基于智能DNS 的校園宿舍網(wǎng)出口流量調(diào)控

繆元照，劉志南

（1.天津美術(shù)學(xué)院信息化工作辦公室，天津300141；2.天津市嘉仕科技股份有限公司，天津300384）

0 引言

校園網(wǎng)宿舍網(wǎng)絡(luò)已成為數(shù)字校園的重要組成部分，在大學(xué)生的學(xué)習(xí)、生活中占據(jù)重要地位，已經(jīng)成為高校信息化建設(shè)的重點關(guān)注區(qū)域。學(xué)生宿舍網(wǎng)的建設(shè)和管理已成為高校校園網(wǎng)重要的組成部分，也是校園網(wǎng)管理的難點問題。傳統(tǒng)的模式有高校自主建設(shè)運營和運營商獨家投資建設(shè)運營兩種，運營商獨家運營存在收費較高、用戶因?qū)拵暇W(wǎng)與手機綁定而無法自主選擇、無法順暢訪問校園網(wǎng)數(shù)字資源的問題，而且隨著工信部多次發(fā)文規(guī)范運營商在校園內(nèi)的經(jīng)營行為[1-2]，很多大學(xué)宿舍網(wǎng)多家運營商共同接入的運營模式開始出現(xiàn)[3-4]。

天津美術(shù)學(xué)院師生使用校園網(wǎng)對于設(shè)計素材和一些影視的下載和在線瀏覽觀看是專業(yè)學(xué)習(xí)和提升的重要組成部分，同時校園網(wǎng)以各種應(yīng)用服務(wù)系統(tǒng)為載體，將教學(xué)、科研、管理和校園生活進行充分融合，將院系、學(xué)生與教師緊密地聯(lián)系在一起，是教職員工和學(xué)生獲取資源和信息的主要途徑，已成為校園工作、學(xué)習(xí)和生活中不可或缺的一部分。由于學(xué)校規(guī)模不大，學(xué)生對于校園資源的依賴比較大，天津美術(shù)學(xué)院校園宿舍網(wǎng)絡(luò)一直是堅持自己建設(shè)、自己運行的模式。如何優(yōu)化宿舍網(wǎng)絡(luò)，滿足學(xué)生對于網(wǎng)絡(luò)需求，提高滿意度是校園網(wǎng)建設(shè)的重要組成部分。

1 天津美術(shù)學(xué)院校園網(wǎng)宿舍網(wǎng)絡(luò)基本情況

天津美術(shù)學(xué)院宿舍網(wǎng)是2014 年開始建設(shè)，2017 年進行了校園網(wǎng)核心及主干升級改造，天津美術(shù)學(xué)院校園網(wǎng)采用銳捷的極簡大二層網(wǎng)絡(luò)部署方式，使用兩臺銳捷RG-N18010 交換機做橫向虛擬化為一臺邏輯設(shè)備作為校園網(wǎng)核心交換機，北校區(qū)部署2 臺銳捷的萬兆匯聚交換機，橫向虛擬化為一臺邏輯設(shè)備，通過雙萬兆聚合鏈路與南院核心通過二層互聯(lián)，兩個校區(qū)之間的連接通過2 條不同路由的10G 光纖鏈路實現(xiàn)鏈路聚合捆綁互聯(lián)，保證兩個校區(qū)的互聯(lián)帶寬速率和可靠性。

南北兩個校區(qū)的所有業(yè)務(wù)網(wǎng)管都設(shè)置在兩臺虛擬化RG-N18010 上。RG-N18010 的兩塊無線控制器板卡同樣做虛擬化，兩臺MSC 板卡虛擬化的方式流量控制，將用戶流量引流到MSC 板卡進行流量統(tǒng)計。由虛擬化的RG18010 交換機進行擔(dān)任大二層網(wǎng)關(guān)設(shè)備，配合銳捷的SAM+和MCS 業(yè)務(wù)流量計費板卡，實現(xiàn)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的Web 認證和802.1x 認證的無感知認證的配合，實現(xiàn)無線用戶通過802.1x 認證上網(wǎng)，有線用戶通過Portal 認證上網(wǎng)，全部校園實現(xiàn)無線信號的覆蓋。

南校區(qū)后綜合樓（教師工作室及部分教學(xué)區(qū)域）采用智分+的無線網(wǎng)絡(luò)覆蓋，由主AP 可以通過網(wǎng)線下聯(lián)24 個微AP 進行供電，并實現(xiàn)對微AP 的統(tǒng)一管理，微AP 部署到房間內(nèi)，支持IEEE 802.11ac 標準，確保在屋內(nèi)無線信號滿格和高速率接入，并且在走廊內(nèi)部署放裝AP。

網(wǎng)絡(luò)認證計費系統(tǒng)采用銳捷SAM+企業(yè)版，同時提供自助服務(wù)平臺，便于用戶進行密碼的修改和信息的查詢，提升了認證的效率，天津美術(shù)學(xué)院校園網(wǎng)免費提供師生員工網(wǎng)絡(luò)服務(wù)。

天津美術(shù)學(xué)院學(xué)生宿舍區(qū)未布設(shè)有線網(wǎng)絡(luò)，全部采用無線網(wǎng)絡(luò)全覆蓋，2014 年開始建設(shè)，是天津市第一家實現(xiàn)宿舍網(wǎng)無線全覆蓋的高校。南北校區(qū)宿舍采用銳捷智能分布式（二代）無線系統(tǒng)解決方案，采用六類綜合布線系統(tǒng)，每個宿舍內(nèi)安裝專用室內(nèi)美化天線，保證無線覆蓋效果。二代智分型AP 采用雙路雙頻硬件架構(gòu)，可支持同時工作在802.11a/n 和802.11b/g/n模式。

天津美術(shù)學(xué)院校園網(wǎng)出口擁有CERNET、聯(lián)通、電信、移動四個運營商的網(wǎng)絡(luò)連接，其中CERNET 與天津教育科研城域網(wǎng)實現(xiàn)1000M 連接，聯(lián)通帶寬為1G，電信帶寬為600M，移動帶寬為400M，均為1000M 光纖接口。使用校園網(wǎng)邊界防火墻的策略路由技術(shù)，最大程度發(fā)揮設(shè)備性能，實現(xiàn)了路由鏈路的冗余和容錯，滿足校園網(wǎng)用戶對于網(wǎng)絡(luò)需求，提高用戶的滿意度。

2 基于智能DNS的天津美術(shù)學(xué)院宿舍網(wǎng)多出口流量調(diào)控

天津美術(shù)學(xué)院校園網(wǎng)使用策略路由技術(shù)完成校園網(wǎng)多出口建設(shè)，校園網(wǎng)用戶訪問根據(jù)目的地址的歸屬，路由選擇聯(lián)通、電信、移動等運營商線路，網(wǎng)絡(luò)流量平穩(wěn)，校園網(wǎng)用戶體驗比較好，但是在晚上高峰時期，由于宿舍網(wǎng)流量劇增，校園網(wǎng)出口，主要是聯(lián)通出口會發(fā)生一定的擁塞，而由于北方地區(qū)聯(lián)通的資源比較多，電信出口和移動出口，特別是移動出口的流量比較小。

北京郵電大學(xué)基于DNS 進行了流量的調(diào)度[5]，河海大學(xué)曾經(jīng)使用DNS 遞歸解析，將辦公網(wǎng)絡(luò)指向教育網(wǎng)，將宿舍網(wǎng)絡(luò)指向移動網(wǎng)絡(luò)[6]，大連工業(yè)大學(xué)采用DNS 多緩存策略優(yōu)化了多出口的流量[7]，浙江理工大學(xué)基于私有云集群部署了開源智能DNS[8]，引導(dǎo)了用戶訪問量的合理分流，實現(xiàn)了不同運營商出口網(wǎng)絡(luò)流量的負載均衡，提升了學(xué)校互聯(lián)網(wǎng)出口帶寬的使用效益。

本文選擇校園網(wǎng)私有云服務(wù)器資源池，在虛擬機上選擇CentOS 7 搭建智能DNS 主從服務(wù)器并使用智能DNS 對于天津美術(shù)學(xué)院南校區(qū)宿舍進行了流量調(diào)控，目的是在教學(xué)區(qū)及北校區(qū)宿舍區(qū)域依舊使用出口策略路由完成校園網(wǎng)多出口的選路，而在南校區(qū)宿舍采用智能DNS 進行選擇目的地址路由的工作，在保證用戶上網(wǎng)體驗的前提下，盡可能將流量更多指向移動接口和電信接口，緩解校園網(wǎng)聯(lián)通出口的壓力，提高宿舍網(wǎng)的可用性，整體提升校園網(wǎng)用戶的網(wǎng)絡(luò)使用體驗。

2.1 DNS主從服務(wù)器的構(gòu)建

在校園網(wǎng)私有云服務(wù)器集群資源上，VMware 虛擬機上安裝兩臺CentOS 7 系統(tǒng)[9-10]，過程不再贅述，CentOS 安裝需要設(shè)置主機名及IP 地址，設(shè)置DNS 服務(wù)器才可以正常工作，為了便于討論，主從服務(wù)器設(shè)置為Master DNS：192.168.216.8，Slave DNS：192.168.216.7，此處校園網(wǎng)真實IP 地址用192.168.地址代替，以后不再說明。需要特別說明的是CentOS 必須開啟，以保證主從兩臺服務(wù)器是始終處于安全防護之下的，DNS 服務(wù)器上線后，除了必要的DNS 服務(wù)和其他網(wǎng)絡(luò)管理需要的端口以外，其他端口一定是在防火墻禁止的狀態(tài)下。

兩臺CentOS 服務(wù)器通過yum install-y bind 命令安裝相應(yīng)的named 服務(wù)[11]，隨后確保主從服務(wù)器的時區(qū)時間一致，可通過安裝ntpdate 命令進行同步網(wǎng)絡(luò)時間。兩臺主從DNS 服務(wù)器的DNS 解析設(shè)置不再贅述，主要說明主從服務(wù)器的設(shè)置。

編輯修改主DNS 服務(wù)器/etc/named.rfc1912.zones：

編輯修改從DNS 服務(wù)器/etc/named.rfc1912.zones：

2.2 智能DNS的構(gòu)建

實現(xiàn)DNS 服務(wù)器的智能DNS 解析，需要設(shè)置view，就是將不同IP 地址段發(fā)來的查詢響應(yīng)到不同的DNS 解析。如需要對兩個不同的IP 地址段進行配置，就需要明確這些IP 地址段的范圍，這樣view 才能生效。需要注意的是，一旦使用了view，所有域都必須定義在view 中[12]。本文主要說明view 的定義，需要修改主DNS 服務(wù)器的named.conf：

2.3 宿舍網(wǎng)絡(luò)多出口流量的調(diào)控

智能DNS 服務(wù)器的view 配置，一般情況下是CERNET 免費列表需要進行梳理，凡是CERNET 直連地址，校園網(wǎng)用戶訪問需要路由選擇CERNET 線路，凡是學(xué)校圖書館購買的數(shù)據(jù)庫資源，校園網(wǎng)用戶訪問原則上路由選擇CERNET 線路，按照聯(lián)通、電信、移動運營商的地址列表，校園網(wǎng)用戶訪問根據(jù)目的地址的歸屬，路由選擇相關(guān)運營商線路。

南院宿舍區(qū)主要是造型學(xué)院（油畫、版畫、雕塑專業(yè)）、中國畫學(xué)院、人文學(xué)院研究生和本科生住宿，學(xué)生人數(shù)大概是1000 多人，約占天津美術(shù)學(xué)院總學(xué)生人數(shù)的1/3 左右，距離信息化辦公室距離很近，便于做測試和調(diào)試，本文選擇南院宿舍區(qū)，進行宿舍網(wǎng)絡(luò)多出口的流量調(diào)控。

首先是在學(xué)院DHCP 服務(wù)器進行設(shè)置，南院宿舍區(qū)的相關(guān)VLAN 中，當(dāng)南院宿舍區(qū)的無線網(wǎng)絡(luò)用戶登錄網(wǎng)絡(luò)獲取地址的時候，DNS 服務(wù)器直接推送為本文所設(shè)置的主從DNS 服務(wù)器，同時校園網(wǎng)出口策略路由不對于相關(guān)VLAN 地址進行路由選址，相關(guān)地址的上網(wǎng)訪問選路工作由智能DNS 服務(wù)器完成。

為了提高校園網(wǎng)多出口帶寬的利用率，在CERNET 線路路由不做大的調(diào)整的前提下，在測試網(wǎng)絡(luò)通達性完全可以滿足學(xué)生學(xué)習(xí)生活需求的前提下，將原本是聯(lián)通線路直連的地址，在view 的地址池強行指向電信出口或者是移動出口，從而提高電信出口，特別是移動出口的使用效率。

北京郵電大學(xué)基于DNS 的流量調(diào)度[5]，是使用遞歸算法進行的自動修正，但是自動修正是很難完全顧及到網(wǎng)絡(luò)使用者的上網(wǎng)體驗，因此本文采用手動測試調(diào)整view 的地址池的辦法，不完全根據(jù)目的地址的ISP 歸屬確定路由指向，而是在網(wǎng)絡(luò)通達性可以滿足的前提下，以流量為主導(dǎo)進行地址池配置，以提高帶寬的使用效益。

3 結(jié)語

本文選擇開源軟件系統(tǒng)，搭建智能DNS 主從服務(wù)器天津美術(shù)學(xué)院南校區(qū)宿舍進行了流量調(diào)控，在學(xué)校其他區(qū)域依舊使用出口策略路由完成校園網(wǎng)多出口的選路，而在南校區(qū)宿舍采用智能DNS 進行選擇目的地址路由，在保證校園網(wǎng)用戶的整體體驗的前提下，達到了調(diào)控多出口流量，提高校園網(wǎng)流量的使用效益。同時，CentOS 自帶防火墻功能，由于主從DNS 服務(wù)器是在校園網(wǎng)整體的安全防護體系中，因此安全性可以保證，設(shè)置主從DNS 服務(wù)器，就是為了防止因為單臺DNS 故障造成宿舍網(wǎng)絡(luò)的單點故障，雖然手工進行測試與設(shè)置view 地址池的方式會消耗比較多的人力，但是使用效果較好，能夠滿足天津美術(shù)學(xué)院宿舍網(wǎng)和校園網(wǎng)的管理需求。