王培杰

（中移铁通福建分公司云数据支撑中心，福州 350000）

1 引言

DNS（Domain Name System）是域名和IP地址相互映射的一个分布式数据库，是电信运营商网络中关键的应用系统，用户发起的域名请求，通过DNS解析后返回IP地址给用户，DNS可从源头上解决互联网资源定位的优先权问题，如果DNS解析不准确，可能会造成省内或网内已有的资源无法被用户访问，造成用户出网访问资源，导致互联互通流量增加，影响用户上网的体验，因此通过DNS管控，实现访问速度优化和出网流量有效牵引显得尤为重要。

2 DNS异常原因分析

异常DNS请求主要有以下几个原因：

（1）集客用户DNS设置没有强制约束，设置异网DNS问题突出。

（2）小米盒子、百事通、智能路由器等互联网产品默认设置8.8.8.8等开源DNS。

（3）腾讯电脑管家、360等网络修复等软件，默认设置指定路由器密码修复工具。

由此可见，多种因素均可以修改用户侧DNS，造成用户实际使用的并非运营商提供的DNS，导致用户使用他网DNS解析目的域名，由于他网DNS域名解析的资源IP通常需出网才能访问，最终用户没有就近使用网内资源，而是出网获取资源，使得用户没有获得最佳的网络体验。

3 DNS管控的目的

DNS管控重点要达到以下目的：

（1）挽回异网访问，缩减网间成本。实现所有用户DNS请求100%可管控，实现他网DNS请求的网内解析，杜绝 网内已有，网外访问 的情况，减少互联互通流量，增加IDC、CHCHE、CDN等内容网络资源流量。

（2）提升用户感知，避免异常投诉。通过DNS管控，提升用户感知，避免由于他网DNS解析造成的访问差异投诉。

4 管控方案分析

4.1 常规方案

目前国内主流的建设方案为建设专业的DNS管控平台，将用户DNS管控系统在省网核心层进行集中部署，管理范围涵盖所有网络接入的用户。平台需要采集用户DNS请求及解析报文；同时需要与网络互通，实现管控后报文的转发。

系统DNS数据采集可采用如下2种方式：

（1）通过分流平台（如：SIG、FS3200、SCE等）对用户DNS解析请求流量进行策略分流。

（2）在省干路由器实施策略镜像（基于53端口），将流量镜像至DNS管控平台。

DNS数据采集可采用如上两种方案，即：通过分流平台分流方案和省干路由器策略镜像方案。两种方案都可以将用户原始DNS流量引导至用户DNS管控平台。由管控平台的 优化分析服务器 负责对DNS流量进行分析，对用户使用省内DNS的请求不做处理，而对用户使用他网DNS解析的请求首先判断用户所要访问的内容是否是网内已有资源，如果是，交由DNS优化服务器负责为用户解析，如果不是，交由强制递归服务器负责把用户使用的DNS修正为省内DNS，平台所有操作和处理过程均在用户无感知和不影响使用的情况下完成。

如果省内分流平台未能覆盖全部出口链路，可采用 省干路由器策略镜像方案 。

该方案通常在核心层省干节点路由器上对DNS的报文进行基于53端口的镜像策略，将DNS请求报文发送到DNS优化分析服务器，实现全省DNS报文的采集输出。

（1）两个节点的核心路由器全业务流量分光至分流平台，分流平台对DNS上下行报文进行 基于策略（基于53端口）的镜像 ，送到 DNS分析服务器 网卡。

（2）核心节点到DNS管控平台间，可利用传输完成远距离调度。

（3）如镜像输出后的链路多于2条，则增加二层交换机上对链路进行再次镜像收敛，实现单端口输出到服务器。如不多于2条，可直接送到 DNS优化服务器 的1到2个网口。

系统拓扑结构如下图所示：

管控平台要求：

（1）采集输出DNS数据中，包括DNS上行请求和下行解析双向报文。

（2）为保证DNS管理平台可以分析到全网用户DNS解析行为，采集输出DNS数据中，包括本网DNS和出网DNS交互报文。

4.2 创新方案

运营商现网部署了大量的防火墙，为节省成本开销，可采用利旧防火墙的方案对DNS请求实施管控，通过防火墙NAT转换实现DNS管控需求。

管控过程：

在省网核心层路由器，将DNS请求UDP和TCP53端口进行管控，通过策略路由将本省DNS请求放行，将其他请求该端口路由指向安全防火墙，首先将DNS请求通过源NAT，将源IP NAT为防火墙内部地址，然后在防火墙通过策略路由将该请求进行回指，在防火墙接口出方向做目的NAT，将目的IP NAT为本省DNS，使得他网DNS请求转换为本省DNS请求，用户访问他网的DNS请求通过两次NAT，转换为使用防火墙内部IP（源IP）访问本省DNS（目的IP），在用户无感知的情况下，即使其DNS已被篡改，最终DNS请求的结果仍然与本省DNS解析结果相同。

管控结论：

通过DNS管控前后的解析结果进行对比，发现新浪域名www.sina.com.cn管控后使用他网DNS解析结果与本省DNS解析结果一致，证明管控成功。

管控效果：

（1）通过DNS管控，部分出网访问的流量，得以从网内获取，使得省内互联互通流量下降，同时IDC及CACHE缓存流量得到提升，既降低了网间互联互通的结算费用及服务器等硬件资源的投入，又提高了本网内容网络的服务效率。

（2）用户原来从外网获取的资源，改为就近由省内或网内提供，内容网络贴近用户，同时避免了与外网用户争抢内容资源，使得用户感知获得提升。

5 结束语

运营商通过他网DNS管控，加强了对他网DNS的监管，有效的避免了由于多种原因造成的DNS篡改后的出网访问情况，根据FLOW数据的挖掘，及时跟踪DNS TOP请求排名变化，定期更新DNS管控列表，将DNS管控工作持续、深入、常态化开展，切实降低使用他网DNS对用户造成的影响，从源头上面进行保障，为用户提供更加优质的互联网内容资源。

[1] 百度百科DNS技术介绍.https：//baike.baidu.com/item/dns/427444?fr=aladdin[R].

[2] DPtech FW1000系列防火墙技术白皮书.http：//www.dptech.com/products.php?book_info/10/1/1[R].