校園網中GRE隧道技術的應用

文/羅圣 何秀全

校園網中GRE隧道技術的應用

文/羅圣 何秀全

隧道技術（Tunneling）是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然后通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。與VPN類似，隧道也可以直接將兩個處于互聯網上不同物理位置的網絡，通過路由器、服務器或三層（IP網絡層）網絡設備間接連接后，使用戶感覺到處在同一個內部網絡之中，并無需使用類似VPN的客戶端。

目前使用較多隧道技術包括GRE（通用路由協議封裝）隧道、IPv4 over IPv6隧道、IPv6 over IPv4隧道等。GRE隧道是兩臺或兩臺以上跨越多個網絡的設備之間將所支持的各種數據包封裝在一個普通IP數據包中進行傳輸；IPv4 over IPv6隧道是將IPv4的數據包封裝在IPv6數據包中互相通訊，目的是為了解決某些特殊地點純IPv6單鏈路情況下的IPv4通訊或利用IPv6目前較為空閑的帶寬承載日益緊張的IPv4流量問題；IPv6 over IPv4是將IPv6的數據包封裝在IPv4數據包中進行傳輸，主要是為了解決因兩個節點中間設備過于陳舊而不支持IPv6協議產生的信息孤島問題。

GRE隧道技術剖析

GRE（通用路由協議封裝）是隧道中應用范圍較廣，也是最常見的一種隧道，由Cisco和Net-smiths等公司于1994年提交給IETF，標號為RFC1701和RFC1702。目前絕大部分廠商的網絡設備均支持GRE隧道協議。

GRE規定了如何用一種網絡協議去封裝另一種網絡協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、等各種協議數據包，并支持全部的路由協議（如EIGRP、OSPF等）。GRE協議數據包的格式是由乘客協議、封裝協議和運輸協議三部分組成的：

1) 乘客協議：乘客協議是指用戶要傳輸的數據，也就是被封裝的數據。這是用戶真正要傳輸的數據，它們可以是IP、 IPX等。如果是 IP 協議，其中包含的地址有可能是保留 IP 地址，例如企業內部的私有保留IP 地址。

2) 封裝協議：封裝協議用于建立、 保持和拆卸隧道。它把乘客協議報文進行了“包裝”，加上了一個 GRE 頭部，然后再把封裝好的原始報文和 GRE 頭部，放在 IP 報文的“數據區” 中，由 IP 進行傳輸。

3) 運輸協議：運輸協議是乘客協議被封裝之后應用的運輸協議。IP 協議就是最常見的運輸協議，一般使用 IP 協議對 GRE協議報文進行運輸。

通過GRE，用戶可以使用保留地址進行網絡互連，或者對公網隱藏企業網的IP地址。雖然GRE并不支持加密，但是可以配合IPsec，或者通過tunnel key命令（Cisco IOS）在隧道的兩頭各設置一個相同的明文密鑰，密鑰匹配后設備才能通訊。

在使用GRE隧道后，發送出去的IP數據包封裝會產生如圖1所示的變化：

20世紀初，美國實用主義哲學家、教育家約翰·杜威（John Dewey）將經驗（experience）這一概念引入教育理論中來——“教育，就是經驗的改組和改造”。經驗，是我們通過感覺器官得到的關于客觀事物的表征、現象和外部聯系的認識。師范生在從學校畢業之前，并沒有大量教學的直接實踐經驗，然而他們“直接與課堂教師交往相處的時間達到一萬三千個小時”——（ 丹·羅蒂Dan C.Lortie, 芝加哥大學）。有些影響已經先入為主，要扭轉這樣的現狀并不是一件容易的事情，不能一朝一夕就得到改變，因此筆者建議相關的專業教師采取以下的對策。

由于GRE封裝后，數據包容量增加，因此可能會遇到GRE的數據包大于網絡接口所設定的數據包最大傳輸單元（MTU）的情況，此時，無需調整每一個所經過的網絡設備MTU值，只需要將兩端網絡設備的TCP分段值設置為1436字節（GRE數據包頭24字節+IP包頭20字節+TCP包頭20字節+分段后的TCP載荷1436字節=1500字節）。

圖1 GRE數據包結構

GRE隧道的應用實例

應用背景

高校網絡管理人員一般管理著多條ISP線路，必須配置、調整內部網絡設備以達到最優化，確保線路的連通性。高校一般用戶類型較多，需要為不同的用戶分配不同的IP地址段，并使用不同出口。圖2所示的高校，有教育網、電信和新聯通出口線路。

由于部分使用教育網的用戶訪問電信、聯通、國外速度較慢，利用外地較為廉價的聯通線路，在至外地教育網速度較為理想的情況下，構建一條教育網內部之間的點對點GRE封裝隧道，再將用戶的http/https請求通過隧道加PBR（策略路由/Policy Based Route）方式將其指向到外地的某臺網絡設備上，該網絡設備同時連接著比本地更廉價的聯通線路與教育網，這樣一來除了達到降低上網資費的目的，也緩解了本地電信/網絡出口線路資源不足的問題。

具體配置

硬件環境為Cisco6509三層交換機，并使用了SUP720-3B雙引擎，IOS軟件版本為12.2(18)SXF8，目標是新建一個隧道接口，與遠端路由器構建起一個虛擬的點對點連接。

第一步，在特權模式下轉入全局配置模式，并建立并啟用一個接口號為3的隧道。

圖2 某高校拓撲

第二步，為這個接口配置IP地址。

第四步，為防止中間線路出現不可預見性的故障后，此隧道能自動斷開，以便后續設置生效，諸如策略路由在檢測到后線路中斷狀態后，會改走其他默認路由，故需要配置keepalive命令，這里將設置為每60秒進行一次探測，如3次后遠端無應答，系統將認為此線路已中斷，進而自動關閉隧道接口。Keepalive命令是基于發送icmp（Internet Control Message Protocol/互聯網控制消息協議）應答數據包，所以在這段路徑中必須允許icmp數據包暢通，如有屏蔽，將無法獲取遠端網絡設備的存活信息，導致端口自動關斷。

第五步，在另一端路由器上也需要配置相應的隧道接口以及對應的IP地址等。

兩端完成配置后，可以互相嘗試ping對端地址做連通性測試，如能夠返回目的地可達的信息，即代表配置的隧道已正常工作。兩點注意事項

GRE隧道在很大程度上方便了跨越多個節點的網絡與網絡之間的連接，使得兩個網絡之間的應用更通暢，但是因為數據包的再封裝，對線路產生一些額外的基本開銷，利用率不如之前高，不過這些開銷只占到之前的百分之一左右，即如果原先100Mbit的線路，在使用GRE隧道后由于增加包頭，所以將會打上一個折扣，大約可以用到98～99Mbit左右帶寬，所以基本上可以忽略不計。

另外，GRE隧道因自身的特性關系，其并不是一條可見的實體物理鏈路，所以在實際應用當中，會發生一端隧道關閉，但另一端卻還是開啟，或者隧道的兩點之間ISP的網絡設備故障中斷通信后，但兩端隧道依然開啟但實際已經無法正常通訊的狀態的情況。因此，需要在GRE隧道的接口使用keepalive 命令，可選參數依次為間隔時間、嘗試次數，例如：keepalive 60 3，代表每隔60秒鐘循環一次探測對端設備是否可達，如果嘗試3次失敗后，將自動關閉隧道接口。這樣，關鍵業務的通信數據流將因最高優先級的策略路由失效而由第二優先的默認路由生效，改走其他接口，最長中斷時間也僅僅在3分鐘左右，不會長時間影響正常業務。

（作者單位為上海外國語大學網絡信息中心）

AMD發布新一代皓龍處理器

2011年11月14日， AMD 公司發布AMD皓龍6200和4200系列處理器(產品代號分別為“Interlagos” 和“Valencia”)。AMD全球副總裁兼商用事業部總經理Paul Struhsaker表示：“我們的行業正處于一個新的接合點，虛擬化已經帶來更加可靠的整合，而企業正尋求通過云計算實現更高的靈活性和效率。我們為此設計了全新的AMD皓龍處理器，為用戶帶來性能、可擴展性和能效的平衡。基于該產品，OEM廠商可以為云計算、企業用戶和高性能計算客戶提供一整套解決方案。”

據了解，AMD已經拓展其2012年產品路線圖，增加AMD皓龍3000系列平臺。該平臺面向超高密度、超低能耗的單路網絡主機/網絡服務器以及微服務器市場。首顆處理器將為代號為“Zurich”(蘇黎世)的4～8核CPU，同樣基于“Bulldozer”（推土機）核心，采用Socket AM3+ 接口。AMD皓龍3000系列平臺為托管用戶而設計，其客戶需要專用的服務器，這些云計算和網絡托管用戶期望以更低價格的基礎架構節省成本，但同時具備服務器部署的可靠性和安全性，以及服務器操作系統認證。

網康為中小企業過冬做“棉衣”

在國際經濟形勢增速放緩，國內宏觀調控結構調整等因素影響下，今年相當部分中小企業將遭遇經濟“寒冬”。如何有效提升員工的工作效率，在不影響現有生產力條件下降低人員成本，成為中小企業CEO關注的重點。

網康科技中小企業研究中心負責人認為：在這個關鍵時期，應當依靠IT技術來精準、有效“瘦身”。IT技術應用得當，可以有效提升員工效率，降低人員成本，為企業挖掘出最有價值的部門和員工。為此，網康科技上網行為管理產品通過對互聯網內容管控，有效提升員工工作效率。網康擁有較全面的URL數據庫，可準確識別并封堵影響員工工作效率的網站，封堵與工作無關的應用流量，限制搶占帶寬的應用流量，保障關鍵業務正常使用。

在“寒冬”期，網康上網行為管理產品智能分析模塊，可快速生成員工工作效率排名報告、部門工作效率排名報告等，為企業的CEO、HR部門提供決策依據。網康上網行為管理產品成為中小企業過冬的“棉衣”，幫助企業抵御經濟“嚴寒”。