RouterOS在管理中小企事业网络中的应用

RouterOS是基于Linux开发能在PC机上运行的路由器和专线路由器操作系统,主要应用于防火墙、ISP核心路由器、用户认证管理系统、高性能ADSL/宽带共享器、流量控制等。企业使用RouterOS对一般机房的网络进行控制与管理,使得单位办公、管理、业务和窗口服务得以顺利开展。

应用科技

RouterOS在管理中小企事业网络中的应用

周伟

(新疆交通建设局奎屯管理处,新疆奎屯

[摘

要]

833200)

RouterOS是基于Linux开发能在PC机上运行的路由器和专线路由器操作系统,主要应用于防火墙、ISP核心路由器、用户认证管理系统、高性能ADSL/宽带共享器、流量控制等。企业使用RouterOS对一般机房的网络进行控制与管理,使得单位办公、管理、业务

和窗口服务得以顺利开展。

[关键词]RouterOS;软路由;机房管理;网络管理

;

1引言

网络机房是一个公司或企事业单位的重要基础设施,也是信息技术、软硬件技术和职工工作的重要平台,是职工扩大视野、增长见识的窗口和交流互动的桥梁。同时为了不影响工作我们可以定时对网络进行通断。

2ROUTEROS的安装与硬件要求2.1网络基本拓扑结构

2.2硬件的准备及连接

RouterOS对于硬件的要求不高,很低的PC配置就能很好的工

作,为了保证路由的性能,我采用了PIII850CPU,64M内存,容量为

64MCF转IDE卡作为电子盘,五张Intel82559高性能服务器网卡

(分别连接各所收费站及内网交换机和电信外网光交换机),PCI接口不足的话可以采用多RJ45口网卡。

3RouterOS的配置

1)RouterOS启动后,填入用户名admin,密码为空,进入ROUEROS系统。

2)设置第一块网卡的IP地址,在提示符下输入setup命令,如

果本机的网卡是PCI的,

会有提示ether1(即第一块网卡),输入

ipaddress(IP地址)

10.100.100.1,netmask(子网掩码)

255.255.255.0,gateway(网关),默认直接回车,把ether1连接到局域网内。

3)在客户机(windows系统)上,将内网IP地址设置成10.100.100.X,子网掩码为255.255.255.0,打开IE浏览器,在地址栏

处输入10.100.100.1回车后,就会出现RouterOS的欢迎界面,点击下载winbox软件。

4)运行winbox,ConnectTO输入10.100.100.1,Login输入

admin,密码为空,回车进入winbox软件。

5)启动其余的网卡,点击interface在没有启动的网卡上右击,

点击ENABLE来启动网卡。

6)分别设置每个网卡的IP地址:选择IP→Address,单击红色的+”号,设置其余四块网卡的IP地址,可分为不同的网段,为了便于

管理可分别重新命名这几块网块为lan2、lan3、lan4、wan,前面的

ether1重命名为lan1(10.100.100.1)。

7)开通静态路由上网:若电信光纤直接到机房分的是一个固定IP地址,首先将外网网线连接在WAN口上,打开winbox,点击IP→Address,点击红色的“+”号,设置IP为电信给我们的外网IP地址

如(218.84.1.254/24),interface选择WAN,然后点击IP→Routes,点击红色“+”号,增加一条静态路由,选中gateway,输入网关地址:218.84.1.1,destination使用默认的0.0.0.0,表示路由所有地址,也可以根据需要,指定IP地址范围路由。静态路由可以有多条,比如可以分别指定多个IP网段,达到管理的目的,这里使用默认的0.0.0.0。到这一步还不能共享上网,需要增加一条NAT命令,点击IP→Fire-

wall→NAT,点击红色的“+”号,选中General:chain=srcnat,

Action:Action=maspuerade。点击OK按钮,这时局域网内的用户

都能共享上网了。

4ROUTEROS的应用4.1带宽的管理

在网络管理工作中,困扰我们最多的是网络的速度问题,某单位共有200多台电脑,以前用的是服务器双网卡做NAT互联网接入,带宽为电信10M,但由于单位很多用户比较喜欢使用BT或迅雷软件,常常导致网络的网速很慢,经常使单位网络出口的带宽达到极限,有时还会出现掉网的现象。

针对上述的问题,我们来利用ROUTEROS的带宽管理工具

Simplequeues对每个IP地址限速,不管是BT还是P2P式下载软件

都会按照设定的下载速度去下载。此方法只是限速而不是禁止使用BT软件或迅雷软件等。

在winbox里的Interface中,可以查看各网卡的流量,RX为上行流量,TX为下行流量。

运行winbox进入系统,选择queues→simplequeues,对IP:

10.100.100.2限速下载150K/S上传150K/S。点击“+”号选Gen-eral,name栏填入名称,targetaddress填入要限制的IP:10.100.100.2/32TargetUpload上传填入150K,TargetDownload下

载限速,填入150K,点击OK完成。要限制多少个IP就写多少个。

经过长时间的测试和使用,单位网络在10M的带宽环境下,随时保持50-150台机器同时在线,ping值一般小于10MS,没有发现丢包的现象。

4.2IP-MAC地址绑定

ARP欺骗的原理是在局域网中,通过ARP协议来完成IP地址转

换为第二层物理地址(即MAC地址),通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞,导致欺骗成功的最主要的原因就是ARP协议在最初设计时没有考虑安全机制,默认就是信任全部以太网内的主机。

企事业单位网由于病毒产生了ARP欺骗,导致网络的通信时断时续,影响了单位的一系列正常办公。我们采用MAC地址绑定的方法来防止ARP欺骗和IP冲突:在ROUTEROS里绑定所有客户机的IP地址和MAC地址,

在IPAddress里填入要绑定的IP地址,在MAC

Address中填入要绑定的客户机的网卡实际地址,再在Interface中选

择LAN,在ARP选项中把LAN网卡模式改成reply-only,这样,绑定IP地址和对应MAC地址的主机才能上网,没有绑定就不能上网。

以上是我这几年来在企事业单位网络建设安全管理中逐步摸索、积累的一些做法,经过我们的大胆尝试,结合ROUTEROS路由操作系统的强大功能,摸索出了一套能使数字化得以健康、和谐发展的方法、使单位办公、管理、业务和窗口服务得以顺利开展。

TECHNOLOGYTREND

57

“

本文来源：https://www.bwwdw.com/article/djge.html