王 琪，王宏伟，丁 佳

（江苏农牧科技职业学院，江苏 泰州 225300）

高校IPV6网络与DNS联动实现资源分流访问需求的设计与实现

王 琪，王宏伟，丁 佳

（江苏农牧科技职业学院，江苏 泰州 225300）

IPV6网络资源成为高校科研教学工作中较为重要的信息采集来源，在接入使用过程中由于网络模型设计不当常有IPV6资源无法访问、速度卡顿、使用繁琐或影响其他普通常用软件等用户体验低下的问题。当前主要的IPV6网络使用方式由于各种客观条件的限制，对高校网络管理人员和用户而言实现有一定困难和不便。所以本文主要围绕域名解析系统与IPV6资源的关联性进行阐述和研究，详细分析各类流量特点和访问路径，设计了一种用户无感知体验度高、快捷灵活、免费的联动模型方便管理和使用，并且围绕设计思路进行相关方案的具体实现。

高校；IPV6；DNS；网络资源

0 引言

因科研和教学访问要求，当前IPV6网络已经成为高校数字化资源的不可或缺的标准配置。由于改造升级支持 IPV6协议网络运行对于运营商而言投入巨大，相关软件开发技术未能同步发展，所以目前IPV6网络在国内仍属于教育研究性质，并未形成正式规范商业化运行模式，在使用中有较多问题。作者作为高校校园网管理人员，在维护用户接入和提供对外服务资源也遇到过不少的问题。在研究对比后，在 IPV4与IPV6网络同时运行的情况下，存在目标资源路径不合理、访问速度不理想、域名解析污染劫持等问题。本文以作者所在单位的校园双栈网络架构结合域名解析系统为案例，利用教育科研网资源，将常见的DNS、广域网路由技术与局域网管理进行有机结合，实现流量识别、资源路径就近访问的目标。

1 高校IPV6网络接入及使用状

1.1 IPV6网络资源在高校中的应用

由于国外站点如谷歌搜索引擎、论文资源库、学习论坛、聊天工具脸书等资源由于IPV4网络受限等原因无法直接访问，一般可以通过VPN或协议代理浏览，但这类方法对普通用户而言存在收费高、不稳定、使用不便捷的问题，所以国内访问境外各类热门资源的用户群体规模较小。

高校用户可以通过国家教育部审批同意的教育科研网线路与国际IPV6网络直接对接，出于鼓励下一代互联网技术使用的原因，国外相关IPV6网络资源站点较多、限制或计费较少，尤其是国外研究机构、大学等都是同时支持 IPV4、IPV6双栈网络运行，学术交流科研等目的的 IPV6资源访问流量较大。用户并不关心资源是通过IPV4或IPV6网络方式访问，关注的重点在于资源可达和访问体验，对于管理人员而言，尽可能的要让用户操作设置简单无感知，实现随时接入随时使用、流畅、稳定的效果[1]。

同时国内不少高校使用双栈协议网络对外提供应用服务，在资源服务数据中心也启用了IPV6协议栈，与IPV4类似方式提供对外服务，唯一不同的是IPV6网络全部为实际公网地址，不需要经过公网地址的NAT转换即可对外发布，只关注路由即可，使用较为简单方便；在校外需要同样使用IPV6资源的情况下，需要借助校内远程接入设备登录，远程接入同时需要支持IPV4的常用SSL或IPSEC加密隧道，打通进入后再使用 IPV6线路访问国外相关站点；由于国内不少安全防护类和应用服务还未完全支持IPV6网络的应用，安全管理上还存在一定的隐患，应用服务也不够丰富，浏览量并不大，所以高校的IPV6数据流多为对外访问流量[2]。

1.2 IPV6网络接入模式

当前国内高校 IPV6网络物理接入方式主要是借助运营商租赁的光纤内部线路，互联从高校所在地接入到各省教育科研网分中心，借助全国范围内的光纤环网，最终接入到北京教育科研网总部；教育网总部作为与国内外各主要运营商的互联互通的节点，将数据进行转发出去。一般而言，教育科研网的IPV6线路带宽较小，而其他IPV4运营商的线路带宽较高，双方在业务承载上有明确的区分。

在业务逻辑接入模式上，主要的还是依靠双栈接入和隧道 6to4两种；前者借助的是完全的 IPV6路由全部打通，后者依靠的是在现有IPV4网络的基础上进行IPV6网络的孤岛互联。在功能稳定性上相对而言，双栈接入为更好的选择，相互之间为两套网络协议独立运行计算，逻辑或物理隔离。

2 IPV6与IPV4网络资源在使用中的关联与问题

2.1 资源及线路选择问题

在用户使用TCP/IP协议访问，站点资源都是借助于IP地址支撑，不可或缺的必然涉及到DNS域名解析协议与路由选择。

IPV4与IPV6从本质上而言是两套路由上完全独立隔绝的网络，相互之间路由、交换或安全方面并无关联，但在双方共同的会节点域名解析DNS上却有相应的尴尬重叠。DNS系统会对于一个域名的解析请求同时支持两套协议网络的解析，无论是IPV4的DNS或IPV6的DNS系统，如不加以处理，都会同时返回两套协议的IP地址解析结果。当双栈客户端接收到域名查询的返回结果后，会根据应答的结果IP地址按照设计的路由出发访问目标站点。

这里面会造成困惑的地方在于IPV4和IPV6的解析结果会从同一台DNS服务器上返回，客户端选择哪个结果作为访问的依据。如果两个结果都可以到达目标站点，那么选择IPV4还是IPV6资源作为优先访问的目标有一定的困难。这里举谷歌的解析结果为例，如果选择IPV4解析结果则会造成访问被拦截；选择 IPV6的解析结果，会造成国内其他域名不能按照IPV4带宽资源最丰富或路径最短的线路访问。

这里涉及到线路带宽资源和站点资源密度的考量，我们在管理IPV4网络时候较为关注的是哪种运营商的线路带宽资源更为充分或路由最短访问速度较快[3]。以往各运营商存在线路互访瓶颈限制，随着电信、联通、移动三大主流运营商的逐年建设投入，不少资源站点已经实现了在各大运营商的线路中接入，所以无论选择哪家线路作为学院的主要出口，必然需要选择相应接入商的域名解析系统实现资源就近访问。

但在国内的IPV6网络中，唯一的接入运营商就是中国教育科研网，相比较而言教育科研网的站点资源相对匮乏、线路带宽资源小，如以教育科研网作为主要的域名解析，势必造成解析资源增多、部分资源访问速度偏慢或带宽利用率过高的情况。因为 IPV6的解析答案中会包含教育科研网或其他非主要运营商IPV4资源结果，未必是考虑到高校当前主要线路带宽和访问速率的最佳选择，如图1-3所示。

图1 同一域名中解析返回的两个协议地址结果Fig.1 Two results from one domain resolution

图2 腾讯站点IPV4资源访问速度相对较快Fig.2 Fast behavior in tencent IPV4 website

图3 腾讯站点IPV6资源访问速度相对较慢Fig.3 slow behavior in tencent IPV6 website

2.2 域名污染、劫持问题

在国内访问使用站点资源时，不少特定资源被解析成类似201：开头的IPV6的错误污染结果。解析请求发出后，收到了一个错误的地址，类似IPV4中的回环地址而无法使用。这是DNS协议体系设计的不完善问题，一旦发动对根服务器、权威域名服务器的攻击或伪造应答，会造成正确结果无法及时回传或虚假应答，而造成大面积的域名解析污染，在一定区域内无法访问需要的站点资源。

DNS劫持问题更为常见，如2006年与2013年百度和 CN域名攻击的案例，就是利用了饱和攻击权威域名服务器方式、更改权威DNS解析结果或篡改权威DNS服务器IP等方式，造成国内大面积用户无法访问造成严重损失[4]。

2.3 客户端问题

上述问题对客户端层面的解决方案可以采用的措施有：修改客户端系统目录中 host文件，将如google等资源静态绑定为正确的IPV6地址，使本地机器不去访问 DNS服务器，而直接从本地获取 IP地址进行访问；另外也可以要求用户对网卡中解析和流量的优先级进行调整。

这几种方法对用户使用有一定的难度、难以应对动态解析的变化，仍然会造成IPV4流量无法灵活调度的问题。

3 解决方案的设计与实现

3.1 解决思路

由于各类操作系统的规则，如苹果MAC、微软WINDOWS、LINUX等主流桌面操作系统中优先选择IPV6协议DNS服务器，同时同一域名下解析出的IPV6地址一般优于IPV4地址访问。

结合高校的业务要求，优选IPV6会造成许多其他域名解析出的 IPV4地址未必是带宽资源充足的那条线路运营商；由于IPV4的DNS服务器也能解析 IPV6的站点资源，所以在设计中直接屏蔽使用IPV6的DNS服务器。

无论是运营商DNS或第三方DNS同时由于存在域名劫持污染问题，所以在解析时必然要架设内部DNS进行分离不同的解析请求。在设置考虑IPV4的DNS转发的时候，要尽量考虑优先使用流量带宽资源充足的线路接入商的如特定运营商的DNS服务器，而非国内外的常见公共 DNS，如 114.114.114.114、8.8.8.8等。

终端操作系统中 TCP/IP协议中需要设置的多DNS地址作为备用，当首 DNS忙碌或不可达会轮询下一个服务器，必须确保内部DNS的工作稳定。其次在内部DNS工作环节中，需要设置本单位内部域名ZONE的解析、其他普通域名ZONE转发解析、兴趣域名ZONE的特定转发解析；另外在设计中将校外普通域名资源的解析设置为只返回IPV4结果，不接受IPV6结果，防止舍近求远的情况出现，对于校外特定资源的解析设置为允许同时返回 IPV4和IPV6 结果[5]。

3.2 业务分流模型图

如图4所示。

3.3 流量区分与分流方案的实现

DNS的分配依靠 DHCP局域网管理技术来实现，可以根据用户或建筑群体分为多个不同的地址池，要考虑校内DNS服务器为主、兼顾负载均衡，同时又要防止内部故障同时配备一到两个外部可靠DNS服务器做备份。

例如DHCP使用分地址池实现简单的内部DNS服务器的负载平衡，或使用硬件负载均衡设备自动分流访问请求。以DHCP分配地址池这种方式为例，案例中IPV6为无状态地址获取且为配置IPV6协议的DNS服务器地址，如图5所示：

使用内部DNS配置，将用户数据流进行识别，以bind技术搭建的双栈DNS服务配置为例，如图6所示：

单位内部区域解析，单位域名下所有 IPV4和IPV6的站点地址信息，单位内部由于路由和延时等开销基本一致，所以无论是IPV4或IPV6解析均为理想结果。

单位外部IPV6资源区域解析，配合国外IPV6 DNS服务器或可靠未污染的第三方IPV4的DNS服务器，将解析出正确的IPV6地址进行访问。

其他区域解析，配合相应带宽资源较充足的运营商DNS服务器进行转发解析，提升主线路的利用率。

4 结论

目前由于主要网络资源仍是IPV4地址居多，所以在操作上采用分类解析流量分流的方式较为可行，但考虑到未来发展的变化，如IPV6资源站点接入的增多，必然会造成教育科研网线路的繁忙和主线路出口带宽的闲置。理想的解决方案应该各主要运营商逐步普及IPV6网络的接入，届时IPV6网络的发展会越来越快，应用资源越来越充分。

图4 分流业务模型图Fig.4 Different work flows model

图5 IPV4和IPV6的地址池分配Fig.5 IPV4 and IPV6 pool distribution

图6 本地DNS服务器中关于不同区域的转发Fig.6 Different zones forward in local DNS server

[1] 王洪智, 尚尊义. IPv4与IPv6的比较与过渡策略[J]．科技导报, 2011, 29(24):77-79.

[2] 姚兴苗, 李乐民. 一种快速IPv6路由查找方案[J]. 计算机学报, 2005, 28(2): 214-219.

[3] 穆晓霞, 陈留院, 牛振齐. IPv4到IPv6的迁移技术研究[J].河南师范大学学报(自然科学版), 2010, 38(6): 50-53.

[4] 王彦辉. 基于IPV6 的数字校园设计与应用研究[J]. 网络天地, 2015.

[5] 张五红, 王宇. 高校IPv6校园网的部署与配置[J]. 计算机工程与设计, 2007, 28(13): 3106-3110.

[6] 邹军. 全球互联网治理的模式重构、中国机遇和参与路径[J]. 南京师大学报: 社会科学版, 2016(03): 57-63.

[7] 孙宇, 冯丽烁. 1994-2014 年中国互联网治理政策的变迁逻辑[J]. 情报杂志, 2017(01): 87-91.

[8] 万群, 郭贤生, 陈章鑫. 室内定位理论、方法和应用[M].北京: 电子工业出版社, 2012.

[9] 吴金凤. 面向IPv6网络的运营支撑系统的研究与实现[D].广州: 华南理工大学, 2012.

[10] 王彦辉. 基于IPV6的数字校园设计与应用研究[J]. 网络天地, 2015.

[11] 李志刚. 基于物联网智慧校园服务机制建设的探讨[J]. 电子技术与软件工程, 2015(16).

[12] 高倩. 基于物联网的智慧校园基础架构与应用研究[J].漯河职业技术学院学报, 2015, 14(2).

[13] 崔怡文. 智能手机时代的“智慧校园”建设[J]. 中国市场,2015(23): 247-248.

[14] 游战清, 李苏剑. 无线射频识别技术理论与应用[M]. 北京:科学出版社, 2010: 4.

[15] 高等学校智慧校园架构与应用研究[J]. 白丽媛, 陈瑛, 李亚文. 北京联合大学学报. 2014(02).

Design and Implementation of Solutions of IPV6 Network and DNS Cooperation for Dirfferent Flows Access Requirement in College Network

WANG Qi, WANG Hong-wei, DING Jia
(Jiangsu Agri-animal Husbandry Vocational College, Taizhou 225300, China)

Due to research and teaching access requirements, the current IPV6 network has become an indispensable standard for digital resources in colleges and universities. Due to the transformation and upgrade to support IPV6 protocol network operation for operators in terms of huge investment, the relevant software development technology failed to develop simultaneously, so the current IPV6 network in the country is still a nature of education and research, did not form a formal standard commercial operation mode, in use There are more problems. As a college campus network administrator, the author has encountered many problems in maintaining user access and providing external service resources. After researching and contrasting, in the situation that IPV4 and IPV6 networks run at the same time, there are such problems as unreasonable target resource path, unsatisfactory access speed, domain name resolution pollution hijacking and so on. This article takes the campus double stack network architecture of the author as an example, and uses the resources of education and scientific research network to combine the common DNS and WAN routing technologies with the LAN management to realize the goal of traffic identification and resource access.

College; IPV6; DNS; Network resource

TP393

A

10.3969/j.issn.1003-6970.2017.12.035

本文著录格式：王琪，王宏伟，丁佳. 高校IPV6网络与DNS联动实现资源分流访问需求的设计与实现[J]. 软件，2017，38（12）：185-189

王琪(1983-)，男，硕士，工程师。研究方向：软件开发；王宏伟(1976-)，男，硕士，副教授。研究方向：财务信息管理；丁佳(1998-)，男，学士。研究领域：软件开发。