RouterOS軟件路由器在校園網中的應用研究

陳家遷

（廣西建設職業技術學院，廣西南寧，530007）

RouterOS軟件路由器在校園網中的應用研究

陳家遷

（廣西建設職業技術學院，廣西南寧，530007）

RouterOS路由系統，具有強大的VLAN管理、無線、用戶認證、策略路由、VPN、帶寬控制和防火墻功能，研究RouterOS在校園網絡中的應用具有十分重要的意義。

用戶認證；策略路由；帶寬控制；地址轉換

RouterOS是一種路由操作系統，基于Linux內核開發，兼容x86架構，只需在普通PC安裝系統，就可以將其變成高性能的路由器。RouterOS軟件經歷了多次更新和改進，使其功能在不斷的增強和完善。特別在Vlan、無線、用戶認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常強大的功能，許多校園網絡管理中遇到的問題，在RouterOS中都能找到解決的辦法。

1　系統安裝

CD安裝是基于PC的x86硬件最常見的安裝方式，通過CD將MikroTik RouterOS安裝到基于x86平臺的PC硬件上。

安裝步驟：

（1）從MikroTik.cn官網下載 RouterOS的IOS鏡像文件。

（2）將ISO鏡像下載到硬盤后，通過刻錄光驅和刻錄程序，將鏡像刻錄為CD/DVD。

（3）從RouterOS CD/DVD光盤引導啟動安裝。

（4）使用“空格”選擇需要安裝的功能包，其中System包是必不可少的，按“a”可以選擇所有功能包，或者“m”選擇最小安裝，按“i”開始安裝 RouterOS，如果你之前在同一臺 PC 上安裝過RouterOS，你可以復位和保存設置，提示如下 “Do you want to keep old configuration？”如果選擇“n”復位設置，選擇“y”保存之前配置。

（5）啟動后RouterOS提示登陸信息，登錄默認賬號是admin，沒有密碼。

2　登陸管理RouterOS系統

RouterOS系統的管理方式包括Console連接管理、Winbox圖形界面管理、鍵盤登陸管理、Telnet（ssh）等，下面以最常用的winbox圖形界面管理進行介紹。

你可以下載 winbox 應用程序，通過網上搜索可以找到，下載完成后，確保電腦與路由器已通過正常連接。運行 winbox，點擊...按鈕，winbox 會尋找你的路由器 MAC 地址，如果找到將會顯示在 winbox 列表框內，選擇找到的mac地址，在Login處理輸入用戶名admin，在Password處無需輸入，單擊Connect就可以連接到路由器。

舉例：某網絡外網IP：8.8.8.8/24，外網網關8.8.8.1，內網ip：192.168.2.1/24， dns：202.103.224.68現需要配置Routeros系統實現全網能上網，通過Winbox 中的New terminal進入CLI命令方式設置。

配置命令：

/ip address add address=8.8.8.8/24 interface=ether1 network=8.8.8.0//外網IP和掩碼設置

/ip address add address=192.168.2.1/24 interface=ether2network=192.168.2.0 //內網IP和掩碼設置

/ip route add gateway=8.8.8.1//網關設置為8.8.8.1

/ip firewall nat add chain=srcnat action=masquerade //啟用偽裝

/ip dns set servers=202.103.224.68//dns設置請根據當地ISP修改

3　網絡地址轉換

現在公網IP地址資源非常有限，網絡運營商只會分配很少的公網IP地址給學校使用。校園存在用戶數量龐大，公網IP地址不夠，校園有需要對外提供服務的服務器資源等問題。在 RouterOS可以通過NAT功能解決這些問題。NAT（Network Address Translation）網絡地址轉換，分為源地址轉換（srcnat）和目的地址轉換（dstnat）。

3.1源地址轉換

源地址轉換通俗的說就是把內網ip轉換成公網IP，從而達到上網目的。實例：某網絡需要實現內網全部通過外網的公網IP共享上網。命令：

/ip firewall nat add chain=srcnat action=masquerade

3.2目的地址轉換

目的地址轉換，可以把內網的IP和端口映射到外網，實現外部用戶訪問內網服務器的目的。實例：某網絡的公網IP為8.8.8.8，其內網的web服務器IP：192.168.1.1需要對外開放，可以通過dstnat實現。命令：

/ip firewall nat add chain=dstnat protocol=tcp dst-address=8.8.8.8 dst-ports=80 action=dst-nat toaddresses=192.168.1.1 to-ports=80

4　Routeros防火墻

在校園網中網絡安全問題越來越突出，保護路由器不受攻擊，是每個網絡管理員的關心的問題。通過RouterOS的防火墻功能關閉不希望開放的端口，提升網絡的安全。通過對input鏈表設置，可以對所有進入路由器的數據包進行過濾。實例：禁止訪問路由器的69和111端口。命令：

/ip firewall filter

/add chain=input protocol=udp dst-port=69 action=drop comment=”deny TFTP”

/add chain=input protocol=udp dst-port=111 action=drop comment=”deny PRC”

5　RouterOS帶寬優化

5.1限制p2p速率

有些用戶使用 p2p 軟件或在線看高清視頻，占用大量的帶寬，造成網絡不暢。Routeros可以做到用戶公平上網，可以實現根據P2P、web、ftp等應用協議進行限速。queue流量控制用于對網絡接口數據流發送和接收數據進行控制，傳輸流量被控制在指定范圍值內，即傳輸的流量只能小于或者等于這個值，反之超過的流量將會被丟棄或延遲發送。實例：限制內網通過p2p進行下載時速度不能超過4Mb。

命令：

/ip firewall mangle add chain=forward p2p=all-p2p action=mark-packet new-packet-mark=p2p_pac//對所有p2p數據打標記

/queue simple add name=p2p_que1 target=192.168.1.0/24 max-limit=4M/4M packet-marks=p2p_ pac//限制p2p數據包上傳下載為4Mb

5.2智能化控制帶寬

圖1　pcq帶寬動態分配效果圖

在校園網絡中因為用戶多，通常需要對用戶使用帶寬進行限制，一般的的路由器只能實現對用戶設置一個固定不變的流量進行控制，這種方法會造成在上網人數較少時帶寬的浪費。使用routeros的PCQ算法可以完成對內部局域網流量的動態分配。某網絡出口總帶寬為12Mb，之前使用的路由器針對每個用戶限制帶寬為1M，就算上網只有1人，用戶也只能使用1M的帶寬，有11M帶寬是浪費的。而采用RouterOS的PCQ進行限速，當只有1個用戶在上網時，他可以使用全部12Mb的帶寬，當有2個用戶在使用時他們平分12Mb帶寬，每用戶可以使用6Mb帶寬，當達到7用戶時，7人平分12Mb帶寬，每用戶可以最高1.7Mb。通過使用PCQ動態帶寬控制技術，可以保證用戶在使用時，不會因某個用戶惡意占用帶寬，造成用戶無法上網或者瀏覽網站很慢，體驗差的情況，可以實現較好的網絡帶寬優化，保證了每個用戶都可以流暢上網，給用戶帶來更好的上網體驗。動態分配效果如下圖1。

實現腳本：

/queue type add name=upkind=pcq pcq-rate=0 pcqlimit=50 pcq-total-limit=2000 pcq-classifier=srcaddress

/queue type add name=downkind=pcq pcq-rate=0 pcq-limit=50 pcq-total-limit=2000 pcq-classifier=dstaddress

/queue simple add name=pcq target=192.168.1.0/24 max-limit=12M/12M queue=up/down

6　結束語

RouterOS系統功能非常強大靈活，而軟件授權價格非常低廉。通過研究RouterOS系統在校園網絡中的應用，可以提升校園網絡的管控優化能力，提高用戶的使用體驗，具有十分重要的意義。

Research on the application of RouterOS software router in campus network

Chen Jiaqian
（Guangxi Polytechnic of Construction，Nanning，Guangxi 530007）

Routeros routing system， with strong management VLAN，wireless，user authentication，policy routing，VPN，bandwidth control and firewall function，research Routeros in campus network application has very important significance.

user authentication；policy routing；bandwidth control；address translation

陳家遷（1977-），男，廣西玉林人，碩士，講師，工程師，研究方向計算機網絡技術。

本文是2011年廣西教育廳科研項目（項目編號：200103YB186）的階段性成果。

［1］王進.RouterOS軟件路由器在校園網絡中的應用［J］.計算機光盤軟件與應用，2012（4）：49-50

［2］袁小潔.基于RouterOS軟路由在校園網絡中的典型應用［J］.科技資訊，2010（22）：23