MikroTik RouterOS是一种路由操作系统,并通过该软件将标准的PC电脑变成专业路由器,在软件的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。RouterOS在具备现有路由系统的大部分功能,能针对网吧、企业、小型ISP接入商、社区等网络设备的接入,基于标准的x86构架的PC。
　　RouterOS的硬件需求极低,即使在奔腾III的计算机上也可以顺利运行。同硬件路由系统相比,RouterOS具有运行配置需求低、投资低廉、扩展灵活等优点。RouterOS功能强大,集路由、防火墙、VPN Server等功能与一身,是其他路由器不能比拟的。相对于硬件路由系统来说,Routeros可管理性要强得多,用户可以通过进行各种操作来达到某些效果,也可以借助各种软件来监控,使用相当灵活。
　　由于技术上的局限,现在运行的硬件路由设备本身很难对所有用户进行逐一控制,随着校园网络的日益扩大,常会出现私自更改IP地址、ARP病毒攻击、IP地址冲突以及网络带宽的恶意抢占等问题。如何高效、低成本地解决这些问题成了每个网络管理员最首要的问题,成熟的网络产品售价高昂,在一般中小网络建设中是难以承受的。而借助Routeros路由操作系统,配合几台普通计算机就能以极低成本轻松解决中小型网络中的这些难题。
　　以校园内某微机室的应用为例,该微机室建设初期采用的是局域网分配静态IP的方式进行网络连接,随着网络应用需求的增加,IP地址的管理愈加混乱,各种问题随之而来。该机房的学生具备基本的网络基础,部分学生利用自己掌握的网络知识进行一些破坏行为,造成了IP冲突、ARP攻击以及病毒泛滥。由于该区接入层交换机不具备网管功能,无法对以上出现的网络攻击问题进行有效防范,同时学生大量使用迅雷、BT等P2P软件,致使该区网络一度瘫痪,进行人工查找往往是工作量极大而又无实际效果,而使用MikroTik Routeros路由操作系统的使用能效解决该区网络的常见故障。
　　1 RouterOS的安装与设置
　　1.1 安装环境
　　Routeros对于硬件的要求不高,针对第六微机室的100台电脑,选用的电脑配置为:P42.0CPU,256MB内存,Intel集成网卡和8139网卡。8139网卡用于外部接入,Intel集成网卡接机房局域网。
　　2.2 系统的安装与配置
　　1) 用光盘版选择所需功能进行安装。
　　2) 启动后,输人用户名:admin,密码为空,进入系统。
　　3) 设置第一块网卡的IP:在提示符下输入setup命令,按提示选择"configure ip address and gateway",再选择"add ip address",设置第一块网卡(enable interface:ether1,第1块网卡用于连接内网),输人IP地址"192.168.2.1/24" 。
　　4) 在局域网内任意一台机器上,将其IP设置成192.168.2.x,在IE地址栏输入192.168.2.1打开WEB管理页面并下载winbox管理软件
　　5) 运行winbox输入192.168.2.1,用户名:admin,密码为空,打开Routeros管理界面,将两块网卡重新命名,第一块为LAN,第二块为WAN
　　6) 设置外网的网卡地址:在winbox选IP Addresses,打开添加新IP功能,输人外网IP地址,在Interface处选择外网的网卡WAN。
　　7) 设置NAT:IP-Firewall点击“NAT”,单击添加按钮,General-Chain:srcnat,然后选择“Action”页,将Action的值设为"masquerade",点击"OK"完成。
　　8) 设置静态路由,IP-Route,点击添加按钮,Destination:0.0.0.0/0,Gateway:填写外网的网关。
　　9) 设置DNS:IP-DNS,点击"Setting"设置DNS的IP地址,选择"Allow Remote Requests",点击"OK"完成。
　　10) 建立DHCP服务器:IP-DHCP Server-DHCP,在Name中输入DHCP服务器的名称,Interface选内网网卡,在Networks选项中输入分配给客户机的IP地址段、客户机的网关以及IP地址的掩码位数.
　　至此,机房局域网内的计算机就可以上网了。
　　2 利用RouterOS解决ARP欺骗
　　ARP(Address Resolution Protoco1)欺骗的原理是在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要意义,通过伪造IP地址和MAC地址实现ARP 欺骗,能够在网络中产生大量的ARP 通信量,使网络阻塞。导致欺骗成功的最主要的原因就是ARP 协议在最初设计时没有考虑安全机制,默认信任全部局域网内的主机。机房内只要有一台计算机中了ARP病毒,就会造成整个机房不能正常上网,严重影响教学秩序。利用RouterOS,采取双向绑定的方法可以解决ARP 欺骗和IP地址冲突等问题,方法如下:
　　1) 在RouterOS里绑定所有的学生机的IP和MAC。
　　2) 把内网卡模式改成reply—only。
　　3) 把内网段里没用的IP的MAC全部绑成000000O00000,防止IP欺骗。
　　4) 在SNAT里指定内网段的IP段。
　　5) 在学生机上利用ARP脚本绑定路由器的IP和MAC地址。
　　3 网络带宽管理
　　在网络管理工作中,困扰我们最多的是网络的速度问题。本机房共有100台电脑,带宽为4M,但由于学生比较喜欢使用BT软件或迅雷软件,导致网络的网速极慢,经常使学校网络出口的带宽达到极限,有时还会出现掉线现象。
　　针对上述问题,可以利用RouterOS的带宽管理工具Simple queues对每个IP 限速。
　　运行Winbox进入系统, 选择queues—Simple queues,对每个IP 限速500000/200000(下载500kbps/上传200kbps)。
　　下面是限速的脚本:
　　:for aaa from 2 to 254 do={/queue simple add name=(queue. $aaa) dst-address=(192.168.2..$aaa) limit-at=0/0 max-limit=500000/200000}
　　通过上述脚本添加至System—Script中并执行脚本,将192.168.2.2—192.168.2.254IP段统一设置下载速度为500kbps,上传速度为200kbps,经过长时间的测试和使用, 学校网络在4M的带宽的环境下,随时保持l00～200机器同时在线,PING值一般小于l0MS,没有发现丢包现象。
　　4 关键字过滤
　　在机房中,为了避免学生受非法网站或者黄色网站的毒害,对上网信息进行过滤是很有必要的。通过routeros可以按需要对网站或者关键字进行过滤。
　　运行winbox进入管理界面,选择IP—Firewall—Filter Rules,添加一条防火墙规则,加入content=www.xxx.comaction=drop规则,可以禁止局域网内电脑访问www.xxx.com的网站。也可以加入content=xxxaction=drop规则,此时所有含有xxx字符的网址都会被禁止访问。
　　5 结论
　　经过上述的配置,基本上可以满足机房的应用需求。实际运行中,RouterOS服务器运行稳定,系统启动较快,从开机到进入系统通常不超过10秒钟;系统资源占用率极低,CPU占用率通常不超过10% ,内存使用通常不超过30MB。很好地解决了机房的教学、上网需求。同时更便捷直观的管理,是的网络管理变得更加方便。

我来说两句：
	用户名： 密码： 匿名发表
	验证码：