高校互联网多出口链路环境下的跨网通信和链路均衡问题探索与实践

2021-04-20 14:38张文亮
网络安全技术与应用 2021年3期
关键词:IP地址链路解析

◆张文亮

高校互联网多出口链路环境下的跨网通信和链路均衡问题探索与实践

◆张文亮

(湖北科技学院 湖北 437100)

目前,我国网络运营提供商ISP主要分为四家:中国电信、中国移动、中国联通、中国教育网。不同运营商之间的互访是网络传输的最大瓶颈,这种瓶颈既有互连带宽的因素,也有网际结算的因素。电信与联通的互访、教育与电信的互访等,其速度和质量很难保障。在传统的模式下,客户将内网服务器映射到某个出口IP地址,DNS将用户请求固定解析到这个IP地址上,必将造成其他ISP网内用户采用跨网通讯的方式连入到服务器,其结果是质量无法保障,甚至无法访问。

跨网通信;映射;解析

1 高校互联网多出口链路运行现状

随着互联网上各种应用的普及和增长,对宽带的需求越来越高、对网络的依赖也越来越高。根据不同高校的网络运行经费实际情况,部分高校经费宽裕,可以采取提升带宽等方式解决网络拥堵,但有的高校经费紧张,没有足够的经费支付高昂的带宽费用。如何在不产生跨网通信和不降低用户体验的前提下,有效地提高中国移动等资费较低的出口线路的使用效率,为学校节省出口成本,是高校面临的现实问题。经过研究与实践,部署嵌入式智能DNS系统可以有效解决以上问题。

2 嵌入式智能DNS

嵌入式智能DNS定位为一款多出口网络环境下的网络优化系统,通过内置ISP地址库、动态监测出口负载、探测ISP网内资源分布等多种手段,同时优化inbound和outbound两个方向的流量结构,克服了传统负载分担方式的不足,为用户提供内外网智能解析、inbound服务不间断、屏蔽出口故障,减少跨网通信、基于域名的应用分流等功能,提供无感知的上网体验,提高各个出口的负载比例,提升客户网络的价值。

作为应用支撑平台,在多出口校园网环境中,DNS的重要性日益凸显,嵌入式智能DNS可以解决如下问题:

2.1 授权域智能解析

普通的DNS服务器只负责为用户解析出固定的IP记录,并不会判断用户从哪里来,这样会使得所有用户都只能解析到固定的IP地址(如教育网IP地址)上,造成运营商之间访问瓶颈。某高校将WWW 服务器映射到一个教育网IP,联通和电信用户访问该站点时,DNS服务器向外网用户解析教育网的IP地址。这样,报文需要跨网转发到教育网,然后再被递交到站点服务器,当教育网链路中断后,用户将不能访问学校的站点。

外网智能解析是针对目前电信与网通、教育网、移动等ISP之间互联互通问题推出的一种智能DNS解决方案。具体实现的效果是:把同样的域名(如www.bingchuan.net),网通的客户访问会返回一个指向“网通”服务器的IP地址,电信的客户访问会指向一个电信服务器的IP地址,教育网的客户访问会指向教育服务器的IP地址,通过这种方式,避免网通的客户去访问电信的网络,电信的客户去访问网通的网络以及教育访问其他的网络。部署外网智能DNS后,将避免跨ISP访问,从而明显提高访问的质量。

2.2 Inbound服务不间断

随着高校信息化建设的不断深入,越来越多的应用逐步通过网络部署,作为应用的基础支撑平台,为各类应用提供不间断的服务成为网络的基本要求。传统的智能DNS内置ISP地址库,可以根据请求的源IP地址返回相应的结果,从而避免用户通过跨网途径访问校园网资源。但仅仅实现外网智能解析功能是远远不够的,当学校某条出口中断后,DNS不会做相应的调整,仍然会导致应用中断。

如图1所示,学校将WWW解析到电信、教育和联通,实现外网智能解析。传统的DNS采用“被动响应、静态解析”的工作方式,当电信出口中断后,DNS不能动态地适应网络的变化,仍会将电信用户的访问请求解析到电信地址,从而导致服务中断。

图1 实现外网智能解析

智能DNS系统可以很好解决此类故障,确保学校的关键应用不因某个出口的故障而中断。通过SNMP协议,DNS系统可以实时地获取各个出口的负载和通断情况,当某条出口中断或负载达到指定阈值(如85%,在被攻击的情况下)时,DNS自动启用相应的智能解析策略,将后续请求,解析到正常链路对应的镜像地址上,确保应用不会因某一链路的中断或堵塞而受到影响。

2.3 内网智能解析

在多出口网络环境下,影响用户体验最主要的两个因素就是跨网通信和链路堵塞。跨网通信产生的根本原因是数据报文的目标地址(主要通过 DNS 解析)与出口转发策略不匹配,例如www.qq.com被解析成电信的镜像地址,但在防火墙上却被转发到联通出口,报文必须经过各个ISP之间的网际结算通道转发,延时和可靠性都得不到保障。

传统的负载分担方式在处理某个出口的堵塞时,只是简单地将后续流量切换到其他较空闲的出口上,并未更改报文的目标IP地址,切换过去的流量基本上都是跨网通信流量,这种以牺牲用户体验换取出口负载均衡的做法已经不适用于网络发展的需求。

智能DNS可以探测和收集每个域名在各个ISP的镜像地址,通过配置相应地策略,向用户返回指定ISP网内的镜像服务器IP地址,可以有效地减少跨网通讯。同时,通过与出口设备的交互机制,可探测到各出口链路的实时负载和通断情况,当某条出口链路的负载超过预定的“阔值”或出现中断故障时,可自动将后续流量(包括inbound和outbound)引导到其他出口上,避免“断网”产生大面积跨网通信和外部访问中断,降低故障的影响范围,待故障恢复后,可自动复原,整个过程无须人工干预。

通过大量的测试表明, DNS设备可以屏蔽出口故障,减少跨网通信,通过流量清洗,可以将网络质量提升到“电信级”运营水平,从而帮助客户降低运营成本。

3 智能DNS部署

智能DNS通常部署在“内网”或防火墙的DMZ区域,无论部署在何处,均需确保“DNS到出口ISP的DNS服务器的报文没有经过跨网转发”,如图2所示:

图2 DNS部署

智能DNS需与防火墙ISP路由联合部署,例如:在两条出口的环境下,存在ISP1和ISP2两条出口链路。防火墙出口也需配置两个出口地址。根据所在地网络资源分配情况,可以将互联网资源优势的ISP作为默认出口链路。若将IPS1配置为默认出口,ISP2就需要单独做策略路由配置。在防火墙的策略路由中将ISP2静态路由下一条地址指向至对应ISP2出口网关(静态路由地址表由ISP2提供)。然后通过防火墙NAT转换,经由ISP2所对应的NAT地址转换策略,进行转发访问互联网资源。DNS在收到用户域名解析请求后,经过DNS解析后得到的目的地址需要在防火墙路由表中进行匹配。若解析匹配后地址属于ISP1默认出口地址,则由防火墙直接进行NAT地址转发;若解析到的地址为ISP2地址,则在NAT地址转发策略中匹配响应的出口进行转发。从而实现了多出口链路访问。

4 结语

嵌入式智能DNS系统不仅仅可以解决以上问题,还可以有效的解决负载均衡,出口流量提升,第三方合作运营解析,IPv4/IPv6双栈,DNS系统安全和防护等问题。对高校的互联网多出口链路的优化起到了很大作用,最大程度提升了用户体验。通过链路解析策略优化,很大程度上提升了链路的带宽利用率,有效发挥了主备链路的优质互联网资源。同时也降低了因提升主链路带宽所需的宽带费。随着互联网资源的丰富,各运营商升级、优化,最终会实现真正意义上的ISP互联互通,才能彻底解决互联网跨网通信的问题。

[1]饶琰.基于智慧融合的校园网多出口链路负载均衡的构建[J].信息系统工程,2019(04):17-18

[2]程琦,陈灿.构建多层次的互联网DNS系统安全防护体系[J].现代电信科技,2017,47(05):61-66.

[3]盛广伟.高可用智能主从DNS系统在校园网中的应用[J].数字技术与应用,2017(07):111-113+116.

[4]胡宁,邓文平,姚苏.互联网DNS安全研究现状与挑战[J].网络与信息安全学报,2017,3(03):13-21.

猜你喜欢
IP地址链路解析
天空地一体化网络多中继链路自适应调度技术
三角函数解析式中ω的几种求法
基于星间链路的导航卫星时间自主恢复策略
铁路远动系统几种组网方式IP地址的申请和设置
睡梦解析仪
IP地址切换器(IPCFG)
电竞初解析
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
对称巧用解析妙解