ROS软路由培训(一)

1、 可修改 欢迎下载 精品 Word 可修改 欢迎下载 精品 Word 可修改 欢迎下载 精品 Word本期内容包括ROS路由器的根底配置，主要内容包括：IP地址配置；路由配置；NAT配置；防火墙策略的配置；设置上网策略ROS限速ROS IPsecVPN设置一、配置地址1.刚刚安装好之后使用终端操作，输入用户名admin，密码为空登陆路由器。2.使用如下命令为我们的内网接口配置一个IP地址，ROS默认的接口名称是ether1、ether2如果分不清楚的情况下，我们就先给一个接口一个接口的试一下。3.配置好接口之后，使用winbox来连接ROS路由器，地址为，用户名为admin，密码默认为“空。4

2、.修改内外网接口的名称，以便我们日后区分5.修改外网口IP：静态IP：在IPaddress中点击加号，然后输入IP地址带子网掩码和接口，点击OK添加成功。DHCP自动获取：在IPDHCP Client中点击“+号，然后选择外网接口，点击确定，然后ROS就会自动获取IP地址，简单吧！PPPOE宽带拨号：点击PPP，然后点击加号，再出现的菜单中选择PPPOE Client；随便起一个名字无所谓，然后修改“Max MTU值，将原来的1480改为1492，然后选择外网接口点击确定，在“Dial Out一栏里面输入用户名密码，之后路由器就会自动拨号然后我们看见在有一条pppoe拨号的记录，状态为R，表示

3、可用查看路由表，有一条自动生成的默认路由二、路由静态地址需要配置翻开IPaddress中我们发现已经有一条路由了，标记为DAC，表示是动态学习到的；这是一条到达内网直连路由，我们点击加号，然后输入目的地址和网关，点击确定即可！三、NAT多对一上网因为我们是多对一的上网环境，我们需要配置NAT使得众多客户端共享上网点击IPfirewall，选择第二项NAT，点击加号，新增一条NAT的策略，在“GeneralChain选项选择srcnat，这个选项表示我们是源NAT，也就是从内网到外网的地址转换；接着我们点开Action选项，将“Action一项选择masquerade，这一项表示我们被转换成的地

4、址就是我们外网口的接口地址外网地址唯一显示情况下，如果我们有多个外网地址比方电信给了我们两个地址，那么我们可以指定被转换成的地址，做法就是在Action选项中选择src-nat，这也是表示源路由，只是我们需要在下面指定要被转换的地址四、防火墙策略默认情况下，ROS里面防火墙策略是空的，是允许所有用户上网的，下面我们细化用户的上网权限：允许局部用户上外网首先我们翻开IPfirewall，选择第6项“Address Lists，在这里我们新建一个组，点击加号，用户组的名字就是“可以上网，在地址栏中我们添加可以上网的用户的IP地址可以添加多个地址和地址段，只需要保证组名字相同即可添加完之后我们转到“

5、filter rule点击加号添加一条防火墙规那么；步骤一：按如以以下图操作，需要说明的是我们需要将“connection stata“选择为established“，这个表示允许TCP连接状态为已连接的“所有数据包通过如果少了这一步，将会导致所有的用户上不了网步骤二，添加允许上网的策略，步骤如下完成以上两个步骤之后，所有用户还是可以上网的，因为ROS默认的是允许所有用户上网的，所有我们还需要新建一条拒绝所有用户的策略；步骤三：拒绝所有用户，五、设置上网策略该功能需要完成的步骤：设置可访问的地址；新建防火墙策略；步骤一：在IPFirewallAddress Lists里面，点击新增步骤二：在新

6、增窗口填写分组名称如果已经存在点击向下的箭头选择对应的分组，在“address局部，填写对应的IP地址；然后点击“OK按钮完成操作；步骤三：有的时候我们需要备注一下名称百度、汽车之家等等，可以按照图中的步骤，先选中一条记录，然后点击黄色按钮，在弹出的对话框中填写名称，最后点击“OK按钮即可。步骤四：依次点击“Filter Rules?点击“+号，新增一条策略。步骤五：点击“GeneralChain：选择forward；In Interface：选择内网接口LAN；Out Interface：选择外网接口WAN；步骤六：点击“Advanced,Dst. Address List：选择我们之前新建

7、好的组允许访问的网址；步骤七：点击“Action选项Action：选择accept，表示允许数据通过；最后点击“OK按钮，完整策略的配置；步骤八：调整策略的位置默认情况下，新增的策略是在策略列表的最后一条，我们需要通过鼠标点击拖动的方式调整策略的顺序，我们的原那么是在“拒绝所有这条策略之上就好了。默认情况下面，新建好的策略是没有名字的如“允许访问指定的网址，如果想起个名字，只要点击黄色的按钮添加名字就好了。六、ROS限速该功能需要完成的步骤：标记流量；新建限速模型；新建限速策略；步骤一：翻开“IP?“Firewall?“Mangle，点击新增按钮；步骤二：标记 流量,点击“General选项网

8、页的流量主要是在效劳器返回数据时候产生，我们就是要标记这局部流量Chain：选择prerouting；Protocol：选择tcp协议；Src. Port：选择80端口；In. Interface：选择外网接口；步骤三：点解“Action选项Action：选择mark_packet;New Packet Mark：填写一个标记的名字组名字，这里写的是down_web;点击“OK按钮完成流量的标记根据需要可以自己新建多个标记：新建完成之后如下：需要说明的是，网站标准端口是，80，有时候也可能是8080、8081、81等，这需要根据实际情况新建标记策略；步骤四：新建策略模板：依次点开“Queues

9、?“Queue Type?点击加号新增；步骤五：新建下载的策略模板：Type Name：给策略模板起一个名字：down，表示下载；Kind：选择模板的类型：pcq；Rate：填写限速大小：2M，2M就是表示下载每用户限速是2M；Limit：填写线程会话限制：50，表示每用户最多只能有50个会话；Total Limit：填写最大会话数：2000；Classifier：选择Dst. Address;点击“OK完成，同理新建上传的策略模板：步骤六：新增限速策略：ROS的限速使用的典型的管道模型，即大管子在最外面，里面有小管子，每个小管子都代表一个策略，都会有一个流量的上限和下限，多有小管子的流量下限

10、值的和不能超过大管子的最大流量值，但是小管子的流量上限和可以超过大管子的最大流量和，超过的局部将会平分流量。翻开“Queue Tree选项，点击加号新增；步骤七：新增下载的父策略大管子Name：给策略起一个名字，这边是down，表示下载的父策略；Parent：选择global-in；Queue Type：选择down，这个down就是我们在上一个步骤里面新建好的策略模型每人2M；Max Limit：填写最大带宽，看申请的带宽而定，一般是10M，也有20M的宽带；步骤八：新增上传的父策略大管子参数按以以下图设置，根据实际情况调整；步骤九：新增下载的子策略小管子Name：自己起一个名字；Paren

11、t：选择我们新建好的父策略down，表示是子策略，并指定父策略；Parket Marks：选择我们新建好的标记策略：down_web;Queue Type：选择我们新建好的限速模板，down；Limit At：填写流量下限，4M；Max Limit：填写流量上限，10M；点击“OK就好了新建好的策略如下：我们能够很明显的看出策略的父子关系；七、ROS的VPN设置配置要点：配置IPsec第一阶段协商；配置IPsec第二阶段协商；配置NAT设置；ROS特有；步骤一：依次翻开IP?Ipesc?Peer?点击加号；步骤二：新建IPsec第一阶段参数：Address：填写对端的IP地址：这边填写的是总部

12、的IP地址；Port：默认Auth. Method：选择“pre shared key，表示与共享密码方式协商认证；Exchange Mode：选择“aggressive“，表示野蛮模式；勾选Send Initial Contact“和NAT Traversal“；Proposal Check：默认就好了；Hash Algorithm：选择md5；验证数据的完整性；Encryption Algorithm：选择3des；完成数据的加密；DH Group：选择modp1024，这参数相当于其他防火墙里面的group 2“；其他参数默认不变；点击OK完成；步骤三：创立IPsec第二阶段协商的参数：

13、点击Proposals，点击新增；按下去所示，分别起一个名字。并勾选MD5、3des和modp1024参数；步骤四：点击Policies选项，点击新增，在弹出来的对话框中点击General“Src. Address：填写本地网段；Dst. Address：填写对端的网段；Protocol：选择所有；然后点击action选项：Action：选择encrypt，表示IPesc加密；Level：默认，选择require；Ipsec Protocols：选择esp；勾选Tunnel“；SA Src. Address：本段的公网地址；SA Dst. Address：对端的公网地址；Proposal：选择

14、我们上一步骤新建的IPsec第二阶段协商的参数：“标致“；点击OK“就好了；到此对于一般的防火墙就可以了，但是ROS里面还要增加两个操作；步骤五：继续新建一个Policies，参数如以以下图需要注意的是在action选项中，action选择的是none“；表示所有访问本地网段流量都不进行IPsec加密；这样做的目的是，在实际操作中，ROS会将总部访问本地网段东标的流量进行IPsec加密，但是我们需要的是进行IPsec解密，所以会出现问题，加上以下策略之后，对于总部访问分部的流量不错第二次加密，而是正常的解密操作；步骤六：设置NAT在ROS的运行流程中，NAT操作时比较优先的，但是我们需要的是，

15、对于IPsec的流量是不需要NAT操作的。依次点开IPfirewall?NAT选项，点击新增：Chain：选择srcnat；Src. Address：这个填写的是本地网段；Dst. Address：这个填写的是对端的网段；Action：选择accept；表示不进行任何操作，不进行NAT；【重点】设置好了之后将这条策略放在第一个使用鼠标点击拖拽的方式八、IP-MAC绑定配置步骤：IP和MAC地址绑定关闭arp步骤一：IP和MAC地址绑定依次翻开IP?ARP List，正常情况下，你会看见内网中所有已经接入到网络中的设备IP地址和对应的MAC地址，并且离能看到每条记录之前都有一个“D开头的标志，这表示这个ARP信息是动态学习到的。然后选中记录也可以使用shift或者是ctrl键进行多项选择，右击点击“Make Static，将当前记录转换为静态绑定，转化之后记录前面的“D标识符就会消失。步骤二：关闭ARP选项依次翻开Interface?“Interface List?“Interface，找到内网接口“LAN；双击翻开属性配置页面，点击“General，然后ARP选项选择“reply-only，表示ROS开始不学习新的ARP信息，只对客户端进行ARP解析作用。【重点】需要注