浅谈域名服务在提升高校网络访问中的几点应用

2014-07-17 10:13马迎张丹东范桢
中国教育信息化·基础教育 2014年4期

马迎+张丹东+范桢

摘 要:在多出口的高校网络中,提升校内外用户的网络使用的体验是非常重要的,例如网站及邮箱的访问速度、保障邮件可靠送达、减少垃圾邮件数量及调整网络出口流量等。中国人民大学通过在域名服务系统中进行相应的设计与实施,简单有效地解决了这些问题。

关键词:DNS;域名劫持;反垃圾邮件

中图分类号:TP393.1文献标志码: A文章编号:1673-8454(2014)08-0070-04

高校的信息化在师生学习生活中起到越来越重要的作用。校内外用户快速、有效、及时、准确获取校园网资源的需求越来越强烈。下面对我校如何通过对DNS的配置优化,解决我校网络中使用中遇到的部分问题,提升网络服务的品质进行介绍。

一、域名服务器部署架构

我校的DNS(Domain Name System)域名解析系统采用分布式部署,提供我校域的解析服务的DNS授权服务器与解析校内用户DNS请求的服务器分别部署。DNS授权服务器负责用户的我校域IPv4、IPv6的DNS域名请求的解析,采用主备方式。校内DNS域名请求服务器只做域名查询转发以及域名劫持。域名服务器组结构清晰,各DNS服务器的设备的负载率很低,大大降低了出现问题的影响范围。

我校校园网出口连接教育网、联通、电信链路。因为各运营商网络之间存在互联互通的问题,因此我校DNS授权域名主备服务器上有联通、教育网、电信的用户视图,对重要服务,我们根据用户源地址不同,动态解析出用户对应的网络IP地址,便于快速访问。如图1所示。

二、DNS在网络访问中的几点应用

1.对学校主页等重要应用做域名劫持

一个单位的门户网站是否能够快速访问,在某种程度上代表了一个单位的信息化水平的高低。我校的主页等信息服务不但服务于校内用户,更是大众了解我校的窗口,为了提升用户的访问体验,学校主页服务器托管于运营商的IDC(互联网数据中心)机房,校外人员访问我校主页资源受到运营商的网络带宽和速度保障,校内用户访问主页时,DNS把此域名解析到校内一台主页的代理服务器,学校的主页代理服务器与主页服务器进行资源同步,校内用户的访问主页为内网访问,速度非常快。如图2所示,所有用户都能得到快速的访问体验。

(1)校外用户访问主页步骤

①校外用户向我校对外服务的DNS授权服务器B请求解析主页地址。

②我校对外服务的DNS服务器B解析返回主页所在IDC机房服务器的域名rucweb.sinaapp.com。

www IN CNAMErucweb.sinaapp.com.

③用户向rucweb.sinaapp.com所在的DNS服务器D请求解析地址。

④DNS服务器D解析出rucweb.sinaapp.com地址A.B.C.D。

⑤校外用户访问到IDC机房的主页服务器上的信息。

(2)校内用户访问主页步骤

①用户向校内DNS服务器C请求解析主页地址。

②校内DNS服务器C将请求转发到我校DNS授权服务器B。

③DNS授权服务器B返回托管于运营商机房主页域名rucweb.sinaapp.com。

④用户向校内DNS服务器C请求解析域名rucweb.sinaapp.com。

⑤校内DNS服务器C劫持到rucweb.sinaapp.com.域名请求,返回用户校内代理服务器的地址:E.F.G.H。

⑥用户访问校内代理服务器上的信息。

说明:校内主页代理服务器定时与主页服务器同步信息。

域名服务器C的配置:

zone "rucweb.sinaapp.com" IN {

type master;

file

"/etc/bind/db.rucweb.sinaapp.com";

allow-update { none; };

};

db.rucweb.sinaapp.com文件内容:

@ IN SOAns1.ruc.edu.cn.

ns2.ruc.edu.cn. (

6 ; serial

10m; refresh

15m; retry

30m ; expire

5m ); minimum

@ INNSns1.ruc.edu.cn.

ns1 INA 202.112.112.101

@ INA222.29.240.20

//代理服务器的地址

2.DNS在邮件服务的域名解析中的使用及作用

高校的用户邮箱是每位师生对内外联系的身份的标志。邮件服务器部署在校内,校外或国外用户访问邮件速度慢,垃圾邮件过多,邮件被国外邮箱退信、拒收等是高校邮件系统经常遇到的问题,因此用户对学校邮箱使用率很低。为了解决这个棘手的问题,除了在邮件系统本身进行设置,我们还从邮件协议上着手,从邮件传输上处理解决这些问题。

(1)提高用户邮件访问速度的感知

为了提高用户访问邮箱的速度,首先分析一下邮件服务在DNS中使用的相关记录:

①SMTP:是Simple Message Transfer Protocol(简单邮件传输协议)的缩写,默认端口是25。SMTP主要负责邮件的转发,以及接收其他邮件服务器发来的邮件。

②POP3:是Post Office Protocol3(邮局协议3)的缩写,默认端口是110。邮件客户端使用POP3协议连接邮件服务器收邮件。

③IMAP:是Internet Message Access Protocol的缩写,主要提供通过Internet获取信息的一种协议。IMAP像POP那样提供了方便的邮件下载服务,让用户能进行离线阅读等。IMAP提供的摘要浏览功能可以让你在阅读完所有的邮件到达时间、主题、发件人、大小等信息后才作出是否下载的决定。

图3中显示邮件发送接受所用到的各个协议。

因为中国的教育网及各运营商的网络之间存在互连互通问题,如果重要应用只使用教育网的地址,势必造成用户访问速度很慢。因此我校在教育网和联通分别申请了邮件服务,做了rDNS,在学校的出口防火墙做了邮箱教育网地址与公网地址的NAT转换,给邮箱服务器做了双地址解析。 用户对邮件系统使用快慢感知主要体现在用户打开邮件服务器Web界面速度的感知上,而用户对邮件从发送邮件服务器送达接收邮件服务器的快慢是不在意的。我校根据用户的源IP地址,动态解析出来对应的邮件主页地址,这样用户的访问速度都很快。邮件系统发送邮件(smtp)、接收邮件(pop3、imap)是邮件客户端与邮件服务器之间的数据传输,所以邮件记录(smtp、pop3、imap)动态解析出与用户的源地址为相应的运营商地址,保障邮件发送、接收的顺畅。

(2)提高邮件接收性

邮件系统要保障每封邮件可达。在一段时间内,邮件无法及时送到收件人邮箱的事件时有发生。邮件是否发出、送达到对方的邮箱和MX记录密切相关。

MX(Mail Exchanger)记录是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。MX记录的作用是给寄信者指明某个域名的邮件服务器有哪些。例如,当Internet上的某用户要发一封信给webmaster@ruc.edu.cn 时,该用户的计算机将通过DNS查找ruc.edu.cn这个域名的MX记录,假如MX记录存在,用户计算机就将邮件发送到MX记录所指的邮件服务器上。MX服务是验证在域名服务器中是否有发件邮箱后缀。为了避免因网络结构不同导致的邮件收发不了的问题,MX的值要与教育网申请的邮箱服务的ip地址的值一致。

综上,我们在DNS中对邮件服务做了如下配置:

① 教育网用户解析出来的地址:

mailIN A 222.29.216.17(邮件主页教育网地址)

pop3IN A 222.29.216.11(教育网地址)

smtpIN A 222.29.216.11(教育网地址)

imapIN A 222.29.216.11(教育网地址)

mx IN A 222.29.216.11(教育网地址)

② 公网用户解析出来的地址:

mailIN A218.106.181.17(邮件主页公网地址)

pop3IN A218.106.181.11 (公网地址)

smtpIN A218.106.181.11 (公网地址)

imapIN A218.106.181.11 (公网地址)

mx IN A222.29.216.11 (教育网地址)

如表1所示,说明各个ip地址值的设定原因。

(3)依据邮件安全策略要求,提高邮件的可达性,减少被当作垃圾邮件的可能

为了有效防范、抑制随意伪造邮件地址发送垃圾邮件,很多国外的邮件服务器都配置了SPF检查项,如果学校的DNS中不配置TXT记录SPF项,学校的邮件很容易被当作垃圾邮件抛弃掉。同时为了防止本校的邮箱接受大量伪造邮箱的垃圾邮件,也需要在邮箱服务器上设置SPF的检查要求项。

SPF是Sender Policy Framework(发送方策略框架)的缩写,2003年首次被提出,是为了防范垃圾邮件而提出来的,内容写在DNS的txt类型的记录里面,登记某个域名拥有的用来外发邮件的所有IP地址。其原理是将邮件头中的发件人地址(Reply Address)与该地址域名的TXT 解析记录进行比对,以判断该邮件是否为仿冒的电子邮件。当用户定义了他的域名SPF 记录之后,接收邮件方会根据该用户的SPF记录来确定连接过来的IP地址是否被包含在SPF 记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。

SPF 字符串的参数格式:

“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”

在DNS中设定TXT记录的SPF值为邮件服务器公网和教育网地址:

ruc.edu.cn. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"(我校邮箱的教育网及公网地址)

3.DNS在出口访问的引导作用

目前,因为各运营商网络之间的互连互通问题。很多大型网站将服务器部署在各运营商的IDC(Internet Data Center,互联网数据中心)机房,网站根据用户的源IP地址动态解析出用户所在网络的网站访问地址。我校的有三个校园网出口,用户通过域名访问,依据解析出目的地址所在的网络,并从相应的网络出口出去访问。通过对校内DNS外网访问的指向(forward),用户获得相应网络的IP地址解析的数量会更多,对用户链路访问走哪个互联网出口起到引导和调整的作用。

forward only;

forwarders {

219.141.136.10; 运营商的DNS服务器

8.8.8.8;运营商的DNS服务器

};

4.保障用户的外网域名访问的健壮性

网络中的基础服务——域名服务器如果因为链路或系统等原因出现故障,将会导致校内用户上网的全面瘫痪,为了保障域名访问始终有效,我们在交换机上配置dhcp pool(地址池)指定DNS时,第一个DNS配置为校内DNS服务器地址,第二个配置为公网长期、稳定的运营商DNS地址,即使校内DNS出现链路或服务器故障,断开校内DNS服务器链路,用户DNS请求自动跳转到第二个DNS服务器,不会影响到用户的主要业务——外网访问。交换机配置如下:

#ip dhcp pool pool1

ip-pool pool1

lease-time 7 0 0

default-router10.34.1.1

dns-server10.21.1.2058.8.8.8

因为运营商之间的互联互通引起的网络互访问题,我们通过对DNS的调整解决了网络访问不畅的部分问题,达到了很好的效果。

参考文献:

[1]wikipedia Home Page [EB/OL]. http://en.wikipedia.org /wiki/Sender_Policy_Framework.

[2]百度百科[EB/OL].http://baike.baidu.com/link?url=DF8TV0ZpPZTtIPE9Fn64omTpK0QRyJhESaok_1KuuXspBI1yfe4cyebB_jsEb-QR.

(编辑:鲁利瑞)

(2)提高邮件接收性

邮件系统要保障每封邮件可达。在一段时间内,邮件无法及时送到收件人邮箱的事件时有发生。邮件是否发出、送达到对方的邮箱和MX记录密切相关。

MX(Mail Exchanger)记录是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。MX记录的作用是给寄信者指明某个域名的邮件服务器有哪些。例如,当Internet上的某用户要发一封信给webmaster@ruc.edu.cn 时,该用户的计算机将通过DNS查找ruc.edu.cn这个域名的MX记录,假如MX记录存在,用户计算机就将邮件发送到MX记录所指的邮件服务器上。MX服务是验证在域名服务器中是否有发件邮箱后缀。为了避免因网络结构不同导致的邮件收发不了的问题,MX的值要与教育网申请的邮箱服务的ip地址的值一致。

综上,我们在DNS中对邮件服务做了如下配置:

① 教育网用户解析出来的地址:

mailIN A 222.29.216.17(邮件主页教育网地址)

pop3IN A 222.29.216.11(教育网地址)

smtpIN A 222.29.216.11(教育网地址)

imapIN A 222.29.216.11(教育网地址)

mx IN A 222.29.216.11(教育网地址)

② 公网用户解析出来的地址:

mailIN A218.106.181.17(邮件主页公网地址)

pop3IN A218.106.181.11 (公网地址)

smtpIN A218.106.181.11 (公网地址)

imapIN A218.106.181.11 (公网地址)

mx IN A222.29.216.11 (教育网地址)

如表1所示,说明各个ip地址值的设定原因。

(3)依据邮件安全策略要求,提高邮件的可达性,减少被当作垃圾邮件的可能

为了有效防范、抑制随意伪造邮件地址发送垃圾邮件,很多国外的邮件服务器都配置了SPF检查项,如果学校的DNS中不配置TXT记录SPF项,学校的邮件很容易被当作垃圾邮件抛弃掉。同时为了防止本校的邮箱接受大量伪造邮箱的垃圾邮件,也需要在邮箱服务器上设置SPF的检查要求项。

SPF是Sender Policy Framework(发送方策略框架)的缩写,2003年首次被提出,是为了防范垃圾邮件而提出来的,内容写在DNS的txt类型的记录里面,登记某个域名拥有的用来外发邮件的所有IP地址。其原理是将邮件头中的发件人地址(Reply Address)与该地址域名的TXT 解析记录进行比对,以判断该邮件是否为仿冒的电子邮件。当用户定义了他的域名SPF 记录之后,接收邮件方会根据该用户的SPF记录来确定连接过来的IP地址是否被包含在SPF 记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。

SPF 字符串的参数格式:

“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”

在DNS中设定TXT记录的SPF值为邮件服务器公网和教育网地址:

ruc.edu.cn. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"(我校邮箱的教育网及公网地址)

3.DNS在出口访问的引导作用

目前,因为各运营商网络之间的互连互通问题。很多大型网站将服务器部署在各运营商的IDC(Internet Data Center,互联网数据中心)机房,网站根据用户的源IP地址动态解析出用户所在网络的网站访问地址。我校的有三个校园网出口,用户通过域名访问,依据解析出目的地址所在的网络,并从相应的网络出口出去访问。通过对校内DNS外网访问的指向(forward),用户获得相应网络的IP地址解析的数量会更多,对用户链路访问走哪个互联网出口起到引导和调整的作用。

forward only;

forwarders {

219.141.136.10; 运营商的DNS服务器

8.8.8.8;运营商的DNS服务器

};

4.保障用户的外网域名访问的健壮性

网络中的基础服务——域名服务器如果因为链路或系统等原因出现故障,将会导致校内用户上网的全面瘫痪,为了保障域名访问始终有效,我们在交换机上配置dhcp pool(地址池)指定DNS时,第一个DNS配置为校内DNS服务器地址,第二个配置为公网长期、稳定的运营商DNS地址,即使校内DNS出现链路或服务器故障,断开校内DNS服务器链路,用户DNS请求自动跳转到第二个DNS服务器,不会影响到用户的主要业务——外网访问。交换机配置如下:

#ip dhcp pool pool1

ip-pool pool1

lease-time 7 0 0

default-router10.34.1.1

dns-server10.21.1.2058.8.8.8

因为运营商之间的互联互通引起的网络互访问题,我们通过对DNS的调整解决了网络访问不畅的部分问题,达到了很好的效果。

参考文献:

[1]wikipedia Home Page [EB/OL]. http://en.wikipedia.org /wiki/Sender_Policy_Framework.

[2]百度百科[EB/OL].http://baike.baidu.com/link?url=DF8TV0ZpPZTtIPE9Fn64omTpK0QRyJhESaok_1KuuXspBI1yfe4cyebB_jsEb-QR.

(编辑:鲁利瑞)

(2)提高邮件接收性

邮件系统要保障每封邮件可达。在一段时间内,邮件无法及时送到收件人邮箱的事件时有发生。邮件是否发出、送达到对方的邮箱和MX记录密切相关。

MX(Mail Exchanger)记录是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。MX记录的作用是给寄信者指明某个域名的邮件服务器有哪些。例如,当Internet上的某用户要发一封信给webmaster@ruc.edu.cn 时,该用户的计算机将通过DNS查找ruc.edu.cn这个域名的MX记录,假如MX记录存在,用户计算机就将邮件发送到MX记录所指的邮件服务器上。MX服务是验证在域名服务器中是否有发件邮箱后缀。为了避免因网络结构不同导致的邮件收发不了的问题,MX的值要与教育网申请的邮箱服务的ip地址的值一致。

综上,我们在DNS中对邮件服务做了如下配置:

① 教育网用户解析出来的地址:

mailIN A 222.29.216.17(邮件主页教育网地址)

pop3IN A 222.29.216.11(教育网地址)

smtpIN A 222.29.216.11(教育网地址)

imapIN A 222.29.216.11(教育网地址)

mx IN A 222.29.216.11(教育网地址)

② 公网用户解析出来的地址:

mailIN A218.106.181.17(邮件主页公网地址)

pop3IN A218.106.181.11 (公网地址)

smtpIN A218.106.181.11 (公网地址)

imapIN A218.106.181.11 (公网地址)

mx IN A222.29.216.11 (教育网地址)

如表1所示,说明各个ip地址值的设定原因。

(3)依据邮件安全策略要求,提高邮件的可达性,减少被当作垃圾邮件的可能

为了有效防范、抑制随意伪造邮件地址发送垃圾邮件,很多国外的邮件服务器都配置了SPF检查项,如果学校的DNS中不配置TXT记录SPF项,学校的邮件很容易被当作垃圾邮件抛弃掉。同时为了防止本校的邮箱接受大量伪造邮箱的垃圾邮件,也需要在邮箱服务器上设置SPF的检查要求项。

SPF是Sender Policy Framework(发送方策略框架)的缩写,2003年首次被提出,是为了防范垃圾邮件而提出来的,内容写在DNS的txt类型的记录里面,登记某个域名拥有的用来外发邮件的所有IP地址。其原理是将邮件头中的发件人地址(Reply Address)与该地址域名的TXT 解析记录进行比对,以判断该邮件是否为仿冒的电子邮件。当用户定义了他的域名SPF 记录之后,接收邮件方会根据该用户的SPF记录来确定连接过来的IP地址是否被包含在SPF 记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。

SPF 字符串的参数格式:

“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”

在DNS中设定TXT记录的SPF值为邮件服务器公网和教育网地址:

ruc.edu.cn. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"(我校邮箱的教育网及公网地址)

3.DNS在出口访问的引导作用

目前,因为各运营商网络之间的互连互通问题。很多大型网站将服务器部署在各运营商的IDC(Internet Data Center,互联网数据中心)机房,网站根据用户的源IP地址动态解析出用户所在网络的网站访问地址。我校的有三个校园网出口,用户通过域名访问,依据解析出目的地址所在的网络,并从相应的网络出口出去访问。通过对校内DNS外网访问的指向(forward),用户获得相应网络的IP地址解析的数量会更多,对用户链路访问走哪个互联网出口起到引导和调整的作用。

forward only;

forwarders {

219.141.136.10; 运营商的DNS服务器

8.8.8.8;运营商的DNS服务器

};

4.保障用户的外网域名访问的健壮性

网络中的基础服务——域名服务器如果因为链路或系统等原因出现故障,将会导致校内用户上网的全面瘫痪,为了保障域名访问始终有效,我们在交换机上配置dhcp pool(地址池)指定DNS时,第一个DNS配置为校内DNS服务器地址,第二个配置为公网长期、稳定的运营商DNS地址,即使校内DNS出现链路或服务器故障,断开校内DNS服务器链路,用户DNS请求自动跳转到第二个DNS服务器,不会影响到用户的主要业务——外网访问。交换机配置如下:

#ip dhcp pool pool1

ip-pool pool1

lease-time 7 0 0

default-router10.34.1.1

dns-server10.21.1.2058.8.8.8

因为运营商之间的互联互通引起的网络互访问题,我们通过对DNS的调整解决了网络访问不畅的部分问题,达到了很好的效果。

参考文献:

[1]wikipedia Home Page [EB/OL]. http://en.wikipedia.org /wiki/Sender_Policy_Framework.

[2]百度百科[EB/OL].http://baike.baidu.com/link?url=DF8TV0ZpPZTtIPE9Fn64omTpK0QRyJhESaok_1KuuXspBI1yfe4cyebB_jsEb-QR.

(编辑:鲁利瑞)