天翼云应用实操-内网通过软路由ROS与天翼云资源池实现混合云组网

     今天介绍一下通过软路由MikroTik通过IPSEC Site-to-Site方式连接天翼云与内网，实现混合云组网，本文在上一篇天翼云不同资源池之间互通的基础上进行扩展，重点介绍的是软路由侧的操作，关于天翼云侧的详细操作请自行参考上一篇博文内容。

一、混合云组网环境介绍

内网网段10.37.0.0/16，有一台通过vsphere部署的ros虚拟机运行了6.4版本的软路由，开启IPSEC功能与天翼云侧对接Site-to-Site方式的连接，对接完成后可以实现内网10.37.0.0/16与天翼云侧内网192.168.0.0/24互通，双方主机可以直接通过对方内网IP进行通信，接入速率取决于内网接入互联网的速度。

预定义密钥：password

ros路由器外网IP：1.1.1.1

ros路由器内网IP:10.37.2.6

云侧IPSEC外网IP：2.2.2.2

云侧主机内网：192.168.0.0/24

 二、配置思路及流程

1、首先配置天翼云侧的虚拟专用网功能

2、记录下天翼云侧虚拟专用网本地网关IP及策略详情参数

3、回内网ROS服务器上配置IPSEC功能

4、配置内网核心路由器静态路由将天翼云内网网段的网关地址指向ROS服务器内网接口10.37.2.6

5、连通性测试及速率测试

三、天翼云侧操作

1、创建虚拟专网

2、查看策略详情

3、IPsec需要关注的参数

IKE策略及版本为IKE V1

认证算法默认SHA1，加密算法为AES-CBC-128，密钥交换协议DH算法为1536bit即group 5

三、软路由侧操作

软路由采用在虚拟机上部署的方式，版本为6.40.5 

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,aes-128-ctr,aes-128-gcm \
    pfs-group=modp1536
/ip ipsec peer
add address=2.2.2.2/32 compatibility-options=skip-peer-id-validation \
    dh-group=modp1536 enc-algorithm=aes-128 local-address=1.1.1.1 secret=\
    password
/ip ipsec policy
add dst-address=192.168.0.0/24 sa-dst-address=2.2.2.2 sa-src-address=\
    1.1.1.1 src-address=10.37.0.0/16 tunnel=yes

上面的命令在ros中配置完成后，可以直接在ros上以内网ip10.37.2.6为源地址去ping天翼云侧的主机，正确配置后应该可以ping通。

四、内网路由器操作

前三步做完天翼云与内网ros路由器已经可以互通了，但是内网其它主机不能通，需要在内网核心路由器上添加一条针对天翼云内网网段192.168.0.0/24的回程路由指向ros路由器的内网接口10.37.2.6

 ip route-static 192.168.0.0 24 10.37.2.6

五、连通性测试

局域网内部测试主机10.37.6.3跟踪路由至天翼云主机192.168.0.144，可以看出首先经过了内网核心路由器转发至ros接口，然后有ros路由器转发至天翼云内网服务器。

天翼云主机192.168.0.144直接跟踪路由器至内网主机10.37.6.3，结果如下：

六、网速测试

由于内网接入互联网的网速为100M，我们看通过IPSEC建立专网后，两个内网的通信速度有多快，这里还是使用iperf3测试网速，通过内网10.37.6.3直接测试到云主机192.168.0.144的网速为83M，这里的速度大部分情况下取决于用户接入互联网的带宽，如果用户超过了300M的接入带宽，则速度瓶颈会体现在云侧，正如昨天的实验中体现出来的云侧最高接入速度在330M左右。