RouterOS V7.10 GRE over IPSec Tunnel GRE隧道 RIP广播协议

1、为何要选GRE over IPSec：

• 各个site网络比较多，需要使用路由协议进行互联；
• IPSEC不支持组播，即不能传递路由协议，在承载路由协议上不如GRE隧道方便；
• GRE隧道不能提供加密保障；
• 使用GRE在两个网关之间搭建一个隧道，运行路由协议及传输正常数据，使用IPSec对整个GRE隧道进行加密，因此需要把两者进行结合。
• 这种方式在Cisco上用的比较多

2、应用场景

• 公司在多地都有分公司，中间的业务可以业务这种场景，俗称GPN（Global Private Network中文名是全球私有化网络)

• 多地分公司可以在本地使用总公司的文件服务器、打印服务器、软件服务器，对比公网访问相对要安全。

3、实验环境EVE-NG,RouterOS V7.10

• 通过GRE Tunnel建立隧道
• 使用IPSec加密
• RIP广播协议
  

4、ROS-1设置步骤

• 基础的上网配置就不说了，我们直播讲功能的操作流程

• R1创建GRE Tunnel接口

/interface gre
add allow-fast-path=no name=gre-tunnel-R1 remote-address=192.168.3.19

• 在Interface菜单里创建GRE Tunnel接口

• 只需要修改三个地址：Name 给接口取个名子，Remote Address远端的公网IP，使用IPsec Secret加密码

• 给GRE接口设置一个IP地址

/ip address
add address=100.1.1.1/24 interface=gre-tunnel-R1 network=100.1.1.0

• 设置RIP广播协议

/routing rip instance
add disabled=no name=rip-instance-R1 redistribute=connected
/routing rip interface-template
add disabled=no instance=rip-instance-R1 interfaces=gre-tunnel-R1

• 到这里ROS-1路由器的设置就完成了

5、ROS-2设置步骤

/interface gre
add allow-fast-path=no name=gre-tunnel-R2 remote-address=192.168.3.20

• 在Interface菜单里创建GRE Tunnel接口

• 只需要修改三个地址：Name 给接口取个名子，Remote Address远端的公网IP，使用IPsec Secret加密码

• 给GRE接口设置一个IP地址

/ip address
add address=100.1.1.2/24 interface=gre-tunnel-R2 network=100.1.1.0

• 设置RIP协议
• V6版本和V7版本设置还是区别很大

/routing rip instance
add disabled=no name=rip-instance-R2 redistribute=connected
/routing rip interface-template
add disabled=no instance=rip-instance-R2 interfaces=gre-tunnel-R2

6、测试两端的电脑是否成功ping通

7、其它说明

• IPSec为RouterOS的默认配置
• 也可以根据自己的要求进行加密