RouterOS軟件路由器在校園網(wǎng)中的應(yīng)用研究

陳家遷

（廣西建設(shè)職業(yè)技術(shù)學(xué)院，廣西南寧，530007）

RouterOS軟件路由器在校園網(wǎng)中的應(yīng)用研究

陳家遷

（廣西建設(shè)職業(yè)技術(shù)學(xué)院，廣西南寧，530007）

RouterOS路由系統(tǒng)，具有強(qiáng)大的VLAN管理、無(wú)線、用戶認(rèn)證、策略路由、VPN、帶寬控制和防火墻功能，研究RouterOS在校園網(wǎng)絡(luò)中的應(yīng)用具有十分重要的意義。

用戶認(rèn)證；策略路由；帶寬控制；地址轉(zhuǎn)換

RouterOS是一種路由操作系統(tǒng)，基于Linux內(nèi)核開(kāi)發(fā)，兼容x86架構(gòu)，只需在普通PC安裝系統(tǒng)，就可以將其變成高性能的路由器。RouterOS軟件經(jīng)歷了多次更新和改進(jìn)，使其功能在不斷的增強(qiáng)和完善。特別在Vlan、無(wú)線、用戶認(rèn)證、策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常強(qiáng)大的功能，許多校園網(wǎng)絡(luò)管理中遇到的問(wèn)題，在RouterOS中都能找到解決的辦法。

1　系統(tǒng)安裝

CD安裝是基于PC的x86硬件最常見(jiàn)的安裝方式，通過(guò)CD將MikroTik RouterOS安裝到基于x86平臺(tái)的PC硬件上。

安裝步驟：

（1）從MikroTik.cn官網(wǎng)下載 RouterOS的IOS鏡像文件。

（2）將ISO鏡像下載到硬盤(pán)后，通過(guò)刻錄光驅(qū)和刻錄程序，將鏡像刻錄為CD/DVD。

（3）從RouterOS CD/DVD光盤(pán)引導(dǎo)啟動(dòng)安裝。

（4）使用“空格”選擇需要安裝的功能包，其中System包是必不可少的，按“a”可以選擇所有功能包，或者“m”選擇最小安裝，按“i”開(kāi)始安裝 RouterOS，如果你之前在同一臺(tái) PC 上安裝過(guò)RouterOS，你可以復(fù)位和保存設(shè)置，提示如下 “Do you want to keep old configuration？”如果選擇“n”復(fù)位設(shè)置，選擇“y”保存之前配置。

（5）啟動(dòng)后RouterOS提示登陸信息，登錄默認(rèn)賬號(hào)是admin，沒(méi)有密碼。

2　登陸管理RouterOS系統(tǒng)

RouterOS系統(tǒng)的管理方式包括Console連接管理、Winbox圖形界面管理、鍵盤(pán)登陸管理、Telnet（ssh）等，下面以最常用的winbox圖形界面管理進(jìn)行介紹。

你可以下載 winbox 應(yīng)用程序，通過(guò)網(wǎng)上搜索可以找到，下載完成后，確保電腦與路由器已通過(guò)正常連接。運(yùn)行 winbox，點(diǎn)擊...按鈕，winbox 會(huì)尋找你的路由器 MAC 地址，如果找到將會(huì)顯示在 winbox 列表框內(nèi)，選擇找到的mac地址，在Login處理輸入用戶名admin，在Password處無(wú)需輸入，單擊Connect就可以連接到路由器。

舉例：某網(wǎng)絡(luò)外網(wǎng)IP：8.8.8.8/24，外網(wǎng)網(wǎng)關(guān)8.8.8.1，內(nèi)網(wǎng)ip：192.168.2.1/24， dns：202.103.224.68現(xiàn)需要配置Routeros系統(tǒng)實(shí)現(xiàn)全網(wǎng)能上網(wǎng)，通過(guò)Winbox 中的New terminal進(jìn)入CLI命令方式設(shè)置。

配置命令：

/ip address add address=8.8.8.8/24 interface=ether1 network=8.8.8.0//外網(wǎng)IP和掩碼設(shè)置

/ip address add address=192.168.2.1/24 interface=ether2network=192.168.2.0 //內(nèi)網(wǎng)IP和掩碼設(shè)置

/ip route add gateway=8.8.8.1//網(wǎng)關(guān)設(shè)置為8.8.8.1

/ip firewall nat add chain=srcnat action=masquerade //啟用偽裝

/ip dns set servers=202.103.224.68//dns設(shè)置請(qǐng)根據(jù)當(dāng)?shù)豂SP修改

3　網(wǎng)絡(luò)地址轉(zhuǎn)換

現(xiàn)在公網(wǎng)IP地址資源非常有限，網(wǎng)絡(luò)運(yùn)營(yíng)商只會(huì)分配很少的公網(wǎng)IP地址給學(xué)校使用。校園存在用戶數(shù)量龐大，公網(wǎng)IP地址不夠，校園有需要對(duì)外提供服務(wù)的服務(wù)器資源等問(wèn)題。在 RouterOS可以通過(guò)NAT功能解決這些問(wèn)題。NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換，分為源地址轉(zhuǎn)換（srcnat）和目的地址轉(zhuǎn)換（dstnat）。

3.1源地址轉(zhuǎn)換

源地址轉(zhuǎn)換通俗的說(shuō)就是把內(nèi)網(wǎng)ip轉(zhuǎn)換成公網(wǎng)IP，從而達(dá)到上網(wǎng)目的。實(shí)例：某網(wǎng)絡(luò)需要實(shí)現(xiàn)內(nèi)網(wǎng)全部通過(guò)外網(wǎng)的公網(wǎng)IP共享上網(wǎng)。命令：

/ip firewall nat add chain=srcnat action=masquerade

3.2目的地址轉(zhuǎn)換

目的地址轉(zhuǎn)換，可以把內(nèi)網(wǎng)的IP和端口映射到外網(wǎng)，實(shí)現(xiàn)外部用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器的目的。實(shí)例：某網(wǎng)絡(luò)的公網(wǎng)IP為8.8.8.8，其內(nèi)網(wǎng)的web服務(wù)器IP：192.168.1.1需要對(duì)外開(kāi)放，可以通過(guò)dstnat實(shí)現(xiàn)。命令：

/ip firewall nat add chain=dstnat protocol=tcp dst-address=8.8.8.8 dst-ports=80 action=dst-nat toaddresses=192.168.1.1 to-ports=80

4　Routeros防火墻

在校園網(wǎng)中網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出，保護(hù)路由器不受攻擊，是每個(gè)網(wǎng)絡(luò)管理員的關(guān)心的問(wèn)題。通過(guò)RouterOS的防火墻功能關(guān)閉不希望開(kāi)放的端口，提升網(wǎng)絡(luò)的安全。通過(guò)對(duì)input鏈表設(shè)置，可以對(duì)所有進(jìn)入路由器的數(shù)據(jù)包進(jìn)行過(guò)濾。實(shí)例：禁止訪問(wèn)路由器的69和111端口。命令：

/ip firewall filter

/add chain=input protocol=udp dst-port=69 action=drop comment=”deny TFTP”

/add chain=input protocol=udp dst-port=111 action=drop comment=”deny PRC”

5　RouterOS帶寬優(yōu)化

5.1限制p2p速率

有些用戶使用 p2p 軟件或在線看高清視頻，占用大量的帶寬，造成網(wǎng)絡(luò)不暢。Routeros可以做到用戶公平上網(wǎng)，可以實(shí)現(xiàn)根據(jù)P2P、web、ftp等應(yīng)用協(xié)議進(jìn)行限速。queue流量控制用于對(duì)網(wǎng)絡(luò)接口數(shù)據(jù)流發(fā)送和接收數(shù)據(jù)進(jìn)行控制，傳輸流量被控制在指定范圍值內(nèi)，即傳輸?shù)牧髁恐荒苄∮诨蛘叩扔谶@個(gè)值，反之超過(guò)的流量將會(huì)被丟棄或延遲發(fā)送。實(shí)例：限制內(nèi)網(wǎng)通過(guò)p2p進(jìn)行下載時(shí)速度不能超過(guò)4Mb。

命令：

/ip firewall mangle add chain=forward p2p=all-p2p action=mark-packet new-packet-mark=p2p_pac//對(duì)所有p2p數(shù)據(jù)打標(biāo)記

/queue simple add name=p2p_que1 target=192.168.1.0/24 max-limit=4M/4M packet-marks=p2p_ pac//限制p2p數(shù)據(jù)包上傳下載為4Mb

5.2智能化控制帶寬

圖1　pcq帶寬動(dòng)態(tài)分配效果圖

在校園網(wǎng)絡(luò)中因?yàn)橛脩舳?，通常需要?duì)用戶使用帶寬進(jìn)行限制，一般的的路由器只能實(shí)現(xiàn)對(duì)用戶設(shè)置一個(gè)固定不變的流量進(jìn)行控制，這種方法會(huì)造成在上網(wǎng)人數(shù)較少時(shí)帶寬的浪費(fèi)。使用routeros的PCQ算法可以完成對(duì)內(nèi)部局域網(wǎng)流量的動(dòng)態(tài)分配。某網(wǎng)絡(luò)出口總帶寬為12Mb，之前使用的路由器針對(duì)每個(gè)用戶限制帶寬為1M，就算上網(wǎng)只有1人，用戶也只能使用1M的帶寬，有11M帶寬是浪費(fèi)的。而采用RouterOS的PCQ進(jìn)行限速，當(dāng)只有1個(gè)用戶在上網(wǎng)時(shí)，他可以使用全部12Mb的帶寬，當(dāng)有2個(gè)用戶在使用時(shí)他們平分12Mb帶寬，每用戶可以使用6Mb帶寬，當(dāng)達(dá)到7用戶時(shí)，7人平分12Mb帶寬，每用戶可以最高1.7Mb。通過(guò)使用PCQ動(dòng)態(tài)帶寬控制技術(shù)，可以保證用戶在使用時(shí)，不會(huì)因某個(gè)用戶惡意占用帶寬，造成用戶無(wú)法上網(wǎng)或者瀏覽網(wǎng)站很慢，體驗(yàn)差的情況，可以實(shí)現(xiàn)較好的網(wǎng)絡(luò)帶寬優(yōu)化，保證了每個(gè)用戶都可以流暢上網(wǎng)，給用戶帶來(lái)更好的上網(wǎng)體驗(yàn)。動(dòng)態(tài)分配效果如下圖1。

實(shí)現(xiàn)腳本：

/queue type add name=upkind=pcq pcq-rate=0 pcqlimit=50 pcq-total-limit=2000 pcq-classifier=srcaddress

/queue type add name=downkind=pcq pcq-rate=0 pcq-limit=50 pcq-total-limit=2000 pcq-classifier=dstaddress

/queue simple add name=pcq target=192.168.1.0/24 max-limit=12M/12M queue=up/down

6　結(jié)束語(yǔ)

RouterOS系統(tǒng)功能非常強(qiáng)大靈活，而軟件授權(quán)價(jià)格非常低廉。通過(guò)研究RouterOS系統(tǒng)在校園網(wǎng)絡(luò)中的應(yīng)用，可以提升校園網(wǎng)絡(luò)的管控優(yōu)化能力，提高用戶的使用體驗(yàn)，具有十分重要的意義。

Research on the application of RouterOS software router in campus network

Chen Jiaqian
（Guangxi Polytechnic of Construction，Nanning，Guangxi 530007）

Routeros routing system， with strong management VLAN，wireless，user authentication，policy routing，VPN，bandwidth control and firewall function，research Routeros in campus network application has very important significance.

user authentication；policy routing；bandwidth control；address translation

陳家遷（1977-），男，廣西玉林人，碩士，講師，工程師，研究方向計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。

本文是2011年廣西教育廳科研項(xiàng)目（項(xiàng)目編號(hào)：200103YB186）的階段性成果。

［1］王進(jìn).RouterOS軟件路由器在校園網(wǎng)絡(luò)中的應(yīng)用［J］.計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012（4）：49-50

［2］袁小潔.基于RouterOS軟路由在校園網(wǎng)絡(luò)中的典型應(yīng)用［J］.科技資訊，2010（22）：23