DNS多缓存策略在多出口流量优化中的应用

单庆元，南峰

（大连工业大学网络信息中心，大连116034）

DNS多缓存策略在多出口流量优化中的应用

单庆元，南峰

（大连工业大学网络信息中心，大连116034）

在多出口线路的校园网环境下，为了保证内网用户访问互联网体验的最优化，必须设法保证用户访问互联网和用户的DNS解析服务使用同一互联网运营商所提供的网络服务。通过只对校内网络用户发布学校的DNS服务器，合理规划校内网络用户使用的校园网出口线路，配置校DNS服务器的ACL，VIEW和FORWARDER功能，并根据校内网络用户使用的出口线路，将用户的互联网DNS解析转发至对应的互联网服务商DNS服务器处进行解析。通过以上设置，在学校保持内网用户DNS解析控制权的前提下，使得内网用户的DNS解析结果与其使用的出口线路相一致，提升用户访问互联网的体验以及出口线路利用率，同时也确保出口线路的策略调整对用户是透明的。

0 引言

随着互联网线路价格降低以及运营商和高校合作的加深，越来越多的高校拥有多条互联网出口线路，在智能DNS解析[1-4]的环境下，为了保证用户访问网络的体验，需保证用户访问网络和DNS解析使用同一互联网运营商提供的服务。大都的解决办法是给用户发布运营商的DNS服务器地址，这样带来的问题有：①用户所使用线路调整的困难，例如原先用户使用的是移动的公网线路，用户配置的是移动的DNS服务器地址，由于某种原因，现在要切换至电信的线路上，则需要用户修改DNS服务器地址，如果是大面积的修改DNS服务器地址，通常需一段时间，在这期间，没有正确修改DNS服务器地址的用户网络访问体验会很差。②不利于校内特殊资源的发布。由于用户使用了运营商的DNS服务器地址，用户对校内域名的解析，需要通过运营商DNS服务器来完成，无法区分校内校外用户。③校管理中心会失去用户的DNS解析的控制权。本文通过配置校园网的DNS服务器，使得DNS服务器同时具备非授权域名的递归查询和转发查询功能。对于使用教育网线路的校内用户，DNS服务器进行非授权域名的递归查询，校DNS服务器为递归服务器；而对使用运营商线路的校内用户进行非授权域名的转发查询，此时校DNS服务器为对应运营商DNS服务器的缓存服务器。通过对校DNS服务器的递归和缓存功能联合使用，在确保了校内用户DNS解析控制权的同时，使得用户域名解析所获得的IP地址与其使用的运营商线路一致，提升了用户的网络浏览体验，同时也方便了出口线路使用策略的调整。

1 学校拓扑介绍

如图1所示，校园网有三条出口链路：教育网500M链路、移动400M公网链路和电信600M公网链路（注：学校还有一条联通公网链路，由于该链路只供服务器使用，故未在图中标示）。在移动公网链路和电信公网链路处使用NAT服务器，对IP地址进行转换。出口路由器（锐捷RSR77）负责进出校园网数据的路由选择，通过使用静态路由和策略路由，使得校园内网用户使用合适的出口线路访问互联网资源。由于内网中的DNS服务器使用教育网IP地址提供服务，出口路由确保DNS服务器的域名解析响应使用教育网链路转发。内网用户可使用有线或者无线WLAN方式接入校园网。

图1 校园网拓扑示意图

1.1 智能DNS和CDN

为了提升用户访问网络的体验，需要尽量将服务资源置于离用户最近处。方法通常由两种：①服务器使用的服务线路多元化：例如租用多条属于不同网络服务提供商的线路，在用户访问服务器资源时，使用离用户最近的服务线路资源。至于使用哪条服务线路，是通过DNS解析在用户无感知的状态下完成的。例如：在DNS服务器上设置，来自于中国联通客户的DNS解析请求，返回联通服务线路的IP地址。来自于中国电信客户的DNS解析请求，返回联通服务器线路的IP地址，等等。这种根据DNS解析客户端IP地址的不同，返回不同服务器地址的DNS解析服务称之为智能DNS。②CDN网络[5-6]的使用：对服务器的资源进行镜像，然后将镜像置于网络服务提供商和用户的边界处。由于用户访问最近的资源镜像，速度能提升许多。在用户访问服务的过程中，服务镜像资源地址的分发同样需要智能DNS服务的配合。需要注意的是，一般情况下，智能DNS是根据DNS解析客户端的IP地址来选择服务资源IP的，而不是客户机本身的IP地址。所以在智能DNS网络环境下，客户机DNS服务器的设置就变得重要了。如果DNS服务器设置不好，会很大程度的影响用户使用网络的体验的。例如：联通的用户使用了电信的DNS服务器地址，那么获取的资源地址通常位于电信网内，访问速度会变慢（方法①），甚至会拒绝访问（方法②）。

1.2 内网用户的选路

在校园网多条出口的情况下，出口线路的选择变得复杂，需要同时考虑线路资源的利用率和用户访问网络的体验。

根据目的地址选路：访问的目的地址属于移动的使用移动出口线路，访问的目的地址属于教育网的使用教育网出口线路，访问的目的地址属于电信的使用电信出口线路。优点：路由设置简单；在基础电信运营商出口线路齐全，带宽足够的情况下，每个用户访问校外的任意站点，访问路径都是最优的，用户的访问体验很好。缺点：该方法在大部分实际应用中不是最优的。一般情况下，同时具有联通、电信、移动、教育网的运营商的出口线路的高校毕竟是少数；即便有了全部的出口，每个出口带宽也不是任意的。由于各个互联网提供商网内资源的不均衡性以及学校各个运营商出口带宽的有限性，所以各个运营商出口线路的使用率难于控制，用户的网络访问体验也不好。

根据源地址选路：对于特定的校内源IP地址，固定使用特定的互联网线路。优点：路由设置简单；可以根据各个线路的负载情况，来调整校内IP地址的使用线路，可以保证出口带宽的最优利用。由于网络内容服务商的多线路接入和CDN网络普及，该方法可以做到绝大部分的网站访问的体验是良好的。缺点：对于小部分没有采用多线路接入和CDN服务的站点访问路径长，体验会稍差一些。

综合上述的各种情况，决定对于校内用户，在出口路由器上实施按源IP路由的策略。同时为了保证外网特殊服务的可达性，对校外特殊的服务采用按目的地址的策略路由，优先级高于校内的普通用户。

1.3 DNS服务器分发

在智能DNS和CDN网络广泛使用的背景下，DNS的发布策略在很大程度上影响校内用户外访会话中的目的IP分布。例如，使用校园网的DNS服务器，如果服务器对校外的域名只是简单的递归查询，那么域名解析结果大都是教育网的IP，如果出口实施的是按目的地址路由的策略，那么教育网的线路负担就比较大。如果对用户发布运营商的DNS服务器地址，那么大部分的流量会流向对应的运营商线路。所以为了提高出口链路的使用率和用户访问外网的体验，DNS服务器需要合理的规划和配置。

首先为了保证对校内网络用户DNS解析的控制权，只对校内用户只发布学校自己的DNS服务器地址。例如：大连工业大学的授权域名服务器分别为：主DNS服务器：NS2.DLPU.EDU.CN，IP地址:210.30.48.8，辅助域名服务器为NS2.DLPU.EDU.CN，IP地址:210.30.48.7。

在保证了DNS解析控制权的前提下，需要对DNS服务器进行优化，使得使用运营商出口线路的校内网络用户，域名解析结果与使用该运营商的DNS服务器解析结果相一致。在这里我们以门户网站搜狐（www.sohu.com）为例（域名解析日期：2017-4-18，解析工具：DiG 9.3.2，客户端IP为：大连工业大学校内IP），来说明优化策略，具体结果如表1所示：

表1 出口线路运营商DNS解析结果对比

注：①配置出口路由器，使得访问运营商DNS服务器的数据都使用对应的运营商出口线路。

②IP地址位置来源参考www.ip138.com

从上表看，使用不同的互联网服务提供商提供的DNS服务器地址，对于相同的域名，解析出来的IP地址是不同的。由于为了保证DNS解析控制权，校网络信息中心只对用户发布了校园网的DNS服务器，为了保证校内客户机域名解析结果与其使用的运营商出口线路一致，需要在DNS服务器上设置对应的缓存和递归服务。

配置校DNS服务器，使得DNS服务器对于使用不同出口线路的客户机，承担不同的角色。对于使用教育网出口线路的校内客户机，校DNS服务器是一个使用教育网线路的递归服务器。对于使用电信出口的校内客户机，校DNS服务器是电信DNS服务器的一个缓存服务器，对于使用移动出口线路的校内客户机，校DNS服务器是移动DNS服务器的一个缓存服务器。如图2所示。

学校具体出口线路分配情况是：无线WLAN网络用户使用电信的出口线路，东山校区网络用户使用移动出口线路，其他的校内网络用户使用教育网的线路。校内的无线WLAN网络用户使用的电信出口和有线网络用户使用的出口线路（教育网或者移动出口线路）互为备份，只有出口线路中的两条同时出现故障时，校内网络用户才不能访问互联网。

图2 DNS多缓存策略示意图

2 DNS多缓存策略的实现

2.1 配置文件说明

学校使用BIND域名服务器软件提供DNS服务。实现DNS多缓存策略[7-10]的步骤为：①配置访问控制列表（ACL），定义使用不同线路的校内IP地址范围。②定义视图（VIEW），在视图中引用访问控制列表，使得该视图对那些IP地址生效。③配置转发器（for⁃warder），定义转发的服务器的IP地址。BIND域名服务器配置文件named.conf中的相关配置如下：

acl"acl_dianxin"{注：定义使用电信DNS服务器解析的访问控制列表。

10.31.0.0/16;注：无线WLAN的用户IP地址范围。

};

acl"acl_mobile"{注：定义使用移动DNS服务器解析的访问控制列表。

125.222.128.0/24;125.222.141.0/24;

……注：此处省略了其它IP地址段，这些IP为东山校区使用。

};

view"acl_dianxin"{

match-clients{acl_dianxin;};

注：该视图应用于名为acl_dianxin的访问控制列表中的所有IP地址。

……注：此处省略了其他配置。

forward only;注：配置该视图只做转发。

forwarders{118.118.118.1;219.149.6.99;};

注：将解析请求转发至电信DNS服务器。

};

view"acl_mobile"{

match-clients{acl_mobile;};

注：该视图应用于名为acl_mobile的访问控制列表中的所有IP地址。

……注：此处省略了其他配置。

forward only;注：配置该视图只做转发。

forwarders{211.140.197.58;211.137.32.178;};

注：将解析请求转发至移动DNS服务器。

};

view"any"{

match-clients{any;};

……注：此处省略了其它配置

注：其余的IP地址，使用默认处理，从教育网递归解析。

};

2.2 测试结果

校网络信息中心向用户公布DNS服务器的顺序是：首选DNS服务器是210.30.48.7，备用DNS服务器210.30.48.8。客户端在解析域名的时候首先使用的首选DNS服务器，只有在首选DNS服务器访问失败时，才使用备用DNS服务器。这里以www.sohu.com为例说明解析结果（解析日期：2017-5-19）如表2所示：

表2 校内不同客户端DNS解析结果对比

在测试中，使用三个不同的网络终端解析www.so⁃hu.com域名，第一个是Android手机，使用Wi-Fi连接校园WLAN网络，自动获取IP地址为10.31.10.175，首选 DNS服务器是 210.30.48.7，备用 DNS服务器为210.30.48.8。为了可管理性，所有的WLAN客户机分配的地址在10.31.0.0/16地址范围之内。在手机上运行Ping&DNS工具，使用校园网DNS服务器210.30.48.7解析域名www.sohu.com，解析得到的A记录为220.181.90.8，CNAME记录为fzw.a.sohu.com，与使用电信的DNS服务器解析结果一致，在出口路由器上使用策略路由，所有IP源地址属于10.31.0.0/16的客户机，使用电信600M线路访问互联网。

学校的东山校区是学生比较集中的地方，网络带宽需求比较大，所以将移动400M线路单独给其使用。学校对于有线网络，使用分配静态IP地址的策略。测试使用的PC是Windows客户端，IP地址是125.222.128.158，配置的首选DNS服务器为210.30.48.7，备用 DNS服务器为 210.30.48.8。使用windows系统自带的域名解析工具nslookup.exe进行测试，对www.sohu.com进行解析，解析得到的A记录为112.29.145.64、112.25.24.134和111.13.123.160，CNAME记录为fbjyd.a.sohu.com，与使用移动DNS服务器解析结果相一致，配合出口的策略路由，使东山校区的网络用户使用移动400M线路访问互联网。

学校其他楼宇的有线客户端同样使用静态IP地址的策略。测试使用的PC是Windows客户端，IP地址为210.30.48.167，配置的首选DNS服务器为210.30.48.7，备用DNS服务器为210.30.48.8。使用ns⁃lookup.exe工具解析www.sohu.com的结果为：A记录是115.25.217.12，CNAME记录为 fcer.a.sohu.com，是校DNS服务器的递归解析结果。在出口路由器上设置策略路由，使其他楼宇的有线客户端使用教育网500M线路访问互联网。

3 结语

通过对BIND域名服务器的VIEW，ACL和FOR⁃WARDER功能的联合使用，成功的解决了校内不同的客户端在使用同一个校园网DNS服务器的前提下，得到与该客户及使用的校园网出口线路相匹配的解析结果，不仅保证了网络用户访问互联网浏览体验，同时由于只对校内的网络客户机发布校园网的DNS服务器，保证了对校内用户DNS解析的控制权。而且通过修改DNS服务器的配置和校园网出口策略路由，可以在用户端配置零修改的情况下，调整用户使用的互联网出口线路，方便的校园网出口线路的使用优化。同样，通过对DNS服务器的ACL，VIEW和FORWARDER功能的合理配置，可同时实现学校授权域名的智能解析和校内客户端对非授权域名的优化解析。另外，考虑到部分教育网资源的特殊性，可以配置校DNS服务器对.edu.cn.的域名进行特殊处理，只进行递归解析。

[1]李海明，苏开宇.智能DNS在校园网多链路控制的应用.中国计量学院学报,2011(01):59-63+94.

[2]王允昕.DNS“缓存递归”分离架构.电信技术,2014(03):46-47.

[3]孙银青.组合型智能DNS系统在电信运营中的应用探讨.电信工程技术与标准化,2013(01):87-91.

[4]周亮.电信行业智能DNS实现负载均衡.价值工程,2010(16):167.

[5]孙杰贤.国内CDN市场面临新一轮洗牌.中国信息化,2014(14):46-47.

[6]吴金福，田野.中国大陆CDN的测量方法研究与性能分析.计算机工程与科学,2014(04):620-626.

[7]Microsoft TechNet,DNS Architecture.https://technet.microsoft.com/en-us/library/dd197427(v=ws.10).aspx.

[8]Microsoft TechNet,DNS Protocol.https://technet.microsoft.com/en-us/library/dd197470(v=ws.10).aspx.

[9]吴海涛与郭丽红,DNS协议分析与安全检测.计算机安全,2009(04):24-27.

[10]Paul Albitz C L.DNS and BIND,5th Edition[M].O'Reilly,2001.

单庆元（1978-），男，江苏人，实验师，本科，研究方向为网络管理

南峰（1979-），男，山东人，实验师，本科，研究方向为网络安全

2017-07-11

2017-09-26

Multi-Outlet;Intelligent DNS;DNS-Cache;Recursion

Application of DNS Multi-Cache Policy in Multi-Outlet Traffic Optimization

SHAN Qing-yuan，NAN Feng

（Network Information Center，Dalian Polytechnic University，Dalian 116034）

In the campus multi-outlet network circumstance,in order to ensure the experience of Internet access,internal network user must use the DNS server of the same Internet service provider.By only releasing the campus DNS server to internal network users,reasonable planning the using of campus outlets,configure the functions of ACL,VIEW and FORWARDER in DNS server and forward internal users'internet DNS requests to proper internet service provider.Through the above settings,under the premise that the campus can keep the DNS resolu⁃tion control,the Internat users get the DNS response are accordant with the outlet they using.It enhances the user experience of accessing the Internet and promotes the utilization of the campus outlets,meanwhile the outlets using policy adjustments are transparent to the user.

多出口；智能DNS解析；DNS缓存；递归

1007-1423（2017）29-0039-05

10.3969/j.issn.1007-1423.2017.29.010