基于Router OS虛擬二層透明網(wǎng)橋的實現(xiàn)

中移鐵通有限公司廣西分公司 金洪波

1 電路租用的常見問題

隨著電路租用業(yè)務的發(fā)展，各企業(yè)、單位、公司的遠程重要業(yè)務一般都開通了電路租用，但隨之而來的各種問題困擾著維護人員。如：電路的異常中斷，雖然目前重要的電路都有傳輸環(huán)保護，但在實際的組網(wǎng)中，還是遇到一些實際的問題。如環(huán)保護往往更多是單節(jié)點二路由線路的保護，還是存在節(jié)點的安全隱患風險，即網(wǎng)絡的安全可靠離用戶的期望還存在一定的距離。在實際的應用中，部分用戶期望實現(xiàn)居于完全獨立于傳輸系統(tǒng)構建的虛擬電路。一種既保證了安全又兼容高性價比的鏈路備份方式就被越來越多的客戶提上了網(wǎng)絡接入的新日程。其備份鏈路的主要需求總結為：高性價比、網(wǎng)絡架構不變、安全。

2 解決辦法

目前比較比較常見的辦法是采用居于互聯(lián)網(wǎng)的IPSEC VPN、PPTP VPN、L2TP VPN技術。 這些方法都可實現(xiàn)，但都存在一個比較大的缺陷是只能是實現(xiàn)三層網(wǎng)絡的互聯(lián)。由于電路租用用戶大多數(shù)情況都是點對點互聯(lián)，更多的是期望點對點的二層透明的網(wǎng)絡傳輸，和目前的主用電路租用通道完全一致。

EoIP（Ethernet Over IP）本質就是在IP網(wǎng)上橋接兩個以太網(wǎng)，使兩個網(wǎng)絡內的設備可以像在同一個局域網(wǎng)內一樣互相訪問，類似于通過IP網(wǎng)絡建立一條隧道兩端各連接一個以太局域網(wǎng)，所以也可稱為EoIP隧道。通過IP報文頭封裝內部的以太幀，打包包含以太幀的IP報文在internet上傳輸。IP報文到達對端后，通過解包還原原來的以太幀，實現(xiàn)透明網(wǎng)橋的功能。

EoIP隧道構建在Internet上，連接兩個或多個不同的接入點，實現(xiàn)二層（即OSI模型中的數(shù)據(jù)鏈路層）的數(shù)據(jù)透明轉發(fā)?？梢詫⒈镜氐膬炔烤钟蚓W(wǎng)的MAC地址通過EoIP隧道透傳到異地的內部局域網(wǎng)，兩個遠程異地的局域網(wǎng)完全變成一個本地局域網(wǎng)。

3 Router OS的配置二層透明網(wǎng)橋

分布在不同地區(qū)的兩個遠程辦公地點，我們稱之為辦公A點和辦公B點，Eoip隧道技術將兩點互聯(lián)，建立可靠安全的二層數(shù)據(jù)通信，參考圖1：

圖1

網(wǎng)絡參數(shù)：

（1）辦公A點路由器的IP地址為222.52.118.202，橋接分配地址10.0.0.1；

（2）辦公B點路由器的IP地址是61.235.163.59，橋接分配地址10.0.0.2用透明網(wǎng)橋方式實現(xiàn)兩點通信，保證兩個網(wǎng)絡能通過二層的mac互訪。

兩個不同地點的路由器在Internet上構建EoIP隧道，創(chuàng)建EOIP橋，將設備上的lan口和eoip建立橋接，同時通過數(shù)據(jù)加密，即能夠實現(xiàn)兩個遠程局域網(wǎng)的二層安全通信。

3.1 EoIP基本配置

兩個辦公點設備分別配置EoIP的名稱和ID值，隧道的ID值設置1，或將隧道ID設置為其他自然數(shù)且要求ID數(shù)值相同，remote-address配置遠端路由器的互聯(lián)網(wǎng)IP。

辦公A點配置：

辦公B點配置：

3.2 EoIP的bridge配置

辦公A、B點設備的EoIP隧道和以太網(wǎng)口啟用橋接功能，將設備的網(wǎng)卡名稱命名為wan。

在辦公A點上配置：

同理，在辦公 B點上配置：

3.3 EoIP的安全加密配置

由于重要客戶對數(shù)據(jù)的安全性要求比較高，在建立Transparent Bridge的過程中，EoIP本身屬不加密傳輸，所以我們可以在建立通道之前，先建立加密通道(Site-to-Site VPN)，然后再于該加密通道上建立，這樣就可以保障數(shù)據(jù)的安全。

在辦公A點上配置：

同理，在辦公B點上配置:

辦公A點和辦公B點兩個局域網(wǎng)的備用電路通過EoIP隧道的橋接已經(jīng)搭建起來，在實際中，二路由備用電路居于互聯(lián)網(wǎng)，可以是光纖有線接入，也可是3G或4G等無線網(wǎng)絡構建。大大提升了網(wǎng)絡的安全及可靠性。

4 小結

通過對Router OS配置EOIP隧道實現(xiàn)虛擬二層透明網(wǎng)橋組網(wǎng)，對于電路的業(yè)務保護具有具有重要的意義。

[1]王亮,唐永林.Router OS網(wǎng)絡工程組建及管理[J].通訊世界,2016 (23)：263-264.

[2]焦顯偉.基于ROS和V LAN的高校機房網(wǎng)絡優(yōu)化設計[J].信息技術與信息化,2015(1)：26-27.

[3]詹光騰.基于ROS的VPN連接在校園網(wǎng)上的應用[J].中國管理信息,2016 19(10)：145-146.