基于智能DNS的双线路双IP校园网双出口方案的设计与实现
第31卷第3期2010年5月喀什师范学院学报Journal of Kashgar Teachers College Vol.32No.3May 2011基于智能DNS 的双线路双IP 校园网双出口方案
第31卷第3期2010年5月喀什师范学院学报
Journal of Kashgar Teachers College Vol.32No.3May 2011
基于智能DNS 的双线路双IP 校园网
双出口方案的设计与实现
皮宗辉
(喀什师范学院网络中心,新疆喀什844008)
摘
要:针对校园网双出口问题,提出了一种基于智能DNS 的双线路、双IP 与策略路由相结合的技术,根据用户
访问来源设定动态路由,使用户数据流按来源接口进出,高效解决了公网对校内资源访问的速度慢甚至无法访问的问题,提高了公网访问校内资源的速度.关键词:智能DNS ;校园网;双出口;双线路双IP 中图分类号:TP393.07
文献标识码:A
432X (2011)03-0058-04文章编号:1006-
随着高校校园网络用户规模的不断扩大和校园网功能不断增强,传统单一的教育网出口由于国际流量费用昂贵以及教育网与公网的互联带宽太许多高窄带来的带宽瓶颈等问题日显突出.为此,校都采用同时接入教育网(CERNET )和电信网(CHINANET )的双出口方案来提高校园网用户对公网资源的访问速度和降低网络使用费用.但是由于高校校园网使用的都是教育网IP ,校内资源都如果公网用户通过教育网来访问校内在教育网内,
资源,那么公网用户访问校内资源速度慢的瓶颈还是没有得到解决.如果再增加一套公网的DNS 和又会造成资源的重复浪费,同时域名资源服务器,
也会不统一.本文提出一种基于智能DNS 的双线双IP 的校园网双出口解决方案彻底解决从公路、
网访问校园网速度慢的问题.下面以我院网络为例详细阐述该问题.
于电信出口),对应公网的转换地址为218.84.175.
x.
图1双出口拓扑图
在实施双线路双IP 校园网的双出口过程中有几个问题必须解决:
(1)校内用户从哪个出口访问Internet 资源;(2)校外用户究竟从哪个出口、哪个IP 来访问校内的资源服务器;
(3)网站资源服务器内容究竟走哪个IP ,哪个出口返回给校外用户.
解决上述问题的基本思路:校内用户访问教育网资源的流量从教育网出口出入,访问非教育网资源的流量应从电信出口出入.校外用户访问校内资源时,教育网用户是从教育网出口进出,而公网用户从电信出口进出.对于校内资源Web 等服务器的路由按用户访问来源动态判别,使用户数据流按来源接口进出.
1双出口问题的提出及解决思路
图1是网络双出口拓扑图,有两个出口:一个
为教育网出口,另外一个为电信出口.校内用户全部使用教育网IP.下面以Web 服务为例说明问题.Web 服务器采用双线路双IP 配置.配置两块网卡,一块为教育网IP :218.195.192.x (用于教育网出另外一块为私有地址IP :192.168.100.x (用口),
09-20*收稿日期:2010-作者简介:皮宗辉(1976-),男,讲师,主要从事计算机网络技术及应用研究.
,第3期皮宗辉:基于智能DNS 的双线路双IP 校园网双出口方案的设计与实现
·59·
2问题解决的策略
(config-if )#ippolicy route-map dianxin //在VLAN 中map 策略启用route-(config )route-map dianxin permit 10
(config-route-map )#set ip next-hop 172.16.10.z //下一跳地址为防火墙
2.1策略路由(policy routing )与网络地址转换
(NAT )技术的实现
2.1.1核心交换机中基于目标的策略路由的设置
策略路由是一种基于目标网络进行更加灵活的数据包路由转发机制,通过识别不同的网络数据包从而按照预先设定好的策略进行转发的技术,它可以对网络数据包按不同的关键字段进行识别分
以决定其转发策略.策略路由技术可以有效的类,
控制网络用户数据包的流向和行为.
校园网用户访问外网资源时,首先在核心交换机中判别目的地址属于哪个网段,如果是教育网网段(教育网网段地址在CERNET 网站中可以查到)则把数据包转发到路由器,从教育网出口访问In-ternet 资源;如果是非教育网网段则把数据包转发
从电信出口访问Internet 资源.到防火墙,
[1]
策略路由在三层交换机(cisco6509)上设置静态路由配置,路由器地址为:172.16.10.y ;防火墙地
由于Web 服务器的IP :192.168.100.x 为私有
地址,必须在防火墙内配置静态NAT ,使内网私有地址与电信公网地址一一对应.
[Quidway ]nat static inside ip 192.168.100.x global ip 218.84.175.x //设置地址转换
[Quidway ]interface GigabitEthernet 0/1
[Quidway-GigabitEthernet 0/1]nat server protocol tcp global 218.84.175.x www inside 192.168.100.x www 设置内部www 服务器
//
2.2
址为:172.16.10.z.路由配置如下:
IP route 0.0.0.00.0.0.0172.16.10.z 路由,默认到防火墙
IP route 58.192.0.0255.240.0.0172.16.10.y IP route 60.247.0.0255.255.0.0172.16.10.y ……
//添加教育网网段IP 的路由到路由器
//配置静态
智能DNS 技术
通常的DNS 服务是把一个域名对应解析成一个IP 地址.智能DNS 是根据DNS 的服务程序BIND 提供的视图(VIEW )功能中的match-client 语
句,智能的把网站的域名根据不同的访问者IP 分别解析成不同地IP 地址.
[2]
智能DNS 的主要配置关键为/usr/local/named /etc目录下的named.conf 主配置文件和/var /named目录下正、反向解析文件.主配置文件/usr /local/named/named.conf 文件内容配置核心部分如下:
acl edu {
//定义名为edu ,包含教育网全部资源的
IP 网段的控制列表.
58.154.0.0/15;……};
//省略教育网IP 网段
//定义名为cernet 中的view
//匹配edu 列表中的教育
view “cernet ”{
2.1.2基于VLAN 的策略路由与NAT 技术实现
通过上述核心交换机的路由设置可以解决校
园网用户通过哪个出口访问外网资源的问题,为了实现校外用户能正常的访问校内资源,必须通过策略路由技术保障Web 等服务资源的双线路双IP
IP :192.中的IP :218.195.192.x 与教育网相通,
168.100.x 与电信相通.在核心交换机上配置基于VLAN 的策略路由,在防火墙上作网络地址转换.具体配置如下:
核心交换机基于VLAN 策略路由为
(config )#interfacevlan 206
//教育网IP 资源VLAN
(config-if )#descriptionedu-server
(config-if )#ip address 218.195.192.1255.255.255.0//教育网IP 资源段的网关
(config-if )#ippolicy route-map edu //在VLAN 中启用route-map 策略
(config )route-map edu permit 10
(config-route-map )#set ip default next-hop 172.16.10.y //下一跳为路由器
(config )interface vlan208
//公网IP 资源VLAN
(config-if )#description dianxin-server
(config-if )#ipaddress 192.168.100.1255.255.255.0//公网IP 资源段的网关
match-clients {edu ;};
网IP 网段
zone “192.195.218.in-addr.arpa ”IN {
type master ;
file “192.195.218.in-addr.arpa.zone ”;};
//教育网反向解析文件
zone “kstc.edu.cn ”IN {type master ;
file “kstc.edu.cn.edu.zone ”;解析文件
};
view “chinanet ”{view
match-clients {any ;};zone “kstc.edu.cn ”IN {
type master ;
file “kstc.edu.cn.public.zone ”;};
向解析文件
zone “175.84.218.in-addr.arpa ”IN {
type master ;
file “175.84.218.in-addr.arpa.zone ”;};//公网
//公网正
//匹配非教育网网段//定义名为chinanet 中的
};
//教育网正向
,·60·反向解析文件
};
喀什师范学院学报第32卷
[4]
动态路由,使用户数据流按来源接口进出,从原路返回.也就是说,如果用户从教育网出口访问校
配置/var/named目录下正、反向解析文件下
的正向文件和反向文件配置核心部分如下:
(1)教育网正向解析文件kstc.edu.cn.edu.zone 的主要内容为
www IN A 218.195.192.x ;
(2)教育网反向解析文件192.195.218.in-addr.arpa.zone 的主要内容为
x IN PTR www.kstc.edu.cn ;
(3)公网正向解析文件kstc.edu.cn.public.zone 的主要内容为
www IN A 218.84.175.x ;
addr.(4)公网反向解析文件75.84.218.in-arpa.zone 的主要内容为
x IN PTR www.kstc.edu.cn.2.3
资源服务器双线路双IP 路由配置
对于双线路双IP 资源服务器关键是如何配置
内资源,则用教育网网关做路由,返回资源数据流
相反用户从公网IP 访问校内资从教育网网卡出,
则用公网网关做路由,返回资源数据流从公网源,
具体配置方网关出.下面以本院Web 服务器为例,
法如下:
(1)添加路由表.
修改/etc/iproute2/rt_tables ,添加内容:
252tel 251edu
//公网路由表//教育网路由表
(2)添加路由规则如下:
ip route flush table tel
ip route add default via 192.168.100.1dev eth1src
192.168.100.x table tel
ip rule add from 192.168.100.x table tel ip route flush table edu
ip route add default via 218.195.192.1dev eth0src
218.195.192.x table edu
ip rule add from 218.195.192.x table edu
用户数据流的路由选择.下面介绍两种基于双网卡
的路由方法:静态路由规则和动态路由规则.2.3.1
静态路由
[3]
规则是根据资源服务器的两个分
别在不同网段的IP ,通过手工添加路由规则实现不同源/目的网段的数据包由指定的接口进出.具体如下:
Web 服务器教育网IP :218.195.192.x ,教育网网关:218.195.192.y
Web 服务器私有IP :192.168.100.x (对应防火墙中的公网转换地址218.84.175.x ),网关:192.168.100.y
route add-net 58.154.0.0netmask 255.254.0.0dev eth0
route add-net 58.192.0.0netmask 255.240.0.0dev eth0
……
//指定添加到EDU 的控制列表中的教育网网
段的数据包从eth0(教育网IP 的网卡)出
route add default gw 192.168.100.1dev eth1//指定非教育网网段的数据包从eth1(电信网卡)出
静态路由
为使系统重启后路由不丢失,需把上述路由写到/etc/rc.d /rc.local 系统自启动文件中,系统每次重启后都会自动执行路由策略.
目前,静态路由规则是一种很流行的解决办法,但是这种解决办法有其致命的缺点:教育网资
必须定期更新源网段地址的分布总是在不断变化,
路由表,而且难免万无一失,如果漏了一些网段,那
么这些网段的用户就无法访问校内网站资源.而动态路由规则可以很好解决这个问题.
2.3.2根据用户访问来源路径设定动态路由
根据用户访问资源的主机数据流的来源设定
以上规则即让从教育网IP 过来的请求从教育
从公网IP 过来的请求从公网路由返网路由返回,
回.
(3)把路由规则写入启动脚本.
把上述路由规则写到linux 系统中的/etc/rc.d /rc.local 系统自启动文件中,防止系统重启路由失效.
通过根据用户访问数据来源设定动态路由,可以很好的解决双线路双IP 的路由选择问题,提高网络的运行效果.2.4运行测试
经过以上几步的设置,基于智能DNS 的双IP 双线路的校园网出口解决方案全部配置完毕.下面我们分别在教育网与公网用tracert 命令进程域名解析与跟踪数据流走向进行测试.在教育网内的任
用tracert 进行测试:何主机上,
C :Documents and Settings �ministrator >tracert www.kstc.edu.cn
Tracing route to www.kstc.edu.cn [218.195.192.x ]over a maximum of 30hops :1*21ms 31ms 41ms 14173ms 15*16*159ms
*
*Request timed out
1ms 1ms 10.10.8.212ms 1ms 10.10.8.70<1ms 1ms 202.202.0.162225ms 189ms 202.201.189.62*
*Request timed out
178ms www.kstc.eduk.cn [218.195.
……//由于篇幅中间部分省略
,第3期192.x ]
Trace complete.
皮宗辉:基于智能DNS 的双线路双IP 校园网双出口方案的设计与实现
6125ms 125ms 564ms 218.84.175.x
·61·
tracert 进行测试在公网内的任何主机上,
C :Documents and Settings �ministrator >tracert www.kstc.edu.cn
218.84.175.x ]Tracing route to www.kstc.edu.cn [over a maximum of 30hops :11ms 3ms 1ms 192.168.5.1
2<1ms <1ms <1ms 192.168.100.331ms 1ms <1ms 124.118.136.1374**279ms 218.84.175.785***Request timed out
Trace complete.
从以上tracert 测试结果可以看出,教育网内主机把域名www.kstc.edu.cn 成功解析为Web 服务
公网内的主机把域器的教育网IP :218.195.192.x ,
名www.kstc.edu.cn 成功解析为Web 服务器的电
教育网用户访问Web 服务信IP :218.84.175.x ,
公网用户访问资源的数据流从教育网出口出入,
Web 服务资源的数据流从公网出口出入.用户访问Web 服务资源流程及数据流走向如下图2所示
.
图2校外用户访问校内资源流程及数据走向图
3结论
参考文献:
[1]周伟,郭海波.策略路由技术在高校校园网中的应用
[J ].成都信息工程学院学报,2006,(3).
[2]边永涛.智能DNS 策略解析在校园网中的应用[J ].计
2008.算机与信息技术,
[3]韩法旺.双网卡路由解决方案[J ].科技信息,2008,
(17).
实践证明智能DNS 的双线路双IP 技术与策略
有效的解决了校园网路由技术相结合的解决方案,
双出口从公网访问校园网资源速度慢甚至无法访
使网络设备和资源得到更加充分的利问的问题,
用,降低了网络运行成本,提高了用户访问校内资源的速度.
Design and Implementation of Campus Network Two-Connection
Project with Double-Line and Double IP Based on Intelligent DNS
PI Zong-hui
(Network Center ,Kashgar Teachers College ,Kashgar 844008,Xinjiang ,China )
Abstract :Aiming at the problem of campus network two-connection ,the paper provides a technique of double-line and double IP combined with policy routing based on intelligent DNS.It sets dynamic routing according to
user access sources ,allows user's data in and out according to source interface.It efficiently solves the problem of public network being slowly accessible or not accessible to campus network and enhances the speed of public
it makes reference for the project of network based on two-connec-network being accessible to campus resources ,tion construction.
Key words :Intelligent DNS ;Campus network ;Two-connection ;Double-line and double IP