因为接到一个活,这个活比较棘手,某个本地公司有多个厂区,新厂区的监控只有一条普通宽带没有公网地址(已经问过了,江苏电信大部分区域已经无法申请开公网地址),而且甲方公司不想出钱去买专线宽带,但是ipv6的变化速度太快且甲方总公司设备不支持ipv6地址分发,也就是不能使用ipv6直接访问NVR。另外使用第三方的软件定义网络因为带宽太低,而且延迟太高,需要大量的成本,不能满足需求;高带宽的SD-WAN产品年费用比相同规格的专线宽带都要高。
但是做之前有个好消息,就是总公司的宽带因为拉的时间比较早,目前是可以携带三个公网地址,现在能想到的就是VPN协议了,但是在实施的时候遇到了一个麻烦,就是宽带限制L2TP的协议端口,1701 UDP端口是封闭的,OpenVPN 1194 UDP也是封闭的,但是可以使用MikroTik的OpenVPN TCP模式
配置OpenVPN的全过程
此处CIDR均为实际项目使用CIDR
总公司核心网:172.16.80.0/22
总公司视频网:192.168.21.0/24
分公司1核心网:172.16.100.0/22
分公司1视频网:192.168.31.0/24
分公司2视频网:192.168.11.0/24
总公司SDN网络本端地址:192.168.78.1/32 对端地址:192.168.78.2/32
分公司1SDN网络本端地址:192.168.78.2/32 对端地址:192.168.78.1/32
分公司2的视频网地址与总公司使用的裸纤连接,所以不需要使用SDN
分公司2的数据网地址与总公司共用一个CIDR,不需要SDN
总公司出口路由器地址:172.16.80.1/22
分公司出口路由器地址:172.16.100.1/22
#配置总公司路由表(本块命令在RouterOS6.x 7.x均可使用)
/ip route add disable=no dst-address=172.16.100.0/22 gateway=192.168.78.2 routing-table=main suppress-hw-offload=no
/ip route add disable=no dst-address=192.168.31.0/24 gateway=192.168.78.2 routing-table=main suppress-hw-offload=no
#配置分公司路由表
/ip route add disable=no dst-address=172.16.80.0/22 gateway=192.168.78.1 routing-table=main suppress-hw-offload=no
/ip route add disable=no dst-address=192.168.21.0/24 gateway=192.168.78.1 routing-table=main suppress-hw-offload=no
/ip route add disable=no dst-address=192.168.11.0/24 gateway=192.168.78.1 routing-table=main suppress-hw-offload=no
#千万不要配置dst-address=0.0.0.0/0的地址,这样会造成对端所有的网络数据包发包地址均为本端为网关
评论