ROS软路由培训范本

1、本期内容容包括ROS路由器器的基础础配置，主主要内容容包括：IP地址址配置；路由配置置；NAT配配置；防火墙策策略的配配置；设置上网网策略ROS限限速ROS IPssecVVPN设置一、配置置地址1.刚刚刚安装好好之后使使用终端端操作，输输入用户户名admmin，密码码为空登登陆路由由器。2.使用用如下命命令为我我们的内内网接口口配置一一个IP地址，ROS默认的的接口名名称是eetheer1、ethher22如果分不不清楚的的情况下下，我们们就先给给一个接口口一个接接口的试试一下。3.配置置好接口口之后，使用winbox来连接ROS路由器，地址为192.168.56.1，用户名为admin，密

2、码默认为“空”。4.修改改内外网网接口的的名称，以便便我们日日后区分分5.修改改外网口IP：静态IPP：在IPadddresss中点击击加号，然后后输入IP地址（带带子网掩掩码）和和接口，点点击OK添加成成功。DHCPP自动获取取：在IPDHCCP CClieent中点击“+”号，然后后选择外外网接口口，点击确确定，然然后ROS就会自自动获取取IP地址，简简单吧！PPPOOE宽带带拨号：点击PPPP，然后后点击加加号，再再出现的的菜单中中选择PPPPOE Cliientt；随便起一一个名字字（无所所谓），然后修修改“Maxx MTTU”值，将原原来的114800改为14992，然后选选择外网网

3、接口点点击确定定，在“Diaal OOut”一栏里里面输入入用户名名密码，之后路由器就会自动拨号然后我们们看见在在有一条条ppppoe拨号的的记录，状状态为R，表示示可用查看路由由表，有有一条自自动生成成的默认认路由二、路由由（静态态地址需需要配置置）打开IPPadddreess中中我们发发现已经经有一条条路由了了，标记记为DAC，表示示是动态态学习到到的；这这是一条条到达内内网直连连路由，我我们点击击加号，然然后输入入目的地地址0.00.0.0/00和网关1922.1668.118.11，点击击确定即即可！三、NAAT多对对一上网网因为我们们是多对对一的上上网环境境，我们们需要配配置NAT使

4、得众众多客户户端共享享上网点击IPPfirrewaall，选择择第二项项NAT，点击击加号，新新增一条条NAT的策略略，在“Genneraal”Chain选项选选择srccnatt，这个个选项表表示我们们是源NAT，也就就是从内内网到外外网的地地址转换换；接着我们们点开Acttionn选项，将将“Acttionn”一项选选择massqueeradde，这一一项表示示我们被被转换成成的地址址就是我我们外网网口的接接口地址址（外网网地址唯唯一）显示情况况下，如如果我们们有多个个外网地地址（比比如电信信给了我我们两个个地址），那那么我们们可以指指定被转转换成的的地址，做法就是是在Actioon选项中

5、中选择srcc-naat，这也也是表示示源路由由，只是是我们需需要在下下面指定定要被转转换的地地址四、防火火墙策略略默认情况况下，ROS里面防防火墙策策略是空空的，是是允许所所有用户户上网的的，下面面我们细细化用户户的上网网权限：允许部分分用户上上外网首先我们们打开IPfirrewaall，选择择第6项“Adddresss LListts”，在这这里我们们新建一一个组，点点击加号号，用户户组的名名字就是是“可以上上网”，在地地址栏中中我们添添加可以以上网的的用户的的IP地址（可可以添加加多个地地址和地地址段，只只需要保保证组名名字相同同即可）添加完之之后我们们转到“fillterr ruule

6、”点击加加号添加加一条防防火墙规规则；步骤一：按如下下图操作作，需要要说明的的是我们们需要将将“connnecctioon sstatta“选择为”esttabllishhed“，这个个表示允允许TCP连接状状态为”已连接接的“所有数数据包通通过（如如果少了了这一步步，将会会导致所所有的用用户上不不了网）步骤二，添添加允许许上网的的策略，步步骤如下下完成以上上两个步步骤之后后，所有有用户还还是可以以上网的的，因为为ROS默认的的是允许许所有用用户上网网的，所所有我们们还需要要新建一一条拒绝绝所有用用户的策策略；步骤三：拒绝所所有用户户，五、设置置上网策策略该功能需需要完成成的步骤骤：设置可访访

7、问的地地址；新建防火火墙策略略；步骤一：在IPFiirewwalllAdddreess Lissts里里面，点点击新增增步骤二：在新增窗窗口填写写分组名名称（如如果已经经存在点点击向下下的箭头头选择对对应的分组），在在“adddresss”部分，填填写对应应的IP地址；然后点击“OK”按钮完成成操作；步骤三：有的时候候我们需需要备注注一下名名称（百度、汽汽车之家家等等），可以按照图中的步骤，先选中一条记录，然后点击黄色按钮，在弹出的对话框中填写名称，最后点击“OK”按钮即可。步骤四：依次点击“Fillterr Ruuless”点点击“+”号，新增增一条策策略。步骤五：点击“Genneraal”

8、Chaiin：选择forrwarrd；In IInteerfaace：选择择内网接口口（LAAN）；Out Intterffacee：选择择外网接接口（WWAN）；步骤六：点击“Advvancced”,Dst. Adddreess Lisst：选选择我们们之前新建建好的组组（允许许访问的的网址）；步骤七：点击“Acttionn”选项Actiion：选择accceptt，表示示允许数数据通过过；最后点击击“OK”按钮，完完整策略略的配置置；步骤八：调整策略略的位置置默认情况况下，新新增的策策略是在在策略列列表的最最后一条条，我们们需要通通过鼠标标点击拖拖动的方方式调整整策略的的顺序，我我们的原原

9、则是在在“拒绝所所有”这条策策略之上上就好了了。默认情况况下面，新建好的策略是没有名字的（如“允许访问指定的网址”），如果想起个名字，只要点击黄色的按钮添加名字就好了。六、ROOS限速该功能需需要完成成的步骤骤：标记流量量；新建限速速模型；新建限速速策略；步骤一：打开“IP”“Firrewaall”“Mannglee”，点击新增增按钮；步骤二：标记HTTTP流量,点击“Genneraal”选项（网网页的流流量主要要是在服服务器返返回数据据时候产产生，我我们就是是要标记记这部分分流量）Chaiin：选择preerouutinng；Prottocool：选择tcp协议；Src. Poort：选择8

10、0端口；In. Intterffacee：选择外外网接口口；步骤三：点解“Acttionn”选项Actiion：选择择marrk_ppackket;New Pacckett Maark：填写一一个标记记的名字字（组名字），这里写写的是dowwn_wweb;点击“OOK”按钮完成成流量的的标记根据需要要可以自自己新建建多个标标记：新新建完成成之后如如下：需要说明明的是，网网站标准准端口是是，80，有时候候也可能能是80080、80881、81等，这需需要根据据实际情情况新建建标记策策略；步骤四：新建策略略模板：依次点开“Queeuess”“Queeue Typpe”点击击加号新新增；步骤五：新建

11、下下载的策策略模板板：Typpe NNamee：给策略略模板起起一个名名字：dowwn，表示示下载；Kindd：选择模模板的类类型：ppcq；Ratte：填写写限速大大小：22M，2M就是表表示下载载每用户户限速是是2M；Limiit：填写写线程会会话限制制：50，表示每每用户最最多只能能有50个会话话；Totaal LLimiit：填写写最大会会话数：20000；Classsiffierr：选择Dstt. AAddrresss;点击“OOK”完成，同理新建建上传的的策略模模板：步骤六：新增限速速策略：ROS的的限速使使用的典典型的管管道模型型，即大管子子在最外面面，里面面有小管管子，每每个小

12、管管子都代代表一个个策略，都会有有一个流流量的上上限和下下限，多多有小管管子的流流量下限限值的和和不能超超过大管管子的最最大流量量值，但但是小管管子的流流量上限限和可以超超过大管管子的最最大流量量和，超超过的部部分将会会平分流流量。打开“QQueuue TTreee”选项，点点击加号号新增；步骤七：新增下载载的父策略（大大管子）Namee：给策略起起一个名名字，这这边是dowwn，表示示下载的父策略；Pareent：选择glooball-inn；Queuue TTypee：选择dowwn，这个dowwn就是我我们在上上一个步步骤里面面新建好好的策略略模型（每人2M）；Max Limmit：填写

13、写最大带带宽，看申请请的带宽宽而定，一一般是110M，也有20M的宽带带；步骤八：新增上上传的父父策略（大大管子）参数按下下图设置置，根据据实际情情况调整整；步骤九：新增下下载的子子策略（小管子）Namee：自己己起一个个名字；Pareent：选择我们们新建好好的父策略（dowwn），表示是是子策略略，并指指定父策略；Parkket Marrks：选择我们们新建好的标记记策略：dowwn_wweb;Queuue TTypee：选择择我们新新建好的的限速模板板，dowwn；Limiit AAt：填写写流量下下限，44M；Max Limmit：填写流量量上限，10M；点击“OOK”就好了了新建好的

14、的策略如如下：我我们能够够很明显显的看出出策略的的父子关关系；七、ROOS的VPN设置配置要点点：配置IPPsec第一阶阶段协商商；配置IPPsecc第二阶阶段协商商；配置NAAT设置；ROS特有；步骤一：依次打开IPIpeescPeeer点击击加号；步骤二：新建IPPsec第一阶阶段参数数：Addrresss：填写对端端的IP地址：这边填填写的是是总部的的IP地址；Portt：默认认Authh. MMethhod：选择“pree shhareed kkey”，表示与与共享密密码方式式协商认认证；Exchhangge MModee：选择“agggresssivve“，表示示野蛮模模式；勾选”S

15、Sendd Innitiial Conntacct“和”NATT Trraveersaal“；Propposaal CChecck：默认认就好了了；Hashh Allgorrithhm：选择md55；验证证数据的的完整性性；Encrrypttionn Allgorrithhm：选择3dess；完成成数据的的加密；DH GGrouup：选择moddp10024，这参数数相当于于其他防防火墙里里面的”grooup 2“；其他参数数默认不不变；点点击OK完成；步骤三：创建IPssec第第二阶段段协商的的参数：点击Prropoosalls，点击新新增；按下去所所示，分分别起一一个名字字。并勾勾选MDD

16、5、3dess和moddp10024参数；步骤四：点击Poolicciess选项，点击新新增，在在弹出来来的对话话框中点点击”Genneraal“Src.Adddresss：填写本本地网段段；Dst. Adddreess：填写对对端的网网段；Prottocool：选择择所有；然后点击击acttionn选项：Actiion：选择enccryppt，表示IPeesc加密；Leveel：默认认，选择择reqquirre；Ipseec PProttocools：选择esp；勾选”TTunnnel“；SA SSrc. Adddreess：本段的的公网地地址；SA DDst. Adddreess：对端的的

17、公网地地址；Propposaal：选择择我们上上一步骤骤新建的IPssec第第二阶段段协商的的参数：“标致“；点击”OOK“就好了；到此对于于一般的的防火墙墙就可以以了，但但是ROS里面还还要增加加两个操操作；步骤五：继续新建建一个Polliciies，参参数如下图需要注意意的是在在acttionn选项中中，acttionn选择的是”nonne“；表示所所有访问问本地网网段流量量都不进进行IPPsecc加密；这样做做的目的的是，在在实际操操作中，ROS会将总总部访问问本地网段段（东标标）的流量进进行IPssec加密，但是我我们需要要的是进进行IPssec解密，所所以会出出现问题题，加上上以下策

18、略略之后，对对于总部部访问分分部的流量不错错第二次次加密，而而是正常常的解密密操作；步骤六：设置NAAT在ROSS的运行行流程中中，NATT操作时比比较优先先的，但但是我们们需要的的是，对对于IPssec的流量量是不需需要NAT操作的的。依次点开开IPfiirewwalllNAT选项，点点击新增增：Chaain：选择srccnatt；Srcc. AAddrresss：1922.1668.226.00/244这个填写写的是本本地网段段；Dstt. AAddrresss：1922.1668.00.0/16这个填写写的是对对端的网网段；Acttionn：选择择accceptt；表示示不进行行任何操操作，不不进行NAT；【重点】设置好了了之后将将这条策策略放在在第一个个（使用用鼠标点点击拖拽拽的方式式）八、IPP-MAAC绑定配置步骤骤：IP和MMAC地址绑定定关闭arrp步骤一：IP和MAC地址绑定定依次打开开IPARPP Liist，正常情情况下，你你会看见见内网中中所有已已经接入到网网络中的的设备（IP地址址和对应的MAC地址），并且离离能看到到每条记记录之前前都有一一个“D”开头的标志，这这表示这这个ARP信息是是动态学学习到的的。然后选中中记录（也可以使用shift或者是ctrl键进行多选），右击点击“Make Static”，将当