文/羅圣 何秀全

校園網(wǎng)中GRE隧道技術(shù)的應(yīng)用

文/羅圣 何秀全

隧道技術(shù)（Tunneling）是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送。新的幀頭提供路由信息，以便通過互聯(lián)網(wǎng)傳遞被封裝的負載數(shù)據(jù)。與VPN類似，隧道也可以直接將兩個處于互聯(lián)網(wǎng)上不同物理位置的網(wǎng)絡(luò)，通過路由器、服務(wù)器或三層（IP網(wǎng)絡(luò)層）網(wǎng)絡(luò)設(shè)備間接連接后，使用戶感覺到處在同一個內(nèi)部網(wǎng)絡(luò)之中，并無需使用類似VPN的客戶端。

目前使用較多隧道技術(shù)包括GRE（通用路由協(xié)議封裝）隧道、IPv4 over IPv6隧道、IPv6 over IPv4隧道等。GRE隧道是兩臺或兩臺以上跨越多個網(wǎng)絡(luò)的設(shè)備之間將所支持的各種數(shù)據(jù)包封裝在一個普通IP數(shù)據(jù)包中進行傳輸；IPv4 over IPv6隧道是將IPv4的數(shù)據(jù)包封裝在IPv6數(shù)據(jù)包中互相通訊，目的是為了解決某些特殊地點純IPv6單鏈路情況下的IPv4通訊或利用IPv6目前較為空閑的帶寬承載日益緊張的IPv4流量問題；IPv6 over IPv4是將IPv6的數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中進行傳輸，主要是為了解決因兩個節(jié)點中間設(shè)備過于陳舊而不支持IPv6協(xié)議產(chǎn)生的信息孤島問題。

GRE隧道技術(shù)剖析

GRE（通用路由協(xié)議封裝）是隧道中應(yīng)用范圍較廣，也是最常見的一種隧道，由Cisco和Net-smiths等公司于1994年提交給IETF，標號為RFC1701和RFC1702。目前絕大部分廠商的網(wǎng)絡(luò)設(shè)備均支持GRE隧道協(xié)議。

GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、等各種協(xié)議數(shù)據(jù)包，并支持全部的路由協(xié)議（如EIGRP、OSPF等）。GRE協(xié)議數(shù)據(jù)包的格式是由乘客協(xié)議、封裝協(xié)議和運輸協(xié)議三部分組成的：

1) 乘客協(xié)議：乘客協(xié)議是指用戶要傳輸?shù)臄?shù)據(jù)，也就是被封裝的數(shù)據(jù)。這是用戶真正要傳輸?shù)臄?shù)據(jù)，它們可以是IP、 IPX等。如果是 IP 協(xié)議，其中包含的地址有可能是保留 IP 地址，例如企業(yè)內(nèi)部的私有保留IP 地址。

2) 封裝協(xié)議：封裝協(xié)議用于建立、 保持和拆卸隧道。它把乘客協(xié)議報文進行了“包裝”，加上了一個 GRE 頭部，然后再把封裝好的原始報文和 GRE 頭部，放在 IP 報文的“數(shù)據(jù)區(qū)” 中，由 IP 進行傳輸。

3) 運輸協(xié)議：運輸協(xié)議是乘客協(xié)議被封裝之后應(yīng)用的運輸協(xié)議。IP 協(xié)議就是最常見的運輸協(xié)議，一般使用 IP 協(xié)議對 GRE協(xié)議報文進行運輸。

通過GRE，用戶可以使用保留地址進行網(wǎng)絡(luò)互連，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。雖然GRE并不支持加密，但是可以配合IPsec，或者通過tunnel key命令（Cisco IOS）在隧道的兩頭各設(shè)置一個相同的明文密鑰，密鑰匹配后設(shè)備才能通訊。

在使用GRE隧道后，發(fā)送出去的IP數(shù)據(jù)包封裝會產(chǎn)生如圖1所示的變化：

20世紀初，美國實用主義哲學(xué)家、教育家約翰·杜威（John Dewey）將經(jīng)驗（experience）這一概念引入教育理論中來——“教育，就是經(jīng)驗的改組和改造”。經(jīng)驗，是我們通過感覺器官得到的關(guān)于客觀事物的表征、現(xiàn)象和外部聯(lián)系的認識。師范生在從學(xué)校畢業(yè)之前，并沒有大量教學(xué)的直接實踐經(jīng)驗，然而他們“直接與課堂教師交往相處的時間達到一萬三千個小時”——（ 丹·羅蒂Dan C.Lortie, 芝加哥大學(xué)）。有些影響已經(jīng)先入為主，要扭轉(zhuǎn)這樣的現(xiàn)狀并不是一件容易的事情，不能一朝一夕就得到改變，因此筆者建議相關(guān)的專業(yè)教師采取以下的對策。

由于GRE封裝后，數(shù)據(jù)包容量增加，因此可能會遇到GRE的數(shù)據(jù)包大于網(wǎng)絡(luò)接口所設(shè)定的數(shù)據(jù)包最大傳輸單元（MTU）的情況，此時，無需調(diào)整每一個所經(jīng)過的網(wǎng)絡(luò)設(shè)備MTU值，只需要將兩端網(wǎng)絡(luò)設(shè)備的TCP分段值設(shè)置為1436字節(jié)（GRE數(shù)據(jù)包頭24字節(jié)+IP包頭20字節(jié)+TCP包頭20字節(jié)+分段后的TCP載荷1436字節(jié)=1500字節(jié)）。

圖1 GRE數(shù)據(jù)包結(jié)構(gòu)

GRE隧道的應(yīng)用實例

應(yīng)用背景

高校網(wǎng)絡(luò)管理人員一般管理著多條ISP線路，必須配置、調(diào)整內(nèi)部網(wǎng)絡(luò)設(shè)備以達到最優(yōu)化，確保線路的連通性。高校一般用戶類型較多，需要為不同的用戶分配不同的IP地址段，并使用不同出口。圖2所示的高校，有教育網(wǎng)、電信和新聯(lián)通出口線路。

由于部分使用教育網(wǎng)的用戶訪問電信、聯(lián)通、國外速度較慢，利用外地較為廉價的聯(lián)通線路，在至外地教育網(wǎng)速度較為理想的情況下，構(gòu)建一條教育網(wǎng)內(nèi)部之間的點對點GRE封裝隧道，再將用戶的http/https請求通過隧道加PBR（策略路由/Policy Based Route）方式將其指向到外地的某臺網(wǎng)絡(luò)設(shè)備上，該網(wǎng)絡(luò)設(shè)備同時連接著比本地更廉價的聯(lián)通線路與教育網(wǎng)，這樣一來除了達到降低上網(wǎng)資費的目的，也緩解了本地電信/網(wǎng)絡(luò)出口線路資源不足的問題。

具體配置

硬件環(huán)境為Cisco6509三層交換機，并使用了SUP720-3B雙引擎，IOS軟件版本為12.2(18)SXF8，目標是新建一個隧道接口，與遠端路由器構(gòu)建起一個虛擬的點對點連接。

第一步，在特權(quán)模式下轉(zhuǎn)入全局配置模式，并建立并啟用一個接口號為3的隧道。

圖2 某高校拓撲

第二步，為這個接口配置IP地址。

第四步，為防止中間線路出現(xiàn)不可預(yù)見性的故障后，此隧道能自動斷開，以便后續(xù)設(shè)置生效，諸如策略路由在檢測到后線路中斷狀態(tài)后，會改走其他默認路由，故需要配置keepalive命令，這里將設(shè)置為每60秒進行一次探測，如3次后遠端無應(yīng)答，系統(tǒng)將認為此線路已中斷，進而自動關(guān)閉隧道接口。Keepalive命令是基于發(fā)送icmp（Internet Control Message Protocol/互聯(lián)網(wǎng)控制消息協(xié)議）應(yīng)答數(shù)據(jù)包，所以在這段路徑中必須允許icmp數(shù)據(jù)包暢通，如有屏蔽，將無法獲取遠端網(wǎng)絡(luò)設(shè)備的存活信息，導(dǎo)致端口自動關(guān)斷。

第五步，在另一端路由器上也需要配置相應(yīng)的隧道接口以及對應(yīng)的IP地址等。

兩端完成配置后，可以互相嘗試ping對端地址做連通性測試，如能夠返回目的地可達的信息，即代表配置的隧道已正常工作。兩點注意事項

GRE隧道在很大程度上方便了跨越多個節(jié)點的網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的連接，使得兩個網(wǎng)絡(luò)之間的應(yīng)用更通暢，但是因為數(shù)據(jù)包的再封裝，對線路產(chǎn)生一些額外的基本開銷，利用率不如之前高，不過這些開銷只占到之前的百分之一左右，即如果原先100Mbit的線路，在使用GRE隧道后由于增加包頭，所以將會打上一個折扣，大約可以用到98～99Mbit左右?guī)?，所以基本上可以忽略不計?/p>

另外，GRE隧道因自身的特性關(guān)系，其并不是一條可見的實體物理鏈路，所以在實際應(yīng)用當(dāng)中，會發(fā)生一端隧道關(guān)閉，但另一端卻還是開啟，或者隧道的兩點之間ISP的網(wǎng)絡(luò)設(shè)備故障中斷通信后，但兩端隧道依然開啟但實際已經(jīng)無法正常通訊的狀態(tài)的情況。因此，需要在GRE隧道的接口使用keepalive 命令，可選參數(shù)依次為間隔時間、嘗試次數(shù)，例如：keepalive 60 3，代表每隔60秒鐘循環(huán)一次探測對端設(shè)備是否可達，如果嘗試3次失敗后，將自動關(guān)閉隧道接口。這樣，關(guān)鍵業(yè)務(wù)的通信數(shù)據(jù)流將因最高優(yōu)先級的策略路由失效而由第二優(yōu)先的默認路由生效，改走其他接口，最長中斷時間也僅僅在3分鐘左右，不會長時間影響正常業(yè)務(wù)。

（作者單位為上海外國語大學(xué)網(wǎng)絡(luò)信息中心）

AMD發(fā)布新一代皓龍?zhí)幚砥?/p>

2011年11月14日， AMD 公司發(fā)布AMD皓龍6200和4200系列處理器(產(chǎn)品代號分別為“Interlagos” 和“Valencia”)。AMD全球副總裁兼商用事業(yè)部總經(jīng)理Paul Struhsaker表示：“我們的行業(yè)正處于一個新的接合點，虛擬化已經(jīng)帶來更加可靠的整合，而企業(yè)正尋求通過云計算實現(xiàn)更高的靈活性和效率。我們?yōu)榇嗽O(shè)計了全新的AMD皓龍?zhí)幚砥?，為用戶帶來性能、可擴展性和能效的平衡?；谠摦a(chǎn)品，OEM廠商可以為云計算、企業(yè)用戶和高性能計算客戶提供一整套解決方案。”

據(jù)了解，AMD已經(jīng)拓展其2012年產(chǎn)品路線圖，增加AMD皓龍3000系列平臺。該平臺面向超高密度、超低能耗的單路網(wǎng)絡(luò)主機/網(wǎng)絡(luò)服務(wù)器以及微服務(wù)器市場。首顆處理器將為代號為“Zurich”(蘇黎世)的4～8核CPU，同樣基于“Bulldozer”（推土機）核心，采用Socket AM3+ 接口。AMD皓龍3000系列平臺為托管用戶而設(shè)計，其客戶需要專用的服務(wù)器，這些云計算和網(wǎng)絡(luò)托管用戶期望以更低價格的基礎(chǔ)架構(gòu)節(jié)省成本，但同時具備服務(wù)器部署的可靠性和安全性，以及服務(wù)器操作系統(tǒng)認證。

網(wǎng)康為中小企業(yè)過冬做“棉衣”

在國際經(jīng)濟形勢增速放緩，國內(nèi)宏觀調(diào)控結(jié)構(gòu)調(diào)整等因素影響下，今年相當(dāng)部分中小企業(yè)將遭遇經(jīng)濟“寒冬”。如何有效提升員工的工作效率，在不影響現(xiàn)有生產(chǎn)力條件下降低人員成本，成為中小企業(yè)CEO關(guān)注的重點。

網(wǎng)康科技中小企業(yè)研究中心負責(zé)人認為：在這個關(guān)鍵時期，應(yīng)當(dāng)依靠IT技術(shù)來精準、有效“瘦身”。IT技術(shù)應(yīng)用得當(dāng)，可以有效提升員工效率，降低人員成本，為企業(yè)挖掘出最有價值的部門和員工。為此，網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品通過對互聯(lián)網(wǎng)內(nèi)容管控，有效提升員工工作效率。網(wǎng)康擁有較全面的URL數(shù)據(jù)庫，可準確識別并封堵影響員工工作效率的網(wǎng)站，封堵與工作無關(guān)的應(yīng)用流量，限制搶占帶寬的應(yīng)用流量，保障關(guān)鍵業(yè)務(wù)正常使用。

在“寒冬”期，網(wǎng)康上網(wǎng)行為管理產(chǎn)品智能分析模塊，可快速生成員工工作效率排名報告、部門工作效率排名報告等，為企業(yè)的CEO、HR部門提供決策依據(jù)。網(wǎng)康上網(wǎng)行為管理產(chǎn)品成為中小企業(yè)過冬的“棉衣”，幫助企業(yè)抵御經(jīng)濟“嚴寒”。