第25卷第4期邢臺學院學報2010年12月JOURNAL OF XINGTAI UNIVERSITYVol.25.No.4Dec.2010動態(tài)域名解析技術及其在雙出口校園網中的應用冷摘飛054001）

第25卷第4期邢臺學院學報

2010年12月JOURNAL OF XINGTAI UNIVERSITY

Vol.25.No.4Dec.2010

動態(tài)域名解析技術及其在雙出口校園網中的應用

冷

摘

飛

054001）

（邢臺學院現(xiàn)教中心，河北邢臺

要：校園網實施雙出口方案后，為高校帶來了高性價比的網絡帶寬，但也帶來了一些問題，如公眾網用戶訪問校園

網資源速度慢等。針對這個問題引入動態(tài)域名解析技術，提出目前比較理想的解決方案，并在邢臺學院校園網上進行應用。測試結果表明，該方案大大提高了公眾網用戶訪問校園網的速度。

關鍵詞：校園網；雙出口；DNS ；BIND ；動態(tài)域名解析中圖分類號：TP393.18

文獻標識碼：A

文章編號：1672-4658（2010）04-0110-03

國內的各大主干網經過這些年來的發(fā)展及優(yōu)化組合，逐漸形成了各自的用戶群體、網絡資源且各具特色。各主干網內用戶訪問自身資源速度非?？?，但由于種種原因，主干網間互聯(lián)互通存在帶寬瓶頸，直接造成了主干網之間資源互訪不順暢。例如，教育網內用戶訪問本網上的各種資源速度很快，而訪問公眾網上的資源就會非常慢，反之亦然。這個問題同樣也存在于各大公眾主干網之間。網絡資源互訪速度的瓶頸給用戶帶來了不便，但這樣的問題在今后相當長的一段時期內仍將會存在。

1雙出口校園網及其存在的問題分析1.1雙出口校園網概述

校園網實施雙出口方案后，其內部用戶在訪問互聯(lián)網資源時都按其訪問的目的地址走相應的路由。如圖1所示。

圖2

雙出口校園網

User b 訪問Server 1：User b 與Server 1同是教育網IP ，數據流直接走校園網的CERNET 出口。User c 訪問Server 1：User c 是公眾網IP ，而Server 1是教育網IP ，User c 的數據包

需經教育網到達Server 1，User c 訪問Server 1的速度慢。如果考慮學校的公眾網出口帶寬較大而將學校服務器資源統(tǒng)一配置成公眾網IP ，這仍沒有解決主干網互聯(lián)帶寬瓶頸問題，如圖2虛線部分，此時教育網用戶訪問學校資源將變得很慢。

解決上述問題，可采取在公眾網上另外注冊域名并建立資源鏡像的方法，但該方法也帶來一些諸如學校域名不統(tǒng)一，給用戶帶來記憶和選擇的困難，網絡運行費用增加等問題。本文將要探討的動態(tài)域名解析技術相對而言簡便可行，也不會增加成本，是一種較好的解決辦法。

圖1雙出口校園網

User a 訪問CERNET 中的Server 2：由于User a 與Server 2同是教育網IP ，根據策略路由，數據走CERNET 出口。User a 訪問CNC 中的Server 3：User a 是教育網IP ，而Server 3是公眾網IP ，數據包在出口進行NAT 轉換后與Server 3建立數據

連接。校園網實施雙出口后，提高了內網用戶訪問公眾網的速度，但也產生了一些問題。

2動態(tài)域名解析的方案設計

域名服務系統(tǒng)（Domain Name System,DNS ）是互聯(lián)網最

重要的基礎設施之一，它將難記的IP 地址和容易記憶的域名進行轉換。當用戶在應用程序中輸入主機域名時，DNS 服務器可以將此名稱解析為與之對應的IP 地址, 這種DNS 上的域名解析一般是靜態(tài)的，即域名與IP 地址是一一對應的。

1.2雙出口校園網存在的問題

由于公眾網與教育網之間存在帶寬瓶頸，校外公眾網用戶訪問校內教育網資源速度慢。如圖2所示。

［收稿日期］2010-07-06

2.1動態(tài)域名解析技術

動態(tài)域名解析指的是DNS 服務器根據請求解析的客戶端所處的網絡不同，返回不同的解析結果，或者是DNS 服務

［作者簡介］冷飛（1979-），男，河北邢臺市人，畢業(yè)于河北工業(yè)大學，主要從事計算機網絡教學與研究. 電話：（0319）

3650761

··110

冷飛：動態(tài)域名解析技術及其在雙出口校園網中的應用

器根據客戶端所在網絡的不同，應用不同的安全策略，比如對內網用戶提供遞歸解析服務的同時忽略外網用戶的遞歸解析請求。

對于雙出口的校園網，動態(tài)域名解析能實現(xiàn)如下目標：當解析請求來自教育網時，則DNS 給出服務器的教育網IP 地址；當公眾網用戶來訪時，DNS 判斷該用戶來自公眾網，則給出服務器公眾網IP 地址。

3) 進入系統(tǒng)服務，查看ISC BIND 服務，將登錄用戶改

成本地系統(tǒng)用戶。這時還不能啟動該服務，否則會報代號

1067的錯，得先經過配置。

4) 進入安裝目錄（c:winntsystem32dns），將etc 目錄賦予named 用戶具有讀寫的權限3.3.2配置Bind

1) 在etc 目錄下創(chuàng)建named.conf 文件，關鍵內容如下options{

#定義區(qū)域數據文件的目錄

directory “c:windowssystem32dnsetc”; #允許內網用戶遞歸查詢allow-recursion{“our-nets ”;};#非法IP 不提供解析blackhole{“bogus-nets ”;};};

#加載教育網范圍的地址數據include “cernet_ip.conf”;

#判斷如果是教育網的地址范圍，則會執(zhí)行此處，進行

教育網IP 的解析

Windows 2000和2003系統(tǒng)已集成DNS 服務，但是不能

實現(xiàn)我們需要的智能解析功能。我們使用美國加州大學伯克利分校開發(fā)的一套DNS 軟件-BIND (BerkeleyInternet

Name Domain) 。從BIND 9開始提供View 語句，可很好地實現(xiàn)

動態(tài)域名解析。

2.2服務器鏡像技術

在服務器上使用雙網卡、雙IP 地址接入雙網絡，是目前大多數院校實現(xiàn)雙網絡高速訪問的理想方案。

3方案實施3.1實施環(huán)境

以邢臺學院校園網為平臺實施上述方案。邢臺學院校園網的授權域名為：xttc.edu.cn ，管理機構為CERNET 。校園網為雙出口，第二出口為中國聯(lián)通的本地ISP 。學校Web 在教育網的IP 地址為211.81.153.210，在公眾網的IP 地址為

view “view_cernet”in {match-clients{cernet_ip;};#建立xttc.edu.cn 的正向區(qū)域zone “xttc.edu.cn ”in {type master;

file “edu.xttc.edu.cn.zone ”; allow-update{none;};};};

60.6.238.10。

3.2需要實現(xiàn)的目標（以www 服務器為例）

表1根據用戶所處網絡，返回不同的域名解析結果

3.3Windows 2003Server 平臺下架設DNS 服務器

BIND for Windows 對windows 2000Server 服務器支持的

不好，啟動服務時始終出現(xiàn)“無法啟動ISC BIND 服務，錯誤

#如果不是教育網的則進行公網的解析view “view_any”in {match-clients{any;};zone “xttc.edu.cn ”in {type master;

file “cnc.xttc.edu.cn.zone ”; allow-update{none;};};};

2) 在etc 目錄中創(chuàng)建文件名為cernet_ip.conf的教育網地

址段。地址的準確與否，直接影響到用戶來源的判斷。另外，限定查詢，創(chuàng)建合法及非法查詢地址列表。

1067：進程意外終止”，所以建議在2003上安裝。3.3.1安裝Bind for Windows

1) 安裝專為Windows 平臺編譯的Bind 套件?？梢栽诰W站http://www.isc.org下載最新的Bind for Windows 套件。2) 下載并安裝Bind 最新版本BIND 9.7.0-P1for Windows ，下載后解壓到一個臨時目錄，運行BINDinstall. exe ，按照提示，默認安裝到c:windowssystem32dns目錄下，將帳號名named 的密碼更改為足夠復雜的密碼，然后選擇install 進行安裝。安裝程序將會創(chuàng)建新的named 用戶，同時創(chuàng)建c:windowssystem32dns目錄，其中bin 子目錄是運行目

錄，etc 是工作目錄，另外生成ISC BIND 服務，該服務指定登錄用戶為named 。

acl “cernet_ip”{58.154.0.0/15;部分內容略;222.199.184. 0/22;};

#禁用開放遞歸查詢

acl “bogus-nets ”{0.0.0.0/8;1.0.0.0/8;2.0.0.0/8;224.0.0.0/3;10.0.0.0/8;172.16.0.0/12;192.168.0.0/16;};

·111·

邢臺學院學報2010年第4

期

在多網卡系統(tǒng)中，只有一個網卡可以設置網關。

acl “our-nets ”{211.81.152.0/21;};

3) 在etc 目錄中創(chuàng)建并配置根提示文件named.root 。在c:windowssystem32dnsbin目錄下執(zhí)行dig ns . @a.root-servers.net >/etc/named.root。

4) 對來自教育網區(qū)域的查詢，在etc 目錄下建立DNS 的

正向解析區(qū)域文件edu.xttc.edu.cn.zone ，部分內容如下

2) 接下來配置路由。路由添加如下：

route add 58.154.0.0mask 255.254.0.0211.81.153.209//添加到CERNET 的路由

……

route add 222.199.184.0mask 255.255.252.0211.81. 153.209

通過命令方式做好配置后，系統(tǒng)將能正常的路由。

@IN SOA dns-server.xttc.edu.cn.root.xttc.edu.cn.(#定義本區(qū)域的名字服務器

@in ns dns-server.xttc.edu.cn. www in A 211.81.153.210

5) 對來自公眾網的查詢，在etc 目錄下建立DNS 的正向

解析文件cnc.xttc.edu.cn.zone ，部分內容如下

Route add 是添加臨時的路由記錄，系統(tǒng)重啟后，該配置將丟失，可以用route –p add ip 命令使配置永久生效。4測試

使用windows 自帶的nslookup 工具測試不同的網絡環(huán)境下是否得到不同的結果，如表2、表3所示。

表2

教育網測試效果

@in soa dns-server.xttc.edu.cn.root.xttc.edu.cn.(@in ns dns-server.xttc.edu.cn.

www in A 60.6.238.103.3.3配置文件和區(qū)域文件的測試

1) 測試named.conf 主配置文件。在命令行環(huán)境下進入c:windowssystem32dnsbin目錄運行named-checkconf ，不指

定文件名作為參數，將自動檢測系統(tǒng)中的/etc/named.conf文件的內容。如果沒有檢測到語法錯誤，將不返回任何信息。

2) 測試區(qū)域文件。在命令行環(huán)境的bin 目錄下運行named-checkzone 第一個參數需要指定區(qū)域名稱，第2個參

數需要指定區(qū)域文件的名稱，如：named-checkzone xttc.edu.

表3

公網測試效果

cn ../etc/cnc.xttc.edu.cn.zone

3) 全部測試完成后，進入windows 服務管理器，啟動名為ISC BIND 的系統(tǒng)服務。如果windows 系統(tǒng)中安裝了防火墻，需要將TCP 和UDP 的53端口打開，以便服務可以正常被

訪問。

3.4配置www 服務器

在完成了DNS 配置以后，還需要對www 服務器進行配置，以便服務器在配置雙網卡后，對不同出口的訪問流量有不同的路由走向，方法如下：

采用動態(tài)域名解析技術，很好地解決了校園網采用雙出口后，公眾網訪問校園網資源速度慢的問題，這對各高校校園網都有借鑒意義。

參考文獻：

［1］王世恭，李文化. 基于雙出口校園網WEB 訪問策略［J ］. 農

業(yè)網絡信息，2007，(5).

［2］李孜. 公眾網用戶快速訪問校園網Web 的設計與實現(xiàn)［J ］.

河南科技大學學報(自然科學版) ，2008，(2).

1) 在服務器上安裝雙網卡，分別連接教育網和公眾網

并配置教育網和公眾網IP 地址，windows 2000server 的配置如下：

教育網卡：IP 地址211.81.153.210，子網掩碼255.255.

255.240，網關空

公眾網卡：IP 地址60.6.238.10，子網掩碼255.255.255.

224，網關60.6.238.1

··112