智能DNS策略解析在校园网中的应用

边永涛(中国矿业大学现代教育技术中心，江苏 徐州 221008)摘 要 采用智能DNS 策略解析，结合电信防火墙上的静态NAT ，解决了校园网双出口通路中公网对校内服务器访问慢的问题。关键词 智能DN

边永涛

(中国矿业大学现代教育技术中心，江苏 徐州 221008)

摘 要 采用智能DNS 策略解析，结合电信防火墙上的静态NAT ，解决了校园网双出口通路中公网对校内服务器访问慢的问题。

关键词 智能DNS ；策略解析；BIND ；VIEW ；ACL

1 引言

由于CERNET 和CHINANET 之间桥接的带宽瓶颈问题，以及校园网单一出口的可靠性等问题，当前很多高校普遍采用同时接入教育网（CERNET ）和电信网（CHINANET ）的双出口方案，以提高校园网对公网的访问速度和降低网络使用费用。

通过采用双出口，校园网访问公网速度慢的问题得到解决，但反过来公网访问校园网慢的问题却更加突出了。正常情况下校园网服务器使用的是教育网的域名和IP 地址，所有对校园网服务器的访问都要走CERNET 链路，因此，尽管校园网拥有高速的CHINANET 链路，但公网用户却只能通过有着带宽瓶颈的教育链路才能访问到校园网的资源，这无疑是对CHINANET 出口链路的严重浪费。如果再增加一套域名和服务器是能够解决这个问题，但会增加额外的经费支出，同时校园网的域名也变得不再统一。中国矿业大学网络中心通过在电信防火墙上设置静态NAT ，在DNS 服务器上采取基于策略的域名解析服务，比较完善地解决了这一问题。

2 中国矿业大学校园网络基本情况介绍

我校校园网现有电信和教育科研网两个出口。具体网络拓扑如图1所示。

图1 网络拓扑

Cisco6513提供核心交换服务，Cisco6503作为边界路由器，并由其防火墙模块虚拟出电信和教育两个防火墙，提供安全保障。教育出口具备1G 物理带宽，由于教育网带宽限制，实际只有150M 。电信出口则具备1G 带宽。

3 校内用户对校外访问路由设置

校内用户对外网的访问，可以基于路由设置。教育防火墙IP 地址是192.168.200.6，电信防火墙地址192.168.200.2。具体路由配置情况如下所示。

ip route 0.0.0.0 0.0.0.0 192.168.200.2

ip route 58.154.0.0 255.254.0.0 192.168.200.6

ip route 58.192.0.0 255.254.0.0 192.168.200.6

ip route 58.194.0.0 255.254.0.0 192.168.200.6

ip route 58.196.0.0 255.254.0.0 192.168.200.6

ip route 58.198.0.0 255.254.0.0 192.168.200.6

ip route 58.200.0.0 255.248.0.0 192.168.200.6

……（表太大，限于篇幅只截取一部分，以下引用资料同此处）

用户访问外网，边界路由器Cisco6503首先判断目的地址属于哪个网络，如果是58.194.0.0这样的教育网段，路由器会把数据包转发到教育防火墙，如果目的地址不在教育网路由之列，路由器会采用缺省路由ip route 0.0.0.0 0.0.0.0 192.168.200.2，将数据包转发到电信防火墙。

4 公网访问校内资源存在的问题

通过上述静态路由设置，解决了校内用户访问外网的问题。但是，公网用户访问校内资源，却存在一个舍近求远的问题。

传统上，由于教育网与公网资源的不开放性，致使两种网络之间的互访存在问题。各地区电信跟当地校园网一般都有对接，但是公网用户在访问校园网资源时，却没有直接到校园网的路由，数据一般要绕道教育网链路，必然导致公网用户访问校园网资源比较慢。

5 公网访问校内资源的解决方法

为了解决这个问题，针对校园网服务器，可以在电信防火墙做静态NAT ，由NDS 服务器对校内用户与校外用户分别提供不同的域名解析服务。

以校园网BBS 为例。服务器域名为bbs.cumt.edu.cn ，内网IP 地址为202.119.199.87，公网地址为58.218.185.13。我们希望内网用户访问www 服务器直接访问202.119.199.87，公网用户访问BBS 服务器直接访问公网地址58.218.185.13，这样通过一对一的NA T 实现了对教育网IP 地址202.119.199.87的直接访问，相当于给这些服务器开了直通车，避免了公网用户访问数据的绕行。

5.1 NAT 设置

首先，在电信防火墙上做内网服务器IP 地址的静态NA T ，将内网服务器IP 与公网IP 地址做一一对应。

static (inside，outside) 58.218.185.3 202.119.200.138 netmask 255.255.255.255

static (inside，outside) 58.218.185.11 202.119.200.139 netmask 255.255.255.255

static (inside，outside) 58.218.185.12 202.119.199.17 netmask 255.255.255.255

static (inside，outside) 58.218.185.13 202.119.199.87 netmask 255.255.255.255

static (inside，outside) 58.218.185.14 202.119.199.112 netmask 255.255.255.255

static (inside，outside) 58.218.185.16 202.119.199.114 netmask 255.255.255.255

static (inside，outside) 58.218.185.41 219.219.76.2 netmask 255.255.255.255

static (inside，outside) 58.218.185.42 219.219.77.5 netmask 255.255.255.255

static (inside，outside) 58.218.185.43 219.219.33.222 netmask 255.255.255.255

static (inside，outside) 58.218.185.44 219.219.75.194 netmask 255.255.255.255

static (inside，outside) 58.218.185.45 219.219.32.8 netmask 255.255.255.255

static (inside，outside) 58.218.185.46 219.219.34.2 netmask 255.255.255.255

……

5.2 智能DNS 设置

Unix ／Linux 下的DNS 服务软件采用Berkeley 的BIND （Berkeley Internet Name Domain）程序。BIND 8或者以前的版本无法实现策略域名解析，从BIND 9开始具备View 语句，可以很好地解决这个问题。在BIND 主配置文件named.conf 中使用访问控制列表（ACL ），限制允许查询的主机列表，采用View 语句配置分离DNS 。

5.2.1 named.conf文件设置

[root@cumtdns2 named]# more /etc/named.conf

定义数据文件存放路径

options {

directory ”/var/named”；

}；

配置名称为“CERNET”的ACL ，列出所有教育科研网段

acl ”CERNET” {

58.154.0.0/15；

58.192.0.0/12；

59.64.0.0/12；

116.13.0.0/16；

116.56.0.0/15；

118.202.0.0/15；

118.228.0.0/15；

118.230.0.0/16；

121.48.0.0/15；

121.52.160.0/19；

121.192.0.0/14；

121.248.0.0/14；

122.204.0.0/14；

125.216.0.0/13；

162.105.0.0/16；

……

}；

定义名为view_cernet的view

view ”view_cernet” {

match-clients { CERNET； }；#允许CERNET 用户看到view_cernet

zone ”.” IN {

type hint；

file ”named.ca”；

}；

zone ”localhost” IN {

type master；

file ”localhost.zone”；

allow-update { none； }；

}；

zone ”0.0.127.in-addr.arpa” IN {

type master；

file ”named.local”；

}；

zone ”cumt.edu.cn” IN {

type master；

file ”cumt_cernet”； #教育网解析文件

}；

}；

定义名为view_any的view

view ”view_any” {

match-clients { any； }；#匹配公网用户的访问

zone ”.” IN {

type hint；

file ”named.ca”；

}；

zone ”localhost” IN {

type master；

file ”localhost.zone”；

allow-update { none； }；

}；

zone ”0.0.127.in-addr.arpa” IN {

type master；

file ”named.local”；

}；

zone ”cumt.edu.cn” IN {

type master；

file ”cumtctc”；#公网解析文件

}；

}；

5.2.2 配置cumt_cernet教育网解析文件

[root@cumtdns2 etc]# more /var/named/chroot/var/named/ cumt_cernet

cumt_cernet部分配置文件如下：

cace IN A 219.219.76.2

cese IN A 219.219.77.5

cmee IN A 219.219.33.222

siee IN A 219.219.75.194

sres IN A 219.219.32.8

scet IN A 219.219.34.2

www IN A 202.119.200.139

bbs IN A 202.119.199.87

info IN A 219.219.72.117

art IN A 219.219.38.2

mail IN A 202.119.199.17

lib IN A 121.248.104.140

……

5.2.3 配置cumtctc 公网解析文件

图2 内外网访问测试

[root@cumtdns2 etc]# more /var/named/chroot/var/named/ cumtctc

cumtctc 部分配置文件如下：

cace IN A 58.218.185.41

cese IN A 58.218.185.103

cmee IN A 58.218.185.43

siee IN A 58.218.185.44

sres IN A 58.218.185.45

scet IN A 58.218.185.46

www IN A 58.218.185.11

bbs IN A 58.218.185.13

info IN A 58.218.185.61

art IN A 58.218.185.54

mail IN A 58.218.185.12

lib IN A 58.218.185.72

……

这样配置完成，策略域名就可以正常工作了。其中教育网的网段列表可以从教育科研网（http ：//www.edu.cn/）获取。

以BBS 服务器为例，分别采用校内DNS （202.119.200. 10）与电信DNS （61.147.37.1）进行解析，结果如图2 所示。

6 结论

成功实现对来自公网和教育网用户的智能DNS 策略解析，解决了公网访问校园网速度慢这一长期困扰我们的问题。采用本方案后，公网用户对中国矿业大学校园网服务器的访问速度有了显著提高。

参考文献

[1]思科网络技术学院教程. 美.cisco system公司.cisco networking academy program著

[2]http：//void.skygate.cn/post/300/1586

[3]http：//publish.it168.com/2007/0615/20070615065101. shtml

[4]http：//hi.baidu.com/openx/blog/item/ 41520cdfc17512 126227987d. html

[5]http：//hi.baidu.com/lqlboy/blog/item/659fb70e7b6462 e737d1224c.html

收稿日期：６月２３日 修改日期：６月３０日

作者简介：边永涛（1979-），男，山东莱芜人，助教，主要研究方向：计算机网络安全。