高?；ヂ?lián)網(wǎng)多出口鏈路環(huán)境下的跨網(wǎng)通信和鏈路均衡問題探索與實踐

◆張文亮

高?；ヂ?lián)網(wǎng)多出口鏈路環(huán)境下的跨網(wǎng)通信和鏈路均衡問題探索與實踐

◆張文亮

（湖北科技學院 湖北 437100）

目前，我國網(wǎng)絡運營提供商ISP主要分為四家：中國電信、中國移動、中國聯(lián)通、中國教育網(wǎng)。不同運營商之間的互訪是網(wǎng)絡傳輸?shù)淖畲笃款i，這種瓶頸既有互連帶寬的因素，也有網(wǎng)際結(jié)算的因素。電信與聯(lián)通的互訪、教育與電信的互訪等，其速度和質(zhì)量很難保障。在傳統(tǒng)的模式下，客戶將內(nèi)網(wǎng)服務器映射到某個出口IP地址，DNS將用戶請求固定解析到這個IP地址上，必將造成其他ISP網(wǎng)內(nèi)用戶采用跨網(wǎng)通訊的方式連入到服務器，其結(jié)果是質(zhì)量無法保障，甚至無法訪問。

跨網(wǎng)通信；映射；解析

1 高?；ヂ?lián)網(wǎng)多出口鏈路運行現(xiàn)狀

隨著互聯(lián)網(wǎng)上各種應用的普及和增長，對寬帶的需求越來越高、對網(wǎng)絡的依賴也越來越高。根據(jù)不同高校的網(wǎng)絡運行經(jīng)費實際情況，部分高校經(jīng)費寬裕，可以采取提升帶寬等方式解決網(wǎng)絡擁堵，但有的高校經(jīng)費緊張，沒有足夠的經(jīng)費支付高昂的帶寬費用。如何在不產(chǎn)生跨網(wǎng)通信和不降低用戶體驗的前提下，有效地提高中國移動等資費較低的出口線路的使用效率，為學校節(jié)省出口成本，是高校面臨的現(xiàn)實問題。經(jīng)過研究與實踐，部署嵌入式智能DNS系統(tǒng)可以有效解決以上問題。

2 嵌入式智能DNS

嵌入式智能DNS定位為一款多出口網(wǎng)絡環(huán)境下的網(wǎng)絡優(yōu)化系統(tǒng)，通過內(nèi)置ISP地址庫、動態(tài)監(jiān)測出口負載、探測ISP網(wǎng)內(nèi)資源分布等多種手段，同時優(yōu)化inbound和outbound兩個方向的流量結(jié)構(gòu)，克服了傳統(tǒng)負載分擔方式的不足，為用戶提供內(nèi)外網(wǎng)智能解析、inbound服務不間斷、屏蔽出口故障，減少跨網(wǎng)通信、基于域名的應用分流等功能，提供無感知的上網(wǎng)體驗，提高各個出口的負載比例，提升客戶網(wǎng)絡的價值。

作為應用支撐平臺，在多出口校園網(wǎng)環(huán)境中，DNS的重要性日益凸顯，嵌入式智能DNS可以解決如下問題：

2.1 授權域智能解析

普通的DNS服務器只負責為用戶解析出固定的IP記錄，并不會判斷用戶從哪里來，這樣會使得所有用戶都只能解析到固定的IP地址（如教育網(wǎng)IP地址）上，造成運營商之間訪問瓶頸。某高校將WWW 服務器映射到一個教育網(wǎng)IP，聯(lián)通和電信用戶訪問該站點時，DNS服務器向外網(wǎng)用戶解析教育網(wǎng)的IP地址。這樣，報文需要跨網(wǎng)轉(zhuǎn)發(fā)到教育網(wǎng)，然后再被遞交到站點服務器，當教育網(wǎng)鏈路中斷后，用戶將不能訪問學校的站點。

外網(wǎng)智能解析是針對目前電信與網(wǎng)通、教育網(wǎng)、移動等ISP之間互聯(lián)互通問題推出的一種智能DNS解決方案。具體實現(xiàn)的效果是：把同樣的域名（如www.bingchuan.net），網(wǎng)通的客戶訪問會返回一個指向“網(wǎng)通”服務器的IP地址，電信的客戶訪問會指向一個電信服務器的IP地址，教育網(wǎng)的客戶訪問會指向教育服務器的IP地址，通過這種方式，避免網(wǎng)通的客戶去訪問電信的網(wǎng)絡，電信的客戶去訪問網(wǎng)通的網(wǎng)絡以及教育訪問其他的網(wǎng)絡。部署外網(wǎng)智能DNS后，將避免跨ISP訪問，從而明顯提高訪問的質(zhì)量。

2.2 Inbound服務不間斷

隨著高校信息化建設的不斷深入，越來越多的應用逐步通過網(wǎng)絡部署，作為應用的基礎支撐平臺，為各類應用提供不間斷的服務成為網(wǎng)絡的基本要求。傳統(tǒng)的智能DNS內(nèi)置ISP地址庫，可以根據(jù)請求的源IP地址返回相應的結(jié)果，從而避免用戶通過跨網(wǎng)途徑訪問校園網(wǎng)資源。但僅僅實現(xiàn)外網(wǎng)智能解析功能是遠遠不夠的，當學校某條出口中斷后，DNS不會做相應的調(diào)整，仍然會導致應用中斷。

如圖1所示，學校將WWW解析到電信、教育和聯(lián)通，實現(xiàn)外網(wǎng)智能解析。傳統(tǒng)的DNS采用“被動響應、靜態(tài)解析”的工作方式，當電信出口中斷后，DNS不能動態(tài)地適應網(wǎng)絡的變化，仍會將電信用戶的訪問請求解析到電信地址，從而導致服務中斷。

圖1 實現(xiàn)外網(wǎng)智能解析

智能DNS系統(tǒng)可以很好解決此類故障，確保學校的關鍵應用不因某個出口的故障而中斷。通過SNMP協(xié)議，DNS系統(tǒng)可以實時地獲取各個出口的負載和通斷情況，當某條出口中斷或負載達到指定閾值（如85%，在被攻擊的情況下）時，DNS自動啟用相應的智能解析策略，將后續(xù)請求，解析到正常鏈路對應的鏡像地址上，確保應用不會因某一鏈路的中斷或堵塞而受到影響。

2.3 內(nèi)網(wǎng)智能解析

在多出口網(wǎng)絡環(huán)境下，影響用戶體驗最主要的兩個因素就是跨網(wǎng)通信和鏈路堵塞?？缇W(wǎng)通信產(chǎn)生的根本原因是數(shù)據(jù)報文的目標地址（主要通過 DNS 解析）與出口轉(zhuǎn)發(fā)策略不匹配，例如www.qq.com被解析成電信的鏡像地址，但在防火墻上卻被轉(zhuǎn)發(fā)到聯(lián)通出口，報文必須經(jīng)過各個ISP之間的網(wǎng)際結(jié)算通道轉(zhuǎn)發(fā)，延時和可靠性都得不到保障。

傳統(tǒng)的負載分擔方式在處理某個出口的堵塞時，只是簡單地將后續(xù)流量切換到其他較空閑的出口上，并未更改報文的目標IP地址，切換過去的流量基本上都是跨網(wǎng)通信流量，這種以犧牲用戶體驗換取出口負載均衡的做法已經(jīng)不適用于網(wǎng)絡發(fā)展的需求。

智能DNS可以探測和收集每個域名在各個ISP的鏡像地址，通過配置相應地策略，向用戶返回指定ISP網(wǎng)內(nèi)的鏡像服務器IP地址，可以有效地減少跨網(wǎng)通訊。同時，通過與出口設備的交互機制，可探測到各出口鏈路的實時負載和通斷情況，當某條出口鏈路的負載超過預定的“闊值”或出現(xiàn)中斷故障時，可自動將后續(xù)流量（包括inbound和outbound）引導到其他出口上，避免“斷網(wǎng)”產(chǎn)生大面積跨網(wǎng)通信和外部訪問中斷，降低故障的影響范圍，待故障恢復后，可自動復原，整個過程無須人工干預。

通過大量的測試表明， DNS設備可以屏蔽出口故障，減少跨網(wǎng)通信，通過流量清洗，可以將網(wǎng)絡質(zhì)量提升到“電信級”運營水平，從而幫助客戶降低運營成本。

3 智能DNS部署

智能DNS通常部署在“內(nèi)網(wǎng)”或防火墻的DMZ區(qū)域，無論部署在何處，均需確?！癉NS到出口ISP的DNS服務器的報文沒有經(jīng)過跨網(wǎng)轉(zhuǎn)發(fā)”，如圖2所示：

圖2 DNS部署

智能DNS需與防火墻ISP路由聯(lián)合部署，例如：在兩條出口的環(huán)境下，存在ISP1和ISP2兩條出口鏈路。防火墻出口也需配置兩個出口地址。根據(jù)所在地網(wǎng)絡資源分配情況，可以將互聯(lián)網(wǎng)資源優(yōu)勢的ISP作為默認出口鏈路。若將IPS1配置為默認出口，ISP2就需要單獨做策略路由配置。在防火墻的策略路由中將ISP2靜態(tài)路由下一條地址指向至對應ISP2出口網(wǎng)關（靜態(tài)路由地址表由ISP2提供）。然后通過防火墻NAT轉(zhuǎn)換，經(jīng)由ISP2所對應的NAT地址轉(zhuǎn)換策略，進行轉(zhuǎn)發(fā)訪問互聯(lián)網(wǎng)資源。DNS在收到用戶域名解析請求后，經(jīng)過DNS解析后得到的目的地址需要在防火墻路由表中進行匹配。若解析匹配后地址屬于ISP1默認出口地址，則由防火墻直接進行NAT地址轉(zhuǎn)發(fā)；若解析到的地址為ISP2地址，則在NAT地址轉(zhuǎn)發(fā)策略中匹配響應的出口進行轉(zhuǎn)發(fā)。從而實現(xiàn)了多出口鏈路訪問。

4 結(jié)語

嵌入式智能DNS系統(tǒng)不僅僅可以解決以上問題，還可以有效的解決負載均衡，出口流量提升，第三方合作運營解析，IPv4/IPv6雙棧，DNS系統(tǒng)安全和防護等問題。對高校的互聯(lián)網(wǎng)多出口鏈路的優(yōu)化起到了很大作用，最大程度提升了用戶體驗。通過鏈路解析策略優(yōu)化，很大程度上提升了鏈路的帶寬利用率，有效發(fā)揮了主備鏈路的優(yōu)質(zhì)互聯(lián)網(wǎng)資源。同時也降低了因提升主鏈路帶寬所需的寬帶費。隨著互聯(lián)網(wǎng)資源的豐富，各運營商升級、優(yōu)化，最終會實現(xiàn)真正意義上的ISP互聯(lián)互通，才能徹底解決互聯(lián)網(wǎng)跨網(wǎng)通信的問題。

[1]饒琰.基于智慧融合的校園網(wǎng)多出口鏈路負載均衡的構(gòu)建[J].信息系統(tǒng)工程，2019（04）：17-18

[2]程琦，陳燦.構(gòu)建多層次的互聯(lián)網(wǎng)DNS系統(tǒng)安全防護體系[J].現(xiàn)代電信科技，2017，47（05）：61-66.

[3]盛廣偉.高可用智能主從DNS系統(tǒng)在校園網(wǎng)中的應用[J].數(shù)字技術與應用，2017（07）：111-113+116.

[4]胡寧，鄧文平，姚蘇.互聯(lián)網(wǎng)DNS安全研究現(xiàn)狀與挑戰(zhàn)[J].網(wǎng)絡與信息安全學報，2017，3（03）：13-21.