最近大一新生们开学了，就有几位学弟来问我说，咱们学校的校园网要怎么才能开 WiFi 热点、能不能用路由器。回想一下当初我也折腾了好一段时间，本来想水篇博客的，后来不知道怎么的就咕咕咕了……正好借此机会分享一下。

其实吧，学校有的是办法搞你。除了强制一人一号、恶心的专用拨号客户端防共享以外，还能通过 IPID、TTL、时钟偏移检测，甚至是 DPI 深度包检测的方法来防私接，就看校方做得够不够绝了。当然破解的方法也有，但基本也不会让你好受。如果碰到这样的校园网，推荐你直接躺平，给这种垃圾网络交钱还不如开个无限流量套餐呢。

免责声明：日后你惹出祸来，不把师父说出来就行了.jpg

校园网的限制

先说一下我们学校校园网恶心的地方。接入网线后，你需要：

1. 使用【软件A】进行第一次拨号：
   • 【软件A】会进行多网卡检测，如果你的系统里有一个以上的网络适配器，则拒绝拨号；
   • 上述网络适配器包括硬件网卡（USB 网卡、无线网卡）和虚拟网卡（各种虚拟机的虚拟网卡、TAP 网卡等）；
   • 认证类型为 802.1x 认证。
2. 使用【软件B】进行第二次拨号：
   • 【软件B】不检测网卡，但会拒绝在虚拟机中运行，如果宿主机开了 Hyper-V 还会误报；
   • 检测猎豹 WiFi、360 WiFi 等共享软件的进程；
   • 认证类型为 L2TP VPN。

而且这两个软件只能在 Windows 上跑，macOS、Linux 用户就干瞪眼吧。

其实说到这里，有些人应该都心里有数这俩软件是啥。不过我这里就不明说了，懂的都懂（x

接下来来看一下网上常见的破解方案，也就是路由器拨号。

据说网上有很多人在卖所谓的「校园网路由器」，其实说白了就是刷了 OpenWRT 的路由器 + 破解校园网的插件。如果有现成的插件能用，那自然是最好，刷个固件也不是什么难事。但不幸的是，目前网上并没有针对【软件A】新版本的拨号脚本，而旧版本的已经不再适用于我们学校的网络了。除非另有大神愿意开发新版本的拨号脚本，否则这条路是行不通的。更何况我们这还要二次拨号，更是难上加难。

而如果想要在电脑上直接分享热点，第一会被检测多网卡，第二可能会被检测进程。

emmmmm……🤔

那么，让我们的网卡不被检测到不就行了？

使用虚拟机绕过网卡检测

这个方法其实是以前我偶然发现的。

当时我在用虚拟机捣鼓 Kali Linux，用了 VirtualBox 的 USB Passthrough 功能把 USB 外接网卡穿透进虚拟机给 Kali 使用。此时，宿主机操作系统里是看不见这个 USB 网卡的，设备管理器、网络适配器里都没有，就像不存在一样。不存在……嗯？

于是我翻箱倒柜找出了几年前凑单买的小米随身 WiFi，在虚拟机里一通操作：

嘿，成了！

如何配置，搜索「VirtualBox USB 网卡」即可。

看来虚拟机的 USB 直通确实可以避开校园网认证客户端的多网卡检测，而且客户端也并没有对 VirtualBox 做什么手脚（后来查了一下，据说【软件A】会干扰 VMware 的 NAT 网络共享服务……）。那么，能做的事情可就多了。

使用有线网卡桥接路由器

上面的方案能用是能用，但效率过于低下。

1. 虚拟机系统没必要用 Windows，就算是 XP 也是性能浪费；
2. USB 无线网卡孱弱的 WiFi 性能不足以满足我的需求；
3. 每次开机都要启动虚拟机，操作繁琐复杂。

既然要用得爽，那肯定得把这些问题解决了。

首先，把 USB 无线网卡换成 USB 有线网卡，下联硬路由作为 AP。同时，把 Guest OS 换成轻量级的 Alpine Linux 并实现开机启动。完成后的网络拓扑图类似这样（综合考虑最后还是选择了两层 NAT）：

首先在虚拟机内安装 Alpine Linux 和对应的网卡驱动（注意不要用 virt 版本的内核，很多驱动都被精简掉了）：

ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:002: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP qlen 1000    link/ether [mac addr] brd ff:ff:ff:ff:ff:ff3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP qlen 1000    link/ether [mac addr] brd ff:ff:ff:ff:ff:ff4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000    link/ether [mac addr] brd ff:ff:ff:ff:ff:ff

添加网桥，把 USB 网卡和虚拟机的虚拟网卡桥接到一起：

brctl addbr br0brctl addif br0 eth0brctl addif br0 eth1brctl show

启动网络：

ip link set dev eth1 upip link set dev br0 upip link show

删除之前分配给虚拟网卡 eth0 的 IP，并启动 DHCP 客户端为 br0 获取 IP 地址：

ip addr flush dev eth0udhcpc -i br0ip addr show

此时应该虚拟机内、有线网卡端都能访问网络了，可以通过 ping 测试一下。

可以用的话就永久保存网络配置：

vi /etc/network/interfaces

auto loiface lo inet loopbackauto br0iface br0 inet dhcp        hostname alpine-vm        bridge-ports eth0 eth1        bridge-stp 0

接下来把 USB 网卡和路由器的 WAN 口用网线连接起来，测试是否工作正常。如果想省一层 NAT，可以连到 LAN 口上并关闭路由器 DHCP 功能，就当个单纯的 AP 使用。不过我为了相对稳定的内网环境，还是选择了前者。

一切正常的话，就可以愉快地使用 WiFi 啦。

如果想要让 Alpine 虚拟机开机后台运行，可以使用 VBoxHeadlessTray 这个程序。

当前方案的不足之处

至此，我们的校园网网络共享方案已经算是比较完善了。

幸运的是，我校似乎并没有部署其他什么防私接技术，像这样用了半年多也一直相安无事，省下我不少流量费。

然而，这个方案还是有些不爽的地方。

1. 作为主机的电脑和其他设备不在一个子网下；
2. 电脑必须一直开着其他设备才能有网。

在这套方案下，路由器下联的设备对于主机是几乎不可见的（不然也绕不过校园网分享限制了）。你可以在其他设备上访问主机上的网络服务（VirtualBox 的 NAT 网络里宿主机的 IP 一般为 10.0.2.2，子网下的设备可以直接访问，效果和主机上访问 localhost 基本一致），但无法反过来访问子网里的其他设备。

虽然你也可以通过 VirtualBox 的端口映射实现一些变通的解决，比如把路由器的 22、80 端口映射到宿主机上方便访问，但 SMB 这类服务就不行了（Windows 访问 SMB 服务器时强制端口为 445，无法手动指定，要改只能改注册表），所以我完全无法在主机上访问子网下的 NAS 设备。

这也太难受了，继续改进！

既然这些软件都需要跑在一台 Windows 机器上，那我专门弄一台机器来跑校园网相关的东西不就好了吗？

入手双网口工控机软路由

于是我把目光投向了最近几年很火的软路由。

就像计算机有软件和硬件的区别，路由器也有「软」「硬」之分。通常我们在各个电商平台上搜索「路由器」这三个关键词所得到的几乎所有商品都属于硬路由，它是由路由器厂商基于自行开发或是开源的嵌入式设备操作系统，根据特定的硬件设备，设计出来的传统硬件设备。

而与之对应的软路由，是基于软件工具在普通的硬件上来实现传统路由器的功能。我们可以在旧电脑、工控机、开发板、服务器甚至是硬件虚拟机中安装软路由系统，然后通过强大的软件实现各种各样的功能。

——《从听说到上手，人人都能看懂的软路由入门指南》

一番比较后，我在某鱼上入手了一台二手的双网口工控机，安装 Windows 7 系统后，将上面的所有校园网相关的软件都转移到了这台低功耗小主机上。

至于为什么买双网口的机器，虽然 VirtualBox 只能直通 USB 网卡所以还是得外接，不过考虑到以后不用校园网了还可以原地变身软路由，所以不如直接一步到位买个好点的。毕竟现在 CPU 差不多的也就几百块，没必要省那点钱买个电子垃圾。

写在后面

这套方案我用了一年多，基本上没啥问题。24 小时开机、低功耗、子网设备无感知，爽到。

另外，不要怪我写得这么笼统，毕竟每个学校的校园网都不太一样，很难写出一篇普适性的教程。这篇文章充其量算个 PoC，证明一下只要能折腾，还是能捣鼓出舒适的宿舍网络环境的。

如果你是大佬，甚至可以写个软件实现一样的功能，隐藏网卡、软件 NAT 啥的。不过我是菜鸡，也不想在这上面花太多心思，所以就这样吧。又不是不能用.jpg

至于这么折腾值不值得，那就见仁见智了。至少我是愿意的：你不让我开热点我就不开，那我岂不是很没有面子。老子又不是没交钱，凭什么？

最后，祝各位早日摆脱傻逼校园网。

2022 年 12 月 18 日，阿里云香港服务出现了异常。本站所用的香港服务器也中招，由于本人不正确的报警配置，导致部分域名没有正确切换解析，造成了一小部分用户最长半小时的不可用。然而，阿里云香港机房出现问题的时间远不止一个小时。根据我这里的监控，自北京时间 10:49 开始，我跑在香港阿里云上的 HTTP、HTTPS 服务就完全不可用了，直至 20:46 才恢复，共计宕机时间 10 小时。

事故回顾

本人是在早上起床后就发现阿里云香港服务器不可用。一开始以为是被神秘力量封锁了，但是看到报警邮件后发现，香港服务器在国外其他地区也不可用。

然后我就测了一下，发现主机能 ping，但无法 SSH 上去，HTTP/HTTPS 服务亦不可用。此外，yangxi.tech 网站服务也受到了影响。然后我登录了 AWS 中国区的 Route 53 去查看报警，结果发现 Route 53 上没有任何报警（我的 guozeyu.com 和 yangxi.tech 都在用中国区 Route 53）。查看最近的监控，发现我在 Route 53 上有一处配置错误，导致程序实际上没有在监控香港阿里云……于是修改了监测规则。此时我登录了 AWS 国际区，发现国际区的阿里云香港监控是在正常报警，发现是从 10:49 开始，全球所有监测点均不可用。

由于此时 AWS 中国区的报警已经被我改成正确的了，所以已经根据规则，在 DNS 层面进行自动宕机切换了；而且，我之前配置的 DNS TTL 也仅有 120 秒，所以我的所有网站应该在 11:20 前就已经完全恢复正常了。如果没有错误的报警规则，我的网站总共宕机时间也不会超过 5 分钟。

然后我登录了我自建的 Observium 监控，不出意外的看到了阿里云香港的机器已经宕机了。但我发现在宕机前，服务器的 CPU 是 100%。我就怀疑这是不是我自己服务器上某个程序卡死了，占用了所有资源，导致看起来 HTTP/HTTPS/SSH 服务都不可用了。

此时已经 11:30 了，我还觉得这个是我自己的问题，毕竟我也没收到阿里云任何邮件、电话提醒。于是我登录了阿里云后台，尝试进行重启。此时我没有选择强制关机。结果，关机指令已经执行了 10 分钟，机器仍未关闭。平时我使用 GCP 时，如果关机指令执行超过两分钟，那么就会自动执行强制关机，所以此时执行了 10 分钟的关机就很离谱。然后我就尝试发工单，但没能进入到工单，被转到了在线客服。我向在线客服描述了问题后，无人回复。然后我又尝试发工单，结果工单也是无人回复。只是得到了机器人回复，说在关机时，Windows 会执行系统更新，有时需要 10-15 分钟。请在等待 20 分钟后联系客服。

大概又过了半个小时，机器终于成功关闭了，但在尝试多次后，机器无法启动。即便我点了启动，机器也会在一段时间后变成 “已停止” 状态。由于此时我还是以为是我自己的问题，不是阿里云的问题，我以为是刚刚强制关机导致系统损坏了，于是尝试给现有云盘打快照，尝试回滚。但离谱的事又发生了，我发现我根本无法打快照！快照的进度一直是 0%。

在 11:55，我终于收到了工单的回复：“您好！阿里云监控发现香港地域某机房设备异常，影响香港地域可用区C的云服务器ECS、云数据库polardb等云产品使用，阿里云工程师已在紧急处理中，非常抱歉给您的使用带来不便，若您有任何问题，请随时联系我们”。此时我才知道，这次的宕机可能不是我自己的问题，我放弃了自己尝试恢复服务。

该回复没有提供解决方案，也没有预计的恢复时间，可以说无非就是告诉了我 “这个是我们阿里云的问题”，对于恢复服务没有实质性帮助。

无力吐槽阿里云

本次事件最值得吐槽的地方是，我从未收到阿里云发来的有关通知。直至现在，我在邮箱、短信、站内信中没有收到任何阿里云关于此次服务宕机的提醒。我相信阿里云是有很多监控的，我坚信阿里云早在我发现我的服务出现问题之前，就已经知道了我的服务，以及其他人的服务器出现了问题了。但我却没有收到任何通知。唯一告知我阿里云存在问题的还是我发工单自己问出来的。

我觉得阿里云有必要向所有受影响的，以及可能受影响的客户发送相关提醒。在连续宕机了 8 小时，且仍未恢复的情况下，阿里云仍不主动通知客户，我实在是难以怀疑阿里云是否是故意不做通知，试图掩盖问题。

那还用阿里云吗？

会的。作为中国第一大，以及全球也能排的上前几的云服务商，我不怀疑阿里云的技术实力。我现在用阿里云主要是为了阿里云香港的 CN2 精品网，用于数据跨境（价格为 3元/GB）。目前在这方面也没有什么可替代的方案。专线也考虑过，太贵了，买不起。

但是，我不会把核心业务放在阿里云上了。放在 AWS 上我更安心一些。本次阿里云香港宕机只影响了我的网站一小会儿，也正是因为我没有把核心业务放在阿里云上。

本站是如何做到高可用的？

很简单，本站在四个地区，使用了四个不同服务商的服务器：

• 德国 OVH
• 北京 AWS
• 香港 阿里云
• 美国 Google Cloud

而且本站是纯静态网站。本站会在构建后，将构建产物分别同步到四个服务器上，没有主服务器的概念。本站通过 GeoDNS，将访客解析到最近的服务器，以降低延迟。在阿里云香港服务器宕机后，只需要停止响应解析即可。原本亚太地区解析到香港，现在亚洲会解析到北京，澳洲会解析到美国，这部分用户就被分流到可用的服务器上了。

本站还使用了 Route 53 的 Health Check 功能，可以实现接近实时的监控主机运行状态，在发现运行状态异常时，自动停止响应解析。目前，我的网站会在出现异常后一分钟内检测并识别到，并停止响应解析。相关 DNS 记录的时间设置在了 120 秒，因此服务发生不可用时，用户影响的时间不会超过 3 分钟。

基本概念

这个视频介绍了 “基本概念”，下方文字是这个视频的概要。如果你熟悉域名相关的概念，可以直接跳转到操作步骤

域名

什么是域名？域名是互联网上的地址，用户通过域名来访问包括邮件、网站、App 在内的互联网资源。比如常见的以 .com 结尾的域名，以及新出现的 .xyz 和 .tech 结尾的域名。域名的价格大多在 40 到 200 元之间，具体的价格取决于域名后缀。

域名需要在注册商购买。那么如何选择域名注册商呢？这里推荐氧熙科技，通过与全球第七大注册商 PDR 合作，提供三百多种域名后缀的优惠注册。其特点是无需实名认证，支持支付宝或微信支付，自动发货，支持退款。

服务器

注册了域名之后，还需要有一个服务器，才可以建立自己的网站。服务器主要分为三种类型，包括虚拟主机、云服务器和独立服务器。这里推荐氧熙科技的虚拟主机，即适合新手，也适合专业人士使用。

其次是服务器位置，氧熙科技销售的虚拟主机可以选香港和美国加州两个位置，香港和美国加州的服务器都不需要备案。这里推荐香港主机，国内的访问速度更快。

软件

这里推荐WordPress建站软件，全球有 65.3% 的网站使用WordPress 作为 CMS，并且可一键安装到虚拟主机。

操作步骤

这个视频介绍了 “操作步骤”，下方文字是这个视频的概要。

购买域名和虚拟主机

首先需要购买域名和主机。新购买的虚拟主机可能需要半个小时才可以使用，在可以使用时会收到邮件提醒。

修改域名服务器

主机创建成功后，需要前往域名注册商将域名的服务器修改为虚拟主机的域名服务器。

安装 WordPress

前往管理虚拟主机进入 cPanel 面板，进入 WordPress Manager 去安装 WordPress。安装时需要暂时将协议调整为 http:// 开头的协议。

SSL 证书

修改域名服务器 48 小时内，SSL 证书会自动签发，然后就可以使用 https:// 协议访问网站了。

本文推荐一些本人用过或者正在使用的云服务，持续更新。未来还会增加购买建议。

云计算 Compute/VPS/EC2

最便宜: Scaleway Stardust

0.5GB RAM ，每月 €0.36，限速 100Mbps 不限流量（该价格为仅 IPv6 的价格，约¥2.48）购买链接

• N/A 代表共享核心

目前只有 Paris 1 和 Amsterdam 1 有。前往上方购买链接（如果跳转到了登录/注册页面，请在登录后再点一次，即可直达 Stardust 购买页面），如果遇到无货，就拉到最底部复制 API，用 API 创建机器一般可以绕过前端的无货购买限制。

性价比: BuyVM

1GB RAM ，每月 CA$3.50 ，1Gbps 不限流量（约¥17.77 ）。购买链接。注意，BuyVM 的计费周期是每月 1 日，所以若购买时不是 1 日，那么首月的价格会有所变化（因为到下个月或下下个月的 1 日不是整一个月）。

• N/A 代表共享核心，100% 代表每个核心均为独立核心

配置更高的主机价格是同比例增加的，可以参考 4GB 版本乘以 N。

付款时使用支付宝即可使用 CA$ 同币值缴费，相对要比美元便宜很多。本网站就在使用 BuyVM，如果你从美国西部访问此页面，那就会使用 BuyVM 的服务器。

BuyVM 还可以购买 Block Storage Slab，每 TB 仅需要 $5.00，最低每月 $1.25 就可以买到 256GB。

国内网络好: AWS Lightsail

0.5GB RAM ，每月$3.50 ，限流量 1TB ，可开日本、法兰克福、美国西部均可直连（约¥22.21 ）购买链接

• 代表每个 CPU 的基线性能，均可 Burst，Lightsail CPU 基线详情

本网站就在使用 Lightsail，如果你从美国东部或者亚洲 (中国大陆外) 访问此页面，那就会使用 Lightsail 的服务器。Lightsail 可以免费附加静态 IPv4；IPv6 则是随机器附带的，暂不可保留或迁移。此外，Lightsail 的自动快照功能是免费的，可以作为自动备份。

与其他同类产品对比

Vultr/Linode/Digital Ocean 都是与 Lightsail 类似的产品，价格也与 Lightsail 十分接近。他们可能没有 CPU 基线的限制，但这也未必是好事，因为失去了限制更有可能受到邻居（同机器上其他用户）的影响。这里有一些优惠码：

• Vultr $100 优惠码: 赠金 14 日内有效
• DigitalOcean $100 优惠码: 赠金 60 日内有效

大内存、多 IP: OVH VPS

2GB RAM，每月 $3.5（或 3 欧元），限速 100Mbps 不限流量，法兰克福可直连中国，但美国可能绕欧洲。OVH 两欧就可以买一个额外 IPv4 ，该 IPv4 没有月费，只要机器在 IP 就一直是你的。一个账户可以买 16 个额外 IPv4。美国区购买链接、国际美元区购买链接、国际欧元区购买链接

美国境内机器只有美国区可以购买，其他位置机器需去国际区购买。

• N/A 代表共享核心

本网站就在使用 OVH，如果你从欧洲访问此页面，那就会使用 OVH 的服务器。

永久免费: Google Cloud Compute Engine

美国 us-central-1，us-west-1，us-east-1 区域，1GB RAM ，30GB 最基础的盘，仅 IPv4 ，出站流量自费。这个试用期过了也免费！

• 12.5% 代表每个 CPU 可以有 12.5% CPU time，可 Burst，GCP E2 共享 CPU 详情

最灵活: AWS EC2

AWS 国际区，AWS 中国区

本网站就在使用 EC2 (中国区)，如果你从中国大陆访问此页面，那就会使用 EC2 的服务器。目前 AWS 中国区仅限企业注册。

与 Google Cloud 的 Compute Engine 和 Azure 的 VMs 对比

Google Cloud 的按量付费可能是三者中的最便宜的，此外个人感觉 Google Cloud 的操作页面使用起来相比 Azure 和 AWS 更简单。这几家提供的产品都大同小异，此外他们也都可以预留实例一年到三年，实现最大化折扣

与阿里云、腾讯云对比

最大的区别是计费模式。AWS 无论是国内版还是国际版，均默认使用后付费模式，即类似信用卡，每月支付上一个月结算的账单。而阿里云和腾讯云无论是个人用户还是企业用户，均使用预付费模式。哪怕使用的是按量付费的机器，竟然也需要提前充值；余额耗尽后会直接停机。所以用阿里云或腾讯云的按量计费服务之前，无比要保证有充足的余额，不然将欠费了将直接影响生产环境。

此外，阿里云和腾讯云在 API 使用上没有 AWS 方便。虽然 AWS 国内版在国内没有阿里云那么大的占有率，但由于 AWS 国内版和国际版 API 保持了一致，因此 AWS 的文档资源要远比阿里云、腾讯云丰富的多。

个人认为，AWS 国际版完胜阿里云、腾讯云的海外区域，AWS 国内版核心问题是支持的可用区太少，只支持北京和宁夏两个区域；Azure 国内版支持的区域比 AWS 国内版要多一点；阿里云和腾讯云在国内区域数量上是远多于 AWS 的。不过在网络方面，目前 AWS 国内版也是 BGP 接入，线路完全不比阿里云差。

数据跨境方面（指中国大陆境内与境外之间的跨境），阿里云提供了香港精品网、云企业网，这是 AWS 所没有的。

虚拟主机

这里推荐氧熙科技/TlOxygen 的虚拟主机，香港位置采用 CN2 GIA 线路，美国加州也是国内直连；均无需备案，购买后即用。相比之下，美国加州提供更多的流量和存储，带宽也更大。他们的虚拟主机还支持 SSH 访问、Let’s Encrypt 证书自动签发（不可 root）。香港/加州虚拟主机购买链接

CDN

等待补充

DNS

等待补充

域名注册类

等待补充

本文将带领你注册属于自己的域名，并获得以自己的域名结尾的专属邮箱。全程仅需不到 10 分钟[1]。你只需要一台可以上网的设备，支付方式（微信/PayPal/银行卡）和一个现有邮箱。通过本文提到的域名注册商注册的 .com 域名价格为 CN¥79.20/年，并且续费不涨价。该域名注册商免费提供企业邮箱服务，因此不需要额外付费。

[1]：由于全球 DNS 服务器同步需要时间，可能需要 24-72 小时后域名上的服务才能够使用。若注册 .cn 等中国域名还需要进行实名认证，需要额外的时间。其他国际域名（如 .com）则不需要实名认证。

注册域名

首先，你需要注册一个属于自己的域名。域名的注册门槛很低，基本在几分钟内就可以完成注册，并且包括 .com 在内的众多域名后缀均不需要进行实名登记。通常，大多数域名都是按年进行购买。

本文推荐的是 氧熙域名注册 (原 TlOxygen)。该注册商是本站站长亲自建立，是全球第 7 大的域名注册商 PDR Ltd. 的最高级代理之一，提供更多的支付方式和更低的价格。从这里购买域名可以帮助本站持续发展。并且本站域名注册提供了域名删除与退款服务、免费企业邮箱和域名锁等服务。

首先，前往 氧熙域名注册主页（也可以浏览器地址输入 yangxi.tech 前往），进行域名搜索。比如，如果想要注册 guozeyu.com，只需要在搜索框里输入这个域名并点击搜索。如果你不确定想要注册什么后缀，那么也可以不输入后缀，如 guozeyu。如果你更习惯英语界面，或者需要以美元计费的结算方式，请前往 International Version。

可以看到，咱们心仪的域名已经被注册了。但是页面下方可以看到更多的 “其他可注册的匹配域名”。

我们这里选择 guozeyu.online。注意划线价为域名续费的价格，为了可以方便地给域名续费，建议选择续费价格较低的域名。比如 .com 域名续费只需 CN¥79.20/年（国际版为 US$12.59/年），而 .online 的续费价为 CN¥270.00。我对域名的价格一向非常透明，我承认这绝不是市面上最低的价格。下表列出了一些注册商 .com 域名的续费价格

[2]：阿里云万网/DNSPod 注册 .com 域名需要实名认证，可能需要几天后域名才能够正常使用
[3]：Cloudflare Registrar 上注册的域名不支持修改 DNS 解析商、NS 记录，以及粘附记录（Glue Record）

完整的价格列表：中国大陆（人民币）， International Version (USD)

注意，本文后续的内容仅适用于在氧熙注册的域名。在其他注册商注册的域名配置有所不同。此外，并不是所有注册商都免费提供 DNS、企业邮箱和域名转发服务。

然后进行结账。结账时建议选择免费的 “隐私保护” 功能，这样你的注册信息（包括邮箱、手机号、地址）就不会公开：

然后填写注册信息。请确保注册信息是有效的（可以通过电子邮件联系到你），否则域名注册可能会失败。注册完成后即可选择支付方式了。目前支持的支付方式有微信支付、银行卡、PayPal

付款完毕后，会自动跳转到支付成功页，点击 “继续管理订单” 进入后台管理页面。

此时，你就可以看到你新注册的域名了。

配置 DNS

点击你刚刚注册的域名，然后前往 DNS 管理菜单，点击 “管理DNS” 以激活 DNS：

如果你看到 “您即将提交的信息不安全” 提示，请选择 “仍然发送”。随后看到如下页面即说明已经激活了：

配置企业邮箱

此时我们已经拥有了域名，但该域名下还没有任何服务。我们首先配置企业邮箱，实现任何发往 @guozeyu.online 的邮件都转发到自己的邮箱里。这样有很多好处，比如你可以在注册微博的时候使用 weibo@guozeyu.online，在注册 GitHub 时使用 github@guozeyu.online，这样可以区分不同服务商发来的邮件；也可知道是谁卖了自己的邮箱信息，给自己发送垃圾邮件。

前往电子邮件菜单，点击 “管理电子邮件” 以激活企业邮箱：

如果看到 “待验证域所有权 (Pending Domain Ownership Verification)”，则说明 DNS 尚未完成激活，请在 24-72 小时后尝试。新注册的域名默认使用我们提供的 DNS 服务器，邮件记录已经自动配置好了，所以无需手动添加记录。同时，你也可以点击 “设置 (Settings)”，选择 “修改语言偏好 (Modify Language Preference)” 然后选择 “Chinese (Simplified)” 以切换语言到简体中文。此外，如果你知道自己在做什么，也可以将域名换到其他 DNS 服务商，手动配置 DNS 记录。

待 24-72 小时，完成域名所有权验证后，你将看到如下页面，这时我们选择 “添加只转发帐户”：

这里我们用户名输入字母 i，“转发至” 输入自己的邮箱。这里只是拿我的邮箱演示。

添加成功后，发往 i@guozeyu.online 的邮件就会转发到你刚刚配置的 “转发至” 邮箱了。但发往其他用户名的邮件依然会被拒收。此时我们需要配置 Catch-All：

然后选择 “转发到以下用户/账户”，并输入刚刚设置的用户名 i，然后点击 “应用” 即可。

配置域名转发

目前，浏览器里的网站是无法访问的，因为我们还没有配置用于 Web 的服务器，也没有建立自己的网站。但我们可以配置域名转发，将访问到域名的的流量跳转到其他 URL。比如，你可以设置跳转到自己的微博、GitHub 等网站。具体操作如下：

前往域名转发菜单，点击 “管理域名转发” 以激活域名转发：

此时，你可以配置要转发的域名和要转发到的地址：

同时，也可以选择高级设置。我建议关闭 “URL掩蔽 / 重定向 / URL隐藏”。

同样，该配置需要 24-72 小时后才能生效。

总结

本文介绍了如何注册属于自己的域名，建立以自己域名结尾的的企业邮箱，以及配置域名转发。后续的文章将会更新如何建立属于自己的个人网站。可以点击页面顶部的关于按钮订阅本网站，这样就不会错过后续的内容啦～

最近 DNSPod 的解析服务器宕机了一段时间，导致许多 DNSPod 用户的网站无法访问。本文将推荐几个提供 100% SLA 的海外 GeoDNS 服务，可用于替代不稳定的 DNSPod。并介绍一下使用多家 DNS 提供商来提高服务可用性的方法。

本文包括 Azure DNS、NS1、Constellix 的全面对比。

简介

这次推荐的三家 DNS 均是海外的支持 GeoDNS 的服务商，并都支持 Anycast。其中的 Azure DNS 和 NS1 在国内的速度都非常好，是直接走的香港/亚洲线路，平均延迟能够在 50ms 以内，不输国内 DNS 服务商。而这三家的海外速度都是极快的，可以秒杀 DNSPod、CloudXNS、阿里云解析等国内提供商。

关于 GeoDNS，精细度最好的是 Constellix：支持国家、省、市（包括中国的省、市），甚至是 AS 号（可以实现分运营商解析）、IP 段。NS1 支持国家、美国的州，也支持 AS 号、IP 段。至于 Azure DNS，通过使用 Traffic Manager，可以支持国家、部分国家的州、IP 段。由于都支持 IP 段，所以理论上支持任意精度的 GeoDNS 了。

至于价格，NS1 提供了免费额度（每月 500k 请求），对于小流量网站而言是够用的，可一旦超出这个免费额度，那么收费是很高的：**$8/百万个请求**。相比而言，Azure DNS 和 Constellix 的价格都很便宜了，其中 Constellix 有 $5/月 的起价。

使用多家 DNS 服务商

同时使用多家 DNS 服务商是可行的，只要使用服务商的 DNS 记录保持相同即可。这要求所使用的服务商能够配置主域名的 NS 记录（建议但不是必须）。这次介绍的 Azure DNS、NS1、Constellix 三家，以及以前介绍过的 Route 53、Google Cloud DNS、Rage4、阿里云解析均可配置主域名的 NS 记录（其中阿里云解析和 Azure DNS 只能额外添加第三方记录；其他几家可以完全自定义 NS 记录）。而 Cloudflare 以及国内的 DNSPod、CloudXNS、阿里云解析由于不能配置主域名下的 NS 记录，意味着你不能很好的进行 DNS 混用。

要使用多家 DNS，有两种实现方法：主服务商和从服务商方式以及两个主服务商方式。完成配置后，将多家的 NS 服务器配置到权威 NS 记录以及域名注册商下的 NS 列表。

使用两家服务商会增加配置难度，但可以提高 DNS 服务的稳定性。如最近的 DNSPod 宕机以及 2016 年的 Dyn 宕机所导致的众多网站无法访问，均是因为众多网站仅使用了一家 DNS 提供商。如果使用了多家 DNS 提供商，则网站仅会在所使用的所有服务商均发生宕机事故时才会无法访问，而这显然发生概率很小。

主服务商和从服务商

要想这样配置，需要从服务商支持使用 AXFR 从主服务商获取记录，还需要主服务商也支持 AXFR 传输。其中，NS1、Constellix 均可作为主服务商或从服务商，意味着你可以同时使用这两家，并选择任何一家作为主服务商，另一家作为从服务商。

两个主服务商

你也可以使用两个主服务商，并保持所有的记录（包括主域名下的 NS 记录）相同（建议，但不是必须）。建议也将 SOA 的序列号同步。

样例

github.com. 这个域名就同时使用了 Route 53 和 DYN 的服务。这可以使用 dig 工具验证。

$ dig github.com ns +short  ns1.p16.dynect.net.  ns2.p16.dynect.net.  ns3.p16.dynect.net.  ns4.p16.dynect.net.  ns-1283.awsdns-32.org.  ns-421.awsdns-52.com.  ns-1707.awsdns-21.co.uk.  ns-520.awsdns-01.net.

经检验，在两家 DNS 服务商也配置了相同的记录。

$ dig @ns1.p16.dynect.net. github.com a +short  13.229.188.59  13.250.177.223  52.74.223.119  $ dig @ns-1283.awsdns-32.org. github.com a +short  13.229.188.59  13.250.177.223  52.74.223.119  

下面逐个介绍一下这三家 DNS 提供商。

所有 DNS 测评一览（还包括 CloudXNS、Route 53、Cloudflare、Google Cloud DNS、Rage4 以及阿里云解析）

Azure DNS

微软 Azure 产品线下的 DNS 服务。使用 Anycast 技术，并且国内能够直接连接到香港/亚洲节点，所以速度很快。

值得注意的是，类似 Route 53，Azure 所分配的四个服务器使用的是不同的网段、不同的线路，可能有更高的可用性。

注意：Azure 的 DNS 的分区解析可能不兼容 IPv6，这意味的解析结果可能会被 Fallback 到默认线路。

• 国外速度：★★★★☆，36 ms
• 北美速度：★★★★☆，27 ms
• 亚洲速度：★★★★☆，39 ms
• 欧洲速度：★★★★☆，29 ms
• 国内速度：★★★★☆，49 ms
• 最短 TTL：0s
• 国内分区解析：★★★★★，支持配置到中国，支持 IP 段配置（配合 Traffic Manager）
• 国外分区解析：★★★★★，支持配置到大州、国家以及部分国家的州，支持 IP 段配置（配合 Traffic Manager）
• DNSSEC：不支持
• IPv6：支持
• 记录类型：支持 A、AAAA、CNAME、NS、MX、TXT、SRV、CAA、PTR。
• 根域名 CNAME 优化：不支持
• 优先级：支持（配合 Traffic Manager）
• 自定义 NS：仅支持添加额外的 NS
• 价格：每个域名 $0.5/月，**$0.4/百万个请求**
• 用例 A 价格：**$0.90**
• 用例 B 价格：**$10.50**
• SLA：100%

NS1

NS1 也使用了 Anycast 技术，并且国内能够直接连接到香港/亚洲节点，所以速度很快。

• 国外速度：★★★★★，23 ms
• 北美速度：★★★★★，9 ms
• 亚洲速度：★★★★☆，40 ms
• 欧洲速度：★★★★★，20 ms
• 国内速度：★★★☆☆，65 ms
• 最短 TTL：0s
• 国内分区解析：★★★★★，支持配置到中国，支持 IP 段配置。
• 国外分区解析：★★★★★，支持配置到大州、国家、美国的州，支持 AS 号、IP 段配置。
• DNSSEC：支持
• IPv6：不支持
• 记录类型：支持 A、AAAA、AFSDB、CAA、CERT、CNAME、DS、HINFO、MX、NAPTR、NS、PTR、RP、SPF、SRV、TXT。
• 根域名 CNAME 优化：支持
• 优先级：支持（配合 Traffic Manager）
• 自定义 NS：仅支持添加额外的 NS
• 价格：每月前 500k 请求免费，超出部分 $8.0/百万个请求
• 用例 A 价格：**$4**
• 用例 B 价格：**$156**
• 用例 C 价格：**$156**
• SLA：100%

Constellix

此 DNS 以 GeoDNS 优势著称，使用了 Anycast 保证最低的延迟。

Constellix 三组有六个 DNS 服务器，每一组使用了不太相同的线路。

• 国外速度：★★★★☆，31.51 ms
• 北美速度：★★★★★，9.81 ms
• 亚洲速度：★★★★☆，48.87 ms
• 欧洲速度：★★★★★，23.77 ms
• 国内速度：★★☆☆☆，108.9 ms
• 最短 TTL：0s
• 国内分区解析：★★★★★，可以精确到每一个省、市，可以配置 ASN 以实现运营商分区解析。
• 国外分区解析：★★★★★，精确到了各个国家、省、市
• DNSSEC：不支持
• IPv6：支持
• 记录类型：更加齐全，只支持 A、AAAA、CNAME、NS、MX、TXT、SRV、HINFO、NAPTR、CAA、CERT、PTR、RP、SPF。
• 根域名 CNAME 优化：支持
• 优先级：支持
• 自定义 NS：支持
• 价格：第一个域名 $5/月，此后每个域名 $0.5/月。**$0.4/百万个请求**。分区解析 $0.6/百万个请求
• 用例 A 价格：**$5.39**
• 用例 B 价格：**$14.90**
• 用例 C 价格：**$19.30**
• 统计功能：支持，可以看到每个国家、城市的请求数。甚至还可以启用日志，看到每一个请求的客户端 IP、IP 数据包类型等等。
• SLA：100%

本网站曾经一直将国外解析到 CloudFront 实现为国外加速，最近看到 Cloudflare 支持了 Argo 这一新功能，于是就把国外的 CDN 从 CloudFront 换到了 Cloudflare 并开启了 Argo 来试一下效果，官方宣称无缓存时能明显降低 TTFB（首字节延迟），有缓存时也能提高缓存命中率。本文还会将其与 Cloudflare 的另一个企业级的 CDN 加速黑科技——Railgun 进行对比。

Cloudflare Argo

提升缓存命中率，Argo Tiered Cache

Cloudflare 的节点很多，但是节点太多有时不是一件好事——大多数 CDN 之间的节点是相对独立的。首先要先明白 CDN 的工作原理，CDN 通常不会预先缓存内容，而是在访客访问时充当代理的同时对可缓存的内容缓存。就拿本站来说，本站用的是香港虚拟主机，如果有英国伦敦的访客访问了我的网站，那么由于我的网站是可被缓存的，他就会连接到伦敦的节点并被缓存在这个节点。那么如果是英国曼彻斯特的访客访问了呢？由于 CDN 在曼彻斯特另有节点，访客会直接连接到曼彻斯特节点，然而曼彻斯特上并没有缓存，所以该节点会回源到香港。而显然的是，如果曼彻斯特回源到伦敦，使用伦敦的缓存会更快。 综上，如果能选择性的从其他节点上获取资源，TTFB 会更低，缓存命中率也会相应提高。但是一般的 CDN 不会去这样做，因为节点相互独立，节点之间并不知道对方是否已经缓存。一般的解决方法是节点与源站之间先经过为数不多的几个节点，这几个节点可能只是分布在几个州，比如整个欧洲就只有一个这种节点。这样的话，伦敦的访客访问后，同时也被欧洲的那个节点缓存。这样，当再有欧洲其他地区的访客连接到一个没有缓存的节点时，这些节点会直接提供欧洲的那个节点的缓存。CloudFront 和 KeyCDN 就利用了这样的技术。 Cloudflare 是如何实现的他们官方没有详细说明。然而在实际测试时，并没有观察到缓存率上有明显提升，远比不过 CloudFront 的效果。下图是通过这些节点测试的 TTFB，请求是逐个发起的。

降低 TTFB，Argo Smart Routing

通常情况下，节点与源站的连接是直接的，这之间的网络很大程度上取决于主机的网络接入。然而，有了 Argo Smart Routing，Cloudflare 会使用自己的线路。图片来自 Cloudflare.com。

国外请求测试地址，其中的 via 字段就是 Cloudflare 与本站建立的连接的 IP 地址。通过 GeoIP 服务查询，发现是香港的 IP。Cloudflare 将自己的节点之间都建立了长连接，并在离源站最近的服务器上与源站也提前建立了连接。这样，就能大大降低首次连接所需要的时间。如果回源是 HTTPS 的，那么效果更明显。我的另一个测试地址是没有开启这个功能的，用来对比，它的回源与本站建立的 IP 就不是香港的。

使用 Flexible SSL 的 TTFB 对比

使用 Full SSL 的 TTFB 对比

速度的确有一定的提升，但是不是特别明显，而且似乎开启了之后一些节点反而更不稳定——原本都是比较稳定的一个速度，开了这个之后一些节点反而忽快忽慢。看来提速的最佳方法还是半程加密。

Cloudflare Railgun

Railgun 是 Cloudflare 专门为 Business 和 Enterprise 企业级客户提供的终极加速方案。要使用它，先需要升级网站套餐为 Business 或 Enterprise，然后还需要在服务器上安装必要软件并在 Cloudflare 上完成配置。这相当于是一个双边加速的软件，其实现原理是让服务器与 Cloudflare 建立一个长久的 TCP 加密连接，使用 Railgun 独有协议而不是 HTTP 协议，这样显然能减少连接延迟。此外，它还会对动态页面缓存：考虑到大多动态页面都包含了大量相同的 HTML 信息，在用户请求一个新的页面时，服务器将只发送那些变化了的内容。这相当于一种多次的 Gzip 压缩。

官方宣称，使用 Railgun 能够实现 99.6% 的压缩率，并实现两倍的速度。实际体验也确实如此：

Railgun 的加速效果还是非常之明显的，明显强于 Argo。

总结

Argo 并没有想象中的那么好用，而且 $5/mo 的起步价和 $0.10/GB 的流量并不便宜。当然也有可能需要一段时间 Argo 去分析线路延迟才能更好的进行优化。本文预计将在一个月后补充更新。 Railgun 效果还是极其显著的，但是它需要企业版套餐才能够使用，并不亲民。

动态内容

延迟：Google Cloud CDN 延迟最低，Cloudflare Railgun 仅次。 流量：对于普通的动态 CMS，Cloudflare Railgun 大约能节省 10 倍以上流量，Google Cloud CDN 是做不到的。 我在国内外几家全站 CDN 对比中测试 Google Cloud CDN 时，其极低的 TTFB 令我惊讶，仔细研究后发现节点是与主机之间建立长连接，而且会保持很长一段时间，此外所有网络都走 Google 内网，本质上与 Argo 和 Railgun 类似。所以目前服务动态内容最快的应该还属 Google Cloud CDN 了，Railgun 基本与之相当。

静态内容

CloudFront 自带的 Regional Edge Caches 在缓存静态内容和提高缓存命中率上要比 Argo Tiered Cache 和 Railgun 好，但是 Argo Smart Routing 在服务于动态的不可缓存的内容上更显出优势。Railgun 和 Google Cloud CDN 除了会在边缘节点缓存之外没有其他专门的优化。

关于本站的分区解析

本站的解析没有使用 Cloudflare 而是 自建的 DNS，因为我的 Cloudflare 域名是通过 CNAME 接入的。Cloudflare 分配的 IP 在很长时间内都不会变动，所以我直接把其 IP 设置为了海外线路。使用自建的DNS是为了在备案后，为国内分区解析配置 CDN 线路。 PS: 大家应该都知道启用这个功能后并不会提升国内连接 Cloudflare 的速度，如果想要用 Cloudflare 并且希望国内快一点，源站最好就用美国西岸的。

建立网站、建立软件（或游戏）的服务器等，可能会有很多纠结的地方，也有很多坑，这篇文章根据我个人的经验来帮助大家选择最适合自己的方案，以及一些建议，在最后列出来一些我推荐的服务。

服务的三种类型

一般的，建站所需要购买的服务也是属于这三种服务之间的。从 SaaS、Paas 到 IaaS，依次从使用简便到复杂，从可拓展性低到高。了解这三种服务类型有助于选择合适的服务。

• SaaS，软件即服务：比如 WordPress.com 等提供了一整套服务（包括了域名、主机、平台和软件）的，就算是 SaaS，这种服务对于初学者使用起来最方便，专业人士也能玩出不少花样，但可拓展性受到软件的限制，通常这种服务都有较高的可用性，并且是分布式的。
• PaaS，平台即服务：比如基于 cPanel、Plesk 面板的虚拟主机，你可以在平台上安装已有的开源软件，或者将自己软件代码上传，总体使用几乎和 SaaS 一样简单，使用特定的操作系统和代码语言，安装各种程序。PaaS 有普通的也有分布式的，后者的在可用性和数据保障，以及可拓展性上都要好于前者。
• IaaS，基础设施即服务：包括 VPS、独立服务器、云 VPS 和共有/私有云服务器。VPS 和独立服务器相比主要差距是在配置上，包括 CPU、内存、硬盘等，后者的配置会高很多，可用性方面没有太大区别。云 VPS 和共有/私有云实际上是基于云端分布式的 VPS 和独立服务器，一样的，他们的在可用性和数据保障，以及可拓展性上都要好于 VPS 和独立服务器。IaaS 需要自己选择操作系统，所有的服务和软件都是自己配置，通常都给你 root 权限。

服务的选择

• 位置选择之国内：首先需要考虑的是国内还是国外？如果选择国内，首先你得域名需要经过备案，这可能需要将近一个月时间，这无疑为建网站增加了不少成本。而且国内的服务器普遍较贵。不过如果要选择国内，我比较推荐的主机是新浪的 SAE，它价格很低，是按需付费，并且还有免费额度，它属于分布式的 PaaS，提供高可用率的服务，支持 Docker 容器、DDOS 防御。不过 SAE 对于非企业用户不提供 CDN 和自定义域名 HTTPS，我推荐你使用 UPYUN 来实现 CDN 和自定义域名 HTTPS 功能。国内的优点：可以保证网络延迟低，并能符合目前的一些法律政策。
• 位置选择之国外：不少亚洲的主机（包括但不限于香港、日本、新加坡）从大陆连接会 “绕道”，导致延迟很高，购买前需要先了解清楚，香港便宜的共享主机推荐 TlOxygen。亚洲的主机普遍网络带宽不大，流量比较少，如果不选择亚洲的，那就建议先选北美的。国外的主机通常会有比国内很多主机更低的价格，更好的国际带宽。 如果有条件，可以配置多个服务器，两个服务器推荐的解决方案是亚洲 + 北美东岸，并将亚洲和大洋洲都指向亚洲，其余的都指向北美。如果有条件配置更多服务器，那么可以同时配置北美东岸 + 北美西岸 + 欧洲 + 亚洲的四个服务器并分区解析，就我的实际测试而言，把非洲指向欧洲，把大洋洲指向北美西岸能达到最快的速度。

一些可能需要的特性：基于要实现的不同功能，可能需要在以下方面有要求，在选择服务的时候需要优先考虑。

• 高数据可靠性：几乎所有的网站或是和网络相关的软件，都需要存储用户的数据，所以高数据可靠性是十分重要的。所以磁盘阵列为 RAID1 和 RAID10 是首选。而且用户数据的备份也是十分重要的，可以存储在第三方如 AWS S3。一些服务提供商提供了备份功能，其实也是能够保证高数据可靠性。
• 防御攻击的能力：攻击的成本已经越来越低，种类也很多。通常最难防御的攻击种类是 DDOS，其余的几乎都可以通过软件实现。建议在选择服务器时就要选择有 DDOS 防御的服务器，或者直接使用 CloudFlare 之类的基于第七层的防御。
• 可伸缩，按需付费：最简单的例子就是网络的计费方式不是按照带宽计费，而是按照每 GB 多少钱计费，不限带宽，能够避免不必要的支出的同时还会让用户享受最快的速度。同样的道理，按照系统资源的使用来计费的模式是最好的选择。一般的，基于云端的 PaaS 都是这种计费方式，IaaS 则需要自行配置来实现资源不够时升级配置，资源过剩时回收配置（也可以是 Auto Balancing），所以按小时（或分钟、秒种）级别的计费 IaaS 计费方式最适合这样伸缩以达到按需付费的目的。
• 网络可靠性：网络可靠性也十分重要，如果服务的网络不好，那么将极大的影响用户体验，导致用户不可以使用服务。
• SLA：重要的服务都需要 SLA，SLA 能给你承诺服务的可用率，当服务没有满足承诺时，服务提供商会给你赔偿。
• IPv6：就目前来看，如果不支持 IPv6 也没什么问题。但是能有原生的 IPv6 支持总比没有好，而且现在正在有越来越多的运营商支持 IPv6，使用 IPv6 有可能会有更低的网络延迟，同时配置 IPsec 也有优势。

其他

• 域名相关：不管你是选择使用虚拟主机、VPS 或是独立服务器，通常你还需要自己买一个域名，配置 DNS 解析等等，推荐免费的 DNS 解析有 CloudFlare、Rage4，国内还有 CloudXNS，一些虚拟主机商以及域名注册商也提供免费的解析，但不如前面介绍的那几个（详细关于 DNS 的介绍请见此）。如果选择使用 CloudFlare，那么你还可以在 DNS 后台选择开启 Proxy（CDN），这样能为你的网站缓存并加速（但实际上对于国内来说有可能反而减速），并获得一些基础的 DDOS 防护，并隐藏你的源站 IP 地址。
• 域名注册商的选择：首先，要保证总的域名保有量大；其次，要域名后缀种类齐全；第三，最好能附加免费的企业邮箱和高级的隐私保护；第四，域名注册后要能删除并退款，防止手抖注册错了；第五，价格不能太贵。在我做的 TlOxygen 这个公共域名注册服务上，使用的域名注册商是全球前十大域名注册商；有 500 多种域名后缀，数量超过 GoDaddy；赠送企业邮箱，可以配置无限个转发邮箱，甚至还可以配置子域名邮箱，还支持 DKIM；大多数种类域名删除可以拿到退款；价格比 Godaddy 便宜很多，续费价格没那么坑，基本上是 7 折；域名隐私保护只有 5 元，但功能比很多免费的高级：即使开了域名隐私保护，别人给你发邮件时，会收到表格，还能继续填写表格与你联系。

一些服务商的推荐

排列的顺序只是与添加在这个列表里的时间有关，新添加的会被放在后面。此处添加的服务商全是个人的推荐的，以后还会持续更新。 标注列表：

• (6)：全面支持 IPv6
• (6)：部分支持 IPv6
• (D)：支持免费 DDOS 防御

SaaS

建立网站

• WordPress.com
• Tumblr (6)
• GitHub Pages

CDN

以下 CDN 都支持 HTTPS 与 IPv6

• UPYUN/又拍云 (6)
• CloudFront (6)
• CloudFlare (6、D)

DNS

• Route 53 (6)
• Rage4 (6、D)

数据存储

• AWS S3

代码托管

• GitHub
• GitLab.com
• Coding

SaaS 还有很多，太多的东西都是 SaaS 了，所以这里只能算举几个例子。

PaaS

虚拟主机

• BlueHost

云主机

或者说是分布式的虚拟主机，但是有独立的 CPU 和内存资源。

• ResellerClub
• BlueHost

可自选软件语言的/Docker 容器

• 新浪 SAE (6¹、D)
• OpenShift
• AWS Elastic Beanstalk
• AWS EC2 Container Registry

IaaS

VPS/Cloud

标注列表：

• (U)：独享 CPU³

• (C)：基于云端的技术，高可用性

• (S)：关机后不计费

• Vultr (6、D⁶)

• OVH (6²、D、C⁴)

• Google Compute Engine (D⁵、C、U、S)

• Linode (6)

• DigitalOcean (6)

• AWS EC2 (S)

• QingCloud/青云 (S)

• 腾讯云

备注

1. SAE 的 IPv6 的激活需要额外的月付
2. OVH 的 SSD VPS 暂时不支持 IPv6
3. 在购买某种配置时，若告知你是共享 CPU，那么还是共享 CPU
4. OVH 只有 Cloud VPS 是基于云端的 VPS
5. Google 官方并没有明确说明提供 DDOS 防御，但实际上是有能力防御的
6. Vultr 的 DDOS 防御需要额外购买，且仅部分地区支持，最大防御仅 10Gbps

DNS（域名解析系统）的工作使命，就是服务于与域名相关的内容的底层。是域名（如：example.com）的核心组成部分。绝大多数与域名相关的东西，都离不开它。比如：

• 访问一个网站，通常是输入一个域名（如 https://www.example.com）
• 发送邮件，@ 后面是主机名，而主机名通常是个域名（如 webmaster@example.com）

整个 DNS 具有复杂的层次，这对刚开始购买域名的人有很大的疑惑。本文将详尽的介绍 DNS 的工作原理，有助于更深刻的理解。本文将介绍：

1. 在客户端上是如何解析一个域名的
2. 在 DNS 缓存服务器上是如何逐级解析一个域名的

同时还包含：

1. 域名的分类
2. 什么是 Glue 记录
3. 为什么 CNAME 不能设置在主域名上

先从本地的 DNS 开始讲起。

本地 DNS

本地的 DNS 相对于全球 DNS 要简单的多。所以先从本地 DNS 开始讲起。 127.0.0.1 常被用作环回 IP，也就可以作为本机用来访问自身的 IP 地址。通常，这个 IP 地址都对应着一个域名，叫 localhost。这是一个一级域名（也是顶级域名），所以和 com 同级。系统是如何实现将 localhost 对应到 127.0.0.1 的呢？其实就是通过 DNS。在操作系统中，通常存在一个 hosts 文件，这个文件定义了一组域名到 IP 的映射。常见的 hosts 文件内容如下：

127.0.0.1       localhost::1             localhost

它就定义了 localhost 域名对应 127.0.0.1 这个 IP（第二行是 IPv6 地址）。这样，当你从浏览器里访问这个域名，或者是在终端中执行 Ping 的时候，会自动的查询这个 hosts 文件，就从文件中得到了这个 IP 地址。此外，hosts 文件还可以控制其他域名所对应的 IP 地址，并可以 override 其在全球 DNS 或本地网络 DNS 中的值。但是，hosts 文件只能控制本地的域名解析。hosts 文件出现的时候，还没有 DNS，但它可以说是 DNS 的前身。 如果需要在一个网络中，公用同一个 DNS，那么就需要使用 IP 数据包向某个服务器去获取 DNS 记录。 在一个网络里（此处主要指本地的网络，比如家庭里一个路由器下连接的所有设备和这个路由器组成的网络），会有很多主机。在与这些主机通信的时候，使用域名会更加的方便。通常，连接到同一个路由器的设备会被设置到路由器自己的一个 DNS 服务器上。这样，解析域名就不仅可以从 hosts 去获取，还可以从这个服务器上去获取。从另一个 IP 上去获取 DNS 记录通过 DNS 查询，DNS 查询通常基于 UDP 或者 TCP 这种 IP 数据包，来实现远程的查询。我的个人电脑的网络配置如下，这是在我的电脑连接了路由器之后自动就设置上的：

重点是在路由器和搜索域上。 我的电脑的主机名（也是电脑名）设置的是 ze3kr，这个内容在连接路由器时也被路由器知道了，于是路由器就给我的主机分配了一个域名 ze3kr.local，local 这个一级域名专门供本地使用。在这个网络内所有主机通过访问 ze3kr.local 这个域名时，路由器（10.0.1.1）就会告知这个域名对应的 IP 地址，于是这些主机够获得到我的电脑的 IP 地址。至于搜索域的作用，其实是可以省去输入完整的域名，比如：

$ ping ze3krPING ze3kr.local (10.0.1.201): 56 data bytes64 bytes from 10.0.1.201: icmp_seq=0 ttl=64 time=0.053 ms--- ze3kr.local ping statistics ---1 packets transmitted, 1 packets received, 0.0% packet lossround-trip min/avg/max/stddev = 0.053/0.053/0.053/0.000 ms

当设置了搜索域时，当你去解析 ze3kr 这个一级域名时，便会先尝试去解析 ze3kr.local，当发现 ze3kr.local 存在对应的解析时，便停止进一步解析，直接使用 ze3kr.local 的地址。 现在你已经了解了本地 DNS 的工作方式。DNS 的基本工作方式就是：获取域名对应 IP，然后与这个 IP 进行通信。 当在本地去获取一个完整域名（FQDN）时（执行 getaddrbyhost），通常也是通过路由器自己提供的 DNS 进行解析的。当路由器收到一个完整域名请求且没有缓存时，会继续向下一级缓存 DNS 服务器（例如运营商提供的，或者是组织提供的，如 8.8.8.8）查询，下一级缓存 DNS 服务器也没有缓存时，就会通过全球 DNS 进行查询。具体的查询方式，在 “全球 DNS” 中有所介绍。

总结

在本地，先读取本地缓存查找记录，再读取 Hosts 文件，然后在搜索域中查找域名，最后再向路由器请求 DNS 记录。

全球 DNS

在全球 DNS 中，一个完整域名通常包含多级，比如 example.com. 就是个二级域名， www.example.com. 就是个三级域名。通常我们常见到的域名都是完整的域名。

一级域名被分为以下三个部分：

1. 普通域（gTLD）：通常是三个字节或三个字节以上的域名后缀，或者是 Unicode 字符的后缀。这些域名分配给机构管理。
2. 国家域（ccTLD）：所有两个字节的域名都是国家代码，这些域名分配给国家管理。不少国家域都开放了注册，不过有的国家域仅允许当前国家的人去注册。
3. arpa 域：用于将 IP 地址转换为对应的域名的根域。

我们通常所见到的域名都是普通域和国家域，而 arpa 域用作 IP 到域名的反向解析。 在本地 DNS 中，只存在域名对应 IP 这种映射关系。然而，在全球 DNS 中，有着更多的资源记录种类（RR），不只是域名对应 IP 的关系，下面将分别介绍一些最基本的资源记录种类：

• A 记录：定义了一个 IP 地址。（AAAA 记录则是定义一个 IPv6 地址）（RFC 1035）
• NS 记录：域名服务器记录，说明一个域名下的的授权域名服务器记录。内容必须是一个域名。（RFC 1035）

根域名

先从根域名开始，未命名根也可以作为 . 。你在接下来的部分所看到的很多域名都以 .结尾，以 .结尾的域名是特指的是根域名下的完整域名，然而不以 . 结尾的域名大都也是完整域名，实际使用时域名末尾的 .也常常省略。在本文中，我使用 dig 这一个常用的 DNS 软件来进行查询，我的电脑也已经连接到了互联网。 假设目前这个计算机能与互联网上的 IP 通信，但是完全没有 DNS 服务器。此时你需要知道根 DNS 服务器，以便自己获取某个域名的 IP 地址。根 DNS 服务器列表可以在这里下载到。文件内容如下：

;       This file holds the information on root name servers needed to;       initialize cache of Internet domain name servers;       (e.g. reference this file in the "cache  .  <file>";       configuration file of BIND domain name servers).;;       This file is made available by InterNIC;       under anonymous FTP as;           file                /domain/named.cache;           on server           FTP.INTERNIC.NET;       -OR-                    RS.INTERNIC.NET;;       last update:    October 20, 2016;       related version of root zone:   2016102001;; formerly NS.INTERNIC.NET;.                        3600000      NS    A.ROOT-SERVERS.NET.A.ROOT-SERVERS.NET.      3600000      A     198.41.0.4A.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:ba3e::2:30;; FORMERLY NS1.ISI.EDU;.                        3600000      NS    B.ROOT-SERVERS.NET.B.ROOT-SERVERS.NET.      3600000      A     192.228.79.201B.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:84::b;; FORMERLY C.PSI.NET;.                        3600000      NS    C.ROOT-SERVERS.NET.C.ROOT-SERVERS.NET.      3600000      A     192.33.4.12C.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:2::c;; FORMERLY TERP.UMD.EDU;.                        3600000      NS    D.ROOT-SERVERS.NET.D.ROOT-SERVERS.NET.      3600000      A     199.7.91.13D.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:2d::d;; FORMERLY NS.NASA.GOV;.                        3600000      NS    E.ROOT-SERVERS.NET.E.ROOT-SERVERS.NET.      3600000      A     192.203.230.10E.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:a8::e;; FORMERLY NS.ISC.ORG;.                        3600000      NS    F.ROOT-SERVERS.NET.F.ROOT-SERVERS.NET.      3600000      A     192.5.5.241F.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:2f::f;; FORMERLY NS.NIC.DDN.MIL;.                        3600000      NS    G.ROOT-SERVERS.NET.G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4G.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:12::d0d;; FORMERLY AOS.ARL.ARMY.MIL;.                        3600000      NS    H.ROOT-SERVERS.NET.H.ROOT-SERVERS.NET.      3600000      A     198.97.190.53H.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:1::53;; FORMERLY NIC.NORDU.NET;.                        3600000      NS    I.ROOT-SERVERS.NET.I.ROOT-SERVERS.NET.      3600000      A     192.36.148.17I.ROOT-SERVERS.NET.      3600000      AAAA  2001:7fe::53;; OPERATED BY VERISIGN, INC.;.                        3600000      NS    J.ROOT-SERVERS.NET.J.ROOT-SERVERS.NET.      3600000      A     192.58.128.30J.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:c27::2:30;; OPERATED BY RIPE NCC;.                        3600000      NS    K.ROOT-SERVERS.NET.K.ROOT-SERVERS.NET.      3600000      A     193.0.14.129K.ROOT-SERVERS.NET.      3600000      AAAA  2001:7fd::1;; OPERATED BY ICANN;.                        3600000      NS    L.ROOT-SERVERS.NET.L.ROOT-SERVERS.NET.      3600000      A     199.7.83.42L.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:9f::42;; OPERATED BY WIDE;.                        3600000      NS    M.ROOT-SERVERS.NET.M.ROOT-SERVERS.NET.      3600000      A     202.12.27.33M.ROOT-SERVERS.NET.      3600000      AAAA  2001:dc3::35; End of file

这个文件中每一行分为 4 列，分别是完整域名、资源类型、生存时间（TTL，也就是可以缓存的时间）以及资源数据。通过这个文件就可以知道根域名所对应的 13 个根域名服务器的完整域名，还能知道这 13 个完整域名所对应的 IP 地址。这是因为 NS 记录只能设置为完整域名，所以为了告知 NS 所对应的 IP，还需要额外的数据去说明这 13 个完整域名对应的 IP（这些额外的数据叫做 Glue 记录）。这 13 个根域名服务器都是独立的且冗余的（但是所返回的内容应该是相同的），这样当其中的某个或某些服务器发生故障时，不会影响到解析。一旦无法解析根域名，那么所有的域名都将无法访问。

Glue 记录：如果 NS 记录对应的某个完整域名包含在那个域名之中，那么就需要添加一个 Glue 记录，来指定那个完整域名所对应的 IP。实际上任何完整域名都属于根域名之中，所以根域名就必须对这些 NS 记录设置对应的 IP 地址。Glue 记录实质上就是 A（或 AAAA）记录。（RFC 1033）

我们假设你已经通过某种方法成功获取到了这个文件，那么下一步，就是使用这里的服务器对根域名以及一级域名进行解析。对根域名的解析实际上是不必要的，但是我们还是对其进行解析以便进一步分析，获得在互联网上最新、最全的数据。 在根域名上的记录，以从根域名服务器中所解析其根域名的数据为准，而不是刚才的那个文件中的内容。刚才的文件内容只是告知根域名服务器的列表，也就是只有 NS 记录和 NS 记录对应的完整域名的 IP 记录，而不是根域名下的所有记录。 我们先向 198.41.0.4 这个 IP 发送查询根域名的所有记录，any 代表显示任何类型的记录，为了看起来方便，一些无关的响应已经删除（如果只是解析根域名，这一步不能跳过。如果需要直接解析一级域名，那么这一步就可以跳过）。

$ dig @198.41.0.4 . any;; QUESTION SECTION:;.INANY;; ANSWER SECTION:.518400INNSa.root-servers.net..518400INNSb.root-servers.net..518400INNSc.root-servers.net..518400INNSd.root-servers.net..518400INNSe.root-servers.net..518400INNSf.root-servers.net..518400INNSg.root-servers.net..518400INNSh.root-servers.net..518400INNSi.root-servers.net..518400INNSj.root-servers.net..518400INNSk.root-servers.net..518400INNSl.root-servers.net..518400INNSm.root-servers.net..86400INSOAa.root-servers.net. nstld.verisign-grs.com. 2016122400 1800 900 604800 86400;; ADDITIONAL SECTION:a.root-servers.net.518400INA198.41.0.4b.root-servers.net.518400INA192.228.79.201c.root-servers.net.518400INA192.33.4.12d.root-servers.net.518400INA199.7.91.13e.root-servers.net.518400INA192.203.230.10f.root-servers.net.518400INA192.5.5.241g.root-servers.net.518400INA192.112.36.4h.root-servers.net.518400INA198.97.190.53i.root-servers.net.518400INA192.36.148.17j.root-servers.net.518400INA192.58.128.30k.root-servers.net.518400INA193.0.14.129l.root-servers.net.518400INA199.7.83.42m.root-servers.net.518400INA202.12.27.33a.root-servers.net.518400INAAAA2001:503:ba3e::2:30b.root-servers.net.518400INAAAA2001:500:84::bc.root-servers.net.518400INAAAA2001:500:2::cd.root-servers.net.518400INAAAA2001:500:2d::de.root-servers.net.518400INAAAA2001:500:a8::ef.root-servers.net.518400INAAAA2001:500:2f::fg.root-servers.net.518400INAAAA2001:500:12::d0dh.root-servers.net.518400INAAAA2001:500:1::53i.root-servers.net.518400INAAAA2001:7fe::53j.root-servers.net.518400INAAAA2001:503:c27::2:30k.root-servers.net.518400INAAAA2001:7fd::1l.root-servers.net.518400INAAAA2001:500:9f::42m.root-servers.net.518400INAAAA2001:dc3::35

其中，可以看到 TTL 与刚才文件中的内容不一样，此外还多了一个 SOA 记录，所以实际上是以这里的结果为准。这里还有一个 SOA 记录，SOA 记录是普遍存在的，具体请参考文档，在这里不做过多说明。

SOA 记录：指定有关 _DNS 区域_的权威性信息，包含主要名称服务器、域名管理员的电邮地址、域名的流水式编号、和几个有关刷新区域的定时器。（RFC 1035）

_DNS 区域_：对于根域名来说，DNS 区域就是空的，也就是说它负责这互联网下所有的域名。而对于我的网站，DNS 区域就是 guozeyu.com.，管理着 guozeyu.com. 本身及其子域名的记录。

此处的 ADDITIONAL SECTION 其实就包含了 Glue 记录。

一级域名

根域名自身的 DNS 服务器服务器除了被用于解析根自身之外，还用于解析所有在互联网上的一级域名。你会发现，几乎所有的 DNS 服务器，无论是否是根 DNS 服务器，都会解析其自身以及其下级域名。 从之前的解析结果中可以看出，根域名没有指定到任何 IP 地址，但是却给出了 NS 记录，于是我们就需要用这些 NS 记录来解析其下级的一级域名。下面，用所得到的根 NS 记录中的服务器其中之一来解析一个一级域名 com.。

$ dig @198.41.0.4 com any;; QUESTION SECTION:;com.INANY;; AUTHORITY SECTION:com.172800INNSa.gtld-servers.net.com.172800INNSb.gtld-servers.net.com.172800INNSc.gtld-servers.net.com.172800INNSd.gtld-servers.net.com.172800INNSe.gtld-servers.net.com.172800INNSf.gtld-servers.net.com.172800INNSg.gtld-servers.net.com.172800INNSh.gtld-servers.net.com.172800INNSi.gtld-servers.net.com.172800INNSj.gtld-servers.net.com.172800INNSk.gtld-servers.net.com.172800INNSl.gtld-servers.net.com.172800INNSm.gtld-servers.net.;; ADDITIONAL SECTION:a.gtld-servers.net.172800INA192.5.6.30b.gtld-servers.net.172800INA192.33.14.30c.gtld-servers.net.172800INA192.26.92.30d.gtld-servers.net.172800INA192.31.80.30e.gtld-servers.net.172800INA192.12.94.30f.gtld-servers.net.172800INA192.35.51.30g.gtld-servers.net.172800INA192.42.93.30h.gtld-servers.net.172800INA192.54.112.30i.gtld-servers.net.172800INA192.43.172.30j.gtld-servers.net.172800INA192.48.79.30k.gtld-servers.net.172800INA192.52.178.30l.gtld-servers.net.172800INA192.41.162.30m.gtld-servers.net.172800INA192.55.83.30a.gtld-servers.net.172800INAAAA2001:503:a83e::2:30b.gtld-servers.net.172800INAAAA2001:503:231d::2:30

可以看到解析的结果和解析根域名的类似，com. 下也设置了 13 个域名服务器，但是这 13 个域名服务器与根域服务器完全不同。

此处也存在 ADDITIONAL SECTION 包含的 Glue 记录，然而 gtld-servers.net. 却并不包含在 com. 下。然而实际上，com. 和 net. 域名都是属于同一个所有者（Verisign），所以这样设置是可以的。

和根域名类似，此时解析到的内容只是 com. 的域名服务器，而并不是 com. 本身的记录，在 com. 上的记录，以从 com. 的域名服务器中所解析其 com. 域名的数据为准。 所以，下面再使用 com. 的域名服务器来解析 com. 自身，看情况如何（如果只是解析一级域名，这一步不能跳过。如果需要直接解析二级域名，那么这一步就可以跳过）：

$ dig @192.5.6.30 com any;; QUESTION SECTION:;com.INANY;; ANSWER SECTION:com.900INSOAa.gtld-servers.net. nstld.verisign-grs.com. 1482571852 1800 900 604800 86400com.172800INNSe.gtld-servers.net.com.172800INNSm.gtld-servers.net.com.172800INNSi.gtld-servers.net.com.172800INNSk.gtld-servers.net.com.172800INNSb.gtld-servers.net.com.172800INNSj.gtld-servers.net.com.172800INNSa.gtld-servers.net.com.172800INNSd.gtld-servers.net.com.172800INNSg.gtld-servers.net.com.172800INNSc.gtld-servers.net.com.172800INNSh.gtld-servers.net.com.172800INNSf.gtld-servers.net.com.172800INNSl.gtld-servers.net.;; ADDITIONAL SECTION:e.gtld-servers.net.172800INA192.12.94.30m.gtld-servers.net.172800INA192.55.83.30i.gtld-servers.net.172800INA192.43.172.30k.gtld-servers.net.172800INA192.52.178.30b.gtld-servers.net.172800INA192.33.14.30b.gtld-servers.net.172800INAAAA2001:503:231d::2:30j.gtld-servers.net.172800INA192.48.79.30a.gtld-servers.net.172800INA192.5.6.30a.gtld-servers.net.172800INAAAA2001:503:a83e::2:30d.gtld-servers.net.172800INA192.31.80.30g.gtld-servers.net.172800INA192.42.93.30c.gtld-servers.net.172800INA192.26.92.30h.gtld-servers.net.172800INA192.54.112.30f.gtld-servers.net.172800INA192.35.51.30l.gtld-servers.net.172800INA192.41.162.30

也和根域名解析的情况类似，此时多了一个 SOA 类型的记录。

二级域名

和解析一级域名 com. 时类似，继续使用 com. 的域名服务器解析 guozeyu.com.。

$ dig @192.5.6.30 guozeyu.com any;; QUESTION SECTION:;guozeyu.com.INANY;; AUTHORITY SECTION:guozeyu.com.172800INNSa.ns.guozeyu.com.guozeyu.com.172800INNSb.ns.guozeyu.com.guozeyu.com.172800INNSc.ns.guozeyu.com.;; ADDITIONAL SECTION:a.ns.guozeyu.com.172800INAAAA2001:4860:4802:38::6ca.ns.guozeyu.com.172800INA216.239.38.108b.ns.guozeyu.com.172800INAAAA2001:4860:4802:36::6cb.ns.guozeyu.com.172800INA216.239.36.108c.ns.guozeyu.com.172800INAAAA2001:4860:4802:34::6cc.ns.guozeyu.com.172800INA216.239.34.108

此处也存在 ADDITIONAL SECTION 包含的 Glue 记录，是因为 ns.guozeyu.com. 在 guozeyu.com. 之下。 同样的，在 guozeyu.com. 上的记录，以从 guozeyu.com. 的域名服务器中所解析其 guozeyu.com. 域名的数据为准。此时这种解析就尤为必要了，因为 guozeyu.com. 上不只有 SOA 记录，同时也有 A 记录和其他重要的记录。 现在使用 guozeyu.com. 的域名服务器来解析 guozeyu.com.（如果只是解析二级域名，这一步不能跳过。如果需要解析三级域名，那么这一步可以跳过）：

$ dig @216.239.38.108 guozeyu.com any;; QUESTION SECTION:;guozeyu.com.INANY;; ANSWER SECTION:guozeyu.com.21600INA104.199.138.99guozeyu.com.172800INNSa.ns.guozeyu.com.guozeyu.com.172800INNSb.ns.guozeyu.com.guozeyu.com.172800INNSc.ns.guozeyu.com.guozeyu.com.21600INSOAa.ns.guozeyu.com. support.tlo.xyz. 1 21600 3600 259200 300guozeyu.com.172800INMX100 us2.mx1.mailhostbox.com.guozeyu.com.172800INMX100 us2.mx2.mailhostbox.com.guozeyu.com.172800INMX100 us2.mx3.mailhostbox.com.;; ADDITIONAL SECTION:a.ns.guozeyu.com.604800INA216.239.38.108a.ns.guozeyu.com.604800INAAAA2001:4860:4802:38::6cb.ns.guozeyu.com.604800INA216.239.36.108b.ns.guozeyu.com.604800INAAAA2001:4860:4802:36::6cc.ns.guozeyu.com.604800INA216.239.34.108c.ns.guozeyu.com.604800INAAAA2001:4860:4802:34::6c

可以发现增加了 A、SOA 和 MX 记录。

• MX 记录：邮件交换记录，让发送到一个域名的邮件由其他的主机去接受，用于与 A 记录共存。（RFC 1035）

正是因为 MX 记录的存在，所以发往 username@guozeyu.com 的邮件不是指向 guozeyu.com. 对应的 IP 地址，而是使用 mailhostbox.com. 下的服务器。 当然，由于我是 guozeyu.com. 的所有者，所以我也可以控制 guozeyu.com. 下的三级或更高级的域名。比如 www.guozeyu.com.：

$ dig @216.239.38.108 www.guozeyu.com any;; QUESTION SECTION:;guozeyu.com.INANY;; ANSWER SECTION:www.guozeyu.com.172800INCNAMEguozeyu.com.guozeyu.com.21600INA104.199.138.99guozeyu.com.172800INNSa.ns.guozeyu.com.guozeyu.com.172800INNSb.ns.guozeyu.com.guozeyu.com.172800INNSc.ns.guozeyu.com.guozeyu.com.21600INSOAa.ns.guozeyu.com. support.tlo.xyz. 1 21600 3600 259200 300guozeyu.com.172800INMX100 us2.mx1.mailhostbox.com.guozeyu.com.172800INMX100 us2.mx2.mailhostbox.com.guozeyu.com.172800INMX100 us2.mx3.mailhostbox.com.;; ADDITIONAL SECTION:a.ns.guozeyu.com.604800INA216.239.38.108a.ns.guozeyu.com.604800INAAAA2001:4860:4802:38::6cb.ns.guozeyu.com.604800INA216.239.36.108b.ns.guozeyu.com.604800INAAAA2001:4860:4802:36::6cc.ns.guozeyu.com.604800INA216.239.34.108c.ns.guozeyu.com.604800INAAAA2001:4860:4802:34::6c

• CNAME 记录：规范名称记录，一个主机名字的别名。内容必须是一个域名。（RFC 1035）

我的三级域名 www.guozeyu.com. 使用 CNAME 记录指向了 guozeyu.com.，这代表着 guozeyu.com. 下所有资源类型均与 guozeyu.com. 相同。这也是为什么 CNAME 不能和其他任何记录连用的原因，CNAME 的存在会取代任何其他的记录。由于主域名下常常也存在 SOA、NS 以及 MX 记录，所以主域名下不能使用 CNAME 解析。此外，我也可以设置在 guozeyu.com. 下的三级域名指向一个 NS 记录，这样我就可以把我的三级域名再给别人使用。

总结

1. 如果需要解析一个根域名，使用根域名服务器解析根域名即可。
2. 如果需要解析一个一级域名，需要先使用根域名服务器解析一级域名，获取到一级域名的域名服务器，然后用一级域名服务器解析一级域名自身。
3. 如果需要解析一个二级域名，需要先使用根域名服务器解析一级域名，获取到一级域名的域名服务器，然后用一级域名服务器获取二级域名的域名服务器，然后用二级域名服务器解析二级域名自身。
4. 如果需要解析一个三级域名，需要先使用根域名服务器解析一级域名，获取到一级域名的域名服务器，然后用一级域名服务器获取二级域名的域名服务器，然后用二级域名服务器解析三级域名，若三级域名下没有 NS、CNAME 记录，则解析结束，如果有 CNAME 记录则再通过正常的解析方式解析这个 CNAME 所指向的域名的记录，如果有 NS 记录，则用三级域名服务器解析三级域名自身。

DNS 缓存

通常，凡是解析过的记录，都会被解析服务器、路由器、客户端、软件缓存。这样可以大大减少请求次数。凡是被缓存的记录，其在 TTL 规定的时间内都不会再次去解析，而是直接从高速缓存中读取。正常情况下，服务器、路由器等都不应该扩大 TTL 值。被缓存的内容，TTL 值要在每秒减 1 。

$ dig guozeyu.com;; QUESTION SECTION:;guozeyu.com.INA;; ANSWER SECTION:guozeyu.com.21599INA104.199.138.99;; Query time: 514 msec;; SERVER: 10.0.1.1#53(10.0.1.1);; WHEN: Sat Dec 24 20:00:29 2016;; MSG SIZE  rcvd: 43$ dig guozeyu.com;; QUESTION SECTION:;guozeyu.com.INA;; ANSWER SECTION:guozeyu.com.21598INA104.199.138.99;; Query time: 45 msec;; SERVER: 10.0.1.1#53(10.0.1.1);; WHEN: Sat Dec 24 20:00:30 2016

这是我连续两次在我的电脑上直接通过路由器解析 guozeyu.com. 的结果。显然第一次解析没有命中高速缓存，路由器向运营商的 DNS 服务器查询，运营商的 DNS 再从根域名逐级解析 guozeyu.com.，总耗时 514 毫秒。然后 guozeyu.com. 就会同时在运营商的服务器上和路由器的 DNS 服务器上进行缓存。在第二次请求 guozeyu.com. 时，就命中了在路由器上的缓存，于是由路由器直接返回解析记录，总耗时 45 毫秒。两次查询时间相隔一秒，所以 TTL 值也被减去 1 。

arpa 反向解析

反向解析用于：给定一个 IP 地址，返回与该地址对应的域名。函数 gethostbyaddr 正是使用了这种方法获取 IP 对应的域名。 一级域名 arpa. 用于设置反向解析，对于我的网站的 IPv4 地址 104.199.138.99，其所对应的 arpa 完整域名是：99.138.199.104.in-addr.arpa.，通过获取这个域名的 PTR 记录，就可以得到这个域名所对应的完整域名域名。

$ host 104.199.138.9999.138.199.104.in-addr.arpa domain name pointer 99.138.199.104.bc.googleusercontent.com.$ dig 99.138.199.104.in-addr.arpa. ptr +short99.138.199.104.bc.googleusercontent.com.

• PTR 记录：指针解析记录，内容是一个完整域名，定义一个 IP 所对应的域名。

可以看到，使用 host 命令获得 IP 地址的域名与使用 dig 获取的相同，均为 99.138.199.104.bc.googleusercontent.com. 。可以看出，这个 IP 是属于 Google 的。此外，需要注意的是 in-addr.arpa. 下的字域名正好与原 IPv4 地址排列相反。 这个记录通常可以由 IP 的所有者进行设置。然而，IP 的所有者可以将这项记录设置为任何域名，包括别人的域名。所以通过这种方法所判断其属于 Google 并不准确，所以，我们还需要对其验证：

$ dig 99.138.199.104.bc.googleusercontent.com a +short104.199.138.99

可以看到，这个域名又被解析到了原本的 IP，此时验证完毕，确认了这个 IP 属于 Google。所以，通过 gethostbyaddr 之后，还要继续 getaddrbyhost 验证。 然而，进行这种解析时解析服务器是由谁提供的呢？我们来看看 99.138.199.104.in-addr.arpa. 的上一级域名的解析记录：

$ dig 138.199.104.in-addr.arpa. any;; QUESTION SECTION:;138.199.104.in-addr.arpa.INANY;; ANSWER SECTION:138.199.104.in-addr.arpa. 21583INNSns-gce-public1.googledomains.com.138.199.104.in-addr.arpa. 21583INNSns-gce-public2.googledomains.com.138.199.104.in-addr.arpa. 21583INNSns-gce-public3.googledomains.com.138.199.104.in-addr.arpa. 21583INNSns-gce-public4.googledomains.com.138.199.104.in-addr.arpa. 21583INSOAns-gce-public1.googledomains.com. cloud-dns-hostmaster.google.com. 1 21600 3600 259200 300

可以看到，上一级 138.199.104.in-addr.arpa. 下配置了 Google 的域名服务器，所以 104.199.138.0/24（104.196.123.0 - 104.196.123.255）都是属于 Google 的。然而，既然这个域名下的域名服务器可以设置为 Google 自己的，所以这个域名下就可以设置任何记录，不只是 PTR，所以也可以添加 A 记录把 arpa 域名当作网站！ 我虽然没有那么大块的 IPv4 地址，但是我有这个 IPv6 地址：2001:470:f913::/48 并且能够设置在 arpa. 下的 NS 记录。这个 /48 的 IPv6 地址对应着 arpa. 反向解析的完整域名是 3.1.9.f.0.7.4.0.1.0.0.2.ip6.arpa. ，可以看到 IPv6 的反向解析在另一个二级域名 ip6.arpa. 下，此外其地址是将 IPv6 的每一个十六进制为拆开为一个字域并反向排列的。 我已把这个地址设置为了我自己可以控制的 NS，然后配置了 A 记录，瞬间这个反向解析域名就可以当作正常的解析使用了！

• 3.1.9.f.0.7.4.0.1.0.0.2.ip6.arpa
• ze3kr.3.1.9.f.0.7.4.0.1.0.0.2.ip6.arpa

如果你试图用浏览器访问这两个域名，会收到证书错误的报告，因为我还没给这个域名签发证书。

在上一篇文章中，我简单的介绍了 Google Compute Engine（简称 GCE）的基础使用。这篇文章我将介绍如何利用 GCE 建立一个 Anycast 网络，并测试了其速度。 想要实现这个功能，就需要使用 Cross-Region Load Balancing（跨地区的负载均衡），此功能就相当于一个 HTTP(S) 的反向代理，所以只能针对 HTTP/HTTPS 请求进行负载均衡。

简要概述

GCE 上所实现的这个功能是基于第七层的网络代理，所以其拓扑图是这样的： 用户 —> 边缘服务器 —> 实例

• 用户到边缘服务器之间的连接：使用 HTTP 或 HTTPS；如果是 HTTPS 连接，那么 TLS 加密过程是在边缘服务器上实现。
• 边缘服务器到实例的连接：使用 HTTP 或 HTTPS 连接，之前的网络是走的 Google 的专线。

不论配置了几个位置的实例，边缘服务器都是使用 Google 全部的边缘服务器。 启用这个功能后，就会得到另一个 Anycast 的 IP 地址，这是个独享的 IP 地址。

什么是 Anycast？Anycast 能够让多个主机使用一个 IP 地址，当用户连接这个 IP 地址的时候，连接到的只是这多个主机中的其中之一，通常会选择最快的线路，能有效的降低延迟，所以很多 DNS/CDN 提供商都使用了 Anycast。

此外，目前使用负载均衡是唯一能让其原生支持 IPv6 的方法。具体可以参见其文档：IPv6 Termination for HTTP(S), SSL Proxy, and TCP Proxy Load Balancing

配置方法

建立实例

首先，需要前往到 GCE 后台，建立至少两个不同地区的实例，我专门为测试 Anycast 功能建立了两个新的实例：

每个地区也可以建立多个实例以提高可用性，而我只给每个地区建立了一个实例，这两个实例分别叫 anycast-asia 和 anycast-us。

建立实例组

然后，需要给每个地区的实例建立一个实例组：

需要注意的是，实例组配置页面中位置里的 “多地区（Multi-zone）” 是指同一个地区（Region）的不同可用区域（Zone），而不是多个不同的地区，所以这实际上是翻译的错误，应该叫做 “多可用区域” 才对。

刚接触云服务的人可能不理解可用区域的概念，可以参考 AWS 的这篇文章来理解。简单点说，地区这个概念就是指离得很远的地区（比如城市之间，如北京和上海），所有在北京的服务器都算北京地区，所有在上海的服务器都算上海地区。但是为了能达到更高的可用性，通常还会在同一个地区设立多个数据中心，也就是可用区域。这些可用区域虽在一个地区中，其之间的距离可能相隔几十甚至几百公里，但这些可用区域之间的距离和不同地区之间的距离相比起来要小得多，所以这些可用区域之间的网络延迟也很低。

设立多个可用区域的意义是：可以能加更高的可用性（主要是为了避免外界因素：比如说火灾等），虽然是异地分布，但是可用区域之间的距离并不远，所以网络延迟可以忽略。

我只给每个地区建立了一个实例，所以我只需要选择 “单地区（Single-zone）”。每个地区都需要建立一个实例组，所以一共需要建立两个（或更多的）实例组。我配置了两个实例组，分别叫 asia-group 和 us-group。

建立负载均衡

完成前两步之后，就需要建立负载均衡的规则了，需要选择 “HTTP(S) 负载平衡” 来实现 Anycast 的功能。

在负载均衡的配置界面，把这两个实例组都添加到 “后端” 中。 该功能还需要创建一个运行状态检查（相当于监控功能），当主机宕机后能实现切换。

创建成功后，可以看到如下界面，其中的 IP 地址就是 Anycast IP 了。

Nginx 的配置

这里的配置只是为了方便调试，实际使用不用额外修改 Nginx 的配置。 在这两个主机上都安装 Nginx，然后稍微改动默认的配置文件：增加两个 Header，然后 Reload。

add_header X-Tlo-Hostname $hostname always;add_header Cache-Control "max-age=36000, public";

检测是否可用

在测试 Anycast 之前，先测试这两个主机是否存在问题。为了方便阅读，我将 curl 的 IP 地址换为主机名，并省略两个主机都相同的 Header 字段

$ curl anycast-us -IHTTP/1.1 200 OK…ETag: "57ef2cb9-264"X-Tlo-Hostname: **anycast-us**$ curl anycast-asia -IHTTP/1.1 200 OK…ETag: "57ef2b3b-264"X-Tlo-Hostname: anycast-asia

可以看到这两个主机都没有什么问题。然后，我用我的电脑去测试那个 Anycast IP：

$ curl anycast-ip -IHTTP/1.1 200 OK…ETag: "57ef2b3b-264"X-Tlo-Hostname: anycast-asiaAccept-Ranges: bytesVia: 1.1 google

可以看到，这是 anycast-asia 主机响应的。现在我使用另一个在美国的主机继续测试这个 Anycast IP：

$ curl anycast-ip -IHTTP/1.1 200 OK…ETag: "57ef2cb9-264"X-Tlo-Hostname: anycast-usAccept-Ranges: bytesVia: 1.1 google

此时就是 anycast-us 主机响应的，是因为客户端离这个服务器更近。 当通过 Anycast IP 访问时，就可以看到 HTTP Header 中的 Via: 1.1 google 字段。

速度测试

Ping 测试

Ping 测试发现速度很快，看来反代的操作是放在 Google 的边缘服务器上了。速度堪比 Google 啊！

中国的速度那更是一流的快，Google 有香港的边缘节点，所以基本上是直接走的香港节点，比原本的连接台湾可用区快不少。（只有部分 IP 段是完全直连的）

HTTP GET 测试

在开启 CDN 功能之前，负载均衡器是不会对任何内容缓存的，所以会发现 Connect 的速度很快，但是 TTFB 延迟还是有不少。

可以预测，如果启用了 HTTPS 功能，其 TLS 所需要的等待时间也会很短，TTFB 时间不变，总时长不会延长太多。

开启 CDN 后进行 HTTP GET 测试

当将 CDN 开启后，负载均衡器就会自动地对静态资源做缓存了，当缓存命中后会显示 Age 字段，这个字段是表示自缓存命中了，后面的数字代表这是多少秒之前缓存的内容。

curl anycast-ip -I
HTTP/1.1 200 OK
…
Via: 1.1 google
Age: 10

经过多次执行这个指令，会发现有一定几率 Age 字段消失，这可能是流量指到了同一个地区的不同可用区上。但总之，是缓存命中率不高，即使之前曾访问过了。

多次运行测试确保有缓存之后，发现速度似乎并没有太多明显的提升。能够明显的看出改善的是：巴黎和阿姆斯特丹的 TTFB 延迟从 200ms 减少到了 100ms，然而还是不尽人意。可能的原因是：Google 并没有将内容缓存到离访客最近的边缘节点上，而是别的节点上。 CDN 缓存服务器的位置列表

统计与日志

开启了 Load Balancing 后，就会自动在 Google Cloud Platform 下记录一些信息了。

实时流量查看

在网页后台的 Network，Load balancing，advanced menu 的 Backend service 下，可以查看实时的流量情况：

延迟日志

在网页后台的 Stackdriver，Trace 下，可以看到延迟日志：

这里的延迟包含了网络延迟和服务器响应延迟

总结

GCE 所能实现的 Anycast 功能，只能通过 HTTP 代理（第七层）的方式实现，所以只能代理 HTTP 请求，其他功能（如 DNS）无法实现。所以很多功能受限于负载均衡器的功能（比如证书和 HTTP2 都需要在负载均衡器上配置），然而由于 TLS 加解密过程是在边缘服务器上实现，而且其本身也带有 CDN 功能，所以会比单纯的 Anycast（比如基于 IP 层，或是 TCP/UDP 层）的更快一些。

价格

前五个 Rules $18/月，流量费用相比 GCE 不变，已经被缓存的内容的流量有一点优惠。

对比

Cloudflare

通过使用 Cloudflare 所提供的服务也能实现 Anycast，也是基于第七层的，即将也能实现 Cross-Region Load Balancing 的功能。虽然它还不能根据主机的 CPU 占用率去调整权重（毕竟它拿不到这些数据），却有强大的 Page Rules 功能以及 WAF 功能。 CloudFlare 并不提供独立 IP 地址，不过这不是什么大问题。 由于它属于第三方服务，不受服务提供商的限制，于是就可以给多种不同的服务提供商去做 Anycast 功能；而且无论服务商是否支持，都能够使用。 连接速度上，GCE 的在中国连接速度有明显的优势。

BuyVM

BuyVM 是一家 VPS 提供商，却提供免费的 Anycast 功能，其 Anycast 功能是直接基于 IP 层的 Anycast，所以可以配置 HTTP 之外的各种服务。BuyVM 没有所谓的边缘服务器一说，只能有三个节点，Ping 的结果不像前两家那么快，而且 TLS 过程也是在原本的主机（这三个主机中里用户最近的一个）上进行，也会有一定延迟。 BuyVM 并不提供任何亚洲的主机，所以中国的连接速度也没有比 Cloudflare 快多少，整个亚洲的速度也不是很快。

2017 年 4 月更新：由于 GCE 在国内经常不稳定，本站主机已经换到了 TlOxygen 的虚拟主机上了。 最近想要寻找按流量计费、连接中国速度比较快的 VPS，最终选择了 Google Compute Engine（下文简称 GCE）的亚洲区。GCE 的后台配置页面虽不能在中国访问，但是其 GCE 实例是可以在中国访问的。 创建一个新的 GCE 的流程十分简单，只需要自定义配置、选择操作系统、配置 SSH Key，然后选择创建就好了，整个流程十分像 VPS，但是可自定义的功能却远比 VPS 多。

价格与配置

具体价格请参见官方价格表。（由于有持续使用折扣，每月实际价格比按照每小时更低） GCE 的价格比较亲民，最低配 (f1-micro) 1 共享核-0.6 GB 内存-10GB HDD 每月只需要不到 5 美元，而且由于 CPU、内存大小和磁盘大小都是可调的，所以可以根据自己的需要去购买最适合的，能省去不必要的开销。 而且对于北美的部分机房而言，账户首个最低配 (f1-micro) 实例可以享受到永久免费配额，对于建站而言 (再配合 Cloudflare 使用) 还是很划算的。流量的话对于所有的可用区，连中国大陆 $0.23/Gbyte、美欧地区 $0.12/Gbyte，流量的价格有些小贵，但是如果是连接 Google 自己的服务的话（包括但不限于 Gmail、YouTube），流量不计费（但是流量是双向的，所以是本地通过 GCE 上传完全免费，下载还是原价）。 GCE 还有一点比较特殊的是它是按分钟计费的，当服务处于终止状态（相当于关机，磁盘数据保留）时，不收取费用（除了少量的磁盘使用费用）。每次计算 Uptime 时，如果不到 10 分钟则一律按十分钟算，超过 10 分钟后才是真正的按分钟计费，不过还是很划算了。

关于共享核的实例的补充

f1-micro（0.6 GB）和 g1-small（1.7GB）这两个版本使用的是共享核心（其余配置都是独立核心），根据 Google 的说明，0.60GB 是 0.2 vCPU，1.70GB 是 0.5 vCPU。但是却支持 Bursting，也就是短时间内最高能使用到 1.0 vCPU。 那么 1.0 vCPU 是多少呢？查 cpuinfo，是 Intel(R) Xeon(R) CPU @ 2.50GHz。也就是说这两个版本最高能占用到 2.5GHz。但是假如长时间占用，速度就会压缩到 0.5GHz 和 1.75 GHz。

我的 f1-micro 装了监控软件，对比 GCE 给的 CPU 占用率（深蓝色）和系统自己监控到的占用率（浅蓝色），发现 GCE 图表上统计的 CPU 占用率正好是本地统计的 5 倍，也就是说如果本地看到的 CPU 占用是 20%，GCE 图表上显示的就正好是 100%，本地为 20100%，GCE 图表上就是 100500%，这时就算作 Bursting 了。 和其他 VPS 对比，其他的 VPS 也几乎都是共享核心，但你却无从判断是否超售。比如有 10 个用户共用一个核心，如果那 10 个人都在不停的占用 CPU，那么你的 CPU 速度会低于单核的十分之一。而 Google 的共享核心，保证了一个最低的速度（0.2 vCPU 和 0.5 vCPU），就算其他用户用的再狠，也能给你保证一定的速度。

使用流程以及配置方法

首先需要前往创建实例的页面，然后进行配置

基础配置

其他一些选项配置介绍

• “抢占”：该模式能够获得更低廉的价格，但是不能用做需要长期保持在线的服务（比如 Web 服务），它最长的使用期限是 24 小时，然而在我的使用中，它有时候不到 1 小时就会被终止使用。它只适合短时间去计算一些东西，计算完后中止它，平常的一般使用不要开启此功能。
• 自动重启：推荐开启，以获得在云端的好处，以及更好的 Uptime
• 主机维护期间：推荐选择 “迁移”，原因同上
• IP 转发：建议关闭，几乎不会用得着此功能，关闭有助于提高安全性
• SSH：这可能不同于其他一些 VPS，它默认不自动生成用户密码，所以为了远程登录必须配置好公钥私钥。而且所填写的公钥末尾的用户名是有作用的，所填写的用户名就是所需要登录的用户名，默认不支持 root 登陆，除非你将用户名设置成了 root。

防火墙配置

GCE 默认开启了防火墙且不能关闭，只能允许你自己指定的协议和端口的流量；经过我自己的实际测试，GCE 能够自动过滤相当的 DDOS 攻击流量。 由于防火墙不能关闭，所以不能配置类似 IPv6 Tunnel 的服务，所以导致目前的 GCE 是不能够支持 IPv6 的，不过相信以后 Google 还是会启用 IPv6 支持。 在 “网络” 里，可以找到防火墙规则，然后可以添加防火墙规则。 默认已经允许了 SSH 和 ICMP 等（以 default 开头的）

我只需要另一个主机去访问 SNMP 监控，不需要将其公开到互联网上，所以限制了 IP。

有的 DNS 请求是通过 TCP 发送的，所以需要同样启用 TCP 请求。 如果配置了目标标记，那么就不是默认应用到所有实例的防火墙规则，还需要在实例上配置好同样的标记才可以。

网络——如同 Google 自身一样棒

由于 GCE 是 Google 的，其网络其实也是 Google 的 AS15169，于是不用想也知道连接 Google 旗下的服务会很快，但是实际使用后发现远比我想象的快，GCE 连接 Google 的服务简直就像内网一样。

$ ping google.comPING google.com (74.125.203.102) 56(84) bytes of data.64 bytes from th-in-f102.1e100.net (74.125.203.102): icmp_seq=1 ttl=53 time=0.631 ms64 bytes from th-in-f102.1e100.net (74.125.203.102): icmp_seq=2 ttl=53 time=0.433 ms64 bytes from th-in-f102.1e100.net (74.125.203.102): icmp_seq=3 ttl=53 time=0.330 ms64 bytes from th-in-f102.1e100.net (74.125.203.102): icmp_seq=4 ttl=53 time=0.378 ms64 bytes from th-in-f102.1e100.net (74.125.203.102): icmp_seq=5 ttl=53 time=0.413 ms^C--- google.com ping statistics ---5 packets transmitted, 5 received, 0% packet loss, time 3999msrtt min/avg/max/mdev = 0.330/0.437/0.631/0.103 ms

要是 traceroute 的话就更神奇了：

$ traceroute google.comtraceroute to google.com (64.233.189.113), 64 hops max  1   64.233.189.113  0.826ms  0.313ms  0.435ms

中国目前连接 GCE 亚洲区的速度还算不错，按流量计费，实际测试能够超过 100M 带宽。亚洲区的位置在台湾，中国连接通常会绕香港，然后从香港到台湾这条路线走的是 Google 自己的骨干网，所以最终的结果只是比香港服务器慢了十几毫秒而已。

其他国家连接的话优势就更明显了，Google 的网络实在太强大，无论是亚洲还是欧美，几乎还没有出这个城市/国家就立即跳进 Google 的骨干网络里了，然后 Google 自身的骨干网的选路通常要比运营商的选路要好一些，几乎不会出现绕路的情况。

配置 Anycast

详细内容已在下一篇文章中介绍，通过 Load Balancing 可以分配到一个独立的 IPv4 地址，还能够有原生的 IPv6，支持 CDN 和 HTTPS。Google 的 Anycast 有多快？和 Google 一样快。

内部网络互通

每个实例都有其对应的内网 IP，方便两个主机间建立直接的连接，这个内网 IP 的神奇之处在于：它可以跨可用区使用，包括跨大洲。经过实际测试，使用内网 IP 建立的连接速度会稍快，而且收取的价格（如果是跨州的话）也有优惠。

功能

统计功能

在 GCE 的后台，能够显示长达 30 天的 CPU 利用率、磁盘字节数、磁盘操作字节数、网络字节数、网络数据包量等数据，都能够精确到分钟级别的记录，而且是实时更新的。

快照

你可以为主机增加快照，方便在其他实例中恢复快照，或者用做备份功能。GCE 的快照是增量备份，这意味着如果有两个快照，第二份快照只备份与第一份快照的差异部分。使用这个脚本可以实现自动备份，并且能够实现到期自动删除老备份。

附加硬盘

你可以轻松的添加任意（大于 10 GB）大小的硬盘，有多种磁盘种类可供选择。经过我的测试，如果执行长时间的高 I/O 操作，硬盘读写速度会明显地降低。而且并不一定 SSD 就比 HDD 快，硬盘的大小与吞吐量限制和随机 IOPS 限制呈正相关，也就是说 40G 的 HDD 的速度相当于 10G 的 SSD。

适用场景

低配置的版本用来建站或者是当 “梯子” 都很不错，每月 5 美元的价格还是很吸引人的（做 “梯子” 的一定要注意流量价格！）。已经相当完善的 Web 控制页面可以大大降低使用和学习的门槛。高配置的版本拥有独立 CPU，而且可伸缩性很大。与 Google Cloud 各种功能配合使用，可以搭建大型网站或者游戏服务器。

GCE 的一些坑

下面来讲一讲它的一些坑，尤其是从传统 VPS 转到 GCE 会遇到的一些问题。由于 GCE 是基于云端的，所以有很多东西都不太一样。

主机的外网 IP 并不是直接分配的

GCE 虽然是提供独立 IP 的，但是当你执行 ifconfig -a 时，你会看到默认分配的 IP 是一个内网的保留 IP（形如 10.123.0.1），这是为了方便 instance 里之间互相连接的 IP。当你配置一些需要外网的服务要 bind 到指定 IP 时，你只需要 bind 到这个 IP 即可，所分配给你的外网 IP 会自动将流量转发到这个 IP 上。而且，你的主机并不知道那个外网 IP 就是主机本身，所以所有发向主机对应的外网 IP 的流量都会经过一个路由器，然后再由路由器返回，并且会应用防火墙策略。所以，如果需要本地的通讯，建议尽量多使用环回地址（如 127.0.0.1，::1）或那个内网地址。

防火墙

不能关闭的防火墙对于初次接触的人来说可能有些不适，不过一旦习惯后便会爱上这个功能，这个基于在路由器上的防火墙功能要比在 iptables 里做限制更方便。强烈建议利用好防火墙功能，不要默认允许所有端口。比如你的网站流量全部经过 Cloudflare，那么就可以通过防火墙来只允许 Cloudflare 的 IP 与你的主机连接。

不支持多 IP 与 IPv6

GCE 上不能通过加钱的方式去购买多个 IPv4 地址，所以一个实例只能有一个 IPv4 地址，需要多个 IPv4 需求的可以尝试多个实例（或者可以通过 Load Balancing 来实现多个 IP 地址）。 同时，GCE 目前不支持 IPv6，这实在是很可惜的。目前已经可以通过负载均衡器来实现 IPv6。

Ubuntu 16.04.01 自带的软件源中的是 Nginx 1.10.0，但是这个版本的 Nginx 的 HTTP/2 模块中存在 Bug，具体见此。现在 Nginx 1.12 Stable 已经推出，直接安装 Stable 版本即可。 2018-06 更新：如果你使用 Ubuntu 18.04 或者是以后的版本，那么系统默认的软件源的 Nginx 版本（1.14）就足够了。

关于双证书，仅建议使用独立 IP 的人去使用，如果没有独立 IP，那么就需要启用 SNI 功能——然而几乎所有支持 SNI 功能的浏览器也都支持了 ECC 证书，所以可以跳过升级步骤，直接换 Let’s Encrypt 的 ECC 证书，不使用 RSA 证书。 我有不止一个服务器，如果都使用自己编译的 Nginx，那么太麻烦了，于是我决定使用添加软件源的方法，通过 apt 升级，方法如下： 首先需要先添加 Nginx mainline 的软件源：

$ sudo add-apt-repository ppa:nginx/stable # sudo apt install software-properties-common$ sudo apt update

然后移除现有 Nginx 并安装新版本：

$ sudo apt remove nginx nginx-common nginx-core$ sudo apt install nginx

安装时可能会询问是否替换原来默认的配置文件，选择 N 即可。 此时安装的 Nginx 已经包含了几乎所有的必要和常用模块，比如包括但不限于 GeoIP Module、HTTP Substitutions Filter Module、HTTP Echo Module。我安装的 Nginx 的 OpenSSL 版本是 1.0.2g-fips，所以并不支持 CHACHA20，想要支持 CHACHA20 只能使用 CloudFlare 的 Patch 然后自己编译。安装完成后就可以验证 Nginx 版本了：

$ nginx -Vnginx version: nginx/1.12.0built with OpenSSL 1.0.2g  1 Mar 2016TLS SNI support enabledconfigure arguments: --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now -fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-stream_ssl_preread_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-DYnRGx/nginx-1.12.0/debian/modules/nginx-auth-pam --add-dynamic-module=/build/nginx-DYnRGx/nginx-1.12.0/debian/modules/nginx-dav-ext-module --add-dynamic-module=/build/nginx-DYnRGx/nginx-1.12.0/debian/modules/nginx-echo --add-dynamic-module=/build/nginx-DYnRGx/nginx-1.12.0/debian/modules/nginx-upstream-fair --add-dynamic-module=/build/nginx-DYnRGx/nginx-1.12.0/debian/modules/ngx_http_substitutions_filter_module

此时，你的服务器就没有 Nginx 的 HTTP/2 bug 了，既然使用了最新版的 Nginx，那么就能够配置 ECDSA/RSA 双证书了。

Nginx 升级的小坑

在我升级的时候，遇到了 GeoIP 模块无法使用的问题，经研究发现是新版本将 GeoIP 改成动态调用模块的方式实现了，在 Nginx 的 http {} 配置中添加下方代码得以解决：

load_module "modules/ngx_http_geoip_module.so";

使用 Let’s Encrypt 签发免费多域名证书

Let’s Encrypt 提供完全面为免费，并且是自动化签发的证书，一张证书最多能签 100 个域名，暂不支持通配。 为了配置双证书，你首先应该签发下来两张证书，以下以 acme.sh 为例，首先先建立目录（以下所有案例均使用 example.com 作为例子，实际使用需自行替换）：

$ mkdir -p /etc/letsencrypt$ mkdir -p /etc/letsencrypt/rsa$ mkdir -p /etc/letsencrypt/ecdsa

然后修改 Nginx 配置文件，确保所有在监听 80 端口的都有 location ^~ /.well-known/acme-challenge/ 区块，本配置文件是强制跳转 HTTPS 的案例，这是源站的配置：

server {    listen 80 default_server;    listen [::]:80 default_server;    location ^~ /.well-known/acme-challenge/ {        root /var/www/html;    }    location / {        # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.        return 301 https://$host$request_uri;    }}

在签发之前，确保所有要签发的域名都指向了你自己的服务器！ 然后签发 RSA 证书（如果需要多域名证书，只需要多个 -d 即可，下同，不过保存的文件目录以及证书显示名称均为第一个域名）：

$ acme.sh –issue –reloadcmd “nginx -s reload” -w /var/www/html -d example.com –certhome /etc/letsencrypt/rsa

然后再签发 ECDSA 证书：

$ acme.sh –issue –reloadcmd “nginx -s reload” -w /var/www/html -d example.com -k ec-256 –certhome /etc/letsencrypt/ecdsa

卸载 acme.sh 自带的 cron，自己重新配置：

$ acme.sh –uninstallcronjob
$ vim /etc/cron.d/renew-letsencrypt

输入以下内容，注意替换 acme.sh 的路径为你安装的绝对路径：

15 02 * * * root /path/to/acme.sh --cron --certhome /etc/letsencrypt/rsa20 02 * * * root /path/to/acme.sh --cron --ecc --certhome /etc/letsencrypt/ecdsa

然后就完成了，证书会自动续签。

给证书添加或删除域名

因为 Let’s Encrypt 使用的不是通配符域名，所以会经常遇到有新的子域的情况，此时就需要给证书添加域名，一张证书最多可以添加 100 个域名。最简单的添加方法如下： 首先，修改证书的配置文件，两个证书的配置文件都要修改：

$ vim /etc/letsencrypt/rsa/example.com/example.com.conf$ vim /etc/letsencrypt/ecdsa/example.com\_ecc/example.com.conf

找到 Le_Alt 一行，将新的域名添加进后面（每个域名用逗号隔开，总共不能超过 100 个）。然后开始重新签发这个证书，需要添加 -f。

$ acme.sh --renew -d example.com --certhome /etc/letsencrypt/rsa -f$ acme.sh --renew -d example.com --ecc --certhome /etc/letsencrypt/ecdsa -f

要注意的一点是，目前 Let’s Encrypt 签发的 ECC 证书的中间证书和根证书暂且不是 ECC 证书，这将会在以后支持，详情见 Upcoming Features。

配置 Nginx

首先需要生成几个 Key：

$ openssl rand 48 > /etc/nginx/ticket.key$ openssl dhparam -out /etc/nginx/dhparam.pem 2048

然后添加以下内容进 Nginx，放在 http 或 server 区块下，虽然不支持 CHACHA20，但是添加进去也没影响。

### SSL Settings##ssl_certificate /etc/letsencrypt/rsa/example.com/fullchain.cer;ssl_certificate_key /etc/letsencrypt/rsa/tlo.xyz/example.com.key;ssl_certificate /etc/letsencrypt/ecdsa/example.com_ecc/fullchain.cer;ssl_certificate_key /etc/letsencrypt/ecdsa/example.com_ecc/example.com.key;ssl_session_timeout 1d;ssl_session_cache shared:SSL:50m;ssl_session_tickets off;ssl_dhparam dhparam.pem;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_prefer_server_ciphers on;ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';ssl_stapling on;ssl_stapling_verify on;

最后不要忘了 nginx -s reload，然后 前往 SSL Labs 检查配置，可以看到旧的浏览器使用了 RSA 证书（我的服务器有独立 IP，所以无 SNI 支持的也能访问）：

至此，ECDSA/RSA 双证书配置完成，你可以在浏览器里查看到证书类型：

在今年 5 月 4 日，Apple 就开始要求新的应用程序支持 IPv6 DNS64/NAT64 网络，这意味着苹果开始力推 IPv6 网络，在苹果的官网上就有介绍一些 IPv6 的优势，主要来说就是对移动网络更加友好，并能提高一些性能，减少一些传输上的开销。 最近，我也将我的所有服务器全面部署 IPv6，完全支持 IPv6-Only 网络。

什么是 IPv6-Only 网络 严格上来讲，IPv6-Only 网络下只能连接上 IPv6 地址，这也就意味着 DNS 缓存服务器也必须是 IPv6 地址，只能连接上支持 IPv6 的服务器。如果要解析一个域名，这个域名本身及其所属的根域名的 DNS 服务器也必须统统支持 IPv6。总之，在整个过程中不存在 IPv4。所以想要支持 IPv6-Only 网络，几乎需要在所有的环节下功夫。

使用支持 IPv6 的根域名和 DNS 服务器

为了支持 IPv6，首先你所使用的根域名必须支持 IPv6，好在大多数根域名都支持 IPv6 了。从这里可以看到已经有 98% 的根域名都支持了 IPv6。 一般大家还是喜欢使用第三方的 DNS 而不是去自建，那么这就需要给自己使用支持 IPv6 的 DNS 服务器。好在也有不少 DNS 服务器支持 IPv6 了，比如 CloudFlare、OVH、Vultr、DNSimple、Rage4 等等大多数国外 DNS 解析，哦，除了 Route53；国内目前就见到了百度云加速、sDNS 的 DNS 解析支持，其他常用的 CloudXNS、DNSPod、阿里云等等都不支持。 检测根域名或者是某个域名所使用的 DNS 服务器是否支持 IPv6，只需要执行指令，替换其中的 <domain> 为根域名（如 com）或者任意一级域名（如 example.com）：

$ dig -t AAAA `dig <domain> ns +short` +short

然后查看输出的 IP 中是否全是 IPv6 地址，如果什么也没有输出，说明 DNS 服务器不支持 IPv6。 正确配置 IPv6 的例子：

如果想要自建 DNS 服务器，可以参考自建 PowerDNS 方法。 如果你的根域名不支持 IPv6，那么你可以联系根域名那里让他们去支持，或者换一个根域名。如果你的一级域名不支持 IPv6，那就联系 DNS 解析商让他们支持，或者直接换走。

让网站、API 等服务器支持 IPv6

方案一，直接配置 IPv6

也就是让你自己的服务器支持 IPv6，这需要联系你的服务器提供商，让他们给你分配一个 IPv6 地址，如果还是不支持 IPv6，那么可以使用 IPv6 Tunnel Broker，比如 Hurricane Electric 的免费 Tunnel Broker，这样通常没有服务商给你的原生的 IPv6 好，但是在服务商支持原生 IPv6 之前只能先用着。Tunnel Broker 相当于建立在网络层（第三层）上的代理，需要你的服务器的操作系统支持，而且服务器必须要有一个固定的 IPv4 地址。为了使用它你需要在系统里重新配置网卡（所以共享主机就没戏了），然后就能按照正常方法使用 IPv6 了，简直零成本支持 IPv6。注意，主机到 Tunnel Broker 传输是明文，不过只要应用程序都使用安全的协议（如 HTTPS、SMB、SFTP、SSH），这不是问题。

很可惜，我目前的两个服务器暂时都没有原生的 IPv6 可以用，于是只能用 Tunnel Broker 了，使用后发现虽然是免费的，但是效果也不错：下载时似乎没有限速，我 100M 的独享带宽在原生的 IPv4 上下载速度为 12Mbyte/s，在 IPv6 上还几乎是这个速度。Ping 延迟还是会有一些增加的，主要是因为 Tunnel Broker 的服务器连接到你的服务器会有一些延迟，它相当于一个代理，所以创建时一定要选择离你服务器最近的 Tunnel Broker（延迟最短的），而不是里用户最近的 Tunnel Broker。

注意，强烈不建议国内主机使用 HE 的 Tunnel Broker，原因是中国连接 HE 都会绕道美国，最终会给 IPv6 增加 500ms 的 Ping 延迟，1000ms 以上的 TCP 延迟和好几秒的 HTTPS 延迟。建议国内主机使用方案二。

在服务器支持了 IPv6 后，确保域名上也新设置了 AAAA 记录解析到了 IPv6 地址上。

方案二，上 CDN/HTTP Proxy

刚才所介绍的方案是直接支持，或者使用 Tunnel Broker 建立在网络层的代理。当然还有另一种代理的方式，那就是建立在应用层（第七层）上的，建立在第七层上的其实就是 HTTP Proxy，不过大多数提供 HTTP Proxy 功能的地方都能够缓存静态内容，所以也就是 CDN。 最佳解决方案是直接使用免费的 CloudFlare，然后开启 CDN 功能，这需要更换 DNS 服务器，甚至还可以配置 IPv4 回源，仅使用 IPv6 CDN)，不过这样的话连 DNS 在内的所有服务都能支持 IPv6 了，类似的还有 Akamai，它们在代理了之后都能给你 IPv6 支持。 但是如果使用这种方案，原先收集用户真实 IP 的功能就会失效，包括防火墙和 Web 应用程序在内。但只需要配置稍作一些修改，就又能收集访客 IP 了。

在做好了这些配置之后，网站就能够被 IPv6-Only 的网络访问了。然而这只是其中一步，别忘了网站上的 CDN 和域名上的邮件服务还没支持 IPv6 哦，最后，我来列一下：

一些支持 IPv6 的服务列表

CDN

• CloudFlare
• Akamai

VPS

• Vultr
• Linode
• DigitalOcean
• OVH

DNS

注：CDN、VPS 中列出的那几家服务自己都提供了支持 IPv6 的 DNS，在此不再列出（其中 Linode 和 DigitalOcean 所提供的 DNS 服务实际上也是 CloudFlare 的）

• Rage4
• Hurricane Electric DNS
• Route 53
• Google Cloud DNS

Tunnel Broker

• Hurricane Electric Tunnel Broker

邮件服务

• Gmail / G Suit (Gmail for Work)

当你配置好后，你可以在 IPv6 Test 上测试你的网站。

直至现在，支持 IPv6-Only 网络访问在生产中仍然不是必须的，因为实际上很少存在 IPv6-Only 的网络，一般都兼容 IPv4，很多大网站也完全不支持 IPv6。苹果所说的要求支持 IPv6-Only，只是程序内部要使用 IPv6 通信，程序中不能有 IPv4 地址，能够在只分配了 IPv6 地址的运营商使用（然而实际上这些运营商还是支持 IPv4 的）。

WordPress 是目前最流行的内容管理系统，本网站正是使用着它。但对于一个全新安装的 WordPress 来说，它的性能并不是很高，当网站的访问量突然增加时，优化性能就显得十分重要了。通过实施以下几个方案，可以大大提升 WordPress 访问速度：

配置缓存

WordPress 是一个动态的系统，如果不配置缓存，每次请求都需要服务器去读取数据库，生成页面内容，对于不同性能的主机，这可能就需要 20ms~1000ms 甚至更慢。如果能够正确配置缓存，就可以明显的加速，并且减少主机的运算资源。

配置页面缓存

使用插件来配置缓存是最简单的方法。在此推荐 WP Super Cache，这是 WordPress.com 出品的缓存插件，就页面缓存来说，功能非常全面，它支持多种缓存模式，包括 mod_rewrite，如果你使用 Nginx，那么可以使用我这个配置文件，这样可以直接跳过 PHP 而直接服务静态文件，页面相应速度有显著提升。 同时，为浏览器返回正确的 Cache-Control 也是十分有必要的，尤其是 CSS 和 JS 文件。

配置对象缓存

对象缓存比页面缓存更灵活，使用范围更广，但速度肯定不如页面缓存。在此推荐 APCu 缓存系统。在 Ubuntu/Debian 安装方法如下：

$ apt install php-apcu

然后重启 Web server，安装 APCu Object Cache Backend 即可。 Redis、Memcached 等都算此类型的缓存，不过 APCu 配置最为简单，速度也很快。

建立分布式缓存系统

比如我的网站使用北美东岸（主要）和亚洲的 VPS，主服务器配置了 Nginx，PHP 和 MySQL；亚洲的服务器只配置了 Nginx。在这些服务器上都配置好缓存，并用 lsyncd 同步缓存内容。每次访问时 Nginx 检查缓存，仅当没有缓存时代理，这样可以大大减少首页面的延迟。

使用 CDN

使用全站 CDN

使用全站 CDN，可以免去在自己的服务器上配置缓存的问题，还可以为服务器增加 HTTPS、HTTP/2 等功能，同时还能过滤非法流量，防御 DDOS（前提是你的 IP 没有被暴露，或者你设置好了白名单）。 除此之外，使用 CDN 后还能更加明显的提高网站加载速度，让访客从中受益。

使用 CloudFlare

CloudFlare 是可以免费使用的，使用 CloudFlare 前需要更改 DNS 服务商，然后无需额外配置就能使用了。但是它只会缓存 CSS、JS 和多媒体文件，不会缓存 HTML 页面，也就是说用户每次访问时还是会返回到原始服务器，页面本身的速度不会有明显提高，在原始服务器上配置缓存也是必要的。

使用 KeyCDN 并配合插件

KeyCDN 是一个按流量使用付费的 CDN 提供商，使用我制作的插件 Full Site Cache for KeyCDN 可以简单的对其配置，这个插件会自动刷新缓存。 KeyCDN 相比 CloudFlare，可以缓存 HTML 页面，大大减少源服务器的压力，同时在刷新缓存时可以通过 Tag 方式刷新，避免不必要的刷新。 在网站访问量较大时，使用 KeyCDN 就能明显的提高速度，缓存命中率也会有很大的提高。

仅资源部份使用 CDN

你可以配置另一个域名，在那个域名上使用 CDN，然后通过插件重写页面地址实现部分 CDN。上文提到的 WP Super Cache 就能配置 CDN，或者使用 CDN Enabler 也能实现部分 CDN 功能。至于 CDN 的选择无所谓，只要支持 Origin Pull（也就是请求回源）就行。

服务器性能

提高服务器本身的性能是最简单的方法，使用更大的内存，更多核心的 CPU 能明显提速。除此之外，提高服务器上应用的性能也很重要：

脚本性能

PHP 脚本的处理速度是 WordPress 的一大瓶颈，使用最新版本的 PHP，可以获得更高的性能，例如 7.0 就比 5.6 快了 3 倍。

其次，少用插件能减少 PHP 需要执行的脚本，因为在加载每一个页面时，WordPress 都会加载一遍所有的插件。少量的插件（10个以下）对 WordPress 速度的影响不大，当然也取决于插件本身。

数据库性能

数据库是 WordPress 性能的瓶颈之一，在数据库上优化能提高一定的速度。 一般情况下，如果正确的使用 WordPress，并不需要清理数据库。但可能会有某些插件可能在数据库中创建了太多没用的表，这时服务器的响应速度就会大大降低（约 1～3 倍），推荐使用 WP-Optimize 进行清理。 不是太多的文章数量，是不太会的影响加载速度（1 万篇文章以下速度其实都还能接受，不过你写那么多文章干嘛，质量比数量更重要嘛）。

图片优化

图片占据着网页中很大一部分的大小，同时也关系着用户体验。

图片压缩

对图片压缩不仅可以提高访问时图片加载速度，还能减少服务器带宽 推荐使用免费的 EWWW Image Optimizer，可以在服务器上对图片进行处理。如果你的服务器性能有限，可以使用 Optimus 在线处理，免费版功能十分有限。

响应式图片

对于不同的设备加载不同的图片，比如在手机上加载的图片，就可以比视网膜屏幕的电脑上要加载的图片小的多。使用本站曾经提到过的 srcset 技术可以最简单的实现这个功能，只要你的主题支持就可以了（官方的最新默认主题已经支持），如果主题本身不支持，也可以通过插件实现。

禁用不需要的服务

WordPress 中有一些自带的服务你可能并不需要，禁用它们可以减少页面所需要加载的资源以及服务器需要做的事情。

Emoji 支持

WordPress 支持 Emoji 表情符号，但会因此在页面中引入额外的 CSS，使用这个脚本可以禁用它（如果你不需要的话）。

Google Fonts

Google Font 在国内加载非常慢，而且加载完成之前页面会一直白屏。你可以专门安装 Disable Google Fonts 的插件，或者在下文要提到的 Autoptimize 插件中的设置里禁用它。

Pingback

进入 设置 => 讨论 中可以禁用 “尝试通知文章中链接的博客” 和 “允许其他博客发送链接通知（pingback和trackback）到新文章” 功能（如果你不需要的话）。 此功能并不影响页面加载时间。

减少请求数和页面大小

减少请求数在也一些情况下也能提高加载速度，减少页面大小能缩短下载页面所需要的时间。推荐使用 Autoptimize，它可以 minify CSS、JS 和 HTML，还能 combine CSS 和 JS 以减少请求数。

然而，如果你的博客启用了 HTTP/2 协议，那么减少请求数就没什么必要了，不过为了启用 HTTP/2，必须要使用 HTTPS，所以最终下来是快是慢也不好说。不过还是强烈推荐使用 HTTPS，为了安全，牺牲点速度算什么。

总结

做到上面几点，就能有效提速了，我的网站做到以上几点，在国内无缓存的 Wi-Fi 情况下本网站的时间线如下：

DNS（域名系统）是因特网的一项服务。它能够将域名指向一个 IP（服务器），这样你就可以通过域名来访问一个网站。能够通过域名访问的网站，都需要一个 DNS 服务器。这里指的是给站长的域名使用的权威 DNS 而并非缓存 DNS。本文包括 CloudXNS、Route 53、Cloudflare、Google Cloud DNS、Rage4 以及阿里云解析的全面对比。

CloudXNS

备注：CloudXNS 不支持 TCP。

国内免费 DNS 中最好用的，作为 DNS 服务来说其功能也算齐全。CloudXNS 的服务器国内有不少，但没有使用 Anycast 技术，所以谈任何国外的服务器都是白搭。

CloudXNS 通过 GeoDNS 对其 NS 服务器的域名进行分区解析，国内的解析到国内服务器，国外的解析到国外服务器。然而其根域名的 Glue Record 中的四个仍是国内的四个服务器，实际解析中会优先使用 Glue Record，所以并不会用上任何国外的服务器。

为什么不将这些国外服务器也添加到 Glue Record 上？因为 Glue Record 并不支持 GeoDNS，所以解析器将会随机选择服务器，所以如果这样的话会导致国内的一部分请求也走到美国服务器，反而减速。

• 国外速度：★☆☆☆☆，248 ms
• 北美速度：★☆☆☆☆，272 ms
• 亚洲速度：★★☆☆☆，196 ms
• 欧洲速度：★☆☆☆☆，283 ms
• 国内速度：★★★★☆，32 ms
• 最短 TTL：60s
• 国内分区解析：★★★★★，精确到绝大多数的运营商和省
• 国外分区解析：★★☆☆☆，精确到了大洲和一些国家，而没有城市
• DNSSEC：不支持
• IPv6：不支持
• 记录类型：基本齐全，只支持 A、AAAA、CNAME、NS、MX、TXT、SRV。
• 根域名 CNAME 优化：不支持
• 优先级：支持，可以配置解析到不同的服务器的优先级
• 自定义 NS：不支持，由于它不支持修改根域名下的 SOA 和 NS，所以这是做不到的
• 价格：免费，按功能收费
• 用例 A 价格：免费
• 用例 B 价格：免费
• 用例 C 价格：免费
• 统计功能：支持，能精确到国家和省份、运营商
• SLA：99.9%。(超出防护峰值或账户月解析量时降为98%)

Route 53

国外相当流行的 DNS 服务，必要的那些功能也算齐全。服务器都遍布全球，使用了 Anycast 保证最低的延迟。

• 国外速度：★★★☆☆，84 ms
• 北美速度：★★★☆☆，61 ms
• 亚洲速度：★★★☆☆，79 ms
• 欧洲速度：★★★☆☆，82 ms
• 国内速度：☆☆☆☆☆，328 ms
• 最短 TTL：0s
• 国内分区解析：★★½☆☆，只能为中国这一个地区作单独设置，不支持省和运营商。若使用 Regional 智能解析，那么可以设置偏向于宁夏和北京的两个服务器。
• 国外分区解析：★★★★★，精确到了各个国家，众多的国家还精确到了省/市
• DNSSEC：不支持
• IPv6：支持
• 记录类型：更加齐全，支持 A、AAAA、CNAME、NS、MX、TXT、SRV、PTR、SPF、NAPTR、CAA。
• 根域名 CNAME 优化：不支持
• 优先级：支持
• 自定义 NS：支持，同时也可以修改根域名下的 SOA 和 NS
• 价格：每个域名 $0.5/月，**$0.4/百万**个请求，分区解析 $0.7/百万个请求
• 用例 A 价格：**$0.90**
• 用例 B 价格：**$10.50**
• 用例 C 价格：**$16.50**
• 统计功能：基本不支持，只有在每月最后结算的账单中看到
• SLA：100%

Cloudflare

国外占有量相当大的免费 DNS，服务器都遍布全球，使用了 Anycast 保证最低的延迟。

• 国外速度：★★★★★，13 ms
• 北美速度：★★★★★，10 ms
• 亚洲速度：★★★★☆，30 ms
• 欧洲速度：★★★★★，8 ms
• 国内速度：★★☆☆☆，193 ms
• 最短 TTL：120s
• 国内分区解析：☆☆☆☆☆，完全不支持国内的分区解析，国内的请求一般会被认作美国西岸。
• 国外分区解析：★★★☆☆，如果购买了 Load Balancing 服务后，可以根据不同的区域配置分区解析。虽然没有按国家和城市区分，但是有时却比国家还精细（比如它支持为北美洲东西中部不同地区作分区解析）
• DNSSEC：支持，同样支持 DNSSEC 特有的记录，包括 SSHFP、TLSA、DNSKEY、DS
• IPv6：支持
• 记录类型：更加齐全，支持 A、AAAA、CNAME、TXT、SRV、LOC、MX、NS、SPF、CERT、NAPTR、SMIMEA、URI
• 根域名 CNAME 优化：支持
• 优先级：支持，需要购买了 Load Balancing 服务
• 自定义 NS：不支持，购买 $200/月的 Business 版本后才能支持
• 价格：免费
• 用例 A 价格：免费
• 用例 B 价格：免费
• 用例 C 价格：**$20.00**
• 统计功能：部分支持，免费用户可以看到的统计有限
• SLA：无（Business 和 Enterprise 版本有 100% 的 SLA 保障）

Google Cloud DNS

价格低廉，提供 100% 的 SLA，使用了 Anycast 保证最低的延迟。

• 国外速度：★★★☆☆，60 ms
• 北美速度：★★★☆☆，53 ms
• 亚洲速度：★★★☆☆，95 ms
• 欧洲速度：★★★★☆，30 ms
• 国内速度：★★☆☆☆，171 ms
• 最短 TTL：0s
• 分区解析：☆☆☆☆☆，不支持
• DNSSEC：支持，同样支持 DNSSEC 特有的记录，包括 IPSECKEY、SSHFP、TLSA、DNSKEY、DS
• IPv6：支持
• 记录类型：几乎完全齐全，支持 A、AAAA、CNAME、NS、MX、TXT、SRV、SPF、LOC、NAPTR、PTR、CAA 以及上方列出的 DNSSEC 相关记录。
• 根域名 CNAME 优化：不支持
• 自定义 NS：支持
• 价格：每个域名 $0.2/月，**$0.4/百万个请求**。
• 统计功能：基本不支持，只有在每月最后结算的账单中看到
• SLA：100%

Rage4

同时支持 DNSSEC 和分区解析，使用了 Anycast 保证最低的延迟。

• 国外速度：★★★★☆，30 ms
• 北美速度：★★★★★，18 ms
• 亚洲速度：★★★☆☆，59 ms
• 欧洲速度：★★★★☆，26 ms
• 国内速度：★★☆☆☆，153 ms
• 最短 TTL：根据套餐情况而定
• 国内分区解析：★★☆☆☆，只能为亚洲东部为中国配置解析
• 国外分区解析：★★★★☆，可以根据不同的区域配置分区解析
• DNSSEC：支持
• IPv6：支持
• 记录类型：更加齐全，支持 SOA、NS、A、AAAA、CNAME、TXT、MX、SRV、PTR、SPF、SSHFP、TLSA、LOC、NAPTR
• 根域名 CNAME 优化：支持
• 优先级：支持
• 自定义 NS：支持，同时也可以修改根域名下的 SOA 和 NS
• 价格：每个域名 €2/月 起，根据功能而非使用量定价
• 用例 A 价格：€2
• 用例 B 价格：€10
• 用例 C 价格：€100
• 统计功能：支持，能精确到国家
• SLA：99.99%

阿里云解析

阿里云旗下产品，解析服务器全部使用阿里云机房，有速度保障。按照使用功能而非解析量收费。服务器国内有不少，但没有使用 Anycast 技术，所以国外速度很差。 测速基准：

ns1.alidns.com. 106.11.141.111

阿里云付费版与免费版线路有所不同，付费版含有海外线路，但由于没有 Anycast，所以最终线路是随机选择的，所以付费版与免费版相比，其在国外的响应时间稍短，在国内的解析时间稍长。 备注：阿里云 DNS 不支持 TCP。

• 国外速度：★☆☆☆☆，238 ms
• 北美速度：★☆☆☆☆，229 ms
• 亚洲速度：★★☆☆☆，186 ms
• 欧洲速度：★☆☆☆☆，251 ms
• 国内速度：★★★★☆，33 ms
• 最短 TTL：免费套餐：600s；付费套餐：1~120s
• 国内分区解析：★★★★★，免费版支持运营商，付费版支持地域解析
• 国外分区解析：★★★☆☆，免费版仅支持海外，付费版可以支持到洲、国家
• DNSSEC：不支持
• IPv6：不支持
• 记录类型：支持 A、AAAA、CNAME、NS、MX、TXT、SRV。其中 CAA 仅限付费版。
• 根域名 CNAME 优化：不支持
• 优先级：支持
• 自定义 NS：不支持
• 价格：免费，按功能收费
• 用例 A 价格：免费
• 用例 B 价格：免费
• 用例 C 价格：免费
• 统计功能：仅限付费版
• SLA：99.95%

电力猫就是一个能够让家中的电线代替网线，实现拿电缆代替网线的数据传输，解决家中没有布全网线的问题。当然，如果有网线，那就不需要它了。 TL-PA500 标称是 500M 的电力适配器，由于家中网线并没有覆盖到所有的位置，于是就买了 3 个。我有 3 个 AirPort 基站，其中一个（AirPort Express）放在了弱电箱中，直接接入网线，并作拨号连接，并接出一个网线连接电力猫。然后在另两个位置接入电力猫，并连上另外两个 AirPort 基站。实现三个 AirPort 基站有线连接，让全家 Wi-Fi 信号满格。

其实，在 TL-PA500 的说明书中，写明了它的网线端口为 10/100Mbps 端口，也就是说它根本无法达到 100M 以上的速度…… 其实我并不相信这个电力猫真的能达到 500M 的速度，于是我对其进行了测试，在连接另一个 AirPort 基站（无线）的情况下，拷贝一个 3 GB 的文件到 AirPort Time Capsule。并在直接连接 AirPort Time Capsule （无线）情况下拷贝，对比时间，两个基站距离约 15m。 特别要注意的是，另一个基站（AirPort Extreme）是不支持 802.11ac 的，而 AirPort Time Capsule 是支持的。二者都支持 5GHz 频段，拷贝时都使用了它。 经过了电力猫之后，传输这个 3GB 的文件消耗了 8 分钟，大约达到了 50M 的速度，没有达到 802.11n 在 5GHz 下的极限。 直接传输，消耗了 2 分 20 秒，大约是 170M。 所以，经过了电力猫之后，传输速度被限制在了 50M 左右（但或许是用了网线也是这个速度），这个速度还是可以接受的，因为中国地区普遍的网速都没有达到这个极限，用来部署互联网还是完全可行的。 然而最终还是重新走了暗线，全家局域网终于达到 1000M，可算是够用了。

★本文的目标读者

★基本概念

◇信道（channel）

◇信道的类型

◇信道的带宽

◇带宽的单位——容易把外行绕晕

◇信道的工作模式：单工 VS 半双工 VS 全双工

◇端点

◇单播、组播/多播、广播、选播

◇通讯协议（protocol）

★从“分层”到“参考模型”

◇分层

◇协议栈的原理

（“协议栈”的示意图）

（“服务”与“协议”之间的关系）

◇逻辑信道

（“逻辑信道”示意图）

◇数据格式的原理

头部
身体（也称作“有效载荷”）
尾部（注：很多协议没有尾部）

（上下层协议的格式及包含关系）

◇网络分层的参考模型

★OSI 概述

◇OSI 的历史

◇OSI 标准的两个组成部分

◇OSI 模型的7层

★物理层：概述

◇物理层的必要性

◇物理信道的类型

◇信噪比（Signal-to-noise ratio）

◇带宽的限制因素

◇多路复用（Multiplexing）

★物理层：具体实例

◇物理层的【协议】

◇物理层的【协议实现】

（OSI 模型中，不同层次的协议实现）

◇物理层相关的【网络设备】

（老式 modem，用于固定电话线路）

（微波塔示意图）

（老式的10兆以太网集线器）

★链路层：概述

◇链路层的必要性

◇差错控制

◇MAC 协议

◇MAC 地址

（MAC 地址的构成）

★链路层：具体实例

◇链路层的【协议】

◇链路层的【协议实现】

（OSI 模型中，不同层次的协议实现）

◇链路层相关的【网络设备】

◇链路层相关的【软件工具】

★网络层：概述

◇网络层的必要性

（互联网整合了各种类型的网络）

◇网络拓扑（network topology）

（常见的网状拓扑结构：星形拓扑、环形拓扑、总线拓扑、网状拓扑、等等）

（互联网的复杂拓扑，右下角是图中某个小点的放大。
为节省大伙儿的翻墙流量，俺贴的是缩小图。点“这里”看原始图）

◇互联网的拓扑——从“历史”的角度看其健壮性

（左边：互联网诞生前——美国的电话网络　　右边：兰德公司的“Baran 方案”）

◇路由的大致原理

◇路由算法的演变史（以互联网为例）

（1973年的阿帕网）

（1977年的阿帕网）

（全局路由表 VS 分级路由表）

◇互联网的路由——从“CAS”的角度看其健壮性

◇网络层的两种交换技术——电路交换（circuit switching） VS 分组交换（packet switching）

（1900年法国巴黎的电话交换局，可以看到接线员在操作电话交换设备）

★网络层：具体实例

◇网络层的【协议】

◇网络层的【协议实现】

（OSI 模型中，不同层次的协议实现）

◇IP 地址的格式及含义

（4字节 IP 地址：“二进制”与“点分十进制”的对照示意图）

◇IP 地址枯竭，及其解决方法

◇网络层相关的【网络设备】

（“单臂路由器”的拓扑结构）

◇网络层相关的【软件工具】

这个 IP 地址对应的主机已经关机
这个 IP 地址对应的主机已经断线
这个 IP 地址对应的主机拒绝响应 ICMP 协议
从你本机到这个 IP 地址之间，有某个防火墙拦截了 ICMP 协议
......

★传输层：概述

◇传输层的必要性

◇传输层的特殊性

◇传输层的【端口】

★传输层：具体实例

◇传输层的【协议】

◇传输层的【协议实现】

（OSI 模型中，不同层次的协议实现）

◇套接字（socket API）

◇传输层相关的【网络设备】

◇传输层相关的【软件工具】

★业务层（OSI 上三层）：概述

◇业务层的必要性

◇会话层 ＆ 表示层 ＆ 应用层

★业务层（OSI 上三层）：具体实例

◇业务层的【协议】

◇业务层相关的【网络设备】

★杂项

◇VPN（virtual private network）

（名目繁多的 VPN，分类示意图）

◇代理（proxy）

（“代理服务器”的简单示意图）

TCP 代理（TCP 端口转发）——4层（传输层）
SOCKS 代理——5层（会话层）
HTTP 代理——7层（应用层）
......

◇网关（gateway）

路由器充当网关——3层（网络层）
3层交换机充当网关——3层（网络层）
4层交换机充当网关——4层（传输层）
应用层防火墙充当网关——7层（应用层）
代理服务器充当网关——（取决于代理的层次，参见前一个小节）
......

◇隧道协议（tunneling protocol）

◇（其它杂项）

★参考书目

介绍VLAN的基本概念和几种场景下的应用，而OpenWrt下VLAN处理机制和一般交换机有些不同，这里做了一个对比并给出了一种两台路由器之间的单线复用的方案

问题

计算机网络的教材对VLAN一笔带过，作业的却要用到交换机互联，之前看的VLAN的文章貌似都对应不到OpenWrt上去，也就很难有实践的机会；下面根据个人在宿舍组网上遇到的问题，一步步来探究VLAN的用法

后面又看到了N1盒子基于VLAN的单臂路由，又做了一些补充

多线接入

宿舍是上床下桌，每一张桌子下面有一个百兆的网口，通过负载均衡，很早就可以把网速跑到100Mbps了，这显然不够啊，因为宿舍WiFi是共用的，自然而然想到连接相邻的两个床位的网口，这样就有300Mbps了，这也是多线拨号的第一步

上图就是将LAN3与LAN4作双线接入，通过VLAN分别对应到eth0.3和eth0.4

此时LAN4与WAN是“直通”的，效果上来说，就是LAN4也可以插网线用电脑拨号了，如果是要给路由器做双线接入的话，则需要添加VLAN，再把一个LAN口添加到新VLAN中，最后建立接口拨号即可

交换

然而舍友还是需要网口拨号的，所以如果需要长期占用的话偶尔肯定是不太方便的，所以需要交换机来扩展一下网口，这一步已经可以通过简单的修改下OpenWrt路由器的Switch来实现，將LAN4和WAN划到同一个VLAN，两个接口就相当于在同一交换机下：

单线复用

然而，仅仅通过untagged只能实现多条线路的“汇聚”，能够达到100Mbps+的只有一台路由器而已，并没有实现“互通”，即每一台路由器都可以上到100Mbps+；不仅如此，还要实现相邻床位的路由器之间只用一根线连接就可以达到同样的网速，更具体的就是在一根网线传输不同的来源（网口）的数据

而VLAN的一个重要的功能恰好就是实现交换机之间的互通

单臂路由

这个需求源于有一台N1，之前看过VLAN的接入网络的方法，觉得网络结构更清晰，以此可以解决主路由算力不足的问题，但之前一直没有刷上OpenWrt，刷完之后发现居然没有交换机的Switch选项，赶紧翻出了之前看到的帖子：N1做主路由，新3做AP的最正统vlan连法教程，想起之前文档刚好有部分没看懂，刚好可以补充上

概念

首先还是OpenWrt的文档：VLAN，很早就读过，但是因为缺少具体的有解释的例子，当时没弄清楚VLAN tagged的机制

所以这里先结合华为的文档了解下基础的概念

VLAN Tag

首先需要理解VLAN标签是被添加到以太帧内部的一个4个字节的片段，其中VID也就是常说的VLAN ID

在一个VLAN交换网络中，以太网帧主要有以下两种形式：

• 有标记帧（Tagged帧）：加入了4字节VLAN标签的帧
• 无标记帧（Untagged帧）：原始的、未加入4字节VLAN标签的帧

常用设备中：

• 用户主机、服务器、Hub只能收发Untagged帧（Linux系统可以通过安装软件实现收发Tagged帧）
• 交换机、路由器和AC既能收发Tagged帧，也能收发Untagged帧
• 语音终端、AP等设备可以同时收发一个Tagged帧和一个Untagged帧

VID & PVID

VID也就是数据帧中的12bit的VLAN ID，表示该数据帧所属VLAN的编号，而PVID（Port Default VLAN ID）又称为缺省VLAN，可以用于和VID做比较来判断Tag的情况

应用

最主要的应用是划分广播域，这部分可以参考图文并茂VLAN详解，然而和本文的关系不是很大

为了提高处理效率，设备内部处理的数据帧一律都是Tagged帧，例如在交换机内部的，在数据帧进入交换机的时候可能会按照一定的规则被打上VLAN Tag以方便下一步的处理，OpenWrt的Old Wiki的一张图很好地体现了这一点：

以太帧进入端口后被打上VLAN Tag，之后在传输的CPU的线路内（Port5-CPU），就同时传输带两种VLAN Tag的包

另外在交换机之间，可以在一条链路上使用两个VLAN也叫做Ethernet trunking，也有人称作单线复用，常见的应用：

• 单臂路由（只有一个网口的路由器）
• 使用一根网线同时传输IPTV和宽带的数据

交换机

这里参考的是上面的华为的交换机的文档，不同交换机可能有些不一样

Incoming & Outgoing

以收发的设备作为主体，指的是数据帧到达接口而没有完全进出交换机内部，举个例子：

• 数据帧到达某一个接口时，路由器会对数据帧的VLAN情况做判断
• 如果符合通过的规则，则放行做后续处理，不符合则丢弃
• 后续处理可能就是剥离或者打上标签

链路类型和接口类型

配置VLAN：为了适应不同的连接和组网，设备定义了Access接口、Trunk接口和Hybrid接口3种接口类型，以及接入链路（Access Link）和干道链路（Trunk Link）两种链路类型，如下图所示

根据接口连接对象以及对收发数据帧处理的不同，以太网接口分为：

• Access接口

Access接口一般用于和不能识别Tag的用户终端相连，只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag

• Trunk接口

Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）

• Hybrid接口

Hybrid接口可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）

Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如一个接口连接不同VLAN网段的场景（如图所示的Router连接Hub的接口）中，因为一个接口需要给多个Untagged报文添加Tag，所以必须使用Hybrid接口。

• 接入链路只可以承载1个VLAN的数据帧，用于连接设备和用户终端
• 干道链路可以承载多个不同VLAN的数据帧，用于设备间互连

处理机制

OpenWrt对VLAN Tag的处理机制见后文引用文档的加粗部分，此处暂作为理解的参考

• Access端口

• Trunk端口

• Hybird端口

OpenWrt VLAN

OpenWrt的文档没怎么提及接口类型的概念，OpenWrt对VLAN设置的组织形式和普通的交换机有所不同，从机制介绍来看是比较接近Trunk端口的：发出的数据帧只有一个VLAN的数据帧不带Tag

OpenWrt文档所提到的：An untagged port can have only 1 VLAN ID 反映在：OpenWrt中的Switch设置VLAN时单个untagged Port无法再再其他VLAN上为Untagged，否则回提示：LAN 1 is untagged in multiple VLANs!

故抛开之前的端口类型，遵守VLAN的规则，兼容且实用就行

另外，不是所有OpenWrt设备都有Switch这个LuCI的配置选项，比如N1就没有，但是照样可以配置VLAN，位置在Interface的接口物理配置部分，由于无法像Switch那样有Tag之类的选项，

Tag机制

官方文档对Tag机制的介绍如下(散落在两处):

• Tagged on “CPU (eth0)” means that the two VLAN ID tags used in this example (1, 2) are sent to the router CPU “as tagged data”. Remember: you can only send Tagged data to VLAN-aware devices configured to deal with it properly.
• Untagged means that on these ports the switch will accept only the incoming traffic without any VLAN IDs (i.e. normal ethernet traffic). The switch will remove VLAN IDs on outgoing data in such ports. Each port can only be assigned as “untagged” to exactly one VLAN ID.
• Off: no traffic to or from the tagged ports of this VLAN ID will reach these ports.

Ports can be tagged or untagged:

• The tagged port (t is appended to the port number) is the one that forces usage of VLAN tags, i.e. when the packet is outgoing, the VLAN ID tag with vlan value is added to the packet, and when the packet is incoming, the VLAN ID tag has to be present and match the configured vlan value(s).
• The untagged port is removing the VLAN ID tag when leaving the port – this is used for communication with ordinary devices that does not have any clue about VLANs. When the untagged packet arrives to the port, the default port VLAN ID (called pvid) is assigned to the packet automatically. The pvid value can be selected by the switch_port section.

特别指出，但是一般也用不上，在LuCI界面上看不到的PVID设置，设置具体在uci network switch_port部分：

Port PVID; the VLAN tag to assign to untagged ingress packets

无Switch配置

官方文档的位置在 Creating driver-level VLANs 一节，配置方式是通过在接口设置，选择自定义接口，在名称在做文章：如在物理网卡eth1上，通过自定义eth1.2接口的方式建立一个VLAN ID为2的接口，在使用Switch设置VLAN，如添加VLAN ID为3的VLAN之后，接口处也会出现eth0.3，逻辑上还是统一的；下面来看下文档对处理机制的描述：

If the incoming packet arrives to the interface with software VLANs (incoming packet to eth1) and has a VLAN ID tag set, it appears on the respective software-VLAN-interface instead (VLAN ID 2 tag arrives on eth1.2) – if it exists in the configuration! Otherwise the packet is dropped. Non-tagged packets are deliveded to non-VLAN interface (eth1) as usual.

即处理流入的包：接口只接收有相应Tag的包，相当于Switch中的VLAN在该接口设置为Tag

这样一来，一个物理网口可以同时收发带Untagged帧和Tagged帧，故使用VLAN来实现单臂路由也就很好理解了，配置的方式也不唯一

解决方案

回到本文开头提到的问题，仿照上面的Switch内部VLAN机制的图的形式，画了一张两台OpenWrt路由器通过VLAN互通，进而实现让两台路由器可以得到宿舍三个网口合计300Mbps的接入

需要说明的是：

• 因为所有的VLAN都需要为拨号服务，所以这里略去了VLAN到CPU的一段
• 格式为了照顾LuCI的设置界面显示，可能看起来有些不寻常
• VLAN ID的外层意义就是接入的网口的标识，中间的TRUNK链路如何并不重要
• 对WAN Interface的命名就相对随意了，例如Router 1的WAN_1应该命名为WAN_21更合适一点

最后的在宿舍的书桌背后的路由器如图

介绍了Linux系统中等效多径路由(ECMP)及其在网络负载均衡上的应用，给出了OpenWrt下的启用的方法

参考

因为偶然发现了Linux内核中的ECMP这种负载均衡的方法，然后查了些资料，这里整理下(业余水平)；文末留下了当时发现ECMP的记录

ECMP在工程方面用的很多，能找到的多是说明文档，介绍特性和成套的解决方案，但是基础的材料并不是那么好找，个人也是刚刚接触到ECMP，水平有限，这里先给出本文的主要参考文献

关于负载均衡，[译] 现代网络负载均衡与代理导论（2017）有一个较为全面的介绍，其中作者提到

关于现代网络负载均衡和代理的入门级教学材料非常稀少（dearth）。我问自己：为什么会这样呢？负载均衡是构建可靠的分布式系统最核心的概念之一。因此网上一定有高质量的相关材料？我做了大量搜索，结果发现信息确实相当稀少。 Wikipedia 上面负载均衡 和代理服务器 词条只介绍了一些概念，但并没有深入 、这些主题，尤其是和当代的微服务架构相关的部分。Google 搜索负载均衡看到的大部分都 是厂商页面，堆砌大量热门的技术词汇，而无实质细节。本文将给读者一个关于现代负载均衡和代理的中等程度介绍，希望以此弥补这一领域的信息缺失。

对此个人在经历一番搜索之后也是感同身受，所以才有了总结的想法；如果觉得上文过于“导论”（和本文的关系不大），华为的文档更贴近本文的主题一些，尽量看英文：Introduction to Load Balancing

Jakub Sitnicki’s Blog的系列博文：对Linux内核中的ECMP的实现深入浅出地做了介绍，如果感兴趣的话可以看看

• Set Up & History dive
• Two stacks, two stories
• Problems & Recent Developments

最后是一篇相对详尽的中文资料，重点是ECMP在内核中的变更历史：ECMP在Linux内核的实现

原理及概念

ECMP也就是下面的路由表的情形，就是到某一个目的地址可以有多个下一跳路径可选

root@K2P:~# ip r
default metric 1
        nexthop via 10.170.72.254 dev pppoe-VWAN21 weight 1
        nexthop via 10.170.72.254 dev pppoe-VWAN22 weight 1
        nexthop via 10.170.72.254 dev pppoe-VWAN31 weight 1
        nexthop via 10.170.72.254 dev pppoe-VWAN32 weight 1
root@K2P:~# ip -6 r default
default metric 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN21 weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN22 weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN31 weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN32 weight 1 pref medium

看起来很简单，要弄清楚这个具体能做到什么程度就需要了解下具体的实现，这里一步一步来看

Packet/Flow

Packet对应的是IP分组(数据报、数据包)，是数据在L3上传输的单元

对路由器而言，流(Flow)是共享某些特性的packet序列，比如同一个请求（连接）的packets有相同的路由路径

根据负载均衡的对象分：有Per-Packet和Per-Flow两种方式，文档中的两张图对此有个直观的对比

自然而然的会想到L4 Per-Packet负载均衡：每一个的Flow的Packets会被分流，可以实现多拨对看直播都可以加速的效果，然而本文并不会涉及：

Existing Multipath Routing implementation in Linux is designed to distribute flows of packets over multiple paths, not individual packets. Selecting route in a per-packet manner does not play well with TCP, IP fragments, or Path MTU Discovery.

故默认下文都是Per-Flow负载均衡，这就需要利用Packet的header fields信息把一个个的Packet和Flow联系起来，再进行下一跳的路由选择:

• IPv4 L3 hash

   { Source Address, Destination Address }
  

• IPv4 L4 hash

  { Source Address, Destination Address, Protocol, Source Port, Destination Port }
  

• IPv6 L3 hash

  { Source Address, Destination Address, Flow Label, Next Header (protocol) }
  

  IPv6分组因为有Flow Label的存在，IPv6即使只用到L3 Hash也可以实现L4负载均衡

IPv6 Flowlabel IPv6数据报(packet)中有一个20字节的字段：流标号（流标签）；进而可以用流标号取代路由表来处理流的路由，加速路由器对分组的处理；在ECMP中却提供了Flow的信息，故IPv6 ECMP是比较容易做的

L3/L4

更关键的还是负载均衡的层级，比如在多拨的情况下使用策略路由也可以做“负载均衡”，下面的命令往往提高BT的速度，这属于L3 Per-Flow负载均衡(左图)：只在IP地址层级分流

ip rule add table 916
ip route add 10.173.0.0/16 via 10.170.72.254 dev pppoe-VWAN31 table 916
ip route add 10.170.0.0/16 via 10.170.72.254 dev pppoe-VWAN32 table 916

类似的方法对HTTP多线程下载并没有加速作用，对连接分流，需要L4负载均衡：多线程下载的请求之间source port不同，故L4 hash值基本不同，故会被分到不同的路径上，这样一来L4负载均衡是面向连接的就很好理解了，而内核在IPv4/IPv6上实现到一步有一段很长的历史：

Linux内核中ECMP

Linux内核的Git Commit，对发展历程感兴趣的还可以参考博文Celebrating ECMP in Linux，其中还讨论了设备的出站流量和转发流量的ECMP效果的不同，这里把ECMP的变更历史整理到一张表格中，以及对应时间的OpenWrt的内核版本信息：

这里可以推出（实际早期版本我也没有测试过），在默认的编译选项和内核版本下，较为实用的L4负载均衡，IPv4需要在18.06及之后的版本

IPv6由于使用了Flowlabel作为Hash的对象，根据表格，OpenWrt在15.05之后的版本就可以启用L4负载均衡

本文考虑更多的还是OpenWrt中的应用，更多信息参考本博客中的Speed_Up

启用ECMP

准备部分是从排查问题的角度来看的

在启用之前可以确认下编译内核时的下面选项，即IP: equal cost multipath，ECMP支持，较新版本的OpenWrt默认是打开的

• CONFIG_IP_ROUTE_MULTIPATH=y

暂时不清楚使用下面的多个nexthop命令添加ECMP路由的依赖，只知道命令ip route的源于iproute2，如果出现如下报错：

Error: either “to” is a duplicate, or “nexthop” is a garbage.

可以尝试：

• 安装ip-full再尝试，OpenWrt默认是ip-tiny，某些情况下也能使用多个nexthop命令添加ECMP路由
• 使用route命令多次添加静态路由，可以启用IPv6的ECMP（详见文末的后记），实测在原版的OpenWrt可行

  route -A inet6 add 2000::/3 gw fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN2
  route -A inet6 add 2000::/3 gw fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN3
  

添加ECMP路由

这里直接引用iproute2的user Guide的Multipath routing部分：

ip route add ${addresss}/${mask} nexthop via ${gateway 1} weight ${number} nexthop via ${gateway 2} weight ${number}

Multipath routes make the system balance packets across several links according to the weight (higher weight is preferred, so gateway/interface with weight of 2 will get roughly two times more traffic than another one with weight of 1). You can have as many gateways as you want and mix gateway and interface routes, like:

ip route add default nexthop via 192.168.1.1 weight 1 nexthop dev ppp0 weight 10

Warning: the downside of this type of balancing is that packets are not guaranteed to be sent back through the same link they came in. This is called “asymmetric routing”. For routers that simply forward packets and don’t do any local traffic processing such as NAT, this is usually normal, and in some cases even unavoidable.

If your system does anything but forwarding packets between interfaces, this may cause problems with incoming connections and some measures should be taken to prevent it.

可以补充的是如果用的多个等带宽的PPPoE Interface的话，可以使用多个nexthop dev ${pppoe-dev}

修改内核运行参数

仅仅是上一步的话，可以见到在使用P2P下载时已经有负载均衡了，但是对HTTP的多线程下载并没有加速效果，因为一些Linux内核对IPv4的ECMP默认设置到L3 Hash，而且也没有开启邻居健康检查，所以需要修改下内核的运行参数，相关的具体的参数说明如下：

fib_multipath_hash_policy - INTEGER Controls which hash policy to use for multipath routes. Only valid for kernels built with CONFIG_IP_ROUTE_MULTIPATH enabled. Default: 0 (Layer 3) Possible values: 0 - Layer 3 1 - Layer 4 2 - Layer 3 or inner Layer 3 if present

fib_multipath_use_neigh - BOOLEAN Use status of existing neighbor entry when determining nexthop for multipath routes. If disabled, neighbor information is not used and packets could be directed to a failed nexthop. Only valid for kernels built with CONFIG_IP_ROUTE_MULTIPATH enabled. Default: 0 (disabled) Possible values: 0 - disabled 1 - enabled

echo "net.ipv4.fib_multipath_hash_policy=1" >> /etc/sysctl.conf
echo "net.ipv4.fib_multipath_use_neigh=1" >> /etc/sysctl.conf
sysctl -p

其他相关的内核运行参数（IPv6 Flowlabel等）可以参考ip-sysctl.txt

OpenWrt上启用ECMP

熟练的话完全根据上面的方法做了，以下是在校园网PPPoE接入下实践的，如果PPPoE拨号多播数量较多可以参考如何提高网速

准备

• 在启用之前可以确认下编译内核时的选项CONFIG_IP_ROUTE_MULTIPATH=y（OpenWrt 18.06之后的版本默认已经开启）
• IPv6 ECMP只在IPv6 NAT下测试过，受限于当前OpenWrt正式版的内核版本，未对内核参数做进一步测试
• 加速的前提是下多拨可以加速(ISP限制)

添加虚拟网卡

OpenWrt安装kmod-macvlan后就可以添加虚拟网卡到不同的VLAN上

opkg update && opkg install macvlan

路由器上的RJ45网口是绑定到VLAN上的，如果是添加虚拟网卡到一个VLAN上就是单线多拨，添加到多个VLAN上就可以做多线多拨了

这里的eth0.2对应于WAN口（在Interface -> Switch可以看到WAN绑定在VLAN 2上），不同的设备可能有些许不同，这里在eth0.2上添加两个虚拟网卡

for i in  `seq 1 2`
do
  ip link add link eth0.2 name veth$i type macvlan
done

拨号

还是用脚本省事，填上用户名和密码即可，拨数为2，填下账号密码

#!/bin/sh
username=
password=
for i in  `seq 1 2`
do
  uci set network.VWAN$i=interface
  uci set network.VWAN$i.proto='pppoe'
  uci set network.VWAN$i.username="$username"
  uci set network.VWAN$i.password="$password"
  uci set network.VWAN$i.metric="$((i+1))"  
  uci set network.VWAN$i.ifname="veth$i"
  uci set network.VWAN$i.ipv6='1'
done
uci commit network

添加所有PPPoE接口到wan zone（担心影响到其他的网络环境的话手动也可以）

for i in `uci show network | grep pppoe | awk -F. '{print $2}'`
do
  uci add_list firewall.@zone[2].network=$i
done
uci commit firewall

添加ECMP路由

只用nexthop dev ${pppoe-dev}:

#IPv4
ip route replace default metric 1 nexthop dev  pppoe-VWAN1 nexthop dev  pppoe-VWAN2
#IPv6
ip -6 route replace default metric 1 nexthop dev  pppoe-VWAN1 nexthop dev pppoe-VWAN2

做完这一步就可以使用ip r和ip -6 r命令检查下路由表

修改内核运行参数

echo "net.ipv4.fib_multipath_hash_policy=1" >> /etc/sysctl.conf
echo "net.ipv4.fib_multipath_use_neigh=1" >> /etc/sysctl.conf
sysctl -p

测试

通过东北大学IPv6测速以及IPv4测速测试负载均衡的速度叠加效果，或者使用iftop命令查看各个接口上路由的实时速率

传入连接的问题

添加ECMP路由之后传入连接偶尔连的上，偶尔连不上，但是PT的上传之类的貌似又没有问题（可能因为上传也可以是主动发出的连接），如果有这方面需求的话需要添加策略路由，为某一接口上的地址指定路由规则，下面是IPv4的，完成之后可以从外部访问之类的，但是对其他的影响就不太清楚了，IPv6部分暂时没有测试条件…

ip rule add perf 20 from IP table 20
ip route add default table 20 dev INTERFACE

此处参考自Linux 平台上之 Multipath Routing 應用，非常难得的详细的文章，还是2001年的

后记：偶然发现的ECMP

这里保留当时的发现过程：（当时发现了这个功能非常开心，现在来看部分内容不准确，但是文末的脚本的效果要好于ECMP默认的方法）

只在K2P OpenWrt 18.06上面实践过，对LEDE 17.01无效

下面是在操作一番之后的路由表，对IPv6的测速显示网速翻了四倍

root@OpenWrt:~# ip -6 route | grep pppoe
default from 2001:250:1006:dff0::/64 via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN4 proto static metric 512 pref medium
2000:::/3 dev pppoe-VWAN4 proto static metric 256 pref medium
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-wan weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN2 weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN3 weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN4 weight 1

大致可以看出这已经是做了负载均衡，需要的只是安装好luci-app-mwan3，简单操作一下路由表，这里的网关地址和dev需要看具体情况

2000::/3 就是IPv6的单播（Unicast）地址了，在不做任何操纵的情况下，无PD的路由表（单拨）

default from 2001:250:1006:dff0::/64 via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN3 proto static metric 512 pref medium
2001:250:1006:dff0::/64 dev pppoe-VWAN3 proto static metric 256 pref medium
...

之后通过下面两条常规的添加路由表条目的命令：

route -A inet6 add 2000::/3 gw fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN2
route -A inet6 add 2000::/3 gw fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN3

发现路由表就出现了nexthup和负载均衡中的weight标记

root@OpenWrt:~# ip -6 route | grep pppoe
default from 2001:250:1006:dff0::/64 via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN3 proto static metric 512 pref medium
2000::/3 dev pppoe-VWAN3 proto static metric 256 pref medium
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN2 weight 1
        nexthop via fe80::96db:daff:fe3e:8fcf dev pppoe-VWAN3 weight 1
...

类似的网关添加过程对IPv4效果并不好，这里稍后再细说

之后还需要修改一下防火墙，这里用的还是NAT6中的那条命令

因为对路由表的修改在路由器重启之后会重置，所以还是要添加到开机的启动脚本或者添加到自定的防火墙规则之中，如果已经在NAT6配置过程中配置好了的话这一步就可以忽略了

ip6tables -t nat -I POSTROUTING -s `uci get network.globals.ula_prefix` -j MASQUERADE

实测的峰值速度可以到达双网口的满速，但是一样的问题，在UT，IDM，Thunder这种多线程下载软件下轻松满速，而在YouTube视频应用下，只有半速（甚至包括用IDM下载的情况下）

目前最新版本的mwan3也开始支持IPv6多拨了，但是个人还是觉得日常使用的话用以上的方法更加快捷，不过需要对网络有一定的了解，下面是一段针对IPv6 NAT的多拨hotplug脚本，用了一些OpenWrt开发时推荐的写法，比较实验性

#!/bin/sh
[ "$ACTION" = ifup ] || exit 0
ifaces=$(ubus call network.interface dump | jsonfilter -e '$.interface[@.proto="dhcpv6" && @.up=true].interface')
for iface_6 in $ifaces
do
  [ "$INTERFACE" = $iface_6 ]  || continue
  devices=$(ubus call network.interface dump | jsonfilter -e '$.interface[@.proto="dhcpv6" && @.up=true].device')
  ipv6_gw=$(ifstatus $iface_6 | jsonfilter -e '$.route[1].nexthop')
  for ipv6_dev in $devices
  do
    status=$(route -A inet6 add 2000::/3 gw $ipv6_gw dev $ipv6_dev 2>&1)
    logger -t NAT6 "Gateway: $ipv6_dev: Done $status"
  done
  exit 0
done

遇到的问题，读过的文章，一点总结，希望能节约些时间的同时把事情做好

前言

初次接触到PT的概念是在初中，EACDY论坛的站长在115网盘链接失效后毅然决定要开办PT站，但是因为那是家里的带宽极为有限，没能提供多少的上传量；之后偶然在东南大学的虎踞龙盘PT见识到了教育网PT的繁荣，于是定了一个之后要去一所有PT的大学的目标，最后如愿以偿，却发现IPv6才是打通教育网和公网PT的关键；之后又是一次偶然的机会，接触到了PT站的一些技巧后…决定把本文放到博客上（仅涉及国内的PT站）

个人的PT站账号不多，数据仅仅是咸鱼水平，对公网PT知之甚少，内容多是引用以及摸索的经验，仅供参考

引用与推荐

文章

rhilip对国内的PT站数据有一个详细的统计分析，可以作为发展PT的参考：

• 2018 年 PT 站发种观察报告

• 基于 Pt-Board 的国内 Pt 站点大数据分析

PT实用工具&脚本分享：感谢给我发过邀请的yezi1000，顺着简介找到了博客，下面这篇文章介绍了搭建PT盒子的一些经验（和普通的娱乐用户关系不大）

torrentinvites.org：据说是一个卖PT邀请码的网站，该网页有PT站的数据统计及站点的分析，可以为进入某个公网PT提供了部分参考

ipv6 NAT后配置端口转发：使用IPv6 NAT的可以看下，说不定可以改善连接性，进而大大提高上传速度

这里还有一个用得上但是有些古老的软件，v6speed，类似于某种P2P点播软件：使用种子利用P2P传输就可以观看电影，一时半会还真的没找到同类型的软件，据说有解码能力有限的问题，最后一次更新在2015年

工具

PT站最关注的点：保种以及搜索下载

reseed：方便的跨站辅种工具，进到新的PT站，一个个搜索辅种往往需要花掉相当多的时间，这个几分钟就解决了，天津大学的同学开发的，注册账号需要北洋的Passkey，国内的部分站点可用

PT-Plugin-Plus：支持Chrome和Firefox的插件，提供站点数据概览，搜索聚合以及辅助下载功能；向往PT的一大原因就是简单且高质量，这个插件对此贡献也很大，比如在网页上看到有人推荐某个纪录片，右键搜索，下载一气呵成

如果要发电影（转种可能也用得上），PT Gen可以帮助生成信息

遇到的问题

PT的生存性

如果网络通畅的话下载热门的种子即可，但是如果上传速度很糟心的话，还是选择大量的保种路线，使用保种得到的积分换上传量比较好，所以打听好PT站点的生存策略和弄清楚自身的网络状况是很关键的

资源的发布时间

首先要搞清楚0day资源的概念，自行搜索，这里说下蓝光电影的发布时间的一个参考：blu-ray.com中的电影详情页面中可以看到蓝光碟片的发布时间，一般PT站可以提前一点点发出资源，不同的站点的一个区别就在于首发的速度，但顶级站点往往转种都是很快的

至于更普遍的WEB版或者TV版资源，看首播的时间就好，可以留意的是：

• 有WEB录制组的站点，可以查看历史资源确定是否有录制计划
• 电影录制比较特殊的地方在于版权，有些站点可能不让发
• Auto Seed的存在，主要是对欧美剧集，可以第一时间转种，具体那些站点有可以参考Pt-Board

特别一点的是动漫，动漫资源的发布往往依赖于字幕组，就我所在的大部分PT站动漫更新都不是很及时，BT站 动漫花园，部分动漫字幕组出资源会第一时间放出来

代理与盒子

因为学校往往带宽比较贵，学生购置大容量硬盘也不太划算（刷数据和看电影是两回事），随意挂代理和购置盒子可以提高速度和节约流量，需要注意的事部分站点是限制这种方式的，尤其是刚进入站点的时候，如果一不小心被识别为盒子（挂代理的VPS供应商有时候会被识别），可能上去下载免费资源就会出现分享率爆炸的情况，所以此处需格外谨慎（尤其是路由器上挂透明代理）

NAS

因为电脑上没有安装3.5寸盘的空间，在经历过路由器挂BT的初等玩法后，还是组建了一台NAS用于个人的数据存储和下载管理

下载软件

NAS自带的下载软件源于Transmission：

• 有配套的APP：DS Get，但是不太好用…
• 支持订阅，规则也比较好写
• 结合上Download Station Extension可以在Chrome，safari，Opera浏览器中使用右键直接下载，缺点是最多只能显示100个种子
• 缺点之一就是默认是强制校验资源的完整性的，以至于添加资源特别麻烦
• 缺点之二，种子太多容易卡顿

于是就转而使用了Docker的linuxserver\qBittorrent

• 终于可以跳过校验了，结合之前的reseed工具，可以迅速添加几百个种子
• 开源软件，自带开源的气质，各种选项，信息都会呈现出来
• 需要结合后面的FlexGet实现订阅
• 轻量化的Web界面反而成为了远程跨平台访问的优势

默认设置需要修改的主要是下载任务数量和连接数

IPv6问题

docker如果使用桥接网络是默认不支持IPv6的，个人安装网上的修改参数之类的方法最终也失败了，最后还是使用了hosts网络多尝试了几次成功了

订阅

比如说在0day资源出来之前可以先写好订阅，待到资源出种就可以第一时间自动下载好，查看下载列表就可以得知已经出种而不需要再去反复的检索

RSS

一般的NexusPHP架构的PT站都在搜索栏的右侧有个订阅的icon，设置好筛选就可以通过RSS获取种子的信息进而实现自动的下载

FlexGet

主要是弥补自带RSS的设置自由度不足以及给Docker的qBittorrent提供自动下载支持，为了省事，采用了Docker:wiserain-flexget，挂载一个qbittorrent可以访问的文件夹作为qbittorrent的种子监测文件夹，运行后就可以从网页打开FlexGet的界面，填写config即可

网络

若是用户之前都是公网IP且防火墙规则开放的情况就不多说了，主要是做种的时候看到有人在下载而本地的种子又没有上传就很折磨

传入连接

Tracker是PT用户都可以访问，用于上传BT客户端的IP及端口信息以方便用户之间的相互连接，试想一下这样的一个过程，当一个客户端A，得知客户端B正在做种，于是A直接向B发起了一个连接请求，也就是对B而言，该连接是一个传入连接，然而残酷的现实是：

• 防火墙默认阻止了传入连接，在以校园网的IPv6防火墙和设备的默认防火墙策略为代表
• 路由器的NAT类型默认阻止了传入连接

阻止传入连接不会影响正常的上网，因为日常的上网连接都是由内网的设备发起或是请求，好比开门发快递和收快递，而PT的传入连接呢？就好比一个陌生的快递突然送了过来，现实中可能是“来者不拒”，但是网络的世界往往要危险的多

至于防火墙这一级，如果可以管理的话，开放UT的监听端口即可，如果不行的话可以尝试设置uPnP做自动端口转发

PT站上显示的“可连接”仅仅是可以连接到Tracker服务器，实际的效果可以靠UT、qbittorrent的用户标识（Flag）判断

Flag所代表的意义：

D = 当前正在下载 (感兴趣且没有被阻塞)
d = 本级客户端需要下载, 但是对方没有发送 (感兴趣但是被阻塞)
U = 当前正在上传 (感兴趣且没有被阻塞)
u = 对方需要本机客户端进行上传, 但是本机客户端没有发送 (感兴趣但是被阻塞)
O = 开放式未阻塞
P = 使用μTP协议连接，兼具TCP的可靠性及UDP的连接性
S = 对方被置于等待状态
I = 对方为一个连入连接
K = 对方没有阻塞本机客户端, 但是本机客户端不感兴趣
? = 本机客户端没有阻塞对方, 但是对方不敢兴趣
X = 对方位于通过来源交换获取到的用户列表中 (PEX)
H = 对方已被通过 DHT 获取.
E = 对方使用了协议加密功能 (所有流量)
e = 对方使用了协议加密功能 (握手时)
L = 对方为本地/内网用户 (通过网络广播发现或位于同一网段中)

NAT类型

NAT类型概述以及提升NAT类型的方法对NAT类型做了简要的介绍

NAT对PT的影响是很大的，如基于OpenWrt的Linux路由使用netfilter的MASQUERADE实现的NAT的默认类型是Symmetric NAT，或者称为NAT4，是对传入连接最不友好的一种NAT，IPv4的解决办法：

Chion82/netfilter-full-cone-nat写了从DNAT到netfilter内核子系统，浅谈Linux的Full Cone NAT实现，而LGA1150为OpenWrt做了Netfilter and iptables extension

然而，教育网主要还是IPv6，IPv6的Full Cone NAT还没见过，暂时只有ipv6 NAT后配置端口转发

各种WiFi的速率是怎么来的？WiFi的速度靠什么提高？如何理解和应用相关理论来改善网络质量？业余理解

缘起于Win10显示的图书馆的WiFi信息

5GHz，165信道，WiFi 4？？？这个是什么情况呢，是不是有哪里显示错了？然后就是速率最高只有144MHz，这个速率又是怎么来的？

从网络协商速率开始

这里以802.11AC 1T1R MCS9 HT80 带宽Short GI为例计算网络连接速率，由上面的公式以及下面的引用可以知道:

这个也就是最常见的单天线的5G WiFi速率，大概的解释如下

80MHz中一个符号有234个数据子载波，使用256QAM时每个子载波每次传输8bits数据，编码率为5/6，而传输时间等于符号持续时间加上保护间隔

从OpenWrt主页的Associated Stations右侧的字段的含义又是什么呢？

650.0 Mbit/s, 80MHz, VHT-MCS 7, VHT-NSS 2, Short GI
650.0 Mbit/s, 80MHz, VHT-MCS 7, VHT-NSS 2, Short GI

我按照个人理解的通信流程整理下，水平有限…

通信部分的概念

把速率计算公式根据后面的原理部分化简一下： \(\begin{align}Rate & =(N_{sub}\times log(N_{QAM}) \times R_{coding})/(N_{sub}/N_{HT}+GI) \\& =\frac{log(N_{QAM}) \times R_{coding}}{1/N_{HT}+GI/N_{sub}}\end{align} \\\) 其中$N_{sub}$为子载波数，$N_{HT}$为频宽

提高网络速率的方法可以粗略的归结到各个子项上面

物理层

频段与频宽

WiFi所用的频段主要是三个，下图也列出了不同的频宽下选择某个信道对频段的占用情况

802.11n: 2.4G频段

每相邻的2个信道之间的频宽就是5Mhz，最大频宽为40MHz，对于国内的2.4G只有1-13信道可以用，用1信道，频宽为20Mhz,则信道2,3,4,5都被占用了；如果是40Mhz，侧信道2,3,4,5,6,7,8,9也被占用了，当然只在传输数据时才会占用的。这就为什么在家附近因有大量wifi造成网络堵塞缓慢的原因了。

802.11ac: 5G频段

中国WIFI设备在5GHz下可以使用的信道有36,40, 44, 48, 52, 56, 60, 64, 149,153, 157, 161, 165。而每个信道频宽为20Mhz，如果信道为149，当要用80Mhz时，则153,157,161都要被占用了

802.11ad: 60G频段，近距离高速无线传输专用，现在基本上见不到了

802.11ax: WiFi 6的频段依然是之前的2.4G和5G频段，主要是把最大频宽定在了160MHz

比较有趣的是某个WiFi对频宽的占用越大，有效的传输距离越短，对环境的干扰越小，最后又作用与可以占用更大的频宽来做近距离的高速传输，故各种规格的WiFi是可以和谐共处的

MIMO技术

通过多条通道来发送数据，常用 nTnR，或者 n x n 来表示，比如说2T2R也就是2x2 MIMO，以及OpenWrt上用的NSS：Number of spatial streams后接数字表示空间流的数目

看起来是最简单粗暴的提高无线速率的方式，然而实际上会遇到多径效应导致高误码率，最终还是采取了一系列的措施来尽量克服多径效应

FEC:QAM

FEC (Forward Error Correction)：按照无线通信的基本原理，为了使信息适合在无线信道这样不可靠的媒介中传递，发射端将把信息进行编码并携带冗余信息，以提高系统的纠错能力，使接收端能够恢复原始信息。

正交幅度调制（QAM，Quadrature Amplitude Modulation）是一种在两个正交载波上进行幅度调制的调制方式。这两个载波通常是相位差为90度（π/2）的正弦波，因此被称作正交载波，这种调制方式因此而得名

802.11n所采用的QAM-64的编码机制可以将编码率(有效信息和整个编码的比率)从3/4 提高到5/6。所以，对于一条空间流，在MIMO-OFDM基础之上，物理速率从58.5提高到了65Mbps(即58.5乘5/6除以3/4)

QAM编码是用星座图（点阵图）来做数据的调制解调，实际应用中是2的N次方的关系。比如说16-QAM ，16是2的4次方，一次就可以传输4个bit的数据；802.11n是64-QAM ，是2的6次方，因此在64个点阵的一个星座集合里面，用任意一个点可以携带六个bit的数据信息

到了802.11ac，就变成了256-QAM，是2的8次方，802.11ac相对于802.11n在编码上面的速率提升了33%。802.11ax之后引入了更高阶的编码，就是2的10次方，1024-QAM

我们都知道从8到10的提升是25%，也就是相对于802.11ac来说，802.11ax的性能又提高了25%，变成了1024-QAM，一个符号可以携带10个bit的数据

MIMO-OFDM

在室内等典型应用环境下，由于多径效应的影响，信号在接收侧很容易发生(ISI)，从而导致高误码率。OFDM调制技术是将一个物理信道划分为多个子载体(sub-carrier)，将高速率的数据流调制成多个较低速率的子数据流，通过这些子载体进行通讯，从而减少ISI机会，提高物理层吞吐。

用于Wi-Fi通信的有OFDM和OFDMA技术：802.11a/g/n/ac无线电当前使用正交频分复用（OFDM）用于802.11频率上的单用户传输，将比特串流对应到QAM调制的符号

子载波的分类

OFDM有三种类型的子载波，如下所示：

数据子载波：这些子载波将使用与802.11ac相同的调制和编码方案（MCS）以及两个新的MCS，并添加1024-QAM

导频子载波：导频子载波不携带调制数据；它们用于接收器和发射器之间的同步

未使用的子载波：剩余的未使用的子载波主要用作保护载波或空子载波以抵抗来自相邻信道或子信道的干扰

例如：20 MHz 802.11n/ac 信道由64个子载波组成——52个子载波用于承载调制数据; 4个子载波用作导频载波；8个子载波用作保护频带；每个OFDM子载波的宽度是20MHz/64=312.5KHz。

不同频宽的数据子载波的数量（第三列）关系见下表

OFDM符号持续时间

把每个子载波传输的内容是一个符号（比如QAM调制的结果），由于把一个载波分为了多个子载波并行处理，符号持续时间隔也就是处理单个子载波的时间， 为实现最大频谱效率，一般取符号持续时间=1/子载波间隔 ，对802.11 n/ac，符号持续时间为 3.2us=1/312.5

保护间隔

Short Guard Interval (GI)，由于多径效应（即使单路传输也存在）的影响，信息符号(Information Symbol)将通过多条路径传递，可能会发生彼此碰撞，导致ISI干扰。为此，802.11a/g标准要求在发送信息符号时，必须保证在信息符号之间存在800 ns的时间间隔，这个间隔被称为Guard Interval (GI)。802.11n仍然使用缺省使用800 ns GI

当多径效应不是很严重时，用户可以将该间隔配置为400ns（=0.4us即Short GI），对于一条空间流，可以将吞吐提高近10%，即从65Mbps提高到72.2 Mbps。对于多径效应较明显的环境，不建议使用Short Guard Interval (Short GI)

预设的调制和编码方案

HT/VHT/HEW

分别对应802.11 n/ac/ax，指的是高、超高吞吐，高效无线网络（High-Efficiency Wireless - HEW），后接数字指示频宽

MCS

MCS (Modulation Coding Scheme)调制和编码方案

在802.11a/b/g时代，配置AP工作的速率非常简单，只要指定特定radio类型(802.11a/b/g)所使用的速率集，速率范围从1Mbps到54Mbps,一共有12种可能的物理速率。

到了802.11n时代，由于物理速率依赖于调制方法、编码率、空间流数量、是否40MHz绑定等多个因素。这些影响吞吐的因素组合在一起，将产生非常多的物理速率供选择使用。比如基于Short GI，40MHz绑定等技术，在4条空间流的条件下，物理速率可以达到600Mbps(即4*150)

为此，802.11n提出了MCS的概念。MCS可以理解为这些影响速率因素的完整组合，每种组合用整数来唯一标示，于是就有了下表

至于802.11ax暂时作为上面的补充，添加了MCS10，11

回到最开始的问题

把本文最开始的OpenWrt的截图中的VHT-MCS 9对应过来就可以很方便的查到是866.7Mbps的速率

对于斐讯K3的5G速率可以由 256-QAM 4ss 80MHz SGI来计算1024QAM的速率，即由8bit到10bit，增加25%的速率，大约2100Mbps

144Mbps的由来，可以在Spatial Streams = 2的几行中找到对应的HT20-MCS 15 SGI以及VHT20-MCS 7 SGI，也就是说两种都有可能，后面我还是拿专业点的软件测试了下，确实是5G的WiFi，参考下表就有该5G WiFi不符合WiFi 5的标准，降为WiFi 4情有可原，只是后面那个802.11n就有些尴尬了

学校的AP是双频的，因为AP数量比较多，组网的时候几乎全频段都有，所以每个频段的频宽都设置的比较低以避免互相干扰，144Mpbs的协商速率对单设备限制50Mbps的情况足够了

另外有了上面的一些基础概念之后，方便选择合适的路由器和网卡，尤其是在当前这个向WiFi 6 过渡的阶段

WiFi 6的新特性

▲802.11ax技术构成模块示意图

TP-LINK的官网已经有比较简洁美观的介绍了，本文就接着上文提到的部分加以延伸

MU-MIMO

MU-MIMO 即Multi-User Multiple-Input Multiple-Output 的缩写，直译为“多用户 多输入 多输出”， 是最新Wi-Fi技术标准802.11ac Wave 2（即802.11ac 2.0标准）的最重要特性之一

802.11ax设备借鉴了802.11ac的部署经验，将使用波束成形技术同步将数据包发送至不同空间的用户。 换言之，AP会计算每个用户的信道矩阵，并同时将波束导向不同的用户——每路波束包含针对其目标用户的特定数据包。 802.11ax一次可支持8个多用户MIMO传输包的发送，而802.11ac一次可支持4个MIMO数据包。 而且，每次MU-MIMO传输都可能有自己的调制和解码集（MCS）和不同数量的空间串流。 以此类推，当使用MU-MIMO空间复用时，接入点会与以太网交换机进行比较，将冲突域从大型计算机网络缩小至单个端口。

作为MU-MIMO上行方向的新增功能，AP将通过一个触发帧从每个STA发起上行同步传输。 当多个用户及其数据包同时响应时，AP将信道矩阵应用于所接收的波束并将每个上行波束包含的信息分开， 同时它还可能发起上行多用户传输，从而接收来自所有参与STA的波束形成反馈信息

至于MU-MIMO的实际情况可以参考有关的测试：ACWIFI

OFDMA

802.11ax无线电可以利用正交频分多址（OFDMA） ，其是OFDM数字调制技术的多用户版本。OFDMA将信道细分为较小的频率分配，称为资源单元（RU）。

OFDM和OFDMA都通过称为逆快速傅立叶变换（IFFT）的数学函数将信道划分为子载波。子载波的间隔是正交的，因此尽管它们之间缺少保护带，它们也不会相互干扰。

通过细分信道，可以同时发生小帧到多个用户的并行传输。每个资源单元内的数据和导频子载波在OFDMA信道内都是相邻且连续的

802.11ax引入了更长的12.8μs的OFDM符号时间，这是传统符号时间3.2μs的四倍。子载波间隔等于符号时间的倒数。由于符号时间较长，子载波大小和间隔从312.5KHz降低到78.125KHz。窄子载波间隔允许更好的均衡并因此增强信道鲁棒性。

上面提到的OFDMA规格对理论速率提升约为10%

MU-OFDMA

802.11ax标准借鉴4G蜂窝技术的技术进步，在相同信道带宽中服务更多用户的另一技术是： 正交频分多址（OFDMA）。 基于802.11ac已经使用的现有正交频分多路复用(OFDM)数字调制方案，802.11ax标准进一步将特定的子载波集分配给个体用户， 即，它将现有的802.11信道（20、40、80和160MHz频宽）分为带有预定义数量的副载波的更小子信道。 802.11ax标准还借用现代LTE术语，将最小子信道称为资源单元(RU)，最少包含26个副载波。

密集用户环境下，许多用户通常无力争夺信道的使用机会，现在正交频分多址使用更小巧——但更具专用性的子信道同时服务多个用户，因此提升了每个用户的平均数据吞吐量。 802.11ax系统可能通过不同的资源单元规模实现信道的多路复用。注意，对于每20MHz带宽，信道的最小部分可容纳9个用户

AP依据多个用户的通信需求决定如何分配信道，始终在下行方向分配所有可用的资源单元。 它可能一次将整个信道仅分配给一个用户——与802.11ac当前功能相同——或者它可能对其进行分区，以便同时服务多个用户。

BSS Color

BBS(Base Service Station) Color， 基于色码的空间复用，为了改善密集部署场景中的系统层级性能以及频谱资源的使用效率，802.11ax标准实现了空间重用技术。 STA可以识别来自重叠基本服务集(BSS)的信号，并根据这项信息来做出媒体竞争和干扰管理决策。

这部分和速率关系不大

信号质量与无线速率

信号的衡量标准

一般我们都会有个信号强弱的标准，比如常用的WiFi和Cellular的Icon上被填满的图标面积，然而打开一些调试工具看到的是dbm这个单位，例如在OpenWrt的Wireless详情中有： Tx-Power: 23 dBm Signal: -64 dBm | Noise: 0 dBm Tx-Power指的是路由器信号的发射功率，无线功率一般以mw为单位，但是因为WiFi信号的能量通常为mw级，因此业界将WIFI信号大小表示为与1mw的强度比，用dbm来表示，对应关系是 \(signal=10log(\frac{P}{1mw})\) 这就有个非常方便的计算方式：

降低3dBm，是指信号强度降低到原先的1/2（二分之一）。

降低10dBm，是指信号强度降低到原先的1/10（十分之一）。

降低30dBm，是指信号强度降低到原先的1/1000（千分之一）。

有了这个之后，可以对信号的强度做一个大致的判断： 下图来自RSSI等级和信号强度

使用上图来源的网站提供的软件可以绘制出一个大致的信号强度分布图，可以参考来的调整AP的位置

除了dbm表示无线的收发功率之外，还要考虑到信道中的信噪比（SNR）,噪声也可以使用dbm为单位，所以计算dbm为SNR单位的时候把二者相减即可

与无线速率的关系

首先是会影响到协商速率，在发射端的信号到接收端，中间存在衰减和损失，其对通信的影响就是会产生高误码率，故为了达到可靠通信的需求需要采取高纠错性能的编码和调制方式，也就是影响到MCS，进而影响到协商速率和实际传输速率，而调整的标准就看设备的厂商的调教了

应用

有了上述的铺垫，就有了一些改善无线网络质量的途径，但是最重要的还是认清现实，理性对待

频段

因为某一个频段内的信道容量有限，在拥挤的时候噪声也多，故在选择频段的时候，尽可能的避开当前区域拥挤的信道，可以使用路由器的无线桥接功能（wireless scan）工具，查看路由器附近的信道占用的情况，或者用Netspot工具检测当前区域网络情况

特别说明的是2.4G频段已经相当的拥挤了，对于有高可靠性网络环境要求的情况，建议还是网线或者使用5G频段

提高发射功率

这里可以说是个经验上的技巧，首先，路由器的发射功率是受到国家标准的严格限制的，但是对于某些可以切换无线地区的路由器来说，可以通过该途径来提高发射功率，或者使用某些频段进而提高发射功率

使用高增益的天线，使用内置信号放大器的AP也是同样的逻辑

增加AP

Mesh，信号放大器，主路由+AP，无线漫游都是类似的途径，高端的设备往往配备了更好的硬件和算法，这点也是毋庸置疑的

参考

802.11 WiFi协议浅析

802.11ax高效率无线标准介绍-National Instruments

第七代无线技术802.11ax详解

02.11ax 11ac 11n WiFi全速率表

简说各种wifi无线协议的传输速率

IEEE 802.11理论速率计算