基于GRE VPN的校園網接入方式及實現

摘 要:校園網為學校的教學、科研、信息交流、協同工作等發揮著重要作用，在欠發達偏遠地區如何能讓校園網接入CERNET及發揮其應有的作用。對這一問題，首先從校園網中VPN的需求情況進行分析;其次對VPN主要技術協議進行比較，給出不同應用環境下VPN協議的選擇方法;最后結合CERNET的遠程接入，給出VPN的實現及典型案例，并對實現過程中的一些問題進行了分析，提出了解決方法。

關鍵詞:虛擬專用網絡;隧道技術;校園網接入;需求分析

中圖分類號:TP393文獻標識碼:A

文章編號:1004-373X(2010)06-090-04

Access and Implementation ofCampus Network Based on GRE VPN

ZHANG Cheng1，SHI Xueping1，REN Linyuan2

(1.Yan′an University，Yan′an，716000，China;2.Xi′an Technological University，Xi′an，710032，China)

Abstract:Internet of campus is useful for scientific research，teaching，communicaion of information and cooperation of working.However，accessing campus internet into CERNET and making an important role in remote area is a challenge.The requirement of VPN in campus Internet is analysed.The center protocols of VPN are compared and the selecting methods for different applied conditions are given.The realizing procedure of VPN which considered the long-distance access of CERNET is proposed.For some problems in this procedure，the solutions are analysed.

Keywords:virtual private network;tunnel technology;campus network access;analysis of requirement

0 引 言

在國外，從校外遠程訪問校內資源的服務已開展得相當普遍，隨著我國教育的發展變化，院校的合并，多校區的建設等情況，國內這方面的研究和應用也開始興起。2001年以來，國家對西部大學大量投資用于校園網的建設，從此西部各高校有了自己的校園網。近年來，隨著職業教育的發展，各地方紛紛辦起了職業技術學院，國家對這些學院進行了大力的支持。現在這些學院正在開始建立自己的校園網等信息平臺和應用系統，而這些學院技術力量相對比較薄弱，如何管好、用好校園網，保障校園網信息的安全性和可運營性，使校園網發揮最大的效益，向網絡的管理者提出了新的要求。在網絡建設與管理中，探索出了合理地利用VPN技術，不但可以減少經費的投入，而且可以保障網絡信息安全。

具體而言，虛擬專用網(Virtual Private Network，VPN)是在公共網絡上建立的一個獨立于公共網絡的專用邏輯網絡，利用公用網絡線路通過加密等手段傳輸企業內部數據的通信網絡技術。目前VPN主要采用隧道技術、加解密技術、密鑰管理技術、身份認證技術等四項技術來保證安全。

1 VPN應用需求分析

1.1 非省會城市高校的CERNET接入

由于CERNET光纜現在只架設到省會城市，非省會城市高校的CERNET接入，除了要分擔CERNET信息費外，還要租用運營商的光纖來進行信息的傳送，但租用光纖費用非常大，利用VPN技術可以使非省會城市高校利用Internet本地接入實現與CERNET的遠程連接，這樣不但訪問不受限制，而且可以大大地節約經費。

1.2 多校區信息共享

在一個城市內的多個校區，為了實現信息資源共享，可用租用或自己架設光纜連通，但分布在不同城市的校區(分校)若采用租用光纜的方式，代價就非常昂貴，這樣兩個校區可分別建立自己的網絡并接入Internet，利用VPN技術實現兩個校區網絡的內部資源互訪，這樣就實現了跨校區教學與科研等信息資源的共享。

1.3 用戶的遠程訪問

學校師生員工外出時常需要訪問校園網內部信息、辦公等，有些學校的住宅小區的網絡建設由運營商投資運行，這樣小區的用戶將不能訪問校園的內部資源，給教師查閱資料、互動教學、辦公等帶來了很大的不便。利用VPN的客戶遠程訪問認證技術可以很好、很安全地解決這個問題。

2 VPN發展狀況及其協議的比較

近年來，由于VPN需求的不斷增大，大多數公司都在自己的設備上實現了不同形式的VPN功能，也出現了專門生產網絡安全的VPN設備。基于IPSec VPN與SSL VPN各自的優缺點，有的公司還將IPSec VPN與SSL VPN進行了結合，產生了二合一網關VPN產品。這些產品可以很好地解決校園網上的各種需要，但價格較高，需要增加投資。由于GRE的RFC標志是由CISCO公司制定，CISCO公司的產品是支持GRE協議的，現在多數廠商的設備也都支持基于GRE隧道協議的VPN運行模式。而結點一般是個具有足夠處理能力的路由器或防火墻，不用再另外投入設備，因此為了通用起見，這里著重討論在接入中采用GRE協議的VPN。

VPN具體實現形式多種多樣，但都基于一種稱作安全或者加密的隧道(Tunnel)技術。這種技術可以用來提供網絡到網絡(Network to Network)，主機到網絡(Host to Network)的連接。

2.1 GRE VPN

通用路由封裝協議(Generic Routing Encapsulation，GRE)工作在第三層。它是利用一種網絡協議去封裝另一種協議，隧道由其兩端的源IP地址和目的IP地址來定義，GRE協議棧如圖1所示。GRE并未對數據進行真正的加密，它僅將IP數據包加上GRE頭后封裝在IP數據項內，從路由器看來，GRE是一個點到點的隧道，是將IP數據包封裝在以封裝路由器為源地址，以目的路由器為目的地址的數據包內，僅局限于對數據包在IP網絡層上建立VPN通道，所以GRE是非省會城市高校接入CERNET的最佳選擇。

2.2 IPSec VPN與SSL VPN的比較

IPSec VPN和SSL VPN是兩種典型的VPN構架，IPSec VPN工作于網絡層，提供所有在網絡層上的數據保護和透明的安全通信，主要是對數據的加密和對數據收發方的身份認證，而SSL VPN工作在應用層和TCP/IP之間，它為TCP/IP連接提供數據加密、服務器身份驗證和消息完整性驗證，被視為因特網上Web瀏覽器與服務器的安全標準，從整體的安全等級來看，兩者都能夠提供安全的遠程接入，IPSec VPN適合于“LAN-LAN”的安全連接，而SSL VPN更適合于遠程分散移動用戶到校園內部網“PC-LAN”的安全接入，這兩種VPN的比較詳見文獻[1]。

圖1 GRE協議棧

3 典型案例及技術實現

延安大學地處陜西省北部延安市，距省會城市西安300多千米，由于CERNET(教育科研網)主光纖只連接到省會城市，要接入CERNET，除了要交納CERNET信息費外，還必須租用長途數字線路，而租用10 Mb/s的長途數字電路，每年需要10多萬元，若要租用100 Mb/s長途數字電路，每年僅線路租用費用就需60多萬元。為了很好的解決這些問題，延安大學從2003年開始到現在都是采用本地接入INTERNET，通過VPN的方式與CERNET西北接點相連，很好的實現了CERNET的接入，為學校節省了不少經費。

現在處在偏遠地區的部分高校、職業技術學院都在或者剛建立起校園網，也都需要接入CERNET，采用這種方式是一個非常好的選擇。

3.1 非省會城市CERNET接入

GRE隧道連接如圖2所示。為了安全，圖中沒有給出具體IP，用IP標識來說明連接方法，具體使用中只需更換為自己的實際IP。

其中:IP1為CERNET節點接入公網的地址;IP2為XX大學接入公網的地址;IP3，IP4為CERNET節點分配給GRE VPN隧道的接口IP地址，在同一網段;IP5為CERNET地址;IP6為CERNET分配給XX大學的地址。

圖2 GRE VPN組建圖

訪問的策略通常有兩種情況:

(1) 所有訪問均通過CERNET，ISP只提供本地連接線路，該策略配置簡單，也不需做NAT配置等。

(2) 在訪問CERNET時通過隧道，其他訪問通過ISP提供的CHINANET，這個配置訪問速度較快。策略配置時要清楚目的IP地址是CERNET的還是非CERNET的，對CERNET的做靜態路由，缺省的走ISP，并要做相應的NAT地址轉換。

GRE Tunnel建立IP關系見表1。

表1 GRE Tunnel IP關系對應表

路由設備公網IPTunnel IPSource IPDestation IP

Router A61.185.2.x202.x.1.1/3061.185.2.x61.185.9.x

Router B61.185.9.x202.x.1.2/3061.185.9.x61.185.2.x

GRE Tunnel建成后，配置通過tunnel訪問對方的路由。參考配置如下:

路由器A:

interface Ethernet0/1

ip address 10.1.1.x 255.255.255.0

interface Serial0/0

ip address 61.185.2.x 255.255.255.0

interface Tunnel0

ip address 202.X.1.1 255.255.255.252

tunnel source Serial0/0

tunnel destination 61.185.9.x

路由器B:

interface FastEthernet0/1

ip address 10.2.2.x 255.255.255.0

interface Serial0/0

ip address 61.185.9.x 255.255.255.252

interface Tunnel0

ip address 202.X.1.2 255.255.255.252

tunnel source Serial0/0

tunnel destination 61.185.2.x

3.2 多校區互連及遠程訪問

在第2.2節中對多校區互連及遠程訪問使用的VPN協議進行了比較分析，多校區互連方法與GRE類似。從技術上來講，GRE是一種VPN，但它并不是一種安全的通道方法。不過可以用IPSec這樣的加密方法對GRE進行加密，構建一個安全的VPN。

遠程訪問技術與具體的硬件、軟件系統結合緊密，涉及到是否把IPSec通道延伸到內部網中的主機等與用戶實際需求有關的問題。

4 VPN問題分析及解決

延安大學從2003年開始使用VPN實現了CERNET接入，不但節約了經費，而且可以很方便的訪問CERNET資源，但在實際使用中出現一些難以解決的問題，下面列出比較典型的兩個問題。

4.1 部分網站不能被訪問

在使用過程中，發現大多數網站訪問正常，但有少數網站不能被正常訪問;在沒有加VPN時這些網站能訪問，但速度較慢，經過長時間的分析和測試，合理修改MTU值，解決了這個問題。

最大傳輸單元(Maximum Transmission Unit，MTU)是網絡上傳送的最大數據包，此值設定TCP/IP協議傳輸數據報時的最大傳輸單元，大部分網絡設備的MTU都是1 500 B。如果本機的MTU比網關的MTU大，大的數據包就會被拆開來傳送，這樣會產生很多數據包碎片，增加丟包率，降低網絡速度，導致部分網站不能訪問甚至網絡不通。把本機的MTU設成比網關的MTU小或相同，就可以減少丟包。

在TCP計算最大段長(MSS)時它不知道GRE頭將占用多少額外長度。計算路徑MTU在TCP層設置IP頭中的“不分段”位，在IP層調用GRE內核并增加GRE包頭如圖3所示，如果增加的長度超過了MTU，由于設置了“不分段”位，所以操作被拒絕。因此TCP在減少MSS后重試，但由于它使用了ICMP響應中返回的MTU，并且不考慮GRE頭的長度，所以重試不能成功。MTU決定著信息包的大小，如果信息包太小，同樣大小的數據就會分成很多個包傳輸，計算機不得不頻繁地做出響應;如果信息包太大則會產生錯誤，導致傳輸失敗。

圖3 GRE隧道端口報文格式

可以用下面的方法得出最佳的MTU值:

C:\\\\WINDOWS>ping 192.168.0.1-f -l 1500。其中192.168.0.1是網關IP地址，1 500是數據包的長度。如果出現:Packet needs to be fragmented but DF set，那表示MTU值太大了，需要更小的 MTU 值才行;假設使用1 430測試，C:\\\\WINDOWS>ping 192.168.0.1 -f -l 1430，出現的回應信息為:Reply from 192.168.0.1:tes=1430 time<10ms TTL=255，此時能夠Ping通，表示數據包不需要拆包，可以通過網關發送出去，這個MTU值是可行的。多試幾個值，找出可行的最大MTU值。利用上面這個方法找到的數值并不是MTU值，上面這個值加上數據包頭28 B，才是需要的MTU值。所以，在上面的例子中，需要的MTU 值是1 430+28=1 458 B。

設置MTU的最佳值是一個反復試驗的過程:從1 400~1 472 B之間多試幾次，就能找到合適的數據包長度。把數據包長度加上數據包頭28 B，就得到MTU的值。如果檢測到網關的MTU值是1 500，不需要修改。 如果網關有防火墻ping不通，可以直接把MTU設為1 400。使用下列值之一或許能解決一些由MTU值引起的問題:

1 500: 以太網信息包最大值，也是默認值。是沒有PPPoE和VPN 的網絡連接的典型設置;

1 492:PPPoE 的最佳值;

1 472:使用 ping的最大值 (大于此值的信息包會先被分解);

1 468:DHCP 的最佳值;

1 430:VPN 和 PPTP 的最佳值;

576: 撥號連接到 ISP的標準值。

4.2 兩校區資源共享中斷問題

延安大學西安創新學院地址設在西安，與母校距離遠，為了節約經費，并實現教學資源的合理利用，在實現異地兩校區電子圖書、電子期刊等資源共享時，由于兩端ISP提供商不同(一端是電信、另一端是鐵通)，給調試帶來了不便，網絡在使用三天后，無論如何也不能訪問，查看配置都沒有變，查看兩端的上網情況正常，經過2天的跟蹤檢查，對日志進行分析，最后發現問題在于鐵通將接入的IP地址段改變。

在解決與IPSec有關的問題時，日志是最有用的工具之一。但一個記錄在案的包含通道ID的數據包并不保證它已經被防火墻發送到了通道的另一端。它只是告訴你防火墻已經把數據發送給了IPSec內核。如果通道雙方不進行交互，則IPSec內核不發送數據包。跟蹤一下連接你就會發現某個記錄在日志文件中的包并不能在IP跟蹤中找到。如果在系統中看到有加密或認證的包，那么通道上的包就已經被發送出去了。

5 結 語

隨著Web應用的增多以及遠程接入需求的增長，VPN正在成為一個熱門市場。基于公共網的VPN通過隧道技術、數據加密技術以及QoS機制，使得校園網能夠降低成本、提高效率、增強安全性。VPN產品從第一代:VPN路由器、交換機，第二代的VPN集中器，發展到現在的二合一VPN專用設備，性能不斷得到提高。在信息化時代，學校發展需要進行大量信息處理，就需要利用好網絡這個工具，VPN技術將是學校最好的選擇之一，特別是對處在我國西部、欠發達地區的高等院校、職業技術學院，更有很大的利用價值，將會為這些學校節省大量的經費。

參考文獻

[1]王達.虛擬專用網(VPN)精解[M].北京:清華大學出版社，2004.

[2]Andrew G.CISCO安全虛擬專用網絡[M].李逢天，姜瑩，張偉，等譯.北京:人民郵電出版社，2002.

[3]Hanks S，Net Smiths，Ltd.RFC1701 - Generic Routing Encapsulation(GRE)[EB/OL].http://www.faqs.org/rfcs/rfc1701.html，1994.

[4]Hanks S，NetSmiths，Ltd.RFC1702 - Generic Routing Encapsulation over IPv4 Networks[EB/OL].http://www.faqs.org/rfcs/rfc1702.html，1994.

[5]Zhou Jingli，Xia Hongtao.Asymmetrical SSL Tunnel Based VPN[Z].Lecture Notes in Computer Science，2006，4 330:113-124.

[6]Yoshiaki Shiraishi，Youji Fukuta，Masakatu Morii.Remote Access VPN with Port Protection Function by Mobile Codes[Z].Lecture Notes in Computer Science，2004，2 908:247-259.

[7]Mogul J，Deering S.RFC1191-Path MTU Discovery[EB/OL].http://www.faqs.org/rfcs/rfc1191.html，1990.

[8][美]Martin W Murhammer.虛擬私用網絡技術[M].孔雷，劉云新，譯.北京:清華大學出版社，2000.