RouterOS 是由 MikroTik 公司開發(fā)的基于 Linux 內(nèi)核的路由操作系統(tǒng)，是目前功能較強(qiáng)、應(yīng)用較廣的一款軟路由系統(tǒng)，適用于中小企事業(yè)單位、網(wǎng)吧、賓館和運(yùn)營商。通過該軟件可以將標(biāo)準(zhǔn)的 PC 電腦變成專業(yè)路由器，在軟件的開發(fā)和應(yīng)用上可以不斷地更新和發(fā)展，使其功能在不斷增強(qiáng)和完善。特別在無線、認(rèn)證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能。

本文旨在介紹在服務(wù)器上使用 MikroTik RouterOS CHR 6.48.1 在騰訊云新加坡數(shù)據(jù)中心和 AWS新加坡數(shù)據(jù)中心的兩臺(tái)服務(wù)器上配置隧道。

需要注意的是，本文所操作的服務(wù)器均位于新加坡，服務(wù)器之間的加密數(shù)據(jù)通信均屬新加坡國內(nèi)通信交換，符合相關(guān)法律法規(guī)。

若您尚未了解 MikroTik RouterOS 的安裝和配置，請(qǐng)移步m.51huadong.com/servernews/11007875.html 開始您的第一步。

一、服務(wù)器租用

一般情況下，在不支持 IPSec 硬件加密的 CHR (Cloud Hosted Router) 上，實(shí)現(xiàn)安全通信隧道需要仰仗強(qiáng)大的算力支持，因此根據(jù)所需要的實(shí)時(shí)數(shù)據(jù)處理量來選購配置是十分重要的。本文因僅供測試，選用的是 24 元/月 CPU：1核 (獨(dú)享) 配置，可以處理一般的數(shù)據(jù)流。

二、安裝和配置服務(wù)器

2.1 安裝和初始化

RouterOS 的安裝和基本配置請(qǐng)移步《在服務(wù)器上安裝MikroTik RouterOS并配置簡單的端口轉(zhuǎn)發(fā)》，請(qǐng)至少做到步驟《3.2.3 注冊(cè) RouterOS》。

2.2 放行端口

進(jìn)入輕量應(yīng)用服務(wù)器管理界面，點(diǎn)擊“防火墻”選項(xiàng)卡，創(chuàng)建對(duì)所有 (ALL) 端口的放行規(guī)則。由于建立隧道需要用到多個(gè)端口，因此建議直接放行所有端口以保證的可用性。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。

三、創(chuàng)建隧道

3.1 創(chuàng)建 GRE Tunnel

3.1.1 創(chuàng)建 Interface for GRE

打開 WinBox 里的 Interface 界面，轉(zhuǎn)到 GRE Tunnel 選項(xiàng)卡，單擊左上角的“+”按鈕。

在彈出的窗口中填寫相應(yīng)的信息，其中 Name 字段可以自定義，MTU 的值為 1500，Local Address 為本機(jī)的內(nèi)網(wǎng)地址（在輕量應(yīng)用服務(wù)器管理界面“概要”選項(xiàng)卡的“網(wǎng)絡(luò)信息”一欄中有顯示），Remote Address 為對(duì)端服務(wù)器的公網(wǎng) IP 地址。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中 Local Address 和 Remote Address 需要修改。

雙端出現(xiàn) R 時(shí)，說明隧道已經(jīng)建立。

3.1.2 配置隧道雙端的 IP 地址

點(diǎn)選 IP – Address 后彈出 Address List 窗口。

單擊左上角的“+”按鈕，彈出 New Address 窗口。在其中填寫相應(yīng)的信息，其中 Address 為自定義的內(nèi)網(wǎng) IP 地址，不要與已有的地址重復(fù)；Network 將會(huì)根據(jù) Address 中填寫的 IP/CIDR 自動(dòng)計(jì)算；Interface 選擇上一步驟中創(chuàng)建的 GRE 隧道的名稱。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中 Address 需要與對(duì)端服務(wù)器在同一網(wǎng)段內(nèi)。

隧道兩端互相對(duì) ping，可以看到數(shù)據(jù)包能夠到達(dá)。

3.2 創(chuàng)建 IPIP Tunnel

3.2.1 創(chuàng)建 Interface for IPSec

打開 WinBox 里的 Interface 界面，轉(zhuǎn)到 IP Tunnel 選項(xiàng)卡，單擊左上角的“+”按鈕。

在彈出的窗口中填寫相應(yīng)的信息，其中 Name 字段可以自定義，MTU 的值為 1480，Local Address 為步驟 3.1.2 中為本機(jī)設(shè)置的 IP 地址，Remote Address 為在步驟 3.1.2 中在對(duì)端服務(wù)器上設(shè)置的 IP 地址，IPSec Secret 請(qǐng)自定義，底部的 Allow Fast Path 請(qǐng)取消勾選（CHR 一般不支持 IPSec 硬件加速）。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中 Local Address 和 Remote Address 需要修改。

雙端出現(xiàn) R 時(shí)，說明隧道已經(jīng)建立。

3.2.2 配置隧道雙端的 IP 地址

點(diǎn)選 IP – Address 后彈出 Address List 窗口。

單擊左上角的“+”按鈕，彈出 New Address 窗口。在其中填寫相應(yīng)的信息，其中 Address 為自定義的內(nèi)網(wǎng) IP 地址，不要與已有的地址重復(fù)；Network 將會(huì)根據(jù) Address 中填寫的 IP/CIDR 自動(dòng)計(jì)算；Interface 選擇上一步驟中創(chuàng)建的 IPSec 隧道的名稱。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中 Address 需要與對(duì)端服務(wù)器在同一網(wǎng)段內(nèi)。

隧道兩端互相對(duì) ping，可以看到數(shù)據(jù)包能夠到達(dá)。

四、測速

4.1 GRE 隧道測速

點(diǎn)選 Tools – Bandwidth Test 后彈出 Bandwidth Test 窗口。

與 iperf3 工具類似，Bandwidth Test 可進(jìn)行發(fā)送方和接收方模式的測速，支持 TCP 和 UDP 協(xié)議。在 Test To 內(nèi)填寫在步驟 3.1.2 中在對(duì)端服務(wù)器上設(shè)置的 IP 地址，Direction 為測速的接受/發(fā)送方模式選擇，輸入對(duì)端服務(wù)器的 User 和 Password 后單擊右側(cè)的 “Start” 按鈕開始測速。

收發(fā)帶寬測試結(jié)果如圖所示，可以說是跑滿帶寬了。

4.2 IPSec 隧道測速

將步驟 4.1 中的 Test To 地址改為步驟 3.2.2 中在對(duì)端服務(wù)器上設(shè)置的 IP 地址，單擊右側(cè)的 “Start” 按鈕開始測速。

建立在 GRE 隧道內(nèi)的 IPSec 軟件加密隧道在這種小帶寬場景下依舊未損失多少性能，帶寬依然相當(dāng)充足。

以上為搭建教程，如有服務(wù)器租用、云服務(wù)器租用需要詳詢客服電話400-6-3-8-8-80-8，官網(wǎng)：m.51huadong.com。

本文鏈接：http://m.51huadong.com/servernews/11007876.html