下载

2下载券

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 手册RouterOS配置手册

手册RouterOS配置手册.doc

手册RouterOS配置手册

fanhu666
2018-09-06 0人阅读 举报 0 0 暂无简介

简介:本文档为《手册RouterOS配置手册doc》,可适用于IT/计算机领域

MikroTikRouterOSv基本操作说明CDNATwwwmikrotikcomcnRouterOS应用说明主要特征TCPIP协议组:·Firewall和NAT–包状态过滤PP协议过滤源和目标NAT对源MAC、IP地址、端口、IP协议、协议(ICMP、TCP、MSS等)、接口、对内部的数据包和连接作标记、ToS字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制·路由–静态路由多线路平衡路由基于策略的路由(在防火墙中分类)RIPvv,OSPFv,BGPv·数据流控制–能对每个IP、协议、子网、端口、防火墙标记做流量控制支持PCQ,RED,SFQ,FIFO对列PeertoPeer协议限制·HotSpot–HotSpot认证网关支持RADIUS验证和记录用户可用即插即用访问网络流量控制功能具备防火墙功能实时信息状态显示自定义HTML登录页支持iPass支持SSL安全验证支持广告功能。·点对点隧道协议–支持PPTP,PPPoE和LTP访问控制和客户端支持PAP,CHAP,MSCHAPv和MSCHAPv验证协议支持RADIUS验证和记录MPPE加密PPPoE压缩数据流控制具备防火墙功能支持PPPoE按需拨号。·简单隧道–IPIP隧道、EoIP隧道(EthernetoverIP)·IPsec–支持IP安全加密AH和ESP协议·Proxy–支持FTP和HTTP缓存服务器支持HTTPS代理支持透明代理支持SOCKS协议DNSstaticentries支持独立的缓存驱动器访问控制列表支持父系代理。·DHCP–DHCP服务器DHCP接力DHCP客户端多DHCP网络静态和动态DHCP租约支持RADIUS。·VRRP–高效率的VRRP协议(虚拟路由冗余协议)·UPnP–支持即插即用·NTP–网络对时协议服务器和客户端同步GPS系统·MonitoringAccounting–IP传输日志记录防火墙活动记录静态HTTP图形资源管理。·SNMP–只读访问·MP–MikroTik分包协议支持无线连接和以太网。·MNDP–MikroTik邻近探测协议同样支持思科的CDP。·ToolspingtraceroutebandwidthtestpingfloodtelnetSSHpacketsnifferDDNS。二层链接·WirelessIEEEabgwirelessclient和访问节点(AP)Nsetreme和Nstreme协议无线分布系统(WDS)虚拟AP功能和bitWEPWPApresharedkey加密访问控制列表RADIUS服务器验证漫游功能(wireless客户端)接入点桥接功能。·Bridge–支持生成树协议(STP)多桥接口桥防火墙MACNAT功能。·VLANIEEEqVirtualLAN支持以太网和无线连接多VLAN支持VLAN桥接。·SynchronousV,V,ET,X,DS(T)媒体类型syncPPP,CiscoHDLC,帧中继协议ANSId(ANDIorannexD)和Qa(CCITTorannexA)帧中继LMI类型·Asynchronous–串型PPPdialindialoutPAP,CHAP,MSCHAPv和MSCHAPv验证协议RADIUS验证和记录支持串口modem池支持个端口。·ISDNISDNdialindialoutPAP,CHAP,MSCHAPv和MSCHAPv验证协议RADIUS验证和记录CiscoHDLC,xi,xui,xbui队列支持。硬件要求·CPU和主板–核心频率在MHz或更高的单核心i处理器以及与兼容的主板。·RAM–最小MiB,最大GiB推荐MiB或更高。·ROM–标准ATAIDE接口(SCSI和USB控制器不支持RAID控制器驱动不支持SATA仅支持老的访问模式)最小需要Mb空间Flash和一些微型驱动器使用ATA接口能连接使用。MIPS硬件要求·支持系统RouterBOARDseries(、、)·RAM–最小MiB·ROM–板载NAND驱动最小Mb配置RouterOS提供了强大的命令配置接口。你同样可以通过简易的Windows远程图形软件WinBox管理路由器。Web配置提供了多数常用的功能上。主要特征:·完全一至的用户接口·运行时配置和监控·支持多个连接访问·用户策略配置·活动历史记录undoredo操作·安全模式操作·Scripts能事先安排执行时间和执行内容脚本支持所有的命令操作。路由器可用通过下面的接口进行管理:·本地teminalconsolePS或USB键盘和VGA显示卡进行控制·Serialconsole–任何(默认使用COM)RS异步串口串口默认设置为bits,databits,stopbit,noparity,hardware(RTSCTS)flowcontrol。·Telnet–telnet服务默认运行在TCP端口·SSHSSH(安全shell)服务默认运行在TCP端口·MACTelnetMikroTikMACTelnet协议被默认启用在所以类以太网卡接口上。·Winbox–Winbox是RouterOS的一个Windows远程图形管理软件使用TCP端口(限版本的winbox)同样也可用通过MAC地址连接。基本设置向导登陆RouterOSMikroTikRouterOS内能通过远程配置各种参数包括Telnet,SSH,WinBox和Webbox。在这里我们将着重介绍怎样使用WinBox:MACtelnet是在路由器没有IP地址的情况下或者配置防火墙参数后无法连接通过路由器网卡MAC地址登录的方式远程连接到路由器。MACtelnet仅能使用在来自同一个广播域中(因此在网络中不能有路由的存在)且路由器的网卡应该被启用。注:在Winbox中嵌入了通过MAC地址连接路由器的功能并内置了探测工具。这样在管理员忘记或复位了路由器后同样可以通过MAC登陆到RouterOS上进行图形界面操作。Winbox控制台是用于MikroTikRouterOS的管理和配置使用图形管理接口(GUI)。通过连接到MikroTik路由器的HTTP(TCP端口)欢迎界面下载Winboxexe可执行文件下载并保存在你的Windows中之后直接在你Windows电脑上运行Winboxexe文件下面是对相应的功能键做介绍:·搜索和显示MNDP(MikroTikNeighborDiscoveryProtocol)或CDP(CiscoDiscoveryProtocol)设备。可以通过该功能键搜索同一子网内MikroTik和Cisco设备。并能通过MAC地址登陆到MikroTikRouterOS进行操作。·通过指定的IP地址(默认端口为不许特别指定如果你修改了端口需要对具体访问端口做自定)或MAC地址(如果路由器在同一子网内)登陆路由器。·保存当前连接列表(当需要运行它们时只需双击)·删除从列表中选择的项目·删除所有列表中的项目清除在本地的缓存从wbx文件导入地址或导出为wbx文件·SecureMode(安全模式)提供保密并在winbox和RouterOS之间使用TLS(TransportLayerSecurity)协议·KeepPassword(保存密码)保存密码到本地磁盘的文本文件中路由器的winbox控制台:Winbox控制台使用TCP端口在登陆到路由器后可以通过Winbox控制台操作MikroTik路由器的配置并执行与本地控制台同样的任务。命令功能概述下面是对Winbox控制台的操作建议:图标功能图标功能添加一条项目定义或编辑一个注释删除一条存在项目刷新当前窗口启用一个项目撤销操作禁用一条项目恢复操作故障分析·我能在Linux上运行Winbox?能使用Wine图形接口可以运行Winbox并连接到RouterOS。·我不能打开Winbox控制台检查路由器上ipserviceprint的www服务端口和地址是否正确确定地址是你能连接到的指定网络确定端口为你指定的端口。如果你的服务端口和访问地址被修改你可以通过下面的命令设置回默认值ipservicesetwwwport=address=。Winbox控制台使用TCP端口在防火墙中是否做了访问限制。同样也能用任何PC通过标准的DB模式串口线连接到路由器串口连接的默认设置为每秒位数:bitss(RouterBOARD串口是bitss),使用终端仿真程序(如在windows中的超级终端或SecureCRTUNIXLinux的minicom)连接到路由器。超级终端的具体参数设置如下:在路由器启动完成后会发出连续两声短触“嘀嘀”的明鸣音之后在显示屏上出现登录的提示如果在终端显示中没有提示任何信息需要检查一下网线或是串口线是否连接好。当登录到终端控制台后会出现RouterOS的登录提示第一次登录的时候用户名为“admin”密码为空直接敲回车键进入如下面的所示:MikroTikvLogin:adminPassword:修改密码可以使用password命令adminMikroTik>passwordoldpassword:newpassword:************retypenewpassword:************adminMikroTik>添加软件功能包基本安装仅有system功能能包包括基本的IP路由和路由管理功能。可用通过添加功能包如:IPTelephonyOSPFwireless等增加路由器的功能。你需要下载软件功能包并上传到路由器添加软件功能包应该和当前的系统版本相同如果不是相同的版本功能包将不会被安装上传功能包是通过FTP的方式将功能包放到路由器的FTP空间中上传完后重启路由器路由器将自动安装功能包。终端控制向导欢迎界面和命令提示在登录后路由器后将会看到RouterOS™欢迎界面和命令提示:MikroTikRouterOS(c)http:wwwmikrotikcomcnTerminalxtermdetected,usingmultilineinputmodeadminMikroTik>命令提示显示路由器的身份名称和当前的操作路径如下:adminMikroTik>adminMikroTikinterface>adminMikroTikipaddress>命令在任何操作目录使用‘?’都可用获取在当前目录中的命令信息。adminMikroTik>log系统日志quit–退出控制台radiusRadius客户端设置certificate授权管理speciallogin特殊登录用户redo–返回以前执行的操作driver驱动管理ping–ping命令setup–做基本的系统设置interface接口配置password–修改密码undo–撤销以前的操作port串口控制import–运行导入的配置脚本snmpSNMP设置user用户管理file路由器本地文件存储system系统信息和应用程序queue带宽管理ipIP选项tool诊断工具ppp点对点协议routing各种路由协议设置export导出脚本adminMikroTik>adminMikroTikip>–回到根目录serviceIP服务socksSOCKS代理arpARP项目管理upnpUPNP管理dnsDNS设置address地址管理accounting传输记录theproxyvrrp虚拟路由冗余协议poolIP地址池packing数据包封装设置neighbor邻居route路由管理firewall防火墙管理dhcpclientDHCP客户端设置dhcprelayDHCP中继设置dhcpserverDHCP服务设置hotspotHotSpot管理ipsecIP安全设置webproxyHTTP代理exportadminMikroTikip>上面是对可用命令和目录的简短描述在下面的例子中你可用通过输入目录名称移动到不同的目录中去。adminMikroTik>|根目录adminMikroTik>driver|输入'driver'进入到驱动管理目录中adminMikroTikdriver>|输入''从任何目录中回到根目录adminMikroTik>interface|输入'interface'进入接口管理目录中adminMikroTikinterface>ip|输入'ip'从任何目录进入IP管理目录adminMikroTikip>|一个指令或一个变量参数不需要完整的输入如果是含糊不清的指令或变量参数需要完整的输入。如输入interface时你只要输入in或int需要显示完整的指令可以使用Tab键通过指令的组合可以在当前的目录执行在不同目录操作如:adminMikroTikiproute>print打印路由表adminMikroTikiproute>addressprint打印IP地址列表adminMikroTikiproute>ipaddressprint打印IP地址列表指令执行概述Command指令commandEnter执行指令显示该目录中的所有指令列表command显示指令的帮助和变量列表commandargument显示指令的变量帮助Tab使指令字段完整如果输入的内容含糊不清第二次键入Tab就会给出存在的选项移动到根目录command执行根目录中的指令移动到上一级目录""指定一个空字符串"wordword"Specifiesastringofwordsthatcontainaspace在配置IP地址中配置'address'和'netmask'参数时在许多事例中你可以将IP地址和子网掩码一起定义也可以将子网掩码单独定义这两种方式是相同的例如下面的两个输入是等价的:ipaddressaddaddressinterfaceetheripaddressaddaddressnetmaskinterfaceether基本配置接口管理(InterfaceManagement)在配置IP地址和路由前如果你有即插即用卡安装到路由器中请检查interface中的接口列表多数情况下设备驱动会自动安装并且相关的接口信息会显示在interfaceprint列表中例如:adminMikroTikinterface>printFlags:Xdisabled,Ddynamic,Rrunning#NAMETYPERXRATETXRATEMTURetheretherRetheretherXwavelanwavelanXprismwlanadminMikroTikinterface>如果你想使用这些设备一般都需要启用使用interfaceenablename指令给出接口名称或标号启用例如:adminMikroTikinterface>printFlags:Xdisabled,Ddynamic,Rrunning#NAMETYPERXRATETXRATEMTUXetheretherXetheretheradminMikroTikinterface>enableadminMikroTikinterface>enableetheradminMikroTikinterface>printFlags:Xdisabled,Ddynamic,Rrunning#NAMETYPERXRATETXRATEMTURetheretherRetheretheradminMikroTikinterface>接口的名称能通过interfaceset指令来改变其描述:adminMikroTikinterface>setname=Localsetname=PublicadminMikroTikinterface>printFlags:Xdisabled,Ddynamic,Rrunning#NAMETYPERXRATETXRATEMTURLocaletherRPublicetheradminMikroTikinterface>Setup指令当初始化路由器时通过使用setup指令设置下列配置内容:·重新设置路由器配置·载入接口驱动·配置IP地址和网关·设置DHCP客户端·设置DHCP服务端·设置pppoe客户端·设置pptp客户端使用Setup指令在路由器上配置IP地址。执行setup指令行:adminMikroTik>setupSetupusesSafeModeItmeansthatallchangesthataremadeduringsetuparerevertedincaseoferror,orifCtrlCisusedtoabortsetupTokeepchangesexitsetupusingthe'x'keySafeModetakenChooseoptionsbypressingoneofthelettersintheleftcolumn,beforedashPressing'x'willexitcurrentmenu,pressingEnterkeywillselecttheentrythatismarkedbyan'*'YoucanabortsetupatanytimebypressingCtrlCEntriesmarkedby''arealreadyconfiguredEntriesmarkedby''cannotbeusedyetEntriesmarkedby'X'cannotbeusedwithoutinstallingadditionalpackagesrresetallrouterconfigurationlloadinterfacedriver*aconfigureipaddressandgatewaydsetupdhcpclientssetupdhcpserverpsetuppppoeclienttsetuppptpclientxexitmenuyourchoicepressEntertoconfigureipaddressandgateway:a配置IP地址和网关输入a或Enter*aaddipaddressgsetupdefaultgatewayxexitmenuyourchoicepressEntertoaddipaddress:a选择a添加一个IP地址首先设置程序将要询问你选择那一个接口添加IP地址如果设置程序没有指定出合适的接口可以通过键入Tab两次查看可选的接口。在接口选择后分配IP地址和子网淹码:yourchoice:aenableinterface:etheretherwlanenableinterface:etheripaddressnetmask:#Enablinginterfaceinterfaceenableether#AddingIPaddressipaddressaddaddress=interface=ethercomment="addedbysetup"aaddipaddress*gsetupdefaultgatewayxexitmenuyourchoice:x基本事例配置一个RouteroS分为三个步骤:第一步:检查Interface上的网卡是否正确安装然后在ipaddress中配置IP地址第二步:在配置好IP地址后在iproutes中配置默认网关配置完后检查是否到外网默认网关正常第三步:在ipfirewallnat中配置NAT伪装隐藏内部网络。例如:假如你需要通过MikroTikrouter配置下面的网络:在当前的事例中我们使用到两个网络(公网和本地网络):·本地网络使用地址为:子网淹码bit()。路由器的地址在这个网络中为·ISP的网络为子网淹码bit()。路由器的地址是在网络中为通过下面的指令添加地址:adminMikroTikipaddress>addaddressinterfacePublicadminMikroTikipaddress>addaddressinterfaceLocaladminMikroTikipaddress>printFlags:Xdisabled,Iinvalid,Ddynamic#ADDRESSNETWORKBROADCASTINTERFACEPublicLocaladminMikroTikipaddress>这里子网淹码在address变量中指定或者也可以通过在netmask变量中设置。网段和广播地址在输入时没有指定这些可以由RouterOS自动计算出来。请注意:在IP地址被分配到路由器的不同网卡上时应属于不同的网络下面是winbox中的设置情况:查看路由你可以看到两个带有动态dynamic(D)和连接connected(C)的路由当地址添加后会在路由中自动添加动态路由:adminMikroTikiproute>printFlags:Xdisabled,Iinvalid,Ddynamic,Jrejected,Cconnect,Sstatic,Rrip,Oospf,Bbgp#DSTADDRESSGGATEWAYDISTANCEINTERFACEDCrLocalDCrPublicadminMikroTikiproute>printdetailFlags:Xdisabled,Iinvalid,Ddynamic,Jrejected,Cconnect,Sstatic,Rrip,Oospf,BbgpDCdstaddress=preferredsource=gateway=gatewaystate=reachabledistance=interface=LocalDCdstaddress=preferredsource=gateway=gatewaystate=reachabledistance=interface=PublicadminMikroTikiproute>添加默认路由在下面的事例中将添加默认路由(destination(any),netmask(any))。在这个事例中ISP的网关是通过Public接口adminMikroTikiproute>addgateway=adminMikroTikiproute>printFlags:Xdisabled,Iinvalid,Ddynamic,Jrejected,Cconnect,Sstatic,Rrip,Oospf,Bbgp#DSTADDRESSGGATEWAYDISTANCEINTERFACESrPublicDCrLocalDCrPublicadminMikroTikiproute>这里默认路由被列入标号#同样我们看到网关能在接口'Public'通过。如果网关没有被正确的指定'interface'变量值将会无法确定(unknown)。Winbox添加后情况如下:测试网络连接从现在起ping指令可以用来测试网络连接情况。adminMikroTikiproute>pingbyteping:ttl=time=msbyteping:ttl=time=msbyteping:ttl=time=mspacketstransmitted,packetsreceived,packetlossroundtripminavgmax=msadminMikroTikiproute>adminMikroTikiproute>pingbyteping:ttl=time=msbyteping:ttl=time=msbyteping:ttl=time=mspacketstransmitted,packetsreceived,packetlossroundtripminavgmax=msadminMikroTikiproute>如果路由器的地址在windows工作站的TCPIP协议中配置为默认网关这时你就能ping通路由器C:>pingReplyfrom:bytes=time=msTTL=Replyfrom:bytes=time<msTTL=Replyfrom:bytes=time<msTTL=C:>pingReplyfrom:bytes=time=msTTL=Replyfrom:bytes=time<msTTL=Replyfrom:bytes=time<msTTL=C:>pingRequesttimedoutRequesttimedoutRequesttimedout注:你不能访问超过路由器的任何网络(的网络和Internet)你需要作下面的设置:·使用源地址翻译(masquerading)通过MikroTik路由隐藏你的私有网络(查看下面的信息)·在ISP的网关上添加静态路由指明到目标地址通过的主机这时所有在ISP上的网络主机包括服务器将能连接到你的私有网络。在设置路由时你需要了解一些配置TCPIP的网络知识当你遇到配置网络安装困难时我们建议你获取更多的网络技术知识。下面我将讨论隐藏'hiding'私有的LAN在ISP给的的背后。伪装的应用事例(Masquerading)如果你想隐藏'hiding'私有的LAN在ISP给的的背后你需要使用RouterOS的源地址翻译。伪装将改变源IP地址和数据包端口即将改为去回应ISP的网络。使用伪装时添加一条NAT规则在防火墙配置中执行'masquerade',如下面:adminMikroTikipfirewallnat>addchain=srcnataction=masqueradeoutinterface=PublicadminMikroTikipfirewallnat>printFlags:Xdisabled,Iinvalid,Ddynamicchain=srcnatoutinterface=Publicaction=masqueradeWinbox添加后如下注:如果需要了解很多的NAT信息建议参阅NAT说明文档。以上是如何配置一个简单RouterOS网络的应用实例。带宽管理事例假设你想要限制所以的LAN内主机的下行带宽为kbps和上行带宽为kbps:adminMikroTikqueuesimple>addmaxlimit=interface=LocaladminMikroTikqueuesimple>printFlags:Xdisabled,Iinvalid,Ddynamicname="queue"targetaddress=dstaddress=interface=Localqueue=defaultpriority=limitat=maxlimit=adminMikroTikqueuesimple>NAT端口映射事例假如我们将以前的服务器从公网移动到私网中去并想让其他的公网来访问我们的服务器这时就需要用到NAT:现在服务器的地址是并且我们在服务器上运行端口监听web服务我们想通过公网地址:端口访问该服务器即我们就需要在MikroTik路由器上作静态的网络地址翻译(NAT),这样通过公网地址端口将数据传输到本地网络的:在目标地址上配置目标地址和端口:adminMikroTikipfirewallnat>addchain=dstnataction=dstnatprotocol=tcpdstaddress=dstport=toaddresses=adminMikroTikipfirewallnat>prFlags:Xdisabled,Iinvalid,Ddynamicchain=dstnatdstaddress=protocol=tcpdstport=action=dstnattoaddresses=toports=系统管理基本信息现在指导你是如何使用指令执行下面的功能:·系统备份·系统通过备份文件还原·导出配置·导入配置·系统复位MikroTikRouterOS将配置备份为二进制文件通过FTP访问路由器下载备份文件并可以通过备份文件还原路由器设置。TMikroTikRouterOS通过导出配置可用打印出配置信息到终端控制的屏幕上或生成文本文件(脚本)同样使用FTP下载文件导入配置则将脚本文本文件导入路由器。系统复位是将所有的配置信息全部删除掉在做此操作前最好先将路由器的配置备份一次。注!为了保证备份不会失败请在将备份的文件恢复到同样的电脑和同样的硬件配置上去系统备份操纵路径:systembackupSave指令是保存当前配置到一个备份文件中显示文件在file目录中。在systemreset复位系统后上传备份文件到RouterOS中并通过systembackup中的load指令载入配置在还原系统配置指令描述loadname=filename–载入备份文件的配置savename=filename–保存当前的配置到文件中例如:将当前的配置保存到文件test:adminMikroTiksystembackup>savename=testConfigurationbackupsavedadminMikroTiksystembackup>在路由器中查看保存的文件:adminMikroTik>fileprint#NAMETYPESIZECREATIONTIMEtestbackupbackupaug::adminMikroTik>导入备份文件test:adminMikroTiksystembackup>loadname=testRestoreandrebootyN:y导出指令(Export)指令名称:exportExport指令用于导出脚本配置信息这个命令可以在任何目录被激活。exporta同样也可以通过file生成脚本配置文件可用FTP下载下来。指令描述from=number–指定需要导出的项目编号file=filename–保存的文件名称。例如:adminMikroTik>ipaddressprintFlags:Xdisabled,Iinvalid,Ddynamic#ADDRESSNETWORKBROADCASTINTERFACEbridgeetheradminMikroTik>制作一个导出文件:adminMikroTikipaddress>exportfile=addressadminMikroTikipaddress>制作一个仅一个项目的导出文件:adminMikroTikipaddress>exportfile=addressfrom=adminMikroTikipaddress>在路由器中查看导出的文件:adminMikroTik>fileprint#NAMETYPESIZECREATIONTIMEaddressrscscriptdec::addressrscscriptdec::adminMikroTik>在不创建导出文件名使用同样的指令导出显示出配置内容:adminMikroTikipaddress>exportfrom=,#dec::byRouterOSbeta#softwareid=MGJMAN#ipaddressaddaddress=network=broadcast=interface=bridgecomment=""disabled=noaddaddress=network=broadcast=interface=ethercomment=""disabled=noadminMikroTikipaddress>导入指令操作路径:import在根目录使用importfilename指令还原指定的导出文件。这种还原是用于部分的配置丢失。注:导入指令不可能导入收有的路由器配置只能导入部分的配置如,firewallrules中的策略指令描述file=filename–载入需要导入的路由器配置文件例如:使用下面的指令操作载入保存的配置文件:adminMikroTik>importaddressrscOpeningscriptfileaddressrscScriptfileloadedsuccessfullyadminMikroTik>复位操作路径:system这个指令将会清除掉路由器的所有配置包括登陆的账号和密码(恢复为“admin“和空密码)IP地址和其他配置将会被抹去接口将会被禁用在reset指令执行后路由器将会重起。例如:adminMikroTik>systemresetDangerous!ResetanywayyN:nactioncancelledadminMikroTik>ADSL拨号上网事例ADSL用户名:user密码:ServiceName:CHNTelecom:添加PPPOEClientsadminRouterinterfacepppoeclient>adminRouterinterfacepppoeclient>addinterface=ethermtu=mru=servicename=CHNTelecomuser=userpassword=adddefaultroute=yesusepeerdns=yesadminROUTERinterfacepppoeclient>printFlags:Xdisabled,RrunningXname="pppoeout"mtu=mru=interface=etheruser=userpassword=profile=defaultservicename=CHNTelecomacname=""adddefaultroute=yesdialondemand=nousepeerdns=yesPPPOE拨号已经配置好接下来将ADSLMODEM的网线连接好进行以下操作就可以连同了。adminRouterinterfacepppoeclient>enableadminRouterinterfacepppoeclient>monitorpppoeoutstatus:"connected"uptime:sencoding:"none"servicename:"CHNTelecom"acname:""acmac::C:DF::E:E之后还需在ipfirewallmangle中添加一条规则:adminRouteripfirewallmangle>addchain=forwardprotocol=tcptcpflags=synaction=changemssnewmss=adminRouteripfirewallmangle>printFlags:Xdisabled,I–invalidchain=forwardprotocol=tcptcpflags=synaction=changemssnewmss=最后不要忘了设置IP伪装。双线应用案例这是一个典型的通过一个路由器并使用两条ISP线路接入的环境(比如都是两条电线的ADSL或者LAN接入):当然你可以选择负载均衡!这里有多种方法可以选择只是根据你的环境选择最适合你解决方案。基于用户端IP地址的策略路由如果你有很多的主机地址你可以通过IP地址将他们分组。这时指定源IP地址发送的传输通过ISP或者ISP的网关出去。让我们假设终端电脑的网络地址段为IP分配如下:·分配到A组·分配到B组·路由器本地IP地址(即内网的网关)现在我们通过子网划分的方式将终端电脑进行分组:·A组为地址范围:·B组为地址范围:如果你不能理解请你查阅TCPIP的相关教材或通过网上查找相关的子网划分资料!我们需要添加两个ipfirewallmangle的规则标记来至A组和B组终端电脑的数据包。定义A组:链表为chain=prerouting源地址:srcaddress=操作为Action=markrouting并定义新的路由标记GroupA最好做一个注释以便以后便于你自己或者别人查看和处理。定义B组:链表为chain=prerouting源地址:srcaddress=操作为Action=markrouting并定义新的路由标记GroupB所有来至终端电脑的IP传输都通过路由标记为GroupA或者GroupB。这样我们可以标记到路由表中(routingtable)。下面我们需要定义两个默认路给相应的路由标记和网关:到这里如果你没有对路由器做NAT的伪装请在ipfirewallnat里添加srcAddress=action=masquerade,在终端电脑上测试一下跟踪路由是否正确定义两个分组的默认路由:A组测试如下情况:C:>tracertdTracingroutetooveramaximumofhopsmsmsmsmsmsmsB组测试如下情况:C:>tracertdTracingroutetooveramaximumofhopsmsmsmsmsmsms防火墙规则下面是三条预先设置好了的chains他们是不被能删除的:·input–用于处理进入路由器的数据包即数据包目标IP地址是到达路由器一个接口的IP地址经过路由器的数据包不会在inputchains处理。·forward–用于处理通过路由器的数据包·output–用于处理源于路由器并从其中一个接口出去的数据包。他们具体的区别如下:当处理一个chain(数据链)策略是从chain列表的顶部从上而下执行的。如果一个数据包满足策略的条件这时会执行该操作。我们来看看防火墙过滤原则:现在我来看事例中的防火墙规则:我先从input链表开始这里是对所有访问路由的数据进行过滤和处理:从input链表的第一条开始执行这里一共有三条规则:接受你信任的IP地址访问(srcaddress=填写信任IP,默认允许任何地址)chain=inputsrcaddress=action=accept丢弃非法连接chain=inputconnectionstate=invalidaction=drop丢弃任何访问数据chain=inputaction=drop下面是forward链表forward链表一共有条规则包括两个跳转到自定义链表ICMP和virus链表:接受已建立连接的数据chain=forwardconnectionstate=establishedaction=accept接受相关数据chain=forwardconnectionstate=relatedaction=accept丢弃非法数据包chain=forwardconnectionstate=invalidaction=drop限制每个主机TCP连接数为条chain=forwardprotocol=tcpconnectionlimit=,action=drop丢弃掉所有非单播数据chain=forwardsrcaddresstype=!unicastaction=drop跳转到ICMP链表chain=forwardprotocol=icmpaction=jumpjumptarget=ICMP跳转到病毒链表chain=forwardaction=jumpjumptarget=virusforward工作过程如下:在自定义链表ICMP中是定义所有ICMP(Internet控制报文协议)ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息。ICMP报文通常被IP层或更高层协议(TCP或UDP)使用。例如:ping、traceroute、traceTTL等。我们通过ICMP链表来过滤所有的ICMP协议:ICMP链表操作过程:Ping应答限制为每秒个包chain=ICMPprotocol=icmpicmpoptions=:limit=,action=acceptTraceroute限制为每秒个包chain=ICMPprotocol=icmpicmpoptions=:limit=,action=acceptMTU线路探测限制为每秒个包chain=ICMPprotocol=icmpicmpoptions=:limit=,action=acceptPing请求限制为每秒个包chain=ICMPprotocol=icmpicmpoptions=:limit=,action=acceptTraceTTL限制为每秒个包chain=ICMPprotocol=icmpicmpoptions=:limit=,action=accept丢弃掉任何ICMP数据chain=ICMPprotocol=icmpaction=drop在virus链表中过滤常见的病毒我可以根据需要在该链表中添加新的病毒对他们做过滤:

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/26

手册RouterOS配置手册

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利