用Mikrotik Router搭建GRE over IPSec 备用链路

最新推荐文章于 2025-03-30 00:00:00 发布
最新推荐文章于 2025-03-30 00:00:00 发布
阅读量1.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/548133
本文详细介绍了如何利用Mikrotik RouterOS搭建GRE over IPSec备用链路,以确保在全球多地业务的网络冗余和故障切换。通过配置GRE隧道和IPSec加密,实现路由协议的互联,并通过OSPF进行路径选择。测试结果显示,当主链路GPN中断时,网络能自动切换到GRE备用链路,并在主链路恢复后自动回切。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  公司在国内、日本、美国、德国、新加坡等多地均有业务,中间业务网络用的公司专有GPN(Global Private Network中文名是全球私有化网络)链路,目前测试搭建一条备用链路,用于网络冗余和故障切换。

  初步选用方案GRE over IPSec,跑ospf路由协议。 

一、为何要选GRE over IPSec:

  1. 各个site网络比较多,需要使用路由协议进行互联;

  2. IPSEC不支持组播,即不能传递路由协议,在承载路由协议上不如GRE隧道方便;  

  3. GRE隧道不能提供加密保障;

  4. 使用GRE在两个网关之间搭建一个隧道,运行路由协议及传输正常数据,使用IPSec对整个GRE隧道进行加密,因此需要把两者进行结合。

二、测试环境:

  以中国、日本、美国三地为例,基本网络拓扑如下图,用Mikrotik RouterOS(简称ROS)做路由器和防火墙,中间跑ospf协议。GPN链路就相当于一个大二层,能够把中日美三地打通,相当于专线,因此在网络质量上优于直接走大网,做业务主线,这里不多写;主要写一下如何配置GRE链路实现备用链路功能,在GPN链路中断的时候能够自动切换到备线。

routeros上配置外网:

中国:101.251.x.x

日本:205.177.x.x

美国:38.83.x.x

三地的内网地址:

中国:10.13.24.0/22

日本:10.13.4.0/22

美国:10.13.12.0/22

三地互联地址(用10.13.253.0/24段做互联地址段):

中国和日本:10.13.253.0/30

日本和美国:10.13.253.16/30

美国和中国:10.13.253.4/30

GPN链路网段:

10.13.252.0/24


wKioL1aMqsKA5YO7AACtkdUUmo8995.png

三、配置

1、三个ros的interface(ether1/2/3分别对应着外网/内网/GPN网络):

wKioL1aMrObB-9-1AAAoSQt-fX8610.png

2、IPSec配置

中国:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
/ip  ipsec peer
      add address=205.177.x.x /32 :500 comment= "JP Link"  auth-method=pre-shared-key secret= "mypassword"
      generate-policy=no exchange-mode=main send-initial-contact= yes
      nat-traversal=no proposal-check=obey  hash -algorithm=sha1
      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
      dpd-interval=disable-dpd dpd-maximum-failures=5
 
      add address=38.83.x.x /32 :500 comment=  "USALink"  auth-method=pre-shared-key secret= "mypassword"
      generate-policy=no exchange-mode=main send-initial-contact= yes
      nat-traversal=no proposal-check=obey  hash -algorithm=sha1
      enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
      dpd-interval=disable-dpd dpd-maximum-failures=5
 
/ip  ipsec policy
     add src-address=101.251.x.x /32 :any dst-address=205.177.x.x /32 :any
     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel= yes
     sa-src-address=101.251.x.x sa-dst-address=205.177.x.x proposal=default 
     priority=0
     
     add src-address=101.251.x.x /32 :any dst-address=38.83.x.x /32 :any
     protocol=all action=encrypt level=require ipsec-protocols=esp tunnel= yes
     sa-src-address=101.251.x.x sa-dst-address=38.83.x.x proposal=default 
     priority=0

日本:

最低0.47元/天 解锁文章

200万优质内容无限畅学
GRE over IPSec 主备双链路冗余配置
A soul tortured by desire
11-19 2611
实验背景: 企业总部和分支机构之间要可以相互访问内网,现在一般采用在总部和分支的出口设备上建立VPN的方式,这种方式建立的VPN需要在公网上传输总部与分支之间的数据流。 IPSec仅支持单播,如果采用IPSec VPN只能传输单播报文,那么当两地的网络较庞大时,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。 由于GRE隧道不提供安全性..
ros-gre-over-ipsec-ospf
10-20
R​O​S​ ​路​由​建​立​G​R​E​ ​T​U​N​ ​使​用​i​p​s​e​c​ ​加​密​,​并​自​带​o​s​p​f
GRE OVER IPSEC的配置方法
weixin_33812433的博客
04-17 1215
试验目的:GRE OVER IPSEC的配置方法: 试验拓扑: R1: interface Tunnel0 ip unnumbered Loopback1 tunnel source Serial1/1 tunnel destination 202.100.23.3 ip route 0.0.0.0 0.0.0.0 Serial1/1 ip route 192.168.23.0...
ROS--ROS--MikroTik---配置-------GRE
LinuxKernelCiscoIOS的博客
05-25 4453
Manual:Interface/Gre< Manual:InterfaceApplies to RouterOS:v5+Contents [hide] 1Summary2Properties3Setup examplesSummarySub-menu: /interface gre Standards: GRE RFC 1701GRE (Generic Routing Encapsulat...
Mikrotik RouterOS(ROS)软路由安全加固
介绍多个领域的专业技术知识传播,包括开发、运维、网络加速、网络代理、软路由等,有兴趣可以加V一起交流。V:fastman2024,备注:优快云
12-11 9566
在我们现实生活中,路由器几乎是所有设备入网的关口。如果我们的路由器受到攻击,所有联网的设备都可能受到攻击,包括电脑、手机、智能设备等。
MikroTik RouterOS v7.3.1 CHR x86 虚拟机
02-06
MikroTik RouterOS v7.3.1,x86_64架构, L6级许可,可升级,带vmxnet3万兆网卡驱动,支持2GB以上内存, 虚拟硬盘6G版。 此文件为VMware的导出文件,可安装到VMware Workstation和VMware ESX服务器。
MikroTik RouterOS 6.46.5 L6全功能可升级OVA虚拟机版及Winbox登录器
最新发布
06-11
用户需要访问这个链接以下载OVA文件,然后可以使用VMware的相关工具导入并运行这个虚拟机,开始配置和使用MikroTik RouterOS。 MikroTik RouterOS 6.46.5 L6全功能可升级OVA虚拟机版及Winbox登录器为网络管理员提供...
docker-routeros:Docker容器中的Mikrotik RouterOS
05-15
Docker中的Mikrotik RouterOS 这张小图片仅用于测试目的,例如,在基于库的基于项目的单元测试中。 如果您需要功能齐全的“ Docker中的RouterOS”来进行生产使用,请查看项目。 如何使用 创建自己的Dockerfile 是...
RouterOS的MikroTik脚本从DNS更新IPSEC端的IP地址
weixin_30527551的博客
04-14 331
RouterOS的MikroTik脚本从DNS更新IPSEC端的IP地址 #Script for changing IPSEC address when DNS changes. #Script will iterate through all peers ...
配置IPSec(Internet Protocol Security)协议用于在网络层提供加密、认证和完整性保护,确保数据在传输过程中的安全性
BLOG域名:programb.blog.youkuaiyun.com
03-30 999
定义哪些流量需要通过IPSec隧道进行保护。配置IPSec(Internet Protocol Security)协议用于在网络层提供加密、认证和完整性保护,确保数据在传输过程中的安全性。以下是配置IPSec的基本步骤,假设你使用的是Cisco设备。
MikroTik RouterOS详解
爱意随风起,人生不可弃。
03-10 1万+
软路由是指利用台式机或服务器的供应商配合一定软件而形成的路由解决方案,主要靠对软件的设置,实现路由器路由器的功能,它的软件与硬件是独立分开的。软路由使用普通计算机,使用通用的操作系统,如Linux或windows,因此软路由的设置事实上是windows或linux的设置。根据使用的操作系统不同,可以分为基于windows平台和基于Linux/bsd平台开发的软件路由器。
任务十一:部署GRE over IPSec
2301_76274559的博客
12-18 1772
理解IPSec安全提议和IKE协商参数,掌握GRE over IPSec配置过程。
计算机网络基础15:MikroTik路由器使用方法
snmplink的博客
03-23 4061
本文介绍MikroTik路由器的使用方法。 一、恢复缺省设置的方法 原文: RouterBOOT reset button has the following functions: 1 Hold the button before pwering on the device, and at power up, the button will force load the backup...
MikroTik RouterOS路由搭建的虚拟专用网络PPTP分支连不上
热门推荐
万物皆可学
07-11 3万+
连接错误提示如下:这个错误代码应该是806,无法在计算机与XXX服务器之间建立VPN连接。赵成这种故障的最常见原因是计算机与XXX服务器之间至少有一个Internet设备(例如,防火墙或路由器)没有配置为允许基本路由封装(GRE)协议数据包通过。如果问题仍然存在,请于你的网络管理员或Internet服务提供商联系。 现在的情况是,总部在深圳,然后分支东莞,中山,江西,广州都有。然后其它分支都没问题能正常连接唯独东莞连不上,那么可以判断总部配置是没问题的,问题应该是出现在东莞分支公司内部路由或交换机身上。
OSPF下的MGRE搭建
M_ogul_的博客
07-27 126
R1-Tunnel0/0/0]nhrp entry multicast dynamic # 开启伪广播。设备 地址 网关。设备 接口 地址。
93.华为路由器:IPSec加密GRE通道(GRE over IPsec
迷逝
01-05 1万+
IPSec加密GRE通道 由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种: 可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE; 加密数据流后从隧道传输,称为GRE over IPsec。 下面将配置一个简单的IPsec over GRE实验。 一、搭建模拟环境 首先我们先搭建环境,先根据拓扑图把基本的IP地址配好,然后分别在AR1、AR3加两条静态路由,使得两个公网互通。 [AR1]in g0/0/0 [AR
IKEv2协商建立IPsec SA
weixin_56909238的博客
12-27 2498
IPsec 只对特定的数据流进行保护,至于什么样的数据是需要 IPsec 保护的,可以通过以下两种方式定义。ACL 方式只要接口发送的报文与该接口上应用的 IPsec 安全策略中的 ACL 的 permit规则匹配,就会受到出方向 IPsec SA 的保护并进行封装处理。接口接收到目的地址是本机的 IPsec 报文时,首先根据报文头里携带的 SPI 查找本地的入方向 IPsec SA,由对应的入方向 IPsec SA 进行解封装处理。缺省情况下,解封装后的 IP 报文。
MikroTik ROS软路由OSPF命令配置实例
太阳了文哥的博客
08-04 4641
MikroTik ROS软路由OSPF命令配置实例 目录MikroTik ROS软路由OSPF命令配置实例什么是OSPF:简单介绍工作原理:拓扑图配置命令 什么是OSPF: OSPF全程(Open Shortest Path First),是一款基于拓扑的路由选择协议,按类型划分为IGP协议,链路状态协议,用于单一自制系统(AS)内决策路由。 OSPF运行为网络层,协议号为89,组播地址为224.0.0.5,224.0.0.6 简单介绍工作原理: 通过发送Hello来建立邻居关系,当邻居建立起来后,会周期性
MikroTik RouterOS 7.1.1在ESXi虚拟机的授权升级指南
标题“esxi mikrotik 7X L6授权可升级”指的是将MikroTik RouterOS 7.X版本的操作系统安装在VMware ESXi虚拟化平台上,并且该系统配置了L6级别的授权,可以进行升级。接下来将具体展开解释相关知识点。 ### VMware ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值