基于反向代理技術(shù)的IP地址復(fù)用方案設(shè)計與實施

摘 要： 隨著計算機及網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展，面向Internet的校園信息化平臺建設(shè)受到各高校的高度重視，被認(rèn)為是改善教學(xué)科研環(huán)境、提升校園管理水平、加強校學(xué)術(shù)交流、提高綜合競爭力的重要途徑。本文結(jié)合江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的校園網(wǎng)建設(shè)現(xiàn)狀及業(yè)務(wù)特點，以校園網(wǎng)Chinanet公網(wǎng)IP地址資源緊缺為切入點，分析校園網(wǎng)Chinanet公網(wǎng)IP地址資源緊缺現(xiàn)狀，提出一種基于反向代理技術(shù)優(yōu)化Chinanet公網(wǎng)IP地址資源方案，并通過智能多路口均衡服務(wù)系統(tǒng)實現(xiàn)了Chinanet公網(wǎng)IP地址資源優(yōu)化。

關(guān)鍵詞： IP地址復(fù)用 反向代理 校園網(wǎng)

江蘇經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院校園網(wǎng)經(jīng)過多年建設(shè)，進入了穩(wěn)步發(fā)展階段。當(dāng)前校園網(wǎng)采用了Chinanet、Cernet雙ISP接入的網(wǎng)絡(luò)結(jié)構(gòu)，同時對外提供了多個Web應(yīng)用服務(wù)，主要包括：WWW服務(wù)、E-MAIL服務(wù)、DNS服務(wù)、教務(wù)系統(tǒng)、OA系統(tǒng)、網(wǎng)上測評系統(tǒng)等，互聯(lián)網(wǎng)用戶均通過域名方式進行訪問[1]。

在校園網(wǎng)建設(shè)過程中，Chinanet公網(wǎng)IP地址用于網(wǎng)絡(luò)互聯(lián)及各對外服務(wù)的域名配置后存量所剩無幾，而未來巨大的公網(wǎng)IP地址需求遠超現(xiàn)有剩余地址資源，Chinanet公網(wǎng)IP地址緊缺問題已經(jīng)嚴(yán)重阻礙了校園網(wǎng)的發(fā)展。根據(jù)現(xiàn)有情況分析，提出基于反向代理技術(shù)的IP地址資源優(yōu)化方案，通過使用“智能多路口均衡服務(wù)系統(tǒng)”下的“IP復(fù)用”功能對Chinanet公網(wǎng)IP地址資源進行了優(yōu)化，并對優(yōu)化效果進行了實測。

一、反向代理技術(shù)

反向代理技術(shù)是一種Web服務(wù)加速技術(shù)，反向代理服務(wù)器是高速的Web緩沖服務(wù)器，位于Web服務(wù)器與Internet之間，使用反向代理服務(wù)的目的是在降低Web服務(wù)器的負(fù)載同時節(jié)省IP地址資源。

反向代理服務(wù)的對象是指定的Web服務(wù)器。只要將反向代理服務(wù)器部署在Web服務(wù)器前端就可實現(xiàn)反向代理服務(wù)。將DNS服務(wù)器上的Web域名解析地址指向反向代理服務(wù)器，當(dāng)用戶訪問Web服務(wù)器時，訪問的非原始Web服務(wù)器而是反向代理服務(wù)器，此時，客戶端與反向代理服務(wù)器連接而不是與Web服務(wù)器相連，而反向代理服務(wù)器則提供了Web服務(wù)器的功能。這種機制的建立，不僅能夠避免網(wǎng)內(nèi)主機和Web服務(wù)器直接與外部網(wǎng)絡(luò)通信所造成的網(wǎng)絡(luò)安全隱患，而且能大幅度減輕Web服務(wù)器的負(fù)擔(dān)，提高訪問速率[2]。

1.反向代理技術(shù)的工作原理

反向代理服務(wù)器位于Web服務(wù)器和Internet客戶端之間，如圖1所示。反向代理服務(wù)器處理客戶端對Web服務(wù)器的請求，阻止Internet直接訪問Web服務(wù)器。當(dāng)客戶端發(fā)送向Web服務(wù)器發(fā)送訪問請求時，通過域名解析服務(wù)器將請求重定向到反向代理服務(wù)器，訪問請求由反向代理服務(wù)器負(fù)責(zé)處理。反向代理服務(wù)器上設(shè)置了緩存功能，一般只緩存html網(wǎng)頁和圖片等數(shù)據(jù)，對于動態(tài)CGI腳本程序或JSP之類的程序則不緩存。Web服務(wù)器返回的HTTP頭標(biāo)記是反向代理服務(wù)器判斷是否緩沖的依據(jù)。

2.反向代理服務(wù)器的工作流程

（1）客戶端通過域名方式對Web服務(wù)器發(fā)出訪問請求，由于該域名在DNS服務(wù)器上的解析已經(jīng)被設(shè)置為反向代理服務(wù)器的IP地址，所以客戶端的請求被重定向至反向代理服務(wù)器；

（2）反向代理服務(wù)器接受客戶端的請求；

（3）反向代理服務(wù)器在緩存中查找客戶端所請求的內(nèi)容，如果能夠找到，就直接將內(nèi)容返回給客戶端；

（4）如果服務(wù)器緩存中無法找到客戶端所請求的信息，那么反向代理服務(wù)器會代替客戶端向目標(biāo)Web服務(wù)器發(fā)出請求，并將從Web服務(wù)器中得到的信息返回給客戶端，通過判斷HTTP頭標(biāo)記信息內(nèi)容能否緩存，如果可以緩存，服務(wù)器就將把信息保存到緩存中。

二、IP地址資源優(yōu)化方案設(shè)計

根據(jù)學(xué)院現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，結(jié)合反向代理技術(shù)的工作原理，只需通過在學(xué)校網(wǎng)絡(luò)出口與校園網(wǎng)應(yīng)用服務(wù)器之間架設(shè)反向代理服務(wù)器，如圖2所示。在將DNS服務(wù)器上設(shè)置需要反向代理的域名，將域名解析地址設(shè)置為反向代理服務(wù)器地址，多臺Web服務(wù)器可以同時指向反向代理服務(wù)器，實現(xiàn)優(yōu)化Chinanet公網(wǎng)IP地址資源配置的目標(biāo)[3]。

通過以上模型的構(gòu)建，確定反向代理技術(shù)方案在實際應(yīng)用中有著以下幾個方面的優(yōu)勢。

1.便捷性：不需更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，校園網(wǎng)內(nèi)用戶無需做任何設(shè)置。

2.經(jīng)濟性：不增加其他網(wǎng)絡(luò)設(shè)備，節(jié)省開支。

3.易用性：直接在反向代理服務(wù)器上對域名信息的添加、刪除、修改，操作簡單便于維護。

4.擴展性：校園網(wǎng)如需擴充新的對外服務(wù)應(yīng)用，只需在反向代理服務(wù)器上做好相應(yīng)配置，即可實現(xiàn)IP地址復(fù)用。

5.安全性：外部主機無法直接訪問內(nèi)部服務(wù)器，避免網(wǎng)內(nèi)服務(wù)器免受外部主機的攻擊。互聯(lián)網(wǎng)用戶通過反向代理服務(wù)器訪問內(nèi)部Web服務(wù)器時，互聯(lián)網(wǎng)用戶只能看到反向代理服務(wù)器的IP地址。

6.局限性：服務(wù)崩潰后部影響有限。當(dāng)反向代理服務(wù)器崩潰時，由于校園網(wǎng)內(nèi)用戶依然使用原有的DNS服務(wù)器，因此校內(nèi)用戶解析外網(wǎng)的域名并不受到影響。

學(xué)校根據(jù)實際需求進行調(diào)研分析，由校方提出功能及技術(shù)要求，迪軟公司負(fù)責(zé)研發(fā)。在“多路口均衡服務(wù)系統(tǒng)（以下簡稱IWBRS）”上實現(xiàn)了基于反向代理技術(shù)的“IP地址復(fù)用”功能。結(jié)合IWBRS設(shè)備及學(xué)院對外服務(wù)器的網(wǎng)絡(luò)部署情況，計劃使用IWBRS作為反向代理服務(wù)器，將校園網(wǎng)多個域名解析指向IWBRS，從而達到節(jié)省IP地址資源的目的。

三、反向代理服務(wù)器的配置

通過IWBRS系統(tǒng)中的“IP地址復(fù)用”功能來實現(xiàn)多個域名的同時使用一個公網(wǎng)IP。這里以WWW服務(wù)器的IP復(fù)用配置為例，具體實現(xiàn)步驟如下：

1.添加復(fù)用IP地址

首先點擊修改進入配置界面，添加新的復(fù)用名稱，如圖3所示。

在設(shè)置好復(fù)用名稱后添加新的站點。在站點網(wǎng)址編輯菜單中添加需要復(fù)用的站點域名并添加站點的IP地址和對應(yīng)的端口。填寫配置并保存。如圖4所示。

在均衡IP地址管理中添加需要復(fù)用的IP地址，在外部地址設(shè)置中選中需要復(fù)用的IP地址，設(shè)置端口號，并啟用。如圖5所示。

按照以上流程設(shè)置需要復(fù)用的域名和對應(yīng)的IP地址。

2.設(shè)置本地DNS服務(wù)器

設(shè)備配置完成后，需要將校內(nèi)DNS服務(wù)器中相應(yīng)加速網(wǎng)站的解析委派至IWBRS。操作過程如下：

（1）DNS設(shè)備上原有記錄

www IN A 58.192.72.2

例如：原校內(nèi)DNS服務(wù)器的WWW服務(wù)是指向58.192.72.2解析的，那么現(xiàn)在需要將原網(wǎng)站解析改解析委派至IWBRS設(shè)備。

（2）修改原有DNS記錄為

www IN NS subdns將原有的WWW服務(wù)解析委派至IWBRS設(shè)備。

（3）添加IWBRS設(shè)備DNS記錄

Subdns IN A 192.168.0.1在原校內(nèi)DNS服務(wù)器上增加一條，名稱為IWBRS的解析委派到至IWBRS設(shè)備上。（192.168.0.1是IWBRS設(shè)備的IP地址，域名為配置設(shè)備時填寫的設(shè)備名稱）

四、反向代理服務(wù)器IP的復(fù)用效果測試

1.測試目的

測試智能多路口均衡服務(wù)系統(tǒng)下IP地址復(fù)用功能模塊在實際使用中的效果。

2.測試設(shè)備

本次測試主要設(shè)備有智能多路口均衡服務(wù)系統(tǒng)（IWBRS）1臺、用于模擬客戶端訪問的普通PC 1臺。

3.測試用例

測試www.jseti.edu.cn，ysx.jseti.edu.cn，dyb.jseti.edu.cn三個已經(jīng)設(shè)置地址復(fù)用的域名，通過外部中國電信網(wǎng)絡(luò)分別解析以上三個域名，并記錄解析返回的地址。

4.測試流程及結(jié)果

在外部網(wǎng)絡(luò)環(huán)境下，使用通過windows命令行方式測試IP地址復(fù)用解析。

在windows操作系統(tǒng)中將CMD控制臺呼出，輸入IP復(fù)用網(wǎng)站的域名，查看返回的域名解析地址。

以下是解析www.jseti.edu.cn的過程：

（1）在Chinanet線路下

Nslookup www.jseti.edu.cn 218.2.135.1

＼（218.2.135.1為Chinanet線路DNS服務(wù)器地址）

Name：www.jseti.edu.cn

Address：218.94.132.225

＼（218.94.132.225為Chinane線路返回的服務(wù)器域名解析IP地址）

根據(jù)同樣的測試流程分別對三個配置后的域名進行測試，測試結(jié)果見表1。

Chinanet線路訪問被測試域名，返回地址均為218.94.132.225。

5.測試結(jié)果分析

通過以上測試結(jié)果確定了在不同的ISP線路分別對三個域名進行域名解析，Cernet及Chinanet接入環(huán)境下三個不同域名解析的返回地址均為反向代理服務(wù)器配置的公網(wǎng)IP地址。得出如下結(jié)論：通過使用IWBRS系統(tǒng)中的IP地址復(fù)用功能，實現(xiàn)了多個域名同時指向一個公網(wǎng)IP地址。

五、反向代理技術(shù)優(yōu)化效果

為了統(tǒng)計反向代理技術(shù)優(yōu)化前后的效果，對系統(tǒng)架設(shè)前后的Chinanet公網(wǎng)IP地址資源使用量進行了統(tǒng)計，結(jié)果見表2。

優(yōu)化前用于網(wǎng)絡(luò)互連及校園網(wǎng)網(wǎng)站、OA系統(tǒng)等對外應(yīng)用系統(tǒng)共使用優(yōu)化前用于網(wǎng)絡(luò)互聯(lián)及校園網(wǎng)網(wǎng)站、OA系統(tǒng)等對外應(yīng)用系統(tǒng)共使用Chinanet公網(wǎng)IP地址資源26個，優(yōu)化后共使用Chinanet公網(wǎng)IP地址資源14個。

對反向代理服務(wù)器的配置，將原有的校園網(wǎng)網(wǎng)站、圖書館網(wǎng)站等功能類似并且訪問流量不大的多個域名同時指向反向代理服務(wù)器，配置后的Chinanet公網(wǎng)IP使用量由原先的26個降低至14個，達到了Chinanet公網(wǎng)IP地址資源優(yōu)化的目的。

反向代理技術(shù)不僅節(jié)省了緊缺的IP地址資源，而且有效地保護了對外Web服務(wù)器的安全。該技術(shù)非常適合數(shù)字化校園建設(shè)過程中公網(wǎng)IP地址緊缺但又需要部署大量Web服務(wù)的場合[4]。但反向代理技術(shù)也有缺點，由于域名解析地址都是指向反向代理服務(wù)器，當(dāng)反向代理服務(wù)器崩潰時，指向反向代理服務(wù)器的域名無論是校園網(wǎng)內(nèi)還是校園網(wǎng)外的用戶都無法訪問。保證反向代理服務(wù)的可靠性是我們下一階段的工作目標(biāo)。

參考文獻：

[1]陳圣日.中小型網(wǎng)站建設(shè)與管理.華東師范大學(xué)出版社，2007.

[2]高國柱，蔣東興，金磊.一種基于反向代理的Web資源訪問控制系統(tǒng)的設(shè)計，計算機工程，2002，28（12）：245-246.

[3]曲波，吳兆芝.反向代理服務(wù)器在校園網(wǎng)中的應(yīng)用，計算機應(yīng)用，2002，8（3）：39-41.

[4]雷明彬.反向代理技術(shù)在數(shù)字化校園中的應(yīng)用，電腦與電信，2009，（8）：27-28，31.