RouterOS 是由 MikroTik 公司開發(fā)的基于 Linux 內(nèi)核的路由操作系統(tǒng),是目前功能較強、應用較廣的一款軟路由系統(tǒng),適用于中小企事業(yè)單位、網(wǎng)吧、賓館和運營商。通過該軟件可以將標準的 PC 電腦變成專業(yè)路由器,在軟件的開發(fā)和應用上可以不斷地更新和發(fā)展,使其功能在不斷增強和完善。特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能。
本文旨在介紹在服務(wù)器上使用 MikroTik RouterOS CHR 6.48.1 在騰訊云新加坡數(shù)據(jù)中心和 AWS新加坡數(shù)據(jù)中心的兩臺服務(wù)器上配置隧道。
需要注意的是,本文所操作的服務(wù)器均位于新加坡,服務(wù)器之間的加密數(shù)據(jù)通信均屬新加坡國內(nèi)通信交換,符合相關(guān)法律法規(guī)。
若您尚未了解 MikroTik RouterOS 的安裝和配置,請移步www.hbjsdrq.com/servernews/11007875.html 開始您的第一步。
一、服務(wù)器租用
一般情況下,在不支持 IPSec 硬件加密的 CHR (Cloud Hosted Router) 上,實現(xiàn)安全通信隧道需要仰仗強大的算力支持,因此根據(jù)所需要的實時數(shù)據(jù)處理量來選購配置是十分重要的。本文因僅供測試,選用的是24 元/月 CPU:1核 (獨享)配置,可以處理一般的數(shù)據(jù)流。
二、安裝和配置服務(wù)器
2.1 安裝和初始化
RouterOS 的安裝和基本配置請移步《在服務(wù)器上安裝MikroTik RouterOS并配置簡單的端口轉(zhuǎn)發(fā)》,請至少做到步驟《3.2.3 注冊 RouterOS》。
2.2 放行端口
進入輕量應用服務(wù)器管理界面,點擊“防火墻”選項卡,創(chuàng)建對所有(ALL)端口的放行規(guī)則。由于建立隧道需要用到多個端口,因此建議直接放行所有端口以保證的可用性。
在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。
三、創(chuàng)建隧道
3.1 創(chuàng)建 GRE Tunnel
3.1.1 創(chuàng)建 Interface for GRE
打開 WinBox 里的Interface界面,轉(zhuǎn)到GRE Tunnel選項卡,單擊左上角的“+”按鈕。
在彈出的窗口中填寫相應的信息,其中Name字段可以自定義,MTU的值為1500,Local Address為本機的內(nèi)網(wǎng)地址(在輕量應用服務(wù)器管理界面“概要”選項卡的“網(wǎng)絡(luò)信息”一欄中有顯示),Remote Address為對端服務(wù)器的公網(wǎng) IP 地址。單擊右側(cè)的 “OK” 按鈕保存。
在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Local Address和Remote Address需要修改。
雙端出現(xiàn)R時,說明隧道已經(jīng)建立。
3.1.2 配置隧道雙端的 IP 地址
點選IP–Address后彈出Address List窗口。
單擊左上角的“+”按鈕,彈出New Address窗口。在其中填寫相應的信息,其中Address為自定義的內(nèi)網(wǎng) IP 地址,不要與已有的地址重復;Network將會根據(jù)Address中填寫的 IP/CIDR 自動計算;Interface選擇上一步驟中創(chuàng)建的 GRE 隧道的名稱。單擊右側(cè)的 “OK” 按鈕保存。
在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Address需要與對端服務(wù)器在同一網(wǎng)段內(nèi)。
隧道兩端互相對 ping,可以看到數(shù)據(jù)包能夠到達。
3.2 創(chuàng)建 IPIP Tunnel
3.2.1 創(chuàng)建 Interface for IPSec
打開 WinBox 里的Interface界面,轉(zhuǎn)到IP Tunnel選項卡,單擊左上角的“+”按鈕。
在彈出的窗口中填寫相應的信息,其中Name字段可以自定義,MTU的值為1480,Local Address為步驟 3.1.2 中為本機設(shè)置的 IP 地址,Remote Address為在步驟 3.1.2 中在對端服務(wù)器上設(shè)置的 IP 地址,IPSec Secret請自定義,底部的Allow Fast Path請取消勾選(CHR 一般不支持 IPSec 硬件加速)。單擊右側(cè)的 “OK” 按鈕保存。
在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Local Address和Remote Address需要修改。
雙端出現(xiàn)R時,說明隧道已經(jīng)建立。
3.2.2 配置隧道雙端的 IP 地址
點選IP–Address后彈出Address List窗口。
單擊左上角的“+”按鈕,彈出New Address窗口。在其中填寫相應的信息,其中Address為自定義的內(nèi)網(wǎng) IP 地址,不要與已有的地址重復;Network將會根據(jù)Address中填寫的 IP/CIDR 自動計算;Interface選擇上一步驟中創(chuàng)建的 IPSec 隧道的名稱。單擊右側(cè)的 “OK” 按鈕保存。
在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Address需要與對端服務(wù)器在同一網(wǎng)段內(nèi)。
隧道兩端互相對 ping,可以看到數(shù)據(jù)包能夠到達。
四、測速
4.1 GRE 隧道測速
點選Tools–Bandwidth Test后彈出Bandwidth Test窗口。
與iperf3工具類似,Bandwidth Test可進行發(fā)送方和接收方模式的測速,支持 TCP 和 UDP 協(xié)議。在Test To內(nèi)填寫在步驟 3.1.2 中在對端服務(wù)器上設(shè)置的 IP 地址,Direction為測速的接受/發(fā)送方模式選擇,輸入對端服務(wù)器的User和Password后單擊右側(cè)的 “Start” 按鈕開始測速。
收發(fā)帶寬測試結(jié)果如圖所示,可以說是跑滿帶寬了。
4.2 IPSec 隧道測速
將步驟 4.1 中的Test To地址改為步驟 3.2.2 中在對端服務(wù)器上設(shè)置的 IP 地址,單擊右側(cè)的 “Start” 按鈕開始測速。
建立在 GRE 隧道內(nèi)的 IPSec 軟件加密隧道在這種小帶寬場景下依舊未損失多少性能,帶寬依然相當充足。
以上為搭建教程,如有服務(wù)器租用、云服務(wù)器租用需要詳詢客服,官網(wǎng):www.hbjsdrq.com。
海外服務(wù)器免費測試:http://hbjsdrq.com/