基于智能域名解析系統(tǒng)提升網(wǎng)絡(luò)訪問效率的應(yīng)用與實(shí)踐

王　琪，史先娟，秦國剛

（江蘇農(nóng)牧科技職業(yè)學(xué)院 圖信中心，江蘇 泰州　225300）

基于智能域名解析系統(tǒng)提升網(wǎng)絡(luò)訪問效率的應(yīng)用與實(shí)踐

王琪，史先娟，秦國剛

（江蘇農(nóng)牧科技職業(yè)學(xué)院 圖信中心，江蘇 泰州225300）

基于UNIX FreeBSD系統(tǒng)搭建的智能DNS應(yīng)用平臺由策略域名解析與源地址IP庫兩部分組成，主要目的是解決傳統(tǒng)的單線路單運(yùn)營商地址對外提供業(yè)務(wù)服務(wù)時所帶來的運(yùn)營商之間互聯(lián)互通的訪問瓶頸，網(wǎng)絡(luò)擴(kuò)展性差等關(guān)鍵問題。通過對用戶所在地網(wǎng)絡(luò)運(yùn)營商的源地址判斷，針對性的進(jìn)行域名記錄解析，使得用戶能夠通過策略解析實(shí)現(xiàn)就近訪問，提升用戶體驗(yàn)與服務(wù)質(zhì)量。

智能 域名解析 訪問速度

本文著錄格式：王琪，史先娟，秦國剛. 基于智能域名解析系統(tǒng)提升網(wǎng)絡(luò)訪問效率的應(yīng)用與實(shí)踐[J]. 軟件，2016，37（8）：114-119

0　引言

域名解析是一種最互聯(lián)網(wǎng)中最常見的網(wǎng)絡(luò)日常應(yīng)用服務(wù)，全球數(shù)億網(wǎng)絡(luò)用戶都是通過這一服務(wù)實(shí)現(xiàn)了通過記憶簡單的域名來訪問復(fù)雜的IP地址功能，每天域名解析在網(wǎng)絡(luò)流量中占了很重要的比重。早期各類網(wǎng)站系統(tǒng)的域名解析服務(wù)基本由運(yùn)營商直接代為管理，但隨著終端用戶網(wǎng)絡(luò)的擴(kuò)大、業(yè)務(wù)系統(tǒng)及網(wǎng)站的爆發(fā)式增長，每個二級域名后逐步需要開設(shè)如郵件、網(wǎng)站、FTP、辦公、論壇等各類資源的三級域名。由于需要的解析記錄越來越多，要求越來越精細(xì)化，解析逐步的工作逐步由各域名所有者自行管理。網(wǎng)絡(luò)運(yùn)營商和域名運(yùn)營商只負(fù)責(zé)將該域名的解析權(quán)指向到用戶自己的DNS服務(wù)器IP地址上，就可以通過各類windows或LINUX服務(wù)器開始搭建形成自己內(nèi)部的分級的域名管理體系，單位較大的情況下甚至可以延伸至四級、五級域名。

隨著我們跨入互聯(lián)網(wǎng)+時代，用戶對網(wǎng)絡(luò)體驗(yàn)要求越來越高，如訪問資源時的流暢度下載速度都要能越快越好，所以對傳統(tǒng)的域名解析的模式提出了新的要求，這些都對高?，F(xiàn)有的域名資源管理帶來了新的挑戰(zhàn)。本文結(jié)合作者單位的具體業(yè)務(wù)需求，介紹了利用unix平臺技術(shù)結(jié)合多運(yùn)營商線路資源來解決傳統(tǒng)域名解析模式下問題的思路和方案。

1　研究背景

當(dāng)今網(wǎng)絡(luò)宣傳已經(jīng)深入到社會生產(chǎn)生活的每個角落，幾乎每個單位都會擁有自己的門戶網(wǎng)站、微信公眾號或APP應(yīng)用用于宣傳推廣業(yè)務(wù)開展，隨著招生工作的需求，高校也不例外的大力展開網(wǎng)上宣傳的工作。高校IT運(yùn)維人員最直接的體會就是學(xué)院的各類網(wǎng)站必須密切配合招生就業(yè)、教育、社會服務(wù)和文化傳承等宣傳工作，如為學(xué)生提供全方位的學(xué)校歷史、專業(yè)設(shè)置、課程安排、就業(yè)前景、校園風(fēng)貌、在線咨詢、招生考試安排、入學(xué)報到須知等各類官方權(quán)威信息。尤其是目前青年人都普遍使用手機(jī)瀏覽各類資源，如果訪問頁面速度慢，就會喪失興趣點(diǎn)擊，無形中流失很多潛在生源，這對于招生壓力巨大的高職高專類學(xué)院而言無疑是一個必須要優(yōu)先保障的工作。

目前國內(nèi)高校一般都采用中國教育科研網(wǎng)的edu域名來提供對外服務(wù)，域名及線路帶寬是屬于中國教育科研網(wǎng)來分配和管理的。大部分高校都是購買了10-100 Mb之間的教育網(wǎng)帶寬，附帶16-64個C類的教育網(wǎng)公網(wǎng)地址，所有的應(yīng)用服務(wù)都是通過教育網(wǎng)地址進(jìn)行發(fā)布。無論訪問者當(dāng)前使用的運(yùn)營商網(wǎng)絡(luò)或所在地理位置情況，訪問任何學(xué)院網(wǎng)站都是被解析為教育網(wǎng)公網(wǎng)地址，通過中國教育科研網(wǎng)帶寬線路進(jìn)入內(nèi)網(wǎng)。

目前100 M網(wǎng)絡(luò)在當(dāng)前運(yùn)營商寬帶提速背景下越來越顯得單薄，在招生期間大量考生報名、咨詢、瀏覽訪問的情況下會導(dǎo)致帶寬瞬間滿載而無法繼續(xù)提供訪問，即使服務(wù)器資源還能夠繼續(xù)承載，但帶寬和跨運(yùn)營商之間的互連速度成為了瓶頸。作者在《針對某高校一次網(wǎng)絡(luò)攻擊后的安全防御思考》一文中詳細(xì)描述了曾經(jīng)發(fā)生過的網(wǎng)絡(luò)分布式攻擊案例，完全持續(xù)堵塞一條100 M線路所消耗的黑客資源僅僅為10個左右性能一般的僵尸機(jī)器就可以完全實(shí)現(xiàn)，所以這樣的單線路域名解析部署模式無論是可用性還是安全性方面都有所不足。本文中設(shè)計的智能域名解析系統(tǒng)也就是將多條運(yùn)營商線路有機(jī)結(jié)合成一個資源來提供訪問，判斷來訪者的源，從而確定讓其走哪條線路更快。下圖中為未啟用只智能域名解析系統(tǒng)前從第三方網(wǎng)站17ce.com通過各運(yùn)營商監(jiān)測節(jié)點(diǎn)訪問學(xué)院教育網(wǎng)線路網(wǎng)站的測試情況，訪問延遲和下載速度均測試不理想。

在TCP/IP協(xié)議網(wǎng)絡(luò)中，用戶點(diǎn)擊的網(wǎng)站鏈接必須通過域名解析系統(tǒng)將域名轉(zhuǎn)換為IP地址，所以用戶訪問的網(wǎng)絡(luò)路徑是由最終解析的目的IP地址所決定。因?yàn)橛蛎乃袡?quán)在單位管理者手中，如果本單位擁有各運(yùn)營商的網(wǎng)絡(luò)IP地址和線路，則理論上可以實(shí)現(xiàn)身處不同運(yùn)營商網(wǎng)絡(luò)內(nèi)的用戶能夠就近訪問，避免了跨運(yùn)營商流量瓶頸的限制和路由繞路情況，用戶體驗(yàn)?zāi)軌虻玫綐O大的提升。所以域名智能解析已經(jīng)成為一種當(dāng)前的主流應(yīng)用，目前市面上的類似成熟硬件產(chǎn)品也比較多，本文主要關(guān)注使用unix自行搭建一套智能域名管理軟件平臺。

2　運(yùn)營商線路規(guī)劃和前置條件

相對于昂貴、帶寬小、互聯(lián)互通質(zhì)量一般的教育網(wǎng)線路，電信、移動、聯(lián)通及廣電的四大運(yùn)營商線路性價比已經(jīng)比較高，在作者所在地以1 Gb的互聯(lián)網(wǎng)寬帶價格一般在20至30萬元每年。線路提供的上行與下載基本均等，這樣一來除了正常內(nèi)部用戶使用下載方向流量，上行流量則可以提供給對外資源發(fā)布使用。理論上除了二級域名解析流量必須使用教育網(wǎng)之外，其他所有的網(wǎng)站、系統(tǒng)、應(yīng)用資源都可以通過其他運(yùn)營商線路發(fā)布使用。因?yàn)槟壳皣覍W(wǎng)站管理越來越嚴(yán)格，任何使用TCP80與8080端口的web站點(diǎn)都必須先備案再上線，所以必須事先準(zhǔn)備好運(yùn)營商需要的各項(xiàng)資料，在工信部系統(tǒng)內(nèi)部審核通過后，才能夠在備案通過的運(yùn)營商上線運(yùn)行。

域名的管理一般需要兩臺內(nèi)部服務(wù)器，由于edu域名的特殊之處，這兩臺服務(wù)器必須使用教育網(wǎng)線路IP地址。我們需要另外收集當(dāng)前域名解析系統(tǒng)中的所需的A記錄、MX記錄及PTR記錄條目，精確掌握當(dāng)前域名、公網(wǎng)IP地址與應(yīng)用服務(wù)的映射關(guān)系。如www對應(yīng)教育網(wǎng)地址A1，對應(yīng)電信地址B1，對應(yīng)聯(lián)通地址C1，對應(yīng)移動地址D1，對應(yīng)廣電地址E1；mail對應(yīng)教育網(wǎng)地址A2，對應(yīng)電信地址B2，對應(yīng)聯(lián)通地址C2，對應(yīng)移動地址D2，對應(yīng)廣電地址E2。以此類推，直至所有重要應(yīng)用都擁有了相對應(yīng)線路的公網(wǎng)IP地址，如果公網(wǎng)資源不足，亦可以使用Nginx反向代理技術(shù)來節(jié)約資源。按照此思路實(shí)現(xiàn)后的效果類似于sina.com網(wǎng)站對應(yīng)的北美、北京、香港和臺北分站點(diǎn)，用戶具有選擇最近訪問的權(quán)利，但使用中訪問jsahvc.edu.cn時是根據(jù)策略自動識別選擇最優(yōu)路徑，無需手動選擇。

3　智能解析規(guī)劃及搭建

圖1　域名解析到教育網(wǎng)地址時的訪問測試結(jié)果

UNIX freebsd系統(tǒng)對服務(wù)器CPU及內(nèi)存的要求極低，內(nèi)存128 M，硬盤空間2 G即可滿足500-800個用戶的并發(fā)域名解析請求。作者采用了虛擬服務(wù)器技術(shù)搭建服務(wù)平臺，以校園網(wǎng)1.5萬用戶基礎(chǔ)的40%規(guī)模來計算并發(fā)，并充分預(yù)留了后期擴(kuò)充，計劃設(shè)置8臺內(nèi)部DNS服務(wù)器（A-H節(jié)點(diǎn)）及2臺外部DNS服務(wù)器（主-輔節(jié)點(diǎn)）。其中內(nèi)部DNS主要服務(wù)于校園網(wǎng)內(nèi)部所有的用戶，外部DNS主要服務(wù)于公網(wǎng)用戶訪問及DNS上游擴(kuò)散宣告。

作者將訪問校園網(wǎng)站系統(tǒng)的用戶劃分為幾種不同的群體：第一類是校園網(wǎng)內(nèi)部用戶，這些用戶群體人數(shù)最多，使用頻率最高，如使用了內(nèi)部服務(wù)器作為DNS后，可以將DNS解析流量留在局域網(wǎng)內(nèi)部，同時可以實(shí)現(xiàn)各類站點(diǎn)的域名解析為單位內(nèi)部私有IP地址，避免了路由繞路和地址翻譯過程，節(jié)約了帶寬資源且降低了訪問延遲；第二類是國內(nèi)互聯(lián)網(wǎng)用戶，根據(jù)接入運(yùn)營商分為電信、聯(lián)通、移動、廣電和教育網(wǎng)等五大類型用戶，根據(jù)五大運(yùn)營商的IP地址簇分別解析為相應(yīng)運(yùn)營商的公網(wǎng)IP地址,實(shí)現(xiàn)對源IP用戶的指定目的地控制；第三類是國外用戶，可以根據(jù)國際帶寬訪問效率來判斷，可以安排為電信或移動的公網(wǎng)IP地址作為資源目的地，實(shí)現(xiàn)相對較快的國外訪問體驗(yàn)。

圖2　類似原理的sina站點(diǎn)

圖3　智能解析系統(tǒng)架構(gòu)示意圖

4　應(yīng)用上線、測試驗(yàn)證

在內(nèi)部DNS搭建完成后，如內(nèi)部用戶是配置的靜態(tài)外網(wǎng)DNS地址，則需要手工設(shè)置為內(nèi)部DNS服務(wù)器，或者在DHCP服務(wù)器上將內(nèi)部用戶租賃地址釋放重新獲取即可正常應(yīng)用。

圖4　根據(jù)不同區(qū)域用戶解析的ZONE

圖5　部署后訪問延遲效果圖

圖6　部署后域名智能解析IP效果

針對外網(wǎng)的同步請求，只需要將主輔DNS的IP地址設(shè)置為在教育網(wǎng)登記的域名解析管理IP，同時在外網(wǎng)防火墻上允許訪問該DNS服務(wù)器對應(yīng)的IP地址TCP53和UDP53端口即可。在正式上線使用前可以在內(nèi)外網(wǎng)對域名進(jìn)行簡單的解析測試，如dig、ping、nslookup等常見命令工具。

5　反思與展望

經(jīng)過一個多月的學(xué)習(xí)和工作，將基于unix平臺的智能域名解析系統(tǒng)完成了搭建和上線測試工作，目前已經(jīng)運(yùn)行使用正常。但還有不少后續(xù)問題值得思考和完善，

比如內(nèi)網(wǎng)用戶訪問外部網(wǎng)站時是通過內(nèi)部DNS轉(zhuǎn)發(fā)器去外網(wǎng)DNS解析所得，其實(shí)帶來了一些與出口線路的聯(lián)動問題，如何實(shí)現(xiàn)解析結(jié)果與線路的最佳匹配是一個必須要解決的流量均衡問題；如在某一條外網(wǎng)線路中斷的情況下，DNS服務(wù)器能夠動態(tài)監(jiān)測并實(shí)時觸發(fā)更新，避免中斷期間部分用戶仍舊解析為問題線路的公網(wǎng)IP地址等。

[1] 盧添進(jìn). 校園網(wǎng)智能DNS策略解析的實(shí)現(xiàn)[J].科技資訊, 2012, 36: 25-26.

[2] 李馥娟. 智能域名解析技術(shù)在多出口校園網(wǎng)中的應(yīng)用[J].計算機(jī)與數(shù)字工程, 2009, 37(11): 90-94.

[3] 周剛. 淺談智能域名解析技術(shù)在校園網(wǎng)中的應(yīng)用[J]. 通信技術(shù), 2015, 06.

[4] 陸云起. 智能域名系統(tǒng)的實(shí)現(xiàn)與域名體系安全研究[J]. 常州工學(xué)院學(xué)報, 2009, 22(5): 23-27.

[5] 張新剛. 智能域名解析技術(shù)在多出口校園網(wǎng)資源加速訪問中的應(yīng)用[J]. 計算機(jī)技術(shù)應(yīng)用, 2011, 30(8): 85-88.

[6] 劉璀. 基于BIND的局域網(wǎng)動態(tài)域名解析智能DNS的實(shí)現(xiàn)[J]. 信息科學(xué), 2015, 34, (17): 140-141.

[7] 彭巍. 大型運(yùn)營商DNS智能解析關(guān)鍵技術(shù)及方案[J]. 電信科學(xué)運(yùn)營技術(shù)廣角, 2016, (1): 159-163.

[8] 申志偉. 一種智能動態(tài)域名系統(tǒng)在大型電子商務(wù)中的應(yīng)用方法[J]. 電信科學(xué)運(yùn)營技術(shù)廣角, 2014, (1): 128-135.

The Application and Practice of Improving Network Access Efficiency Based on Intelligent DNS Analysis System

WANG Qi, SHI Xian-juan, QIN Guo-gang
(Jiangsu Agri-animal Husbandry Vocational College, Library Information Center, Taizhou, 225300, China)

Based on the FreeBSD UNIX systems to build Intelligent DNS application platform is composed of two parts, that is, the policy domain name resolution with a source address IP library, the main purpose is to solve the key problems that the access bottleneck in interconnection between operators and poor scalability of network when traditional single line single operator address to provide external services. Through the location of the user’s network operators to determine the source address, the domain name records for the analysis, so that users can achieve the nearest access through policy analysis to enhance the user experience and quality of service.

Intelligence; Domain name resolution; Access speed

TP393

A

10.3969/j.issn.1003-6970.2016.08.025

王琪(1983-），男，工程師，主要研究方向計算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。