ROUTEROS網(wǎng)吧專項技術(shù)培訓(xùn)

卷啰

■Sikrot'K-

RouterOS網(wǎng)吧

2010培訓(xùn)

成都網(wǎng)大科技有限公司1

什么是RouterOS

?一種基于Linux核心的路由操作系統(tǒng)

?支持大部分主流的網(wǎng)絡(luò)協(xié)議和功能，支持操作系

統(tǒng)的特性

?具備腳本的編輯功能，實現(xiàn)系統(tǒng)智能化運行

?兼容當(dāng)前的所有x86平臺的硬件，如Intel和AMD

等，支持嵌入的平臺RouterBOARD系列產(chǎn)品

成都網(wǎng)大科技有限公司2

RouterOS應(yīng)用的范圍

?企業(yè)網(wǎng)絡(luò)辦公與網(wǎng)絡(luò)安全管理

?網(wǎng)吧多線接入與流量控制

?ISP認(rèn)證與運營

?VPN互聯(lián)與加密通信網(wǎng)絡(luò)

?Wlan無線網(wǎng)絡(luò)傳輸與覆蓋

成都網(wǎng)大科技有限公司3

更多…

natPPPoE

MangleOVPN

L7過濾

成都網(wǎng)大科技有限公司4

RouterOS的平臺

?NAT系列產(chǎn)品

BNATRouter^nnnnn

NAT-1500

,yy.?tM?i((??<*NAT-Router

的LqSCJLJULJULJ，。。?！?/p>

NAT-2160/2600

j—tarmrreoMi一1

NAT-Router_mffin廠S

NAT-2140

成都網(wǎng)大科技有限公司5

RouterOS平臺

成都網(wǎng)大科技有限公司6

配套工具

?Winbox-圖像操作管理工具

?TheDude-網(wǎng)絡(luò)監(jiān)控軟件，并能生成拓?fù)浣Y(jié)構(gòu)

?NATBox-中文管理界面，簡化RouterOS操作

?NATRadius-基于中文的Radius計費軟件，操

作簡單實用。

成都網(wǎng)大科技有限公司7

RouterOS等級區(qū)別

等級/功能Level0Level3Level4Level5Level6

升級24小時4.x4.x5.x6.x

無線AP24小時不支持支持支持支持

無線橋接和客戶端24小時支持支持支持支持

RIP,OSPF,BGP協(xié)議24小時支持支持支持支持

EolP隧道在線用戶24小時1條無限制無限制無限制

PPTP隧道在線用戶24小時1條200無限制無限制

PPPoE隧道在線用戶24小時1條200500無限制

L2Tp隧道在線用戶24小時1條200無限制無限制

Hotspot認(rèn)證在線用戶24小時1條200500無限制

VLAN24小時1條無限制無限制無限制

P2P防火墻規(guī)則24小時1條無限制無限制無限制

NAT規(guī)則24小時無限制無限制無限制無限制

Radius客戶端24小時支持支持支持支持

Queue流量控制規(guī)則24小時無限制無限制無限制無限制

Web代理24小時支持支持支持支持

UserManager在線用戶24小時102050無限制

成都網(wǎng)大科技有限公司8

RouterOS安裝方式

*使用帶ISO的鏡像文件通過光盤引導(dǎo)安裝（用于X86系統(tǒng)）；

支持AMD、Intel、VIA以及其他X86系統(tǒng)

支持IDE、SATA硬盤接口

*使用U盤安裝基于X86（限3.0版本）

*使用netinstall網(wǎng)絡(luò)安裝程序，網(wǎng)絡(luò)安裝，主要用于

RouterBOARD系歹U：

RB100、RB300、RB500、RB400、RB600、RB700、RB800、

RB1000系列

成都網(wǎng)大科技有限公司9

RouterOS功能

?RouterOS現(xiàn)在所具備的功能,已經(jīng)遠(yuǎn)遠(yuǎn)超出我們對一般路

由器的理解。

?RouterOS是基于Linux2.6內(nèi)核開發(fā)，通過編譯后，實現(xiàn)

各種功能的快速安裝和操作

?可以看成是一個路由化的操作系統(tǒng)，他與普通路由器的區(qū)

別：

▲多功能平臺-基本的路由功能外，還包含防火墻、QoS、認(rèn)證系

統(tǒng)、VPN、WLAN、3G等等；

▲腳本編輯-使路由器應(yīng)用更加方便和智能；

▲虛擬化技術(shù)-多操作系統(tǒng)的兼容，達(dá)到一機(jī)多用的功能。

成都網(wǎng)大科技有限公司10

RouterOS的配置工具

?RouterOS的配置工具主要是winbox軟件

?登陸RouterOS可以通過IP地址和MAC地址

?在同一局域網(wǎng)內(nèi)可以通過MAC地址登陸，不要修

改電腦的IP和路由器同一IP段，只需要使用

winbox軟件。

?遠(yuǎn)程連接，通輸入對方的公網(wǎng)IP地址登陸

成都網(wǎng)大科技有限公司11

Winbox操作［

?搜索和顯示MNDP(MikroTikNeighborDiscoveryProtocol)MikroTik

鄰居探測協(xié)議

?可以通過該功能鍵搜索同一子網(wǎng)內(nèi)MikroTik。并能通過MAC地址登陸

到MikroTikRouterOS進(jìn)行操作。

?在winbox2.2.12后增加了可選擇的MAC登陸或者IP登陸的功能

MACAddressIPAddressIdentityVersion

00:0C:29:D7:3C:E9MikroTik3.0rc13

成都網(wǎng)大科技有限公司12

Winbox操作2

G■inBoxLoaderv2.2-13Tools按鈕：能刪除所有列表中的

ConnectTo:j00:0C:29:D7:3C:E9…|Connect項目，清除在本地的緩存。

Login:Iadmin

Eassword:|能從wbx文件導(dǎo)入地址或?qū)С鰹?/p>

Vj<eepPassword

曠SecureModewbx文件

BLoadPreviousSession

Note:jMikroTik

ClearCacheSecureMode(安全模式)：提

AddressUserNote

00:0C:42:1D:0C:0BadminMikroTikExportAddresses...供保密并在winbox和RouterOS之

ImportAddresses..間使用TLS(TransportLayer

―|一Security)協(xié)議

?KeepPassword（保存密碼）：

保存密碼到本地磁盤的文本文件

中

成都網(wǎng)大科技有限公司13

Winbox操作3

HnmMa**,n??■ova■?Winbox連接使用TCP端口:

Ihlaef

*???!???

T-c*，>H**48291

m

■fM??

u

g

，?…

?RouterOS默認(rèn)登陸帳號為

admin,密碼為空

U4?M

TKI*

IMJ

9?1M1

5

2Car?4t>?aA

*dH(11

UM

圖標(biāo)*功能~圖標(biāo)一功能一

冢添加一條項目“耳定義或編輯一個注釋。

駕刪除一條存在項目2葭查詢關(guān)犍字?

第。啟用一個項目「喙撤銷操作，

篝P禁用一條項目＜，彝恢復(fù)操作P

成都網(wǎng)大科技有限公司14

命令行與web接口

MikroTikwebbox3.13login:

MMMMMMKKKininninKKK「inboxWebbox

MMMHMMMMKKKrirriiirrrrKKKV/inboxisthegraphicalThisisawebbased

MMM1*IMMMMMIIIKKKKKKRRRRRR000000TTTIIIKKKKKKconfigurationapplicationforconfigurationinterfacefor

RouterOS.Dowtiloadit,runitRouterOS.Loginaboveto

MMMMMMMMIIIKKKKKRRRRRR000000TTTIIIKKKKKandconnecttoyourrouter-connecttothisrouter-some

MMMMMMIIIKKKKKKRRRRRR000000TTTIIIKKKKKKallRouterOSfunctionalitycanofthemostimportant

MMMMMMIIIKKKKKKRRRRRR000000TTTKKKKKKbecontrolledwiththisRouterOSfeaturescanbe

IIIapplication.controlledwithinthis

interface.

oct/10/200604:56:26system,error,criticalloginfailureforuserrootfrom218

.1.65.233viassh

Telnet

oct/10/200604:56:27system,error,criticalloginfailureforusertestfrom218

Ccnnectw(thtelnetandyou三:-_These,araohsshowyou

.1.65.233viasshwillhaveaccesstothestatisticalinformationabout

Terminalvtl02detected,usingmultilineinputmodecommandlineinterfaceofyourrouter'sinterfacesand

RouterOS,everyfunctionofI乏限J11thetrafficthatgoesthrough

[adininQMikroTik]>ipadRouterOScanbecontrolledthem.Beforeyouuse

[adinin@MikroTik]ipaddress〉prinwithitGraphs,vouhaveto

Flags:X-disabled,Iinvalid,D-dynamicccnFiaurethem.

ADDRESSNETWORKBROADCASTINTERFACE

010.200.15.1/2410.200.15.010.200.15.255lanInterfaces

110.200.16.1/2410.200.16.010.200.16.255lan

MikrcTikDefaultgateway:I~

2D222.212.51.143/32222.212.48.10.0.0.0pppoe-outlWebbox

[admin^MikroTik]ipaddress〉/Usebridgeinterface:r

[admin@MikroTik]>iprout.System

NameTypeIPaddressGraph

[admin|?MikroTik]iproute>prinInterface

Flags:X-disabled,A-active,D-dynamicwanethernetdisabledgraph

rFirewall。.

C-connect,S-static,r-rip,b-bgpo-ospflanethernet10.2015.1/2,araph

zRoutesWAN2ethernetdisabled

#DST-ADDRESSPREF-SRCGGATEWAYDISINTERFACE

0ADC10.200.15.072410.200.15.1lanSimpleQueues

-PPPoE

1ADC10.200.16.0/2410.200.16.1lan

RegTable

AccessList

DHCPServer

Upgrade

Logout

成都網(wǎng)大科技有限公司15

ADSL撥號配置1

進(jìn)入PPP目錄下，添加選擇PPPoE-Client,添加ADSL撥

號

Interfaces

Wireless

Bridge

Mesh

PPP

IP

InterfacePPPoEServersSecretsProfiles

Routing

[PPTPServer

System

PPPServer\.........MI

Queues

..Kient

FilesPPPClient

LogPPTPServer

RadiusPPTPClient

ToolsL2TPServer

NewTerminalL2TPClient

MakeSupout.rifOVPNServer

ManualOVPNClient

ExitPPPoEServer

PPPoEClient

成都網(wǎng)大科技有限公司16

基本網(wǎng)絡(luò)配置

成都網(wǎng)大科技有限公司17

RouterOS的基本配置

?首先：啟動設(shè)備后，檢查interface接口網(wǎng)口連接是否正常，并

定義網(wǎng)口名稱

?第二：將對應(yīng)網(wǎng)口的IP地址配置好，根據(jù)情況配置PPPoE撥號

功能

?第三：配置路由，根據(jù)單線和雙線配置相應(yīng)的策略路由規(guī)則

?第四：配置流量控制規(guī)則，分配每臺主機(jī)流量

?第五：配置nat網(wǎng)絡(luò)地址轉(zhuǎn)換

?第六：綁定ARP列表中的MAC地址

成都網(wǎng)大科技有限公司18

RouterOS簡單配置實例

?單線網(wǎng)絡(luò)的配置

?配置內(nèi)網(wǎng)和外網(wǎng)的IP地址,

以及路由

?設(shè)置nat的偽裝規(guī)則

?設(shè)置流量控制規(guī)則

?做http服務(wù)器的端口映射

成都網(wǎng)大科技有限公司19

網(wǎng)絡(luò)環(huán)境

在當(dāng)前的事例中我們使用到兩個網(wǎng)絡(luò)(外網(wǎng)和內(nèi)網(wǎng))：

?內(nèi)網(wǎng)使用地址為：子網(wǎng)淹碼24-bit()。路

由器的地址在這個網(wǎng)絡(luò)中為54

?ISP的網(wǎng)絡(luò)為子網(wǎng)淹碼24-bit()。路由器的

地址是在網(wǎng)絡(luò)中為10.00217

?外網(wǎng)DNS為9,6

我們的步驟一共分為五步

?首先：啟動設(shè)備后，檢查interface接口網(wǎng)口連接是否正常，并定義網(wǎng)

口名稱

?第二：將對應(yīng)網(wǎng)口的IP地址配置好

?第三：配置網(wǎng)關(guān)路由

?第四：配置nat地址轉(zhuǎn)換規(guī)則

?第五：配置DNS服務(wù)器

成都網(wǎng)大科技有限公司20

登陸RouterOS

?常用的工具Winbox,可以通過?按鈕掃描同一局域網(wǎng)

MAC登陸，也可以通過IP,注意Winbox使用IP登陸使用

TCP/8291端口

成都網(wǎng)大科技有限公司21

常用的功能

?Winbox登陸常用的功能菜單

IP4梃ARP刊表

E

RoutingAccounting

InterfacesA胃絡(luò)接口SystemAddressesip/6.\

WirelessQueuesDHCPClient

BridgeFilesDHCPRelay

MeshLogDHCPServer

RadiusDNSMS/t\

PPPF中PoE等配置r

ToolsFirewall防火A

IPTCP/IPSS

RoutingNewTerminalHotspot

MakeSupout.rifIPsec

System型管理

Queues建量控制ManualNeighbors

Files文件管理ExitPacking

Log嘉統(tǒng)日志Pool

RadiusRoutes路由配一r

Tools1能測工具SHMP

NewTerminal玷令行操作Services路由器服,登器端口

MakeSupout.rif生成技術(shù)支持文件Socks

ManualTFTP

X

Exit退出TrafficFlow

成都網(wǎng)大科技有限公司22

第一步：網(wǎng)絡(luò)接口配置

在/interfaces列表中修改etheid為ether1-wan,定義為外網(wǎng)接口；修

改ether2為ether2-lan定義為內(nèi)網(wǎng)接口，如圖：

InterfaceList|次I

InterfaceEthernetEoIPTtmnelIPTunnelVLANVRRPBonding

回回回國回團(tuán)’.m

Nan>p______Type12MTUTxRxTxP.R▼

R<|>etherl-wanEthernet1526300kbps50.5kbps10

<i>ether2_lanEthernet|15220bps0bps0

<J>ether3Ethernet/15220bps0bps0

成都網(wǎng)大科技有限公司23

第二步：添加IP地址

在八paddress中添加IP地址和選擇網(wǎng)卡接口，添加內(nèi)網(wǎng)和外圍的IP地

址如圖：

Interfacesjj.'lAddressList「S3

Wireless[T]

BridgeAJhiressNetworkBroadcastInterface▼

中談7「217及410.0.0.010.0.0.255etherIran

PPP

Kcc254/24192.168.0.0192.168.0.255stJier^-JAn

SwitchARP

MeshAccounting

￡Addresses

SystemDHCPClient

QueuesDHCPRelay

FilesDHCPServer

LogDNS

RadiusFirewall

ToolsHotspot

NewTerminalNeighbors

MetaROUTERPacking

MakeSupout.rifPool

WannalRc”?A?

成都網(wǎng)大科技有限公司24

第三步：添加默認(rèn)網(wǎng)關(guān)

在/iproutes里添加默認(rèn)網(wǎng)關(guān),開啟check-gateway=ping（網(wǎng)

關(guān)ping監(jiān)測）如圖：

成都網(wǎng)大科技有限公司25

第四步：NAT地址轉(zhuǎn)換（1）

?在八pfirewallnat里點擊“+”添加偽裝規(guī)則,

Interfaces

Bridge

-T?!Firewall

PPPFilterRules?MangleServicePortsConnections

Switch

ResetCpixnters|[oof

Mesh圖E］回B回國［

.ainSrc.Add.…Dst.Add..Pro

IPv6Accounting

Addresses

QueuesDHCPClient

FilesDHCPRelay

DHCPServ

Radius

ToolsFirewall

成都網(wǎng)大科技有限公司26

第四步：NAT地址轉(zhuǎn)換（2）

在NAT里添加新的規(guī)則，在chain里選擇srcnat鏈表，在選擇action里

的action=masquerade規(guī)則：

■3Firewall

FilterRulesNATMangleServicePortsConnectionsAddressListsLayer?Protocols

:二ResetCounters00ResetAllCountersall

ActionChainSrc[Srq.PgtPort|liu..?

TNewNATRule

成都網(wǎng)大科技有限公司27

第五步：DNS配置

■八pdns的settings中添加多個DNS服務(wù)器地址，根據(jù)需要啟用DNS

緩存(allowremoterequests)：

成都網(wǎng)大科技有限公司28