邊永濤(中國礦業(yè)大學現(xiàn)代教育技術中心，江蘇 徐州 221008)摘 要 采用智能DNS 策略解析，結合電信防火墻上的靜態(tài)NAT ，解決了校園網(wǎng)雙出口通路中公網(wǎng)對校內(nèi)服務器訪問慢的問題。關鍵詞 智能DN

邊永濤

(中國礦業(yè)大學現(xiàn)代教育技術中心，江蘇 徐州 221008)

摘 要 采用智能DNS 策略解析，結合電信防火墻上的靜態(tài)NAT ，解決了校園網(wǎng)雙出口通路中公網(wǎng)對校內(nèi)服務器訪問慢的問題。

關鍵詞 智能DNS ；策略解析；BIND ；VIEW ；ACL

1 引言

由于CERNET 和CHINANET 之間橋接的帶寬瓶頸問題，以及校園網(wǎng)單一出口的可靠性等問題，當前很多高校普遍采用同時接入教育網(wǎng)（CERNET ）和電信網(wǎng)（CHINANET ）的雙出口方案，以提高校園網(wǎng)對公網(wǎng)的訪問速度和降低網(wǎng)絡使用費用。

通過采用雙出口，校園網(wǎng)訪問公網(wǎng)速度慢的問題得到解決，但反過來公網(wǎng)訪問校園網(wǎng)慢的問題卻更加突出了。正常情況下校園網(wǎng)服務器使用的是教育網(wǎng)的域名和IP 地址，所有對校園網(wǎng)服務器的訪問都要走CERNET 鏈路，因此，盡管校園網(wǎng)擁有高速的CHINANET 鏈路，但公網(wǎng)用戶卻只能通過有著帶寬瓶頸的教育鏈路才能訪問到校園網(wǎng)的資源，這無疑是對CHINANET 出口鏈路的嚴重浪費。如果再增加一套域名和服務器是能夠解決這個問題，但會增加額外的經(jīng)費支出，同時校園網(wǎng)的域名也變得不再統(tǒng)一。中國礦業(yè)大學網(wǎng)絡中心通過在電信防火墻上設置靜態(tài)NAT ，在DNS 服務器上采取基于策略的域名解析服務，比較完善地解決了這一問題。

2 中國礦業(yè)大學校園網(wǎng)絡基本情況介紹

我校校園網(wǎng)現(xiàn)有電信和教育科研網(wǎng)兩個出口。具體網(wǎng)絡拓撲如圖1所示。

圖1 網(wǎng)絡拓撲

Cisco6513提供核心交換服務，Cisco6503作為邊界路由器，并由其防火墻模塊虛擬出電信和教育兩個防火墻，提供安全保障。教育出口具備1G 物理帶寬，由于教育網(wǎng)帶寬限制，實際只有150M 。電信出口則具備1G 帶寬。

3 校內(nèi)用戶對校外訪問路由設置

校內(nèi)用戶對外網(wǎng)的訪問，可以基于路由設置。教育防火墻IP 地址是192.168.200.6，電信防火墻地址192.168.200.2。具體路由配置情況如下所示。

ip route 0.0.0.0 0.0.0.0 192.168.200.2

ip route 58.154.0.0 255.254.0.0 192.168.200.6

ip route 58.192.0.0 255.254.0.0 192.168.200.6

ip route 58.194.0.0 255.254.0.0 192.168.200.6

ip route 58.196.0.0 255.254.0.0 192.168.200.6

ip route 58.198.0.0 255.254.0.0 192.168.200.6

ip route 58.200.0.0 255.248.0.0 192.168.200.6

……（表太大，限于篇幅只截取一部分，以下引用資料同此處）

用戶訪問外網(wǎng)，邊界路由器Cisco6503首先判斷目的地址屬于哪個網(wǎng)絡，如果是58.194.0.0這樣的教育網(wǎng)段，路由器會把數(shù)據(jù)包轉(zhuǎn)發(fā)到教育防火墻，如果目的地址不在教育網(wǎng)路由之列，路由器會采用缺省路由ip route 0.0.0.0 0.0.0.0 192.168.200.2，將數(shù)據(jù)包轉(zhuǎn)發(fā)到電信防火墻。

4 公網(wǎng)訪問校內(nèi)資源存在的問題

通過上述靜態(tài)路由設置，解決了校內(nèi)用戶訪問外網(wǎng)的問題。但是，公網(wǎng)用戶訪問校內(nèi)資源，卻存在一個舍近求遠的問題。

傳統(tǒng)上，由于教育網(wǎng)與公網(wǎng)資源的不開放性，致使兩種網(wǎng)絡之間的互訪存在問題。各地區(qū)電信跟當?shù)匦@網(wǎng)一般都有對接，但是公網(wǎng)用戶在訪問校園網(wǎng)資源時，卻沒有直接到校園網(wǎng)的路由，數(shù)據(jù)一般要繞道教育網(wǎng)鏈路，必然導致公網(wǎng)用戶訪問校園網(wǎng)資源比較慢。

5 公網(wǎng)訪問校內(nèi)資源的解決方法

為了解決這個問題，針對校園網(wǎng)服務器，可以在電信防火墻做靜態(tài)NAT ，由NDS 服務器對校內(nèi)用戶與校外用戶分別提供不同的域名解析服務。

以校園網(wǎng)BBS 為例。服務器域名為bbs.cumt.edu.cn ，內(nèi)網(wǎng)IP 地址為202.119.199.87，公網(wǎng)地址為58.218.185.13。我們希望內(nèi)網(wǎng)用戶訪問www 服務器直接訪問202.119.199.87，公網(wǎng)用戶訪問BBS 服務器直接訪問公網(wǎng)地址58.218.185.13，這樣通過一對一的NA T 實現(xiàn)了對教育網(wǎng)IP 地址202.119.199.87的直接訪問，相當于給這些服務器開了直通車，避免了公網(wǎng)用戶訪問數(shù)據(jù)的繞行。

5.1 NAT 設置

首先，在電信防火墻上做內(nèi)網(wǎng)服務器IP 地址的靜態(tài)NA T ，將內(nèi)網(wǎng)服務器IP 與公網(wǎng)IP 地址做一一對應。

static (inside，outside) 58.218.185.3 202.119.200.138 netmask 255.255.255.255

static (inside，outside) 58.218.185.11 202.119.200.139 netmask 255.255.255.255

static (inside，outside) 58.218.185.12 202.119.199.17 netmask 255.255.255.255

static (inside，outside) 58.218.185.13 202.119.199.87 netmask 255.255.255.255

static (inside，outside) 58.218.185.14 202.119.199.112 netmask 255.255.255.255

static (inside，outside) 58.218.185.16 202.119.199.114 netmask 255.255.255.255

static (inside，outside) 58.218.185.41 219.219.76.2 netmask 255.255.255.255

static (inside，outside) 58.218.185.42 219.219.77.5 netmask 255.255.255.255

static (inside，outside) 58.218.185.43 219.219.33.222 netmask 255.255.255.255

static (inside，outside) 58.218.185.44 219.219.75.194 netmask 255.255.255.255

static (inside，outside) 58.218.185.45 219.219.32.8 netmask 255.255.255.255

static (inside，outside) 58.218.185.46 219.219.34.2 netmask 255.255.255.255

……

5.2 智能DNS 設置

Unix ／Linux 下的DNS 服務軟件采用Berkeley 的BIND （Berkeley Internet Name Domain）程序。BIND 8或者以前的版本無法實現(xiàn)策略域名解析，從BIND 9開始具備View 語句，可以很好地解決這個問題。在BIND 主配置文件named.conf 中使用訪問控制列表（ACL ），限制允許查詢的主機列表，采用View 語句配置分離DNS 。

5.2.1 named.conf文件設置

[root@cumtdns2 named]# more /etc/named.conf

定義數(shù)據(jù)文件存放路徑

options {

directory ”/var/named”；

}；

配置名稱為“CERNET”的ACL ，列出所有教育科研網(wǎng)段

acl ”CERNET” {

58.154.0.0/15；

58.192.0.0/12；

59.64.0.0/12；

116.13.0.0/16；

116.56.0.0/15；

118.202.0.0/15；

118.228.0.0/15；

118.230.0.0/16；

121.48.0.0/15；

121.52.160.0/19；

121.192.0.0/14；

121.248.0.0/14；

122.204.0.0/14；

125.216.0.0/13；

162.105.0.0/16；

……

}；

定義名為view_cernet的view

view ”view_cernet” {

match-clients { CERNET； }；#允許CERNET 用戶看到view_cernet

zone ”.” IN {

type hint；

file ”named.ca”；

}；

zone ”localhost” IN {

type master；

file ”localhost.zone”；

allow-update { none； }；

}；

zone ”0.0.127.in-addr.arpa” IN {

type master；

file ”named.local”；

}；

zone ”cumt.edu.cn” IN {

type master；

file ”cumt_cernet”； #教育網(wǎng)解析文件

}；

}；

定義名為view_any的view

view ”view_any” {

match-clients { any； }；#匹配公網(wǎng)用戶的訪問

zone ”.” IN {

type hint；

file ”named.ca”；

}；

zone ”localhost” IN {

type master；

file ”localhost.zone”；

allow-update { none； }；

}；

zone ”0.0.127.in-addr.arpa” IN {

type master；

file ”named.local”；

}；

zone ”cumt.edu.cn” IN {

type master；

file ”cumtctc”；#公網(wǎng)解析文件

}；

}；

5.2.2 配置cumt_cernet教育網(wǎng)解析文件

[root@cumtdns2 etc]# more /var/named/chroot/var/named/ cumt_cernet

cumt_cernet部分配置文件如下：

cace IN A 219.219.76.2

cese IN A 219.219.77.5

cmee IN A 219.219.33.222

siee IN A 219.219.75.194

sres IN A 219.219.32.8

scet IN A 219.219.34.2

www IN A 202.119.200.139

bbs IN A 202.119.199.87

info IN A 219.219.72.117

art IN A 219.219.38.2

mail IN A 202.119.199.17

lib IN A 121.248.104.140

……

5.2.3 配置cumtctc 公網(wǎng)解析文件

圖2 內(nèi)外網(wǎng)訪問測試

[root@cumtdns2 etc]# more /var/named/chroot/var/named/ cumtctc

cumtctc 部分配置文件如下：

cace IN A 58.218.185.41

cese IN A 58.218.185.103

cmee IN A 58.218.185.43

siee IN A 58.218.185.44

sres IN A 58.218.185.45

scet IN A 58.218.185.46

www IN A 58.218.185.11

bbs IN A 58.218.185.13

info IN A 58.218.185.61

art IN A 58.218.185.54

mail IN A 58.218.185.12

lib IN A 58.218.185.72

……

這樣配置完成，策略域名就可以正常工作了。其中教育網(wǎng)的網(wǎng)段列表可以從教育科研網(wǎng)（http ：//www.edu.cn/）獲取。

以BBS 服務器為例，分別采用校內(nèi)DNS （202.119.200. 10）與電信DNS （61.147.37.1）進行解析，結果如圖2 所示。

6 結論

成功實現(xiàn)對來自公網(wǎng)和教育網(wǎng)用戶的智能DNS 策略解析，解決了公網(wǎng)訪問校園網(wǎng)速度慢這一長期困擾我們的問題。采用本方案后，公網(wǎng)用戶對中國礦業(yè)大學校園網(wǎng)服務器的訪問速度有了顯著提高。

參考文獻

[1]思科網(wǎng)絡技術學院教程. 美.cisco system公司.cisco networking academy program著

[2]http：//void.skygate.cn/post/300/1586

[3]http：//publish.it168.com/2007/0615/20070615065101. shtml

[4]http：//hi.baidu.com/openx/blog/item/ 41520cdfc17512 126227987d. html

[5]http：//hi.baidu.com/lqlboy/blog/item/659fb70e7b6462 e737d1224c.html

收稿日期：６月２３日 修改日期：６月３０日

作者簡介：邊永濤（1979-），男，山東萊蕪人，助教，主要研究方向：計算機網(wǎng)絡安全。