服務器使用異地IP地址的方法

尹宗平

（合肥職業(yè)技術(shù)學院，安徽 合肥 238000）

服務器使用異地IP地址的方法

尹宗平

（合肥職業(yè)技術(shù)學院，安徽 合肥 238000）

服務器一般使用數(shù)據(jù)中心分配的IP地址，有時需要在服務器上使用異地數(shù)據(jù)中心的IP地址，以實現(xiàn)某些特殊的功能，但互聯(lián)網(wǎng)體系結(jié)構(gòu)使這種需求難以實現(xiàn)。使用VPN技術(shù)在互聯(lián)網(wǎng)上建立隧道，將服務器與異地數(shù)據(jù)中心在網(wǎng)絡(luò)層直接連接，再通過配置路由規(guī)則，可以實現(xiàn)在服務器上使用異地數(shù)據(jù)中心的IP地址，并在應用上呈現(xiàn)出一些特點。

服務器；IP地址；VPN；路由；異地數(shù)據(jù)中心

1 引言

服務器托管在數(shù)據(jù)中心時，有時需要使用異地數(shù)據(jù)中心的IP地址，這樣可以實現(xiàn)一些特殊的功能，例如：可以將流量費用較高的香港Web服務器遷移到國內(nèi)數(shù)據(jù)中心以降低流量成本；可以讓服務器使用異地較為便宜的IP地址。實現(xiàn)此需求的一個方法是：對于具備條件的企業(yè)可以申請獲得AS號，再采用BGP協(xié)議將申請的IP地址廣播到本地數(shù)據(jù)中心。但這個方法一般企業(yè)不具備操作條件，本文提出了一種簡便的服務器使用異地IP地址的方法。

2 基本思路

IP地址是服務器在網(wǎng)絡(luò)層的唯一標識，服務器上配置的公網(wǎng)IP地址需要向CNNIC、APNIC等IP地址分配機構(gòu)申請獲得，然后才能在世界各地的互聯(lián)網(wǎng)路由器上通過路由協(xié)議配置路由規(guī)則，獲得的IP地址才能在指定的數(shù)據(jù)中心使用。當某臺客戶計算機訪問互聯(lián)網(wǎng)上某臺服務器時，客戶計算機發(fā)出請求IP數(shù)據(jù)報，其目標地址為服務器IP地址，請求IP數(shù)據(jù)報經(jīng)過互聯(lián)網(wǎng)路由路徑的各臺路由器轉(zhuǎn)發(fā)后，最終到達服務器；然后服務器發(fā)出響應IP數(shù)據(jù)報，其目標地址為客戶計算機IP地址，響應IP數(shù)據(jù)報同樣經(jīng)過多次轉(zhuǎn)發(fā)后，最終到達客戶計算機。

根據(jù)上述互聯(lián)網(wǎng)體系結(jié)構(gòu)的規(guī)則，服務器上即使配置了異地數(shù)據(jù)中心的IP地址，也將無法使用，因為未在互聯(lián)網(wǎng)路由器上配置路由規(guī)則，客戶計算機發(fā)出的訪問請求無法送達服務器。

VPN技術(shù)可以在互聯(lián)網(wǎng)的兩個節(jié)點間建立隧道，使這兩個節(jié)點在網(wǎng)絡(luò)層上成為相鄰節(jié)點。當這兩個節(jié)點是路由器時，一個節(jié)點可以將另一個節(jié)點作為路由規(guī)則中的下一跳。當這兩個節(jié)點是服務器與異地數(shù)據(jù)中心的服務器時，則呈現(xiàn)如圖1所示的網(wǎng)絡(luò)拓撲。

圖1 網(wǎng)絡(luò)拓撲圖

在上述兩節(jié)點上運行路由服務、配置路由規(guī)則，可以實現(xiàn)服務器與異地數(shù)據(jù)中心在網(wǎng)絡(luò)層上直接互聯(lián)，實現(xiàn)在服務器上使用異地數(shù)據(jù)中心的IP地址。其做法是：在異地數(shù)據(jù)中心的服務器上配置靜態(tài)路由，將目標地址指定的異地數(shù)據(jù)中心IP地址的IP數(shù)據(jù)報，通過VPN隧道路由到服務器上；在服務器上配置此指定的異地數(shù)據(jù)中心IP地址，則服務器可接收到此IP數(shù)據(jù)報；服務器響應發(fā)出IP數(shù)據(jù)報，其目標地址是客戶計算機IP地址，將廣播到服務器的默認網(wǎng)關(guān)，經(jīng)互聯(lián)網(wǎng)轉(zhuǎn)發(fā)到客戶計算機。

3 實驗驗證

3.1 基本環(huán)境

異地數(shù)據(jù)中心的服務器可以是一臺OpenVZ技術(shù)的虛擬機，在其上安裝CentOS操作系統(tǒng)。設(shè)其IP地址為A.A.A.10與A.A.A.11，虛擬機上只配置A.A.A.10。修改/etc/sysctl.conf配置文件，將net.ipv4.ip_forward行的值由0改為1，使本機成為軟件路由器。

服務器上安裝Windows 2008 Server，設(shè)其IP地址為B.B. B.20，并配置A.A.A.11為第二個IP地址，默認網(wǎng)關(guān)為B.B. B.1。配置并啟用“路由和遠程訪問”，選“自定義配置”、“LAN路由”，使本機成為軟件路由器。

3.2 VPN的配置

當前實踐中較典型的VPN技術(shù)有PPTP、L2TP、OpenVPN等。OpenVPN基于UDP或TCP協(xié)議通訊，具有較強的穿透力，具有壓縮、加密功能，多種認證方式可選，具有服務器端、客戶端，通過虛擬網(wǎng)卡實現(xiàn)通訊，配置簡便，故選用之。在A.A.A.10上安裝Linux版本的服務器端，在B.B. B.20上安裝windows版本的客戶端，并分別編輯配置文件。

OpenVPN應使用UDP協(xié)議通訊。雖然可以使用TCP協(xié)議通訊，但TCP協(xié)議是可靠的、有連接的，其可靠性主要通過差錯控制、流量控制、擁塞控制實現(xiàn)，可靠性、連接性機制均有損傳輸效率；如果在使用TCP協(xié)議通訊的OpenVPN隧道上再傳輸TCP流量（如WEB服務），就會出現(xiàn)TCP連接上的TCP連接（TCP-over-TCP），存在雙重可靠性、連接性機制，造成效率更低。而UDP協(xié)議是不可靠的、無連接的，傳輸效率較高，傳輸?shù)目煽啃钥捎缮蠈訁f(xié)議來完成，如由OpenVPN隧道上傳輸?shù)腡CP流量本身來實現(xiàn)可靠性。

OpenVPN一般應禁用加密。雖然可以啟用加密，但加密、解密操作會降低傳輸效率。

OpenVPN一般應啟用壓縮。雖然壓縮、解壓操作會降低傳輸效率，但較高的壓縮比降低了傳輸?shù)臄?shù)據(jù)量，可提高總傳輸效率。

服務端配置文件如下：

proto udp#選擇協(xié)議

port 1200#監(jiān)聽端口

dev tun#基于網(wǎng)絡(luò)層連接

secret/static.key#預共享密鑰文件

ifconfig 10.2.0.1 10.2.0.2#指定服務器端與客戶端的IP

routeA.A.A.11 255.255.255.255#路由規(guī)則

keepalive 10 60#ping間隔與超時時間

comp-lzo#啟用壓縮

cipher none#禁用加密

客戶端配置文件如下：

proto udp

remoteA.A.A.10 1200#指定服務器端

dev tun

secret"c:\static.key"

ifconfig 10.2.0.2 10.2.0.1

comp-lzo

cipher none

當OpenVPN隧道建立后，A.A.A.10服務器將存在IP地址為10.2.0.1的虛擬網(wǎng)卡，B.B.B.20上將存在IP地址為10.2.0.2的虛擬網(wǎng)卡，兩者屬于同一子網(wǎng)。

3.3 訪問請求的路由路徑

在遠程數(shù)據(jù)中心的服務器A.A.A.10上，在OpenVPN服務器端配置文件中添加靜態(tài)路由規(guī)則行：“route A.A.A.11 255.255.255.255”，則由客戶計算機發(fā)出的目標地址為A.A. A.11的IP數(shù)據(jù)報，將沿互聯(lián)網(wǎng)轉(zhuǎn)發(fā)到A.A.A.10上，再通過VPN隧道轉(zhuǎn)發(fā)到服務器的10.2.0.2虛擬網(wǎng)卡接口，再在本機內(nèi)轉(zhuǎn)發(fā)到A.A.A.11接口。

3.4 響應請求的路由路徑

在服務器的A.A.A.11接口上將響應客戶計算機的請求，其響應請求的IP數(shù)據(jù)報的目標地址是客戶計算機的IP地址。該IP數(shù)據(jù)報將根據(jù)默認路由規(guī)則廣播到默認網(wǎng)關(guān)B.B. B.1，默認網(wǎng)關(guān)根據(jù)目標地址再轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上其它路由器，沿著路由路徑最終轉(zhuǎn)發(fā)到客戶計算機。

需要說明的是，在上述過程中響應請求的IP數(shù)據(jù)報的源地址為A.A.A.11，并不是數(shù)據(jù)中心分配給服務器的IP地址B. B.B.20，故需要數(shù)據(jù)中心在防護墻上允許該IP數(shù)據(jù)報通過。

3.5 結(jié)果測試

在互聯(lián)網(wǎng)中任一計算機上用命令測試：“ping A.A. A.11”，均可以ping通，說明服務器已經(jīng)成功使用異地IP地址。

4 應用特點

（1）本方法使服務器可以使用世界上任意便宜的IP地址資源。

（2）可以將多個數(shù)據(jù)中心的IP地址配置到一臺服務器上實現(xiàn)線路冗余備份，在對線路穩(wěn)定性要求較高的情況下、以及在組建防攻擊網(wǎng)絡(luò)時適用。

用服務器上的異地IP地址架設(shè)Web服務時，還具有以下特點：

（3）異地數(shù)據(jù)中心的流量占用小，本地服務器的流量占用大。原因是在Web服務中，客戶端訪問請求包括的主要是網(wǎng)址信息，數(shù)據(jù)量較小，主要數(shù)據(jù)的路由路徑是：客戶計算機——互聯(lián)網(wǎng)——異地數(shù)據(jù)中心服務器——服務器；服務器響應訪問的主要是網(wǎng)頁信息，數(shù)據(jù)量較大，主要數(shù)據(jù)的路由路徑是：服務器——互聯(lián)網(wǎng)——客戶計算機。前文所述的香港Web服務器遷移到國內(nèi)即是此特點的應用。

（4）當異地數(shù)據(jù)中心距離遙遠，離服務器較近地區(qū)的網(wǎng)站訪問速度有一定提升。例如：當異地數(shù)據(jù)中心位于美國，服務器位于中國電信，從中國電信訪問服務器上的美國IP地址的網(wǎng)站時，速度一般將比訪問異地數(shù)據(jù)中心的網(wǎng)站快。原因是較小的訪問請求流量經(jīng)過了較長的路由路徑，而較大的響應請求流量經(jīng)過了較短的路由路徑。

實驗證明，上例中的網(wǎng)站訪問速度并不會提升太多，與訪問中國電信網(wǎng)站相比仍較慢。原因之一是傳輸層使用TCP協(xié)議，存在流量控制、擁塞控制，客戶計算機接收到響應請求數(shù)據(jù)后，要向服務器發(fā)送確認信息，而確認信息要經(jīng)過較長的路由路徑，迫使服務器不能持續(xù)地向客戶計算機高速傳輸數(shù)據(jù)。

5 結(jié)論

通過VPN技術(shù)可以在服務器與異地數(shù)據(jù)中心之間建立基于網(wǎng)絡(luò)層的直接連接，結(jié)合路由技術(shù)可以在服務器上使用異地數(shù)據(jù)中心的IP地址。這種方法有利于降低IP成本，有利于實現(xiàn)線路冗余備份，在架設(shè)Web服務時有利于降低遠程數(shù)據(jù)中心的流量，特定條件下有利于改善網(wǎng)站訪問速度。

[1]中國互聯(lián)網(wǎng)信息中心．CNNIC[EB/OL]．http://www．cnnic．com．cn，2014．

[2]蘭少華，楊余旺，呂建勇．TCP/IP網(wǎng)絡(luò)與協(xié)議[M]．北京:清華大學出版社，2005．

[3]林圣東，陳小惠，趙瑞卿．基于OpenVPN的Lan-to-Lan VPN的設(shè)計與實現(xiàn)[J]．電子測試，2012，(4):86-92．

[4]OpenVPN Technologies，Inc．OPENVPN[EB/OL]．http://www．openvpn．net，2014．

Method of Server using the Remote IPAddress

Yin Zongping
(Hefei Vocational and Technical College,Heifei,238000,China)

act】Servers usually use IP addresses of the data center.In order to realize some special functions,sometimes it's necessary that the server uses IP address of remote data center.But the internet architecture makes it difficult to achieve.To build a tunnel on the internet using VPN technology,the server and the remote data center will be directly connected in the network layer.Then through the configuration of the routing rules,the server using the IP address of remote data center can be realized.Some characteristics in application will also be presented.

server;IP address;VPN;routing;remote data center

TP393

：A

1008-6609(2015)03-0068-03

尹宗平，男，安徽巢湖人，碩士，高級工程師，研究方向：網(wǎng)絡(luò)理論與應用。