第25卷第4期邢臺學院學報2010年12月JOURNAL OF XINGTAI UNIVERSITYVol.25.No.4Dec.2010動態(tài)域名解析技術(shù)及其在雙出口校園網(wǎng)中的應(yīng)用冷摘飛054001）

第25卷第4期邢臺學院學報

2010年12月JOURNAL OF XINGTAI UNIVERSITY

Vol.25.No.4Dec.2010

動態(tài)域名解析技術(shù)及其在雙出口校園網(wǎng)中的應(yīng)用

冷

摘

飛

054001）

（邢臺學院現(xiàn)教中心，河北邢臺

要：校園網(wǎng)實施雙出口方案后，為高校帶來了高性價比的網(wǎng)絡(luò)帶寬，但也帶來了一些問題，如公眾網(wǎng)用戶訪問校園

網(wǎng)資源速度慢等。針對這個問題引入動態(tài)域名解析技術(shù)，提出目前比較理想的解決方案，并在邢臺學院校園網(wǎng)上進行應(yīng)用。測試結(jié)果表明，該方案大大提高了公眾網(wǎng)用戶訪問校園網(wǎng)的速度。

關(guān)鍵詞：校園網(wǎng)；雙出口；DNS ；BIND ；動態(tài)域名解析中圖分類號：TP393.18

文獻標識碼：A

文章編號：1672-4658（2010）04-0110-03

國內(nèi)的各大主干網(wǎng)經(jīng)過這些年來的發(fā)展及優(yōu)化組合，逐漸形成了各自的用戶群體、網(wǎng)絡(luò)資源且各具特色。各主干網(wǎng)內(nèi)用戶訪問自身資源速度非?？?，但由于種種原因，主干網(wǎng)間互聯(lián)互通存在帶寬瓶頸，直接造成了主干網(wǎng)之間資源互訪不順暢。例如，教育網(wǎng)內(nèi)用戶訪問本網(wǎng)上的各種資源速度很快，而訪問公眾網(wǎng)上的資源就會非常慢，反之亦然。這個問題同樣也存在于各大公眾主干網(wǎng)之間。網(wǎng)絡(luò)資源互訪速度的瓶頸給用戶帶來了不便，但這樣的問題在今后相當長的一段時期內(nèi)仍將會存在。

1雙出口校園網(wǎng)及其存在的問題分析1.1雙出口校園網(wǎng)概述

校園網(wǎng)實施雙出口方案后，其內(nèi)部用戶在訪問互聯(lián)網(wǎng)資源時都按其訪問的目的地址走相應(yīng)的路由。如圖1所示。

圖2

雙出口校園網(wǎng)

User b 訪問Server 1：User b 與Server 1同是教育網(wǎng)IP ，數(shù)據(jù)流直接走校園網(wǎng)的CERNET 出口。User c 訪問Server 1：User c 是公眾網(wǎng)IP ，而Server 1是教育網(wǎng)IP ，User c 的數(shù)據(jù)包

需經(jīng)教育網(wǎng)到達Server 1，User c 訪問Server 1的速度慢。如果考慮學校的公眾網(wǎng)出口帶寬較大而將學校服務(wù)器資源統(tǒng)一配置成公眾網(wǎng)IP ，這仍沒有解決主干網(wǎng)互聯(lián)帶寬瓶頸問題，如圖2虛線部分，此時教育網(wǎng)用戶訪問學校資源將變得很慢。

解決上述問題，可采取在公眾網(wǎng)上另外注冊域名并建立資源鏡像的方法，但該方法也帶來一些諸如學校域名不統(tǒng)一，給用戶帶來記憶和選擇的困難，網(wǎng)絡(luò)運行費用增加等問題。本文將要探討的動態(tài)域名解析技術(shù)相對而言簡便可行，也不會增加成本，是一種較好的解決辦法。

圖1雙出口校園網(wǎng)

User a 訪問CERNET 中的Server 2：由于User a 與Server 2同是教育網(wǎng)IP ，根據(jù)策略路由，數(shù)據(jù)走CERNET 出口。User a 訪問CNC 中的Server 3：User a 是教育網(wǎng)IP ，而Server 3是公眾網(wǎng)IP ，數(shù)據(jù)包在出口進行NAT 轉(zhuǎn)換后與Server 3建立數(shù)據(jù)

連接。校園網(wǎng)實施雙出口后，提高了內(nèi)網(wǎng)用戶訪問公眾網(wǎng)的速度，但也產(chǎn)生了一些問題。

2動態(tài)域名解析的方案設(shè)計

域名服務(wù)系統(tǒng)（Domain Name System,DNS ）是互聯(lián)網(wǎng)最

重要的基礎(chǔ)設(shè)施之一，它將難記的IP 地址和容易記憶的域名進行轉(zhuǎn)換。當用戶在應(yīng)用程序中輸入主機域名時，DNS 服務(wù)器可以將此名稱解析為與之對應(yīng)的IP 地址, 這種DNS 上的域名解析一般是靜態(tài)的，即域名與IP 地址是一一對應(yīng)的。

1.2雙出口校園網(wǎng)存在的問題

由于公眾網(wǎng)與教育網(wǎng)之間存在帶寬瓶頸，校外公眾網(wǎng)用戶訪問校內(nèi)教育網(wǎng)資源速度慢。如圖2所示。

［收稿日期］2010-07-06

2.1動態(tài)域名解析技術(shù)

動態(tài)域名解析指的是DNS 服務(wù)器根據(jù)請求解析的客戶端所處的網(wǎng)絡(luò)不同，返回不同的解析結(jié)果，或者是DNS 服務(wù)

［作者簡介］冷飛（1979-），男，河北邢臺市人，畢業(yè)于河北工業(yè)大學，主要從事計算機網(wǎng)絡(luò)教學與研究. 電話：（0319）

3650761

··110

冷飛：動態(tài)域名解析技術(shù)及其在雙出口校園網(wǎng)中的應(yīng)用

器根據(jù)客戶端所在網(wǎng)絡(luò)的不同，應(yīng)用不同的安全策略，比如對內(nèi)網(wǎng)用戶提供遞歸解析服務(wù)的同時忽略外網(wǎng)用戶的遞歸解析請求。

對于雙出口的校園網(wǎng)，動態(tài)域名解析能實現(xiàn)如下目標：當解析請求來自教育網(wǎng)時，則DNS 給出服務(wù)器的教育網(wǎng)IP 地址；當公眾網(wǎng)用戶來訪時，DNS 判斷該用戶來自公眾網(wǎng)，則給出服務(wù)器公眾網(wǎng)IP 地址。

3) 進入系統(tǒng)服務(wù)，查看ISC BIND 服務(wù)，將登錄用戶改

成本地系統(tǒng)用戶。這時還不能啟動該服務(wù)，否則會報代號

1067的錯，得先經(jīng)過配置。

4) 進入安裝目錄（c:winntsystem32dns），將etc 目錄賦予named 用戶具有讀寫的權(quán)限3.3.2配置Bind

1) 在etc 目錄下創(chuàng)建named.conf 文件，關(guān)鍵內(nèi)容如下options{

#定義區(qū)域數(shù)據(jù)文件的目錄

directory “c:windowssystem32dnsetc”; #允許內(nèi)網(wǎng)用戶遞歸查詢allow-recursion{“our-nets ”;};#非法IP 不提供解析blackhole{“bogus-nets ”;};};

#加載教育網(wǎng)范圍的地址數(shù)據(jù)include “cernet_ip.conf”;

#判斷如果是教育網(wǎng)的地址范圍，則會執(zhí)行此處，進行

教育網(wǎng)IP 的解析

Windows 2000和2003系統(tǒng)已集成DNS 服務(wù)，但是不能

實現(xiàn)我們需要的智能解析功能。我們使用美國加州大學伯克利分校開發(fā)的一套DNS 軟件-BIND (BerkeleyInternet

Name Domain) 。從BIND 9開始提供View 語句，可很好地實現(xiàn)

動態(tài)域名解析。

2.2服務(wù)器鏡像技術(shù)

在服務(wù)器上使用雙網(wǎng)卡、雙IP 地址接入雙網(wǎng)絡(luò)，是目前大多數(shù)院校實現(xiàn)雙網(wǎng)絡(luò)高速訪問的理想方案。

3方案實施3.1實施環(huán)境

以邢臺學院校園網(wǎng)為平臺實施上述方案。邢臺學院校園網(wǎng)的授權(quán)域名為：xttc.edu.cn ，管理機構(gòu)為CERNET 。校園網(wǎng)為雙出口，第二出口為中國聯(lián)通的本地ISP 。學校Web 在教育網(wǎng)的IP 地址為211.81.153.210，在公眾網(wǎng)的IP 地址為

view “view_cernet”in {match-clients{cernet_ip;};#建立xttc.edu.cn 的正向區(qū)域zone “xttc.edu.cn ”in {type master;

file “edu.xttc.edu.cn.zone ”; allow-update{none;};};};

60.6.238.10。

3.2需要實現(xiàn)的目標（以www 服務(wù)器為例）

表1根據(jù)用戶所處網(wǎng)絡(luò)，返回不同的域名解析結(jié)果

3.3Windows 2003Server 平臺下架設(shè)DNS 服務(wù)器

BIND for Windows 對windows 2000Server 服務(wù)器支持的

不好，啟動服務(wù)時始終出現(xiàn)“無法啟動ISC BIND 服務(wù)，錯誤

#如果不是教育網(wǎng)的則進行公網(wǎng)的解析view “view_any”in {match-clients{any;};zone “xttc.edu.cn ”in {type master;

file “cnc.xttc.edu.cn.zone ”; allow-update{none;};};};

2) 在etc 目錄中創(chuàng)建文件名為cernet_ip.conf的教育網(wǎng)地

址段。地址的準確與否，直接影響到用戶來源的判斷。另外，限定查詢，創(chuàng)建合法及非法查詢地址列表。

1067：進程意外終止”，所以建議在2003上安裝。3.3.1安裝Bind for Windows

1) 安裝專為Windows 平臺編譯的Bind 套件?？梢栽诰W(wǎng)站http://www.isc.org下載最新的Bind for Windows 套件。2) 下載并安裝Bind 最新版本BIND 9.7.0-P1for Windows ，下載后解壓到一個臨時目錄，運行BINDinstall. exe ，按照提示，默認安裝到c:windowssystem32dns目錄下，將帳號名named 的密碼更改為足夠復(fù)雜的密碼，然后選擇install 進行安裝。安裝程序?qū)?chuàng)建新的named 用戶，同時創(chuàng)建c:windowssystem32dns目錄，其中bin 子目錄是運行目

錄，etc 是工作目錄，另外生成ISC BIND 服務(wù)，該服務(wù)指定登錄用戶為named 。

acl “cernet_ip”{58.154.0.0/15;部分內(nèi)容略;222.199.184. 0/22;};

#禁用開放遞歸查詢

acl “bogus-nets ”{0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;224.0.0.0/3;10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};

·111·

邢臺學院學報2010年第4

期

在多網(wǎng)卡系統(tǒng)中，只有一個網(wǎng)卡可以設(shè)置網(wǎng)關(guān)。

acl “our-nets ”{211.81.152.0/21;};

3) 在etc 目錄中創(chuàng)建并配置根提示文件named.root 。在c:windowssystem32dnsbin目錄下執(zhí)行dig ns . @a.root-servers.net >/etc/named.root。

4) 對來自教育網(wǎng)區(qū)域的查詢，在etc 目錄下建立DNS 的

正向解析區(qū)域文件edu.xttc.edu.cn.zone ，部分內(nèi)容如下

2) 接下來配置路由。路由添加如下：

route add 58.154.0.0mask 255.254.0.0211.81.153.209//添加到CERNET 的路由

……

route add 222.199.184.0mask 255.255.252.0211.81. 153.209

通過命令方式做好配置后，系統(tǒng)將能正常的路由。

@IN SOA dns-server.xttc.edu.cn.root.xttc.edu.cn.(#定義本區(qū)域的名字服務(wù)器

@in ns dns-server.xttc.edu.cn. www in A 211.81.153.210

5) 對來自公眾網(wǎng)的查詢，在etc 目錄下建立DNS 的正向

解析文件cnc.xttc.edu.cn.zone ，部分內(nèi)容如下

Route add 是添加臨時的路由記錄，系統(tǒng)重啟后，該配置將丟失，可以用route –p add ip 命令使配置永久生效。4測試

使用windows 自帶的nslookup 工具測試不同的網(wǎng)絡(luò)環(huán)境下是否得到不同的結(jié)果，如表2、表3所示。

表2

教育網(wǎng)測試效果

@in soa dns-server.xttc.edu.cn.root.xttc.edu.cn.(@in ns dns-server.xttc.edu.cn.

www in A 60.6.238.103.3.3配置文件和區(qū)域文件的測試

1) 測試named.conf 主配置文件。在命令行環(huán)境下進入c:windowssystem32dnsbin目錄運行named-checkconf ，不指

定文件名作為參數(shù)，將自動檢測系統(tǒng)中的/etc/named.conf文件的內(nèi)容。如果沒有檢測到語法錯誤，將不返回任何信息。

2) 測試區(qū)域文件。在命令行環(huán)境的bin 目錄下運行named-checkzone 第一個參數(shù)需要指定區(qū)域名稱，第2個參

數(shù)需要指定區(qū)域文件的名稱，如：named-checkzone xttc.edu.

表3

公網(wǎng)測試效果

cn ../etc/cnc.xttc.edu.cn.zone

3) 全部測試完成后，進入windows 服務(wù)管理器，啟動名為ISC BIND 的系統(tǒng)服務(wù)。如果windows 系統(tǒng)中安裝了防火墻，需要將TCP 和UDP 的53端口打開，以便服務(wù)可以正常被

訪問。

3.4配置www 服務(wù)器

在完成了DNS 配置以后，還需要對www 服務(wù)器進行配置，以便服務(wù)器在配置雙網(wǎng)卡后，對不同出口的訪問流量有不同的路由走向，方法如下：

采用動態(tài)域名解析技術(shù)，很好地解決了校園網(wǎng)采用雙出口后，公眾網(wǎng)訪問校園網(wǎng)資源速度慢的問題，這對各高校校園網(wǎng)都有借鑒意義。

參考文獻：

［1］王世恭，李文化. 基于雙出口校園網(wǎng)WEB 訪問策略［J ］. 農(nóng)

業(yè)網(wǎng)絡(luò)信息，2007，(5).

［2］李孜. 公眾網(wǎng)用戶快速訪問校園網(wǎng)Web 的設(shè)計與實現(xiàn)［J ］.

河南科技大學學報(自然科學版) ，2008，(2).

1) 在服務(wù)器上安裝雙網(wǎng)卡，分別連接教育網(wǎng)和公眾網(wǎng)

并配置教育網(wǎng)和公眾網(wǎng)IP 地址，windows 2000server 的配置如下：

教育網(wǎng)卡：IP 地址211.81.153.210，子網(wǎng)掩碼255.255.

255.240，網(wǎng)關(guān)空

公眾網(wǎng)卡：IP 地址60.6.238.10，子網(wǎng)掩碼255.255.255.

224，網(wǎng)關(guān)60.6.238.1

··112