mikrotik_routerOS基础教程

1、 刻录好相应版本的routeros安装光碟; 机器硬盘设置为ide0,即第一个ide通道的主盘; bios中设置光盘引导系统,自动进入到如下安装界面: system:主要是包的基本服务和驱动程序; ppp:提供ppp,pptp,l2tp,pppoe和isdn ppp dhcp:dhcp 客户端和服务器 advanced-tools:邮件客户端,pingers,netwatch和其他的工具 gps:支持gps装置 hotspot:允许给无线客户或非安全客户提供公共网络访问 routerboard:支持路由主板的一些函数和工具 routing:支持rip,ospf和bgp4协议 security:

2、支持ipsec,ssh和安全的winbox连接 user-manager:用户管理服务 web-proxy:http web代理支持 wireless:提供支持cisco的aironet卡， prismii和atheros的无线站 和接入点 安装步骤:使用方向键和空格键选择需要的模组功能,按空格键进行选 定,按“a”键全部选择,“m”键选择最小选择.按“i”键确定安装； 接着询问： do you want to keep old configuraton?（你需要保留 旧的结构）选择“n”，coutinue？选择“y”；然后开始自动的格式 化磁盘、安装核心、安装模组，最后提示：press en

3、ter to reboot ，按回车重新启动机器。 routerosrouteros基本设置基本设置 重新启动后开始登陆。初始用户名admin，初始密码为空。 一个基本的单线路由配置过程如下： 第一步：查看网卡信息 第二步：配置ip地址； 第三步：配置网关地址，检查是否到外网默认网关正常； 第四步：配置当地dns； 第五步：配置nat伪装，实现共享上网。 第一步：查看网卡信息 进入菜单：interface adminmikrotik /interface print flags: d - dynamic, x - disabled, r - running, s - slave # name

4、type mtu l2mtu 0 r ether1 ether 1500 1 r ether2 ether 1500 从print命令显示的信息来看，两张网卡都已被ros正常识别出来，如 果显示的“x”，则表明网卡是禁用状态,如网卡ether1前面显示 “x”，则可以使用enable ether1enable ether1命令启用命令启用. .如如: : adminmikrotik /interface print flags: d - dynamic, x - disabled, r - running, s - slave # name type mtu l2mtu 0 x ether1

5、ether 1500 1 r ether2 ether 1500 网卡“ether1”处于禁用状态,可通过enable ether1enable ether1命令启用命令启用 adminmikrotik /interface enable ether1enable ether1 设定“ether1”为外网网卡命名为wan，“ether2”为内网网卡命名lan adminmikrotik /interface set ether1 name=wanset ether1 name=wan adminmikrotik /interface set ether2 name=set ether2 nam

6、e=lanlan adminmikrotik /interface print flags: d - dynamic, x - disabled, r - running, s - slave # name type mtu l2mtu 0 r wan ether 1500 1 r lan ether 1500 第二步：配置ip地址 1）如果是具备固定外网ip地址时： 假定外网ip地址为/28/28，网关是，内网为 /24 接上面： adminmikrotik /interface / /ip

7、ip address address adminmikrotik /ip address add address=/28 add address=/28 interface=waninterface=wan adminmikrotik /ip address add address=/24 add address=/24 interface=interface=lanlan adminmikrotik /ip address print flags: x - disabled, i - invalid, d -

8、 dynamic # address network broadcast interface 0 /28 5 wan 1 /24 55 lan 2）adsl拨号共享上网: 假定adsl的用户名：111和密码：111，内网：/24 adminmikrotik /interface pppoepppoe-client-client adminmikrotik /interface pppoe-client add user=111 add user

9、=111 password=111 interface=wan add-default-route=yes password=111 interface=wan add-default-route=yes adminmikrotik /interface pppoe-client print flags: x - disabled, r - running 0 x name=pppoe-out1 max-mtu=1480 max-mru=1480 mrru=disabled interface=wan user=111 password=111 profile=default service-

10、name= ac-name= add-default- route=yes dial-on-demand=no use-peer-dns=no allow=pap,chap,mschap1,mschap2 接着设置adsl的内网: adminmikrotik /interface pppoe-client / /ipip address address adminmikrotik /ip address add address=/24 add address=/24 interface=interface=lanlan adminmikrotik /

11、ip address print flags: x - disabled, i - invalid, d - dynamic # address network broadcast interface 0 /24 55 lan 第三步：配置网关 1）固定ip： adminmikrotik /ip address / /ipip route route adminmikrotik /ip route add gateway=add gateway= adminmikrotik /ip ro

12、ute print flags: x - disabled, a - active, d - dynamic, c - connect, s - static, r - rip, b - bgp, o - ospf, m - mme, b - blackhole, u - unreachable, p prohibit # dst-address pref-src g gateway distance in. 0 a s /0 r 1 wan 1 adc /28 0 wan 2 adc /24 1

13、 0 lan 2）如果是adsl，不需要配置，因为在上面配置ip地址是，选择参数：add-default-add-default- route=yesroute=yes 第四步：配置dns adminmikrotik /ip route / /ipip dnsdns adminmikrotik /ip dnsset primary-set primary-dnsdns= = secondary-dns= allow-= allow- remote-requests=yesremote-requests=yes admi

14、nmikrotik /ip dnsprint primary-dns: secondary-dns: allow-remote-requests: yes max-udp-packet-size: 512 cache-size: 2048kib cache-max-ttl: 1w cache-used: 5kib 参数allow-remote-requests=yesallow-remote-requests=yes，意思是本地路由启用dns功能，即：在内网机器上，配 置dns时可以直接使用网关地址作dns服务器 第五步：ip伪装，共享上网（nat） admin

15、mikrotik /ip dns / /ipip firewall firewall natnat adminmikrotik /ip firewall nat add chain=add chain=srcnatsrcnat action=masquerade action=masquerade adminmikrotik /ip firewall nat print flags: x - disabled, i - invalid, d - dynamic 0 chain=srcnat action=masquerade 以上五步即可完成利用ros实现内网多台机器共享上网的功能。上面的全部

16、操作都可以通过 winbox中的“new terminal”直接进行粘贴操作使用，也可以完全通过winbox中的相 关功能模块操作来实现。 winboxwinbox基本操作基本操作 winbox中一些基本名词解释： src-addresssrc-address：源地址（发送数据的：源地址（发送数据的ipip地址）地址） dst-addressdst-address：目标地址（接收数据的：目标地址（接收数据的ipip地址）地址） inputinput：进入路由器，是指发往进入路由器，是指发往routerosrouteros自己的数据（也就是目的自己的数据（也就是目的ipip是是routerosr

17、outeros接口中的接口中的 一个一个ipip地址）地址） output: output: 从路由器出发，是指从从路由器出发，是指从routerosrouteros发出去的数据（也就是数据包源发出去的数据（也就是数据包源ipip是是routerosrouteros接接 口中的一个口中的一个ipip地址）地址） forward: forward: 经路由转发中经路由转发中 是指通过是指通过routerosrouteros转发的（比如你内部计算机访问外部网络，数转发的（比如你内部计算机访问外部网络，数 据需要通过你的据需要通过你的routerosrouteros，进行转发出去，进行转发出去 sr

18、cnatsrcnat与与dstnatdstnat：srcnatsrcnat（源地址转换）用的最多就是共享上网功能；（源地址转换）用的最多就是共享上网功能；dstnatdstnat（目标地址（目标地址 转换）意思就是针对内网有对外公布的服务器，就是常用的端口地址映射。转换）意思就是针对内网有对外公布的服务器，就是常用的端口地址映射。 in-interface:in-interface:进入的网卡进入的网卡; out-interface:; out-interface:出去的网卡出去的网卡 rxrx与与tx:rx (receive)tx:rx (receive)接收接收,tx(transmit),

19、tx(transmit)传送传送, ,在在routerosrouteros中中, ,我们查看我们查看wanwan网卡的流量时网卡的流量时 rxrx为下行流量、为下行流量、txtx为上行流量、查看为上行流量、查看lanlan网卡的流量时，网卡的流量时，rxrx为上行流量、为上行流量、txtx为下行流量为下行流量 ；以；以rosros为中心，为中心，wanwan网卡接收的流量，即从网卡接收的流量，即从ispisp进来的流量，则为下行以进来的流量，则为下行以rosros为中心，为中心， lanlan网卡接收的流量，即从工作站进来的流量，则为上行。网卡接收的流量，即从工作站进来的流量，则为上行。txt

20、x同理。同理。 winbox控制台操作建议： mikrotik routeros 内能通过远程配置各种参数,在这里我们将着重介绍怎样使用winbox: 注:在winbox 中嵌入了通过mac 地址连接路由器的功能，并内置了探测工具.这样 可以在刚安装好未配置ip或复位了路由器后，同样可以通过mac 登陆到routeros 上，进行图形界面操作。 winbox 控制台是用于mikrotik routeros 的管理和配置，使用图形管理接口(gui),通过连 接到mikrotik 路由器的http（tcp 80 端口）欢迎界面下载winbox.exe 可执行文件， 下载并保存在你的windows

21、中，之后直接在你windows 电脑上运行winbox.exe 文件. winbox相关功能键介绍: 搜索和显示mndp (mikrotik neighbor discovery protocol) 或 cdp(cisco discoveryprotocol) 设备。可以通过该功能键搜索同一 子网内mikrotik 和cisco 设备。并能通过mac 地址登陆到mikrotik routeros 进行操作。 通过指定的ip 地址（默认端口为80，不许特别指定，如果你修改了端口需要对 具体访问端口做自定）或mac 地址（如果路由器在同一子网内）登陆路由器 。 保存当前连接列表（当需要运行它们时，

22、只需双击） 删除从列表中选择的项目 删除所有列表中的项目，清除在本地的缓存，从wbx 文件导入地址或导出为wbx 文件 secure mode（安全模式） 提供保密并在winbox 和routeros 之间使用tls（transport layer security）协议 keep password（保存密码） 保存密码到本地磁盘的文本文件中 winbox 控制台使用tcp/8291 端口，在登陆到路由器后可以通过winbox 控制台操作 mikrotik 路由器的配置并执行与本地控制台同样的任务。 winbox 常用管理: 单线配置实例: 例如下面的拓扑结构，你需要通过routeros 完成

23、以下的网络配置： 在当前的事例中我们使用到两个网络（外网和内网）： 内网使用地址为： 子网淹码24-bit（）。路由器的地址在这个网 络中为54 isp 的网络为 子网淹码24-bit（）。路由器的地址是在网络中为 17 外网 dns 为9，6 我们的步骤一共分为五步: 首先：启动设备后，检查interface 接口网口连接是否正常，并定义网口名称 第二：将对应网口的ip 地址配置好 第三：配置网关路由 第四：配置nat 地址

24、转换规则 第五：配置dns 服务器 第一步：网络接口配置 在/interfaces 列表中修改ether1 为ether1-wan，定义为外网接口；修改ether2 为ether2-lan 定义 为内网接口，如图： 同样将 ether2 修改为ether2-lan，指定内网接口： 第二步：添加ip 地址 在/ip address 中添加ip 地址和选择网卡接口，添加内网和外围的ip 地址如图： 第三步：添加默认网关 在/ip routes 里添加默认网关，开启check-gateway=ping（网关ping 监测 ）如图： 第四步，nat 地址转换: 在/ip firewal

25、l nat 里点击“+”添加伪装规则： 在 nat 里添加新的规则，在chain 里选择srcnat 链表 在选择 action 里的action=masquerade 规则： 第五步，dns 配置 在/ip dns 的settings 中添加多个dns服务器地址，根据需要启用dns缓存（allow remote requests）： 到此，上述的单线上网事例就已经配置完成！ 端口映射 这里我们需要将内网的http 服务器发布到外网，内网的http 服务器ip 地8 这里需要做端口映射规则，进入ip firewall nat 里，选择chain=dstnat，我们的外网ip

26、 地址是17 配置到dst-address，dst-port 为tcp 协议80 端口，如下图: 在 action 选择dst-nat 操作，to-address 设置内网http 服务器ip 地址，和端口80 arp地址绑定: 打开winbox,定位到ip-arp,如图: 打开arp list 列表,地址前面出现“d”的就是动态的，按ctrl+a选择全部的地址列表;右 键列表选择make statik，如图： 上面操作后如图，地址前面动态显示字母“d”消失 routerosrouteros限速功能与限速单位详解限速功能与限速单位详解: : 批量动态限速脚本示例批量动态限速脚本

27、示例: : :for ip from 1 to 253 do=/queue simple add name=(no. . $ip . #“) target-address=(192.168.0. . $ip :for ip from 1 to 253 do=/queue simple add name=(no. . $ip . #“) target-address=(192.168.0. . $ip . /32) max-limit=160000/3200000 burst-limit=3200000/6400000 burst-threshold=800000/1600000 burst-.

28、 /32) max-limit=160000/3200000 burst-limit=3200000/6400000 burst-threshold=800000/1600000 burst- time=30/30 total-queue=default time=8h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no time=30/30 total-queue=default time=8h-23h,sun,mon,tue,wed,thu,fri,sat disabled=no # 路由内的限速单位是kbitp/s(千比特位/秒)/8=windows下的存储单位kbyte(千字节/秒) # k代表的是个数量单位k