基于Router OS虛擬二層透明網橋的實現

中移鐵通有限公司廣西分公司 金洪波

1 電路租用的常見問題

隨著電路租用業務的發展，各企業、單位、公司的遠程重要業務一般都開通了電路租用，但隨之而來的各種問題困擾著維護人員。如：電路的異常中斷，雖然目前重要的電路都有傳輸環保護，但在實際的組網中，還是遇到一些實際的問題。如環保護往往更多是單節點二路由線路的保護，還是存在節點的安全隱患風險，即網絡的安全可靠離用戶的期望還存在一定的距離。在實際的應用中，部分用戶期望實現居于完全獨立于傳輸系統構建的虛擬電路。一種既保證了安全又兼容高性價比的鏈路備份方式就被越來越多的客戶提上了網絡接入的新日程。其備份鏈路的主要需求總結為：高性價比、網絡架構不變、安全。

2 解決辦法

目前比較比較常見的辦法是采用居于互聯網的IPSEC VPN、PPTP VPN、L2TP VPN技術。 這些方法都可實現，但都存在一個比較大的缺陷是只能是實現三層網絡的互聯。由于電路租用用戶大多數情況都是點對點互聯，更多的是期望點對點的二層透明的網絡傳輸，和目前的主用電路租用通道完全一致。

EoIP（Ethernet Over IP）本質就是在IP網上橋接兩個以太網，使兩個網絡內的設備可以像在同一個局域網內一樣互相訪問，類似于通過IP網絡建立一條隧道兩端各連接一個以太局域網，所以也可稱為EoIP隧道。通過IP報文頭封裝內部的以太幀，打包包含以太幀的IP報文在internet上傳輸。IP報文到達對端后，通過解包還原原來的以太幀，實現透明網橋的功能。

EoIP隧道構建在Internet上，連接兩個或多個不同的接入點，實現二層（即OSI模型中的數據鏈路層）的數據透明轉發。可以將本地的內部局域網的MAC地址通過EoIP隧道透傳到異地的內部局域網，兩個遠程異地的局域網完全變成一個本地局域網。

3 Router OS的配置二層透明網橋

分布在不同地區的兩個遠程辦公地點，我們稱之為辦公A點和辦公B點，Eoip隧道技術將兩點互聯，建立可靠安全的二層數據通信，參考圖1：

圖1

網絡參數：

（1）辦公A點路由器的IP地址為222.52.118.202，橋接分配地址10.0.0.1；

（2）辦公B點路由器的IP地址是61.235.163.59，橋接分配地址10.0.0.2用透明網橋方式實現兩點通信，保證兩個網絡能通過二層的mac互訪。

兩個不同地點的路由器在Internet上構建EoIP隧道，創建EOIP橋，將設備上的lan口和eoip建立橋接，同時通過數據加密，即能夠實現兩個遠程局域網的二層安全通信。

3.1 EoIP基本配置

兩個辦公點設備分別配置EoIP的名稱和ID值，隧道的ID值設置1，或將隧道ID設置為其他自然數且要求ID數值相同，remote-address配置遠端路由器的互聯網IP。

辦公A點配置：

辦公B點配置：

3.2 EoIP的bridge配置

辦公A、B點設備的EoIP隧道和以太網口啟用橋接功能，將設備的網卡名稱命名為wan。

在辦公A點上配置：

同理，在辦公 B點上配置：

3.3 EoIP的安全加密配置

由于重要客戶對數據的安全性要求比較高，在建立Transparent Bridge的過程中，EoIP本身屬不加密傳輸，所以我們可以在建立通道之前，先建立加密通道(Site-to-Site VPN)，然后再于該加密通道上建立，這樣就可以保障數據的安全。

在辦公A點上配置：

同理，在辦公B點上配置:

辦公A點和辦公B點兩個局域網的備用電路通過EoIP隧道的橋接已經搭建起來，在實際中，二路由備用電路居于互聯網，可以是光纖有線接入，也可是3G或4G等無線網絡構建。大大提升了網絡的安全及可靠性。

4 小結

通過對Router OS配置EOIP隧道實現虛擬二層透明網橋組網，對于電路的業務保護具有具有重要的意義。

[1]王亮,唐永林.Router OS網絡工程組建及管理[J].通訊世界,2016 (23)：263-264.

[2]焦顯偉.基于ROS和V LAN的高校機房網絡優化設計[J].信息技術與信息化,2015(1)：26-27.

[3]詹光騰.基于ROS的VPN連接在校園網上的應用[J].中國管理信息,2016 19(10)：145-146.