RouterOS在校園中小型網絡中的應用

摘要:通過校園網中實例的形式，利用MikroTik RouterOS將標準的PC電腦變成了功能強大的路由器，節約了網絡的管理成本，詳細論述了Routeros路由系統在中小型網絡中的應用。并針對校園網絡中經常出現的問題給出了可行的解決方法。

關鍵詞:RouterOS;ARP欺騙;帶寬管理;關鍵字過濾

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)05-1104-02

MikroTik RouterOS是一種路由操作系統，并通過該軟件將標準的PC電腦變成專業路由器，在軟件的開發和應用上不斷的更新和發展，軟件經歷了多次更新和改進，使其功能在不斷增強和完善。RouterOS在具備現有路由系統的大部分功能，能針對網吧、企業、小型ISP接入商、社區等網絡設備的接入，基于標準的x86構架的PC。

RouterOS的硬件需求極低，即使在奔騰III的計算機上也可以順利運行。同硬件路由系統相比，RouterOS具有運行配置需求低、投資低廉、擴展靈活等優點。RouterOS功能強大，集路由、防火墻、VPN Server等功能與一身，是其他路由器不能比擬的。相對于硬件路由系統來說，Routeros可管理性要強得多，用戶可以通過進行各種操作來達到某些效果，也可以借助各種軟件來監控，使用相當靈活。

由于技術上的局限，現在運行的硬件路由設備本身很難對所有用戶進行逐一控制，隨著校園網絡的日益擴大，常會出現私自更改IP地址、ARP病毒攻擊、IP地址沖突以及網絡帶寬的惡意搶占等問題。如何高效、低成本地解決這些問題成了每個網絡管理員最首要的問題，成熟的網絡產品售價高昂，在一般中小網絡建設中是難以承受的。而借助Routeros路由操作系統，配合幾臺普通計算機就能以極低成本輕松解決中小型網絡中的這些難題。

以校園內某微機室的應用為例，該微機室建設初期采用的是局域網分配靜態IP的方式進行網絡連接，隨著網絡應用需求的增加，IP地址的管理愈加混亂，各種問題隨之而來。該機房的學生具備基本的網絡基礎，部分學生利用自己掌握的網絡知識進行一些破壞行為，造成了IP沖突、ARP攻擊以及病毒泛濫。由于該區接入層交換機不具備網管功能，無法對以上出現的網絡攻擊問題進行有效防范，同時學生大量使用迅雷、BT等P2P軟件，致使該區網絡一度癱瘓，進行人工查找往往是工作量極大而又無實際效果，而使用MikroTik Routeros路由操作系統的使用能效解決該區網絡的常見故障。

1 RouterOS的安裝與設置

1.1 安裝環境

Routeros對于硬件的要求不高，針對第六微機室的100臺電腦，選用的電腦配置為:P42.0CPU，256MB內存，Intel集成網卡和8139網卡。8139網卡用于外部接入，Intel集成網卡接機房局域網。

2.2 系統的安裝與配置

1) 用光盤版選擇所需功能進行安裝。

2) 啟動后，輸人用戶名:admin，密碼為空，進入系統。

3) 設置第一塊網卡的IP:在提示符下輸入setup命令，按提示選擇\"configure ip address and gateway\"，再選擇\"add ip address\"，設置第一塊網卡(enable interface:ether1，第1塊網卡用于連接內網)，輸人IP地址\"192.168.2.1/24\" 。

4) 在局域網內任意一臺機器上，將其IP設置成192.168.2.x，在IE地址欄輸入192.168.2.1打開WEB管理頁面并下載winbox管理軟件

5) 運行winbox輸入192.168.2.1，用戶名:admin，密碼為空，打開Routeros管理界面，將兩塊網卡重新命名，第一塊為LAN，第二塊為WAN

6) 設置外網的網卡地址:在winbox選IP Addresses，打開添加新IP功能，輸人外網IP地址，在Interface處選擇外網的網卡WAN。

7) 設置NAT:IP-Firewall點擊“NAT”，單擊添加按鈕，General-Chain:srcnat，然后選擇“Action”頁，將Action的值設為\"masquerade\"，點擊\"OK\"完成。

8) 設置靜態路由，IP-Route，點擊添加按鈕，Destination:0.0.0.0/0，Gateway:填寫外網的網關。

9) 設置DNS:IP-DNS，點擊\"Setting\"設置DNS的IP地址，選擇\"Allow Remote Requests\"，點擊\"OK\"完成。

10) 建立DHCP服務器:IP-DHCP Server-DHCP，在Name中輸入DHCP服務器的名稱，Interface選內網網卡，在Networks選項中輸入分配給客戶機的IP地址段、客戶機的網關以及IP地址的掩碼位數.

至此，機房局域網內的計算機就可以上網了。

2 利用RouterOS解決ARP欺騙

ARP(Address Resolution Protoco1)欺騙的原理是在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)。ARP協議對網絡安全具有重要意義，通過偽造IP地址和MAC地址實現ARP 欺騙，能夠在網絡中產生大量的ARP 通信量，使網絡阻塞。導致欺騙成功的最主要的原因就是ARP 協議在最初設計時沒有考慮安全機制，默認信任全部局域網內的主機。機房內只要有一臺計算機中了ARP病毒，就會造成整個機房不能正常上網，嚴重影響教學秩序。利用RouterOS，采取雙向綁定的方法可以解決ARP 欺騙和IP地址沖突等問題，方法如下:

1) 在RouterOS里綁定所有的學生機的IP和MAC。

2) 把內網卡模式改成reply—only。

3) 把內網段里沒用的IP的MAC全部綁成000000O00000，防止IP欺騙。

4) 在SNAT里指定內網段的IP段。

5) 在學生機上利用ARP腳本綁定路由器的IP和MAC地址。

3 網絡帶寬管理

在網絡管理工作中，困擾我們最多的是網絡的速度問題。本機房共有100臺電腦，帶寬為4M，但由于學生比較喜歡使用BT軟件或迅雷軟件，導致網絡的網速極慢，經常使學校網絡出口的帶寬達到極限，有時還會出現掉線現象。

針對上述問題，可以利用RouterOS的帶寬管理工具Simple queues對每個IP 限速。

運行Winbox進入系統， 選擇queues—Simple queues，對每個IP 限速500000/200000(下載500kbps/上傳200kbps)。

下面是限速的腳本:

:for aaa from 2 to 254 do={/queue simple add name=(queue. $aaa) dst-address=(192.168.2..$aaa) limit-at=0/0 max-limit=500000/200000}

通過上述腳本添加至System—Script中并執行腳本，將192.168.2.2—192.168.2.254IP段統一設置下載速度為500kbps，上傳速度為200kbps，經過長時間的測試和使用， 學校網絡在4M的帶寬的環境下，隨時保持l00～200機器同時在線，PING值一般小于l0MS，沒有發現丟包現象。

4 關鍵字過濾

在機房中，為了避免學生受非法網站或者黃色網站的毒害，對上網信息進行過濾是很有必要的。通過routeros可以按需要對網站或者關鍵字進行過濾。

運行winbox進入管理界面，選擇IP—Firewall—Filter Rules，添加一條防火墻規則，加入content=www.xxx.comaction=drop規則，可以禁止局域網內電腦訪問www.xxx.com的網站。也可以加入content=xxxaction=drop規則，此時所有含有xxx字符的網址都會被禁止訪問。

5 結論

經過上述的配置，基本上可以滿足機房的應用需求。實際運行中，RouterOS服務器運行穩定，系統啟動較快，從開機到進入系統通常不超過10秒鐘;系統資源占用率極低，CPU占用率通常不超過10% ，內存使用通常不超過30MB。很好地解決了機房的教學、上網需求。同時更便捷直觀的管理，是的網絡管理變得更加方便。

參考文獻:

[1] 賀義，蔡海鵬.基于雙RouterOS的路由和防火墻技術實現[J].電腦知識與技術，2009(11):2853-2854.

[2] 王旭.用RouterOS解決ARP病毒[J].網管員世界，2007(19):86-87.

[3] MikroTik RouterOS介紹[EB/OL].http://www.mikrotik.com.cn/newshow.aspx?ID=31.

[4] 葛巾澤，李志強.RouterOS在校園網中的應用[J].鄂州大學學報，2007，14(2).