透明DNS代理

　　互联网上很多的资源与服务在各运营商的网络中都存在镜像或者服务器托管，因此所使用的IP地址都是由所属运营商分配的，某种意义上就是将服务器划分为电信服务器、联通服务器或者移动服务器。如果校园网用户是默认配置的特定运营商的本地DNS服务器，那么在进行域名解析查询的时候，极有可能返回的是同一个运营商的服务器地址，也就十分容易造成该出口链路拥堵、其他出口链路使用不均的情况。针对此问题，校园网出口可启动透明DNS代理机制，在正式访问之前即进行域名查询的时候，由透明DNS代理选择向某个运营商的本地DNS服务器发送解析请求，在查询阶段完成对流量的选路引导。此后用户收到相应服务器地址，后续访问数据报文到达出口便能够选择服务器所属运营商的出口链路转发。

　　基于业务保障的选路策略不单关注从校园网访问外部网络的流量，而且对从互联网进入校园网的流量也加以考虑，侧重点在于尽可能优化网络的转发过程，降低跨网访问的影响，同时进一步提升校园网高价值业务的用户体验。

　　基于ISP的选路

　　在现有IP地址的分配规则下，每个运营商都会有各自IP地址网段，互不冲突，于是可在校园网出口预先配置各运营商公网地址池，访问互联网的数据流可按照目的地址选择相应所属运营商链路作为出口;

　　链路锁定

　　链路锁定适用两种场景，第一由校园网内部主动向外部发起访问时，首个出校园网的报文从A链路接口出去，但发现该会话的回程报文是从B链接接口进入的，此时网络出口设备可认定为B链路相对A链路是最优的，接下的出校园网会话报文更改出口，从B链路统一转发;另一种场景为互联网主动访问校园网内部，首个进校园网的报文从A链路接口接入，但响应报文到达出口时按照既定路由策略会选择B链路接口作为出口，既然访问会话发起报文是从A链接进入，出口设备可判定为A链路为最优路径，为了保证链路一致性，更改响应报文从A链路接口原路返回;

　　出口链路探测

　　互联网是全联通的，达到同一目的地允许存在多条路径，然而，每条路径花费的代价和延时却不尽相同。高校网络出口设备应该能够探测出口链路健康状态，选择延时较低的出口链路转发流量;

　　基于应用的策略路由

　　与运营商城域网类似，校园网中同样充斥着大量P2P流量。这些流量汇聚到网络出口不仅要占据大部分带宽，更严重的情况是P2P流量抢占高校办公、视频会议、远程教育等主要业务的出口资源，降低重要业务传输的可靠性。因此，校园网出口要求能够识别数据流中所承载的业务应用，按照业务类型区分不同出口链路进行转发，例如将P2P流量分配到租金相对便宜的链路，而对于高价值业务使用专享链路，保障其带宽;

　　智能DNS

　　校园网内部同一个服务器通常映射到多个运营商网络中，服务器使用的公网地址也分属各自运营商，主要原因正是为了方便互联网用户的访问。尽管如此，现实网络中仍然会发生用户得到的服务器地址并非自身所属运营商的现象，例如由于DNS解析过程不区分IP地址属性，电信用户访问校园网服务器，发送域名查询请求，用户所获得的响应IP地址却为服务器在联通网络中使用的IP地址，访问报文也就会经过跨网转发后再到达服务器，网络延时增大。如果高校网络出口设备具备智能DNS能力，实时捕获DNS解析响应报文，将服务器IP地址更改成与互联网用户相同运营商的地址，就可以让电信用户通过电信网络直接访问校园网内部服务器。

　　上述内容简要解释了智能选路相关的主要机制，每种机制又对应各自实际的应用场景。基本上基于流量分担的选路策略虽然能够将流量基本均匀在多条链路上分担处理，不过却不能考虑报文的目的地址是联通的或者电信的，也就是有可能将本应发往电信网络的报文选择到了联通的出口链路，这样便发生跨网转发的问题。现网情况下，智能选路的相关各种机制并非独立存在，可以根据具体使用情况形成组合策略，这样既可最大限度的降低网络延迟，保障用户网络体验，也能平衡各条租用链路的投入产出比与使用效率。

　　通常，高校网络在出口都会部署防火墙或者安全网关，将校园网与外部网络进行隔离，而且针对各高校IPv4公网地址的数量差异，对于访问互联网的流量还要进行NAT(Network Address Translation，地址翻译)转换。此时，为了简化组网复杂度，避免出口多种功能设备的串联，防火墙就成为承担智能选路重任的最佳设备。

　　华为USG9500高性能防火墙在满足了高校万兆网络改造、安全隔离、NAT及IPv6安全需求外，已经全面支持智能选路特性，为高校数字化、信息化的飞速发展做好了充分准备。

　　责任编辑：余芯

　　更多内容请关注机房360，www.jifang360.com，中国绿色数据中心