ROS教程设置总结

ROS教程（1）－－－基本配置

一、LAN口配置：(admin为用户名，密码为空 登录控制台） 1、查看已经安装的网卡

>interface print (可缩写为 int pri) 2、更改网卡名字 〉int 〉pri

>set 0 name=lan

3设置内网卡的ip和子网掩码（先返回顶层目录，用“/”键） 〉ip address add address=192.168.194.1/24 interface=lan

4、打开winbox,以192.168.194.1为地址，admin为用户名，密码为空 登陆。

5、在winbox下单击\双击列表中\栏中的连接ISP的网卡--->\更名为\。 二、WAN口配置： 1、通过ADSL拨号上网

(1)如果电信等ISP已将帐号和相关的MAC地址绑定过，则需要修改WAN口MAC地址，否则跳到下一步。

在winbox下单击\输入命令\mac-address=00:00:00:00:00:00--->通过print命令查看修改是否成功。 (2)建立pppoe连接到电信或其它ISP。

\选项卡--->在\中拨号名，如Tel，在\中选择WAN口--->\选项卡中，\域中输入用户名，\中输入密码（ISP提供的），并且确保\处于选中状态--->\。 2、通过静态IP上网

(1)静态IP是指由ISP提供的TCP/IP参数上网，\、

\在\中输入WAN的IP地址及子网掩码位在\中输入WAN的IP地址及子网掩码位，在\域中选择\。 (2)添加默认路由，目的是增加到internet的路由，\中输入\，\中输入ISP提供的网关，如果不明白，则可选择\也行--->\。 三、配置NAT地址转换

\选项卡--->\在\中选择\即源地址转换，

\中输入要转换的内网网络号，当然，如果想让所有地内网地址都可以转换则留空白--->\选择项中的\中选择\即对外伪装--->\。 到此为止，ROS的NAT转换功能基本实现，局域网用户可以通过配置LAN口所在网段IP及用LAN的IP作为网关上网了。

四、配置DHCP服务器

若ROS路由没有启用DHCP服务器，则在客户端必须给要上网的电脑配置IP和

网关以及运营商的dns.若启用则在客户端不必设置IP等。

（*）IP\\POOL 添加，name:Pool-DHCP IP段， 如：192.168.194.10-192.168.194.100 (*) IP\\DHCP Server

(#)DHCP\\点加号，Name:DHCP,Interface:lan leaseTime:3d Address Pool-DHCP Authoritative:yes

(#)Networks\\点加号，Address:192.168.194.0/24 Gateway:192.168.194.1 Netmask:24

DNS：221.3.131.12 221.3.131.11

ROS

教程（2）－－－配置PPPOE server服务器

通过以上教程(1)已经实现了局域网共享上网的目标，但这样的网络的弊端也是显而易见的，由于所有用户均在同一广播域内，首先是广播包太多，造成网络性能下降；其次用户之间的访问无法隔离，造成信息的不安全；第三是给系统留下安全隐患，当网中的一些PC感染了计算机病毒，将及有可能造成交叉感染；最后是网络管理及为不便，由于网段内的IP可由用户自己设定，造成IP管理混乱，同时无法控制用户上网行为。当然可以在软件路由系统中增加内网网卡来划分多网段，但投资将增加。

本教程提出利用虚拟拨号解决以上出现的一些问题，尤其是解决广播域内ARP病毒造成的危害，同时可控制用户的上网行为，如通过授权方式充许用户上网。 一、PPPOE server服务器配置

1、创建地址池，其用途是当用户拨号成功后将从地址池中获取一个IP地址。

在winbox中点击\在\中输入地址池名称，起的名尽量见名思意，\内输入一个地址范围，如:12.0.0.1-12.0.0.250--->\。 2、创建Profile(模板），其用途是当用户拨号通以后，将以模板的样式提供参数给用户，并对用户进行一些限定。

\选项卡--->\域中输入一个profile名，在\中输入一个IP地址（随意），\中选择第一步所创建的地址池名，在\中输入运营商的dns,其他还有一些选项根据需要配置--->\。

3、 创建pppoe server

\选项卡--->\中输入PPPOE server名称，\中选择LAN口，\中选择第二步所创建的profile--->\。 4、创建用户

\分别在\、\中输入帐号名和密码，\中选择\或\中选择第三步所创建的profile--->\。 二、配置radius 服务器（可选）

在pppoe server添加用户和管理用户是不方便的，而且功能弱小，我们完全可能选用第三方的AAA服务器，即Radius 服务器，下面介绍的是在ROS端如何配置，radius服务器端的配置在这就不介绍了。 1、添加radius

\在\中根据需要勾选\、\、\等选项--->在\中填radius 服务器IP地址（注意ROS一定能PING得能通），\中填公共秘匙--->\。 2、在PPP中启用radius

\点击\勾选\radiu\。

注意：在配置了pppoe server 以后，内网用户同样可以通过设置IP(教程1中提到)来连接internet，如何防止这种现象发生，方法很简单，就是删除掉LAN的IP就行了。

ROS教程（3)---静态NAT配置及应用

在教程（1）中已介绍了通过地址伪装技术(masquerade)实现动态网络地址转换，以达到LAN内主机通过配置TCP/IP参数连接internet网目的。一些企业，尤其是一些大中型企业，需要对外开放自己的企业服务器，如WEB、FTP、OA等应用服务器，若直接将这些服务器挂到公网上，不仅需要更多的合法IP，造成成本的增加，而且对服务器的安全保护也是极为不利，同时还造成企业内部用户访问造成“曲线回巢”效果。为了解决这么一个问题，可以将企业服务器安装在企业LAN内，在ROS中配置端口映射，企业对外公布的服务地址是ROS的WAN口地址（一个合法的IP地址或域名），当外部用户防问企业服务器时，ROS将该连接直接映射到企业LAN中的某一台主机即可正常访问，从而达到了一IP多用途、经济、安全和高效的网络服务。下面以企业内安装Web服务器为例介绍配置过程，其他服务器配置类似。

一、修改ROS占用的默认服务端口。

方法1：修改，在Winbox中选\双击\在\栏中将默认的80端口改为一个1024以后的端口号--->\。

方法2:禁用www,如果不需要ROS开放www服务，完全可以关闭该服务，在Winbox中选\选中\点击工具样上的\按钮。 二、建立端口映射。

1、在Winbox中选\选择\选项卡--->在\栏中选\即对包头的目标IP转换）--->在\栏中输入WAN口的IP地址(合法）--->在\栏中选\在\栏中输入\。

2、在以上窗口中选\选项卡--->在\栏中选\在\栏中输入企业LAN内的Web服务器的IP地址（私有IP)--->在\栏中输入企业Web服务器所用的端口号，如80。 3、\到此为止，端口映射完成。

ROS教程（4）---VLAN配置及应用

在教程(1)中介绍了通过动态NAT的配置，实现了LAN内用户连接internet网。当一个LAN内的用户数量较少时，该方法是可行的。一旦用户量很大时，如大中型企业用户群或一个大的网吧，LAN内的广播包将以数量级的形式上升，造成网络性能急速下降！这是由于整个LAN就是一个广播域，一个很大的广播域，它的缺点是显而易见的，为了提高网络性能，有必要将一个大的广播域划分为多个较小的广播域，有必要在LAN内引入二层交换机，通过VLAN技术分割广播域。这是引入VLAN原因之一，其二，有些企业为了管理需要，允许一部分员工上班时间可以访问外部网络（如internet)，而另一部分员工不能访问外部网络，通过VLAN技术就很容易实现了。

划分VLAN后，如何实现各VLAN与ROS间的通信是这个教程要重点讨论的一个问题，总体来说有两种方法可以实现以上目的： 方法1： 思路：

在内网中引入三层交换机，然后在三层交换机上创建VLAN,分别给各VLAN的三层虚端口设置IP(注意，其中要有一个VLAN的三层端口IP与ROS的LAN口IP在同一网段，并且由该VLAN的一个成员端口连线到ROS的LAN口）。在三层交换机上启用路由功能，配置默认路由指向ROS的 LAN口（即下一跳IP为ROS的LAN口IP)，最后在ROS中设置回程路由分别回指到各个VLAN（注意下一跳地址指向与ROS LAN口连接的VLAN的三层端口IP)。方法1的优点是原理简单，但用户数据包要出到ROS外部需要两次路由（分别在三层交换机和ROS中各进行一次），造成数据延迟较大。 方法2：

思路：在内网中使用二层交换机（或三层交换机不启用三层功能），将二层VLAN通过trunk端口透传到ROS的LAN口，在ROS的LAN口上创建多个VLAN，在ROS中给各个VLAN端口分配三层端口IP，最终各VLAN用户的数据包只是在ROS中路由一次就可以出到ROS外部。

以上两种方法相比之下，方法2优势明显，一个是延迟的问题，第二是在方法1中我们无法建立PPPOE拨号方式控制用户上网，而第二种方法可以在每个VLAN中创建pppoe拨号服务。下面就介绍方法2。

一、交换机上的配置（以思科交换机为例）。 1、创建VLAN(以创建VLAN 10 VLAN 20为例） switch#config terminal 进入全局配置模式 switch(config)#vlan 10 创建vlan 10

switch(config-vlan)#name office 给vlan 10 起名为office switch(config-vlan)#exit 返回全局配置模式 switch(config)#vlan 20 创建vlan 20

switch(config-vlan)#name home 给vlan 20 起名为home switch(config-vlan)#exit 返回全局配置模式

2、将端口加入相应vlan中（本例中将f0/1～f0/10加入vlan 10,f0/11～f0/20加入，f0/21～f0/24保留vlan 1中)

switch(config)#interface range f0/1 - f0/10 进入端口1至10

switch(config-if-range)#switchport access vlan 10 将以上端口加入vlan 10 switch(config-if-range)#exit 返回全局配置模式

switch(config)#interface range f0/11 - f0/20 进入端口11至20 switch(config-if-range)#switchport access vlan 20 将以上端口加入vlan 20 switch(config-if-range)#exit 返回全局配置模式

3、将某一端口连接到ROS的LAN口，并将该端口的链路类型改为trunk（以f0/24为例）

switch(config)#interface f0/24

switch(config-if)#switchport trunk encapsulation dot1q (三层交换机需要这条命令，二层不需要） 封装dot1q协议

switch(config-if)#switchport mode trunk 到此交换机配置完成。 二、ROS上的配置。 1、在lan口上创建vlan。

(1)在winbox中选\栏中输入\栏中输入 \。 (2)同样方法创建vlan 20 2、给VLAN三层虚端口配置IP。

(1)在winbox中选\栏中输入IP地址及子网掩码位--->在\栏中选刚才所创建的VLAN即可。 （2）VLAN 20方法同上。

本文来源：https://www.bwwdw.com/article/fgxt.html