写在第一篇分享之前:
不知道在头条分享这些年用RouterOS的一些案例会不会落伍了,不过家里的网络一直还是RouterOS +无线AP。
今天起,争取每天一篇,从易到难,从浅入深的分享这些年用RouterOS的一些案例。
RouterOS 是MikroTik公司出品的一款路由操作系统,基于Linux核心开发,兼容X86,行内人也称其为ROS软路由,是众多软路由产品中的一员,但是RosterOS的功能更为强大一些。目前RouterOS 的版本已经到了6.38以上。
RouterOS 基础上网设置(以下简称“ROS”或“ROS软路由”)
一、ROS 系统管理登录
一般情况下ROS可以通过浏览器、winbox工具、Telnet等登录。使用winbox工具时候,在知道网口的MAC地址的情况下,可以直接通过MAC地址进行连接登录。
浏览器登录
Telnet登录
winbox工具登录
二、ROS 网口定义和IP设置
网口定义:
ROS 路由因为兼容X86,所以安装在一台电脑主机上面,经过相应配置以后就可以实现路由功能。在X86平台上面使用的时候,网卡的性能直接影响路由的性能,一般超过50台以上终端,建议网卡使用Intel芯片或者broadcom芯片网卡,两者在稳定性上都有出色表现,如果使用Intel网卡的话,可以考虑使用双网口的网卡,稳定性会更加高。
X86 平台上面的网卡如果是插在PCI槽或者PCI-E槽的时候,ROS 内的网口顺序是根据插槽顺序进行排列的。(注:在使用超过两张网卡的情况下,网口顺序可能会出现混乱,这是因为相同设备的中断冲突引起的,但是不影响后续使用)
配置网口IP,一般会习惯性的将第一个网口作为上网连接的WAN口,也就是ROS中“ether1”,第二个网口作为内网的LAN口(注:多张网卡时候就会有多个内网网口的问题出现,一般使用会考虑将多张网卡配置为switch或者桥模式,这里我们暂时不做讲解。)
IP设置:
X86 平台配置IP ,初次安装使用的时候,X86平台上面是默认没有IP地址的,可以直接在安装完成后的界面里面配置,也可以通过winbox,填写连接的网卡MAC地址,然后进行登录。
注:本文中所有配图的截图来自设备型号为 RouterBOARD 941-2nD 的ROS硬件路由器,内部部分名称略有细微差异。
目前我们通用的上网方式就两种,一种是通过固定IP地址上网,还有一种就是通过PPPoE拨号上网。
1、外网地址为固定IP地址
假设运营商分配给我们的IP地址是:66.90.158.221 子网掩码:255.255.255.252 网关:66.90.158.222
外网地址分配给ether1
LAN口IP地址:192.168.1.1 子网掩码:255.255.255.0 分配给ether2
配置命令:
IP地址配置
# ip address add address=66.90.158.221 netmask=255.255.255.252 interface=ether1
# ip address add address=192.168.1.1 netmask=255.255.255.0 interface=ether2
网关配置:
#ip route add gateway=66.90.158.222
如果使用winbox工具登录进行IP地址配置,如图:
winbox登录配置IP地址,可按箭头顺序进行
配置过程中建议能对每一条设置进行备注。(注:备注可在点击comment后的对话框中填写。)
相关配置在点击“OK”或者“Apply”后保存且即时生效。
2、PPPoE拨号上网。
内网IP地址的添加请直接参考上面。
在ROS中,PPPoE是作为一个网络接口方式的,在功能模块菜单中被归类到了网络接口这个大类里面,同时也共存在虚拟接口模块中,和VPN等方式同时存在PPP模块中。所以我们在添加PPPoE 虚拟拨号的时候需要指定该接口绑定的物理网口。
在ROS中,ROS也可以配置为PPPoE服务端,包括VPN服务端等,所以里面同时又PPPoE-server和PPPoE-client,我们要配置的是PPPoE-client,通过ether1进行拨号
举例: PPPoE 账号 :a123 密码b321
使用命令添加:
# interface pppoe-client add user=a123 password=b321 add-default-route=yes
使用winbox进行配置的时候如图:
winbox 设置PPPoE上网
配置完成后,这台路由和互联网就已经链接,接下来要做的就是使内网的其他终端可以通过这台设备访问互联网。
三、 ROS 路由设置
ROS 的路由NAT设置更加准确的说应该称为NAT地址伪装,“masquerade” 的译文是“伪装”,在网络里面“masquerade”是NAT转发的一种。
#ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=masquerade disabled=no
有些刚接触ROS的朋友经常会在这里卡住,大多数都会在第一次设置错地址伪装以后的转发网卡设置上,所以大家可以把这条命令解析为:防火墙 NAT 中将源地址为 192.168.1.0/24 的IP地址段内所有地址上来的数据包,采用地址伪装的方式,通过ether1网口转发出去(OUT),配置即时启用。是通过网口出去,所以要选择out-interface。
其实能记住这个规则的话,在配置其他同类型的路由的时候也就很方便了。
使用winbox 进行设置,如图:
路由配置
路由配置
完成以上配置以后,LAN口下链接的192.168.1.0/24 网段的终端都能正常上网了。
四、ROS DHCP设置
在实际使用的过程中,有些终端不会配置固定IP地址,而是采用DHCP的方式获取地址,所以需要在路由中设置DHCP地址池和DHCP服务。
配置命令:
DHCP地址池配置:
#ip pool add name=dhcp ranges=192.168.1.2-192.168.1.254
解释:在地址池中配置一个名称为 “DHCP”,IP地址从192.168.1.2到192.168.1.254的地址池
DHCP服务配置
该DHCP服务是针对局域网内终端的,所以对应的网口是ether2
#ip dhcp-server add name=server1 interface=ether2 address-pool=dhcp add-arp=yes always-broadcast=yes
解释:在dhcp服务中增加一条名字为server1的,通过ether2 分发名为DHCP的地址池内地址的规则,将分发成功的IP地址和MAC地址对应关系的写入ARP关系表,该服务一直保持广播。
#ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 netmask=255.255.255.0 dns-server=
114.114.114.114,8.8.8.8
解释:在DHCP服务中增加规则IP地址段为192.168.1.0/24获取到的对应网关地址为192.168.1.1,子网掩码255.255.255.0,dns服务器地址为114.114.114.114和8.8.8.8.(注:建议修改为当地DNS服务器地址。)
使用winbox进行配置如图:
DHCP地址池配置
DHCP服务配置
DHCP分发地址对应网关和DNS地址
五、DNS配置
在经过上面的四个步骤之后,这台ROS已经可以带动内网的机器上网了,但是我们还是需要将路由内的DNS配置进行一定的完善。
配置命令:
#ip dns set servers=114.114.114.114,8.8.8.8
使用winbox配置如图:
DNS设置
好了,一台具备基本路由功能的ROS完成了。
有更好建议和意见的可以在评论区留言。
后续的将涉及到如果用ROS的PPPoE、VPN服务端配置,网络限速优化,完成对局域网内终端的DNS劫持,DNS缓存解析,ROS作为防火墙软件在WEB服务器和其他应用服务器上面的另类应用,还有ROS的VLAN组网(包括QinQ)等等。总之全部是曾经实施过的案例,如果感兴趣就请关注我。