RouterOS 是由 MikroTik 公司開發(fā)的基于 Linux 內(nèi)核的路由操作系統(tǒng)，是目前功能較強、應用較廣的一款軟路由系統(tǒng)，適用于中小企事業(yè)單位、網(wǎng)吧、賓館和運營商。通過該軟件可以將標準的 PC 電腦變成專業(yè)路由器，在軟件的開發(fā)和應用上可以不斷地更新和發(fā)展，使其功能在不斷增強和完善。特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能。

本文旨在介紹在服務(wù)器上使用 MikroTik RouterOS CHR 6.48.1 在騰訊云新加坡數(shù)據(jù)中心和 AWS新加坡數(shù)據(jù)中心的兩臺服務(wù)器上配置隧道。

需要注意的是，本文所操作的服務(wù)器均位于新加坡，服務(wù)器之間的加密數(shù)據(jù)通信均屬新加坡國內(nèi)通信交換，符合相關(guān)法律法規(guī)。

若您尚未了解 MikroTik RouterOS 的安裝和配置，請移步www.hbjsdrq.com/servernews/11007875.html 開始您的第一步。

一、服務(wù)器租用

一般情況下，在不支持 IPSec 硬件加密的 CHR (Cloud Hosted Router) 上，實現(xiàn)安全通信隧道需要仰仗強大的算力支持，因此根據(jù)所需要的實時數(shù)據(jù)處理量來選購配置是十分重要的。本文因僅供測試，選用的是24 元/月 CPU：1核 (獨享)配置，可以處理一般的數(shù)據(jù)流。

二、安裝和配置服務(wù)器

2.1 安裝和初始化

RouterOS 的安裝和基本配置請移步《在服務(wù)器上安裝MikroTik RouterOS并配置簡單的端口轉(zhuǎn)發(fā)》，請至少做到步驟《3.2.3 注冊 RouterOS》。

2.2 放行端口

進入輕量應用服務(wù)器管理界面，點擊“防火墻”選項卡，創(chuàng)建對所有(ALL)端口的放行規(guī)則。由于建立隧道需要用到多個端口，因此建議直接放行所有端口以保證的可用性。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。

三、創(chuàng)建隧道

3.1 創(chuàng)建 GRE Tunnel

3.1.1 創(chuàng)建 Interface for GRE

打開 WinBox 里的Interface界面，轉(zhuǎn)到GRE Tunnel選項卡，單擊左上角的“+”按鈕。

在彈出的窗口中填寫相應的信息，其中Name字段可以自定義，MTU的值為1500，Local Address為本機的內(nèi)網(wǎng)地址（在輕量應用服務(wù)器管理界面“概要”選項卡的“網(wǎng)絡(luò)信息”一欄中有顯示），Remote Address為對端服務(wù)器的公網(wǎng) IP 地址。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Local Address和Remote Address需要修改。

雙端出現(xiàn)R時，說明隧道已經(jīng)建立。

3.1.2 配置隧道雙端的 IP 地址

點選IP–Address后彈出Address List窗口。

單擊左上角的“+”按鈕，彈出New Address窗口。在其中填寫相應的信息，其中Address為自定義的內(nèi)網(wǎng) IP 地址，不要與已有的地址重復；Network將會根據(jù)Address中填寫的 IP/CIDR 自動計算；Interface選擇上一步驟中創(chuàng)建的 GRE 隧道的名稱。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Address需要與對端服務(wù)器在同一網(wǎng)段內(nèi)。

隧道兩端互相對 ping，可以看到數(shù)據(jù)包能夠到達。

3.2 創(chuàng)建 IPIP Tunnel

3.2.1 創(chuàng)建 Interface for IPSec

打開 WinBox 里的Interface界面，轉(zhuǎn)到IP Tunnel選項卡，單擊左上角的“+”按鈕。

在彈出的窗口中填寫相應的信息，其中Name字段可以自定義，MTU的值為1480，Local Address為步驟 3.1.2 中為本機設(shè)置的 IP 地址，Remote Address為在步驟 3.1.2 中在對端服務(wù)器上設(shè)置的 IP 地址，IPSec Secret請自定義，底部的Allow Fast Path請取消勾選（CHR 一般不支持 IPSec 硬件加速）。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Local Address和Remote Address需要修改。

雙端出現(xiàn)R時，說明隧道已經(jīng)建立。

3.2.2 配置隧道雙端的 IP 地址

點選IP–Address后彈出Address List窗口。

單擊左上角的“+”按鈕，彈出New Address窗口。在其中填寫相應的信息，其中Address為自定義的內(nèi)網(wǎng) IP 地址，不要與已有的地址重復；Network將會根據(jù)Address中填寫的 IP/CIDR 自動計算；Interface選擇上一步驟中創(chuàng)建的 IPSec 隧道的名稱。單擊右側(cè)的 “OK” 按鈕保存。

在 AWS 數(shù)據(jù)中心的服務(wù)器上執(zhí)行相同的操作。其中Address需要與對端服務(wù)器在同一網(wǎng)段內(nèi)。

隧道兩端互相對 ping，可以看到數(shù)據(jù)包能夠到達。

四、測速

4.1 GRE 隧道測速

點選Tools–Bandwidth Test后彈出Bandwidth Test窗口。

與iperf3工具類似，Bandwidth Test可進行發(fā)送方和接收方模式的測速，支持 TCP 和 UDP 協(xié)議。在Test To內(nèi)填寫在步驟 3.1.2 中在對端服務(wù)器上設(shè)置的 IP 地址，Direction為測速的接受/發(fā)送方模式選擇，輸入對端服務(wù)器的User和Password后單擊右側(cè)的 “Start” 按鈕開始測速。

收發(fā)帶寬測試結(jié)果如圖所示，可以說是跑滿帶寬了。

4.2 IPSec 隧道測速

將步驟 4.1 中的Test To地址改為步驟 3.2.2 中在對端服務(wù)器上設(shè)置的 IP 地址，單擊右側(cè)的 “Start” 按鈕開始測速。

建立在 GRE 隧道內(nèi)的 IPSec 軟件加密隧道在這種小帶寬場景下依舊未損失多少性能，帶寬依然相當充足。

以上為搭建教程，如有服務(wù)器租用、云服務(wù)器租用需要詳詢客服，官網(wǎng)：www.hbjsdrq.com。

海外服務(wù)器免費測試：http://hbjsdrq.com/