华为云LSN在校园网中的应用

2020-06-20邢台职业技术学院尹立君

网络安全和信息化 2020年6期

■ 邢台职业技术学院尹立君

近年来随着计算机网络应用技术的发展，各类新技术（4K高清网络视频、大数据、云计算、物联网等）的应用对网络带宽要求越来越高，校园网络因上网用户数量大(同时并发用户数达到几千或上万)，上网时间集中（下课时间、晚上、周六日），终端设备复杂、网络协议多等对带宽要求尤为突出。从根本上讲扩容网络带宽出口是最为行之有效的方法，但随之而来的就是高额的网络出口费用。既要保障用户对网络资源的正常访问速度，又不能无休止的通过扩容校园网出口带宽来解决，这就对网络带宽的控制和管理提出了更高要求。

结合当前网络技术和网络主要传输内容，目前主要有以下几种技术方案可有效降低网络出口带宽占用，提高网络访问体验：广域网出口优化、重要资源站点校内镜像、网络流量（缓存）加速设备和多链路出口负载等。本文就以通过校园网自建智能DNS，利用前置调度策略和域名劫持技术实现华为云LSN在校园网内部署云平台内容节点为例，实现降低网络出口带宽压力，提高网络访问体验。

智能DNS

目前国内院校均通过三大电信运营商（中国移动、中国电信、中国联通）接入Internet，同时绝大多数院校采用专线接入CERNET(中国教育和科研网)，实现了两出口或多出口，智能DNS可以有效的弥补不同电信运营商之间的互联互通不畅的问题。智能DNS最大的特点就是能够根据来访用户的来源IP解析成与之对应的接入电信运营商的线路IP，例如来访IP是网通网络IP，智能DNS域名策略解析服务器会把网站域名所对应的网通IP地址解析给这个来访用户。若来访IP是电信网络IP，DNS策略解析服务器会把网站域名对应的电信IP地址解析给这个来访用户。智能DNS解析原理如图1所示。智能DNS策略解析还可以实现就近访问机制。部分网络业务提供者会在国内外租用多台虚拟主机以解决用户访问需求，智能DNS策略解析服务可以根据来访IP地区进行就近解析。同时智能DNS透明代理功能还可以避免由于内网用户填写同一运营商DNS服务器地址而造成链路拥塞和访问速度变慢的情况；同时支持为用户访问的特定域名指定访问链路，提升各条链路利用率，避免链路拥塞，此外部署在内网的智能DNS还可能够缓存解析记录，加快内网用户域名解析时间，同时还可以部署在网络边缘实现多个主机负载、网络出口流量负载等功能。

图1 智能DNS解析原理

图2 华为本地服务节点方案

华为LSN

随着华为终端近几年中国市场爆发式的增长，华为终端数据资源在校园网络流量中的占比也越来越高，为此华为在高校推出华为LSN（Local Service Node,本地服务节点）服务项目，技术方案如图2所示，在高校网络中心建设资源节点，方便用户更快速的访问华为终端资源，华为云平台内容引入：包含华为手机终端应用内容、华为云合作伙伴内容、外部客户内容；加速内容：包括但不限于HTTP站点访问、视频点播、视频直播、APP下载、图片、文本等；本地访问：用户访问流量不经过校园网出口，用户在校园网内实现访问；热点预取：提前将网络中热点资源缓存至本地，实现本地缓存的智能化和高质量；数据预热：允许用户对特别关注的内容进行提前数据预热，保证重点内容的访问效果；实现网络内容“一次获取，多次利用”，网络内容的本地交付能够实现网络流量本地化，从而减少用户访问网络内容对出口带宽的占用。

部署与实施

在本例中主要是利用校园网自建智能DNS的前置调度策略和域名劫持技术对华为云域名优先解析至特定的地址（华为云调度中心GSLB），华为云调度中心根据解析请求，返回指向校园网内网华为LSN的A记录给校园网请求用户，用户直接从校园网内部获取请求资源。

1.华为LSN调度与组网

校园网在自建智能DNS做域名劫持，将华为云域名加入透明代理例外列表，针对华为云域名解析请求转发给特定的地址（华为云调度中心GSLB），校园网将其自建智能DNS出网地址告诉华为，华为在调度中心上报备；调度中心针对来自校园网地址的解析请求，返回指向校园网内网LSN的A记录给校园网DNS请求用户，用户访问LSN，具体调度如图3所示。

图3 华为LSN调度图

图4 华为LSN组图和业务流

图5 测试窗口

如图4华为LSN组图和业务流，其中管理流：LSN的管理私网地址和华为云管理中心私网地址跨公网隧道打通，校园网分配一个做隧道的公网地址给LSN，并在内网安全设备上放开GRE协议号47；管理流流量小，出网可走教育网或三大运营商；内网用户访问流：LSN配置校园网分配的业务私网地址需要被内网用户（宿舍、办公区、校园WiFi）访问；LSN回源流：LSN通过校园网已有的源NAT出网回源；回源走校园网接入的的三大电信运营商或教育网带宽；域名劫持流：校园网自建智能DNS上针对华为云域名转发到华为云管理中心，华为云中心针对来自学校的解析请求返回A记录指向学校LSN。

2.智能DNS调度配置

在智能DNS配置前置调度策略（优先代理策略），将华为云域名集解析至华为云DNS服务器139.159.208.43及139.159.208.46。使用NSLO OKUP进行测试，结果如图5所示，表示成功实现域名劫持。此外还有一点需要特别注意，校园网内网若有Cache系统，必须将华为域名集加入Cache黑名单，防止被校园网Cache劫持出线302/502的错误。