刘鑫炼 陈小均

摘要：针对目前多数因城市发展太快，基层气象观测场环境遭到破坏被迫搬迁，搬迁后的临时办公地点无法访问工作相关网站资料，给办公带来极大不便。为实现异地访问办公系统，该文介绍了运用网络的数据包传输规律，根据特定网站的需求，建立定制的VPN连接，就能快速安全的访问气象内网工作相关网站及各类气象监测与预报信息等，为搬迁台站的临时办公地点网络故障问题奠定了基础。

关键词：VPN MRU MTU；办公系统；以太网

中图分类号： 文献标识码：A 文章编号：1009-3044（2019）04-0040-02

1概述

因观测环境以及城市规划变化，2018年底，渠县气象局观测场进行了搬迁。新老观测场的观测数据，需要对比观测1年，均有专门的内网专线进行数据传输。局办公临时设在县政务中心，只有互联网线路，无法访问气象办公内网，尤其是中国气象局办公系统。

通过电脑建立VPN连接，连接到气象内网，省气象局办公系统（10.194.101.27）使用正常了，但不能打开里面嵌入的中国局web邮件（10.1.65.40）网页。

省气象局通过深圳深信服科技公司提供了一套解决方案，可供出差在外的笔记本使用，但是，该方案具有较大局限性，缺点有3个，一是操作系统，只能是WIN7系统下使用，不能用WIN10系统；二是IE浏览器最高只能是IE9，如果升级更高的版本，将不能连接；三是一旦连接后，访问互联网以及气象办公内网，均是通过该连接，容易造成拥堵，并占用市局互联网带宽。

在一个局域网内，该方案不适合长期使用，因此，我们需要研究一种新的解决方案来解决问题。

2技术分析

在局域网内和通过VPN拨号，均能ping通各个服务器，均能访问普通网站、FTP以及共享盘。说明路由跳转是没有问题的，在内网能打开web邮件，通过vpn却打不开。找到两者的区别，就能解决问题。

2.1 OSI网络通讯

网络通讯，根据OSI模型共分七层。我们这里涉及的问题是网络层与数据链路层。网络层的主要功能是：通过TCP或UDP协议绘制网络地图，数据包自动选取合适的路径传输。数据链路层的主要功能是：将从网络层接收到的数据分割成特定的可被物理层传输的帧。

一个以太网数据帧的MTU的最大值为：1500，因此局域网内MTU值一般为1500，就是基于MAC最大封包的考虑。大多数IP包的大小都超过了1500byte，因此，为了能在MAC帧中传输，必须将IP包按1500长度来分片，变成适合传输的MAC帧。每一片的长度细化分为：IP头占用20byte，ICMP头占用8byte，所以ICMP包大小最大为1472byte。

在广域网，大小超出设定规格的数据包将无法传输，操作系统会根据本机MTU值，自动将大小不符合要求的数据进行分包处理，然后进行传输。因此我们可以通过向中国局邮件网站（10.1.65.40）发送一个定长数据包，并且不允许操作系统更改其大小的方式，检查该数据包能否被正常传输，如果数据包小于或等于该网站的MTU值，传输就能正常进行，而如果发送的数据包大于网站使用的MTU值时，传输就会失败。这样，我们就能通过多次尝试，发送不同大小的数据包，最终得到网站的MTU大小，而这个数据再加上28字节的包头信息，就得到了我们需要的最终MTU值。

2.2测试方案

在2个不同的网络环境中，输入命令“ping –l 1xxx –f 10.1.65.40”（xxx為不同的数字），对中国局邮件网站（10.1.65.40）检测，找到它被固定的数据包长度。

参数含义如下：

–l 1xxx参数：发送一个定长数据包，1xxx是要测试的包大小， MTU一般在1300与1472之间，每一次测试将更换一次数值。

–f 参数：锁定操作系统不会自动更改数据包大小

2.3测试结果

1）在气象内网局域网内，最终测试得到的XX值为1472，根据规则加上28后，得到中国局邮件网站对MTU的要求是1500，而1500即为标准局域网的数据包长度如（图1）。

2）在普通电脑VPN拨号连接后，最终测试得到的最大XX值为1372，根据规则加上28后，通过VPN连接访问中国局邮件网站的最大MTU为1400，达不到之前测试的1500要求（图2）。

3 解决方案

普通的windows系统建立vpn拨号连接，最大的MTU设置为1460，达不到1500，这就是造成打不开网站的原因。这里我们采用了RouterOS路由器对接路由器，利用RouterOS路由器具有大范围调节MTU的功能，解决数据包的长度限制。（图3）

步骤如下：

1）建立VPN服务器。普通路由器并不能实现VPN服务端的功能，因此市局路由器使用的RouterOS软路由，该路由系统具备VPN服务端功能，而且可以定义修改非常多的设置。RouterOS是一种功能非常强大的电信ISP级别的软路由，可搭配不同的计算机及配件，而实现不同的功能与性能。

作为设计为6个县局提供连接的节点路由器，我们因地制宜的采用了配置为英特尔酷睿Q9500四核处理器，2G内存的电脑，配套的电源为台达服务器电源，并配置了512M的CF卡作为硬盘（路由系统占用磁盘空间非常小），该配置为全集成，功耗低，稳定性非常好，可有效地保证7X24小时的稳定持续工作。

因为是提供网络服务，所以我们还配置了英特尔I350-T4核心的服务器千兆网卡，intel i350-t4网卡还具有集成的硬件加速功能，能够执行TCP/UDP/IP校验和分载及TCP分段任务。这种核心的网卡主要是用于服务器和高端设备，数据吞吐性能比其他网卡好，使网络系统I/O不再是网络应用的瓶颈。

安装RouterOS路由系统后，一台功能强大而稳定的节点路由器组建完成，下面开始建立服务。

在市局路由器上，建立VPN服务，并将MRU/MTU由默认的1460修改为1500。如下图4。

建立渠县气象局专用VPN账号，并指定市局端和县局端的对连IP，两地的数据通信，均通过该IP进行中转。如图5。

2）在渠县气象局路由器上建立VPN客户端连接，并设置路由。县级这里，我们采用了一台稳定性比较好的双核Intel全集成电脑，已有一个集成千兆网口，并上面增加了一张双千兆网口的英特尔82576芯片的服务器网卡。

在安装好RouterOS系统后，建立VPN连接客户端，并设置连接参数为1500。如图6。

在路由表里面，将访问办公系统以及web邮件系统的IP网关跳转，设置为VPN连接。如图7。

3）测试连接。将电脑制作的专用路由器，安装到渠县气象局临时办公区，小局域网内电脑均通过它进行网络访问。

首先测试网络通断，ping了中国局web网站10.1.65.40，通信正常。然后再次采用之前ping特定长度数据包的方式测试，得出和局域网内相同的结果，测试通过。

然后再次用浏览器打开办公系统，打开里面的中国局web邮件链接，果然顺利打开。

至此，通过了实地测试，成功地解决了渠县气象局为期一年的异地办公无法访问办公系统的难题。

4 结束语

渠县气象局迁站之办公系统访问解决方案是在市局探测中心多年工作经验的基础上开发的，目的就是为了实现在只有互联网的环境下访问气象内部局域网。在实际运行检验过程中，各项设计初衷均已达到，并不断完善（比如WiFi功能）。

参考文献：

[1] 成都网大科技.MikroTik RouterOS 应用实例讲解[Z].

[2] Fall K R，Stevens W R.TCP/IP详解·卷1：协议（英文版）[M].2版.北京：机械工业出版社，2012.

【通联编辑：谢媛媛】