DNS调配出口实践
2014-03-14张丹东马迎赵志辉
文/张丹东 马迎 赵志辉
DNS调配出口实践
文/张丹东 马迎 赵志辉
DNS(Domain Name Service)域名解析系统是网络的基础构架, 是因特网的一项核心服务。各大高校均有自己的DNS,这就为校园网络多出口流量调整提供了基础,通过DNS调配校园多出口流量,具有无可比拟的优势,在技术操作层面,操作简单,又可以根据实际情况随时调整。在用户体验方面,通过DNS调整出口流量无感知操作,用户体验良好。
校园网络出口流量调控
2013年底,学校调整出口带宽,计划将原教育网千兆,联通千兆的出口切换为教育网300M、联通千兆、电信800M。此次调整旨在增加了某运营商带宽,提升校园出口稳定性。但是,如何平滑稳定的切换,对网络管理工作是一个严峻的考验。
在多个网络运营商出口之间调整流量,目前主要方法有两种,一为通过出口防火墙添加目标地址视图,尤其教育网,可以通过Cernet和10ms网站整理出较完整的地址列表,通过ISP路由,将目标地址为教育网IP的回话转向教育网出口,电信亦是如此,其他流量通过默认路由指向诸如联通之类的出口。这个出口流量调控方法存在的问题是,校园网络管理员无法控制用户行为,因而无法控制多出口之间的流量分配,为了保证正常的网络应用(http、mail等),必须通过流控设备对P2P等行为进行限制,因而给用户造成“网速很慢”的用户体验。
调整出口流量的另一种方法是强制分配源地址,将校内用户按照楼宇或者地理位置,分成与各出口带宽相对应的等份,通过DHCP下发不同的用户地址,在出口路由器分配分配用户走不同的出口。这样虽然有利于出口流量分配,但是对用户所有访问均指向一个出口,会导致在用户数据运营商之间传递,大大增加了用户网络延迟。
以上两种调整出口流量的方法都有其弊端,为了更精确的调配出口流量,并给用户提供良好的用户体验,我们经过实践,采取了基于DNS的高校出口流量调配措施。
调配措施基础
CDN服务的普遍实施
内容发布网络(Content DeliveryNetwork)将用户重定向到附近的CDN网络的边缘节点服务器来提高用户获取内容信息的效率和质量。对网络服务运营商来说,DNS可以给CDN带来显著的优势和灵活性。
对于校园网用户来说,虽然单个用户的DNS解析需求是多种多样的,但是众多用户的需求却可以通过大数据分析获得TOP5和TOP10的网站,以中国人民大学为例,DNS服务器为bind9搭建,通过#dnstop eth0命令可获得DNS解析数据分析,2014年2月25日校内两万多用户DNS查询的结果如图1所示。
根据图1的解析结果,我们结合各运营商提供的公共DNS来查询可劫持对象:
电信对外DNS:219.141.136.10219.141.140.10教育网对外DNS:202.38.184.13 2.38.184.29联通对外DNS:202.106.196.115 2.106.0.20
以视频网站优酷优酷为例:
;; QUESTION SECTION:
;www.youku.com. IN A
优酷-电信DNS(219.141.136.10)dig解析结果:;; ANSWER SECTION:
www.youku.com. 10 IN CNAME zw-w. youku.com.
zw-w.youku.com. 1548 IN A 220.181.185.141
优酷-教育网DNS(202.38.184.13)dig解析结果:
图1 校园DSN服务器5分钟解析统计
;; ANSWER SECTION:
www.youku.com. 300 IN CNAME edu-w.youku.com.
edu-w.youku.com. 3600 IN A 118.228.16.231
优酷-联通DNS(202.106.196.115)dig解析结果:
;; ANSWER SECTION:
www.youku.com. 253 IN CNAME zwn-w.youku.com.
zw-n-w.youku.com. 1081 IN A 123.126.99.31
由以上测试结果得见,优酷会根据用户的查询DNS提供不同的别名,电信别名为zw-w.youku.com,教育网的别名为edu-w. youku.com,联通的别名为zw-n-w.youku. com,这个通过别名解析不同的IP地址给用户的CND网络正是我们通过DNS调整校园网出口流量的基础。
校内多台DNS部署
高校的DNS应包括对内、对外两套体系,对外DNS为教育网地址,分主备,对内DNS为一台内网设备。
人民大学搭建了对外部提供服务的主DNS(202.112.112.101)和备DNS(202.112.112.100),提供人民大学ruc.edu.cn和ruc6.ruc.edu.cn的解析。与此同时,以内网地址205作为校内两万多用户的DNS服务器,通过DHCP下发配置,对于特殊功用的校内服务,可以在校内DNS上添加DNS域名劫持,而不会污染到外网。
除此之外,针对中国人民大学联通、电信、教育网三个出口,我们专门搭建了只提供单一运营商解析的校内DNS服务器,包括联通201,电信202,教育网203。
出口防火墙与流控设备相应部署
由于防火墙上各出口路由是由网络管理员配置ISP路由,ISP路由的正确与否直接决定了DNS调配出口流量是否成功。我校教育网地址由本校教育地址段、nic. edu.cn聚类地址与10ms.edu.cn三部分构成,其中人大教育网地址10条,nic聚类地址73条,10ms地址共计116条,地址共计199条教育网地址。电信出口则是由电信提供电信地址列表。默认出口为联通出口。
流控策略中分别对网管协议、DNS服务器组、视频会议服务器组和特殊地址组予以带宽保障,同时限制服务器组和全校的P2P下载做忙时和闲事的总带宽限制,对于P2P进出流量还根据出口带宽设定了最大50%左右的限制,限制类的策略还需根据流量观察结果作出相应调整。
DNS出口调配实践
校内DNS的基础配置
校内DNS服务器采用Debian操作系统,安装bind9提供域名解析服务,通过/etc/ named.conf配置DNS服务。
在校内DNS中,以校外辅助DNS为forward对象,若劫持校外地址,则可以在named.conf.local文件中添加include文件。通过DNS调整出口流量的配置,同样在此添加文件。
通过DNS调整流量
第一步:创建调配流量zone文件,DNS校外地址默认forwarders对象为电信DNS,故仅需创建教育网出口zones.cernet文件和联通配置出口zones.cnc即可。
zones.cernet文件内容如下:
zone"edu.cn" IN {
type forward;
forwarders { 202.112.0.35; 202.112.0.13; };
};
zone"youku.com" IN {
type forward;
forwarders { [校 内 dns203]; 202.38.184.13; 202.38.184.29; };
};
zones.cnc的配置格式同上,只需将域名修改为希望联通的站点,将forwarders对象修改为联通公网DNS即可。
第二步:named.conf中调用配置文件。
根据DNS文件解析结构,在named. conf.local中调用zones.cernet和zones.cnc文件,配置内容如下:
include "/etc/bind/zones.cernet";
include "/etc/bind/zones.cnc"; include "/etc/bind/zones.ruc";
第三步:根据流控结果调整配置文件内容。
经过几轮调整,学校最终实现了如下流量调配结果:
教育网:优酷、土豆、爱奇艺、edu. cn;
联通:淘宝、百度、qq、360、weibo. com、163、搜狗;
各出口周流量统计如下:教育网出口,原千兆,调整为300M;
联通出口,保持千兆;
电信出口,新增800M;
相较于其他调整出口流量的方法,通过DNS调配流量,具有无可比拟的优势,在技术操作层面,操作简单,有可以根据实际情况随时调整。在用户体验方面,通过DNS调整出口流量是无感知操作,用户体验良好。
(作者单位为中国人民大学信息技术中心)
Aruba Networks发布“移动定义网络”
本刊讯 近日,Aruba Networks发布了Aruba Mobility-Defined Networks ,一种用于IT部门建设全移动工作环境的全新架构,可以提升Wi-Fi控的满意度和创造力。配合这种新的架构,Aruba同时发布了5种支持高移动员工网络需求的创新软件,即下一代移动防火墙、交互式统一通信控制台、ClearPassExchange和Technology Partners、自动登录、AirGroup(现在支持DLNA和UPnP),为IT带来高粒度的可见性、性能优化和安全自动化。
同时,Aruba新任中国区总裁冯满亮(David Fung)首次亮相,他将继续带领Aruba中国团队扩展企业网络市场,助力客户向新一代全移动网络环境的转型。“Wi-Fi已经成为个人生活和工作的必需品。随着Wi-Fi控时代的到来,Aruba推出的‘4S’全无线网络解决方案,为使用者提供了稳定、安全、智能、简单的网络环境,这同时也体现了我们区别于其他同业产品的重要差异化优势。我们致力于推动全移动世界的到来,这样既可以很好地满足个人在生活和工作方面的上网需求,同时能够帮助企业和机构提高效率,降低成本。”冯满亮表示。
