RouterOS2.96的部署.ppt

RouterOS2.96的部署,一、RouterOS的介绍 二、RouterOS的安装 三、RouterOS基本命令讲解 四、RouterOS实例讲解,RouteOS的介绍,MikroTik RouterOS是一种路由操作系统，通过该软件可以将标准的PC电脑变成相当于专业路由器性能的路由+防火墙。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。RouterOS具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，基于标准的x86构架的PC。一台586PC机就可以实现路由功能，提高硬件性能同样也能提高网络的访问速度和吞吐量。完全是一套低成本，高性能的路由器系统,功能特点,路由功能 基于源地址的路由 基于目标地址的路由 基于端口的路由 基于定义用户类的路由 基于负载均衡的路由 基于端口的负载均衡,功能特点,桥接功能 1.将多张网卡组建为一个桥模式从而实现三层交换的作用。 2.支持STP协议。（防止回路和实现线路冗余）,Firewall 和NAT 包状态过滤；P2P 协议过滤；源和目标NAT；对源MAC、IP 地址、端口、IP 协议、协议（ICMP、TCP、MSS 等）、接口、对内部的数据包和连接作标记、ToS 字节、内容过滤、顺序优先与数据频繁和时间控制、包长度控制.,功能特点,隧道协议（PPP、PPPoE、PPTP、EoIP、IPIP以及IPsec ） Hotspot热点认证服务 脚本控制 RouterOS提供了可以编写的脚本功能，脚本的加入使RouterOS在处理很多网络方案、自动检查故障和动态生成策略等，都可以通过脚本很好的解决。使得在处理很多网络问题上更加的灵活和智能化。,硬件配置,CPU和主板 核心频率在100MHz或更高的单核心X86处理器，以及与其兼容的主板。 内存 最小32 MiB, 最大1 GB; 推荐64 MB或更高。 硬盘 标准ATA/IDE接口(SCSI和USB控制器不支持；RAID控制器驱动不支持; SATA不完全支持) 最小需要64 Mb空间。 网卡 视应用环境不同而不同，对性能影响较大。,RouterOS的配置接口,teminal console - PS/2或USB键盘和VGA显示卡进行控制 Serial console 任何 RS232异步串口，串口默认设置为9600bit/s, 8数据位, 1停止位, no parity, hardware (RTS/CTS) flow control。 Telnet telnet服务默认运行在23TCP端口 SSH - SSH (安全shell) 服务默认运行在22 TCP端口 MAC Telnet - MikroTik MAC Telnet协议被默认启用在类以太网卡接口。 Winbox 实现在Windows下的图形界面管理,RouterOS的安装,演示环境 VMware6.5 RouterOS2.96破解版 开始演示 模块选择,RouterOS的安装,RouteOS 登录,默认用户名：admin 密码：空,RouteOS命令,log/ - 系统日志 quit 退出控制台 radius/ - Radius 客户端设置 certificate/ - 授权管理 special-login/ - 特殊登录用户 redo 返回以前执行的操作 driver/ - 驱动管理 ping ping 命令 setup 做基本的系统设置 interface/ - 接口配置,password 修改密码 undo 撤销以前的操作 port/ - 串口控制 import 运行导入的配置脚本 snmp/ - SNMP 设置 user/ - 用户管理 file/ - 路由器本地文件存储 system/ - 系统信息和应用程序 queue/ - 带宽管理,RouteOS命令,tool/ - 诊断工具 ppp/ - 点对点协议 routing/ - 各种路由协议设置 route/ - 路由管理 firewall/ - 防火墙管理 ip/ - IP 选项 export - 导出脚本 service/ - IP 服务 socks/ - SOCKS 4 代理,arp/ - ARP 项目管理 upnp/ - UPNP 管理 dns/ - DNS 设置 address/ - 地址管理 accounting/ - 传输记录 the-proxy/ - vrrp/ - 虚拟路由冗余协议 pool/ - IP 地址池 packing/ - 数据包封装设置 neighbor/ - 邻居,RouteOS命令,route/ - 路由管理 firewall/ - 防火墙管理 dhcp-client/ - DHCP 客户端设置 dhcp-relay/ - DHCP 中继设置,dhcp-server/ - DHCP 服务设置 hotspot/ - HotSpot 管理 ipsec/ - IP 安全设置 web-proxy/ - HTTP 代理,RouterOS的命令结构和Linux的命令结构很相似。一系列命令就是一个目录，目录下是该系列命令的子命令。命令提示符为当前所在命令系的名称。以“”返回上级命令，“/”返回到根目录。也支持相对路径。,Interface 命令系列,进入interface命令接口（/interface） 显示接口信息（print） 启动接口（enable 接口号）,Ip address命令系列,给接口添加一个IP地址 /ip address add address IP地址/掩码 interface 接口名,在配置IP 地址中，配置address和netmask参数时，在许多事例中你可以将IP 地址和子网掩码一起定义，也可以将子网掩码单独定义，以下几种方式是相同的 1./ip address ip addressadd address 11/24 interface ether1 2./ip address add address 11/24 interface ether1 3./ip address add address 11 netmask interface ether1,Setup命令配置,利用Winbox图形界面进行配置,在配好RouteOS的ether1接口后，在windows IE 地址栏里输入ether1的IP地址11来下载WinBox。如图：,运行winbox并登录,利用Winbox图形界面进行配置,利用Winbox图形界面进行配置,实例讲解,基本配置 地址伪装 端口映射 带宽管理 双线出口配置,路由的基本配置,先利用RouterOS配置一个最基本的网络路由。拓扑图如下：,基本配置,为了容易区别，先更改端口名,基本配置,Lan口IP地址已经设置好了，下面配置wan1口的地址。,基本配置,再配置默认路由,基本配置,如果配置的网关和接口不在同一网段，将不能识别端口,基本配置,这时候如果windows的网关为11，那么就可以从windows ping 通这个端口了。,IP地址伪装,做完以上步骤，我们将还不能访问公网。除非你的ISP会在网关上专门为你做一条路由，对所有的/24地址段的访问均指向这一地址，否则你是无法访问公网的。所以接下来我们要进行地址伪装，也就是通常说的NAT,让私网中所有192.168.0.X的地址从公网出去都是地址,IP地址伪装,你也可以指定源地址范围，本例中可以如下命令： Add chain=srcnat src-address=/24 action=masquerade out-interface=WAN1,端口映射,现在我在上例的私网中添加了一台web服务器，在80端口上提供web服务。拓扑图如下：,端口映射,命令解释：把所有目的地址是:80的tcp包的目的地址转换成,带宽管理,限制LAN 内主机 的下行带宽为2M 和上行带宽为512kbps:,双线接入配置,策略路由(电信网通双线),策略路由(电信网通双线),为了便于区分，先把两个WAN口重新命名一下,策略路由(电信网通双线),添加网通端口的ip地址,策略路由(电信网通双线),添加网通路由（从网上下载一个网通路由表），利用ftp上传到routeros上，利用routeros的import命令导入路由表,策略路由(电信网通双线),双线接入配置,负载均衡(基于NTH),基于NTH的负载均衡,首先设置三个网卡的ip地址 ip addressadd address 11/24 int lan ip addressadd address /24 int wan1 ip addressadd address /24 int wan1,标记链接和路由 ip firewall mangleadd chain=pre-routing in-interface=lan connection-state=new action=mark-connect new-connection-mark=first nth=1,1,0 passthrough=yes ip firewall mangleadd chain=pre-routing in-interface=lan connect-mark=first action=mark-routing new-routing-mark=first passthrough=no,基于NTH的负载均衡,ip firewall mangleadd chain=pre-routing in-interface=lan connection-state=new action=mark-connection new-connect-mark=second nth=1,1,1 passthrough=yes ip firewall mangleadd chain=pre-routing in-interface=lan connection-mark=second action=mark-routing new-routing-mark=second passthrough=no,设置路由 ip routeadd dst-address=/0 gateway= scope=255 target-scope=10 routing-mark=first ip routeadd dst-address=/0 gateway= scope=255 target-scope=10 routing-mark=second ip routeadd dst-address=/0 gateway= scope=255 target-scope=10,基于NTH的负载均衡,配置ip伪装（srcnat） ip firewall natadd chain=srcnat action=src-nat connection-mark=