mikrotik_routerOS基础教程

1、刻录好相应版本的RouterOS安装光碟;机器硬盘设置为IDE0,即第一个IDE通道的主盘;BIOS中设置光盘引导系统,自动进入到如下安装界面:System:主要是包的基本服务和驱动程序;Ppp:提供PPP,PPTP,L2TP,PPPoE和ISDN PPPDhcp:DHCP 客户端和服务器advanced-tools:邮件客户端,pingers,netwatch和其他的工具Gps:支持GPS装置Hotspot:允许给无线客户或非安全客户提供公共网络访问Routerboard:支持路由主板的一些函数和工具Routing:支持RIP,OSPF和BGP4协议Security:支持IPSEC,SSH和

2、安全的WinBox连接user-manager:用户管理服务web-proxy:HTTP web代理支持Wireless:提供支持Cisco的Aironet卡， prismii和Atheros的无线站和接入点 安装步骤:使用方向键和空格键选择需要的模组功能,按空格键进行选定,按“a”键全部选择,“m”键选择最小选择.按“i”键确定安装；接着询问： Do you want to keep old configuraton?（你需要保留旧的结构）选择“n”，Coutinue？选择“y”；然后开始自动的格式化磁盘、安装核心、安装模组，最后提示：Press ENTER to Reboot，按回车重新启

3、动机器。 RouterOSRouterOS基本设置基本设置 重新启动后开始登陆。初始用户名admin，初始密码为空。 一个基本的单线路由配置过程如下： 第一步：查看网卡信息 第二步：配置IP地址； 第三步：配置网关地址，检查是否到外网默认网关正常； 第四步：配置当地dns； 第五步：配置NAT伪装，实现共享上网。第一步：查看网卡信息进入菜单：interfaceadminMikroTik /interface printFlags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU0 R ether1

4、ether 1500 1 R ether2 ether 1500 从print命令显示的信息来看，两张网卡都已被ROS正常识别出来，如果显示的“X”，则表明网卡是禁用状态,如网卡ether1前面显示“X”，则可以使用enable ether1enable ether1命令启用命令启用. .如如: :adminMikroTik /interface printFlags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU0 X ether1 ether 1500 1 R ether2 ether 150

5、0 网卡“ether1”处于禁用状态,可通过enable ether1enable ether1命令启用命令启用 adminMikroTik /interface enable ether1enable ether1设定“ether1”为外网网卡命名为wan，“ether2”为内网网卡命名lanadminMikroTik /interface set ether1 name=wanset ether1 name=wan adminMikroTik /interface set ether2 name=set ether2 name=lanlanadminMikroTik /interface

6、printFlags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU0 R wan ether 1500 1 R lan ether 1500 第二步：配置IP地址 1）如果是具备固定外网IP地址时：假定外网IP地址为/28/28，网关是，内网为/24接上面：adminMikroTik /interface / /ipip address address adminMikroTik /ip add

7、ress add address=/28 add address=/28 interface=waninterface=wanadminMikroTik /ip address add address=/24 add address=/24 interface=interface=lanlanadminMikroTik /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTER

8、FACE 0 /28 5 wan 1 /24 55 lan 2）ADSL拨号共享上网:假定ADSL的用户名：111和密码：111，内网：/24adminMikroTik /interface pppoepppoe-client-client adminMikroTik /interface pppoe-client add user=111 add user=111 password=111 interface=wan add-default-

9、route=yes password=111 interface=wan add-default-route=yes adminMikroTik /interface pppoe-client printFlags: X - disabled, R - running 0 X name=pppoe-out1 max-mtu=1480 max-mru=1480 mrru=disabled interface=wan user=111 password=111 profile=default service-name= ac-name= add-default-route=yes dial-on-

10、demand=no use-peer-dns=no allow=pap,chap,mschap1,mschap2 接着设置adsl的内网:adminMikroTik /interface pppoe-client / /ipip address addressadminMikroTik /ip address add address=/24 add address=/24 interface=interface=lanlanadminMikroTik /ip address printFlags: X - disabled, I - invalid,

11、 D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 /24 55 lan第三步：配置网关1）固定IP： adminMikroTik /ip address / /ipip route route adminMikroTik /ip route add gateway=add gateway= adminMikroTik /ip route print Flags: X - disabled, A - active, D - dynam

12、ic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P prohibit # DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN. 0 A S /0 r 1 wan 1 ADC /28 0 wan 2 ADC /24 0 lan2）如果是ADSL，不需要配置，因为在上面配置IP地址是，选择参数：ad

13、d-default-add-default-route=yesroute=yes第四步：配置DNSadminMikroTik /ip route / /ipip dnsdnsadminMikroTik /ip dnsset primary-set primary-dnsdns= = secondary-dns= allow-= allow-remote-requests=yesremote-requests=yesadminMikroTik /ip dnsprint primary-dns: secondary-dns:

14、 allow-remote-requests: yes max-udp-packet-size: 512 cache-size: 2048KiB cache-max-ttl: 1w cache-used: 5KiB参数allow-remote-requests=yesallow-remote-requests=yes，意思是本地路由启用DNS功能，即：在内网机器上，配置DNS时可以直接使用网关地址作DNS服务器第五步：IP伪装，共享上网（NAT）adminMikroTik /ip dns / /ipip firewall firewall natnat adminMikroTik

15、 /ip firewall nat add chain=add chain=srcnatsrcnat action=masquerade action=masqueradeadminMikroTik /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade 以上五步即可完成利用ROS实现内网多台机器共享上网的功能。上面的全部操作都可以通过winbox中的“new terminal”直接进行粘贴操作使用，也可以完全通过winbox中的相关功能模块操作来

16、实现。WinboxWinbox基本操作基本操作Winbox中一些基本名词解释：src-addresssrc-address：源地址（发送数据的：源地址（发送数据的ipip地址）地址）dst-addressdst-address：目标地址（接收数据的：目标地址（接收数据的ipip地址）地址）InputInput：进入路由器，是指发往进入路由器，是指发往routerosrouteros自己的数据（也就是目的自己的数据（也就是目的ipip是是routerosrouteros接口中的接口中的一个一个ipip地址）地址）output: output: 从路由器出发，是指从从路由器出发，是指从router

17、osrouteros发出去的数据（也就是数据包源发出去的数据（也就是数据包源ipip是是routerosrouteros接接口中的一个口中的一个ipip地址）地址）forward: forward: 经路由转发中经路由转发中 是指通过是指通过routerosrouteros转发的（比如你内部计算机访问外部网络，数转发的（比如你内部计算机访问外部网络，数据需要通过你的据需要通过你的routerosrouteros，进行转发出去，进行转发出去 SrcnatSrcnat与与dstnatdstnat：srcnatsrcnat（源地址转换）用的最多就是共享上网功能；（源地址转换）用的最多就是共享上网功能

18、；dstnatdstnat（目标地址（目标地址转换）意思就是针对内网有对外公布的服务器，就是常用的端口地址映射。转换）意思就是针对内网有对外公布的服务器，就是常用的端口地址映射。in-interface:in-interface:进入的网卡进入的网卡; out-interface:; out-interface:出去的网卡出去的网卡RxRx与与Tx:RX (receive)Tx:RX (receive)接收接收,TX(transmit),TX(transmit)传送传送, ,在在RouterOSRouterOS中中, ,我们查看我们查看WANWAN网卡的流量时网卡的流量时 RXRX为下行流量、

19、为下行流量、TXTX为上行流量、查看为上行流量、查看LANLAN网卡的流量时，网卡的流量时，RXRX为上行流量、为上行流量、TXTX为下行流量为下行流量；以；以ROSROS为中心，为中心，WANWAN网卡接收的流量，即从网卡接收的流量，即从ISPISP进来的流量，则为下行以进来的流量，则为下行以ROSROS为中心，为中心，LANLAN网卡接收的流量，即从工作站进来的流量，则为上行。网卡接收的流量，即从工作站进来的流量，则为上行。TXTX同理。同理。Winbox控制台操作建议：MikroTik RouterOS 内能通过远程配置各种参数,在这里我们将着重介绍怎样使用WinBox:注:在Winbo

20、x 中嵌入了通过MAC 地址连接路由器的功能，并内置了探测工具.这样可以在刚安装好未配置ip或复位了路由器后，同样可以通过MAC 登陆到RouterOS 上，进行图形界面操作。Winbox 控制台是用于MikroTik RouterOS 的管理和配置，使用图形管理接口(GUI),通过连接到MikroTik 路由器的HTTP（TCP 80 端口）欢迎界面下载Winbox.exe 可执行文件，下载并保存在你的Windows 中，之后直接在你Windows 电脑上运行Winbox.exe 文件.Winbox相关功能键介绍:搜索和显示MNDP (MikroTik Neighbor Discovery

21、Protocol) 或CDP(Cisco DiscoveryProtocol) 设备。可以通过该功能键搜索同一子网内MikroTik 和Cisco 设备。并能通过MAC 地址登陆到MikroTik RouterOS 进行操作。通过指定的IP 地址（默认端口为80，不许特别指定，如果你修改了端口需要对具体访问端口做自定）或MAC 地址（如果路由器在同一子网内）登陆路由器。保存当前连接列表（当需要运行它们时，只需双击）删除从列表中选择的项目删除所有列表中的项目，清除在本地的缓存，从wbx 文件导入地址或导出为wbx 文件Secure Mode（安全模式）提供保密并在winbox 和RouterOS

22、 之间使用TLS（Transport Layer Security）协议Keep Password（保存密码）保存密码到本地磁盘的文本文件中Winbox 控制台使用TCP/8291 端口，在登陆到路由器后可以通过Winbox 控制台操作MikroTik 路由器的配置并执行与本地控制台同样的任务。Winbox 常用管理:单线配置实例:例如下面的拓扑结构，你需要通过RouterOS 完成以下的网络配置：在当前的事例中我们使用到两个网络（外网和内网）： 内网使用地址为： 子网淹码24-bit（）。路由器的地址在这个网络中为54 I

23、SP 的网络为 子网淹码24-bit（）。路由器的地址是在网络中为17 外网 DNS 为9，6我们的步骤一共分为五步: 首先：启动设备后，检查interface 接口网口连接是否正常，并定义网口名称 第二：将对应网口的IP 地址配置好 第三：配置网关路由 第四：配置nat 地址转换规则 第五：配置DNS 服务器第一步：网络接口配置在/interfaces 列表中修改ether1 为ether1-wan，定义为外网接口；修改ether2 为ether2-lan 定义为内网接口，如图：同样将 eth

24、er2 修改为ether2-lan，指定内网接口：第二步：添加IP 地址在/ip address 中添加IP 地址和选择网卡接口，添加内网和外围的IP 地址如图：第三步：添加默认网关在/ip routes 里添加默认网关，开启check-gateway=ping（网关ping 监测）如图：第四步，NAT 地址转换: 在/ip firewall nat 里点击“+”添加伪装规则： 在 NAT 里添加新的规则，在chain 里选择srcnat 链表 在选择 action 里的action=masquerade 规则：第五步，DNS 配置在/ip dns 的settings 中添加多

25、个DNS服务器地址，根据需要启用DNS缓存（allow remote requests）： 到此，上述的单线上网事例就已经配置完成！ 端口映射 这里我们需要将内网的http 服务器发布到外网，内网的http 服务器IP 地8这里需要做端口映射规则，进入ip firewall nat 里，选择chain=dstnat，我们的外网IP 地址是17 配置到dst-address，dst-port 为tcp 协议80 端口，如下图:在 action 选择dst-nat 操作，to-address 设置内网http 服务器IP 地址，和端口80Arp地址绑定: 打开w

26、inbox,定位到ip-arp,如图:打开arp list 列表,地址前面出现“D”的就是动态的，按ctrl+a选择全部的地址列表;右键列表选择Make Statik，如图： 上面操作后如图，地址前面动态显示字母“D”消失RouterOSRouterOS限速功能与限速单位详解限速功能与限速单位详解: :批量动态限速脚本示例批量动态限速脚本示例: :for ip from 1 to 253 do=/queue simple add name=(No. . $ip . #“) target-address=(192.168.0. . $ip :for ip from 1 to 253 do=/qu

27、eue simple add name=(No. . $ip . #“) target-address=(192.168.0. . $ip . /32) max-limit=160000/3200000 burst-limit=3200000/6400000 burst-threshold=800000/1600000 burst-. /32) max-limit=160000/3200000 burst-limit=3200000/6400000 burst-threshold=800000/1600000 burst-time=30/30 total-queue=default time=8h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no time=30/30 total-queue=default time=8h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no # 路由内的限速单位是Kbitp/s(千比特位/秒)/8=Windows下的存储单位KByte(千字节/秒)# K代表的是个数量