在教育信息化“十三五”规划中,教育部明确提出要全面提升教育信息化基础支撑能力。在我国高校网络信息化建设飞速发展的今天,域名系统作为网络访问的第一环节,是高校信息化建设的基石——校园里的一切互联网应用服务,都要建立在安全可靠的域名系统之上才能得以实现。而作为核心网络服务基础设施,域名系统在使用、维护和管理环节是否达标则关系到教育信息化进程快慢,甚至对高校信息化投入权重也有极大影响。
结合高校网络建设和使用需求的特点,总结出高校域名系统是否达标的六大判定“法宝”
一、保障本校教学系统快速、持续稳定的访问状态
学校教学系统(如:校园主页、选课系统、查询系统……)内部服务器均通过域名对应多个接入链路IP并提供对外服务。从前,基于运营商IP库进行智能解析是普遍做法,但这种方式无法应对访问源来自IP库外和接入链路出现异常等问题。这就要求在网人数多、上网高峰集中的高校域名系统需采取以下四大策略:
1、动态就近策略:对于IP库外的访问,DNS系统应具备反向检测能力,即通过多链路反查请求源,以查询结果最快的链路IP进行解析应答。
2、全局可用策略:对于接入链路异常的终端,DNS系统应具备检查能力,当检测出某接入链路异常时即不再应答该链路IP,改以其它正常链路IP应答,这种策略可以保障系统一直应答健康链路的服务器IP。
3、链路健康检测和解析切换策略:DNS系统可以实时探知出口链路的健康状态,一旦发现某条链路故障,便可自动屏蔽该链路上的IP解析,将域名解析至其它正常链路,保障服务可持续正常访问。
4、应用健康检测和解析切换策略:DNS系统基于ICMP、UDP、TCP_SYN、TCP、HTTP、HTTPS、FTP等多种协议对应用服务器进行健康检测,可及时发现故障系统并将解析服务健康状态良好的IP记录给请求方,确保服务稳定。
二、优化多链路出口流量,兼顾“快速、均衡”
校园网用户基数大、网络访问频率高、流量使用大,以往多数高校采用多运营商接入的方式。但教育网、联通、电信、移动等运营商同时接入,易导致接入链路流量使用不均衡,高带宽链路得不到充分使用。这就要求域名系统在进行互联网域名访问解析时,应具备多种解析反馈策略:
1、按比例动态调度:基于出口链路的带宽比例,依照对应比例解析返回对应接入商IP给请求方,调度方式更灵活,更便捷。这种策略可彻底解决按照内网IP划片绑定出口链路造成的流量波动大、访问效果差的难题。
2、资源库精确调度:基于访问内容的资源类型进行流量调度,精细化调度流量,为请求方提供最佳访问体验。可按照访问内容优先差别,将视频、下载等调整至指定链路。
3、时间段流量调度:基于时间段进行的调度,可以根据用户上网峰谷期进行精细化流量解析调度。实现白天非高峰时段优先使用优质链路,晚上上网高峰可将非重要访问调离优质链路。
4、峰值流量牵引:与网络出口设备进行联动,根据各条线路的带宽和负载率信息分配DNS请求,均衡各条线路之间的流量。一旦出现某链路流量使用率超标,即可降低链路对应IP的解析,降低该链路带宽使用。
三、大数据分析,运维/重大事件安保有据可依
校园网络中的域名访问有多种类别:校内信息系统的域名访问、互联网资源访问、无线接入的访问、全国省市的访问、高校家属区的访问、不同分校区的访问等等……这些访问均需域名系统进行大数据分析,以报表形式进行展现。例如:全国不同省市对学校官网、招生系统的域名访问分布、学校师生对互联网域名的访问特征、重大专题活动期间活动系统域名的访问量、访问分布等等。
要实现以上数据分析,就需要域名系统能对域名解析环节的关键指标QPS、TOPIP、TOP域名、解析类型、解析状态、缓存命中率、解析成功率、来源IP等近20种状态指标进行组合,生成数百个分析报表。
对于关键报表,ZDNS域名系统能够自动生成运营数据日报、周报、月报,并提供报表下载、自动发送邮箱等服务,保证运维管理及时性。
四、域名注册和管理工作流系统,兼顾合规和效率
现有高校网络普遍存在二级院校或院系申请二级域名的需求,而目前大多高校都是通过行政手段对域名申请进行管理,管理员通常需要手工维护一份纸质域名记录或Excel记录。随着申请域名的数量增多,管理和维护申请信息变得越来越复杂,尤为严峻的挑战是对于已授权历史域名的使用状态不能直观查看,这大大加重了管理员的管理和维护负担。专业的域名系统应满足学校各个院系、不同活动的域名需求,使域名的注册申请和变更流程更加简单、可控。
1、可定制独立域名、域的自注册
例如:通过WEB页面进行域名的注册申请,管理员只需设置好允许开放注册的域名区,并设定注册审核流程即可。申请者通过登录申请页面对待申请域名进行检索,可以对未使用的域名提交申请。管理员只需通过域名管理系统对申请任务进行审批,审批通过即可完成新域名的使用授权。
2、自主维护和管理权移交
在学校域名的使用过程中,人员变动不应影响域名的继续使用。域名系统应支持域名管理权的移交,学生毕业、老师调岗时,可将账户下域名迁移至其他账户,保证域名管理的平滑过渡。
五、全面联动,系统间智能协同,优化体验
随着教育信息化程度显著提高,校园内部各系统间的无缝对接将起到越来越重要的作用。域名系统应提供标准的API接口,可以无缝对接第三方系统,便于简化各种系统使用,提升网络使用效率。
1、对接Radius、AD、LDAP、Tacas+等认证系统,实现域名系统和认证系统的信息联动。
2、对接深蓝、城市热点等认证计费系统,根据认证用户套餐选择最佳的链路进行解析,保证用户最佳网络访问体验。
六、下一代互联网技术,兼顾未来的应用拓展
互联网时代,域名是一切网络服务的入口。作为网络访问的第一环节,域名系统应具备良好的拓展支持性,支持各种系统升级拓展。
IPV6作为下一代互联网技术在教育行业普及率很高,其优点是师生可以通过IPv6访问国内外网站获取学术资料。但在IPV6使用过程中,也存在一些问题,这就使得很多学校的IPv6网络建设仅仅停留在“能用”阶段。而专业的域名系统应智能识别IPV4、IPV6解析,“用好”IPV6链路。同时,专业的域名系统还应在虚拟化、DNSSec、DNS64、IDNs等方面进行深入支撑,为学校网络建设提供更多保障。