蔣國(guó)明 黃文勝 柳曉佳

摘? ?要：本文以私有云集群部署開(kāi)源智能DNS，結(jié)合互聯(lián)網(wǎng)反向代理系統(tǒng)，有效解決了傳統(tǒng)單機(jī)DNS存在的域名解析服務(wù)瓶頸和單點(diǎn)故障問(wèn)題，并通過(guò)DNS和Squid反向代理的聯(lián)動(dòng)，優(yōu)化了內(nèi)網(wǎng)用戶及學(xué)校網(wǎng)站的互聯(lián)網(wǎng)訪問(wèn)速度。該系統(tǒng)已穩(wěn)定使用多年，用戶從互聯(lián)網(wǎng)訪問(wèn)學(xué)校網(wǎng)站的速度得到明顯提升，利用Freebsd Bind9多視圖（View）的智能DNS解析機(jī)制，有效引導(dǎo)了內(nèi)網(wǎng)用戶網(wǎng)頁(yè)訪問(wèn)量的合理分流，基本實(shí)現(xiàn)了不同運(yùn)營(yíng)商出口網(wǎng)絡(luò)流量的負(fù)載均衡，提升了學(xué)?；ヂ?lián)網(wǎng)出口帶寬的使用效益。

關(guān)鍵詞：智能DNS;反向代理;私有云;Freebsd;Squid

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2019）09-0093-04

一、引言

域名系統(tǒng)（Domain Name System，DNS）是互聯(lián)網(wǎng)的一項(xiàng)基本服務(wù)。它以分布式數(shù)據(jù)庫(kù)的方式完成域名和IP地址相互映射關(guān)系的定義，使得用戶能更方便地訪問(wèn)互聯(lián)網(wǎng)，DNS使用TCP和UDP 53端口提供域名解析服務(wù)。DNS系統(tǒng)中，常見(jiàn)的資源記錄類型主要有：

（1）主機(jī)記錄（A記錄）：在RFC 1035中定義，A記錄是用于域名解析的重要記錄，它將某個(gè)特定的主機(jī)名映射到對(duì)應(yīng)主機(jī)的IPv4地址上。

（2）別名記錄（CNAME記錄）：在RFC 1035中定義，CNAME記錄用于將某個(gè)別名指向某個(gè)A記錄上，如此就無(wú)需再為某個(gè)新的域名再創(chuàng)建一條新的A記錄。

（3）IPv6主機(jī)記錄（AAAA記錄）：在RFC 3596中定義，與A記錄類似，用于將某個(gè)特定的主機(jī)名映射到對(duì)應(yīng)主機(jī)的IPv6地址上。

DNS系統(tǒng)可由各種DNS軟件實(shí)現(xiàn)，例如BIND（Berkeley Internet Name Domain）就是一款使用比較廣泛的DNS開(kāi)源軟件。DNS有兩種查詢方式：遞歸查詢和迭代查詢。DNS客戶端設(shè)置的DNS服務(wù)器一般采用遞歸查詢方式，它負(fù)責(zé)全權(quán)處理客戶端的DNS查詢請(qǐng)求，直到返回最終的解析結(jié)果。DNS服務(wù)器之間一般采用迭代查詢方式。

校園網(wǎng)建設(shè)中，很多高校DNS一般會(huì)采用兩種部署模式：

（1）權(quán)威DNS和遞歸DNS統(tǒng)一部署在同一臺(tái)DNS服務(wù)器上，該服務(wù)器既提供校內(nèi)本地域名的權(quán)威解析，又提供互聯(lián)網(wǎng)域名的遞歸解析報(bào)文轉(zhuǎn)發(fā)工作。

（2）權(quán)威DNS和遞歸DNS分別部署在兩臺(tái)DNS服務(wù)器上，一臺(tái)服務(wù)器提供校內(nèi)本地域名的權(quán)威解析，另一臺(tái)服務(wù)器提供互聯(lián)網(wǎng)域名的遞歸解析報(bào)文轉(zhuǎn)發(fā)工作。

這兩種DNS的架構(gòu)存在以下缺陷：

（1）DNS服務(wù)器存在單點(diǎn)故障和服務(wù)不穩(wěn)定問(wèn)題。

（2）DNS服務(wù)器存在域名解析服務(wù)瓶頸。

（3）學(xué)校一般有多互聯(lián)網(wǎng)線路出口，DNS的架構(gòu)不合理將導(dǎo)致域名解析結(jié)果不是最優(yōu)，用戶訪問(wèn)網(wǎng)頁(yè)速度慢，出口網(wǎng)絡(luò)流量負(fù)載不均衡。

（4）當(dāng)校園的某個(gè)網(wǎng)絡(luò)出口出現(xiàn)故障時(shí)，某些用戶的域名解析服務(wù)可能會(huì)失敗。

（5）DNS一般部署在實(shí)體服務(wù)器上，不方便后期的系統(tǒng)配置遷移和快速部署。

二、系統(tǒng)方案

針對(duì)上述現(xiàn)狀及問(wèn)題，我校以私有云集群部署開(kāi)源智能DNS，并配套建設(shè)互聯(lián)網(wǎng)Squid反向代理系統(tǒng)，提供并實(shí)踐了一套相對(duì)完整的解決方案：

（1）校外用戶訪問(wèn)學(xué)校網(wǎng)站。建設(shè)開(kāi)源Freebsd Bind9多視圖（View）的DNS，并結(jié)合互聯(lián)網(wǎng)反向代理系統(tǒng)，提供智能DNS解析和多站點(diǎn)的網(wǎng)站發(fā)布，通過(guò)DNS和反向代理的聯(lián)動(dòng)，優(yōu)化了內(nèi)網(wǎng)用戶及學(xué)校網(wǎng)站的互聯(lián)網(wǎng)訪問(wèn)速度。

（2）校內(nèi)用戶訪問(wèn)互聯(lián)網(wǎng)網(wǎng)站。采用主備DNS，避免單點(diǎn)故障;采用多臺(tái)DNS集群轉(zhuǎn)發(fā)減輕域名解析的壓力，當(dāng)校內(nèi)某運(yùn)營(yíng)商線路出現(xiàn)故障時(shí)，可將DNS轉(zhuǎn)發(fā)請(qǐng)求切換到其他備用線路;通過(guò)智能DNS解析，引導(dǎo)校內(nèi)不同源IP網(wǎng)段用戶訪問(wèn)互聯(lián)網(wǎng)網(wǎng)站時(shí)從電信、聯(lián)通、移動(dòng)、教科網(wǎng)等鏈路合理分流，出口網(wǎng)絡(luò)流量實(shí)現(xiàn)負(fù)載均衡。同時(shí)一旦檢測(cè)到某運(yùn)營(yíng)商線路的DNS解析異常，可將該線路的域名解析切換到其他運(yùn)營(yíng)商的DNS服務(wù)器上。

（3）將權(quán)威和遞歸DNS在Vmware Esxi私有云上集群部署，提供系統(tǒng)冗余，提升服務(wù)能力，同時(shí)便于系統(tǒng)遷移、快速部署和后臺(tái)管理等。

該系統(tǒng)網(wǎng)絡(luò)部署拓?fù)淙鐖D1所示。

三、系統(tǒng)設(shè)計(jì)

在架構(gòu)上，用戶終端通過(guò)DHCP的方式統(tǒng)一自動(dòng)設(shè)置兩個(gè)遞歸DNS 服務(wù)器（一主一備），同時(shí)DNS 服務(wù)器采用私有云集群部署來(lái)提高域名解析的服務(wù)能力，把DNS查詢請(qǐng)求由單臺(tái)服務(wù)器轉(zhuǎn)發(fā)給多臺(tái)DNS轉(zhuǎn)發(fā)器。

圖2是主DNS的系統(tǒng)架構(gòu)圖，DNS1是主DNS的發(fā)布IP，DNS5為主域權(quán)威服務(wù)器，本域的A記錄配置在該服務(wù)器上，其余為外域遞歸解析轉(zhuǎn)發(fā)服務(wù)器，均采用開(kāi)源Freebsd Bind9多視圖的智能DNS解析機(jī)制做系統(tǒng)配置。

下面結(jié)合圖2簡(jiǎn)要闡述該系統(tǒng)的工作過(guò)程：

1.遞歸解析——校內(nèi)用戶訪問(wèn)網(wǎng)站

（1）當(dāng)學(xué)校用戶訪問(wèn)網(wǎng)站時(shí)，用戶把域名解析請(qǐng)求發(fā)送到DNS1，DNS1根據(jù)訪問(wèn)者的源IP地址和事先設(shè)定的視圖轉(zhuǎn)發(fā)策略，把解析請(qǐng)求自動(dòng)發(fā)送到對(duì)應(yīng)的DNS轉(zhuǎn)發(fā)服務(wù)器。比如假定用戶是聯(lián)通客戶，則DNS1收到用戶DNS請(qǐng)求后，會(huì)把請(qǐng)求自動(dòng)轉(zhuǎn)發(fā)到聯(lián)通鏈路的DNS3轉(zhuǎn)發(fā)服務(wù)器，通過(guò)DNS3去遞歸解析域名并返回結(jié)果（下面繼續(xù)以該例子描述轉(zhuǎn)發(fā)過(guò)程）。

（2）DNS3轉(zhuǎn)發(fā)服務(wù)器收到域名解析請(qǐng)求后，若判定是請(qǐng)求本地域，則由DNS3轉(zhuǎn)發(fā)至權(quán)威DNS5中獲取A記錄并返回給用戶。

（3）若判定是非請(qǐng)求本地域，則將請(qǐng)求轉(zhuǎn)發(fā)到相應(yīng)View對(duì)應(yīng)的外網(wǎng)DNS（DNS-聯(lián)通），通過(guò)該服務(wù)器去遞歸解析域名并最終返回結(jié)果給用戶。

2.權(quán)威解析——校外用戶訪問(wèn)學(xué)校對(duì)外網(wǎng)站

當(dāng)校外用戶訪問(wèn)學(xué)校對(duì)外網(wǎng)站時(shí)，DNS服務(wù)器根據(jù)訪問(wèn)者的源IP地址和事先設(shè)定的視圖轉(zhuǎn)發(fā)策略，智能返回訪問(wèn)源IP所歸屬互聯(lián)網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）的反向代理服務(wù)器地址給客戶端。反向代理服務(wù)器根據(jù)客戶端的請(qǐng)求，向內(nèi)網(wǎng)父服務(wù)器（Parent Server）轉(zhuǎn)發(fā)服務(wù)請(qǐng)求并獲取數(shù)據(jù)后返回給客戶端?？蛻舳酥恢婪聪虼淼腎P地址，而不清楚在代理服務(wù)器后面的內(nèi)網(wǎng)父服務(wù)器的存在，這將有效增強(qiáng)網(wǎng)絡(luò)的安全性，相當(dāng)于在內(nèi)外網(wǎng)絡(luò)之間構(gòu)筑起一道保護(hù)內(nèi)部網(wǎng)絡(luò)安全的防火墻。代理服務(wù)器的防火墻功能將校園網(wǎng)內(nèi)的服務(wù)器/主機(jī)保護(hù)起來(lái)，有效降低校外用戶攻擊校園內(nèi)部網(wǎng)絡(luò)的幾率。

例如，校外用戶訪問(wèn)一個(gè)學(xué)校的對(duì)外網(wǎng)站，通過(guò)DNS的輪詢技術(shù)，我們將客戶端的請(qǐng)求分發(fā)給其中一臺(tái)Squid反向代理服務(wù)器處理。若該服務(wù)器已緩存了用戶的請(qǐng)求資源，則將請(qǐng)求的資源直接返回給用戶，否則該服務(wù)器將沒(méi)有緩存的請(qǐng)求根據(jù)已設(shè)定的規(guī)則發(fā)送給父服務(wù)器處理。

四、系統(tǒng)配置

首先，在Freebsd Bind9的DNS配置中，實(shí)現(xiàn)DNS多視圖技術(shù)無(wú)需增加任何專用設(shè)備，只需通過(guò)對(duì)DNS配置進(jìn)行深入優(yōu)化，主要配置思路如下：①在Bind9中，想根據(jù)不同請(qǐng)求的源IP段分別響應(yīng)并轉(zhuǎn)發(fā)至不同線路的DNS解析，可通過(guò)配置多view來(lái)響應(yīng)同一域名的智能解析請(qǐng)求。②在各個(gè)view的match-clients中，定義需匹配的客戶端源IP網(wǎng)段。為提高配置效率，引入訪問(wèn)控制列表（Access Control Lists，ACL）函數(shù)實(shí)現(xiàn)集中定義，該函數(shù)可供全局引用。配置文件中的網(wǎng)絡(luò)地址以十進(jìn)制點(diǎn)分法結(jié)合子網(wǎng)掩碼的格式定義，如某個(gè)B類IPv4地址定義為：x.x.0.0/16，在每個(gè)段落中配置該相應(yīng)的轉(zhuǎn)發(fā)DNS服務(wù)器IP。

五、系統(tǒng)測(cè)試

該系統(tǒng)經(jīng)過(guò)一段時(shí)間的測(cè)試和試運(yùn)行，運(yùn)行基本穩(wěn)定，用戶通過(guò)外網(wǎng)訪問(wèn)校園網(wǎng)站的速度得到明顯提升，有效引導(dǎo)了內(nèi)網(wǎng)用戶網(wǎng)頁(yè)訪問(wèn)量的合理分流，基本實(shí)現(xiàn)了不同運(yùn)營(yíng)商出口網(wǎng)絡(luò)流量的負(fù)載均衡，提升了學(xué)?；ヂ?lián)網(wǎng)出口帶寬的使用效益。

圖3為校內(nèi)DNS請(qǐng)求平衡轉(zhuǎn)發(fā)到電信、聯(lián)通線路時(shí)的聯(lián)通流量圖。圖4為校內(nèi)DNS請(qǐng)求僅轉(zhuǎn)發(fā)到電信單線路時(shí)的聯(lián)通流量圖。在實(shí)驗(yàn)時(shí)，當(dāng)校內(nèi)用戶全部切換成電信單鏈路做DNS解析時(shí)，學(xué)校聯(lián)通出口的流量立馬下降約50%，實(shí)驗(yàn)說(shuō)明智能DNS服務(wù)器集群部署對(duì)出口流量的引導(dǎo)作用相當(dāng)顯著。

六、結(jié)束語(yǔ)

該系統(tǒng)自2014年正式上線運(yùn)行以來(lái)，為全校近30000名師生提供不間斷的域名解析服務(wù)，基本做到了“零故障”，且對(duì)出口流量的引導(dǎo)效果顯著。該系統(tǒng)按照私有云服務(wù)的架構(gòu)建設(shè)，使用了10臺(tái)（2套，每套5臺(tái)）不同功能DNS虛擬服務(wù)器的集群部署，確保了每個(gè)功能的DNS服務(wù)器都雙機(jī)主備運(yùn)行，相對(duì)更加安全可靠。本設(shè)計(jì)方案在不需要額外增加硬件成本的前提下，較好地解決了校內(nèi)網(wǎng)絡(luò)和校外網(wǎng)絡(luò)互相訪問(wèn)的速度和流量平衡問(wèn)題，對(duì)智慧校園的建設(shè)具有一定的實(shí)用價(jià)值。

該系統(tǒng)的架構(gòu)與創(chuàng)新性、智慧性主要體現(xiàn)在：

（1）增強(qiáng)了網(wǎng)絡(luò)安全性能。將學(xué)校權(quán)威和遞歸DNS服務(wù)器分布式部署，并在出口邊界路由器和權(quán)威DNS服務(wù)器上配置安全策略，有效提升了權(quán)威DNS數(shù)據(jù)的安全。

（2）提升了用戶使用體驗(yàn)。校外訪問(wèn)學(xué)校網(wǎng)站，采用DNS多視圖負(fù)載均衡的解析機(jī)制，根據(jù)訪問(wèn)源的IP地址，將域名解析到學(xué)校架設(shè)在不同出口的反向代理服務(wù)器上，實(shí)現(xiàn)從不同ISP來(lái)的終端訪問(wèn)我校應(yīng)用服務(wù)器時(shí)能實(shí)現(xiàn)快速訪問(wèn)。

（3）優(yōu)化了出口流量分布。校內(nèi)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)站，采用DNS集群分布式轉(zhuǎn)發(fā)的解析機(jī)制，在不同出口上架設(shè)多個(gè)DNS代理解析服務(wù)器，通過(guò)對(duì)目標(biāo)網(wǎng)址的智能DNS解析，優(yōu)化學(xué)校各ISP出口流量的分布，從而優(yōu)化訪問(wèn)互聯(lián)網(wǎng)的速度。

（4）有效解決了單點(diǎn)故障。一旦檢測(cè)到某運(yùn)營(yíng)商線路的DNS解析異常，可將該線路的域名解析切換到其他運(yùn)營(yíng)商的DNS服務(wù)器上，第一時(shí)間恢復(fù)網(wǎng)絡(luò)正常使用。

目前該系統(tǒng)的配置和維護(hù)為L(zhǎng)inux命令行模式，不方便配置和管理，后續(xù)計(jì)劃在系統(tǒng)圖形化界面管理方面做有效提升，適時(shí)啟動(dòng)DNS可視化配置界面的定制開(kāi)發(fā)項(xiàng)目。

參考文獻(xiàn)：

[1]佚名. dns（域名系統(tǒng)）[EB/OL].https：//baike.baidu.com/item/dns/427444？fr=aladdin.

[2]佚名.反向代理[EB/OL]. https：//baike.baidu.com/item/反向代理/7793488？fr=aladdin.

[3]佚名.esxi[EB/OL]. https：//baike.baidu.com/item/esxi/7308858？fr=aladdin.

[4]陳仁章，孟小華.基于CDN技術(shù)實(shí)現(xiàn)教育網(wǎng)網(wǎng)站的跨網(wǎng)絡(luò)快速訪問(wèn)[J].計(jì)算機(jī)工計(jì)，2010，31（9）：1909-1911.

[5]蘇開(kāi)宇.多出口網(wǎng)絡(luò)鏈路負(fù)載均衡系統(tǒng)的研究[J].中國(guó)計(jì)量學(xué)院學(xué)報(bào)，2009，20（1）：65-70.

[6]陳世坤.基于Squid代理服務(wù)器的Cache優(yōu)化研究與實(shí)現(xiàn)[D].廣州：廣東工業(yè)大學(xué)，2005.

（編輯：王曉明）