吳兆雄， 梁心雄

(1.廣東省氣象探測數(shù)據(jù)中心，廣東廣州　510080；2.廣東省生態(tài)氣象中心，廣東廣州　510080)

?

基于GRE隧道技術(shù)的互聯(lián)網(wǎng)訪問氣象局域網(wǎng)方法

吳兆雄1， 梁心雄2

(1.廣東省氣象探測數(shù)據(jù)中心，廣東廣州510080；2.廣東省生態(tài)氣象中心，廣東廣州510080)

摘要：闡述了網(wǎng)絡(luò)常用的GRE隧道技術(shù)及GRE隧道的管理方法，對GRE隧道所涉及的主要參數(shù)和接口屬性進行了介紹。以2015年在三寓賓館舉辦的廣東省氣象預報比武為實例，在排除了VPN撥號、NAT地址轉(zhuǎn)換等方法的可行性后，講述如何實現(xiàn)通過基于GRE隧道技術(shù)的互聯(lián)網(wǎng)訪問氣象局域網(wǎng)，并形成了一套完整的實施方案，在該方案中，以思科交換機和天融信防火墻設(shè)備為基礎(chǔ)，給出了具體的配置方法和路由腳本。

關(guān)鍵詞：計算機技術(shù)與應(yīng)用； 通用路由封裝； 隧道技術(shù)； 隧道管理； 氣象局域網(wǎng)

在氣象業(yè)務(wù)工作中，常常出現(xiàn)需要通過互聯(lián)網(wǎng)訪問氣象局域網(wǎng)的情況。2015年9月，廣東省氣象預報比武在三寓賓館舉行，全省共有將近120位選手參加該次比賽，組委會要求通過會場提供的互聯(lián)網(wǎng)訪問廣東省氣象局域網(wǎng)，讓選手可以訪問業(yè)務(wù)網(wǎng)和獲取實時Micaps數(shù)據(jù)。由于用戶同時接入數(shù)和訪問速率的限制，VPN撥號和APN接入氣象局域網(wǎng)的方案不能使用，嘗試使用NAT地址轉(zhuǎn)換的方式訪問業(yè)務(wù)網(wǎng)和Micaps服務(wù)器，安全性和訪問效果也不能令人滿意。最后，決定使用通過建立GRE(Generic Routing Encapsulation，通用路由封裝)隧道，實現(xiàn)比賽會場通過互聯(lián)網(wǎng)直接訪問氣象局域網(wǎng)的需求。

1隧道技術(shù)介紹

1.1隧道技術(shù)

隧道就是一種網(wǎng)絡(luò)封裝技術(shù)，它通過一種網(wǎng)絡(luò)協(xié)議來傳輸另外一種網(wǎng)絡(luò)協(xié)議[1]，即利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他網(wǎng)絡(luò)傳輸協(xié)議產(chǎn)生的數(shù)據(jù)報文封裝在它自己的報文中，再在網(wǎng)絡(luò)中傳輸。實際上，隧道可以看作是一個虛擬的點到點連接[2]。目前，GRE隧道僅支持點到點的業(yè)務(wù)接入。

隧道技術(shù)簡單來說就是：原始報文先在A點進行封裝，到達B點后再把封裝去掉，還原成原始報文，這樣就形成了一條由A點到B點的通信隧道[3]。隧道技術(shù)就是指包括了數(shù)據(jù)封裝、數(shù)據(jù)傳輸和數(shù)據(jù)解封裝在內(nèi)的全過程[4]。隧道是通過隧道協(xié)議來實現(xiàn)的，隧道協(xié)議規(guī)定了隧道的建立、維護和刪除規(guī)則，以及怎樣將原始數(shù)據(jù)封裝在隧道中進行傳輸[5]。隧道協(xié)議分為2層和3層隧道協(xié)議[6]，其中本案例使用到的路由封裝(GRE)就屬于3層隧道協(xié)議。

1.2路由封裝(GRE)協(xié)議

路由封裝(GRE)最早是由思科提出的，目前它已經(jīng)成為一種網(wǎng)絡(luò)標準，被定義在RFC1701、RFC1702以及RFC 2784中[7]。簡單來說，GRE就是隧道協(xié)議的一種，其作用是從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)傳輸數(shù)據(jù)包[8]。

GRE是VPN隧道技術(shù)的其中一種[9]，其原理為在本端路由設(shè)備將3層報文封裝到IP報文里，通過網(wǎng)絡(luò)(例如Internet)傳送到對端路由設(shè)備后進行解開還原?？梢园裈unnel想象成一條DDN專線[10]，在Tunnel接口上配置的IP地址就相當于連接專線的串口IP地址。這個地址一般是內(nèi)部IP地址，該地址在Internet上是不認識的。GRE隧道和虛擬專用網(wǎng)(VPN)有些相似[11]，是因為從技術(shù)層次上講，GRE隧道是某一類型的VPN，但是并不是一個安全的隧道方式。不過也可以使用某種加密協(xié)議，例如VPN網(wǎng)絡(luò)中常用的IPSec協(xié)議，對GRE隧道進行安全加密[12]。

2GRE隧道管理

由于本方案采用的是天融信防火墻，因此本研究所有配置與腳本以天融信為例。

2.1GRE隧道的參數(shù)

在防火墻中配置GRE隧道涉及到以下參數(shù)：

名稱：隧道名稱，必須以“gre-”作為開頭[7]。

遠程地址：隧道對端封裝地址。

本地地址：隧道本地封裝地址。

KEY：可選項，標示隧道關(guān)鍵字，作為驗證隧道有效性的依據(jù)。隧道兩端配置的KEY必須一致，否則無法通過驗證。取值范圍：0～4 294 967 295。

TTL：可選項，設(shè)置允許隧道生存時間。取值范圍：1～255。

CSUM：可選項，設(shè)置是否開啟校驗和檢查。如果開啟校驗和檢查功能，則發(fā)送方將對GRE頭及報文負載計算校驗和，接收方對接收到的報文計算校驗并與報文中的校驗和進行比較，一致則對報文進一步處理，否則丟棄。on：開啟；off：關(guān)閉。默認為off。

SEQ：可選項，設(shè)置是否開啟序列號檢查。開啟后，收發(fā)雙方將進行序列號同步，只有對同步的報文才進行進一步處理，否則將報文丟棄。on：開啟；off：關(guān)閉。默認為off。

2.2GRE虛接口屬性

在建立GRE隧道后，需要對GRE虛接口進行屬性配置，涉及到以下參數(shù)：

接口狀態(tài)：選中“打開”，則該接口狀態(tài)顯示為“啟用”；如不打開，則接口狀態(tài)顯示為“禁用”，該子接口將不會工作[13]。

MTU：數(shù)據(jù)最大傳輸單元[14]，取值范圍為68～1 500。

mss開關(guān)：設(shè)置mss開關(guān)狀態(tài)。系統(tǒng)默認開關(guān)狀態(tài)為“OFF”；如果選擇“AUTO”，將自動設(shè)定mss值為“MTU值-40”，但在界面中不會顯示；在某些特殊應(yīng)用中，如果網(wǎng)絡(luò)中某些設(shè)備的MTU值小于防火墻本身的MTU值而報文不允許分片重組時，則用戶需要指定mss值。

mss值：當mss開關(guān)選擇“指定值”時需要設(shè)定，取值范圍為200～1 460。

Vsid：該接口所屬的虛系統(tǒng)ID號，取值范圍為0～254；默認為0，表示不屬于任何虛系統(tǒng)。

Vrid：該接口所屬的虛系統(tǒng)ID號，取值范圍為0～254；默認為0，表示不屬于任何虛系統(tǒng)。

接口地址：定義GRE虛接口的IP地址。在右側(cè)文本框中輸入接口地址和掩碼后，點擊“添加”按鈕即可。(說明：要使OSPF路由信息通過GRE隧道轉(zhuǎn)發(fā)，就必須為GRE虛接口設(shè)置IP地址，然后指定GRE虛接口所在網(wǎng)段運行OSPF協(xié)議。)

接口綁定：選擇GRE接口綁定的屬性，只有當需要對GRE接口的數(shù)據(jù)進行訪問控制時需要設(shè)置該屬性。

3運用GRE隧道技術(shù)實現(xiàn)互聯(lián)網(wǎng)訪問氣象局域網(wǎng)

3.1預報比武網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)介紹

如圖1所示，2015年全省預報比武在三寓賓館舉行，共有近120名用戶需要通過三寓賓館會場提供的互聯(lián)網(wǎng)訪問氣象內(nèi)網(wǎng)，通過映射省局Micaps服務(wù)器和訪問業(yè)務(wù)網(wǎng)獲取最新氣象資料。通過前期測試，排除了各種技術(shù)手段后，最終選擇通過建立GRE隧道，實現(xiàn)比賽會場通過互聯(lián)網(wǎng)直接訪問氣象局域網(wǎng)的需求。由于三寓賓館原有互聯(lián)網(wǎng)出口帶寬不足，臨時將互聯(lián)網(wǎng)帶寬增加至100 MB，并在三寓賓館互聯(lián)網(wǎng)出口前增設(shè)一臺防火墻，三寓賓館核心交換機利舊，在考試會場增設(shè)3臺無線AP，以滿足足夠的熱點接入。為了不影響原有互聯(lián)網(wǎng)訪問，在省氣象局互聯(lián)網(wǎng)出口前增設(shè)1臺防火墻，省局核心交換機利舊。在兩端防火墻上完成相關(guān)配置，建立GRE隧道，實現(xiàn)三寓賓館考試會場通過Internet訪問氣象內(nèi)網(wǎng)的需求。

圖1　預報比武網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)示意圖

3.2系統(tǒng)方案

在該方案中，需要對兩端防火墻、省局核心交換機和會場無線AP進行相關(guān)配置。該方案中所涉及的所有IP地址均為示例地址，非真實地址，所使用的設(shè)備為思科交換機和天融信防火墻。

1)三寓賓館互聯(lián)網(wǎng)出口防火墻配置。

(1)配置接口地址。Eth1接口配置互聯(lián)網(wǎng)地址：1.1.1.1/255.255.255.248(此地址由三寓賓館方提供)。Eth2接口配置內(nèi)網(wǎng)地址：10.1.1.1/255.255.255.0，此地址段為用戶最終獲得的IP地址段，用以訪問氣象內(nèi)網(wǎng)。

(2)配置DHCP。在Eth2接口配置DHCP，以便于用戶能通過會場AP自動獲取IP地址。具體配置如下，作用域：10.1.1.0/255.255.255.0，地址范圍：10.1.1.10～10.1.1.200，網(wǎng)關(guān)：10.1.1.1，DNS：2.2.2.2和3.3.3.3。

(3)配置GRE隧道。具體配置如下，名稱：gre-grmc，遠程地址：1.2.1.1(該IP地址為省局所屬互聯(lián)網(wǎng)地址)，本地地址：1.1.1.1(即Eth1接口地址)，隧道關(guān)鍵字：123123(可配置為任意數(shù)字串，但必須與隧道對端保持一致)。其他參數(shù)可不用配置。

(4)配置GRE接口。配置接口狀態(tài)為“啟用”。其他參數(shù)可不用配置。

(5)配置路由。需配置兩條路由信息，使訪問省局網(wǎng)段IP報文出口為GRE隧道接口，其余IP報文出口為eth1：

目的 網(wǎng)關(guān) 出接口

10.0.0.0 0.0.0.0 gre-grmc

0.0.0.01.1.1.1eth1

2)省局互聯(lián)網(wǎng)出口防火墻配置。

(1)配置接口地址。Eth1接口配置互聯(lián)網(wǎng)地址：1.2.1.1(該IP地址為省局所屬互聯(lián)網(wǎng)地址)。Eth2接口配置內(nèi)網(wǎng)地址：10.2.1.1/255.255.255.0，此IP地址為省局內(nèi)網(wǎng)管理地址，Eth2接口連接省局核心交換機。

(2)配置GRE隧道。具體配置如下，名稱：gre-grmc，遠程地址：1.1.1.1(該IP地址為三寓賓館所屬互聯(lián)網(wǎng)地址)，本地地址：1.2.1.1(即Eth1接口地址)，隧道關(guān)鍵字：123123(可配置為任意數(shù)字串，但必須與隧道對端保持一致)。其他參數(shù)可不用配置。

(3)配置GRE接口。配置接口狀態(tài)為“啟用”。其他參數(shù)可不用配置。

(4)配置路由。需配置三條路由信息，使訪問三寓賓館網(wǎng)段IP報文出口為GRE隧道接口，氣象內(nèi)網(wǎng)網(wǎng)段指向核心交換機，其余IP報文出口為eth1：

目的網(wǎng)關(guān)出接口

10.1.1.00.0.0.0gre-grmc

10.0.0.010.2.1.1eth2

0.0.0.0 1.2.1.1 eth1

3)省局核心交換機配置。

核心交換機需配置訪問三寓賓館網(wǎng)段路由，下一跳接口指定防火墻eth2口：

ip route 10.1.1.0 255.255.255.0 10.2.1.1

4)三寓賓館無線AP配置。

由于放置于三寓賓館的防火墻設(shè)置了DHCP，考試會場的無線AP只需接入會場信息口并設(shè)置SSID和接入密碼，用戶接入熱點后便能使用網(wǎng)絡(luò)，無需手動設(shè)置IP地址。

2015年廣東省天氣預報比武在三寓賓館舉行，這不同于以往在廣東省局內(nèi)培訓場所進行比賽，可直接通過省氣象局域網(wǎng)絡(luò)直接訪問各業(yè)務(wù)系統(tǒng)，而是需要通過互聯(lián)網(wǎng)訪問氣象內(nèi)網(wǎng)，這給網(wǎng)絡(luò)部署帶來了一定難度。起初，嘗試使用VPN撥號的方式接入氣象內(nèi)網(wǎng)，現(xiàn)場單用戶實測速率僅為10～20 kb/s，網(wǎng)絡(luò)時延最大超過200 ms，訪問業(yè)務(wù)網(wǎng)加載云圖、雷達圖、數(shù)值預報圖等速度較慢，用戶使用體驗較差，而且全省共有將近120位選手參加比賽，由于基站最大接入連接數(shù)有限制，比賽時可能會出現(xiàn)無法建立鏈接的情況，無法保證網(wǎng)絡(luò)暢通。隨后又嘗試了NAT地址轉(zhuǎn)換的方式訪問氣象內(nèi)網(wǎng)，但由于業(yè)務(wù)網(wǎng)內(nèi)存在多條外部鏈接，用戶無法正常訪問，再加上對網(wǎng)絡(luò)安全的考慮，此方法也不能使用。最終，采取了基于GRE隧道技術(shù)的互聯(lián)網(wǎng)訪問氣象局域網(wǎng)方法，為確保網(wǎng)絡(luò)暢通，要求三寓賓館將互聯(lián)網(wǎng)帶寬從50 MB臨時增加至100 MB，現(xiàn)場單用戶實測速率可至2 Mb/s，網(wǎng)絡(luò)時延最大不超過20 ms，可高速訪問氣象內(nèi)網(wǎng)和調(diào)取Micaps數(shù)據(jù)等，在考試當天，一百多位選手同時接入氣象內(nèi)網(wǎng)，網(wǎng)絡(luò)暢通。該方案對以后相似的網(wǎng)絡(luò)應(yīng)用場景需求具有很強的指導意義。

參考文獻:

[1]朱璇.省氣象局新建業(yè)務(wù)寬帶備份系統(tǒng)的配置要點[J].廣東氣象，2011，33(2)：59-61.

[2]張翼，陳曉敏.氣象市-縣寬帶網(wǎng)絡(luò)升速路由器電口速率瓶頸的解決方案[J].廣東氣象，2013，35(4)：78-80.

[3]謝筱惠，劉鋒，李旭東，等.淺談基層臺站網(wǎng)絡(luò)管理[J].氣象研究與應(yīng)用，2013，34(3)：93-95.

[4]曾戊忠，李葉新.基于日志管理的珠海市氣象網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)[J].廣東氣象，2012，34(6)：58-60.

[5]黃曉云，趙曉利，林蟒，等.光纖技術(shù)在觀測場數(shù)據(jù)通信中的應(yīng)用[J].廣東氣象，2012，34(5)：60-61.

[6]何飛，廖銘燕，奚廣平，等.網(wǎng)絡(luò)信息技術(shù)在賀州市氣象綜合業(yè)務(wù)平臺建設(shè)中的應(yīng)用[J].氣象研究與應(yīng)用，2011，32(3)：62-65.

[7]馬麗云，陳建文，吳達鴻，等.如何確保自動站資料上傳成功[J].廣東氣象，2012，34(4)：2，67.

[8]周國明，王建莊，譚光洪，等.利用modem實現(xiàn)AV廣州航空報文傳真在線發(fā)送[J].廣東氣象，2010，32(6)：60-61.

[9]沈曉軍.廣西氣象局網(wǎng)絡(luò)安全問題及其分析[J].氣象研究與應(yīng)用，2011，32(S2)：278-279.

[10]關(guān)鴻志，陳靜.無線氣象LED及農(nóng)村大喇叭系統(tǒng)建設(shè)方案 [J].廣東氣象，2013，35(1)：68-70.

[11]許偉彪，鄧正良.用VPN虛擬技術(shù)構(gòu)建傳送電視天氣預報專用通道[J].氣象研究與應(yīng)用，2010，31(S2)：213-214.

[12]陳捷雄，陳冰懷.閃電定位儀的通訊設(shè)置和故障排除[J].廣東氣象，2013，35(6)：70.

[13]謝碧棟，秦中勤.高山通信基站機房雷電電磁感應(yīng)的防護[J].廣東氣象，2014，36(4)：65.

[14]張哲睿，丘良.中國氣象網(wǎng)站的現(xiàn)狀與未來發(fā)展趨勢[J].氣象研究與應(yīng)用，2014，35(1)：122-124.

收稿日期：2015-10-08

作者簡介：吳兆雄(1980年生)，男，碩士，主要從事網(wǎng)絡(luò)系統(tǒng)維護和開發(fā)工作。E-mail：wzx@grmc.gov.cn

中圖分類號：TP39

文獻標識碼：A

doi:10.3969/j.issn.1007-6190.2016.02.018

吳兆雄， 梁心雄.基于GRE隧道技術(shù)的互聯(lián)網(wǎng)訪問氣象局域網(wǎng)方法[J].廣東氣象，2016,38(2)：73-76.