文/羅圣 何秀全

校園網(wǎng)中GRE隧道技術(shù)的應(yīng)用

文/羅圣 何秀全

隧道技術(shù)（Tunneling）是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過(guò)隧道發(fā)送。新的幀頭提供路由信息，以便通過(guò)互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。與VPN類似，隧道也可以直接將兩個(gè)處于互聯(lián)網(wǎng)上不同物理位置的網(wǎng)絡(luò)，通過(guò)路由器、服務(wù)器或三層（IP網(wǎng)絡(luò)層）網(wǎng)絡(luò)設(shè)備間接連接后，使用戶感覺(jué)到處在同一個(gè)內(nèi)部網(wǎng)絡(luò)之中，并無(wú)需使用類似VPN的客戶端。

目前使用較多隧道技術(shù)包括GRE（通用路由協(xié)議封裝）隧道、IPv4 over IPv6隧道、IPv6 over IPv4隧道等。GRE隧道是兩臺(tái)或兩臺(tái)以上跨越多個(gè)網(wǎng)絡(luò)的設(shè)備之間將所支持的各種數(shù)據(jù)包封裝在一個(gè)普通IP數(shù)據(jù)包中進(jìn)行傳輸；IPv4 over IPv6隧道是將IPv4的數(shù)據(jù)包封裝在IPv6數(shù)據(jù)包中互相通訊，目的是為了解決某些特殊地點(diǎn)純IPv6單鏈路情況下的IPv4通訊或利用IPv6目前較為空閑的帶寬承載日益緊張的IPv4流量問(wèn)題；IPv6 over IPv4是將IPv6的數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中進(jìn)行傳輸，主要是為了解決因兩個(gè)節(jié)點(diǎn)中間設(shè)備過(guò)于陳舊而不支持IPv6協(xié)議產(chǎn)生的信息孤島問(wèn)題。

GRE隧道技術(shù)剖析

GRE（通用路由協(xié)議封裝）是隧道中應(yīng)用范圍較廣，也是最常見(jiàn)的一種隧道，由Cisco和Net-smiths等公司于1994年提交給IETF，標(biāo)號(hào)為RFC1701和RFC1702。目前絕大部分廠商的網(wǎng)絡(luò)設(shè)備均支持GRE隧道協(xié)議。

GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，允許用戶使用IP包封裝IP、IPX、等各種協(xié)議數(shù)據(jù)包，并支持全部的路由協(xié)議（如EIGRP、OSPF等）。GRE協(xié)議數(shù)據(jù)包的格式是由乘客協(xié)議、封裝協(xié)議和運(yùn)輸協(xié)議三部分組成的：

1) 乘客協(xié)議：乘客協(xié)議是指用戶要傳輸?shù)臄?shù)據(jù)，也就是被封裝的數(shù)據(jù)。這是用戶真正要傳輸?shù)臄?shù)據(jù)，它們可以是IP、 IPX等。如果是 IP 協(xié)議，其中包含的地址有可能是保留 IP 地址，例如企業(yè)內(nèi)部的私有保留IP 地址。

2) 封裝協(xié)議：封裝協(xié)議用于建立、 保持和拆卸隧道。它把乘客協(xié)議報(bào)文進(jìn)行了“包裝”，加上了一個(gè) GRE 頭部，然后再把封裝好的原始報(bào)文和 GRE 頭部，放在 IP 報(bào)文的“數(shù)據(jù)區(qū)” 中，由 IP 進(jìn)行傳輸。

3) 運(yùn)輸協(xié)議：運(yùn)輸協(xié)議是乘客協(xié)議被封裝之后應(yīng)用的運(yùn)輸協(xié)議。IP 協(xié)議就是最常見(jiàn)的運(yùn)輸協(xié)議，一般使用 IP 協(xié)議對(duì) GRE協(xié)議報(bào)文進(jìn)行運(yùn)輸。

通過(guò)GRE，用戶可以使用保留地址進(jìn)行網(wǎng)絡(luò)互連，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。雖然GRE并不支持加密，但是可以配合IPsec，或者通過(guò)tunnel key命令（Cisco IOS）在隧道的兩頭各設(shè)置一個(gè)相同的明文密鑰，密鑰匹配后設(shè)備才能通訊。

在使用GRE隧道后，發(fā)送出去的IP數(shù)據(jù)包封裝會(huì)產(chǎn)生如圖1所示的變化：

20世紀(jì)初，美國(guó)實(shí)用主義哲學(xué)家、教育家約翰·杜威（John Dewey）將經(jīng)驗(yàn)（experience）這一概念引入教育理論中來(lái)——“教育，就是經(jīng)驗(yàn)的改組和改造”。經(jīng)驗(yàn)，是我們通過(guò)感覺(jué)器官得到的關(guān)于客觀事物的表征、現(xiàn)象和外部聯(lián)系的認(rèn)識(shí)。師范生在從學(xué)校畢業(yè)之前，并沒(méi)有大量教學(xué)的直接實(shí)踐經(jīng)驗(yàn)，然而他們“直接與課堂教師交往相處的時(shí)間達(dá)到一萬(wàn)三千個(gè)小時(shí)”——（ 丹·羅蒂Dan C.Lortie, 芝加哥大學(xué)）。有些影響已經(jīng)先入為主，要扭轉(zhuǎn)這樣的現(xiàn)狀并不是一件容易的事情，不能一朝一夕就得到改變，因此筆者建議相關(guān)的專業(yè)教師采取以下的對(duì)策。

由于GRE封裝后，數(shù)據(jù)包容量增加，因此可能會(huì)遇到GRE的數(shù)據(jù)包大于網(wǎng)絡(luò)接口所設(shè)定的數(shù)據(jù)包最大傳輸單元（MTU）的情況，此時(shí)，無(wú)需調(diào)整每一個(gè)所經(jīng)過(guò)的網(wǎng)絡(luò)設(shè)備MTU值，只需要將兩端網(wǎng)絡(luò)設(shè)備的TCP分段值設(shè)置為1436字節(jié)（GRE數(shù)據(jù)包頭24字節(jié)+IP包頭20字節(jié)+TCP包頭20字節(jié)+分段后的TCP載荷1436字節(jié)=1500字節(jié)）。

圖1 GRE數(shù)據(jù)包結(jié)構(gòu)

GRE隧道的應(yīng)用實(shí)例

應(yīng)用背景

高校網(wǎng)絡(luò)管理人員一般管理著多條ISP線路，必須配置、調(diào)整內(nèi)部網(wǎng)絡(luò)設(shè)備以達(dá)到最優(yōu)化，確保線路的連通性。高校一般用戶類型較多，需要為不同的用戶分配不同的IP地址段，并使用不同出口。圖2所示的高校，有教育網(wǎng)、電信和新聯(lián)通出口線路。

由于部分使用教育網(wǎng)的用戶訪問(wèn)電信、聯(lián)通、國(guó)外速度較慢，利用外地較為廉價(jià)的聯(lián)通線路，在至外地教育網(wǎng)速度較為理想的情況下，構(gòu)建一條教育網(wǎng)內(nèi)部之間的點(diǎn)對(duì)點(diǎn)GRE封裝隧道，再將用戶的http/https請(qǐng)求通過(guò)隧道加PBR（策略路由/Policy Based Route）方式將其指向到外地的某臺(tái)網(wǎng)絡(luò)設(shè)備上，該網(wǎng)絡(luò)設(shè)備同時(shí)連接著比本地更廉價(jià)的聯(lián)通線路與教育網(wǎng)，這樣一來(lái)除了達(dá)到降低上網(wǎng)資費(fèi)的目的，也緩解了本地電信/網(wǎng)絡(luò)出口線路資源不足的問(wèn)題。

具體配置

硬件環(huán)境為Cisco6509三層交換機(jī)，并使用了SUP720-3B雙引擎，IOS軟件版本為12.2(18)SXF8，目標(biāo)是新建一個(gè)隧道接口，與遠(yuǎn)端路由器構(gòu)建起一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)連接。

第一步，在特權(quán)模式下轉(zhuǎn)入全局配置模式，并建立并啟用一個(gè)接口號(hào)為3的隧道。

圖2 某高校拓?fù)?/p>

第二步，為這個(gè)接口配置IP地址。

第四步，為防止中間線路出現(xiàn)不可預(yù)見(jiàn)性的故障后，此隧道能自動(dòng)斷開(kāi)，以便后續(xù)設(shè)置生效，諸如策略路由在檢測(cè)到后線路中斷狀態(tài)后，會(huì)改走其他默認(rèn)路由，故需要配置keepalive命令，這里將設(shè)置為每60秒進(jìn)行一次探測(cè)，如3次后遠(yuǎn)端無(wú)應(yīng)答，系統(tǒng)將認(rèn)為此線路已中斷，進(jìn)而自動(dòng)關(guān)閉隧道接口。Keepalive命令是基于發(fā)送icmp（Internet Control Message Protocol/互聯(lián)網(wǎng)控制消息協(xié)議）應(yīng)答數(shù)據(jù)包，所以在這段路徑中必須允許icmp數(shù)據(jù)包暢通，如有屏蔽，將無(wú)法獲取遠(yuǎn)端網(wǎng)絡(luò)設(shè)備的存活信息，導(dǎo)致端口自動(dòng)關(guān)斷。

第五步，在另一端路由器上也需要配置相應(yīng)的隧道接口以及對(duì)應(yīng)的IP地址等。

兩端完成配置后，可以互相嘗試ping對(duì)端地址做連通性測(cè)試，如能夠返回目的地可達(dá)的信息，即代表配置的隧道已正常工作。兩點(diǎn)注意事項(xiàng)

GRE隧道在很大程度上方便了跨越多個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的連接，使得兩個(gè)網(wǎng)絡(luò)之間的應(yīng)用更通暢，但是因?yàn)閿?shù)據(jù)包的再封裝，對(duì)線路產(chǎn)生一些額外的基本開(kāi)銷，利用率不如之前高，不過(guò)這些開(kāi)銷只占到之前的百分之一左右，即如果原先100Mbit的線路，在使用GRE隧道后由于增加包頭，所以將會(huì)打上一個(gè)折扣，大約可以用到98～99Mbit左右?guī)?，所以基本上可以忽略不?jì)。

另外，GRE隧道因自身的特性關(guān)系，其并不是一條可見(jiàn)的實(shí)體物理鏈路，所以在實(shí)際應(yīng)用當(dāng)中，會(huì)發(fā)生一端隧道關(guān)閉，但另一端卻還是開(kāi)啟，或者隧道的兩點(diǎn)之間ISP的網(wǎng)絡(luò)設(shè)備故障中斷通信后，但兩端隧道依然開(kāi)啟但實(shí)際已經(jīng)無(wú)法正常通訊的狀態(tài)的情況。因此，需要在GRE隧道的接口使用keepalive 命令，可選參數(shù)依次為間隔時(shí)間、嘗試次數(shù)，例如：keepalive 60 3，代表每隔60秒鐘循環(huán)一次探測(cè)對(duì)端設(shè)備是否可達(dá)，如果嘗試3次失敗后，將自動(dòng)關(guān)閉隧道接口。這樣，關(guān)鍵業(yè)務(wù)的通信數(shù)據(jù)流將因最高優(yōu)先級(jí)的策略路由失效而由第二優(yōu)先的默認(rèn)路由生效，改走其他接口，最長(zhǎng)中斷時(shí)間也僅僅在3分鐘左右，不會(huì)長(zhǎng)時(shí)間影響正常業(yè)務(wù)。

（作者單位為上海外國(guó)語(yǔ)大學(xué)網(wǎng)絡(luò)信息中心）

AMD發(fā)布新一代皓龍?zhí)幚砥?/p>

2011年11月14日， AMD 公司發(fā)布AMD皓龍6200和4200系列處理器(產(chǎn)品代號(hào)分別為“Interlagos” 和“Valencia”)。AMD全球副總裁兼商用事業(yè)部總經(jīng)理Paul Struhsaker表示：“我們的行業(yè)正處于一個(gè)新的接合點(diǎn)，虛擬化已經(jīng)帶來(lái)更加可靠的整合，而企業(yè)正尋求通過(guò)云計(jì)算實(shí)現(xiàn)更高的靈活性和效率。我們?yōu)榇嗽O(shè)計(jì)了全新的AMD皓龍?zhí)幚砥?，為用戶帶?lái)性能、可擴(kuò)展性和能效的平衡。基于該產(chǎn)品，OEM廠商可以為云計(jì)算、企業(yè)用戶和高性能計(jì)算客戶提供一整套解決方案?！?/p>

據(jù)了解，AMD已經(jīng)拓展其2012年產(chǎn)品路線圖，增加AMD皓龍3000系列平臺(tái)。該平臺(tái)面向超高密度、超低能耗的單路網(wǎng)絡(luò)主機(jī)/網(wǎng)絡(luò)服務(wù)器以及微服務(wù)器市場(chǎng)。首顆處理器將為代號(hào)為“Zurich”(蘇黎世)的4～8核CPU，同樣基于“Bulldozer”（推土機(jī)）核心，采用Socket AM3+ 接口。AMD皓龍3000系列平臺(tái)為托管用戶而設(shè)計(jì)，其客戶需要專用的服務(wù)器，這些云計(jì)算和網(wǎng)絡(luò)托管用戶期望以更低價(jià)格的基礎(chǔ)架構(gòu)節(jié)省成本，但同時(shí)具備服務(wù)器部署的可靠性和安全性，以及服務(wù)器操作系統(tǒng)認(rèn)證。

網(wǎng)康為中小企業(yè)過(guò)冬做“棉衣”

在國(guó)際經(jīng)濟(jì)形勢(shì)增速放緩，國(guó)內(nèi)宏觀調(diào)控結(jié)構(gòu)調(diào)整等因素影響下，今年相當(dāng)部分中小企業(yè)將遭遇經(jīng)濟(jì)“寒冬”。如何有效提升員工的工作效率，在不影響現(xiàn)有生產(chǎn)力條件下降低人員成本，成為中小企業(yè)CEO關(guān)注的重點(diǎn)。

網(wǎng)康科技中小企業(yè)研究中心負(fù)責(zé)人認(rèn)為：在這個(gè)關(guān)鍵時(shí)期，應(yīng)當(dāng)依靠IT技術(shù)來(lái)精準(zhǔn)、有效“瘦身”。IT技術(shù)應(yīng)用得當(dāng)，可以有效提升員工效率，降低人員成本，為企業(yè)挖掘出最有價(jià)值的部門(mén)和員工。為此，網(wǎng)康科技上網(wǎng)行為管理產(chǎn)品通過(guò)對(duì)互聯(lián)網(wǎng)內(nèi)容管控，有效提升員工工作效率。網(wǎng)康擁有較全面的URL數(shù)據(jù)庫(kù)，可準(zhǔn)確識(shí)別并封堵影響員工工作效率的網(wǎng)站，封堵與工作無(wú)關(guān)的應(yīng)用流量，限制搶占帶寬的應(yīng)用流量，保障關(guān)鍵業(yè)務(wù)正常使用。

在“寒冬”期，網(wǎng)康上網(wǎng)行為管理產(chǎn)品智能分析模塊，可快速生成員工工作效率排名報(bào)告、部門(mén)工作效率排名報(bào)告等，為企業(yè)的CEO、HR部門(mén)提供決策依據(jù)。網(wǎng)康上網(wǎng)行為管理產(chǎn)品成為中小企業(yè)過(guò)冬的“棉衣”，幫助企業(yè)抵御經(jīng)濟(jì)“嚴(yán)寒”。