基于VMware虛擬機部署RouterOS軟件路由器

王文峰

(無錫市體育彩票管理中心,江蘇無錫 214072)

0 前言

RouterOS是拉脫維亞Mikrotik公司研發的一款功能強大的基于Linux內核路由器操作系統軟件,具備高性能數據包轉發能力,并提供了豐富的網絡功能。在中小企業組建網絡工程中,可以將RouterOS安裝到VMware ESXi虛擬機平臺,部署在互聯網出口處,實現專業級防火墻路由器的功能,包括內部計算機訪問互聯網、VPN遠程互聯、端口映射和服務器Internet公網發布等多種網絡服務。

1 VMware ESXi安裝RouterOS虛擬機的主要步驟

以戴爾PowerEdge R900服務器為例,安裝VMware ESXi5.5虛擬化基礎環境后,通過vClient客戶端登錄ESXi主機。上傳RouterOS鏡像包mikrotik-5.20-clone.iso文件至服務器datastore1存儲器,新建一個虛擬機命名為ROS520。由于ESXi系列虛擬機環境無RouterOS的客戶系統列表,可以為虛擬客戶機操作系統選擇一個“RedHat Enterprise Linux(32位)”類型,該Linux類型與RouterOS 5.20版本保持虛擬環境的兼容。分配ROS520虛擬硬件資源,包括:1G內存、2核處理器、1G存儲空間的IDE硬盤和2個虛擬網絡適配器。2塊虛擬網絡適配器與物理服務器的2個物理網卡接口vmnic0和vmnic1一一對應,采用1000兆全雙工的工作模式。一個虛擬網卡用于連接ISP運營商提供的光纖寬帶設備,另一個虛擬網卡用于連接內部網絡的核心交換機。虛擬網絡適配器1對應網絡標簽VM Network,虛擬的網絡適配器2對應網絡標簽VM Network2。在虛擬網絡中,VM Network連接標準交換機vSwitch0, VM Network2連接標準交換機vSwitch1,如圖1所示。數據存儲ISO文件中加載安裝鏡像文件,啟用“打開電源時連接”,運行虛擬機ROS520即開啟了安裝模式。在系統安裝時,除了wireless無線模塊不必選擇外,其他功能模塊都選擇默認安裝。

圖1 虛擬網絡配置Fig.1 Virtual network configuration

2 RouterOS軟件路由器的基本配置

2.1 winbox控制臺登錄RouterOS

winbox控制臺客戶端軟件采用了 TCP協議的8291端口,支持 IP 地址、域名和 MAC 地址等多種方式登陸管理路由器。基于VMware ESXi虛擬機方式安裝完成RouterOS后,兩個虛擬網卡還沒有任何IP地址參數。因此可以在內網中同一個廣播域的任一計算機端運行winbox工具偵測RouterOS內部網卡的MAC物理地址,通過網卡MAC地址方式初次登錄軟路由,默認管理帳號為admin,初始密碼為空。提高路由器的安全保密性,在New Terminal窗口執行配置命令password修改密碼,建議配置同時包含大小寫字母、數字和特殊字符任意組合的足夠長度的密碼。采用Secure Mode安全模式,在winbox和RouterOS之間使用Transport Layer Security協議登錄,登錄RouterOS后即可配置軟件路由器的各類網絡參數。

2.2 配置RouterOS虛擬網卡參數

RouterOS虛擬部署在企業與互聯網出口處,主要起到防火墻路由器的作用。虛擬網卡的參數與企業實際的網絡拓撲有關,物理網卡1接網線到光貓,物理網卡2接網線到核心交換機,確保物理鏈路層的可靠連接。為了區別虛擬網卡的功能應用,將接入外部網絡的網卡命名為wan,接入內部網絡的網卡命名為lan。具體方法是在winbox菜單列表中進入Interfaces,修改ether1為wan,修改ether2為lan。網卡均啟用ARP的enable功能、1Gbps傳輸速率和全雙工模式。進入winbox菜單列表中IP里面的Addresses,將外部網絡的網卡地址設置為公網IP,輸入子網掩碼的位數、網絡地址,選擇Interface接口為wan。將內部網絡的網卡地址設置為192.168.1.254,輸入子網掩碼的位數24位、網絡地址192.168.1.0,選擇Interface接口為lan。至此,兩塊虛擬網卡的網絡參數基本配置完成。

2.3 配置默認路由、偽裝與DNS服務器

為了使局域網計算機連接到互聯網,需要配置默認路由。進入winbox菜單列表中IP里面的Routes,添加默認網關,目標地址是0.0.0.0/0,網關地址就是ISP提供的默認公網網關IP。進入winbox菜單列表中IP里面的firewall,NAT地址轉換添加偽裝規則,在General選擇的Chain列表里面選擇srcnat鏈表,源地址轉換,Action選項中配置action=masquerade規則。添加運營商提供的DNS服務器IP地址,在ip dns的settings中可以添加多個DNS服務器地址,根據需要啟用DNS緩存(allow remote requests),并可以通過Cache size修改DNS緩存大小。比如無錫地區電信線路用戶可以輸入DNS地址為221.228.255.1和218.2.135.1。上述配置完成后,局域網內部的計算機配置好192.168.1.0網段的IP地址、網關地址192.168.1.254與DNS參數即可接入互聯網。

2.4 RouterOS的安全配置

RouterOS的提供了豐富的安全配置功能,比如修改協議的對應規則、限定路由器的登錄管理IP地址范圍、防火墻策略等。例如通過Internet遠程訪問RouterOS虛擬機,修改web訪問的端口為28088、telnet訪問的端口為28023,執行的命令行為ip service set www port=28088;ip service set telnet port=28023。

例如,在內部網絡中僅限定IP地址為192.168.1.207的計算機通過winbox登錄RouterOS,可以在菜單ip中進入services,在winbox中的available from中添加地址192.168.1.207,如圖2。這樣局域網中的其他IP地址的計算機無法通過winbox登錄RouterOS路由器。例如TCP135端口主要采用RPC遠程過程調用協議,提供DCOM分布式組件對象模型服務,在一臺計算機上運行的程序執行另一臺遠程計算機上的代碼。使用DCOM通過網絡直接進行包括HTTP協議在內的多種網絡通信,包括“沖擊波”病毒就是利用了RPC漏洞攻擊聯網計算機,具有一定的安全隱患。在RouterOS上可以添加一條防火墻規則,將所有通過路由器到目標協議為TCP端口135的數據包丟棄掉。執行命令行如下ip firewall filter add chain=forward dstport=135 protocol=tcp action=drop。

圖2 設置winbox授權登錄IPFig.2 Setting winbox authorized login IP

3 基于RouterOS發布內網FTP服務器

內部局域網中的服務器可以通過RouterOS的端口映射功能,對互聯網發布網絡服務。例如內網中有一臺Filezilla Server構建的FTP服務器,提供文件下載功能,IP地址為192.168.1.10。內部網絡默認FTP端口為21,對外網發布FTP服務端口為16821。根據拓撲結構,需要將外網16821端口映射到內部的IP地址為192.168.1.10的21端口。端口映射配置如下,進入 ip firewall的NAT,在General一欄中選擇chain=dstnat,Dst Address即公網IP地址,Dst Port為tcp協議16821端口。在Action一欄中的Action中選擇dst-nat 操作,To Addresses設置內網FTP服務器地址192.168.1.10,To Ports端口為21。配置完成后,利用ftp://公網IP:16821的網址格式即可訪問FTP服務器,FTP用戶根據權限登錄后即可上傳或者下載文件[1]。

4 實施效果與總結

基于VMware ESXi5.5虛擬化架構部署RouterOS軟件防火墻路由器,充分利用了現有的服務器硬件資源,投入的成本較低。實踐證明RouterOS具備較高的網絡數據包轉發性能,為了滿足網絡管理方面的各類應用需求,企業可以深入挖掘RouterOS的其他功能,如針對特定IP和網段進行流量控制、QoS服務質量管理、分支機構網絡的VPN遠程互聯,自定義高級防火墻策略等,進一步提高網絡管理和信息系統安全等級保護水平。