基于Router OS虛擬二層透明網(wǎng)橋的實(shí)現(xiàn)

中移鐵通有限公司廣西分公司 金洪波

1 電路租用的常見(jiàn)問(wèn)題

隨著電路租用業(yè)務(wù)的發(fā)展，各企業(yè)、單位、公司的遠(yuǎn)程重要業(yè)務(wù)一般都開(kāi)通了電路租用，但隨之而來(lái)的各種問(wèn)題困擾著維護(hù)人員。如：電路的異常中斷，雖然目前重要的電路都有傳輸環(huán)保護(hù)，但在實(shí)際的組網(wǎng)中，還是遇到一些實(shí)際的問(wèn)題。如環(huán)保護(hù)往往更多是單節(jié)點(diǎn)二路由線路的保護(hù)，還是存在節(jié)點(diǎn)的安全隱患風(fēng)險(xiǎn)，即網(wǎng)絡(luò)的安全可靠離用戶(hù)的期望還存在一定的距離。在實(shí)際的應(yīng)用中，部分用戶(hù)期望實(shí)現(xiàn)居于完全獨(dú)立于傳輸系統(tǒng)構(gòu)建的虛擬電路。一種既保證了安全又兼容高性?xún)r(jià)比的鏈路備份方式就被越來(lái)越多的客戶(hù)提上了網(wǎng)絡(luò)接入的新日程。其備份鏈路的主要需求總結(jié)為：高性?xún)r(jià)比、網(wǎng)絡(luò)架構(gòu)不變、安全。

2 解決辦法

目前比較比較常見(jiàn)的辦法是采用居于互聯(lián)網(wǎng)的IPSEC VPN、PPTP VPN、L2TP VPN技術(shù)。 這些方法都可實(shí)現(xiàn)，但都存在一個(gè)比較大的缺陷是只能是實(shí)現(xiàn)三層網(wǎng)絡(luò)的互聯(lián)。由于電路租用用戶(hù)大多數(shù)情況都是點(diǎn)對(duì)點(diǎn)互聯(lián)，更多的是期望點(diǎn)對(duì)點(diǎn)的二層透明的網(wǎng)絡(luò)傳輸，和目前的主用電路租用通道完全一致。

EoIP（Ethernet Over IP）本質(zhì)就是在IP網(wǎng)上橋接兩個(gè)以太網(wǎng)，使兩個(gè)網(wǎng)絡(luò)內(nèi)的設(shè)備可以像在同一個(gè)局域網(wǎng)內(nèi)一樣互相訪問(wèn)，類(lèi)似于通過(guò)IP網(wǎng)絡(luò)建立一條隧道兩端各連接一個(gè)以太局域網(wǎng)，所以也可稱(chēng)為EoIP隧道。通過(guò)IP報(bào)文頭封裝內(nèi)部的以太幀，打包包含以太幀的IP報(bào)文在internet上傳輸。IP報(bào)文到達(dá)對(duì)端后，通過(guò)解包還原原來(lái)的以太幀，實(shí)現(xiàn)透明網(wǎng)橋的功能。

EoIP隧道構(gòu)建在Internet上，連接兩個(gè)或多個(gè)不同的接入點(diǎn)，實(shí)現(xiàn)二層（即OSI模型中的數(shù)據(jù)鏈路層）的數(shù)據(jù)透明轉(zhuǎn)發(fā)?？梢詫⒈镜氐膬?nèi)部局域網(wǎng)的MAC地址通過(guò)EoIP隧道透?jìng)鞯疆惖氐膬?nèi)部局域網(wǎng)，兩個(gè)遠(yuǎn)程異地的局域網(wǎng)完全變成一個(gè)本地局域網(wǎng)。

3 Router OS的配置二層透明網(wǎng)橋

分布在不同地區(qū)的兩個(gè)遠(yuǎn)程辦公地點(diǎn)，我們稱(chēng)之為辦公A點(diǎn)和辦公B點(diǎn)，Eoip隧道技術(shù)將兩點(diǎn)互聯(lián)，建立可靠安全的二層數(shù)據(jù)通信，參考圖1：

圖1

網(wǎng)絡(luò)參數(shù)：

（1）辦公A點(diǎn)路由器的IP地址為222.52.118.202，橋接分配地址10.0.0.1；

（2）辦公B點(diǎn)路由器的IP地址是61.235.163.59，橋接分配地址10.0.0.2用透明網(wǎng)橋方式實(shí)現(xiàn)兩點(diǎn)通信，保證兩個(gè)網(wǎng)絡(luò)能通過(guò)二層的mac互訪。

兩個(gè)不同地點(diǎn)的路由器在Internet上構(gòu)建EoIP隧道，創(chuàng)建EOIP橋，將設(shè)備上的lan口和eoip建立橋接，同時(shí)通過(guò)數(shù)據(jù)加密，即能夠?qū)崿F(xiàn)兩個(gè)遠(yuǎn)程局域網(wǎng)的二層安全通信。

3.1 EoIP基本配置

兩個(gè)辦公點(diǎn)設(shè)備分別配置EoIP的名稱(chēng)和ID值，隧道的ID值設(shè)置1，或?qū)⑺淼繧D設(shè)置為其他自然數(shù)且要求ID數(shù)值相同，remote-address配置遠(yuǎn)端路由器的互聯(lián)網(wǎng)IP。

辦公A點(diǎn)配置：

辦公B點(diǎn)配置：

3.2 EoIP的bridge配置

辦公A、B點(diǎn)設(shè)備的EoIP隧道和以太網(wǎng)口啟用橋接功能，將設(shè)備的網(wǎng)卡名稱(chēng)命名為wan。

在辦公A點(diǎn)上配置：

同理，在辦公 B點(diǎn)上配置：

3.3 EoIP的安全加密配置

由于重要客戶(hù)對(duì)數(shù)據(jù)的安全性要求比較高，在建立Transparent Bridge的過(guò)程中，EoIP本身屬不加密傳輸，所以我們可以在建立通道之前，先建立加密通道(Site-to-Site VPN)，然后再于該加密通道上建立，這樣就可以保障數(shù)據(jù)的安全。

在辦公A點(diǎn)上配置：

同理，在辦公B點(diǎn)上配置:

辦公A點(diǎn)和辦公B點(diǎn)兩個(gè)局域網(wǎng)的備用電路通過(guò)EoIP隧道的橋接已經(jīng)搭建起來(lái)，在實(shí)際中，二路由備用電路居于互聯(lián)網(wǎng)，可以是光纖有線接入，也可是3G或4G等無(wú)線網(wǎng)絡(luò)構(gòu)建。大大提升了網(wǎng)絡(luò)的安全及可靠性。

4 小結(jié)

通過(guò)對(duì)Router OS配置EOIP隧道實(shí)現(xiàn)虛擬二層透明網(wǎng)橋組網(wǎng)，對(duì)于電路的業(yè)務(wù)保護(hù)具有具有重要的意義。

[1]王亮,唐永林.Router OS網(wǎng)絡(luò)工程組建及管理[J].通訊世界,2016 (23)：263-264.

[2]焦顯偉.基于ROS和V LAN的高校機(jī)房網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)[J].信息技術(shù)與信息化,2015(1)：26-27.

[3]詹光騰.基于ROS的VPN連接在校園網(wǎng)上的應(yīng)用[J].中國(guó)管理信息,2016 19(10)：145-146.