智能DNS IPv6解析结果过滤方法

1. 需求场景

如今，各高校都有电信、联通、移动、教育网等多家运营商出口线路，在实现各自线路流量负载的时候，IPv6的流量透明化及访问体验度逐渐成为各高校关注的重点，尤其是近一两年来国家网信办及国务院办公厅颁布“IPv6规模部署行动计划”以来，学校对于IPv6的建设需求和安全维护需求越来越强列。

在经历了IPv6和IPv4共存的阶段后，未来的网络会逐渐走向纯IPv6网络环境，而当下，正是IPv6和IPv4共存的时期，共存时期需要运维管理人员掌握多种手段来有效利用IPv6链路，同时也要保证用户的访问畅通。高校网络环境是相对比较复杂的大型园区网，在IPv6升级改造的时候难度也会相对较大，例如在拥有多ISP出口的时候，只有其中一条ISP支持IPv6，如何才能合理高效地使用IPv6链路及流量，若有多条ISP均支持IPv6，则需考虑如何才能实现IPv6的负载均衡，都是高校的网络管理员需要思考和面对的问题。

2. 部署方案

北京云安信息技术有限公司结合高校IPv6现状及面临的问题，以及未来网络的发展方向，推出IPv6智能DNS，该系统具备记录类型过滤功能，解决“共存期”存在的问题，在保证用户访问网络不受影响的前提下，充分利用现有的IPv6链路资源，让IPv6流量也“跑起来”。

结构如下图，需要学校拥有至少两台智能DNS，大致配置思路：内部用户下发DNS（A）为递归DNS；在DNS（A）上配置教育科研类域名转发至公共DNS，或不转发，执行根查询，这样可以获得教育科研类域名的IPv4和IPv6双栈解析结果，除了教育科研类域名以外的其他所有域名转发给DNS（B）；DNS B上需配置迭代查询（也可以执行转发），再过滤掉AAAA记录类型。这样配置之后，内部用户在可以在访问教育科研类域名的时候访问IPv6，其他域名访问IPv4。

（实现逻辑）

DNS A的配置

（DNS A 配置教育类域名转发）

（DNS A 教育类域名）

（DNS A 中其他域名转发给DNS B）

DNS B的配置

（DNS B 中过滤IPv6解析记录类型）

在实现以上的部署和配置之后，用户便可以在只拥有教育网链路IPv6资源的时候顺利访问教育网的IPv6网络资源，而且其他网络的访问还是走IPv4链路，综合利用所有链路资源，且保证了用户的访问体验。

3. 后续计划

本解决方案是在用户拥有多出口链路（仅有教育网链路有IPv6）的情况下，用户需要实现内部用户访问外网的IPv6资源且又不影响原来IPv4的资源访问的一个折中的解决方案。若用户走教育网访问百度新浪等互联网IPv6资源的时候会访问不了或者卡顿，因此，需要将它们牵引至IPv4链路。北京云安信息技术有限公司的IPv6智能DNS后续版本会增加基于域名的过滤，只需要在一台DNS上即可实现上述所有功能，无须两台设备分别过滤分别转发。