调配措施基础

　　CDN 服务的普遍实施

　　内容发布网络（Content DeliveryNetwork）将用户重定向到附近的CDN 网络的边缘节点服务器来提高用户获取内容信息的效率和质量。对网络服务运营商来说，DNS 可以给CDN 带来显著的优势和灵活性。

　　对于校园网用户来说，虽然单个用户的D N S 解析需求是多种多样的，但是众多用户的需求却可以通过大数据分析获得T O P5 和T O P10 的网站，以中国人民大学为例，D N S服务器为bind9 搭建，通过#dnstop eth0命令可获得D N S 解析数据分析，2014 年2月25 日校内两万多用户D N S 查询的结果如图1 所示。

图1 校园DSN服务器5分钟解析统计

　　根据图1 的解析结果，我们结合各运营商提供的公共DNS 来查询可劫持对象：

　　电信对外DNS：219.141.136.10219.141.140.10

　　教育网对外DNS：202.38.184.13 2.38.184.29

　　联通对外DNS：202.106.196.115 2.106.0.20

　　以视频网站优酷优酷为例：

　　;; QUESTION SECTION:

　　;www.youku.com. IN A

　　优酷- 电信DNS(219.141.136.10)dig 解析结果：

　　;; ANSWER SECTION:

　　www.youku.com. 10 IN CNAME zw-w.

　　youku.com.

　　zw - w . youku . com . 1548 I N A

　　220.181.185.141

　　优酷- 教育网D N S (202.38.184.13) d i g解析结果：

　　;; ANSWER SECTION:

　　www.youku.com. 300 IN CNAME

　　edu-w.youku.com.

　　edu - w . youku . com . 3600 I N A

　　118.228.16.231

　　优酷- 联通D N S (202.106.196.115) d i g

　　解析结果：

　　;; ANSWER SECTION:

　　www.youku.com. 253 IN CNAME zwn-

　　w.youku.com.

　　z w - n - w . y o u k u . c o m . 1081 I N A

　　123.126.99.31

　　由以上测试结果得见，优酷会根据用户的查询DNS 提供不同的别名，电信别名为zw-w.youku.com，教育网的别名为edu-w.youku.com，联通的别名为zw-n-w.youku.com，这个通过别名解析不同的I P 地址给用户的CND 网络正是我们通过DNS 调整校园网出口流量的基础。

　　校内多台DNS 部署

　　高校的DNS 应包括对内、对外两套体系，对外DNS为教育网地址，分主备，对内DNS为一台内网设备。

　　人民大学搭建了对外部提供服务的主DNS(202.112.112.101) 和备DNS(202.112.112.100)，提供人民大学ruc.edu.cn 和ruc6.ruc.edu.cn的解析。与此同时，以内网地址205 作为校内两万多用户的D N S 服务器，通过DHCP下发配置，对于特殊功用的校内服务，可以在校内DNS 上添加DNS 域名劫持，而不会污染到外网。

　　除此之外，针对中国人民大学联通、电信、教育网三个出口，我们专门搭建了只提供单一运营商解析的校内DNS 服务器, 包括联通201，电信202，教育网203。

　　出口防火墙与流控设备相应部署

　　由于防火墙上各出口路由是由网络管理员配置ISP 路由，ISP 路由的正确与否直接决定了DNS调配出口流量是否成功。我校教育网地址由本校教育地址段、nic .edu.cn 聚类地址与10ms.edu.cn 三部分构成，其中人大教育网地址10 条，nic聚类地址73 条，10m s 地址共计116 条，地址共计199 条教育网地址。电信出口则是由电信提供电信地址列表。默认出口为联通出口。

　　流控策略中分别对网管协议、DNS服务器组、视频会议服务器组和特殊地址组予以带宽保障，同时限制服务器组和全校的P2P下载做忙时和闲事的总带宽限制，对于P2P进出流量还根据出口带宽设定了最大50% 左右的限制，限制类的策略还需根据流量观察结果作出相应调整。