用Mikrotik Router搭建GRE over IPSec 备用链路

用MikrotikRouter搭建GREoverIPSec备用链路

该公司在中国、日本、美国、德国、新加坡等地都有业务。中间业务网络采用公司专有的GPN(中文为全球专用网)链路。目前，针对网络冗余和故障转移测试并构建了备份链路。

选择初步方案GREoverIPSec并运行ospf路由协议。

1。你为什么选择GRE而不是IPSec:

站点网络很多，需要通过路由协议互联；

IPSEC不支持组播，即不能传递路由协议，在承载路由协议方面不如GRE隧道方便；

GRE隧道不能提供加密保证；

使用GRE在两个网关之间建立隧道，运行路由协议和传输正常数据，使用IPSec对整个GRE隧道进行加密，所以需要将两者结合起来。

二。测试环境:

以中国、日本、美国为例。下图显示了基本的网络拓扑。MikrotikRouterOS(简称rOS)作为路由器和防火墙，中间运行ospf协议。GPN线相当于第二层，可以连接中、日、美，相当于一条专线。所以在网络质量上要优于直接走大网，做主业线，这里不写了；本文主要描述如何配置GRE链路实现备用链路功能，当GPN链路中断时，可以自动切换到备用线路。

配置extranetrouteros:

中国:101.251

日本:205.177

美国:38.83

第三地内网地址:

中国:10月13日

日本:10月13日4月22日

美国:10.13.12.0/22

3.接地互连的地址(使用段落10.13.253.0/24作为互连地址段):

中国和日本

日本和美国

中国:10月13日

GPN路段:

10.13.252.0/24

三。配置

1.三个ro的接口(Ether1/2/3分别对应外网/内网/GPN网):

2.IPSec配置

中国:

/ip ipsec peer      add address=205.177.x.x/32:500 comment="JP Link" auth-method=pre-shared-key secret="mypassword"      generate-policy=no exchange-mode=main send-initial-contact=yes      nat-traversal=no proposal-check=obey hash-algorithm=sha1      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0      dpd-interval=disable-dpd dpd-maximum-failures=5      add address=38.83.x.x/32:500 comment= "USALink" auth-method=pre-shared-key secret="mypassword"      generate-policy=no exchange-mode=main send-initial-contact=yes      nat-traversal=no proposal-check=obey hash-algorithm=sha1      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0      dpd-interval=disable-dpd dpd-maximum-failures=5 /ip ipsec policy     add src-address=101.251.x.x/32:any dst-address=205.177.x.x/32:any     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes     sa-src-address=101.251.x.x sa-dst-address=205.177.x.x proposal=default      priority=0          add src-address=101.251.x.x/32:any dst-address=38.83.x.x/32:any     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes     sa-src-address=101.251.x.x sa-dst-address=38.83.x.x proposal=default      priority=0

日本:

/ip ipsec peer      add address=101.251.x.x/32:500 comment="BJ Link" auth-method=pre-shared-key secret="mypassword"      generate-policy=no exchange-mode=main send-initial-contact=yes      nat-traversal=no proposal-check=obey hash-algorithm=sha1      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0      dpd-interval=disable-dpd dpd-maximum-failures=5      add address=38.83.x.x/32:500 comment= "USA Link" auth-method=pre-shared-key secret="mypassword"      generate-policy=no exchange-mode=main send-initial-contact=yes      nat-traversal=no proposal-check=obey hash-algorithm=sha1      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0      dpd-interval=disable-dpd dpd-maximum-failures=5 /ip ipsec policy     add src-address=205.177.x.x/32:any dst-address=101.251.x.x/32:any     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes     sa-src-address=205.177.x.x sa-dst-address=101.251.x.x proposal=default      priority=0          add src-address=205.177.x.x/32:any dst-address=38.83.x.x/32:any     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes     sa-src-address=205.177.x.x sa-dst-address=38.83.x.x proposal=default      priority=0

美国:

/ip ipsec peer      add address=101.251.x.x/32:500 comment="BJ Link" auth-method=pre-shared-key secret="mypassword"      generate-policy=no exchange-mode=main send-initial-contact=yes      nat-traversal=no proposal-check=obey hash-algorithm=sha1      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0      dpd-interval=disable-dpd dpd-maximum-failures=5      add address=205.177.x.x/32:500 comment= "JP Link" auth-method=pre-shared-key secret="mypassword"      generate-policy=no exchange-mode=main send-initial-contact=yes      nat-traversal=no proposal-check=obey hash-algorithm=sha1      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0      dpd-interval=disable-dpd dpd-maximum-failures=5 /ip ipsec policy     add src-address=38.83.x.x/32:any dst-address=101.251.x.x/32:any     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes     sa-src-address=38.83.x.x sa-dst-address=101.251.x.x proposal=default      priority=0          add src-address=38.83.x.x/32:any dst-address=205.177.x.x/32:any     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes     sa-src-address=38.83.x.x sa-dst-address=205.177.x.x proposal=default      priority=0

中国的例子:

3.GRE配置:

中国:

/interface gre add name= gre-tunnel1 local-address=101.251.x.x remote-address=205.177.x.x  comment="JP Link" add name= gre-tunnel2 local-address=101.251.x.x remote-address=38.83.x.x   comment="USA Link" /ip address add address=10.13.253.1/30 interface=gre-tunnel1 network=10.13.253.0 comment="JP Link" add address=10.13.253.5/30 interface=gre-tunnel2 network=10.13.253.4 comment="USA Link"

日本:

/interface gre add name= gre-tunnel1 local-address=205.177.x.x remote-address=101.251.x.x comment="BJ Link" add name= gre-tunnel2 local-address=101.251.x.x remote-address=38.83.x.x   comment="USA Link" /ip address add address=10.13.253.2/30 interface=gre-tunnel1 network=10.13.253.0 comment="BJ Link" add address=10.13.253.17/30 interface=gre-tunnel2 network=10.13.253.16 comment="USA Link"

美国:

/interface gre add name= gre-tunnel1 local-address=38.83.x.x remote-address=101.251.x.x comment="BJ Link" add name= gre-tunnel2 local-address=38.83.x.x remote-address=205.177.x.x   comment="JP Link" /ip address add address=10.13.253.6/30 interface=gre-tunnel1 network=10.13.253.4 comment="BJ Link" add address=10.13.253.18/30 interface=gre-tunnel2 network=10.13.253.16 comment="JP Link"

中国的例子:

4.OSPF构型

公布本地内部网地址段、GPN网段(10.13.252.0/24)和GRE互联网地址段。GPN链路的开销值优先级最高，设置为10，GRE隧道的开销值设置为100:

中国:

/routing ospf>  interface add interface=eth2 cost=10  interface add interface=eth3 cost=10  interface add interface=gre-tunnel1 cost=100  interface add interface=gre-tunnel2 cost=100 /routing ospf>  network add network=10.13.24.0/22 area=backbone comment="内网"  network add network=10.13.252.0/24 area=backbone comment="GPN"  network add network=10.13.253.0/30 area=backbone comment="JP Link"  network add network=10.13.253.4/30 area=backbone comment="USA Link"

日本:

/routing ospf>  interface add interface=eth2 cost=10  interface add interface=eth3 cost=10  interface add interface=gre-tunnel1 cost=100  interface add interface=gre-tunnel2 cost=100 /routing ospf>  network add network=10.13.4.0/22 area=backbone  comment="内网"  network add network=10.13.252.0/24 area=backbone comment="GPN"  network add network=10.13.253.0/30 area=backbone comment="BJ Link"  network add network=10.13.253.16/30 area=backbone comment="USA Link"

美国:

/routing ospf>  interface add interface=eth2 cost=10  interface add interface=eth3 cost=10  interface add interface=gre-tunnel1 cost=100  interface add interface=gre-tunnel2 cost=100 /routing ospf>  network add network=10.13.12.0/22 area=backbone  comment="内网"  network add network=10.13.252.0/24 area=backbone comment="GPN"  network add network=10.13.253.4/30 area=backbone comment="BJ Link"  network add network=10.13.253.16/30 area=backbone comment="JP Link"

北京的例子:

四。验证

1.检查ospf是否成功启动:

2.关闭GPN接口，检查ospf路由是否自动切换到GRE隧道:

测试线路自动切换成功后，连接GPN接口，检查路由并自动切换到GPN链路。

成功！

五.优化

本文只选择了三个站点，备用线路的ospf开销值都设置为100。在实际部署中，会有三条以上，ospf值的设置可以设置为点对点延时值，这样在切换到备用线路时，ospf会选择线路延时最低的路径，这也是最佳路径。比如中国和日本的网络时延大概是55ms，那么GRE的ospf开销可以设置为55。