基于智能DNS 的校園宿舍網(wǎng)出口流量調(diào)控

繆元照，劉志南

（1.天津美術(shù)學(xué)院信息化工作辦公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校園網(wǎng)宿舍網(wǎng)絡(luò)已成為數(shù)字校園的重要組成部分，在大學(xué)生的學(xué)習(xí)、生活中占據(jù)重要地位，已經(jīng)成為高校信息化建設(shè)的重點(diǎn)關(guān)注區(qū)域。學(xué)生宿舍網(wǎng)的建設(shè)和管理已成為高校校園網(wǎng)重要的組成部分，也是校園網(wǎng)管理的難點(diǎn)問(wèn)題。傳統(tǒng)的模式有高校自主建設(shè)運(yùn)營(yíng)和運(yùn)營(yíng)商獨(dú)家投資建設(shè)運(yùn)營(yíng)兩種，運(yùn)營(yíng)商獨(dú)家運(yùn)營(yíng)存在收費(fèi)較高、用戶因?qū)拵暇W(wǎng)與手機(jī)綁定而無(wú)法自主選擇、無(wú)法順暢訪問(wèn)校園網(wǎng)數(shù)字資源的問(wèn)題，而且隨著工信部多次發(fā)文規(guī)范運(yùn)營(yíng)商在校園內(nèi)的經(jīng)營(yíng)行為[1-2]，很多大學(xué)宿舍網(wǎng)多家運(yùn)營(yíng)商共同接入的運(yùn)營(yíng)模式開(kāi)始出現(xiàn)[3-4]。

天津美術(shù)學(xué)院師生使用校園網(wǎng)對(duì)于設(shè)計(jì)素材和一些影視的下載和在線瀏覽觀看是專業(yè)學(xué)習(xí)和提升的重要組成部分，同時(shí)校園網(wǎng)以各種應(yīng)用服務(wù)系統(tǒng)為載體，將教學(xué)、科研、管理和校園生活進(jìn)行充分融合，將院系、學(xué)生與教師緊密地聯(lián)系在一起，是教職員工和學(xué)生獲取資源和信息的主要途徑，已成為校園工作、學(xué)習(xí)和生活中不可或缺的一部分。由于學(xué)校規(guī)模不大，學(xué)生對(duì)于校園資源的依賴比較大，天津美術(shù)學(xué)院校園宿舍網(wǎng)絡(luò)一直是堅(jiān)持自己建設(shè)、自己運(yùn)行的模式。如何優(yōu)化宿舍網(wǎng)絡(luò)，滿足學(xué)生對(duì)于網(wǎng)絡(luò)需求，提高滿意度是校園網(wǎng)建設(shè)的重要組成部分。

1 天津美術(shù)學(xué)院校園網(wǎng)宿舍網(wǎng)絡(luò)基本情況

天津美術(shù)學(xué)院宿舍網(wǎng)是2014 年開(kāi)始建設(shè)，2017 年進(jìn)行了校園網(wǎng)核心及主干升級(jí)改造，天津美術(shù)學(xué)院校園網(wǎng)采用銳捷的極簡(jiǎn)大二層網(wǎng)絡(luò)部署方式，使用兩臺(tái)銳捷RG-N18010 交換機(jī)做橫向虛擬化為一臺(tái)邏輯設(shè)備作為校園網(wǎng)核心交換機(jī)，北校區(qū)部署2 臺(tái)銳捷的萬(wàn)兆匯聚交換機(jī)，橫向虛擬化為一臺(tái)邏輯設(shè)備，通過(guò)雙萬(wàn)兆聚合鏈路與南院核心通過(guò)二層互聯(lián)，兩個(gè)校區(qū)之間的連接通過(guò)2 條不同路由的10G 光纖鏈路實(shí)現(xiàn)鏈路聚合捆綁互聯(lián)，保證兩個(gè)校區(qū)的互聯(lián)帶寬速率和可靠性。

南北兩個(gè)校區(qū)的所有業(yè)務(wù)網(wǎng)管都設(shè)置在兩臺(tái)虛擬化RG-N18010 上。RG-N18010 的兩塊無(wú)線控制器板卡同樣做虛擬化，兩臺(tái)MSC 板卡虛擬化的方式流量控制，將用戶流量引流到MSC 板卡進(jìn)行流量統(tǒng)計(jì)。由虛擬化的RG18010 交換機(jī)進(jìn)行擔(dān)任大二層網(wǎng)關(guān)設(shè)備，配合銳捷的SAM+和MCS 業(yè)務(wù)流量計(jì)費(fèi)板卡，實(shí)現(xiàn)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的Web 認(rèn)證和802.1x 認(rèn)證的無(wú)感知認(rèn)證的配合，實(shí)現(xiàn)無(wú)線用戶通過(guò)802.1x 認(rèn)證上網(wǎng)，有線用戶通過(guò)Portal 認(rèn)證上網(wǎng)，全部校園實(shí)現(xiàn)無(wú)線信號(hào)的覆蓋。

南校區(qū)后綜合樓（教師工作室及部分教學(xué)區(qū)域）采用智分+的無(wú)線網(wǎng)絡(luò)覆蓋，由主AP 可以通過(guò)網(wǎng)線下聯(lián)24 個(gè)微AP 進(jìn)行供電，并實(shí)現(xiàn)對(duì)微AP 的統(tǒng)一管理，微AP 部署到房間內(nèi)，支持IEEE 802.11ac 標(biāo)準(zhǔn)，確保在屋內(nèi)無(wú)線信號(hào)滿格和高速率接入，并且在走廊內(nèi)部署放裝AP。

網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)系統(tǒng)采用銳捷SAM+企業(yè)版，同時(shí)提供自助服務(wù)平臺(tái)，便于用戶進(jìn)行密碼的修改和信息的查詢，提升了認(rèn)證的效率，天津美術(shù)學(xué)院校園網(wǎng)免費(fèi)提供師生員工網(wǎng)絡(luò)服務(wù)。

天津美術(shù)學(xué)院學(xué)生宿舍區(qū)未布設(shè)有線網(wǎng)絡(luò)，全部采用無(wú)線網(wǎng)絡(luò)全覆蓋，2014 年開(kāi)始建設(shè)，是天津市第一家實(shí)現(xiàn)宿舍網(wǎng)無(wú)線全覆蓋的高校。南北校區(qū)宿舍采用銳捷智能分布式（二代）無(wú)線系統(tǒng)解決方案，采用六類綜合布線系統(tǒng)，每個(gè)宿舍內(nèi)安裝專用室內(nèi)美化天線，保證無(wú)線覆蓋效果。二代智分型AP 采用雙路雙頻硬件架構(gòu)，可支持同時(shí)工作在802.11a/n 和802.11b/g/n模式。

天津美術(shù)學(xué)院校園網(wǎng)出口擁有CERNET、聯(lián)通、電信、移動(dòng)四個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)連接，其中CERNET 與天津教育科研城域網(wǎng)實(shí)現(xiàn)1000M 連接，聯(lián)通帶寬為1G，電信帶寬為600M，移動(dòng)帶寬為400M，均為1000M 光纖接口。使用校園網(wǎng)邊界防火墻的策略路由技術(shù)，最大程度發(fā)揮設(shè)備性能，實(shí)現(xiàn)了路由鏈路的冗余和容錯(cuò)，滿足校園網(wǎng)用戶對(duì)于網(wǎng)絡(luò)需求，提高用戶的滿意度。

2 基于智能DNS的天津美術(shù)學(xué)院宿舍網(wǎng)多出口流量調(diào)控

天津美術(shù)學(xué)院校園網(wǎng)使用策略路由技術(shù)完成校園網(wǎng)多出口建設(shè)，校園網(wǎng)用戶訪問(wèn)根據(jù)目的地址的歸屬，路由選擇聯(lián)通、電信、移動(dòng)等運(yùn)營(yíng)商線路，網(wǎng)絡(luò)流量平穩(wěn)，校園網(wǎng)用戶體驗(yàn)比較好，但是在晚上高峰時(shí)期，由于宿舍網(wǎng)流量劇增，校園網(wǎng)出口，主要是聯(lián)通出口會(huì)發(fā)生一定的擁塞，而由于北方地區(qū)聯(lián)通的資源比較多，電信出口和移動(dòng)出口，特別是移動(dòng)出口的流量比較小。

北京郵電大學(xué)基于DNS 進(jìn)行了流量的調(diào)度[5]，河海大學(xué)曾經(jīng)使用DNS 遞歸解析，將辦公網(wǎng)絡(luò)指向教育網(wǎng)，將宿舍網(wǎng)絡(luò)指向移動(dòng)網(wǎng)絡(luò)[6]，大連工業(yè)大學(xué)采用DNS 多緩存策略優(yōu)化了多出口的流量[7]，浙江理工大學(xué)基于私有云集群部署了開(kāi)源智能DNS[8]，引導(dǎo)了用戶訪問(wèn)量的合理分流，實(shí)現(xiàn)了不同運(yùn)營(yíng)商出口網(wǎng)絡(luò)流量的負(fù)載均衡，提升了學(xué)?；ヂ?lián)網(wǎng)出口帶寬的使用效益。

本文選擇校園網(wǎng)私有云服務(wù)器資源池，在虛擬機(jī)上選擇CentOS 7 搭建智能DNS 主從服務(wù)器并使用智能DNS 對(duì)于天津美術(shù)學(xué)院南校區(qū)宿舍進(jìn)行了流量調(diào)控，目的是在教學(xué)區(qū)及北校區(qū)宿舍區(qū)域依舊使用出口策略路由完成校園網(wǎng)多出口的選路，而在南校區(qū)宿舍采用智能DNS 進(jìn)行選擇目的地址路由的工作，在保證用戶上網(wǎng)體驗(yàn)的前提下，盡可能將流量更多指向移動(dòng)接口和電信接口，緩解校園網(wǎng)聯(lián)通出口的壓力，提高宿舍網(wǎng)的可用性，整體提升校園網(wǎng)用戶的網(wǎng)絡(luò)使用體驗(yàn)。

2.1 DNS主從服務(wù)器的構(gòu)建

在校園網(wǎng)私有云服務(wù)器集群資源上，VMware 虛擬機(jī)上安裝兩臺(tái)CentOS 7 系統(tǒng)[9-10]，過(guò)程不再贅述，CentOS 安裝需要設(shè)置主機(jī)名及IP 地址，設(shè)置DNS 服務(wù)器才可以正常工作，為了便于討論，主從服務(wù)器設(shè)置為Master DNS：192.168.216.8，Slave DNS：192.168.216.7，此處校園網(wǎng)真實(shí)IP 地址用192.168.地址代替，以后不再說(shuō)明。需要特別說(shuō)明的是CentOS 必須開(kāi)啟，以保證主從兩臺(tái)服務(wù)器是始終處于安全防護(hù)之下的，DNS 服務(wù)器上線后，除了必要的DNS 服務(wù)和其他網(wǎng)絡(luò)管理需要的端口以外，其他端口一定是在防火墻禁止的狀態(tài)下。

兩臺(tái)CentOS 服務(wù)器通過(guò)yum install-y bind 命令安裝相應(yīng)的named 服務(wù)[11]，隨后確保主從服務(wù)器的時(shí)區(qū)時(shí)間一致，可通過(guò)安裝ntpdate 命令進(jìn)行同步網(wǎng)絡(luò)時(shí)間。兩臺(tái)主從DNS 服務(wù)器的DNS 解析設(shè)置不再贅述，主要說(shuō)明主從服務(wù)器的設(shè)置。

編輯修改主DNS 服務(wù)器/etc/named.rfc1912.zones：

編輯修改從DNS 服務(wù)器/etc/named.rfc1912.zones：

2.2 智能DNS的構(gòu)建

實(shí)現(xiàn)DNS 服務(wù)器的智能DNS 解析，需要設(shè)置view，就是將不同IP 地址段發(fā)來(lái)的查詢響應(yīng)到不同的DNS 解析。如需要對(duì)兩個(gè)不同的IP 地址段進(jìn)行配置，就需要明確這些IP 地址段的范圍，這樣view 才能生效。需要注意的是，一旦使用了view，所有域都必須定義在view 中[12]。本文主要說(shuō)明view 的定義，需要修改主DNS 服務(wù)器的named.conf：

2.3 宿舍網(wǎng)絡(luò)多出口流量的調(diào)控

智能DNS 服務(wù)器的view 配置，一般情況下是CERNET 免費(fèi)列表需要進(jìn)行梳理，凡是CERNET 直連地址，校園網(wǎng)用戶訪問(wèn)需要路由選擇CERNET 線路，凡是學(xué)校圖書館購(gòu)買的數(shù)據(jù)庫(kù)資源，校園網(wǎng)用戶訪問(wèn)原則上路由選擇CERNET 線路，按照聯(lián)通、電信、移動(dòng)運(yùn)營(yíng)商的地址列表，校園網(wǎng)用戶訪問(wèn)根據(jù)目的地址的歸屬，路由選擇相關(guān)運(yùn)營(yíng)商線路。

南院宿舍區(qū)主要是造型學(xué)院（油畫、版畫、雕塑專業(yè)）、中國(guó)畫學(xué)院、人文學(xué)院研究生和本科生住宿，學(xué)生人數(shù)大概是1000 多人，約占天津美術(shù)學(xué)院總學(xué)生人數(shù)的1/3 左右，距離信息化辦公室距離很近，便于做測(cè)試和調(diào)試，本文選擇南院宿舍區(qū)，進(jìn)行宿舍網(wǎng)絡(luò)多出口的流量調(diào)控。

首先是在學(xué)院DHCP 服務(wù)器進(jìn)行設(shè)置，南院宿舍區(qū)的相關(guān)VLAN 中，當(dāng)南院宿舍區(qū)的無(wú)線網(wǎng)絡(luò)用戶登錄網(wǎng)絡(luò)獲取地址的時(shí)候，DNS 服務(wù)器直接推送為本文所設(shè)置的主從DNS 服務(wù)器，同時(shí)校園網(wǎng)出口策略路由不對(duì)于相關(guān)VLAN 地址進(jìn)行路由選址，相關(guān)地址的上網(wǎng)訪問(wèn)選路工作由智能DNS 服務(wù)器完成。

為了提高校園網(wǎng)多出口帶寬的利用率，在CERNET 線路路由不做大的調(diào)整的前提下，在測(cè)試網(wǎng)絡(luò)通達(dá)性完全可以滿足學(xué)生學(xué)習(xí)生活需求的前提下，將原本是聯(lián)通線路直連的地址，在view 的地址池強(qiáng)行指向電信出口或者是移動(dòng)出口，從而提高電信出口，特別是移動(dòng)出口的使用效率。

北京郵電大學(xué)基于DNS 的流量調(diào)度[5]，是使用遞歸算法進(jìn)行的自動(dòng)修正，但是自動(dòng)修正是很難完全顧及到網(wǎng)絡(luò)使用者的上網(wǎng)體驗(yàn)，因此本文采用手動(dòng)測(cè)試調(diào)整view 的地址池的辦法，不完全根據(jù)目的地址的ISP 歸屬確定路由指向，而是在網(wǎng)絡(luò)通達(dá)性可以滿足的前提下，以流量為主導(dǎo)進(jìn)行地址池配置，以提高帶寬的使用效益。

3 結(jié)語(yǔ)

本文選擇開(kāi)源軟件系統(tǒng)，搭建智能DNS 主從服務(wù)器天津美術(shù)學(xué)院南校區(qū)宿舍進(jìn)行了流量調(diào)控，在學(xué)校其他區(qū)域依舊使用出口策略路由完成校園網(wǎng)多出口的選路，而在南校區(qū)宿舍采用智能DNS 進(jìn)行選擇目的地址路由，在保證校園網(wǎng)用戶的整體體驗(yàn)的前提下，達(dá)到了調(diào)控多出口流量，提高校園網(wǎng)流量的使用效益。同時(shí)，CentOS 自帶防火墻功能，由于主從DNS 服務(wù)器是在校園網(wǎng)整體的安全防護(hù)體系中，因此安全性可以保證，設(shè)置主從DNS 服務(wù)器，就是為了防止因?yàn)閱闻_(tái)DNS 故障造成宿舍網(wǎng)絡(luò)的單點(diǎn)故障，雖然手工進(jìn)行測(cè)試與設(shè)置view 地址池的方式會(huì)消耗比較多的人力，但是使用效果較好，能夠滿足天津美術(shù)學(xué)院宿舍網(wǎng)和校園網(wǎng)的管理需求。