2011年第01期，第44卷 通 信 技 術(shù) Vol.44，No.01,2011 總第229

2011年第01期，第44卷 通 信 技 術(shù) Vol.44，No.01,2011 總第229期 Communications Technology No.229,Totally

高校校園網(wǎng)私有DNS 服務(wù)器架設(shè)研究

楊 林， 楊 勇②

（①保山學(xué)院網(wǎng)絡(luò)中心，云南 保山 678000；②云南大學(xué) 網(wǎng)絡(luò)與信息中心，云南 昆明 650021）

①

【摘 要】在高校校園網(wǎng)建設(shè)中，針對(duì)校內(nèi)各種網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)的不斷增多，校園網(wǎng)絡(luò)用戶對(duì)內(nèi)網(wǎng)、外網(wǎng)訪問需要有不同的權(quán)限控制。非常有必要通過架設(shè)私有域名解析服務(wù)器（DNS）的方式來實(shí)現(xiàn)高校校園網(wǎng)內(nèi)、外域名與IP 地址的轉(zhuǎn)換，方便師生通過簡(jiǎn)單易記的層次型域名結(jié)構(gòu)正確地解析到校園網(wǎng)內(nèi)服務(wù)器的IP 地址，順利訪問校園網(wǎng)內(nèi)、外的各種網(wǎng)絡(luò)應(yīng)用服務(wù)，實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)應(yīng)用服務(wù)在速度上、流量控制上有不同的訪問控制策略，達(dá)到高效、安全的訪問目的。

【關(guān)鍵詞】校園網(wǎng)；DNS；解析；架設(shè)；配置

【中圖分類號(hào)】TP393.1 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1002-0802(2011)01-0118-03

Construction of Private DNS Server in university Campus Network

YANG Lin， YANG Yong②

(①Network Center, Baoshan Normal College, Baoshan Yunnan 678000, China；

②Network Center, Yunnan University, Kunmin Yunnan 650021, China)

①

【Abstract】In the construction of campus network, for the rapid development of various network applications services, the campus network user requires different authority limits for the access to the intranet and internent. Thus it is necessary to construct private DNS servers and realize the secure and efficient access to the internal and external application service of the campus network.

【Key words】campus network; DNS; Resolution; construction; configuration

0 引言

實(shí)現(xiàn)高校信息化，首先就需要建立計(jì)算機(jī)校園網(wǎng)絡(luò)，這是高校信息化開始的基礎(chǔ)。目前，絕大多數(shù)高校都已經(jīng)建立或正在升級(jí)自己的校園網(wǎng)。校園網(wǎng)作為當(dāng)今高校實(shí)現(xiàn)信息服務(wù)的基礎(chǔ)設(shè)施，是高校信息化實(shí)施的一個(gè)重要環(huán)節(jié)，也是提高自身管理水平、增強(qiáng)競(jìng)爭(zhēng)力的需要。通過建設(shè)校園網(wǎng)，在校園網(wǎng)內(nèi)部根據(jù)實(shí)際需要建立不同的網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)，實(shí)現(xiàn)教育教學(xué)、辦公現(xiàn)代化和資源的高度共享[1]。

針對(duì)校園網(wǎng)內(nèi)如此眾多的應(yīng)用，如果讓師生訪問這些服務(wù)需要通過輸入IP 地址去訪問，操作起來非常不便。因?yàn)橛脩糨^難記住抽象的IP 地址，再者服務(wù)器的IP 地址一旦變更，網(wǎng)管中心需要通知到每一位師生，工作量大。另外，針對(duì)現(xiàn)在大多數(shù)高校接入互聯(lián)網(wǎng)均采用雙線路，一條出口接入中國(guó)教育科研網(wǎng)，另一條出口接入其它運(yùn)行商（如電信、網(wǎng)通等），這就帶來了一方面由于目前教育網(wǎng)與其它運(yùn)營(yíng)商之間的互

收稿日期：2010-06-13。 作者簡(jiǎn)介：楊 林（1972-），男，副教授，碩士，要研究方向?yàn)橛?jì)算機(jī)

網(wǎng)絡(luò)技術(shù)應(yīng)用；楊 勇（1975-），男，高級(jí)工程師，學(xué)士，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息通信技術(shù)。

聯(lián)互通效果不理想（互聯(lián)帶寬窄、出口少），校園網(wǎng)內(nèi)師生訪問教育網(wǎng)的流量要遠(yuǎn)遠(yuǎn)小于訪問公網(wǎng)的流量，需要通過合理的策略路由、DNS 解析來規(guī)劃不同用戶訪問不同線路資源。另一方面由于光纖難免會(huì)出現(xiàn)物理線路中斷等故障，造成在教育網(wǎng)內(nèi)注冊(cè)的DNS ，分配的網(wǎng)絡(luò)（WEB ）、電子郵箱、文件傳輸控制（FTP ）、視頻點(diǎn)播（VOD ）等服務(wù)器IP 無法訪問或是訪問速度慢，需要利用DNS 進(jìn)行合理轉(zhuǎn)發(fā)[2]。針對(duì)上述存在的兩方面問題，作為網(wǎng)絡(luò)管理人員，如何規(guī)劃與部署DNS 域名解析系統(tǒng)就顯得非常重要了。

1 DNS

1.1 DNS與域名

DNS 是Domain Name Service 的縮寫，它是互聯(lián)網(wǎng)/企業(yè)網(wǎng)中用于提供域名登記和域名轉(zhuǎn)換到IP 地址的一組協(xié)議和服務(wù)[3]。一個(gè)完整的域名由兩個(gè)或兩個(gè)以上部分組成，各部分之間用英文句號(hào)“. ”來分隔，如域名：bsnc.cn ，sina.ca.hk ，bsdj.gov.us 。其中第一個(gè)域名由兩部分組成，第二個(gè)域名和第三個(gè)域名由三部分組成[4]。域名的層次結(jié)構(gòu)如圖1所示。

118

的網(wǎng)站，也沒有其它對(duì)DNS 的特殊需求，則可以考慮不用架設(shè)DNS 。

2.2 從提供的網(wǎng)絡(luò)應(yīng)用服務(wù)和服務(wù)器數(shù)量去考慮

如果校園網(wǎng)內(nèi)提供著較多的網(wǎng)絡(luò)服務(wù)，如WEB 、電子郵箱、FTP 、VOD 等，則應(yīng)考慮配置DNS 。一般而言，網(wǎng)絡(luò)上提供的服務(wù)器數(shù)量越多，就越有必要設(shè)置DNS ，這樣便于為不同服務(wù)器分配不同的域名，實(shí)現(xiàn)用戶方便地通過域名來訪問服務(wù)器。否則，讓用戶準(zhǔn)確地去記住各服務(wù)器的IP 地址，是一件很困難的事。

2.3 從各種應(yīng)用軟件系統(tǒng)對(duì)DNS 的要求程度去考慮

大部分應(yīng)用程序?qū)NS 配置是沒有特別要求的，但也有例外。一些特殊的應(yīng)用軟件在一定的網(wǎng)絡(luò)環(huán)境下，對(duì)DNS 要求必須采用域名結(jié)構(gòu)才能實(shí)現(xiàn)訪問。如有些客戶端/服務(wù)器模式的應(yīng)用系統(tǒng)，在某種情況下必須要求Client 端通過域名才可以訪問Server ，此時(shí)，就需要在校園網(wǎng)內(nèi)配置DNS 服務(wù)器了。

圖1 域名層次結(jié)構(gòu)

1.2 功能與實(shí)現(xiàn)原理

DNS 的主要功能是將域名（網(wǎng)址）轉(zhuǎn)換成不便記憶的IP 地址（此轉(zhuǎn)換稱為正向解析），配置DNS 的主要目的就是通過它去自動(dòng)完成轉(zhuǎn)換IP 地址的整個(gè)過程。DNS 的體系結(jié)構(gòu)決定了外網(wǎng)訪問校園網(wǎng)服務(wù)器的域名解析流程[5]。這里用一個(gè)實(shí)例來說明DNS 的工作原理：

如客戶機(jī)A 的域名地址是http://bsxyyl.wlzx.bsnc.edu.cn，服務(wù)器B 的域名地址是wlzx.bsnc.edu.cn. ，服務(wù)器C 的域名地址是bsnc.edu.cn ，服務(wù)器D 的域名地址是edu.cn. ，服務(wù)器E 是.cn ，根服務(wù)器是E ：。從A 到E ，可以把后面的看作前面的域名服務(wù)器，且每個(gè)服務(wù)器只對(duì)自己區(qū)內(nèi)的機(jī)器提供服務(wù)。比如edu.cn. 為bsnc.edu.cn. 提供服務(wù)，也可能為ynnu.edu.cn. 提供服務(wù)，但是不會(huì)去對(duì)ev.bsnc.edu.cn 服務(wù). ，因?yàn)槟切枰猙snc.edu.cn 提供服務(wù)。

當(dāng)新增加一臺(tái)機(jī)器G （不和A 在一個(gè)區(qū)內(nèi)）要訪問A 時(shí)，它把A 的名字提供給自己的域名服務(wù)器D ，若這個(gè)服務(wù)器D 的緩存中直接有A 的IP 地址，它直接就把A 的IP 地址返回給請(qǐng)求者G ，若沒有它會(huì)去請(qǐng)求別的服務(wù)器。假設(shè)緩存中沒有A 的IP ，D 就會(huì)去訪問E 根服務(wù)器。若E 中依然沒有D 需要的信息，它就會(huì)告訴D ，需要到E 處去，并且把E 的地址給D 。同理，E 處依然沒有，又以類似的方式處理下去。直到D 找到B ，這時(shí)候B 發(fā)現(xiàn)A 在自己的區(qū)內(nèi)，就把A 的IP 地址返回給D 。最后D 再把A 的IP 給G ，并且存入自己的緩存。G 按照這個(gè)IP 就找到了A 。

3 DNS架設(shè)方案

3.1 傳統(tǒng)的解決方案

通常情況下，大多數(shù)的網(wǎng)絡(luò)管理人員都選擇在校園網(wǎng)內(nèi)部部署DNS 服務(wù)器。當(dāng)用戶在瀏覽器中輸入校內(nèi)域名名稱時(shí)，DNS 服務(wù)器將此名稱解析為與其相關(guān)的IP 地址。這就產(chǎn)生了一個(gè)問題：當(dāng)架設(shè)了校園網(wǎng)內(nèi)網(wǎng)DNS ，將客戶端網(wǎng)絡(luò)設(shè)置中的DNS 設(shè)為校園網(wǎng)內(nèi)網(wǎng)DNS 服務(wù)器的IP 地址后，此時(shí)輸入相應(yīng)的校園網(wǎng)內(nèi)部域名時(shí)，可以實(shí)現(xiàn)訪問，但當(dāng)你輸入互域網(wǎng)域名時(shí)，將不能得到正確的解析。因?yàn)樾@網(wǎng)內(nèi)網(wǎng)的DNS 服務(wù)器中沒有互域網(wǎng)域名對(duì)應(yīng)的記錄信息，當(dāng)客戶端向DNS 服務(wù)器提交DNS 查詢時(shí)，服務(wù)器無法提供相應(yīng)記錄給客戶，造成不能解析[7]。這表示，使用這種方法來解析校園內(nèi)、外網(wǎng)域名，就存在只能解析校園內(nèi)DNS 注冊(cè)過的域名，而無法解析外網(wǎng)域名。

另外，對(duì)于接入雙線路或多線路的高校而言，DNS 的設(shè)置不當(dāng)將形成數(shù)據(jù)訪問出口迂回曲折造成域名解析速度慢，流量只通過一條線路造成網(wǎng)絡(luò)帶寬負(fù)載不均衡。 3.2 改進(jìn)的解決方案

針對(duì)傳統(tǒng)方法解析域名存在的問題，必須使用相應(yīng)辦法來保證校園網(wǎng)內(nèi)、外域名均可被解析，流量能被得到合理 控制。

（1）啟用DNS 轉(zhuǎn)發(fā)器

解決思路是當(dāng)網(wǎng)絡(luò)用戶端向DNS 服務(wù)器提交DNS 查詢時(shí)，而服務(wù)器卻查詢不到相應(yīng)記錄，就將解析要求轉(zhuǎn)發(fā)至外網(wǎng)的DNS 服務(wù)器去進(jìn)行，這樣就可以完成域名解析，關(guān)鍵點(diǎn)是需要能實(shí)現(xiàn)DNS 的轉(zhuǎn)發(fā)。將校園網(wǎng)內(nèi)網(wǎng)的DNS 服務(wù)器配置成能進(jìn)行DNS 轉(zhuǎn)發(fā)的具體操作步驟如下：

啟動(dòng)DNS 控制臺(tái)（“開始→管理工具→DNS ”），出現(xiàn)如圖2所示的DNS 控制臺(tái)界面。

119

2 配置DNS 服務(wù)器的必要性

在建設(shè)校園網(wǎng)過程中，確定是否需要配置DNS 服務(wù)器是高校校園網(wǎng)規(guī)劃過程中很重要的一環(huán)。并不是所有的高校校園網(wǎng)都需要架設(shè)DNS 服務(wù)器，一般認(rèn)為只有在高校對(duì)DNS 服務(wù)有需求時(shí)才架設(shè)[6]。

2.1 從組織機(jī)構(gòu)復(fù)雜程度和學(xué)校的整體規(guī)模去考慮

如果高校組織機(jī)構(gòu)較復(fù)雜，規(guī)模較大，各個(gè)系、部門有各自的網(wǎng)站。這時(shí)就要考慮配置DNS ，以便讓各個(gè)部門有自己獨(dú)立的域名，方便師生員工對(duì)他們服務(wù)器的訪問。反之，如果內(nèi)部組織機(jī)構(gòu)簡(jiǎn)單，規(guī)模小，且各系、部門還沒有獨(dú)立

然后又通過對(duì)源IP 偵測(cè)頁(yè)面的判斷，返回給用戶真正的服務(wù)器地址。下面以思科路由器設(shè)備為例配置一條策略路由：

Int f1/3 description DNS

ip add 202. 197.*. 1 255. 255. 255. 0

圖2 DNS控制臺(tái)

在DNS 控制臺(tái)中選中相應(yīng)的DNS 服務(wù)器，點(diǎn)擊鼠標(biāo)右鍵選擇“屬性”，出現(xiàn)如圖3所示界面。點(diǎn)擊“轉(zhuǎn)發(fā)器”選項(xiàng)卡，在“IP 地址列表框”中輸入外網(wǎng)DNS 服務(wù)器的IP 地址（如設(shè)為云南昆明鐵通公司網(wǎng)絡(luò)的DNS 服務(wù)器IP 地址211.98.72.8），單擊“添加”，將IP 地址加入列表。如果有多個(gè)DNS 服務(wù)器IP 地址可一并加入。最后單擊“確定”完成設(shè)置。

ip policy route-mapwww

access-list 1 permit 222. 56.127.* 192.255.255. 255 route-mapwww permit10

match ip address 4 set ip defaultnext-hop 222.56.*.*

4 結(jié)語

多出口校園網(wǎng)通過采用相應(yīng)配置策略，充分利用轉(zhuǎn)發(fā)與第二出口鏈路的帶寬，使校園網(wǎng)的域名解析速度得到明顯的提高[10]。同時(shí)當(dāng)?shù)谝怀隹谥袛鄷r(shí)，還能保證本地DNS 通過第二出口鏈路實(shí)現(xiàn)外部互聯(lián)網(wǎng)域名的解析，保障用戶對(duì)外上網(wǎng)訪問的正常進(jìn)行。

參考文獻(xiàn)

[1] 王小平．改進(jìn)校園網(wǎng)內(nèi)網(wǎng)域名解析DNS[J]．中國(guó)電腦教育報(bào),

2003(G03)：22-23.

[2] 于長(zhǎng)虹．校園網(wǎng)雙線接入的DNS 應(yīng)用研究[J]．洛陽師范學(xué)院學(xué)

報(bào),2009,4(02)：106-108.

[3] 于存江，李克明．WINDOWS SERVER 中DNS 的層次結(jié)構(gòu)和名稱解析的

實(shí)現(xiàn)[J]．長(zhǎng)春大學(xué)學(xué)報(bào),2008(01)：51-53.

圖3 DNS轉(zhuǎn)發(fā)器

通過上述設(shè)置，可以在內(nèi)網(wǎng)不斷增加新的校園網(wǎng)內(nèi)域名，不用擔(dān)心對(duì)外網(wǎng)的域名解析造成影響。但這種方式存在一旦外網(wǎng)DNS 發(fā)生改變，網(wǎng)管就需要及時(shí)更新DNS 轉(zhuǎn)發(fā)IP 地址，否則容易導(dǎo)致更新不及時(shí)而無法訪問外網(wǎng)域名[8]。

（2）使用策略路由輔助DNS 解析

一方面通過在校園網(wǎng)絡(luò)中心的核心和出口設(shè)備上配置上策略路由，實(shí)現(xiàn)校園網(wǎng)上主服務(wù)器大流量從帶寬高的出口進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)，另一方面在操作系統(tǒng)上配置智能解析DNS 服務(wù)器，實(shí)現(xiàn)主服務(wù)器與鏡像服務(wù)器共存，各自有不同的IP 地址[9]。當(dāng)外網(wǎng)用戶訪問校園網(wǎng)主網(wǎng)站時(shí)，首先訪問的是DNS 服務(wù)器上通過互聯(lián)網(wǎng)信息服務(wù)管理程序設(shè)置的跳轉(zhuǎn)頁(yè)面， （上接第117頁(yè)）

路，解決了在測(cè)量路徑兩端無法部署測(cè)量設(shè)施的問題。這里首先介紹了此方法的基本思想，然后理論分析方法的可行性，最后通過在NS2不同背景流量下的仿真表明該方法準(zhǔn)確有效。

參考文獻(xiàn)

[1] 楊家海，吳建平，安常青.互聯(lián)網(wǎng)絡(luò)測(cè)量理論與應(yīng)用[M] 北京：人民

郵電出版社，2009：131-145.

[2] KHALED HARFOUSH,AZER BESTAVROS,JOHN BYTERS. Measuring

Capacity Bandwidth of Targeted Path Segments[J]. IEEE/ACM

[4] 周利利,張平,梁祖華.IPv4/IPv6過渡技術(shù)在校園網(wǎng)中的應(yīng)用[J].

通信技術(shù),2009,42(02)：212-214.

[5] 劉建，陽璽．IPv6 DNS服務(wù)器管理機(jī)制研究[J]．通信技術(shù), 2007,

40(12)：313-315.

[6] 陳麗華．企業(yè)組網(wǎng)的DNS 規(guī)劃[J]．電子科技,2006(08)：73-75. [7] 李金攻，張平，陳繼光．基于NAT-PT 簇的集中式動(dòng)態(tài)負(fù)載均衡的研

究[J]．通信技術(shù),2009,42(04)：79-81.

[8] 李孜．雙出口校園網(wǎng)的DNS 解析策略與實(shí)現(xiàn)[J]．電腦知識(shí)與技

術(shù),2007(08)：364-366.

[9] 譚明佳．DNS 技術(shù)的應(yīng)用分析[J]．計(jì)算機(jī)工程與設(shè)計(jì), 2004,25(04)：

596-598.

[10] 張啟峰．多出口校園網(wǎng)域名解析探討[J]．通信技術(shù), 2010,43(08)：

7-8 11.

Transactions on Networking,2009,2(17):80-92.

[3] KEVIN LAI,MARY BAKER. Measuring Link Bandwidths Using a

Deterministic Model of Packet Delay[J].ACM SIGCOMM Computer Communication Review.2000,30(04):283-294.

[4] 聶玉婷，高仲合.單向?qū)嶒?yàn)測(cè)量中的時(shí)鐘同步問題[J].通信技術(shù),

2009，42(10):125-127.

[5] 韓賓，黃玉清，梁靚.可用帶寬測(cè)量算法改進(jìn)[J].通信技術(shù),

2009,42(04):90-92.

[6] 何 莉,余順爭(zhēng). 一種測(cè)量任意鏈路可用帶寬的方法[J]. 軟件學(xué)報(bào),

2009,20(04):997-1013.

120