基于VMware虛擬機部署RouterOS軟件路由器

王文峰

(無錫市體育彩票管理中心,江蘇無錫 214072)

0 前言

RouterOS是拉脫維亞Mikrotik公司研發(fā)的一款功能強大的基于Linux內(nèi)核路由器操作系統(tǒng)軟件,具備高性能數(shù)據(jù)包轉(zhuǎn)發(fā)能力,并提供了豐富的網(wǎng)絡功能。在中小企業(yè)組建網(wǎng)絡工程中,可以將RouterOS安裝到VMware ESXi虛擬機平臺,部署在互聯(lián)網(wǎng)出口處,實現(xiàn)專業(yè)級防火墻路由器的功能,包括內(nèi)部計算機訪問互聯(lián)網(wǎng)、VPN遠程互聯(lián)、端口映射和服務器Internet公網(wǎng)發(fā)布等多種網(wǎng)絡服務。

1 VMware ESXi安裝RouterOS虛擬機的主要步驟

以戴爾PowerEdge R900服務器為例,安裝VMware ESXi5.5虛擬化基礎(chǔ)環(huán)境后,通過vClient客戶端登錄ESXi主機。上傳RouterOS鏡像包mikrotik-5.20-clone.iso文件至服務器datastore1存儲器,新建一個虛擬機命名為ROS520。由于ESXi系列虛擬機環(huán)境無RouterOS的客戶系統(tǒng)列表,可以為虛擬客戶機操作系統(tǒng)選擇一個“RedHat Enterprise Linux(32位)”類型,該Linux類型與RouterOS 5.20版本保持虛擬環(huán)境的兼容。分配ROS520虛擬硬件資源,包括:1G內(nèi)存、2核處理器、1G存儲空間的IDE硬盤和2個虛擬網(wǎng)絡適配器。2塊虛擬網(wǎng)絡適配器與物理服務器的2個物理網(wǎng)卡接口vmnic0和vmnic1一一對應,采用1000兆全雙工的工作模式。一個虛擬網(wǎng)卡用于連接ISP運營商提供的光纖寬帶設備,另一個虛擬網(wǎng)卡用于連接內(nèi)部網(wǎng)絡的核心交換機。虛擬網(wǎng)絡適配器1對應網(wǎng)絡標簽VM Network,虛擬的網(wǎng)絡適配器2對應網(wǎng)絡標簽VM Network2。在虛擬網(wǎng)絡中,VM Network連接標準交換機vSwitch0, VM Network2連接標準交換機vSwitch1,如圖1所示。數(shù)據(jù)存儲ISO文件中加載安裝鏡像文件,啟用“打開電源時連接”,運行虛擬機ROS520即開啟了安裝模式。在系統(tǒng)安裝時,除了wireless無線模塊不必選擇外,其他功能模塊都選擇默認安裝。

圖1 虛擬網(wǎng)絡配置Fig.1 Virtual network configuration

2 RouterOS軟件路由器的基本配置

2.1 winbox控制臺登錄RouterOS

winbox控制臺客戶端軟件采用了 TCP協(xié)議的8291端口,支持 IP 地址、域名和 MAC 地址等多種方式登陸管理路由器?；赩Mware ESXi虛擬機方式安裝完成RouterOS后,兩個虛擬網(wǎng)卡還沒有任何IP地址參數(shù)。因此可以在內(nèi)網(wǎng)中同一個廣播域的任一計算機端運行winbox工具偵測RouterOS內(nèi)部網(wǎng)卡的MAC物理地址,通過網(wǎng)卡MAC地址方式初次登錄軟路由,默認管理帳號為admin,初始密碼為空。提高路由器的安全保密性,在New Terminal窗口執(zhí)行配置命令password修改密碼,建議配置同時包含大小寫字母、數(shù)字和特殊字符任意組合的足夠長度的密碼。采用Secure Mode安全模式,在winbox和RouterOS之間使用Transport Layer Security協(xié)議登錄,登錄RouterOS后即可配置軟件路由器的各類網(wǎng)絡參數(shù)。

2.2 配置RouterOS虛擬網(wǎng)卡參數(shù)

RouterOS虛擬部署在企業(yè)與互聯(lián)網(wǎng)出口處,主要起到防火墻路由器的作用。虛擬網(wǎng)卡的參數(shù)與企業(yè)實際的網(wǎng)絡拓撲有關(guān),物理網(wǎng)卡1接網(wǎng)線到光貓,物理網(wǎng)卡2接網(wǎng)線到核心交換機,確保物理鏈路層的可靠連接。為了區(qū)別虛擬網(wǎng)卡的功能應用,將接入外部網(wǎng)絡的網(wǎng)卡命名為wan,接入內(nèi)部網(wǎng)絡的網(wǎng)卡命名為lan。具體方法是在winbox菜單列表中進入Interfaces,修改ether1為wan,修改ether2為lan。網(wǎng)卡均啟用ARP的enable功能、1Gbps傳輸速率和全雙工模式。進入winbox菜單列表中IP里面的Addresses,將外部網(wǎng)絡的網(wǎng)卡地址設置為公網(wǎng)IP,輸入子網(wǎng)掩碼的位數(shù)、網(wǎng)絡地址,選擇Interface接口為wan。將內(nèi)部網(wǎng)絡的網(wǎng)卡地址設置為192.168.1.254,輸入子網(wǎng)掩碼的位數(shù)24位、網(wǎng)絡地址192.168.1.0,選擇Interface接口為lan。至此,兩塊虛擬網(wǎng)卡的網(wǎng)絡參數(shù)基本配置完成。

2.3 配置默認路由、偽裝與DNS服務器

為了使局域網(wǎng)計算機連接到互聯(lián)網(wǎng),需要配置默認路由。進入winbox菜單列表中IP里面的Routes,添加默認網(wǎng)關(guān),目標地址是0.0.0.0/0,網(wǎng)關(guān)地址就是ISP提供的默認公網(wǎng)網(wǎng)關(guān)IP。進入winbox菜單列表中IP里面的firewall,NAT地址轉(zhuǎn)換添加偽裝規(guī)則,在General選擇的Chain列表里面選擇srcnat鏈表,源地址轉(zhuǎn)換,Action選項中配置action=masquerade規(guī)則。添加運營商提供的DNS服務器IP地址,在ip dns的settings中可以添加多個DNS服務器地址,根據(jù)需要啟用DNS緩存(allow remote requests),并可以通過Cache size修改DNS緩存大小。比如無錫地區(qū)電信線路用戶可以輸入DNS地址為221.228.255.1和218.2.135.1。上述配置完成后,局域網(wǎng)內(nèi)部的計算機配置好192.168.1.0網(wǎng)段的IP地址、網(wǎng)關(guān)地址192.168.1.254與DNS參數(shù)即可接入互聯(lián)網(wǎng)。

2.4 RouterOS的安全配置

RouterOS的提供了豐富的安全配置功能,比如修改協(xié)議的對應規(guī)則、限定路由器的登錄管理IP地址范圍、防火墻策略等。例如通過Internet遠程訪問RouterOS虛擬機,修改web訪問的端口為28088、telnet訪問的端口為28023,執(zhí)行的命令行為ip service set www port=28088;ip service set telnet port=28023。

例如,在內(nèi)部網(wǎng)絡中僅限定IP地址為192.168.1.207的計算機通過winbox登錄RouterOS,可以在菜單ip中進入services,在winbox中的available from中添加地址192.168.1.207,如圖2。這樣局域網(wǎng)中的其他IP地址的計算機無法通過winbox登錄RouterOS路由器。例如TCP135端口主要采用RPC遠程過程調(diào)用協(xié)議,提供DCOM分布式組件對象模型服務,在一臺計算機上運行的程序執(zhí)行另一臺遠程計算機上的代碼。使用DCOM通過網(wǎng)絡直接進行包括HTTP協(xié)議在內(nèi)的多種網(wǎng)絡通信,包括“沖擊波”病毒就是利用了RPC漏洞攻擊聯(lián)網(wǎng)計算機,具有一定的安全隱患。在RouterOS上可以添加一條防火墻規(guī)則,將所有通過路由器到目標協(xié)議為TCP端口135的數(shù)據(jù)包丟棄掉。執(zhí)行命令行如下ip firewall filter add chain=forward dstport=135 protocol=tcp action=drop。

圖2 設置winbox授權(quán)登錄IPFig.2 Setting winbox authorized login IP

3 基于RouterOS發(fā)布內(nèi)網(wǎng)FTP服務器

內(nèi)部局域網(wǎng)中的服務器可以通過RouterOS的端口映射功能,對互聯(lián)網(wǎng)發(fā)布網(wǎng)絡服務。例如內(nèi)網(wǎng)中有一臺Filezilla Server構(gòu)建的FTP服務器,提供文件下載功能,IP地址為192.168.1.10。內(nèi)部網(wǎng)絡默認FTP端口為21,對外網(wǎng)發(fā)布FTP服務端口為16821。根據(jù)拓撲結(jié)構(gòu),需要將外網(wǎng)16821端口映射到內(nèi)部的IP地址為192.168.1.10的21端口。端口映射配置如下,進入 ip firewall的NAT,在General一欄中選擇chain=dstnat,Dst Address即公網(wǎng)IP地址,Dst Port為tcp協(xié)議16821端口。在Action一欄中的Action中選擇dst-nat 操作,To Addresses設置內(nèi)網(wǎng)FTP服務器地址192.168.1.10,To Ports端口為21。配置完成后,利用ftp://公網(wǎng)IP:16821的網(wǎng)址格式即可訪問FTP服務器,FTP用戶根據(jù)權(quán)限登錄后即可上傳或者下載文件[1]。

4 實施效果與總結(jié)

基于VMware ESXi5.5虛擬化架構(gòu)部署RouterOS軟件防火墻路由器,充分利用了現(xiàn)有的服務器硬件資源,投入的成本較低。實踐證明RouterOS具備較高的網(wǎng)絡數(shù)據(jù)包轉(zhuǎn)發(fā)性能,為了滿足網(wǎng)絡管理方面的各類應用需求,企業(yè)可以深入挖掘RouterOS的其他功能,如針對特定IP和網(wǎng)段進行流量控制、QoS服務質(zhì)量管理、分支機構(gòu)網(wǎng)絡的VPN遠程互聯(lián),自定義高級防火墻策略等,進一步提高網(wǎng)絡管理和信息系統(tǒng)安全等級保護水平。