基于智能DNS的多出口校园网研究.doc

基于智能DNS的校园网多出口访问研究陈卫民 湖南城市学院网络信息中心, 湖南益阳, 413000摘要：近年来，随着高校校园网的迅速发展，许多高校往往同时接入教育科研网、当地ISP等多条线路，针对如何更好地利用线路资源、加快不同ISP用户访问内部服务器等问题，本文以湖南城市学院校园网为例，提出基于智能DNS的多出口校园网建设思路，并提供了详细的配置实例和操作细节。关键词：多出口访问、智能DNS、校园网中图分类号：TP391Research of Multi-exports Access based on Intelligence DNS in Campus NetworkChen Weimin Network Information Center, Hunan City University, Yiyang, Hunan, 413000Abstract: In recent years, With the rapid development of campus networks, many colleges and universities often at the same access to education and scientific network, the local ISP, and other lines, how to take advantage of lines resources, speed up different ISP users to access internal server? The paper takes hunan city university campus network as an example , proposed multi-export based on intelligent DNS thinking of building the campus network and provides detailed configuration examples and details of the operation.Keywords: export access, intelligent DNS, campus network.0 引言随着信息与计算机技术的迅速发展和中国教育信息化的不断推进，高校信息化的程度越来越高。校园网作为高校信息化的基础设施，不仅推动了教育思想和教学手段的改革，而且通过先进的计算机技术和网络技术，构建了一个全方位的数字空间，为大学校园提供了丰富的信息载体，实现了校园内信息资源的数字化和共享。然而,由于国内多个ISP之间在互联互通上存在的严重障碍,致使不同网络用户访问非本ISP内的资源时出现访问速度慢或无法访问等问题。针对此问题，很多高校开通了中国教育和科研计算机网(CERNET)、中国电信 (China NET)、中国网通 (CNC)等多链路出口，并通过策略路由技术，很好地解决了校内用户访问CERNET、China NET、CNC等的瓶颈问题，使校内用户访问CERNET、China NET、CNC等的速度明显加快。但是此方案仍然存在校外不同ISP用户访问校内资源速度慢或不能访问的问题，同时传统的DNS服务技术也无法适应多出口智能解析校园网域名的需要。因此，如何根据校外用户IP，智能动态解析校园内部网络应用，使校外用户能通过最快线路访问到校园内部服务器,已成为各高校校园网急需解决的问题。1 DNS域名解析和智能DNSDNS域名解析(Domain Name System)的功能是实现主机域名和主机IP地址之间的相互转换。当用户在应用程序中输入主机域名时,DNS服务器可以将此域名解析为与之对应的IP地址。这种域名解析一般是静态的,即域名与IP地址是一一对应的。在实际应用中,我们虽然可以将一个域名解析成几个不同的IP地址以实现负载均衡,或将多个不同的域名解析成一个IP地址以实现虚拟主机,但它们仍然是一种静态方式的解析,不具备智能的、基于策略解析的功能。智能DNS最基本的功能是DNS服务器可以智能的判断访问主机的用户,然后根据不同的访问者和事先设定的策略,把域名分别解析到不同的服务器。例如,访问者是教育网用户,智能DNS服务器根据访问者的IP地址自动进行判断,然后根据策略将用户访问的域名解析到对应教育网线路出口的服务器。2 智能DNS在多出口校园网中的实现2.1校园网环境以湖南城市学院校园网为例。2.1.1校园网拓扑结构我校校园网现有教育网、电信和联通三个出口。H3C 7510E提供核心交换服务,前端通过H3C 6602做NAT和策略路由。网络拓扑如图1所示。图1 湖南城市学院校园网拓扑结构2.1.2静态策略路由校内用户对外网的访问方式,目前学校是通过在路由器上设置静态路由来匹配访问线路,具体路由配置情况如下所示。其中为中国电信下一跳地址，54为教育科研网下一跳地址，93为中国网通下一跳地址。ip route-static preference 60ip route-static 54 preference 60ip route-static 54 preference 60ip route-static 54 preference 60ip route-static 54 preference 60ip route-static 54 preference 60ip route-static 93 preference 60ip route-static 93 preference 60ip route-static 93 preference 60ip route-static 93 preference 60ip route-static 93 preference 602.1.3 NAT映射及域名解析我校的域名是，DNS服务器的IP地址为8。校园网提供的网络应用主机名和IP地址之间的对应关系如表1所示：表1 湖南城市学院主机名与不同IP地址之间的对应关系主机名内网私有IP地址China NET IP地址CERNET IP 地址CNC IP 地址www(学院主页)094Mail(邮件)3095blog(博客)00296其它根据表1中的对应关系,在支持NAT策略路由功能的路由设备上以静态NAT方式将每一个内网私有IP地址分别映射到3个外网地址上,从而使外网用户能够访问到内部网络中的这些服务器。2.2智能DNS配置2.2.1智能域名解析软件BIND BIND(Berkeley Internet Name Domain Service)是互联网上使用最为广泛的域名解析软件,目前有90%以上的域名服务器都使用BIND来解析。BIND由加州大学伯克利分校开发,目前有BIND8.x和BIND 9.x这两个不同发展方向的版本,其中BIND 8.x中融合了许多提高效率、增强稳定性和安全性的技术。而BIND 9.x则增加了一些新的应用功能,如支持Ipv6、提供公开密钥加密、支持多处理器、提供线程安全操作、提供增量区传送等。从BIND 9.x开始支持View功能,利用BIND 9.x中的View,在具体配置中通过View与ACL的协同工作,以实现根据用户源IP地址智能解析对应服务器的IP地址。如果要使同一个域名指向不同的3个网域,只需要在named.conf文件中通过ACL定义3个不同的网域,即View分别指向同一个域名的3个不同的网域,之后当处于不同View中的用户访问这个域名时,将通过BIND解析到不同网域对应的IP地址,从而实现了DNS的智能解析功能。目前BIND 9.x的最新版本为2011年5月5日发布的BIND9.8.0-P1,可在下载使用。2.2.2 BIND服务器的配置BIND可以在Unix、Linux或windows的环境下运行，本文以windows 2003为背景，采用BIND9.8.0-P1。1.下载BIND并安装下载下来是zip的压缩包，解压以后直接双击BINDInstall.exe安装，默认安装路径是C:WINDOWSsystem32dns。bind在win32下将自己注册成服务，服务名叫ISC BIND，程序名为named.exe，启动服务需要用一专有帐户，默认名称为named，密码由安装者自定义。点击安装以后，程序便安装在C:WINDOWSsystem32dns下，这时还不能启动bind服务，会报代号1067的错，得先经过配置。安装完毕后进入默认安装路径C:WINDOWSsystem32dns,给dns文件夹更改权限（NTFS分区必备操作）-属性-安全）, 添加named用户对此文件夹有读写权限。至此，BIND9安装结束。 2. BIND配置、生成rndc.key和rndc.conf文件（参照dnsbinreadme1st.txt的说明）以命令行模式进入C:WINDOWSsystem32dnsbin，a、执行 rndc-confgen -a 命令，此命令将在dnsetc文件夹下生rndc.key 文件。b、执行rndc-confgen rndc.conf 命令。此命令将在dnsbin目录下生成rndc.conf文件。说明：rndc是远程DNS服务器进程控制的英文简写，rndc的工作机制使用了/etc/rndc.key和/etc/rndc.conf两个配置文件，rndc.key文件为锁头，尽管它的名字为key; rndc.conf则是打开rndc.key锁头的对应钥匙，这两个文件可以使用rndc-confgen命令来生成，该命令采用的是对称加密算法。、生成named.root文件（根服务器地址文件） named.root是一个非常重要的文件，包含了Internet根服务器的名字和IP地址。当Bind接到客户端的查询请求时，如果本地不能解释，也不能在Cache中找到相应的数据，就会通过根服务器进行逐级查询。 生成方式: a、通过/domain/下载。 b、通过安装程序里的dig工具生成。以命令行模式进入C:WINDOWSsystem32dnsbin，执行dig ./etc/named.root，将在etc文件夹在生成named.root文件（前提条件：本机网络畅通，DNS服务器工作正常，建议DNS为ISP的用户采用此方式）、编写named.conf文件（默认配置文件）windows下安装完bind后默认etc文件夹下没有任何文件，所以named.conf文件需要自己创建。新建文本文档命名为named.conf，用记事本打开编写。4 结束语 本文分析了高校改造前存在的问题，给出了基于多网合一的校园网改造方案，希望会有助于我国高校校园网的建设，进而为我国迅速发展的高等教育事业出一份力。参考文献：1 许洸彧.基于多网合一的校园网建设南京铁道职业技术学院苏州校区的数字校园建设.电脑知识与技术,2010, 6(15):4334-43362 黄江浩,陈燕.基于安全策略的校园网架构.河北北方学院学报(自然科学版), 2010, 26(1):51-543 周温庆,梁松.ATM与以太网和IP技术的融合.电子设计应用, 2001, 5: 98-1004 王慧,卞艺杰.浅谈数字化校园中数据中心的建设J.大众科技,2006, 4:75-765 邱树伟.校园一卡通系统建设方案设计与实施.湖南工业大学学项目报,2010, 4:61-646 黄煜欣.校园信息平台建设与使用方案.中国计算机用户,2003, 26:33-347 徐利明,姜昱明.可漫游的虚拟场景建模与实现.系统仿真学报,2006, 1:120-1248 林永和. 校园网防病毒系统的设计和实施. 微计算机信息,2007, 12: 65-68作者简介: 陈卫民(1972), 男（汉族）