出口，報文必須經過各個ISP之間的網際結算通道轉發，延時和可靠性都得不到保障。

傳統的負載分擔方式在處理某個出口的堵塞時，只是簡單地將后續流量切換到其他較空閑的出口上，并未更改報文的目標IP地址，切換過去的流量基本上都是跨網通信流量，這種以犧牲用戶體驗換取出口負載均衡的做法已經不適用于網絡發展的需求。

智能DNS可以探測和收集每個域名在各個ISP的鏡像地址，通過配置相應地策略，向用戶返回指定ISP網內的鏡像服務器IP地址，可以有效地減少跨網通訊。同時，通過與出口設備的交互機制，可探測到各出口鏈路的實時負載和通斷情況，當某條出口鏈路的負載超過預定的“闊值”或出現中斷故障時，可自動將后續流量（包括inbound和outbound）引導到其他出口上，避免“斷網”產生大面積跨網通信和外部訪問中斷，降低故障的影響范圍，待故障恢復后，可自動復原，整個過程無須人工干預。

通過大量的測試表明， DNS設備可以屏蔽出口故障，減少跨網通信，通過流量清洗，可以將網絡質量提升到“電信級”運營水平，從而幫助客戶降低運營成本。

3 智能DNS部署

智能DNS通常部署在“內網”或防火墻的DMZ區域，無論部署在何處，均需確保“DNS到出口ISP的DNS服務器的報文沒有經過跨網轉發”，如圖2所示：

圖2 DNS部署

智能DNS需與防火墻ISP路由聯合部署，例如：在兩條出口的環境下，存在ISP1和ISP2兩條出口鏈路。防火墻出口也需配置兩個出口地址。根據所在地網絡資源分配情況，可以將互聯網資源優勢的ISP作為默認出口鏈路。若將IPS1配置為默認出口，ISP2就需要單獨做策略路由配置。在防火墻的策略路由中將ISP2靜態路由下一條地址指向至對應ISP2出口網關（靜態路由地址表由ISP2提供）。然后通過防火墻NAT轉換，經由ISP2所對應的NAT地址轉換策略，進行轉發訪問互聯網資源。DNS在收到用戶域名解析請求后，經過DNS解析后得到的目的地址需要在防火墻路由表中進行匹配。若解析匹配后地址屬于ISP1默認出口地址，則由防火墻直接進行NAT地址轉發；若解析到的地址為ISP2地址，則在NAT地址轉發策略中匹配響應的出口進行轉發。從而實現了多出口鏈路訪問。

4 結語

嵌入式智能DNS系統不僅僅可以解決以上問題，還可以有效的解決負載均衡，出口流量提升，第三方合作運營解析，IPv4/IPv6雙棧，DNS系統安全和防護等問題。對高校的互聯網多出口鏈路的優化起到了很大作用，最大程度提升了用戶體驗。通過鏈路解析策略優化，很大程度上提升了鏈路的帶寬利用率，有效發揮了主備鏈路的優質互聯網資源。同時也降低了因提升主鏈路帶寬所需的寬帶費。隨著互聯網資源的豐富，各運營商升級、優化，最終會實現真正意義上的ISP互聯互通，才能徹底解決互聯網跨網通信的問題。

[1]饒琰.基于智慧融合的校園網多出口鏈路負載均衡的構建[J].信息系統工程，2019（04）：17-18

[2]程琦，陳燦.構建多層次的互聯網DNS系統安全防護體系[J].現代電信科技，2017，47（05）：61-66.

[3]盛廣偉.高可用智能主從DNS系統在校園網中的應用[J].數字技術與應用，2017（07）：111-113+116.

[4]胡寧，鄧文平，姚蘇.互聯網DNS安全研究現狀與挑戰[J].網絡與信息安全學報，2017，3（03）：13-21.