基于反向代理技術(shù)的IP地址復用方案設計與實施

摘 要： 隨著計算機及網(wǎng)絡通信技術(shù)的不斷發(fā)展，面向Internet的校園信息化平臺建設受到各高校的高度重視，被認為是改善教學科研環(huán)境、提升校園管理水平、加強校學術(shù)交流、提高綜合競爭力的重要途徑。本文結(jié)合江蘇經(jīng)貿(mào)職業(yè)技術(shù)學院的校園網(wǎng)建設現(xiàn)狀及業(yè)務特點，以校園網(wǎng)Chinanet公網(wǎng)IP地址資源緊缺為切入點，分析校園網(wǎng)Chinanet公網(wǎng)IP地址資源緊缺現(xiàn)狀，提出一種基于反向代理技術(shù)優(yōu)化Chinanet公網(wǎng)IP地址資源方案，并通過智能多路口均衡服務系統(tǒng)實現(xiàn)了Chinanet公網(wǎng)IP地址資源優(yōu)化。

關(guān)鍵詞： IP地址復用 反向代理 校園網(wǎng)

江蘇經(jīng)貿(mào)職業(yè)技術(shù)學院校園網(wǎng)經(jīng)過多年建設，進入了穩(wěn)步發(fā)展階段。當前校園網(wǎng)采用了Chinanet、Cernet雙ISP接入的網(wǎng)絡結(jié)構(gòu)，同時對外提供了多個Web應用服務，主要包括：WWW服務、E-MAIL服務、DNS服務、教務系統(tǒng)、OA系統(tǒng)、網(wǎng)上測評系統(tǒng)等，互聯(lián)網(wǎng)用戶均通過域名方式進行訪問[1]。

在校園網(wǎng)建設過程中，Chinanet公網(wǎng)IP地址用于網(wǎng)絡互聯(lián)及各對外服務的域名配置后存量所剩無幾，而未來巨大的公網(wǎng)IP地址需求遠超現(xiàn)有剩余地址資源，Chinanet公網(wǎng)IP地址緊缺問題已經(jīng)嚴重阻礙了校園網(wǎng)的發(fā)展。根據(jù)現(xiàn)有情況分析，提出基于反向代理技術(shù)的IP地址資源優(yōu)化方案，通過使用“智能多路口均衡服務系統(tǒng)”下的“IP復用”功能對Chinanet公網(wǎng)IP地址資源進行了優(yōu)化，并對優(yōu)化效果進行了實測。

一、反向代理技術(shù)

反向代理技術(shù)是一種Web服務加速技術(shù)，反向代理服務器是高速的Web緩沖服務器，位于Web服務器與Internet之間，使用反向代理服務的目的是在降低Web服務器的負載同時節(jié)省IP地址資源。

反向代理服務的對象是指定的Web服務器。只要將反向代理服務器部署在Web服務器前端就可實現(xiàn)反向代理服務。將DNS服務器上的Web域名解析地址指向反向代理服務器，當用戶訪問Web服務器時，訪問的非原始Web服務器而是反向代理服務器，此時，客戶端與反向代理服務器連接而不是與Web服務器相連，而反向代理服務器則提供了Web服務器的功能。這種機制的建立，不僅能夠避免網(wǎng)內(nèi)主機和Web服務器直接與外部網(wǎng)絡通信所造成的網(wǎng)絡安全隱患，而且能大幅度減輕Web服務器的負擔，提高訪問速率[2]。

1.反向代理技術(shù)的工作原理

反向代理服務器位于Web服務器和Internet客戶端之間，如圖1所示。反向代理服務器處理客戶端對Web服務器的請求，阻止Internet直接訪問Web服務器。當客戶端發(fā)送向Web服務器發(fā)送訪問請求時，通過域名解析服務器將請求重定向到反向代理服務器，訪問請求由反向代理服務器負責處理。反向代理服務器上設置了緩存功能，一般只緩存html網(wǎng)頁和圖片等數(shù)據(jù)，對于動態(tài)CGI腳本程序或JSP之類的程序則不緩存。Web服務器返回的HTTP頭標記是反向代理服務器判斷是否緩沖的依據(jù)。

2.反向代理服務器的工作流程

（1）客戶端通過域名方式對Web服務器發(fā)出訪問請求，由于該域名在DNS服務器上的解析已經(jīng)被設置為反向代理服務器的IP地址，所以客戶端的請求被重定向至反向代理服務器；

（2）反向代理服務器接受客戶端的請求；

（3）反向代理服務器在緩存中查找客戶端所請求的內(nèi)容，如果能夠找到，就直接將內(nèi)容返回給客戶端；

（4）如果服務器緩存中無法找到客戶端所請求的信息，那么反向代理服務器會代替客戶端向目標Web服務器發(fā)出請求，并將從Web服務器中得到的信息返回給客戶端，通過判斷HTTP頭標記信息內(nèi)容能否緩存，如果可以緩存，服務器就將把信息保存到緩存中。

二、IP地址資源優(yōu)化方案設計

根據(jù)學院現(xiàn)有的網(wǎng)絡結(jié)構(gòu)，結(jié)合反向代理技術(shù)的工作原理，只需通過在學校網(wǎng)絡出口與校園網(wǎng)應用服務器之間架設反向代理服務器，如圖2所示。在將DNS服務器上設置需要反向代理的域名，將域名解析地址設置為反向代理服務器地址，多臺Web服務器可以同時指向反向代理服務器，實現(xiàn)優(yōu)化Chinanet公網(wǎng)IP地址資源配置的目標[3]。

通過以上模型的構(gòu)建，確定反向代理技術(shù)方案在實際應用中有著以下幾個方面的優(yōu)勢。

1.便捷性：不需更改現(xiàn)有網(wǎng)絡結(jié)構(gòu)，校園網(wǎng)內(nèi)用戶無需做任何設置。

2.經(jīng)濟性：不增加其他網(wǎng)絡設備，節(jié)省開支。

3.易用性：直接在反向代理服務器上對域名信息的添加、刪除、修改，操作簡單便于維護。

4.擴展性：校園網(wǎng)如需擴充新的對外服務應用，只需在反向代理服務器上做好相應配置，即可實現(xiàn)IP地址復用。

5.安全性：外部主機無法直接訪問內(nèi)部服務器，避免網(wǎng)內(nèi)服務器免受外部主機的攻擊?；ヂ?lián)網(wǎng)用戶通過反向代理服務器訪問內(nèi)部Web服務器時，互聯(lián)網(wǎng)用戶只能看到反向代理服務器的IP地址。

6.局限性：服務崩潰后部影響有限。當反向代理服務器崩潰時，由于校園網(wǎng)內(nèi)用戶依然使用原有的DNS服務器，因此校內(nèi)用戶解析外網(wǎng)的域名并不受到影響。

學校根據(jù)實際需求進行調(diào)研分析，由校方提出功能及技術(shù)要求，迪軟公司負責研發(fā)。在“多路口均衡服務系統(tǒng)（以下簡稱IWBRS）”上實現(xiàn)了基于反向代理技術(shù)的“IP地址復用”功能。結(jié)合IWBRS設備及學院對外服務器的網(wǎng)絡部署情況，計劃使用IWBRS作為反向代理服務器，將校園網(wǎng)多個域名解析指向IWBRS，從而達到節(jié)省IP地址資源的目的。

三、反向代理服務器的配置

通過IWBRS系統(tǒng)中的“IP地址復用”功能來實現(xiàn)多個域名的同時使用一個公網(wǎng)IP。這里以WWW服務器的IP復用配置為例，具體實現(xiàn)步驟如下：

1.添加復用IP地址

首先點擊修改進入配置界面，添加新的復用名稱，如圖3所示。

在設置好復用名稱后添加新的站點。在站點網(wǎng)址編輯菜單中添加需要復用的站點域名并添加站點的IP地址和對應的端口。填寫配置并保存。如圖4所示。

在均衡IP地址管理中添加需要復用的IP地址，在外部地址設置中選中需要復用的IP地址，設置端口號，并啟用。如圖5所示。

按照以上流程設置需要復用的域名和對應的IP地址。

2.設置本地DNS服務器

設備配置完成后，需要將校內(nèi)DNS服務器中相應加速網(wǎng)站的解析委派至IWBRS。操作過程如下：

（1）DNS設備上原有記錄

www IN A 58.192.72.2

例如：原校內(nèi)DNS服務器的WWW服務是指向58.192.72.2解析的，那么現(xiàn)在需要將原網(wǎng)站解析改解析委派至IWBRS設備。

（2）修改原有DNS記錄為

www IN NS subdns將原有的WWW服務解析委派至IWBRS設備。

（3）添加IWBRS設備DNS記錄

Subdns IN A 192.168.0.1在原校內(nèi)DNS服務器上增加一條，名稱為IWBRS的解析委派到至IWBRS設備上。（192.168.0.1是IWBRS設備的IP地址，域名為配置設備時填寫的設備名稱）

四、反向代理服務器IP的復用效果測試

1.測試目的

測試智能多路口均衡服務系統(tǒng)下IP地址復用功能模塊在實際使用中的效果。

2.測試設備

本次測試主要設備有智能多路口均衡服務系統(tǒng)（IWBRS）1臺、用于模擬客戶端訪問的普通PC 1臺。

3.測試用例

測試www.jseti.edu.cn，ysx.jseti.edu.cn，dyb.jseti.edu.cn三個已經(jīng)設置地址復用的域名，通過外部中國電信網(wǎng)絡分別解析以上三個域名，并記錄解析返回的地址。

4.測試流程及結(jié)果

在外部網(wǎng)絡環(huán)境下，使用通過windows命令行方式測試IP地址復用解析。

在windows操作系統(tǒng)中將CMD控制臺呼出，輸入IP復用網(wǎng)站的域名，查看返回的域名解析地址。

以下是解析www.jseti.edu.cn的過程：

（1）在Chinanet線路下

Nslookup www.jseti.edu.cn 218.2.135.1

＼（218.2.135.1為Chinanet線路DNS服務器地址）

Name：www.jseti.edu.cn

Address：218.94.132.225

＼（218.94.132.225為Chinane線路返回的服務器域名解析IP地址）

根據(jù)同樣的測試流程分別對三個配置后的域名進行測試，測試結(jié)果見表1。

Chinanet線路訪問被測試域名，返回地址均為218.94.132.225。

5.測試結(jié)果分析

通過以上測試結(jié)果確定了在不同的ISP線路分別對三個域名進行域名解析，Cernet及Chinanet接入環(huán)境下三個不同域名解析的返回地址均為反向代理服務器配置的公網(wǎng)IP地址。得出如下結(jié)論：通過使用IWBRS系統(tǒng)中的IP地址復用功能，實現(xiàn)了多個域名同時指向一個公網(wǎng)IP地址。

五、反向代理技術(shù)優(yōu)化效果

為了統(tǒng)計反向代理技術(shù)優(yōu)化前后的效果，對系統(tǒng)架設前后的Chinanet公網(wǎng)IP地址資源使用量進行了統(tǒng)計，結(jié)果見表2。

優(yōu)化前用于網(wǎng)絡互連及校園網(wǎng)網(wǎng)站、OA系統(tǒng)等對外應用系統(tǒng)共使用優(yōu)化前用于網(wǎng)絡互聯(lián)及校園網(wǎng)網(wǎng)站、OA系統(tǒng)等對外應用系統(tǒng)共使用Chinanet公網(wǎng)IP地址資源26個，優(yōu)化后共使用Chinanet公網(wǎng)IP地址資源14個。

對反向代理服務器的配置，將原有的校園網(wǎng)網(wǎng)站、圖書館網(wǎng)站等功能類似并且訪問流量不大的多個域名同時指向反向代理服務器，配置后的Chinanet公網(wǎng)IP使用量由原先的26個降低至14個，達到了Chinanet公網(wǎng)IP地址資源優(yōu)化的目的。

反向代理技術(shù)不僅節(jié)省了緊缺的IP地址資源，而且有效地保護了對外Web服務器的安全。該技術(shù)非常適合數(shù)字化校園建設過程中公網(wǎng)IP地址緊缺但又需要部署大量Web服務的場合[4]。但反向代理技術(shù)也有缺點，由于域名解析地址都是指向反向代理服務器，當反向代理服務器崩潰時，指向反向代理服務器的域名無論是校園網(wǎng)內(nèi)還是校園網(wǎng)外的用戶都無法訪問。保證反向代理服務的可靠性是我們下一階段的工作目標。

參考文獻：

[1]陳圣日.中小型網(wǎng)站建設與管理.華東師范大學出版社，2007.

[2]高國柱，蔣東興，金磊.一種基于反向代理的Web資源訪問控制系統(tǒng)的設計，計算機工程，2002，28（12）：245-246.

[3]曲波，吳兆芝.反向代理服務器在校園網(wǎng)中的應用，計算機應用，2002，8（3）：39-41.

[4]雷明彬.反向代理技術(shù)在數(shù)字化校園中的應用，電腦與電信，2009，（8）：27-28，31.