第31卷第3期2010年5月喀什師范學(xué)院學(xué)報(bào)Journal of Kashgar Teachers College Vol．32No．3May 2011基于智能DNS 的雙線路雙IP 校園網(wǎng)雙出口方案

第31卷第3期2010年5月喀什師范學(xué)院學(xué)報(bào)

Journal of Kashgar Teachers College Vol．32No．3May 2011

基于智能DNS 的雙線路雙IP 校園網(wǎng)

雙出口方案的設(shè)計(jì)與實(shí)現(xiàn)

皮宗輝

（喀什師范學(xué)院網(wǎng)絡(luò)中心，新疆喀什844008）

摘

要：針對校園網(wǎng)雙出口問題，提出了一種基于智能DNS 的雙線路、雙IP 與策略路由相結(jié)合的技術(shù)，根據(jù)用戶

訪問來源設(shè)定動態(tài)路由，使用戶數(shù)據(jù)流按來源接口進(jìn)出，高效解決了公網(wǎng)對校內(nèi)資源訪問的速度慢甚至無法訪問的問題，提高了公網(wǎng)訪問校內(nèi)資源的速度．關(guān)鍵詞：智能DNS ；校園網(wǎng)；雙出口；雙線路雙IP 中圖分類號：TP393．07

文獻(xiàn)標(biāo)識碼：A

432X （2011）03-0058-04文章編號：1006-

隨著高校校園網(wǎng)絡(luò)用戶規(guī)模的不斷擴(kuò)大和校園網(wǎng)功能不斷增強(qiáng)，傳統(tǒng)單一的教育網(wǎng)出口由于國際流量費(fèi)用昂貴以及教育網(wǎng)與公網(wǎng)的互聯(lián)帶寬太許多高窄帶來的帶寬瓶頸等問題日顯突出．為此，校都采用同時(shí)接入教育網(wǎng)（CERNET ）和電信網(wǎng)（CHINANET ）的雙出口方案來提高校園網(wǎng)用戶對公網(wǎng)資源的訪問速度和降低網(wǎng)絡(luò)使用費(fèi)用．但是由于高校校園網(wǎng)使用的都是教育網(wǎng)IP ，校內(nèi)資源都如果公網(wǎng)用戶通過教育網(wǎng)來訪問校內(nèi)在教育網(wǎng)內(nèi)，

資源，那么公網(wǎng)用戶訪問校內(nèi)資源速度慢的瓶頸還是沒有得到解決．如果再增加一套公網(wǎng)的DNS 和又會造成資源的重復(fù)浪費(fèi)，同時(shí)域名資源服務(wù)器，

也會不統(tǒng)一．本文提出一種基于智能DNS 的雙線雙IP 的校園網(wǎng)雙出口解決方案徹底解決從公路、

網(wǎng)訪問校園網(wǎng)速度慢的問題．下面以我院網(wǎng)絡(luò)為例詳細(xì)闡述該問題．

于電信出口），對應(yīng)公網(wǎng)的轉(zhuǎn)換地址為218．84．175．

x．

圖1雙出口拓?fù)鋱D

在實(shí)施雙線路雙IP 校園網(wǎng)的雙出口過程中有幾個(gè)問題必須解決：

（1）校內(nèi)用戶從哪個(gè)出口訪問Internet 資源；（2）校外用戶究竟從哪個(gè)出口、哪個(gè)IP 來訪問校內(nèi)的資源服務(wù)器；

（3）網(wǎng)站資源服務(wù)器內(nèi)容究竟走哪個(gè)IP ，哪個(gè)出口返回給校外用戶．

解決上述問題的基本思路：校內(nèi)用戶訪問教育網(wǎng)資源的流量從教育網(wǎng)出口出入，訪問非教育網(wǎng)資源的流量應(yīng)從電信出口出入．校外用戶訪問校內(nèi)資源時(shí)，教育網(wǎng)用戶是從教育網(wǎng)出口進(jìn)出，而公網(wǎng)用戶從電信出口進(jìn)出．對于校內(nèi)資源Web 等服務(wù)器的路由按用戶訪問來源動態(tài)判別，使用戶數(shù)據(jù)流按來源接口進(jìn)出．

1雙出口問題的提出及解決思路

圖1是網(wǎng)絡(luò)雙出口拓?fù)鋱D，有兩個(gè)出口：一個(gè)

為教育網(wǎng)出口，另外一個(gè)為電信出口．校內(nèi)用戶全部使用教育網(wǎng)IP．下面以Web 服務(wù)為例說明問題．Web 服務(wù)器采用雙線路雙IP 配置．配置兩塊網(wǎng)卡，一塊為教育網(wǎng)IP ：218．195．192．x （用于教育網(wǎng)出另外一塊為私有地址IP ：192．168．100．x （用口），

09-20*收稿日期：2010-作者簡介：皮宗輝（1976-），男，講師，主要從事計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用研究．

第3期皮宗輝：基于智能DNS 的雙線路雙IP 校園網(wǎng)雙出口方案的設(shè)計(jì)與實(shí)現(xiàn)

·59·

2問題解決的策略

（config-if ）#ippolicy route-map dianxin //在VLAN 中map 策略啟用route-（config ）route-map dianxin permit 10

（config-route-map ）#set ip next-hop 172．16．10．z //下一跳地址為防火墻

2．1策略路由（policy routing ）與網(wǎng)絡(luò)地址轉(zhuǎn)換

（NAT ）技術(shù)的實(shí)現(xiàn)

2．1．1核心交換機(jī)中基于目標(biāo)的策略路由的設(shè)置

策略路由是一種基于目標(biāo)網(wǎng)絡(luò)進(jìn)行更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制，通過識別不同的網(wǎng)絡(luò)數(shù)據(jù)包從而按照預(yù)先設(shè)定好的策略進(jìn)行轉(zhuǎn)發(fā)的技術(shù)，它可以對網(wǎng)絡(luò)數(shù)據(jù)包按不同的關(guān)鍵字段進(jìn)行識別分

以決定其轉(zhuǎn)發(fā)策略．策略路由技術(shù)可以有效的類，

控制網(wǎng)絡(luò)用戶數(shù)據(jù)包的流向和行為．

校園網(wǎng)用戶訪問外網(wǎng)資源時(shí)，首先在核心交換機(jī)中判別目的地址屬于哪個(gè)網(wǎng)段，如果是教育網(wǎng)網(wǎng)段（教育網(wǎng)網(wǎng)段地址在CERNET 網(wǎng)站中可以查到）則把數(shù)據(jù)包轉(zhuǎn)發(fā)到路由器，從教育網(wǎng)出口訪問In-ternet 資源；如果是非教育網(wǎng)網(wǎng)段則把數(shù)據(jù)包轉(zhuǎn)發(fā)

從電信出口訪問Internet 資源．到防火墻，

［1］

策略路由在三層交換機(jī)（cisco6509）上設(shè)置靜態(tài)路由配置，路由器地址為：172．16．10．y ；防火墻地

由于Web 服務(wù)器的IP ：192．168．100．x 為私有

地址，必須在防火墻內(nèi)配置靜態(tài)NAT ，使內(nèi)網(wǎng)私有地址與電信公網(wǎng)地址一一對應(yīng)．

［Quidway ］nat static inside ip 192．168．100．x global ip 218．84．175．x //設(shè)置地址轉(zhuǎn)換

［Quidway ］interface GigabitEthernet 0/1

［Quidway-GigabitEthernet 0/1］nat server protocol tcp global 218．84．175．x www inside 192．168．100．x www 設(shè)置內(nèi)部www 服務(wù)器

//

2．2

址為：172．16．10．z．路由配置如下：

IP route 0．0．0．00．0．0．0172．16．10．z 路由，默認(rèn)到防火墻

IP route 58．192．0．0255．240．0．0172．16．10．y IP route 60．247．0．0255．255．0．0172．16．10．y ……

//添加教育網(wǎng)網(wǎng)段IP 的路由到路由器

//配置靜態(tài)

智能DNS 技術(shù)

通常的DNS 服務(wù)是把一個(gè)域名對應(yīng)解析成一個(gè)IP 地址．智能DNS 是根據(jù)DNS 的服務(wù)程序BIND 提供的視圖（VIEW ）功能中的match-client 語

句，智能的把網(wǎng)站的域名根據(jù)不同的訪問者IP 分別解析成不同地IP 地址．

［2］

智能DNS 的主要配置關(guān)鍵為/usr/local/named /etc目錄下的named．conf 主配置文件和/var /named目錄下正、反向解析文件．主配置文件/usr /local/named/named．conf 文件內(nèi)容配置核心部分如下：

acl edu ｛

//定義名為edu ，包含教育網(wǎng)全部資源的

IP 網(wǎng)段的控制列表．

58．154．0．0/15；……｝；

//省略教育網(wǎng)IP 網(wǎng)段

//定義名為cernet 中的view

//匹配edu 列表中的教育

view “cernet ”｛

2．1．2基于VLAN 的策略路由與NAT 技術(shù)實(shí)現(xiàn)

通過上述核心交換機(jī)的路由設(shè)置可以解決校

園網(wǎng)用戶通過哪個(gè)出口訪問外網(wǎng)資源的問題，為了實(shí)現(xiàn)校外用戶能正常的訪問校內(nèi)資源，必須通過策略路由技術(shù)保障Web 等服務(wù)資源的雙線路雙IP

IP ：192．中的IP ：218．195．192．x 與教育網(wǎng)相通，

168．100．x 與電信相通．在核心交換機(jī)上配置基于VLAN 的策略路由，在防火墻上作網(wǎng)絡(luò)地址轉(zhuǎn)換．具體配置如下：

核心交換機(jī)基于VLAN 策略路由為

（config ）#interfacevlan 206

//教育網(wǎng)IP 資源VLAN

（config-if ）#descriptionedu-server

（config-if ）#ip address 218．195．192．1255．255．255．0//教育網(wǎng)IP 資源段的網(wǎng)關(guān)

（config-if ）#ippolicy route-map edu //在VLAN 中啟用route-map 策略

（config ）route-map edu permit 10

（config-route-map ）#set ip default next-hop 172．16．10．y //下一跳為路由器

（config ）interface vlan208

//公網(wǎng)IP 資源VLAN

（config-if ）#description dianxin-server

（config-if ）#ipaddress 192．168．100．1255．255．255．0//公網(wǎng)IP 資源段的網(wǎng)關(guān)

match-clients ｛edu ；｝；

網(wǎng)IP 網(wǎng)段

zone “192．195．218．in-addr．a(chǎn)rpa ”IN ｛

type master ；

file “192．195．218．in-addr．a(chǎn)rpa．zone ”；｝；

//教育網(wǎng)反向解析文件

zone “kstc．edu．cn ”IN ｛type master ；

file “kstc．edu．cn．edu．zone ”；解析文件

｝；

view “chinanet ”｛view

match-clients ｛any ；｝；zone “kstc．edu．cn ”IN ｛

type master ；

file “kstc．edu．cn．public．zone ”；｝；

向解析文件

zone “175．84．218．in-addr．a(chǎn)rpa ”IN ｛

type master ；

file “175．84．218．in-addr．a(chǎn)rpa．zone ”；｝；//公網(wǎng)

//公網(wǎng)正

//匹配非教育網(wǎng)網(wǎng)段//定義名為chinanet 中的

｝；

//教育網(wǎng)正向

·60·反向解析文件

｝；

喀什師范學(xué)院學(xué)報(bào)第32卷

［4］

動態(tài)路由，使用戶數(shù)據(jù)流按來源接口進(jìn)出，從原路返回．也就是說，如果用戶從教育網(wǎng)出口訪問校

配置/var/named目錄下正、反向解析文件下

的正向文件和反向文件配置核心部分如下：

（1）教育網(wǎng)正向解析文件kstc．edu．cn．edu．zone 的主要內(nèi)容為

www IN A 218．195．192．x ；

（2）教育網(wǎng)反向解析文件192．195．218．in-addr．a(chǎn)rpa．zone 的主要內(nèi)容為

x IN PTR www．kstc．edu．cn ；

（3）公網(wǎng)正向解析文件kstc．edu．cn．public．zone 的主要內(nèi)容為

www IN A 218．84．175．x ；

addr．（4）公網(wǎng)反向解析文件75．84．218．in-arpa．zone 的主要內(nèi)容為

x IN PTR www．kstc．edu．cn．2．3

資源服務(wù)器雙線路雙IP 路由配置

對于雙線路雙IP 資源服務(wù)器關(guān)鍵是如何配置

內(nèi)資源，則用教育網(wǎng)網(wǎng)關(guān)做路由，返回資源數(shù)據(jù)流

相反用戶從公網(wǎng)IP 訪問校內(nèi)資從教育網(wǎng)網(wǎng)卡出，

則用公網(wǎng)網(wǎng)關(guān)做路由，返回資源數(shù)據(jù)流從公網(wǎng)源，

具體配置方網(wǎng)關(guān)出．下面以本院Web 服務(wù)器為例，

法如下：

（1）添加路由表．

修改/etc/iproute2/rt_tables ，添加內(nèi)容：

252tel 251edu

//公網(wǎng)路由表//教育網(wǎng)路由表

（2）添加路由規(guī)則如下：

ip route flush table tel

ip route add default via 192．168．100．1dev eth1src

192．168．100．x table tel

ip rule add from 192．168．100．x table tel ip route flush table edu

ip route add default via 218．195．192．1dev eth0src

218．195．192．x table edu

ip rule add from 218．195．192．x table edu

用戶數(shù)據(jù)流的路由選擇．下面介紹兩種基于雙網(wǎng)卡

的路由方法：靜態(tài)路由規(guī)則和動態(tài)路由規(guī)則．2．3．1

靜態(tài)路由

［3］

規(guī)則是根據(jù)資源服務(wù)器的兩個(gè)分

別在不同網(wǎng)段的IP ，通過手工添加路由規(guī)則實(shí)現(xiàn)不同源/目的網(wǎng)段的數(shù)據(jù)包由指定的接口進(jìn)出．具體如下：

Web 服務(wù)器教育網(wǎng)IP ：218．195．192．x ，教育網(wǎng)網(wǎng)關(guān)：218．195．192．y

Web 服務(wù)器私有IP ：192．168．100．x （對應(yīng)防火墻中的公網(wǎng)轉(zhuǎn)換地址218．84．175．x ），網(wǎng)關(guān)：192．168．100．y

route add-net 58．154．0．0netmask 255．254．0．0dev eth0

route add-net 58．192．0．0netmask 255．240．0．0dev eth0

……

//指定添加到EDU 的控制列表中的教育網(wǎng)網(wǎng)

段的數(shù)據(jù)包從eth0（教育網(wǎng)IP 的網(wǎng)卡）出

route add default gw 192．168．100．1dev eth1//指定非教育網(wǎng)網(wǎng)段的數(shù)據(jù)包從eth1（電信網(wǎng)卡）出

靜態(tài)路由

為使系統(tǒng)重啟后路由不丟失，需把上述路由寫到/etc/rc．d /rc．local 系統(tǒng)自啟動文件中，系統(tǒng)每次重啟后都會自動執(zhí)行路由策略．

目前，靜態(tài)路由規(guī)則是一種很流行的解決辦法，但是這種解決辦法有其致命的缺點(diǎn)：教育網(wǎng)資

必須定期更新源網(wǎng)段地址的分布總是在不斷變化，

路由表，而且難免萬無一失，如果漏了一些網(wǎng)段，那

么這些網(wǎng)段的用戶就無法訪問校內(nèi)網(wǎng)站資源．而動態(tài)路由規(guī)則可以很好解決這個(gè)問題．

2．3．2根據(jù)用戶訪問來源路徑設(shè)定動態(tài)路由

根據(jù)用戶訪問資源的主機(jī)數(shù)據(jù)流的來源設(shè)定

以上規(guī)則即讓從教育網(wǎng)IP 過來的請求從教育

從公網(wǎng)IP 過來的請求從公網(wǎng)路由返網(wǎng)路由返回，

回．

（3）把路由規(guī)則寫入啟動腳本．

把上述路由規(guī)則寫到linux 系統(tǒng)中的/etc/rc．d /rc．local 系統(tǒng)自啟動文件中，防止系統(tǒng)重啟路由失效．

通過根據(jù)用戶訪問數(shù)據(jù)來源設(shè)定動態(tài)路由，可以很好的解決雙線路雙IP 的路由選擇問題，提高網(wǎng)絡(luò)的運(yùn)行效果．2．4運(yùn)行測試

經(jīng)過以上幾步的設(shè)置，基于智能DNS 的雙IP 雙線路的校園網(wǎng)出口解決方案全部配置完畢．下面我們分別在教育網(wǎng)與公網(wǎng)用tracert 命令進(jìn)程域名解析與跟蹤數(shù)據(jù)流走向進(jìn)行測試．在教育網(wǎng)內(nèi)的任

用tracert 進(jìn)行測試：何主機(jī)上，

C ：Documents and Settings ?ministrator ＞tracert www．kstc．edu．cn

Tracing route to www．kstc．edu．cn ［218．195．192．x ］over a maximum of 30hops ：1*21ms 31ms 41ms 14173ms 15*16*159ms

*

*Request timed out

1ms 1ms 10．10．8．212ms 1ms 10．10．8．70＜1ms 1ms 202．202．0．162225ms 189ms 202．201．189．62*

*Request timed out

178ms www．kstc．eduk．cn ［218．195．

……//由于篇幅中間部分省略

第3期192．x ］

Trace complete．

皮宗輝：基于智能DNS 的雙線路雙IP 校園網(wǎng)雙出口方案的設(shè)計(jì)與實(shí)現(xiàn)

6125ms 125ms 564ms 218．84．175．x

·61·

tracert 進(jìn)行測試在公網(wǎng)內(nèi)的任何主機(jī)上，

C ：Documents and Settings ?ministrator ＞tracert www．kstc．edu．cn

218．84．175．x ］Tracing route to www．kstc．edu．cn ［over a maximum of 30hops ：11ms 3ms 1ms 192．168．5．1

2＜1ms ＜1ms ＜1ms 192．168．100．331ms 1ms ＜1ms 124．118．136．1374＊＊279ms 218．84．175．785＊＊＊Request timed out

Trace complete．

從以上tracert 測試結(jié)果可以看出，教育網(wǎng)內(nèi)主機(jī)把域名www．kstc．edu．cn 成功解析為Web 服務(wù)

公網(wǎng)內(nèi)的主機(jī)把域器的教育網(wǎng)IP ：218．195．192．x ，

名www．kstc．edu．cn 成功解析為Web 服務(wù)器的電

教育網(wǎng)用戶訪問Web 服務(wù)信IP ：218．84．175．x ，

公網(wǎng)用戶訪問資源的數(shù)據(jù)流從教育網(wǎng)出口出入，

Web 服務(wù)資源的數(shù)據(jù)流從公網(wǎng)出口出入．用戶訪問Web 服務(wù)資源流程及數(shù)據(jù)流走向如下圖2所示

．

圖2校外用戶訪問校內(nèi)資源流程及數(shù)據(jù)走向圖

3結(jié)論

參考文獻(xiàn)：

［1］周偉，郭海波．策略路由技術(shù)在高校校園網(wǎng)中的應(yīng)用

［J ］．成都信息工程學(xué)院學(xué)報(bào)，2006，（3）．

［2］邊永濤．智能DNS 策略解析在校園網(wǎng)中的應(yīng)用［J ］．計(jì)

2008．算機(jī)與信息技術(shù)，

［3］韓法旺．雙網(wǎng)卡路由解決方案［J ］．科技信息，2008，

（17）．

實(shí)踐證明智能DNS 的雙線路雙IP 技術(shù)與策略

有效的解決了校園網(wǎng)路由技術(shù)相結(jié)合的解決方案，

雙出口從公網(wǎng)訪問校園網(wǎng)資源速度慢甚至無法訪

使網(wǎng)絡(luò)設(shè)備和資源得到更加充分的利問的問題，

用，降低了網(wǎng)絡(luò)運(yùn)行成本，提高了用戶訪問校內(nèi)資源的速度．

Design and Implementation of Campus Network Two-Connection

Project with Double-Line and Double IP Based on Intelligent DNS

PI Zong-hui

（Network Center ，Kashgar Teachers College ，Kashgar 844008，Xinjiang ，China ）

Abstract ：Aiming at the problem of campus network two-connection ，the paper provides a technique of double-line and double IP combined with policy routing based on intelligent DNS．It sets dynamic routing according to

user access sources ，allows user＇s data in and out according to source interface．It efficiently solves the problem of public network being slowly accessible or not accessible to campus network and enhances the speed of public

it makes reference for the project of network based on two-connec-network being accessible to campus resources ，tion construction．

Key words ：Intelligent DNS ；Campus network ；Two-connection ；Double-line and double IP