邊永濤(中國(guó)礦業(yè)大學(xué)現(xiàn)代教育技術(shù)中心，江蘇 徐州 221008)摘 要 采用智能DNS 策略解析，結(jié)合電信防火墻上的靜態(tài)NAT ，解決了校園網(wǎng)雙出口通路中公網(wǎng)對(duì)校內(nèi)服務(wù)器訪問(wèn)慢的問(wèn)題。關(guān)鍵詞 智能DN

邊永濤

(中國(guó)礦業(yè)大學(xué)現(xiàn)代教育技術(shù)中心，江蘇 徐州 221008)

摘 要 采用智能DNS 策略解析，結(jié)合電信防火墻上的靜態(tài)NAT ，解決了校園網(wǎng)雙出口通路中公網(wǎng)對(duì)校內(nèi)服務(wù)器訪問(wèn)慢的問(wèn)題。

關(guān)鍵詞 智能DNS ；策略解析；BIND ；VIEW ；ACL

1 引言

由于CERNET 和CHINANET 之間橋接的帶寬瓶頸問(wèn)題，以及校園網(wǎng)單一出口的可靠性等問(wèn)題，當(dāng)前很多高校普遍采用同時(shí)接入教育網(wǎng)（CERNET ）和電信網(wǎng)（CHINANET ）的雙出口方案，以提高校園網(wǎng)對(duì)公網(wǎng)的訪問(wèn)速度和降低網(wǎng)絡(luò)使用費(fèi)用。

通過(guò)采用雙出口，校園網(wǎng)訪問(wèn)公網(wǎng)速度慢的問(wèn)題得到解決，但反過(guò)來(lái)公網(wǎng)訪問(wèn)校園網(wǎng)慢的問(wèn)題卻更加突出了。正常情況下校園網(wǎng)服務(wù)器使用的是教育網(wǎng)的域名和IP 地址，所有對(duì)校園網(wǎng)服務(wù)器的訪問(wèn)都要走CERNET 鏈路，因此，盡管校園網(wǎng)擁有高速的CHINANET 鏈路，但公網(wǎng)用戶卻只能通過(guò)有著帶寬瓶頸的教育鏈路才能訪問(wèn)到校園網(wǎng)的資源，這無(wú)疑是對(duì)CHINANET 出口鏈路的嚴(yán)重浪費(fèi)。如果再增加一套域名和服務(wù)器是能夠解決這個(gè)問(wèn)題，但會(huì)增加額外的經(jīng)費(fèi)支出，同時(shí)校園網(wǎng)的域名也變得不再統(tǒng)一。中國(guó)礦業(yè)大學(xué)網(wǎng)絡(luò)中心通過(guò)在電信防火墻上設(shè)置靜態(tài)NAT ，在DNS 服務(wù)器上采取基于策略的域名解析服務(wù)，比較完善地解決了這一問(wèn)題。

2 中國(guó)礦業(yè)大學(xué)校園網(wǎng)絡(luò)基本情況介紹

我校校園網(wǎng)現(xiàn)有電信和教育科研網(wǎng)兩個(gè)出口。具體網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 網(wǎng)絡(luò)拓?fù)?/p>

Cisco6513提供核心交換服務(wù)，Cisco6503作為邊界路由器，并由其防火墻模塊虛擬出電信和教育兩個(gè)防火墻，提供安全保障。教育出口具備1G 物理帶寬，由于教育網(wǎng)帶寬限制，實(shí)際只有150M 。電信出口則具備1G 帶寬。

3 校內(nèi)用戶對(duì)校外訪問(wèn)路由設(shè)置

校內(nèi)用戶對(duì)外網(wǎng)的訪問(wèn)，可以基于路由設(shè)置。教育防火墻IP 地址是192.168.200.6，電信防火墻地址192.168.200.2。具體路由配置情況如下所示。

ip route 0.0.0.0 0.0.0.0 192.168.200.2

ip route 58.154.0.0 255.254.0.0 192.168.200.6

ip route 58.192.0.0 255.254.0.0 192.168.200.6

ip route 58.194.0.0 255.254.0.0 192.168.200.6

ip route 58.196.0.0 255.254.0.0 192.168.200.6

ip route 58.198.0.0 255.254.0.0 192.168.200.6

ip route 58.200.0.0 255.248.0.0 192.168.200.6

……（表太大，限于篇幅只截取一部分，以下引用資料同此處）

用戶訪問(wèn)外網(wǎng)，邊界路由器Cisco6503首先判斷目的地址屬于哪個(gè)網(wǎng)絡(luò)，如果是58.194.0.0這樣的教育網(wǎng)段，路由器會(huì)把數(shù)據(jù)包轉(zhuǎn)發(fā)到教育防火墻，如果目的地址不在教育網(wǎng)路由之列，路由器會(huì)采用缺省路由ip route 0.0.0.0 0.0.0.0 192.168.200.2，將數(shù)據(jù)包轉(zhuǎn)發(fā)到電信防火墻。

4 公網(wǎng)訪問(wèn)校內(nèi)資源存在的問(wèn)題

通過(guò)上述靜態(tài)路由設(shè)置，解決了校內(nèi)用戶訪問(wèn)外網(wǎng)的問(wèn)題。但是，公網(wǎng)用戶訪問(wèn)校內(nèi)資源，卻存在一個(gè)舍近求遠(yuǎn)的問(wèn)題。

傳統(tǒng)上，由于教育網(wǎng)與公網(wǎng)資源的不開放性，致使兩種網(wǎng)絡(luò)之間的互訪存在問(wèn)題。各地區(qū)電信跟當(dāng)?shù)匦@網(wǎng)一般都有對(duì)接，但是公網(wǎng)用戶在訪問(wèn)校園網(wǎng)資源時(shí)，卻沒(méi)有直接到校園網(wǎng)的路由，數(shù)據(jù)一般要繞道教育網(wǎng)鏈路，必然導(dǎo)致公網(wǎng)用戶訪問(wèn)校園網(wǎng)資源比較慢。

5 公網(wǎng)訪問(wèn)校內(nèi)資源的解決方法

為了解決這個(gè)問(wèn)題，針對(duì)校園網(wǎng)服務(wù)器，可以在電信防火墻做靜態(tài)NAT ，由NDS 服務(wù)器對(duì)校內(nèi)用戶與校外用戶分別提供不同的域名解析服務(wù)。

以校園網(wǎng)BBS 為例。服務(wù)器域名為bbs.cumt.edu.cn ，內(nèi)網(wǎng)IP 地址為202.119.199.87，公網(wǎng)地址為58.218.185.13。我們希望內(nèi)網(wǎng)用戶訪問(wèn)www 服務(wù)器直接訪問(wèn)202.119.199.87，公網(wǎng)用戶訪問(wèn)BBS 服務(wù)器直接訪問(wèn)公網(wǎng)地址58.218.185.13，這樣通過(guò)一對(duì)一的NA T 實(shí)現(xiàn)了對(duì)教育網(wǎng)IP 地址202.119.199.87的直接訪問(wèn)，相當(dāng)于給這些服務(wù)器開了直通車，避免了公網(wǎng)用戶訪問(wèn)數(shù)據(jù)的繞行。

5.1 NAT 設(shè)置

首先，在電信防火墻上做內(nèi)網(wǎng)服務(wù)器IP 地址的靜態(tài)NA T ，將內(nèi)網(wǎng)服務(wù)器IP 與公網(wǎng)IP 地址做一一對(duì)應(yīng)。

static (inside，outside) 58.218.185.3 202.119.200.138 netmask 255.255.255.255

static (inside，outside) 58.218.185.11 202.119.200.139 netmask 255.255.255.255

static (inside，outside) 58.218.185.12 202.119.199.17 netmask 255.255.255.255

static (inside，outside) 58.218.185.13 202.119.199.87 netmask 255.255.255.255

static (inside，outside) 58.218.185.14 202.119.199.112 netmask 255.255.255.255

static (inside，outside) 58.218.185.16 202.119.199.114 netmask 255.255.255.255

static (inside，outside) 58.218.185.41 219.219.76.2 netmask 255.255.255.255

static (inside，outside) 58.218.185.42 219.219.77.5 netmask 255.255.255.255

static (inside，outside) 58.218.185.43 219.219.33.222 netmask 255.255.255.255

static (inside，outside) 58.218.185.44 219.219.75.194 netmask 255.255.255.255

static (inside，outside) 58.218.185.45 219.219.32.8 netmask 255.255.255.255

static (inside，outside) 58.218.185.46 219.219.34.2 netmask 255.255.255.255

……

5.2 智能DNS 設(shè)置

Unix ／Linux 下的DNS 服務(wù)軟件采用Berkeley 的BIND （Berkeley Internet Name Domain）程序。BIND 8或者以前的版本無(wú)法實(shí)現(xiàn)策略域名解析，從BIND 9開始具備View 語(yǔ)句，可以很好地解決這個(gè)問(wèn)題。在BIND 主配置文件named.conf 中使用訪問(wèn)控制列表（ACL ），限制允許查詢的主機(jī)列表，采用View 語(yǔ)句配置分離DNS 。

5.2.1 named.conf文件設(shè)置

[root@cumtdns2 named]# more /etc/named.conf

定義數(shù)據(jù)文件存放路徑

options {

directory ”/var/named”；

}；

配置名稱為“CERNET”的ACL ，列出所有教育科研網(wǎng)段

acl ”CERNET” {

58.154.0.0/15；

58.192.0.0/12；

59.64.0.0/12；

116.13.0.0/16；

116.56.0.0/15；

118.202.0.0/15；

118.228.0.0/15；

118.230.0.0/16；

121.48.0.0/15；

121.52.160.0/19；

121.192.0.0/14；

121.248.0.0/14；

122.204.0.0/14；

125.216.0.0/13；

162.105.0.0/16；

……

}；

定義名為view_cernet的view

view ”view_cernet” {

match-clients { CERNET； }；#允許CERNET 用戶看到view_cernet

zone ”.” IN {

type hint；

file ”named.ca”；

}；

zone ”localhost” IN {

type master；

file ”localhost.zone”；

allow-update { none； }；

}；

zone ”0.0.127.in-addr.arpa” IN {

type master；

file ”named.local”；

}；

zone ”cumt.edu.cn” IN {

type master；

file ”cumt_cernet”； #教育網(wǎng)解析文件

}；

}；

定義名為view_any的view

view ”view_any” {

match-clients { any； }；#匹配公網(wǎng)用戶的訪問(wèn)

zone ”.” IN {

type hint；

file ”named.ca”；

}；

zone ”localhost” IN {

type master；

file ”localhost.zone”；

allow-update { none； }；

}；

zone ”0.0.127.in-addr.arpa” IN {

type master；

file ”named.local”；

}；

zone ”cumt.edu.cn” IN {

type master；

file ”cumtctc”；#公網(wǎng)解析文件

}；

}；

5.2.2 配置cumt_cernet教育網(wǎng)解析文件

[root@cumtdns2 etc]# more /var/named/chroot/var/named/ cumt_cernet

cumt_cernet部分配置文件如下：

cace IN A 219.219.76.2

cese IN A 219.219.77.5

cmee IN A 219.219.33.222

siee IN A 219.219.75.194

sres IN A 219.219.32.8

scet IN A 219.219.34.2

www IN A 202.119.200.139

bbs IN A 202.119.199.87

info IN A 219.219.72.117

art IN A 219.219.38.2

mail IN A 202.119.199.17

lib IN A 121.248.104.140

……

5.2.3 配置cumtctc 公網(wǎng)解析文件

圖2 內(nèi)外網(wǎng)訪問(wèn)測(cè)試

[root@cumtdns2 etc]# more /var/named/chroot/var/named/ cumtctc

cumtctc 部分配置文件如下：

cace IN A 58.218.185.41

cese IN A 58.218.185.103

cmee IN A 58.218.185.43

siee IN A 58.218.185.44

sres IN A 58.218.185.45

scet IN A 58.218.185.46

www IN A 58.218.185.11

bbs IN A 58.218.185.13

info IN A 58.218.185.61

art IN A 58.218.185.54

mail IN A 58.218.185.12

lib IN A 58.218.185.72

……

這樣配置完成，策略域名就可以正常工作了。其中教育網(wǎng)的網(wǎng)段列表可以從教育科研網(wǎng)（http ：//www.edu.cn/）獲取。

以BBS 服務(wù)器為例，分別采用校內(nèi)DNS （202.119.200. 10）與電信DNS （61.147.37.1）進(jìn)行解析，結(jié)果如圖2 所示。

6 結(jié)論

成功實(shí)現(xiàn)對(duì)來(lái)自公網(wǎng)和教育網(wǎng)用戶的智能DNS 策略解析，解決了公網(wǎng)訪問(wèn)校園網(wǎng)速度慢這一長(zhǎng)期困擾我們的問(wèn)題。采用本方案后，公網(wǎng)用戶對(duì)中國(guó)礦業(yè)大學(xué)校園網(wǎng)服務(wù)器的訪問(wèn)速度有了顯著提高。

參考文獻(xiàn)

[1]思科網(wǎng)絡(luò)技術(shù)學(xué)院教程. 美.cisco system公司.cisco networking academy program著

[2]http：//void.skygate.cn/post/300/1586

[3]http：//publish.it168.com/2007/0615/20070615065101. shtml

[4]http：//hi.baidu.com/openx/blog/item/ 41520cdfc17512 126227987d. html

[5]http：//hi.baidu.com/lqlboy/blog/item/659fb70e7b6462 e737d1224c.html

收稿日期：６月２３日 修改日期：６月３０日

作者簡(jiǎn)介：邊永濤（1979-），男，山東萊蕪人，助教，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。