劉鑫煉 陳小均

摘要：針對目前多數(shù)因城市發(fā)展太快，基層氣象觀測場環(huán)境遭到破壞被迫搬遷，搬遷后的臨時辦公地點無法訪問工作相關(guān)網(wǎng)站資料，給辦公帶來極大不便。為實現(xiàn)異地訪問辦公系統(tǒng)，該文介紹了運(yùn)用網(wǎng)絡(luò)的數(shù)據(jù)包傳輸規(guī)律，根據(jù)特定網(wǎng)站的需求，建立定制的VPN連接，就能快速安全的訪問氣象內(nèi)網(wǎng)工作相關(guān)網(wǎng)站及各類氣象監(jiān)測與預(yù)報信息等，為搬遷臺站的臨時辦公地點網(wǎng)絡(luò)故障問題奠定了基礎(chǔ)。

關(guān)鍵詞：VPN MRU MTU；辦公系統(tǒng)；以太網(wǎng)

中圖分類號： 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2019）04-0040-02

1概述

因觀測環(huán)境以及城市規(guī)劃變化，2018年底，渠縣氣象局觀測場進(jìn)行了搬遷。新老觀測場的觀測數(shù)據(jù)，需要對比觀測1年，均有專門的內(nèi)網(wǎng)專線進(jìn)行數(shù)據(jù)傳輸。局辦公臨時設(shè)在縣政務(wù)中心，只有互聯(lián)網(wǎng)線路，無法訪問氣象辦公內(nèi)網(wǎng)，尤其是中國氣象局辦公系統(tǒng)。

通過電腦建立VPN連接，連接到氣象內(nèi)網(wǎng)，省氣象局辦公系統(tǒng)（10.194.101.27）使用正常了，但不能打開里面嵌入的中國局web郵件（10.1.65.40）網(wǎng)頁。

省氣象局通過深圳深信服科技公司提供了一套解決方案，可供出差在外的筆記本使用，但是，該方案具有較大局限性，缺點有3個，一是操作系統(tǒng)，只能是WIN7系統(tǒng)下使用，不能用WIN10系統(tǒng)；二是IE瀏覽器最高只能是IE9，如果升級更高的版本，將不能連接；三是一旦連接后，訪問互聯(lián)網(wǎng)以及氣象辦公內(nèi)網(wǎng)，均是通過該連接，容易造成擁堵，并占用市局互聯(lián)網(wǎng)帶寬。

在一個局域網(wǎng)內(nèi)，該方案不適合長期使用，因此，我們需要研究一種新的解決方案來解決問題。

2技術(shù)分析

在局域網(wǎng)內(nèi)和通過VPN撥號，均能ping通各個服務(wù)器，均能訪問普通網(wǎng)站、FTP以及共享盤。說明路由跳轉(zhuǎn)是沒有問題的，在內(nèi)網(wǎng)能打開web郵件，通過vpn卻打不開。找到兩者的區(qū)別，就能解決問題。

2.1 OSI網(wǎng)絡(luò)通訊

網(wǎng)絡(luò)通訊，根據(jù)OSI模型共分七層。我們這里涉及的問題是網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層。網(wǎng)絡(luò)層的主要功能是：通過TCP或UDP協(xié)議繪制網(wǎng)絡(luò)地圖，數(shù)據(jù)包自動選取合適的路徑傳輸。數(shù)據(jù)鏈路層的主要功能是：將從網(wǎng)絡(luò)層接收到的數(shù)據(jù)分割成特定的可被物理層傳輸?shù)膸?/p>

一個以太網(wǎng)數(shù)據(jù)幀的MTU的最大值為：1500，因此局域網(wǎng)內(nèi)MTU值一般為1500，就是基于MAC最大封包的考慮。大多數(shù)IP包的大小都超過了1500byte，因此，為了能在MAC幀中傳輸，必須將IP包按1500長度來分片，變成適合傳輸?shù)腗AC幀。每一片的長度細(xì)化分為：IP頭占用20byte，ICMP頭占用8byte，所以ICMP包大小最大為1472byte。

在廣域網(wǎng)，大小超出設(shè)定規(guī)格的數(shù)據(jù)包將無法傳輸，操作系統(tǒng)會根據(jù)本機(jī)MTU值，自動將大小不符合要求的數(shù)據(jù)進(jìn)行分包處理，然后進(jìn)行傳輸。因此我們可以通過向中國局郵件網(wǎng)站（10.1.65.40）發(fā)送一個定長數(shù)據(jù)包，并且不允許操作系統(tǒng)更改其大小的方式，檢查該數(shù)據(jù)包能否被正常傳輸，如果數(shù)據(jù)包小于或等于該網(wǎng)站的MTU值，傳輸就能正常進(jìn)行，而如果發(fā)送的數(shù)據(jù)包大于網(wǎng)站使用的MTU值時，傳輸就會失敗。這樣，我們就能通過多次嘗試，發(fā)送不同大小的數(shù)據(jù)包，最終得到網(wǎng)站的MTU大小，而這個數(shù)據(jù)再加上28字節(jié)的包頭信息，就得到了我們需要的最終MTU值。

2.2測試方案

在2個不同的網(wǎng)絡(luò)環(huán)境中，輸入命令“ping –l 1xxx –f 10.1.65.40”（xxx為不同的數(shù)字），對中國局郵件網(wǎng)站（10.1.65.40）檢測，找到它被固定的數(shù)據(jù)包長度。

參數(shù)含義如下：

–l 1xxx參數(shù)：發(fā)送一個定長數(shù)據(jù)包，1xxx是要測試的包大小， MTU一般在1300與1472之間，每一次測試將更換一次數(shù)值。

–f 參數(shù)：鎖定操作系統(tǒng)不會自動更改數(shù)據(jù)包大小

2.3測試結(jié)果

1）在氣象內(nèi)網(wǎng)局域網(wǎng)內(nèi)，最終測試得到的XX值為1472，根據(jù)規(guī)則加上28后，得到中國局郵件網(wǎng)站對MTU的要求是1500，而1500即為標(biāo)準(zhǔn)局域網(wǎng)的數(shù)據(jù)包長度如（圖1）。

2）在普通電腦VPN撥號連接后，最終測試得到的最大XX值為1372，根據(jù)規(guī)則加上28后，通過VPN連接訪問中國局郵件網(wǎng)站的最大MTU為1400，達(dá)不到之前測試的1500要求（圖2）。

3 解決方案

普通的windows系統(tǒng)建立vpn撥號連接，最大的MTU設(shè)置為1460，達(dá)不到1500，這就是造成打不開網(wǎng)站的原因。這里我們采用了RouterOS路由器對接路由器，利用RouterOS路由器具有大范圍調(diào)節(jié)MTU的功能，解決數(shù)據(jù)包的長度限制。（圖3）

步驟如下：

1）建立VPN服務(wù)器。普通路由器并不能實現(xiàn)VPN服務(wù)端的功能，因此市局路由器使用的RouterOS軟路由，該路由系統(tǒng)具備VPN服務(wù)端功能，而且可以定義修改非常多的設(shè)置。RouterOS是一種功能非常強(qiáng)大的電信ISP級別的軟路由，可搭配不同的計算機(jī)及配件，而實現(xiàn)不同的功能與性能。

作為設(shè)計為6個縣局提供連接的節(jié)點路由器，我們因地制宜的采用了配置為英特爾酷睿Q9500四核處理器，2G內(nèi)存的電腦，配套的電源為臺達(dá)服務(wù)器電源，并配置了512M的CF卡作為硬盤（路由系統(tǒng)占用磁盤空間非常小），該配置為全集成，功耗低，穩(wěn)定性非常好，可有效地保證7X24小時的穩(wěn)定持續(xù)工作。

因為是提供網(wǎng)絡(luò)服務(wù)，所以我們還配置了英特爾I350-T4核心的服務(wù)器千兆網(wǎng)卡，intel i350-t4網(wǎng)卡還具有集成的硬件加速功能，能夠執(zhí)行TCP/UDP/IP校驗和分載及TCP分段任務(wù)。這種核心的網(wǎng)卡主要是用于服務(wù)器和高端設(shè)備，數(shù)據(jù)吞吐性能比其他網(wǎng)卡好，使網(wǎng)絡(luò)系統(tǒng)I/O不再是網(wǎng)絡(luò)應(yīng)用的瓶頸。

安裝RouterOS路由系統(tǒng)后，一臺功能強(qiáng)大而穩(wěn)定的節(jié)點路由器組建完成，下面開始建立服務(wù)。

在市局路由器上，建立VPN服務(wù)，并將MRU/MTU由默認(rèn)的1460修改為1500。如下圖4。

建立渠縣氣象局專用VPN賬號，并指定市局端和縣局端的對連IP，兩地的數(shù)據(jù)通信，均通過該IP進(jìn)行中轉(zhuǎn)。如圖5。

2）在渠縣氣象局路由器上建立VPN客戶端連接，并設(shè)置路由?？h級這里，我們采用了一臺穩(wěn)定性比較好的雙核Intel全集成電腦，已有一個集成千兆網(wǎng)口，并上面增加了一張雙千兆網(wǎng)口的英特爾82576芯片的服務(wù)器網(wǎng)卡。

在安裝好RouterOS系統(tǒng)后，建立VPN連接客戶端，并設(shè)置連接參數(shù)為1500。如圖6。

在路由表里面，將訪問辦公系統(tǒng)以及web郵件系統(tǒng)的IP網(wǎng)關(guān)跳轉(zhuǎn)，設(shè)置為VPN連接。如圖7。

3）測試連接。將電腦制作的專用路由器，安裝到渠縣氣象局臨時辦公區(qū)，小局域網(wǎng)內(nèi)電腦均通過它進(jìn)行網(wǎng)絡(luò)訪問。

首先測試網(wǎng)絡(luò)通斷，ping了中國局web網(wǎng)站10.1.65.40，通信正常。然后再次采用之前ping特定長度數(shù)據(jù)包的方式測試，得出和局域網(wǎng)內(nèi)相同的結(jié)果，測試通過。

然后再次用瀏覽器打開辦公系統(tǒng)，打開里面的中國局web郵件鏈接，果然順利打開。

至此，通過了實地測試，成功地解決了渠縣氣象局為期一年的異地辦公無法訪問辦公系統(tǒng)的難題。

4 結(jié)束語

渠縣氣象局遷站之辦公系統(tǒng)訪問解決方案是在市局探測中心多年工作經(jīng)驗的基礎(chǔ)上開發(fā)的，目的就是為了實現(xiàn)在只有互聯(lián)網(wǎng)的環(huán)境下訪問氣象內(nèi)部局域網(wǎng)。在實際運(yùn)行檢驗過程中，各項設(shè)計初衷均已達(dá)到，并不斷完善（比如WiFi功能）。

參考文獻(xiàn)：

[1] 成都網(wǎng)大科技.MikroTik RouterOS 應(yīng)用實例講解[Z].

[2] Fall K R，Stevens W R.TCP/IP詳解·卷1：協(xié)議（英文版）[M].2版.北京：機(jī)械工業(yè)出版社，2012.

【通聯(lián)編輯：謝媛媛】