RouerOS系列宽带接入服务器配置指南中文手册p

ISP级软件路由器之王RouerOS宽带接入服务器用户手册――配置指南RouerOS系列宽带接入服务器配置指南内容纲要一．概括.................................................................31．RouerOS宽带接入服务器的网络接口种类...............................32．RouerOS宽带接入服务器拥有以下网络功能.............................3二．基本的配置管理........................................................511．系统的缺省帐号...................................................512．登录方式.........................................................513．命令行配置的基本操作.............................................61远程管理-权限管理..........................................715．日记管理.........................................................81917．系统时间设置.....................................................108.系统热启动.......................................................10三．物理接口的配置管理....................................................10四．查察目前配置..........................................................11查察所有配置....................................................11查察子项配置....................................................11五．IP参数配置...........................................................1111.路径：...........................................................1112.功能：...........................................................1113.配置IP地点及路由................................................1214.配置Firewall....................................................1415.配置IPService，限制远程管理RouerOS的地点和方式................1616.配置Hotspot（WEB认证）.........................................1617.配置IPPool.....................................................1618.启用NAT后的策略路由配置.........................................16六．配置ppp参数.........................................................211.配置PPP模板....................................................222.配置Radius-client..............................................22七．PPPoE配置...........................................................23八．HOTSPOT配置.........................................................25九．VLAN配置............................................................30十．VPN配置.............................................................31PPTPVPN......................................................31EOIPVPN......................................................32十一．DHCP配置..........................................................33DHCPServer...................................................33MAC地点(及IP地点)与端口绑定.................................34十二．防火墙配置.........................................................35防“冲击波”病毒..............................................35十三.配置文件的备份与恢复...............................................3611.显示文件系统....................................................3612.备份配置文件....................................................3613.恢复配置文件....................................................3714.配置文件上载与下载..............................................3715.配置复位........................................................3716.查察系统资源情况................................................3727.监督端口流量....................................................37Reference：37一．概括RouerOS宽带接入服务器是鉴于嵌入式专用网络操作系统而设计的，拥有丰富的网络接口，具备多半常有的网络设施功能，办理能力超群，运转十分稳重，性价比极高。1．RouerOS宽带接入服务器的网络接口种类4个10/100M以太网接口，可选10/100/1000M接口个RJ45以太网接口机箱上标明名称分别为“ETH0”、“ETH1”、“ETH2”、“ETH3”，在系统中对应名称为“ETH0”、“ETH1”、“ETH2”、“ETH3”。因为物理接口许多，虚构接口（如VLAN、PVC等）更多，所以不像一般防火墙上用“内网接口”、“外网接口”、“停火区接口”等作为标示。在配置防火墙功能或其余网络功能时由用户灵巧运用。可选以下接口：□※无线网络（WirelessLAN）接口（,,无线网）；□※MOXAC101同步接口；□※MOXAC502同步接口；□※串行异步接口；□※IP电话接口；□※ISDN接口；□※帧中继PVC接口；□※E1/T1接口。2．RouerOS宽带接入服务器拥有以下网络功能自然，有些功能需要独自的同意证。1路由器功能（支持RIP1、RIP2、RIPng、OSPF、OSPFv6、BGP4路由协议）支持IPv4、IPv6协议。2PPPOE服务器和客户端功能支持RADIUS认证和计费，支持鉴于用户帐号的带宽管理和接见控制策略。3PPTP/VPN服务器和客户端功能支持RADIUS认证和计费，支持鉴于用户帐号的带宽管理和接见控制策略，支持PAP、CHAP、MSCHAP、MSCHAPv2认证协议，支持MPPE链路加密。4L2TP/VPN服务器和客户端功能支持RADIUS认证和计费，支持鉴于用户帐号的带宽管理和接见控制策略，支持PAP、CHAP、MSCHAP、MSCHAPv2认证协议，支持链路加密。5鉴于IPIP的VPN功能与CISCO等厂家的IPIP功能兼容，与各样类UNIX、UNIX系统的IPIP功能兼容。6鉴于IPSEC的VPN功能支持AH/SEP模式，支持多种哈稀（HASH）算法和加密算法。7鉴于EoIP(EthernetoverIP)的VPN功能供给高性能线速VPN功能，支持鉴于PPTP、L2TP、IPSEC的链路加密应用。8HOTSPOT（WEB认证）服务器功能支持在有线局域网和无线局域网上的WEB认证；支持RADIUS后台认证计费，支持MD5-CHAP认证协议以保证用户口令的安全传输；用户无需安装客户端软件，并可动向显示连结时长和上网流量。9无线接入服务器（ACCESSPOINT，AP）功能支持、、无线网络，在无线链路上可使用PPPOE、PPTP、L2TP、IPIP、IPSEC、HOTSPOT等接入方式。10集成WEB-CACHE功能和代理服务器功能支持WEB-CACHE和透明朝理功能。11状态防火墙功能和NAT功能支持IP共享、鉴于源地点的NAT变换、鉴于目的地点的NAT变换、IP端口重定向等功能。12DHCP服务器和客户端功能支持IP-MAC绑定。DNSCACHE功能供给鉴于缓存的DNS服务器功能。NTP时间服务器和客户端功能作为NTP时间服务器，能够为其余网络设施和系统供给时间基准；作为NTP时间服务客户端，能够保持网络设施的时间同步。IP电话网关功能经过增添IP电话接口卡，具备IP电话网关功能。16流量整形和带宽管理功能供给多种模式的流量整形和带宽管理功能，供给固定分配的带宽管理、鉴于RADIUS受权的带宽管理等多种管理方式。17网桥功能方便地以二层网络的方式连结各样网络。VLAN（）功能能够区分多达4096个VLAN，供给网络细分的能力。19STP（SpanningTreeProtocol）功能能够为网络供给环型拓扑保护体制。RADIUS客户端功能用以达成PPP连结的RADIUS认证和HOTSPOT的RADIUS认证SNMP网管功能能够让设施整体的网络管理环境。UPS监督功能能够自动发现UPS电源设施掉电或重要故障，并采纳相应动作保护网络设施。RouerOS宽带接入服务器能够经过GUI图形界面进行配置管理，也支持使用命令行（CLI）方式进行配置和管理。使用CLI方式时，能够经过TELNET远程登录、SSH安全加密远程登录、CONSOLE当地控制台登录进入RouerOS宽带接入服务器进行配置管理。二．基本的配置管理1．系统的缺省帐号缺省帐号为"admin"，没有密码直接回车即可，该帐号拥有最大权限。2．登录方式经过console口进行管理利用我们供给的专用console

线连结

RouerOS2与计算机，在计算机的串行通讯口设置为9600-8-N-1，无流控。经过远程telnet登录管理须在/ipservice下设置同意

telnet

登录的客户

IP

地点范围，缺省为同意所有

IP登录。为安全起见，要严格设置可登录地点范围。经过专用客户端""，以GUI方式登录管理须在/ipservice

下设置同意

GUI

登录的客户

IP

地点范围，缺省为同意所有

IP

登录。为安全起见，要严格设置可登录地点范围。经过SSH客户端登录管理SSH是鉴于证书/口令链路加密的登录方式，拥有极高的安全性，不需要限制登录IP地点范围。假如的确需要，能够经过防火墙策略实现。3．命令行配置的基本操作在任何路径下或命令行中输入一个问号，能够提示你随后的选项。1RouerOS2登录后的提示符为：[admin@RouerOS]>#这里admin是登录取户名假如进入到某个配置子项（如IPAddress），则提示符变成：[admin@RouerOS]IPAddress>命令行的基本格式为：“路径树命令参数名=参数值”此中，路径树由拥有层次构造的路径节点构成，节点与节点间用空格符分开；命令与参数名之间也用空格符号分开；参数名与参数值之间用“=”连结。RouerOS2支持命令补全（用“TAB”键补全），支持问号“？”求援，支持命令回滚，支持路径名/命令名/参数名缩写，使用特别方便。经过输入全路径树，在根路径上能够达成所有的命令行操作；也能够进入某一路径进行有关操作。从父路径进入子路径，只需输入子路径名即可；从子路径返回父路径，只需输入“..”即可。输入“/”将从任何路径下返回根路径。2常用命令有print，add，set，enable，disable，epxort等。“print”用于显示有关配置参数或状态信息，用于新增配置项，用于改正配置参数，、“add”“set”“enable”“disable”用于有关项目的同意/严禁，“export”用于导出配置脚本。一个功能的设置有时需要在几个路径中进行配置，此后会有详尽说明。4．RouerOS远程管理-权限管理管理员账号管理1路径：/user2功能：增添、删除、严禁、开启用户帐号；设置帐号密码、组；改正用户名；设置同意用户进入系统的客户端IP地点；编写说明信息。password=dfusjkecommet=yournamedisable=no上边命令行中红色的“0”代表用户的编号（见下边网管截屏中的“#”项）。在其余配置项目中，若有多个相同的配置项目，也都是用编号来区分的，在配置中要注意！接见控制列表1设置可telnet（或ssh、web等）网管的地点：[admin@RouerOS]ipservice>set02禁用某种登录方式：如禁用ftp[admin@RouerOS]ipservice>set1dis=yes在防火墙规则中实现接见限制[admin@xinhua]ipfirewallruleinput>prFlags:X-disabled,I-invalid,D-dynamic4protocol=tcpicmp-options=any:anytcp-options=anyconnection-state=newflow=""connection=""content=""src-mac-address=00:00:00:00:00:00limit-time=0saction=droplog=no

limit-count=0

limit-burst=0注：上述规则中的“

!22）表示除了

22号端口外严禁经过所有其余端口对

RouerOS自己的连结。5．日记管理1

路径：/systemlogging2

功能记录方式定义：

facility

，分为

local

，remote，none

三类，对应当地记录、远程记录、不记录。记录内容：facility，共分为

16种日记信息。

[admin@RouerOS]systemloggingfacility>pri#FACILITYLOGGINGnone2PPP-Infonone3PPP-Errornone4System-Infonone5System-Errornone6System-Warningnone7Telephony-Infonone8Telephony-Errornone9Prism-Infonone10ISDN-Infonone11Hotspot-Accountnone12Hotspot-Infonone13Hotspot-Errornone14IPsec-Warningnone15IKE-Infonone命令示例：为了将日记信息分类，以便于LOG服务器剖析办理，能够设置log信息的“prefix”参数，对不一样的日记信息进行标示。remote-p=514日记信息必定不要设置成写在当地FLASH中，不然，MT2的性能将显着降落。6．机器名称管理1路径：/systemidentity功能：设置/改正系统名示例：/systemidentitysetname=gggggg7．系统时间设置1路径：/systemclock功能：设置系统时间和时区系统热启动/systemreboot三．物理接口的配置管理1．进入接口子路径：[admin@RouerOS]interfaceethernet>enable2．端口使能与禁用：[admin@RouerOS]interfaceethernet>enable<int_num>或使用命令：/inteth<int_num>disabled=yes(no)禁用启动时检查网络端口状态：改正端口名称[admin@RouerOS]interfaceethernet>set<numbers>disable-running-check=yes(no)[admin@RouerOS]interfaceethernet>set<numbers>name=(int-name)网管截屏：四．查察目前配置查察所有配置/export或/print查察子项配置如查察ip子项的配置：/ipexport或/ipprint五．IP参数配置路径：[admin@RouerOS]IPAddress>功能：配置IPAddress、Route、Policy-routing、DHCPclient、DNS、Firewall、Hotspot、IPPool、IPService等等。IP参数配置命令：配置IP地点及路由配置IPAddress：[admin@RouerOS]ipaddress><numbers>#numbers=履行print命令后显示的内容中的“Flags”项。路由配置distance=1comment=""disabled=no删除某条静态路由：iproute>remove<numbers>鉴于源地点的策略路由policy-routing>新建路由表名：ippolicy-routing>addname=jitong可用print命令查察结果：进入路由表：[admin@RouerOS]ippolicy-routingtablejitong>增添路由项（命令见上述第项）配置结果示例以下：配置结果示例：#除Tablemain外，其余路由表中的路由策略一定配置Flow参数（见上表）。§策略路由也可用下边的方法配置：鉴于目的地点的策略路由4.配置Firewall建议用GUI终端配置Firewall。针对某种应用的更详尽的配置拜见本手册后边的“防火墙配置”章节。防火墙对包的办理方式/ipfirewallsetinputname="input"policy=acceptcomment=""setforwardname="forward"policy=acceptcomment=""setoutputname="output"policy=acceptcomment=""配置mangle（策略路由用到）src-mac-address=00:00:00:00:00:00\limit-count=0limit-burst=0limit-time=0saction=acceptmark-flow=ji\tcp-mss=dont-changecomment=""disabled=noaddprotocol=alltcp-options=any\icmp-options=any:anyflow=""src-mac-address=00:00:00:00:00:00\limit-count=0

limit-burst=0

limit-time=0s

action=accept

mark-flow=""

\tcp-mss=dont-changecomment=""disabled=yes开放防火墙端口ipfirewallservice-portsetftpports=21disabled=nosetircports=6667disabled=yes配置NAT/ipfirewallsrc-natout-interface=eth0protocol=allicmp-options=any:anyflow=ji\limit-count=0limit-burst=0limit-time=0saction=masquerade\disabled=noout-interface=eth1protocol=allicmp-options=any:anyflow=""\limit-count=0limit-burst=0limit-time=0saction=masquerade\disabled=nosrc-nat（原地点变换）是将数据包中的原地点进行变换；dst-nat（目的地点变换）是将数据包中的目的地点进行变换。它用于让互联网用户接见私网内部的服务器（如WEBserver、FTPserver），对私网上的WEB服务器IP进行重定向。§假如action

选择

masquerade

（地点假装），则

to-src-address

不用设置！该选项是指将用户地址变换为该指定的地点，而不是

public

端口的地点。配置IPService，限制远程管理RouerOS的地点和方式配置Hotspot（WEB认证）/iphotspotsethotspot-address=(ip_addr)status-autorefresh=1mauth-mac=no\auth-mac-password=noauth-http-cookie=nohttp-cookie-lifetime=1d/iphotspotprofilesetdefaultname="default"session-timeout=0sidle-timeout=0sonly-one=yes\tx-bit-rate=0incoming-filter=""outgoing-filter=""/iphotspotradius-clientsetenabled=noaccou=yesprimary-serv=(ip_addr)secondary-serv=(ip_addr)\shared-secret=""authentication-port=1812accounting-port=1813\interim-update=0s配置IPPool启用NAT后的策略路由配置路由表main）：[admin@RouerOS]iproute>-rejected,C

prFlags:X

-disabled,I

-invalid,D

-dynamic,J-connect,S-static,r-rip,o-ospf,b-bgp#DST-ADDRESSGGATEWAY

DISTANCEINTERFACE一个策略路由配置实例在/ippolicy-routing

下建多个路由表此中“main”表为系统依据在/iproute中配置的路由自动生成的。[leitcomm@RouerOS]ippolicy-routing>add?Createsnewitemwithspecifiedpropertyvalues.copy-fromItemnumbernameThenameoftheroutingtable[leitcomm@RouerOS]ippolicy-routing>priFlags:D-dynamic#NAME0jiaoyu1Dmain[leitcomm@RouerOS]

ip

这里“jiaoyupolicy-routing>

”表的配置以下：tabjiao

[leitcomm@RouerOS]

ippolicy-routingtablejiaoyu>priFlags:X-disabled,I-invalid,D-dynamic,R-rejected#TYPEDST-ADDRESSGGATEWAYDISTANCEINTERFACE成立策略路由规则[leitcomm@RouerOS]ippolicy-routingrule>add？Createsnewitemwithspecifiedpropertyvalues.actionRuleactioncommentSetcommentforitemscopy-fromItemnumberdisabledDefineswhethertheruleisdisabledornotdst-addressDestinationaddressdst-netmaskDestinationmaskflowFlowmaskofthepackettobemachedbythisruleinterfaceThenameoftheinterfaceplace-beforeItemnumbersrc-addressSourceaddresssrc-netmaskSourcemasktableRoutingtable[leitcomm@RouerOS]ippolicy-routingrule>priFlags:X-disabled,I-invalid#SRC-ADDRESSDST-ADDRESSINTERFACEFLOWACTIONTABLE注意为使用指定的路由表打上flow标志。在防火墙src-nat中配置相应规则[leitcomm@RouerOS]ipfirewallsrc-nat>priFlags:X-disabled,I-invalid,D-dynamicprotocol=allicmp-options=any:anyflow=""connection=""content=""limit-count=0limit-burst=0icmp-options=any:any

flow=jiaoyu

connection=""

content=""

limit-count=0limit-burst=0到非缺省目的地的路由

flow

要标志。并定义

to-src-address

。icmp-options=any:anyflow=""connection=""content=""limit-count=0limit-burst=0limit-time=0sicmp-options=any:anyflow=""connection=""content=""limit-count=0limit-burst=0limit-time=0s配置防火墙mangle[leitcomm@RouerOS]ipfirewallmangle>priFlags:X-disabled,I-invalid,D-dynamic0protocol=all

tcp-options=any

icmp-options=any:any

flow=""

connection=""content=""src-mac-address=00:00:00:00:00:00

limit-count=0

limit-burst=0

limit-time=0saction=accepticmp-options=any:anyflow=""

connection=""

content=""src-mac-address=00:00:00:00:00:00limit-count=0limit-burst=0

limit-time=0s

action=accept

mark-flow=jiaoyutcp-mss=dont-changeconnection=""

content=""

src-mac-address=00:00:00:00:00:00

limit-count=0limit-burst=0limit-time=0s

action=accept

mark-flow=jiaoyu

tcp-mss=dont-changemark-connection=""3protocol=all

tcp-options=any

icmp-options=any:any

flow=""

connection=""content=""src-mac-address=00:00:00:00:00:00limit-count=0limit-burst=0limit-time=0saction=accepticmp-options=any:anyflow=""

connection=""

content=""src-mac-address=00:00:00:00:00:00limit-count=0limit-burst=0

limit-time=0s

action=accept

mark-flow=jiaoyutcp-mss=dont-changeconnection=""

content=""

src-mac-address=00:00:00:00:00:00

limit-count=0limit-burst=0limit-time=0s

action=accept

mark-flow=jiaoyu

tcp-mss=dont-changemark-connection=""注：一定针对每一目的地点段做mangle策略。六．配置ppp参数[admin@RouerOS]ppp>secretprofileactiveradius-clientexportDescriptionofsettings：[admin@RouerOS]pppsecret>addcreatenewitemcommentaddscommenttoitemdisabledisablesitemsenableenablesitemsfindfindsitemsbyvaluegetgetvalueofitem'spropertysetchangeitempropertiesprintprintvaluesofitempropertiesremoveremoveitemexport[admin@RouerOS]pppsecret>addcreatesnewitemwithspecifiedpropertyvalues.caller-idcommentshortdescriptionoftheitemcopy-fromitemnumberdisabledlocal-addressnamepasswordprofileremote-addressroutesservice配置PPP模板/pppprofilesession-timeout=0sidle-timeout=0suse-compression=no\use-vj-compression=nouse-encryption=norequire-encryption=noonly-one=no\tx-bit-rate=0rx-bit-rate=0incoming-filter=""outgoing-filter=""session-timeout=0sidle-timeout=0suse-compression=no\use-vj-compression=nouse-encryption=norequire-encryption=noonly-one=no\tx-bit-rate=0rx-bit-rate=0incoming-filter=""outgoing-filter=""2.配置Radius-clientauthentication-port=1812accounting-port=1813interim-update=5m设置PPPoE认证在本机上：□①禁用Radius项[admin@