尹宗平

（合肥職業(yè)技術(shù)學(xué)院，安徽 合肥 238000）

服務(wù)器使用異地IP地址的方法

尹宗平

（合肥職業(yè)技術(shù)學(xué)院，安徽 合肥 238000）

服務(wù)器一般使用數(shù)據(jù)中心分配的IP地址，有時需要在服務(wù)器上使用異地數(shù)據(jù)中心的IP地址，以實現(xiàn)某些特殊的功能，但互聯(lián)網(wǎng)體系結(jié)構(gòu)使這種需求難以實現(xiàn)。使用VPN技術(shù)在互聯(lián)網(wǎng)上建立隧道，將服務(wù)器與異地數(shù)據(jù)中心在網(wǎng)絡(luò)層直接連接，再通過配置路由規(guī)則，可以實現(xiàn)在服務(wù)器上使用異地數(shù)據(jù)中心的IP地址，并在應(yīng)用上呈現(xiàn)出一些特點。

服務(wù)器；IP地址；VPN；路由；異地數(shù)據(jù)中心

1 引言

服務(wù)器托管在數(shù)據(jù)中心時，有時需要使用異地數(shù)據(jù)中心的IP地址，這樣可以實現(xiàn)一些特殊的功能，例如：可以將流量費用較高的香港Web服務(wù)器遷移到國內(nèi)數(shù)據(jù)中心以降低流量成本；可以讓服務(wù)器使用異地較為便宜的IP地址。實現(xiàn)此需求的一個方法是：對于具備條件的企業(yè)可以申請獲得AS號，再采用BGP協(xié)議將申請的IP地址廣播到本地數(shù)據(jù)中心。但這個方法一般企業(yè)不具備操作條件，本文提出了一種簡便的服務(wù)器使用異地IP地址的方法。

2 基本思路

IP地址是服務(wù)器在網(wǎng)絡(luò)層的唯一標(biāo)識，服務(wù)器上配置的公網(wǎng)IP地址需要向CNNIC、APNIC等IP地址分配機構(gòu)申請獲得，然后才能在世界各地的互聯(lián)網(wǎng)路由器上通過路由協(xié)議配置路由規(guī)則，獲得的IP地址才能在指定的數(shù)據(jù)中心使用。當(dāng)某臺客戶計算機訪問互聯(lián)網(wǎng)上某臺服務(wù)器時，客戶計算機發(fā)出請求IP數(shù)據(jù)報，其目標(biāo)地址為服務(wù)器IP地址，請求IP數(shù)據(jù)報經(jīng)過互聯(lián)網(wǎng)路由路徑的各臺路由器轉(zhuǎn)發(fā)后，最終到達服務(wù)器；然后服務(wù)器發(fā)出響應(yīng)IP數(shù)據(jù)報，其目標(biāo)地址為客戶計算機IP地址，響應(yīng)IP數(shù)據(jù)報同樣經(jīng)過多次轉(zhuǎn)發(fā)后，最終到達客戶計算機。

根據(jù)上述互聯(lián)網(wǎng)體系結(jié)構(gòu)的規(guī)則，服務(wù)器上即使配置了異地數(shù)據(jù)中心的IP地址，也將無法使用，因為未在互聯(lián)網(wǎng)路由器上配置路由規(guī)則，客戶計算機發(fā)出的訪問請求無法送達服務(wù)器。

VPN技術(shù)可以在互聯(lián)網(wǎng)的兩個節(jié)點間建立隧道，使這兩個節(jié)點在網(wǎng)絡(luò)層上成為相鄰節(jié)點。當(dāng)這兩個節(jié)點是路由器時，一個節(jié)點可以將另一個節(jié)點作為路由規(guī)則中的下一跳。當(dāng)這兩個節(jié)點是服務(wù)器與異地數(shù)據(jù)中心的服務(wù)器時，則呈現(xiàn)如圖1所示的網(wǎng)絡(luò)拓?fù)洹?/p>

圖1 網(wǎng)絡(luò)拓?fù)鋱D

在上述兩節(jié)點上運行路由服務(wù)、配置路由規(guī)則，可以實現(xiàn)服務(wù)器與異地數(shù)據(jù)中心在網(wǎng)絡(luò)層上直接互聯(lián)，實現(xiàn)在服務(wù)器上使用異地數(shù)據(jù)中心的IP地址。其做法是：在異地數(shù)據(jù)中心的服務(wù)器上配置靜態(tài)路由，將目標(biāo)地址指定的異地數(shù)據(jù)中心IP地址的IP數(shù)據(jù)報，通過VPN隧道路由到服務(wù)器上；在服務(wù)器上配置此指定的異地數(shù)據(jù)中心IP地址，則服務(wù)器可接收到此IP數(shù)據(jù)報；服務(wù)器響應(yīng)發(fā)出IP數(shù)據(jù)報，其目標(biāo)地址是客戶計算機IP地址，將廣播到服務(wù)器的默認(rèn)網(wǎng)關(guān)，經(jīng)互聯(lián)網(wǎng)轉(zhuǎn)發(fā)到客戶計算機。

3 實驗驗證

3.1 基本環(huán)境

異地數(shù)據(jù)中心的服務(wù)器可以是一臺OpenVZ技術(shù)的虛擬機，在其上安裝CentOS操作系統(tǒng)。設(shè)其IP地址為A.A.A.10與A.A.A.11，虛擬機上只配置A.A.A.10。修改/etc/sysctl.conf配置文件，將net.ipv4.ip_forward行的值由0改為1，使本機成為軟件路由器。

服務(wù)器上安裝Windows 2008 Server，設(shè)其IP地址為B.B. B.20，并配置A.A.A.11為第二個IP地址，默認(rèn)網(wǎng)關(guān)為B.B. B.1。配置并啟用“路由和遠程訪問”，選“自定義配置”、“LAN路由”，使本機成為軟件路由器。

3.2 VPN的配置

當(dāng)前實踐中較典型的VPN技術(shù)有PPTP、L2TP、OpenVPN等。OpenVPN基于UDP或TCP協(xié)議通訊，具有較強的穿透力，具有壓縮、加密功能，多種認(rèn)證方式可選，具有服務(wù)器端、客戶端，通過虛擬網(wǎng)卡實現(xiàn)通訊，配置簡便，故選用之。在A.A.A.10上安裝Linux版本的服務(wù)器端，在B.B. B.20上安裝windows版本的客戶端，并分別編輯配置文件。

OpenVPN應(yīng)使用UDP協(xié)議通訊。雖然可以使用TCP協(xié)議通訊，但TCP協(xié)議是可靠的、有連接的，其可靠性主要通過差錯控制、流量控制、擁塞控制實現(xiàn)，可靠性、連接性機制均有損傳輸效率；如果在使用TCP協(xié)議通訊的OpenVPN隧道上再傳輸TCP流量（如WEB服務(wù)），就會出現(xiàn)TCP連接上的TCP連接（TCP-over-TCP），存在雙重可靠性、連接性機制，造成效率更低。而UDP協(xié)議是不可靠的、無連接的，傳輸效率較高，傳輸?shù)目煽啃钥捎缮蠈訁f(xié)議來完成，如由OpenVPN隧道上傳輸?shù)腡CP流量本身來實現(xiàn)可靠性。

OpenVPN一般應(yīng)禁用加密。雖然可以啟用加密，但加密、解密操作會降低傳輸效率。

OpenVPN一般應(yīng)啟用壓縮。雖然壓縮、解壓操作會降低傳輸效率，但較高的壓縮比降低了傳輸?shù)臄?shù)據(jù)量，可提高總傳輸效率。

服務(wù)端配置文件如下：

proto udp#選擇協(xié)議

port 1200#監(jiān)聽端口

dev tun#基于網(wǎng)絡(luò)層連接

secret/static.key#預(yù)共享密鑰文件

ifconfig 10.2.0.1 10.2.0.2#指定服務(wù)器端與客戶端的IP

routeA.A.A.11 255.255.255.255#路由規(guī)則

keepalive 10 60#ping間隔與超時時間

comp-lzo#啟用壓縮

cipher none#禁用加密

客戶端配置文件如下：

proto udp

remoteA.A.A.10 1200#指定服務(wù)器端

dev tun

secret"c:\static.key"

ifconfig 10.2.0.2 10.2.0.1

comp-lzo

cipher none

當(dāng)OpenVPN隧道建立后，A.A.A.10服務(wù)器將存在IP地址為10.2.0.1的虛擬網(wǎng)卡，B.B.B.20上將存在IP地址為10.2.0.2的虛擬網(wǎng)卡，兩者屬于同一子網(wǎng)。

3.3 訪問請求的路由路徑

在遠程數(shù)據(jù)中心的服務(wù)器A.A.A.10上，在OpenVPN服務(wù)器端配置文件中添加靜態(tài)路由規(guī)則行：“route A.A.A.11 255.255.255.255”，則由客戶計算機發(fā)出的目標(biāo)地址為A.A. A.11的IP數(shù)據(jù)報，將沿互聯(lián)網(wǎng)轉(zhuǎn)發(fā)到A.A.A.10上，再通過VPN隧道轉(zhuǎn)發(fā)到服務(wù)器的10.2.0.2虛擬網(wǎng)卡接口，再在本機內(nèi)轉(zhuǎn)發(fā)到A.A.A.11接口。

3.4 響應(yīng)請求的路由路徑

在服務(wù)器的A.A.A.11接口上將響應(yīng)客戶計算機的請求，其響應(yīng)請求的IP數(shù)據(jù)報的目標(biāo)地址是客戶計算機的IP地址。該IP數(shù)據(jù)報將根據(jù)默認(rèn)路由規(guī)則廣播到默認(rèn)網(wǎng)關(guān)B.B. B.1，默認(rèn)網(wǎng)關(guān)根據(jù)目標(biāo)地址再轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上其它路由器，沿著路由路徑最終轉(zhuǎn)發(fā)到客戶計算機。

需要說明的是，在上述過程中響應(yīng)請求的IP數(shù)據(jù)報的源地址為A.A.A.11，并不是數(shù)據(jù)中心分配給服務(wù)器的IP地址B. B.B.20，故需要數(shù)據(jù)中心在防護墻上允許該IP數(shù)據(jù)報通過。

3.5 結(jié)果測試

在互聯(lián)網(wǎng)中任一計算機上用命令測試：“ping A.A. A.11”，均可以ping通，說明服務(wù)器已經(jīng)成功使用異地IP地址。

4 應(yīng)用特點

（1）本方法使服務(wù)器可以使用世界上任意便宜的IP地址資源。

（2）可以將多個數(shù)據(jù)中心的IP地址配置到一臺服務(wù)器上實現(xiàn)線路冗余備份，在對線路穩(wěn)定性要求較高的情況下、以及在組建防攻擊網(wǎng)絡(luò)時適用。

用服務(wù)器上的異地IP地址架設(shè)Web服務(wù)時，還具有以下特點：

（3）異地數(shù)據(jù)中心的流量占用小，本地服務(wù)器的流量占用大。原因是在Web服務(wù)中，客戶端訪問請求包括的主要是網(wǎng)址信息，數(shù)據(jù)量較小，主要數(shù)據(jù)的路由路徑是：客戶計算機——互聯(lián)網(wǎng)——異地數(shù)據(jù)中心服務(wù)器——服務(wù)器；服務(wù)器響應(yīng)訪問的主要是網(wǎng)頁信息，數(shù)據(jù)量較大，主要數(shù)據(jù)的路由路徑是：服務(wù)器——互聯(lián)網(wǎng)——客戶計算機。前文所述的香港Web服務(wù)器遷移到國內(nèi)即是此特點的應(yīng)用。

（4）當(dāng)異地數(shù)據(jù)中心距離遙遠，離服務(wù)器較近地區(qū)的網(wǎng)站訪問速度有一定提升。例如：當(dāng)異地數(shù)據(jù)中心位于美國，服務(wù)器位于中國電信，從中國電信訪問服務(wù)器上的美國IP地址的網(wǎng)站時，速度一般將比訪問異地數(shù)據(jù)中心的網(wǎng)站快。原因是較小的訪問請求流量經(jīng)過了較長的路由路徑，而較大的響應(yīng)請求流量經(jīng)過了較短的路由路徑。

實驗證明，上例中的網(wǎng)站訪問速度并不會提升太多，與訪問中國電信網(wǎng)站相比仍較慢。原因之一是傳輸層使用TCP協(xié)議，存在流量控制、擁塞控制，客戶計算機接收到響應(yīng)請求數(shù)據(jù)后，要向服務(wù)器發(fā)送確認(rèn)信息，而確認(rèn)信息要經(jīng)過較長的路由路徑，迫使服務(wù)器不能持續(xù)地向客戶計算機高速傳輸數(shù)據(jù)。

5 結(jié)論

通過VPN技術(shù)可以在服務(wù)器與異地數(shù)據(jù)中心之間建立基于網(wǎng)絡(luò)層的直接連接，結(jié)合路由技術(shù)可以在服務(wù)器上使用異地數(shù)據(jù)中心的IP地址。這種方法有利于降低IP成本，有利于實現(xiàn)線路冗余備份，在架設(shè)Web服務(wù)時有利于降低遠程數(shù)據(jù)中心的流量，特定條件下有利于改善網(wǎng)站訪問速度。

[1]中國互聯(lián)網(wǎng)信息中心．CNNIC[EB/OL]．http://www．cnnic．com．cn，2014．

[2]蘭少華，楊余旺，呂建勇．TCP/IP網(wǎng)絡(luò)與協(xié)議[M]．北京:清華大學(xué)出版社，2005．

[3]林圣東，陳小惠，趙瑞卿．基于OpenVPN的Lan-to-Lan VPN的設(shè)計與實現(xiàn)[J]．電子測試，2012，(4):86-92．

[4]OpenVPN Technologies，Inc．OPENVPN[EB/OL]．http://www．openvpn．net，2014．

Method of Server using the Remote IPAddress

Yin Zongping
(Hefei Vocational and Technical College,Heifei,238000,China)

act】Servers usually use IP addresses of the data center.In order to realize some special functions,sometimes it's necessary that the server uses IP address of remote data center.But the internet architecture makes it difficult to achieve.To build a tunnel on the internet using VPN technology,the server and the remote data center will be directly connected in the network layer.Then through the configuration of the routing rules,the server using the IP address of remote data center can be realized.Some characteristics in application will also be presented.

server;IP address;VPN;routing;remote data center

TP393

：A

1008-6609(2015)03-0068-03

尹宗平，男，安徽巢湖人，碩士，高級工程師，研究方向：網(wǎng)絡(luò)理論與應(yīng)用。