人力资源-ROS软路由培训课件.docx

1、本期内容包括ROS路由器的基础配置，主要内容包括： 1. IP地址配置； 2. 路由配置； 3. NAT配置； 4. 防火墙策略的配置； 5. 设置上网策略 6. ROS限速 7. ROS IPsecVPN设置 一、配置地址 1.刚刚安装好之后使用终端操作，输入用户名admin，密码为空登陆路由器。 2.使用如下命令为我们的内网接口配置一个IP地址，ROS默认的接口名称是ether1、ether2如果分不清楚的情况下，我们就先给一个接口一个接口的试一下。 3.配置好接口之后，使用winbox来连接ROS路由器，地址为192.168.56.1，用户名为admin，密

2、码默认为“空”。 4.修改内外网接口的名称，以便我们日后区分 5.修改外网口IP： 静态IP： 在IP——address中点击加号，然后输入IP地址（带子网掩码）和接口，点击OK添加成功。 DHCP自动获取： 在IP——DHCP Client中点击“+”号，然后选择外网接口，点击确定，然后ROS就会自动获取IP地址，简单吧！！ PPPOE宽带拨号： 点击PPP，然后点击加号，再出现的菜单中选择PPPOE Client； 随便起一个名字（无所谓），然后修改“Max MTU”值，将原来的1480改为1492，然后选择外网接口点击确定，在“Dial Out”一栏

3、里面输入用户名密码，之后路由器就会自动拨号 然后我们看见在有一条pppoe拨号的记录，状态为R，表示可用 查看路由表，有一条自动生成的默认路由 二、路由（静态地址需要配置） 打开IP——address中我们发现已经有一条路由了，标记为DAC，表示是动态学习到的；这是一条到达内网直连路由，我们点击加号，然后输入目的地址0.0.0.0/0和网关192.168.18.1，点击确定即可！ 三、NAT多对一上网 因为我们是多对一的上网环境，我们需要配置NAT使得众多客户端共享上网 点击IP——firewall，选择第二项NAT，点击加号，新增一条NAT的策略，在“Gener

4、al”Chain选项选择srcnat，这个选项表示我们是源NAT，也就是从内网到外网的地址转换； 接着我们点开Action选项，将“Action”一项选择masquerade，这一项表示我们被转换成的地址就是我们外网口的接口地址（外网地址唯一） 显示情况下，如果我们有多个外网地址（比如电信给了我们两个地址），那么我们可以指定被转换成的地址， 做法就是在Action选项中选择src-nat，这也是表示源路由，只是我们需要在下面指定要被转换的地址 四、防火墙策略 默认情况下，ROS里面防火墙策略是空的，是允许所有用户上网的，下面我们细化用户的上网权限： 1. 允许部分用户上

5、外网 首先我们打开IP——firewall，选择第6项“Address Lists”，在这里我们新建一个组，点击加号，用户组的名字就是“可以上网”，在地址栏中我们添加可以上网的用户的IP地址（可以添加多个地址和地址段，只需要保证组名字相同即可） 添加完之后我们转到“filter rule”点击加号添加一条防火墙规则； 步骤一：按如下图操作，需要说明的是我们需要将“connection stata“选择为”established“，这个表示允许TCP连接状态为”已连接的“所有数据包通过（如果少了这一步，将会导致所有的用户上不了网） 步骤二，添加允许上网的策略，步骤如下

6、 完成以上两个步骤之后，所有用户还是可以上网的，因为ROS默认的是允许所有用户上网的，所有我们还需要新建一条拒绝所有用户的策略； 步骤三：拒绝所有用户， 五、设置上网策略 该功能需要完成的步骤： 1. 设置可访问的地址； 2. 新建防火墙策略； 步骤一：在IP—>Firewall—>Address Lists里面，点击新增 步骤二：在新增窗口填写分组名称（如果已经存在点击向下的箭头选择对应的分组），在“address”部分，填写对应的IP地址；然后点击“OK”按钮完成操作； 步骤三：有的时候我们需要备注一下名称（百度、汽车之家等等），可以按照图中的步骤，先选中

7、一条记录，然后点击黄色按钮，在弹出的对话框中填写名称，最后点击“OK”按钮即可。 步骤四：依次点击“Filter Rules”—》点击“+”号，新增一条策略。 步骤五：点击“General” Chain：选择forward； In Interface：选择内网接口（LAN）； Out Interface：选择外网接口（WAN）； 步骤六：点击“Advanced”, Dst. Address List：选择我们之前新建好的组（允许访问的网址）； 步骤七：点击“Action”选项 Action：选择accept，表示允许数据通过； 最后点击“OK”按钮，完整策略

8、的配置； 步骤八：调整策略的位置 默认情况下，新增的策略是在策略列表的最后一条，我们需要通过鼠标点击拖动的方式调整策略的顺序，我们的原则是在“拒绝所有”这条策略之上就好了。 默认情况下面，新建好的策略是没有名字的（如“允许访问指定的网址”），如果想起个名字，只要点击黄色的按钮添加名字就好了。 六、ROS限速 该功能需要完成的步骤： 1. 标记流量； 2. 新建限速模型； 3. 新建限速策略； 步骤一：打开“IP”—》“Firewall”—》“Mangle”，点击新增按钮； 步骤二：标记HTTP流量,点击“General”选项（网页的流量主要是在服务器返回数据

9、时候产生，我们就是要标记这部分流量） Chain：选择prerouting； Protocol：选择tcp协议； Src. Port：选择80端口； In. Interface：选择外网接口； 步骤三：点解“Action”选项 Action：选择mark_packet; New Packet Mark：填写一个标记的名字（组名字），这里写的是down_web; 点击“OK”按钮完成流量的标记 根据需要可以自己新建多个标记：新建完成之后如下： 需要说明的是，网站标准端口是，80，有时候也可能是8080、8081、81等，这需要根据实际情况新建标记策略； 步骤四：

10、新建策略模板：依次点开“Queues”—》“Queue Type”—》点击加号新增； 步骤五：新建下载的策略模板： Type Name：给策略模板起一个名字：down，表示下载； Kind：选择模板的类型：pcq； Rate：填写限速大小：2M，2M就是表示下载每用户限速是2M； Limit：填写线程会话限制：50，表示每用户最多只能有50个会话； Total Limit：填写最大会话数：2000； Classifier：选择Dst. Address; 点击“OK”完成，同理新建上传的策略模板： 步骤六：新增限速策略： ROS的限速使用的典型的管道模型，即大管子

11、在最外面，里面有小管子，每个小管子都代表一个策略，都会有一个流量的上限和下限，多有小管子的流量下限值的和不能超过大管子的最大流量值，但是小管子的流量上限和可以超过大管子的最大流量和，超过的部分将会平分流量。 打开“Queue Tree”选项，点击加号新增； 步骤七：新增下载的父策略（大管子） Name：给策略起一个名字，这边是down，表示下载的父策略； Parent：选择global-in； Queue Type：选择down，这个down就是我们在上一个步骤里面新建好的策略模型（每人2M）； Max Limit：填写最大带宽，看申请的带宽而定，一般是10M，也有20M的宽带

12、 步骤八：新增上传的父策略（大管子） 参数按下图设置，根据实际情况调整； 步骤九：新增下载的子策略（小管子） Name：自己起一个名字； Parent：选择我们新建好的父策略（down），表示是子策略，并指定父策略； Parket Marks：选择我们新建好的标记策略：down_web; Queue Type：选择我们新建好的限速模板，down； Limit At：填写流量下限，4M； Max Limit：填写流量上限，10M； 点击“OK”就好了 新建好的策略如下：我们能够很明显的看出策略的父子关系； 七、ROS的VPN设置 配置要点： 配置IP

13、sec第一阶段协商； 配置IPsec第二阶段协商； 配置NAT设置；ROS特有； 步骤一：依次打开IP—》Ipesc—》Peer—》点击加号； 步骤二：新建IPsec第一阶段参数： Address：填写对端的IP地址：这边填写的是总部的IP地址； Port：默认 Auth. Method：选择“pre shared key”，表示与共享密码方式协商认证； Exchange Mode：选择“aggressive“，表示野蛮模式； 勾选”Send Initial Contact“和”NAT Traversal“； Proposal Check：默认就好了； Hash

14、Algorithm：选择md5；验证数据的完整性； Encryption Algorithm：选择3des；完成数据的加密； DH Group：选择modp1024，这参数相当于其他防火墙里面的”group 2“； 其他参数默认不变；点击OK完成； 步骤三：创建IPsec第二阶段协商的参数： 点击Proposals，点击新增； 按下去所示，分别起一个名字。并勾选MD5、3des和modp1024参数； 步骤四：点击Policies选项，点击新增，在弹出来的对话框中点击”General“ Src. Address：填写本地网段； Dst. Address：填写对端

15、的网段； Protocol：选择所有； 然后点击action选项： Action：选择encrypt，表示IPesc加密； Level：默认，选择require； Ipsec Protocols：选择esp； 勾选”Tunnel“； SA Src. Address：本段的公网地址； SA Dst. Address：对端的公网地址； Proposal：选择我们上一步骤新建的IPsec第二阶段协商的参数：“标致“； 点击”OK“就好了； 到此对于一般的防火墙就可以了，但是ROS里面还要增加两个操作； 步骤五：继续新建一个Policies，参数如下图 需要注意的是在

16、action选项中，action选择的是”none“；表示所有访问本地网段流量都不进行IPsec加密；这样做的目的是，在实际操作中，ROS会将总部访问本地网段（东标）的流量进行IPsec加密，但是我们需要的是进行IPsec解密，所以会出现问题，加上以下策略之后，对于总部访问分部的流量不错第二次加密，而是正常的解密操作； 步骤六：设置NAT 在ROS的运行流程中，NAT操作时比较优先的，但是我们需要的是，对于IPsec的流量是不需要NAT操作的。 依次点开IPàfirewall—》NAT选项，点击新增： Chain：选择srcnat； Src. Address：192.16

17、8.26.0/24这个填写的是本地网段； Dst. Address：192.168.0.0/16这个填写的是对端的网段； Action：选择accept；表示不进行任何操作，不进行NAT； 【重点】设置好了之后将这条策略放在第一个（使用鼠标点击拖拽的方式） 八、IP-MAC绑定 配置步骤： 1. IP和MAC地址绑定 2. 关闭arp 步骤一：IP和MAC地址绑定 依次打开IP—》ARP List，正常情况下，你会看见内网中所有已经接入到网络中的设备（IP地址和对应的MAC地址），并且离能看到每条记录之前都有一个“D”开头的标志，这表示这个ARP信息是动态

18、学习到的。 然后选中记录（也可以使用shift或者是ctrl键进行多选），右击点击“Make Static”，将当前记录转换为静态绑定，转化之后记录前面的“D”标识符就会消失。 步骤二：关闭ARP选项 依次打开Interface—》“Interface List”—》“Interface”，找到内网接口“LAN”； 双击打开属性配置页面，点击“General”，然后ARP选项选择“reply-only”，表示ROS开始不学习新的ARP信息，只对客户端进行ARP解析作用。 【重点】需要注意的是，在实际运用过程中，外网接口的ARP选项应该选择“enable”，因为运营商有可能会对接入设备进行调整，所以不能对WAN口进行ARP绑定。