服務器使用異地IP地址的方法

尹宗平

（合肥職業技術學院，安徽 合肥 238000）

服務器使用異地IP地址的方法

尹宗平

（合肥職業技術學院，安徽 合肥 238000）

服務器一般使用數據中心分配的IP地址，有時需要在服務器上使用異地數據中心的IP地址，以實現某些特殊的功能，但互聯網體系結構使這種需求難以實現。使用VPN技術在互聯網上建立隧道，將服務器與異地數據中心在網絡層直接連接，再通過配置路由規則，可以實現在服務器上使用異地數據中心的IP地址，并在應用上呈現出一些特點。

服務器；IP地址；VPN；路由；異地數據中心

1 引言

服務器托管在數據中心時，有時需要使用異地數據中心的IP地址，這樣可以實現一些特殊的功能，例如：可以將流量費用較高的香港Web服務器遷移到國內數據中心以降低流量成本；可以讓服務器使用異地較為便宜的IP地址。實現此需求的一個方法是：對于具備條件的企業可以申請獲得AS號，再采用BGP協議將申請的IP地址廣播到本地數據中心。但這個方法一般企業不具備操作條件，本文提出了一種簡便的服務器使用異地IP地址的方法。

2 基本思路

IP地址是服務器在網絡層的唯一標識，服務器上配置的公網IP地址需要向CNNIC、APNIC等IP地址分配機構申請獲得，然后才能在世界各地的互聯網路由器上通過路由協議配置路由規則，獲得的IP地址才能在指定的數據中心使用。當某臺客戶計算機訪問互聯網上某臺服務器時，客戶計算機發出請求IP數據報，其目標地址為服務器IP地址，請求IP數據報經過互聯網路由路徑的各臺路由器轉發后，最終到達服務器；然后服務器發出響應IP數據報，其目標地址為客戶計算機IP地址，響應IP數據報同樣經過多次轉發后，最終到達客戶計算機。

根據上述互聯網體系結構的規則，服務器上即使配置了異地數據中心的IP地址，也將無法使用，因為未在互聯網路由器上配置路由規則，客戶計算機發出的訪問請求無法送達服務器。

VPN技術可以在互聯網的兩個節點間建立隧道，使這兩個節點在網絡層上成為相鄰節點。當這兩個節點是路由器時，一個節點可以將另一個節點作為路由規則中的下一跳。當這兩個節點是服務器與異地數據中心的服務器時，則呈現如圖1所示的網絡拓撲。

圖1 網絡拓撲圖

在上述兩節點上運行路由服務、配置路由規則，可以實現服務器與異地數據中心在網絡層上直接互聯，實現在服務器上使用異地數據中心的IP地址。其做法是：在異地數據中心的服務器上配置靜態路由，將目標地址指定的異地數據中心IP地址的IP數據報，通過VPN隧道路由到服務器上；在服務器上配置此指定的異地數據中心IP地址，則服務器可接收到此IP數據報；服務器響應發出IP數據報，其目標地址是客戶計算機IP地址，將廣播到服務器的默認網關，經互聯網轉發到客戶計算機。

3 實驗驗證

3.1 基本環境

異地數據中心的服務器可以是一臺OpenVZ技術的虛擬機，在其上安裝CentOS操作系統。設其IP地址為A.A.A.10與A.A.A.11，虛擬機上只配置A.A.A.10。修改/etc/sysctl.conf配置文件，將net.ipv4.ip_forward行的值由0改為1，使本機成為軟件路由器。

服務器上安裝Windows 2008 Server，設其IP地址為B.B. B.20，并配置A.A.A.11為第二個IP地址，默認網關為B.B. B.1。配置并啟用“路由和遠程訪問”，選“自定義配置”、“LAN路由”，使本機成為軟件路由器。

3.2 VPN的配置

當前實踐中較典型的VPN技術有PPTP、L2TP、OpenVPN等。OpenVPN基于UDP或TCP協議通訊，具有較強的穿透力，具有壓縮、加密功能，多種認證方式可選，具有服務器端、客戶端，通過虛擬網卡實現通訊，配置簡便，故選用之。在A.A.A.10上安裝Linux版本的服務器端，在B.B. B.20上安裝windows版本的客戶端，并分別編輯配置文件。

OpenVPN應使用UDP協議通訊。雖然可以使用TCP協議通訊，但TCP協議是可靠的、有連接的，其可靠性主要通過差錯控制、流量控制、擁塞控制實現，可靠性、連接性機制均有損傳輸效率；如果在使用TCP協議通訊的OpenVPN隧道上再傳輸TCP流量（如WEB服務），就會出現TCP連接上的TCP連接（TCP-over-TCP），存在雙重可靠性、連接性機制，造成效率更低。而UDP協議是不可靠的、無連接的，傳輸效率較高，傳輸的可靠性可由上層協議來完成，如由OpenVPN隧道上傳輸的TCP流量本身來實現可靠性。

OpenVPN一般應禁用加密。雖然可以啟用加密，但加密、解密操作會降低傳輸效率。

OpenVPN一般應啟用壓縮。雖然壓縮、解壓操作會降低傳輸效率，但較高的壓縮比降低了傳輸的數據量，可提高總傳輸效率。

服務端配置文件如下：

proto udp#選擇協議

port 1200#監聽端口

dev tun#基于網絡層連接

secret/static.key#預共享密鑰文件

ifconfig 10.2.0.1 10.2.0.2#指定服務器端與客戶端的IP

routeA.A.A.11 255.255.255.255#路由規則

keepalive 10 60#ping間隔與超時時間

comp-lzo#啟用壓縮

cipher none#禁用加密

客戶端配置文件如下：

proto udp

remoteA.A.A.10 1200#指定服務器端

dev tun

secret"c:\static.key"

ifconfig 10.2.0.2 10.2.0.1

comp-lzo

cipher none

當OpenVPN隧道建立后，A.A.A.10服務器將存在IP地址為10.2.0.1的虛擬網卡，B.B.B.20上將存在IP地址為10.2.0.2的虛擬網卡，兩者屬于同一子網。

3.3 訪問請求的路由路徑

在遠程數據中心的服務器A.A.A.10上，在OpenVPN服務器端配置文件中添加靜態路由規則行：“route A.A.A.11 255.255.255.255”，則由客戶計算機發出的目標地址為A.A. A.11的IP數據報，將沿互聯網轉發到A.A.A.10上，再通過VPN隧道轉發到服務器的10.2.0.2虛擬網卡接口，再在本機內轉發到A.A.A.11接口。

3.4 響應請求的路由路徑

在服務器的A.A.A.11接口上將響應客戶計算機的請求，其響應請求的IP數據報的目標地址是客戶計算機的IP地址。該IP數據報將根據默認路由規則廣播到默認網關B.B. B.1，默認網關根據目標地址再轉發到互聯網上其它路由器，沿著路由路徑最終轉發到客戶計算機。

需要說明的是，在上述過程中響應請求的IP數據報的源地址為A.A.A.11，并不是數據中心分配給服務器的IP地址B. B.B.20，故需要數據中心在防護墻上允許該IP數據報通過。

3.5 結果測試

在互聯網中任一計算機上用命令測試：“ping A.A. A.11”，均可以ping通，說明服務器已經成功使用異地IP地址。

4 應用特點

（1）本方法使服務器可以使用世界上任意便宜的IP地址資源。

（2）可以將多個數據中心的IP地址配置到一臺服務器上實現線路冗余備份，在對線路穩定性要求較高的情況下、以及在組建防攻擊網絡時適用。

用服務器上的異地IP地址架設Web服務時，還具有以下特點：

（3）異地數據中心的流量占用小，本地服務器的流量占用大。原因是在Web服務中，客戶端訪問請求包括的主要是網址信息，數據量較小，主要數據的路由路徑是：客戶計算機——互聯網——異地數據中心服務器——服務器；服務器響應訪問的主要是網頁信息，數據量較大，主要數據的路由路徑是：服務器——互聯網——客戶計算機。前文所述的香港Web服務器遷移到國內即是此特點的應用。

（4）當異地數據中心距離遙遠，離服務器較近地區的網站訪問速度有一定提升。例如：當異地數據中心位于美國，服務器位于中國電信，從中國電信訪問服務器上的美國IP地址的網站時，速度一般將比訪問異地數據中心的網站快。原因是較小的訪問請求流量經過了較長的路由路徑，而較大的響應請求流量經過了較短的路由路徑。

實驗證明，上例中的網站訪問速度并不會提升太多，與訪問中國電信網站相比仍較慢。原因之一是傳輸層使用TCP協議，存在流量控制、擁塞控制，客戶計算機接收到響應請求數據后，要向服務器發送確認信息，而確認信息要經過較長的路由路徑，迫使服務器不能持續地向客戶計算機高速傳輸數據。

5 結論

通過VPN技術可以在服務器與異地數據中心之間建立基于網絡層的直接連接，結合路由技術可以在服務器上使用異地數據中心的IP地址。這種方法有利于降低IP成本，有利于實現線路冗余備份，在架設Web服務時有利于降低遠程數據中心的流量，特定條件下有利于改善網站訪問速度。

[1]中國互聯網信息中心．CNNIC[EB/OL]．http://www．cnnic．com．cn，2014．

[2]蘭少華，楊余旺，呂建勇．TCP/IP網絡與協議[M]．北京:清華大學出版社，2005．

[3]林圣東，陳小惠，趙瑞卿．基于OpenVPN的Lan-to-Lan VPN的設計與實現[J]．電子測試，2012，(4):86-92．

[4]OpenVPN Technologies，Inc．OPENVPN[EB/OL]．http://www．openvpn．net，2014．

Method of Server using the Remote IPAddress

Yin Zongping
(Hefei Vocational and Technical College,Heifei,238000,China)

act】Servers usually use IP addresses of the data center.In order to realize some special functions,sometimes it's necessary that the server uses IP address of remote data center.But the internet architecture makes it difficult to achieve.To build a tunnel on the internet using VPN technology,the server and the remote data center will be directly connected in the network layer.Then through the configuration of the routing rules,the server using the IP address of remote data center can be realized.Some characteristics in application will also be presented.

server;IP address;VPN;routing;remote data center

TP393

：A

1008-6609(2015)03-0068-03

尹宗平，男，安徽巢湖人，碩士，高級工程師，研究方向：網絡理論與應用。