基于GRE隧道技术的互联网访问气象局域网方法

吴兆雄， 梁心雄

(1.广东省气象探测数据中心，广东广州　510080；2.广东省生态气象中心，广东广州　510080)



基于GRE隧道技术的互联网访问气象局域网方法

吴兆雄1， 梁心雄2

(1.广东省气象探测数据中心，广东广州510080；2.广东省生态气象中心，广东广州510080)

摘要：阐述了网络常用的GRE隧道技术及GRE隧道的管理方法，对GRE隧道所涉及的主要参数和接口属性进行了介绍。以2015年在三寓宾馆举办的广东省气象预报比武为实例，在排除了VPN拨号、NAT地址转换等方法的可行性后，讲述如何实现通过基于GRE隧道技术的互联网访问气象局域网，并形成了一套完整的实施方案，在该方案中，以思科交换机和天融信防火墙设备为基础，给出了具体的配置方法和路由脚本。

关键词：计算机技术与应用； 通用路由封装； 隧道技术； 隧道管理； 气象局域网

在气象业务工作中，常常出现需要通过互联网访问气象局域网的情况。2015年9月，广东省气象预报比武在三寓宾馆举行，全省共有将近120位选手参加该次比赛，组委会要求通过会场提供的互联网访问广东省气象局域网，让选手可以访问业务网和获取实时Micaps数据。由于用户同时接入数和访问速率的限制，VPN拨号和APN接入气象局域网的方案不能使用，尝试使用NAT地址转换的方式访问业务网和Micaps服务器，安全性和访问效果也不能令人满意。最后，决定使用通过建立GRE(Generic Routing Encapsulation，通用路由封装)隧道，实现比赛会场通过互联网直接访问气象局域网的需求。

1隧道技术介绍

1.1隧道技术

隧道就是一种网络封装技术，它通过一种网络协议来传输另外一种网络协议[1]，即利用一种网络传输协议，将其他网络传输协议产生的数据报文封装在它自己的报文中，再在网络中传输。实际上，隧道可以看作是一个虚拟的点到点连接[2]。目前，GRE隧道仅支持点到点的业务接入。

隧道技术简单来说就是：原始报文先在A点进行封装，到达B点后再把封装去掉，还原成原始报文，这样就形成了一条由A点到B点的通信隧道[3]。隧道技术就是指包括了数据封装、数据传输和数据解封装在内的全过程[4]。隧道是通过隧道协议来实现的，隧道协议规定了隧道的建立、维护和删除规则，以及怎样将原始数据封装在隧道中进行传输[5]。隧道协议分为2层和3层隧道协议[6]，其中本案例使用到的路由封装(GRE)就属于3层隧道协议。

1.2路由封装(GRE)协议

路由封装(GRE)最早是由思科提出的，目前它已经成为一种网络标准，被定义在RFC1701、RFC1702以及RFC 2784中[7]。简单来说，GRE就是隧道协议的一种，其作用是从一个网络向另一个网络传输数据包[8]。

GRE是VPN隧道技术的其中一种[9]，其原理为在本端路由设备将3层报文封装到IP报文里，通过网络(例如Internet)传送到对端路由设备后进行解开还原。可以把Tunnel想象成一条DDN专线[10]，在Tunnel接口上配置的IP地址就相当于连接专线的串口IP地址。这个地址一般是内部IP地址，该地址在Internet上是不认识的。GRE隧道和虚拟专用网(VPN)有些相似[11]，是因为从技术层次上讲，GRE隧道是某一类型的VPN，但是并不是一个安全的隧道方式。不过也可以使用某种加密协议，例如VPN网络中常用的IPSec协议，对GRE隧道进行安全加密[12]。

2GRE隧道管理

由于本方案采用的是天融信防火墙，因此本研究所有配置与脚本以天融信为例。

2.1GRE隧道的参数

在防火墙中配置GRE隧道涉及到以下参数：

名称：隧道名称，必须以“gre-”作为开头[7]。

远程地址：隧道对端封装地址。

本地地址：隧道本地封装地址。

KEY：可选项，标示隧道关键字，作为验证隧道有效性的依据。隧道两端配置的KEY必须一致，否则无法通过验证。取值范围：0～4 294 967 295。

TTL：可选项，设置允许隧道生存时间。取值范围：1～255。

CSUM：可选项，设置是否开启校验和检查。如果开启校验和检查功能，则发送方将对GRE头及报文负载计算校验和，接收方对接收到的报文计算校验并与报文中的校验和进行比较，一致则对报文进一步处理，否则丢弃。on：开启；off：关闭。默认为off。

SEQ：可选项，设置是否开启序列号检查。开启后，收发双方将进行序列号同步，只有对同步的报文才进行进一步处理，否则将报文丢弃。on：开启；off：关闭。默认为off。

2.2GRE虚接口属性

在建立GRE隧道后，需要对GRE虚接口进行属性配置，涉及到以下参数：

接口状态：选中“打开”，则该接口状态显示为“启用”；如不打开，则接口状态显示为“禁用”，该子接口将不会工作[13]。

MTU：数据最大传输单元[14]，取值范围为68～1 500。

mss开关：设置mss开关状态。系统默认开关状态为“OFF”；如果选择“AUTO”，将自动设定mss值为“MTU值-40”，但在界面中不会显示；在某些特殊应用中，如果网络中某些设备的MTU值小于防火墙本身的MTU值而报文不允许分片重组时，则用户需要指定mss值。

mss值：当mss开关选择“指定值”时需要设定，取值范围为200～1 460。

Vsid：该接口所属的虚系统ID号，取值范围为0～254；默认为0，表示不属于任何虚系统。

Vrid：该接口所属的虚系统ID号，取值范围为0～254；默认为0，表示不属于任何虚系统。

接口地址：定义GRE虚接口的IP地址。在右侧文本框中输入接口地址和掩码后，点击“添加”按钮即可。(说明：要使OSPF路由信息通过GRE隧道转发，就必须为GRE虚接口设置IP地址，然后指定GRE虚接口所在网段运行OSPF协议。)

接口绑定：选择GRE接口绑定的属性，只有当需要对GRE接口的数据进行访问控制时需要设置该属性。

3运用GRE隧道技术实现互联网访问气象局域网

3.1预报比武网络系统结构介绍

如图1所示，2015年全省预报比武在三寓宾馆举行，共有近120名用户需要通过三寓宾馆会场提供的互联网访问气象内网，通过映射省局Micaps服务器和访问业务网获取最新气象资料。通过前期测试，排除了各种技术手段后，最终选择通过建立GRE隧道，实现比赛会场通过互联网直接访问气象局域网的需求。由于三寓宾馆原有互联网出口带宽不足，临时将互联网带宽增加至100 MB，并在三寓宾馆互联网出口前增设一台防火墙，三寓宾馆核心交换机利旧，在考试会场增设3台无线AP，以满足足够的热点接入。为了不影响原有互联网访问，在省气象局互联网出口前增设1台防火墙，省局核心交换机利旧。在两端防火墙上完成相关配置，建立GRE隧道，实现三寓宾馆考试会场通过Internet访问气象内网的需求。

图1　预报比武网络系统结构示意图

3.2系统方案

在该方案中，需要对两端防火墙、省局核心交换机和会场无线AP进行相关配置。该方案中所涉及的所有IP地址均为示例地址，非真实地址，所使用的设备为思科交换机和天融信防火墙。

1)三寓宾馆互联网出口防火墙配置。

(1)配置接口地址。Eth1接口配置互联网地址：1.1.1.1/255.255.255.248(此地址由三寓宾馆方提供)。Eth2接口配置内网地址：10.1.1.1/255.255.255.0，此地址段为用户最终获得的IP地址段，用以访问气象内网。

(2)配置DHCP。在Eth2接口配置DHCP，以便于用户能通过会场AP自动获取IP地址。具体配置如下，作用域：10.1.1.0/255.255.255.0，地址范围：10.1.1.10～10.1.1.200，网关：10.1.1.1，DNS：2.2.2.2和3.3.3.3。

(3)配置GRE隧道。具体配置如下，名称：gre-grmc，远程地址：1.2.1.1(该IP地址为省局所属互联网地址)，本地地址：1.1.1.1(即Eth1接口地址)，隧道关键字：123123(可配置为任意数字串，但必须与隧道对端保持一致)。其他参数可不用配置。

(4)配置GRE接口。配置接口状态为“启用”。其他参数可不用配置。

(5)配置路由。需配置两条路由信息，使访问省局网段IP报文出口为GRE隧道接口，其余IP报文出口为eth1：

目的 网关 出接口

10.0.0.0 0.0.0.0 gre-grmc

0.0.0.01.1.1.1eth1

2)省局互联网出口防火墙配置。

(1)配置接口地址。Eth1接口配置互联网地址：1.2.1.1(该IP地址为省局所属互联网地址)。Eth2接口配置内网地址：10.2.1.1/255.255.255.0，此IP地址为省局内网管理地址，Eth2接口连接省局核心交换机。

(2)配置GRE隧道。具体配置如下，名称：gre-grmc，远程地址：1.1.1.1(该IP地址为三寓宾馆所属互联网地址)，本地地址：1.2.1.1(即Eth1接口地址)，隧道关键字：123123(可配置为任意数字串，但必须与隧道对端保持一致)。其他参数可不用配置。

(3)配置GRE接口。配置接口状态为“启用”。其他参数可不用配置。

(4)配置路由。需配置三条路由信息，使访问三寓宾馆网段IP报文出口为GRE隧道接口，气象内网网段指向核心交换机，其余IP报文出口为eth1：

目的网关出接口

10.1.1.00.0.0.0gre-grmc

10.0.0.010.2.1.1eth2

0.0.0.0 1.2.1.1 eth1

3)省局核心交换机配置。

核心交换机需配置访问三寓宾馆网段路由，下一跳接口指定防火墙eth2口：

ip route 10.1.1.0 255.255.255.0 10.2.1.1

4)三寓宾馆无线AP配置。

由于放置于三寓宾馆的防火墙设置了DHCP，考试会场的无线AP只需接入会场信息口并设置SSID和接入密码，用户接入热点后便能使用网络，无需手动设置IP地址。

2015年广东省天气预报比武在三寓宾馆举行，这不同于以往在广东省局内培训场所进行比赛，可直接通过省气象局域网络直接访问各业务系统，而是需要通过互联网访问气象内网，这给网络部署带来了一定难度。起初，尝试使用VPN拨号的方式接入气象内网，现场单用户实测速率仅为10～20 kb/s，网络时延最大超过200 ms，访问业务网加载云图、雷达图、数值预报图等速度较慢，用户使用体验较差，而且全省共有将近120位选手参加比赛，由于基站最大接入连接数有限制，比赛时可能会出现无法建立链接的情况，无法保证网络畅通。随后又尝试了NAT地址转换的方式访问气象内网，但由于业务网内存在多条外部链接，用户无法正常访问，再加上对网络安全的考虑，此方法也不能使用。最终，采取了基于GRE隧道技术的互联网访问气象局域网方法，为确保网络畅通，要求三寓宾馆将互联网带宽从50 MB临时增加至100 MB，现场单用户实测速率可至2 Mb/s，网络时延最大不超过20 ms，可高速访问气象内网和调取Micaps数据等，在考试当天，一百多位选手同时接入气象内网，网络畅通。该方案对以后相似的网络应用场景需求具有很强的指导意义。

参考文献:

[1]朱璇.省气象局新建业务宽带备份系统的配置要点[J].广东气象，2011，33(2)：59-61.

[2]张翼，陈晓敏.气象市-县宽带网络升速路由器电口速率瓶颈的解决方案[J].广东气象，2013，35(4)：78-80.

[3]谢筱惠，刘锋，李旭东，等.浅谈基层台站网络管理[J].气象研究与应用，2013，34(3)：93-95.

[4]曾戊忠，李叶新.基于日志管理的珠海市气象网络数据系统[J].广东气象，2012，34(6)：58-60.

[5]黄晓云，赵晓利，林蟒，等.光纤技术在观测场数据通信中的应用[J].广东气象，2012，34(5)：60-61.

[6]何飞，廖铭燕，奚广平，等.网络信息技术在贺州市气象综合业务平台建设中的应用[J].气象研究与应用，2011，32(3)：62-65.

[7]马丽云，陈建文，吴达鸿，等.如何确保自动站资料上传成功[J].广东气象，2012，34(4)：2，67.

[8]周国明，王建庄，谭光洪，等.利用modem实现AV广州航空报文传真在线发送[J].广东气象，2010，32(6)：60-61.

[9]沈晓军.广西气象局网络安全问题及其分析[J].气象研究与应用，2011，32(S2)：278-279.

[10]关鸿志，陈静.无线气象LED及农村大喇叭系统建设方案 [J].广东气象，2013，35(1)：68-70.

[11]许伟彪，邓正良.用VPN虚拟技术构建传送电视天气预报专用通道[J].气象研究与应用，2010，31(S2)：213-214.

[12]陈捷雄，陈冰怀.闪电定位仪的通讯设置和故障排除[J].广东气象，2013，35(6)：70.

[13]谢碧栋，秦中勤.高山通信基站机房雷电电磁感应的防护[J].广东气象，2014，36(4)：65.

[14]张哲睿，丘良.中国气象网站的现状与未来发展趋势[J].气象研究与应用，2014，35(1)：122-124.

收稿日期：2015-10-08

作者简介：吴兆雄(1980年生)，男，硕士，主要从事网络系统维护和开发工作。E-mail：wzx@grmc.gov.cn

中图分类号：TP39

文献标识码：A

doi:10.3969/j.issn.1007-6190.2016.02.018

吴兆雄， 梁心雄.基于GRE隧道技术的互联网访问气象局域网方法[J].广东气象，2016,38(2)：73-76.