D N S 調(diào)配出口實踐a m e D N s (D om ai n N文，張丹東馬迎趙志輝se Ⅳi c e) 域名解析系統(tǒng)是網(wǎng)絡(luò)的基礎(chǔ)構(gòu)架，是因特網(wǎng)的一項核心服務(wù)。各大高校均有自己的D N s ，

D N S 調(diào)配出口實踐

a m e D N s (D om ai n N

文，張丹東馬迎趙志輝

se Ⅳi c e) 域名解析系統(tǒng)是網(wǎng)絡(luò)的基礎(chǔ)構(gòu)架，是因特網(wǎng)的一項核心服務(wù)。

各大高校均有自己的D N s ，這就為校園網(wǎng)絡(luò)多出口流量調(diào)整提供了基礎(chǔ)，通過D N s 調(diào)配校園

多出口流量，具有無可比擬的優(yōu)勢，在技術(shù)操作層面，操作簡單，又可以根據(jù)實際情況隨時調(diào)整。在用戶體驗方面，通過D N s 調(diào)整出口流量無感知操作，用戶體驗良好。

校園網(wǎng)絡(luò)出口流量調(diào)控

如何平滑穩(wěn)定地切換不同運營網(wǎng)絡(luò)，對網(wǎng)絡(luò)管理工作是一個嚴(yán)峻的考驗。

在多個網(wǎng)絡(luò)運營商出口之間調(diào)整流量，目前主要方法有兩種，一為通過出口防火墻添加目標(biāo)地址視圖，尤其教育網(wǎng)，可以

通過C e r ne t 和10m s 網(wǎng)站整理出較完整的

調(diào)配措施基礎(chǔ)

C D N 服務(wù)的普遍實施

內(nèi)容發(fā)布網(wǎng)絡(luò)(C o 兀t ent D el l ve 叫N 曲m r k) 將用戶重定向到附近的C D N 網(wǎng)絡(luò)的邊緣節(jié)點服務(wù)器來提高用戶獲取內(nèi)容信息的效率和質(zhì)量。對網(wǎng)絡(luò)服務(wù)運營商來說，D N S 可以給C D N 帶來顯著的優(yōu)勢和靈活l l 生。

對于校園網(wǎng)用戶來說，雖然單個用戶的D N S 解析需求是多種多樣的，但是眾多用戶的需求卻可以通過大數(shù)據(jù)分析獲得TO P5和TO Pl O 的網(wǎng)站，以中國人民大學(xué)為例，D N S 服務(wù)器為bl nd9搭建，通過社dns t op

et hO

地址列表，通過I SP 路由，將目標(biāo)地址為教育網(wǎng)I P 的回話轉(zhuǎn)向教育網(wǎng)出口，電信亦是如此，其他流量通過默認(rèn)路由指向諸如聯(lián)通之類的出口。這個出口流量調(diào)控方法存在的問題是，校園網(wǎng)絡(luò)管理員無法控制用戶行為，因而無法控制多出口之間的流量分配，為了保證正常的網(wǎng)絡(luò)應(yīng)用(ht t D 、

m

命令可獲得D N S 解析數(shù)據(jù)分析，2014年2月25日校內(nèi)兩萬多用戶D N S 查詢的結(jié)果如圖1所示。

根據(jù)圖1的解析結(jié)果，我們結(jié)合各運營網(wǎng)絡(luò)提供的公共D N S 來查詢可劫持對象：

電信對外D N S ：219．141．13610219141．140．10教育網(wǎng)對外D N S ：20238184．132．38．18429聯(lián)通對外D N S ：202．1061961152106．0．20

：：A N SW ER SE C T I O N ：

w w w youku c O m edu —w ．yOuku ．cO m m edu —w ．yO uku cO 11822816．231

3600

l N

A

300

I N

C N A M E

a11等) ，必須通過流控設(shè)備對P2P 等行

為進(jìn)行限制，因而給用戶造成“網(wǎng)速很慢”的用戶體驗。

調(diào)整出口流量的另一種方法是強制分配源地址，將校內(nèi)用戶按照樓宇或者地理位置，分成與各出口帶寬相對應(yīng)的等份，通過D H CP 下發(fā)不同的用戶地址，在出口路由器分配分

配用戶走不同的出口。這樣雖然有利于出口

以視頻網(wǎng)站優(yōu)酷優(yōu)酷為例：

：：Q U E ST I O N SE C T I O N ：

：w w w

優(yōu)酷一聯(lián)通D N S(202．106．196．115) dl g 解析結(jié)果：

：：A N SW ERS EC TI O N ：w w w yO uku ．cO m m n —w ．yO u ku c O

253

I N

C N A M E

zw —

m yO uku cO

I N A

流量分配，但是對用戶所有訪問均指向一個出口，會導(dǎo)致在用戶數(shù)據(jù)運營商之間傳遞，大大增加了用戶網(wǎng)絡(luò)延遲。

以上兩種調(diào)整出口流量的方法都有其弊端，為了更精確地調(diào)配出口流量，并給用戶提供良好的用戶體驗，我們經(jīng)過實踐，采取了基于D N S 的高校出口流量調(diào)配措施。

優(yōu)酷一電信D N S(21914113610) di g 解析結(jié)果：

C T l O N ：：：A N SW ER SE w w w yO uku ．cO m yO u ku c O m

zw —w

10IN C N A M E z w —w

z w —n —w ．yO u ku com 1231269931

1081I N A

yo uku 185141

cO m 1548I N A

由以上測試結(jié)果得見，優(yōu)酷會根據(jù)用戶的查詢D N S 提供不同的別名，電信別名為zw —w ．youku ．com ，教育網(wǎng)的別名為edu —w ．youku ．com ，聯(lián)通的別名為zw —n —w ．youku ．

220181

優(yōu)酷一教育網(wǎng)D N S(202．38．184．13) dl g 解析結(jié)果：

ed u ．cn 聚類地址與1O m s ．

zone s ．cnc 的配置格式I 司上，只需將域

edu ．cn 三部分構(gòu)成，其中人大教育網(wǎng)地址10條，nl c 聚類地址73條，10m s 地址共計兒6條，地址共計199條

譬■C ，0舒*平均■

名修改為希望聯(lián)通的站點，將f or w ar der s 對象修改為聯(lián)通公網(wǎng)D N S 即可。

第二步：nam ed ．con f 中調(diào)用配置文件。根據(jù)D N S 文件解析結(jié)構(gòu)，在nam ed ．

conf ．]oca]中調(diào)用zones ．cer net 和zones ．cnc

教育網(wǎng)地址。電信出口則是由電信提供電信地址列表。默認(rèn)出口為聯(lián)通出口。

流控策略中分別對網(wǎng)管

文件，配置內(nèi)容如下：

i ncIude 。／el c ，bi nd ／zones ．cem el 。：

i “cIu de ‘／e l c ／bl “d ／zo “es

c “c 。：

廠意¨

V 黧

廣¨

、＼一∞髀蛐

協(xié)識DNS 服務(wù)器組、視頻會m d 洲薹箋! “麓裟≥果調(diào)整配置文件內(nèi)

議月艮務(wù)器組和特殊地址組予以帶寬保障，同時限制服務(wù)器組和全校的P2P 下載做忙時和閑時的總帶寬限制，對于P2P 進(jìn)出流量還根據(jù)出口帶寬設(shè)定了最大5嘣左右的限制，限制類的策略還需根據(jù)流量觀察結(jié)果作出相應(yīng)調(diào)整。

容。

相較于其他調(diào)整出口流量的方法，通

l N I H l 『司口r j 面目．j 宣7日丌ul H 、l 。l ^j F ．

過D s 、調(diào)配流量，具有無可比擬的優(yōu)勢，

1、l

l 十H

在技術(shù)操作層面，操作簡單，有可以根據(jù)

?！玪 、…』I ．…u ………

1、l

實際情況隨時調(diào)整。在用戶體驗方面，通

E ．F 馬P o

…Y ，…』n

J Ⅲ、1l 匍d 墨H j l lj 前百i 亡—7廠，q^d 【_：#‘l 過D N s 調(diào)整出口流量是無感知操作，用戶r R ’‘T “體驗良好。

14xj W

(作者單位為中國人民大學(xué)信息技術(shù)中心)

com ，這個通過別名解析不同的I P 地址給用戶的C N D 網(wǎng)絡(luò)正是我們通過D N S 調(diào)整校園網(wǎng)出口流量的基礎(chǔ)。

D N S 出口調(diào)配實踐

校內(nèi)D N S 的基礎(chǔ)配置

校內(nèi)D N S 服務(wù)器采用D ebl an 操作系統(tǒng)，安裝bl nd9提供域名解析服務(wù)，通過／et c ／nam ed ．conf 配置D N S 服務(wù)。

在校內(nèi)D N S 中，以校外輔助D N S 為f or w ar d 對象，若劫持校外地址，則可以在nam ed ．conf ．10ca]文件中添加1nc]ude 文件。通過D N S 調(diào)整出口流量的配置，同樣在此添加文件。

通過D N S 調(diào)整流量

第一步：創(chuàng)建調(diào)配流量z one 文件，D N S 校外地址默認(rèn)f or w ar der s 對象為電信D N S ，故僅需創(chuàng)建教育網(wǎng)出口zones ．cer net 文件和

聯(lián)通配置出口zones ．cn c 即可。

z o nes

A r uba N e t w O r ks

校內(nèi)多臺D N S 部署

高校的D N S 應(yīng)包括對內(nèi)、對外兩套體系，對外D N S 為教育網(wǎng)地址，分主備，對內(nèi)D N S 為一臺內(nèi)網(wǎng)設(shè)備。

人民大學(xué)搭建了對外部提供服務(wù)的主D NS(a吧．112．11組01) 和備D N 甄硇巳112．112．1㈣，提供人民大學(xué)r uc ．edu ．cn 和ruc6．r uc ．edu ．cn 的解析。與此同時，以內(nèi)網(wǎng)地址205作為校內(nèi)兩萬多用戶的D N S 服務(wù)器，通過D H C P 下發(fā)配置，對于特殊功用的校內(nèi)服務(wù)，可以在校內(nèi)D N S 上添加D N S 域名劫持，而不會污染到外網(wǎng)。

除此之外，針對中國人民大學(xué)聯(lián)通、電信、教育網(wǎng)三個出口，我們專門搭建了只提供單一運營商解析的校內(nèi)D N S 服務(wù)器，包括

聯(lián)通201、電信202、教育網(wǎng)203。

發(fā)布“移動定義網(wǎng)絡(luò)”

本刊訊近日，A r uha N et w or ks 發(fā)布了

A r ul ) a

M ob i l i I v —D e f i ned

N P l w ()r ks ，一種用于

I T 部門建設(shè)全移動工作環(huán)境的全新架構(gòu)，可以提升w i Fi 控的滿意度和創(chuàng)造力：配合這種新的架構(gòu)，A r uha 同時發(fā)布了5種支持高移動員工網(wǎng)絡(luò)需求的創(chuàng)新軟件，即下代移動防火墻、交互式統(tǒng)一通信控制臺、

C l ear Pas s Ex change 和Technol ogy Par t ner s 、

自動登錄、A i r cr oup(現(xiàn)在支持D LN A 和0PnP) ，為I T 帶來高粒度的可見性、性能優(yōu)化和安全自動化

同時，A r uI ，a 新任中國區(qū)總裁馮滿亮

(D avi d F ung) 首次亮相，他將繼續(xù)帶領(lǐng)

A l uI ，a 中國團隊擴展企業(yè)網(wǎng)絡(luò)市場，助力客戶向新一代全移動網(wǎng)絡(luò)環(huán)境的轉(zhuǎn)型。

“w i Fj

ce m e l 文件內(nèi)容如下：

已經(jīng)成為個人生活和r 作的必需品。隨管w i Fi 控時代的到來，A r uh a 推出的‘4s ’全無線網(wǎng)絡(luò)解決方案，為使用者提供了穩(wěn)定、

zone 。edu ．cn 。I N I

t yp e f o r w ard ：

f or w ar der s{202：

zon e 。y ouku

112035：202．112．0．13：l ：

安全、智能、簡單的網(wǎng)絡(luò)環(huán)境．這同時也體現(xiàn)了我們區(qū)別于其他同業(yè)產(chǎn)品的重要差異化優(yōu)勢，我們致力丁推動全移動世界的到來．這樣既可以很好地滿足個人在生活和工作方

出口防火墻與流控設(shè)備相應(yīng)部署

由于防火墻上各出口路由是由網(wǎng)絡(luò)管

理員配置I SP 路由，ISP 路由的正確與否直接決定了D N S 調(diào)配出口流量是否成功。

com “I N {

r w ard ：t yp e f O fo

r w a

r der s {[校內(nèi)dns 203】：202

3818413：

面的上網(wǎng)需求，同時能夠幫助企業(yè)和機構(gòu)提高效率，降低成本?！瘪T滿亮表示。

20238．18429：l ：

我校教育網(wǎng)地址由本校教育地址段、nl c ．

}：

國教舟附鋪79