基于DNS服务的校园网多出口负载均衡研究与实现.doc

基于DNS服务的校园网多出口负载均衡研究与实现第3卷第7期2011年7月当代教育理论与实践TheoryandPracticeofContemporaryEducationVOI.3NO.7Ju1.2011摘要:分析了在多出口校园网环境下内网和外网的双向访问的存在问题,通过智能DNS对不同ISP用户针对同一域名分别解析各自所在网络的IP地址,保证不同网用户通过各自网络链路访问内网服务器.同时结合网络出口设备,分析了内网用户访问外网时,通过不同ISP出口链路解析不同IP地址,实现出口DNS链路负载均衡.为解决不同ISP网络之间由于带宽窄而造成访问速度慢,访问超时等问题提供了一套解决方案.关键词:智能DNS;链路负载均衡中图分类号:G48文献标识码:A文章编号:16745884(2011)07017302随着网络技术的发展和高校教育信息化校园建设的需要,单出口的网络已不能满足高校对网络多元化的要求,许多非CERNET主节点的高校逐渐建立了自己的双出口甚至多出口的网络解决方案.这些方案一定程度上弥补了教科网访问公网速度慢的缺点.但是这种措施也存在着不足之处,首先,校园网当中对外提供的服务的被访问问题没有得到很好的解决.譬如,大家通过非教育网来访问某个校内的WEB服务时,会感觉速度很慢甚至无法访问.这是因为教育网对于非教育网的其它ISP网络来说,相当于一个特殊的内网.当非教育网用户来访问教育网内用户的WEB服务器,数据在进行路由时需要经过教育网的路由才能转发到其它非教育网,而非教育网与教育网之间的出口带宽较小,从而导致非教育网用户访问校园网内的服务器延迟较大,速度较慢.因此,如何解决非教育网访问校园网内服务器速度慢的问题,是目前在多出口的高校校园网所面临的一个急需解决的问题.其次,当校园网出口存在多个不同非教育网链路时,由于DNS服务器解析的地址往往都为其中某一个ISP的地址,因此不同ISP出口出去的用户访问外网同一域名时同样也需要跨越不同ISP之间较小的出口带宽,并且路由路径也会更复杂.本文以湖南科技大学校园网为背景,探讨一种采用智能DNS技术解决校园网多出口负载均衡的解决方案.一智能DNS技术实现Inbound负载均衡DNS作为互联网上一项重要的支撑服务,其功能是实现主机域名和主机IP地址之间的相互转换.即当用户在应用程序中输入主机域名时,DNS服务器可以将此名称解析为与之对应的IP地址.这种域名与IP地址是一一对应的,方式一般都是静态的.随着网络技术大发展以及新的应用的不断出现,静态DNS技术已经不能适应需要,很多新的域名解析技术应运而生,智能DNS技术便是其中一种,智能DNS技术实现的是基于访问服务器的客户端的源IP来进行判断,根据不同ISP的地址段,分别解析成内网出口上内网服务器针对不同ISP的映射地址,并根据外网用户所在网络的不同,返回不同的解析结果.图1智能DNS工作过程智能DNS服务器一般采用Linux平台下的BIND来进行组建,BIND(BerkeleyIntemetNameDomain)是加州大学伯克利分校开发的一套软件,它是DNS规范的一种最为常见的实现.Unix/Linux下的DNS服务软件一直以BIND程收稿日期:20110423作者简介:孙峥嵘(1969一),男,湖南长沙人,助理工程师,主要从事设备管理网络安全研究.173序为主流,目前高校的DNS基本是由BIND实现的.BIND的第9个版本即BIND9加入View功能,可以让每个源地址不同的网络在查询某个DNS时,有不同的查询状态或回应信息.基于BIND9的智能DNS配置如下:1)Named.conf域名解析配置文件Include"cemet.conf":#cernet.conf存贮教育网地址View"viewcemet"matchclientscernet;include"master/ceYnet.def"#cernetldef指向教育网对应的域名解析文件cernet.txtView"viewany"matchclientsany;include"master/chinanet.def"#chinanet.def指向电信网对应的域名解析文件chinanet.txt2)cernet.conf教育网地址段配置文件acl"cernet"58.154.0.0/15;222.192.0.0/12;通过上面的配置,实现了公网访问校内服务器时被解析为校园网出口上映射的公网地址;教育网访问校内相同服务器时被解析为教育网地址;从校园网管理者看来,智能DNS能够很好的解决俗称为Inbound的流量负载均衡.二出口访问控制列表实现Outbound负载均衡对于Outbound流量的负载均衡,也就是校园网内用户访问多出口链路外网的情况,智能DNS技术并不能解决.分析校园网内网用户访问外网网站和DNS域名解析的过程如下:1)校园网内用户访问外网网站前,内网主机先要对用户需要的域名做地址解析;2)用户随机选择某一校园网出口,发送DNS解析请求;3)DNS服务器收到内网的解析请求,返回服务器所知的域名对应的IP地址;4)DNS服务器返回的IP地址必定是自身所在公网ISP内需访问网站的IP地址;5)用户获得DNS服务器返回的网站IP地址.6)根据从DNS服务器处返回的网站IP对该网站进行访问.根据以上六个步骤分析可知,当校园网出口面临多ISP,多出口时,内网用户指定的DNS服务器,总是只能保障从与DNS服务器在同一ISP出去的用户获得的解析结果是最优的.如果用户从DNS服务器不在的ISP链路出去,获得的将是其它ISP内的网站IP地址,也就意味着用户访问网站是都需要跨越不同ISP之间的狭窄带宽.通过分析也可以知道,造成这种情况的原因既不是DNS服务器解析错误,也不是出口链路选择不对,而刚好是两者配合上的不一致,因此问题的解决也只能考虑在出口设备上.无论是自动获取地址还是静态指定地址,用户端系统可以指定首选和备用以及更多个不同的DNS服务器.在174用户进行DNS地址解析时,如果只有一个网络连接(比如一个网卡),那么只有首选DNS服务器没有响应时才会向备用DNS服务器请求,如果首选DNS服务器有响应,即使是错误的响应也不会再去请求备用DNS服务器.当有多个DNS服务器时,也同样根据以上原则依次解析.因此,用户可以将本机上的首选和备用以及多个DNS服务器分别设置为不同ISP网内的NDS服务器,如下图所示:图2客户端设置多个DNS服务器在出口设备上对于连接不同ISP的出口做访问控制列表,允许发往该ISP内的DNS数据包通过,否则,不允许其它DNS数据包通过.在端口上应用访问列表后,内网用户发送的DNS请求,只有用户被随机分配的出口内的DNS服务器会进行相应器.设置如下图所示:-r一萤女琏害鬻.磷rPrtr月Prt碗|.rr一一一日rIo口_ltl-启I自鞋群爵一茹一一_?蓐图3出口设备端口上的访问控制列表三结语针对校园网实际状况的分析研究,通过在校园网内架设智能DNS系统,对外网访问校园网的用户所在网络进行内网服务器的IP地址解析,实现了来自不同外网的用户分配到内网服务器对应公网映射IP地址,从而有效界定了用户所在网络的范围,保证了用户访问内网服务器的最佳快速访问路由走向,实现了Inbound流量的负载均衡.同时通过在校园网出口设备链接各不同ISP网络的端口上启用针对DNS服务器的访问控制列表,配合内网用户客户端设置多个DNS服务器,实现了校园网内用户在出口链路中自动地选择对应的DNS服务器,使用户获得的DNS解析地址与用户使用的链路ISP一致,保证了用户访问外网的最佳路由走向,减少了跨越不同ISP间狭窄带宽造成访问缓慢的几率,为实现Outbound流量的负载均衡提供了一种切实可行的方案.参考文献:1陈松.战学刚基于双向NAT和智能DNS内网服务器安全快速访问策略J.计算机工程与设计,2009,30(12):29412944.2葛昕,岳敏楠.校园双出口DNS负载均衡的应用研究J.计算机系统应用,2008(9):105107.3单杰.职业院校校园网双线出口技术浅析J.通信技术,2009(5):167171.(责任编校许中坚)