缪元照，刘志南

（1.天津美术学院信息化工作办公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校园网宿舍网络已成为数字校园的重要组成部分，在大学生的学习、生活中占据重要地位，已经成为高校信息化建设的重点关注区域。学生宿舍网的建设和管理已成为高校校园网重要的组成部分，也是校园网管理的难点问题。传统的模式有高校自主建设运营和运营商独家投资建设运营两种，运营商独家运营存在收费较高、用户因宽带上网与手机绑定而无法自主选择、无法顺畅访问校园网数字资源的问题，而且随着工信部多次发文规范运营商在校园内的经营行为[1-2]，很多大学宿舍网多家运营商共同接入的运营模式开始出现[3-4]。

天津美术学院师生使用校园网对于设计素材和一些影视的下载和在线浏览观看是专业学习和提升的重要组成部分，同时校园网以各种应用服务系统为载体，将教学、科研、管理和校园生活进行充分融合，将院系、学生与教师紧密地联系在一起，是教职员工和学生获取资源和信息的主要途径，已成为校园工作、学习和生活中不可或缺的一部分。由于学校规模不大，学生对于校园资源的依赖比较大，天津美术学院校园宿舍网络一直是坚持自己建设、自己运行的模式。如何优化宿舍网络，满足学生对于网络需求，提高满意度是校园网建设的重要组成部分。

1 天津美术学院校园网宿舍网络基本情况

天津美术学院宿舍网是2014 年开始建设，2017 年进行了校园网核心及主干升级改造，天津美术学院校园网采用锐捷的极简大二层网络部署方式，使用两台锐捷RG-N18010 交换机做横向虚拟化为一台逻辑设备作为校园网核心交换机，北校区部署2 台锐捷的万兆汇聚交换机，横向虚拟化为一台逻辑设备，通过双万兆聚合链路与南院核心通过二层互联，两个校区之间的连接通过2 条不同路由的10G 光纤链路实现链路聚合捆绑互联，保证两个校区的互联带宽速率和可靠性。

南北两个校区的所有业务网管都设置在两台虚拟化RG-N18010 上。RG-N18010 的两块无线控制器板卡同样做虚拟化，两台MSC 板卡虚拟化的方式流量控制，将用户流量引流到MSC 板卡进行流量统计。由虚拟化的RG18010 交换机进行担任大二层网关设备，配合锐捷的SAM+和MCS 业务流量计费板卡，实现有线网络和无线网络的Web 认证和802.1x 认证的无感知认证的配合，实现无线用户通过802.1x 认证上网，有线用户通过Portal 认证上网，全部校园实现无线信号的覆盖。

南校区后综合楼（教师工作室及部分教学区域）采用智分+的无线网络覆盖，由主AP 可以通过网线下联24 个微AP 进行供电，并实现对微AP 的统一管理，微AP 部署到房间内，支持IEEE 802.11ac 标准，确保在屋内无线信号满格和高速率接入，并且在走廊内部署放装AP。

网络认证计费系统采用锐捷SAM+企业版，同时提供自助服务平台，便于用户进行密码的修改和信息的查询，提升了认证的效率，天津美术学院校园网免费提供师生员工网络服务。

天津美术学院学生宿舍区未布设有线网络，全部采用无线网络全覆盖，2014 年开始建设，是天津市第一家实现宿舍网无线全覆盖的高校。南北校区宿舍采用锐捷智能分布式（二代）无线系统解决方案，采用六类综合布线系统，每个宿舍内安装专用室内美化天线，保证无线覆盖效果。二代智分型AP 采用双路双频硬件架构，可支持同时工作在802.11a/n 和802.11b/g/n模式。

天津美术学院校园网出口拥有CERNET、联通、电信、移动四个运营商的网络连接，其中CERNET 与天津教育科研城域网实现1000M 连接，联通带宽为1G，电信带宽为600M，移动带宽为400M，均为1000M 光纤接口。使用校园网边界防火墙的策略路由技术，最大程度发挥设备性能，实现了路由链路的冗余和容错，满足校园网用户对于网络需求，提高用户的满意度。

2 基于智能DNS的天津美术学院宿舍网多出口流量调控

天津美术学院校园网使用策略路由技术完成校园网多出口建设，校园网用户访问根据目的地址的归属，路由选择联通、电信、移动等运营商线路，网络流量平稳，校园网用户体验比较好，但是在晚上高峰时期，由于宿舍网流量剧增，校园网出口，主要是联通出口会发生一定的拥塞，而由于北方地区联通的资源比较多，电信出口和移动出口，特别是移动出口的流量比较小。

北京邮电大学基于DNS 进行了流量的调度[5]，河海大学曾经使用DNS 递归解析，将办公网络指向教育网，将宿舍网络指向移动网络[6]，大连工业大学采用DNS 多缓存策略优化了多出口的流量[7]，浙江理工大学基于私有云集群部署了开源智能DNS[8]，引导了用户访问量的合理分流，实现了不同运营商出口网络流量的负载均衡，提升了学校互联网出口带宽的使用效益。

本文选择校园网私有云服务器资源池，在虚拟机上选择CentOS 7 搭建智能DNS 主从服务器并使用智能DNS 对于天津美术学院南校区宿舍进行了流量调控，目的是在教学区及北校区宿舍区域依旧使用出口策略路由完成校园网多出口的选路，而在南校区宿舍采用智能DNS 进行选择目的地址路由的工作，在保证用户上网体验的前提下，尽可能将流量更多指向移动接口和电信接口，缓解校园网联通出口的压力，提高宿舍网的可用性，整体提升校园网用户的网络使用体验。

2.1 DNS主从服务器的构建

在校园网私有云服务器集群资源上，VMware 虚拟机上安装两台CentOS 7 系统[9-10]，过程不再赘述，CentOS 安装需要设置主机名及IP 地址，设置DNS 服务器才可以正常工作，为了便于讨论，主从服务器设置为Master DNS：192.168.216.8，Slave DNS：192.168.216.7，此处校园网真实IP 地址用192.168.地址代替，以后不再说明。需要特别说明的是CentOS 必须开启，以保证主从两台服务器是始终处于安全防护之下的，DNS 服务器上线后，除了必要的DNS 服务和其他网络管理需要的端口以外，其他端口一定是在防火墙禁止的状态下。

两台CentOS 服务器通过yum install-y bind 命令安装相应的named 服务[11]，随后确保主从服务器的时区时间一致，可通过安装ntpdate 命令进行同步网络时间。两台主从DNS 服务器的DNS 解析设置不再赘述，主要说明主从服务器的设置。

编辑修改主DNS 服务器/etc/named.rfc1912.zones：

编辑修改从DNS 服务器/etc/named.rfc1912.zones：

2.2 智能DNS的构建

实现DNS 服务器的智能DNS 解析，需要设置view，就是将不同IP 地址段发来的查询响应到不同的DNS 解析。如需要对两个不同的IP 地址段进行配置，就需要明确这些IP 地址段的范围，这样view 才能生效。需要注意的是，一旦使用了view，所有域都必须定义在view 中[12]。本文主要说明view 的定义，需要修改主DNS 服务器的named.conf：

2.3 宿舍网络多出口流量的调控

智能DNS 服务器的view 配置，一般情况下是CERNET 免费列表需要进行梳理，凡是CERNET 直连地址，校园网用户访问需要路由选择CERNET 线路，凡是学校图书馆购买的数据库资源，校园网用户访问原则上路由选择CERNET 线路，按照联通、电信、移动运营商的地址列表，校园网用户访问根据目的地址的归属，路由选择相关运营商线路。

南院宿舍区主要是造型学院（油画、版画、雕塑专业）、中国画学院、人文学院研究生和本科生住宿，学生人数大概是1000 多人，约占天津美术学院总学生人数的1/3 左右，距离信息化办公室距离很近，便于做测试和调试，本文选择南院宿舍区，进行宿舍网络多出口的流量调控。

首先是在学院DHCP 服务器进行设置，南院宿舍区的相关VLAN 中，当南院宿舍区的无线网络用户登录网络获取地址的时候，DNS 服务器直接推送为本文所设置的主从DNS 服务器，同时校园网出口策略路由不对于相关VLAN 地址进行路由选址，相关地址的上网访问选路工作由智能DNS 服务器完成。

为了提高校园网多出口带宽的利用率，在CERNET 线路路由不做大的调整的前提下，在测试网络通达性完全可以满足学生学习生活需求的前提下，将原本是联通线路直连的地址，在view 的地址池强行指向电信出口或者是移动出口，从而提高电信出口，特别是移动出口的使用效率。

北京邮电大学基于DNS 的流量调度[5]，是使用递归算法进行的自动修正，但是自动修正是很难完全顾及到网络使用者的上网体验，因此本文采用手动测试调整view 的地址池的办法，不完全根据目的地址的ISP 归属确定路由指向，而是在网络通达性可以满足的前提下，以流量为主导进行地址池配置，以提高带宽的使用效益。

3 结语

本文选择开源软件系统，搭建智能DNS 主从服务器天津美术学院南校区宿舍进行了流量调控，在学校其他区域依旧使用出口策略路由完成校园网多出口的选路，而在南校区宿舍采用智能DNS 进行选择目的地址路由，在保证校园网用户的整体体验的前提下，达到了调控多出口流量，提高校园网流量的使用效益。同时，CentOS 自带防火墙功能，由于主从DNS 服务器是在校园网整体的安全防护体系中，因此安全性可以保证，设置主从DNS 服务器，就是为了防止因为单台DNS 故障造成宿舍网络的单点故障，虽然手工进行测试与设置view 地址池的方式会消耗比较多的人力，但是使用效果较好，能够满足天津美术学院宿舍网和校园网的管理需求。