ROS軟路由培訓課件

1、本期內(nèi)容包括ROS路由器的基礎(chǔ)配置，主要內(nèi)容包括：1. IP地址配置；2. 路由配置；3. NAT配置；4. 防火墻策略的配置；5. 設(shè)置上網(wǎng)策略6. ROS限速7. ROS IPsecVPN設(shè)置一、配置地址1.剛剛安裝好之后使用終端操作，輸入用戶名admin，密碼為空登陸路由器。2.使用如下命令為我們的內(nèi)網(wǎng)接口配置一個IP地址，ROS默認的接口名稱是ether1、ether2如果分不清楚的情況下，我們就先給一個接口一個接口的試一下。3.配置好接口之后，使用winbox來連接ROS路由器，地址為，用戶名為admin，密碼默認為“空”。4.修改內(nèi)外網(wǎng)接口的名稱，以便我們?nèi)?/p>

2、后區(qū)分5.修改外網(wǎng)口IP：靜態(tài)IP：在IPaddress中點擊加號，然后輸入IP地址（帶子網(wǎng)掩碼）和接口，點擊OK添加成功。DHCP自動獲?。涸贗PDHCP Client中點擊“+”號，然后選擇外網(wǎng)接口，點擊確定，然后ROS就會自動獲取IP地址，簡單吧！PPPOE寬帶撥號：點擊PPP，然后點擊加號，再出現(xiàn)的菜單中選擇PPPOE Client；隨便起一個名字（無所謂），然后修改“Max MTU”值，將原來的1480改為1492，然后選擇外網(wǎng)接口點擊確定，在“Dial Out”一欄里面輸入用戶名密碼，之后路由器就會自動撥號然后我們看見在有一條pppoe撥號的記錄，狀態(tài)為R，表示可用查看路由表，有一

3、條自動生成的默認路由二、路由（靜態(tài)地址需要配置）打開IPaddress中我們發(fā)現(xiàn)已經(jīng)有一條路由了，標記為DAC，表示是動態(tài)學習到的；這是一條到達內(nèi)網(wǎng)直連路由，我們點擊加號，然后輸入目的地址/0和網(wǎng)關(guān)，點擊確定即可！三、NAT多對一上網(wǎng)因為我們是多對一的上網(wǎng)環(huán)境，我們需要配置NAT使得眾多客戶端共享上網(wǎng)點擊IPfirewall，選擇第二項NAT，點擊加號，新增一條NAT的策略，在“General”Chain選項選擇srcnat，這個選項表示我們是源NAT，也就是從內(nèi)網(wǎng)到外網(wǎng)的地址轉(zhuǎn)換；接著我們點開Action選項，將“Action”一項選擇masquerad

4、e，這一項表示我們被轉(zhuǎn)換成的地址就是我們外網(wǎng)口的接口地址（外網(wǎng)地址唯一）顯示情況下，如果我們有多個外網(wǎng)地址（比如電信給了我們兩個地址），那么我們可以指定被轉(zhuǎn)換成的地址，做法就是在Action選項中選擇src-nat，這也是表示源路由，只是我們需要在下面指定要被轉(zhuǎn)換的地址四、防火墻策略默認情況下，ROS里面防火墻策略是空的，是允許所有用戶上網(wǎng)的，下面我們細化用戶的上網(wǎng)權(quán)限：1. 允許部分用戶上外網(wǎng)首先我們打開IPfirewall，選擇第6項“Address Lists”，在這里我們新建一個組，點擊加號，用戶組的名字就是“可以上網(wǎng)”，在地址欄中我們添加可以上網(wǎng)的用戶的IP地址（可以添加多個地址和地

5、址段，只需要保證組名字相同即可）添加完之后我們轉(zhuǎn)到“filter rule”點擊加號添加一條防火墻規(guī)則；步驟一：按如下圖操作，需要說明的是我們需要將“connection stata“選擇為”established“，這個表示允許TCP連接狀態(tài)為”已連接的“所有數(shù)據(jù)包通過（如果少了這一步，將會導致所有的用戶上不了網(wǎng)）步驟二，添加允許上網(wǎng)的策略，步驟如下完成以上兩個步驟之后，所有用戶還是可以上網(wǎng)的，因為ROS默認的是允許所有用戶上網(wǎng)的，所有我們還需要新建一條拒絕所有用戶的策略；步驟三：拒絕所有用戶，五、設(shè)置上網(wǎng)策略該功能需要完成的步驟：1. 設(shè)置可訪問的地址；2. 新建防火墻策略；步驟一：在IP

6、FirewallAddress Lists里面，點擊新增步驟二：在新增窗口填寫分組名稱（如果已經(jīng)存在點擊向下的箭頭選擇對應的分組），在“address”部分，填寫對應的IP地址；然后點擊“OK”按鈕完成操作；步驟三：有的時候我們需要備注一下名稱（百度、汽車之家等等），可以按照圖中的步驟，先選中一條記錄，然后點擊黃色按鈕，在彈出的對話框中填寫名稱，最后點擊“OK”按鈕即可。步驟四：依次點擊“Filter Rules”點擊“+”號，新增一條策略。步驟五：點擊“General”Chain：選擇forward；In Interface：選擇內(nèi)網(wǎng)接口（LAN）；Out Interface：選擇外網(wǎng)接口（

7、WAN）；步驟六：點擊“Advanced”,Dst. Address List：選擇我們之前新建好的組（允許訪問的網(wǎng)址）；步驟七：點擊“Action”選項Action：選擇accept，表示允許數(shù)據(jù)通過；最后點擊“OK”按鈕，完整策略的配置；步驟八：調(diào)整策略的位置默認情況下，新增的策略是在策略列表的最后一條，我們需要通過鼠標點擊拖動的方式調(diào)整策略的順序，我們的原則是在“拒絕所有”這條策略之上就好了。默認情況下面，新建好的策略是沒有名字的（如“允許訪問指定的網(wǎng)址”），如果想起個名字，只要點擊黃色的按鈕添加名字就好了。六、ROS限速該功能需要完成的步驟：1. 標記流量；2. 新建限速模型；3. 新

8、建限速策略；步驟一：打開“IP”“Firewall”“Mangle”，點擊新增按鈕；步驟二：標記HTTP流量,點擊“General”選項（網(wǎng)頁的流量主要是在服務(wù)器返回數(shù)據(jù)時候產(chǎn)生，我們就是要標記這部分流量）Chain：選擇prerouting；Protocol：選擇tcp協(xié)議；Src. Port：選擇80端口；In. Interface：選擇外網(wǎng)接口；步驟三：點解“Action”選項Action：選擇mark_packet;New Packet Mark：填寫一個標記的名字（組名字），這里寫的是down_web;點擊“OK”按鈕完成流量的標記根據(jù)需要可以自己新建多個標記：新建完成之后如下：需要

9、說明的是，網(wǎng)站標準端口是，80，有時候也可能是8080、8081、81等，這需要根據(jù)實際情況新建標記策略；步驟四：新建策略模板：依次點開“Queues”“Queue Type”點擊加號新增；步驟五：新建下載的策略模板：Type Name：給策略模板起一個名字：down，表示下載；Kind：選擇模板的類型：pcq；Rate：填寫限速大?。?M，2M就是表示下載每用戶限速是2M；Limit：填寫線程會話限制：50，表示每用戶最多只能有50個會話；Total Limit：填寫最大會話數(shù)：2000；Classifier：選擇Dst. Address;點擊“OK”完成，同理新建上傳的策略模板：步驟六：新

10、增限速策略：ROS的限速使用的典型的管道模型，即大管子在最外面，里面有小管子，每個小管子都代表一個策略，都會有一個流量的上限和下限，多有小管子的流量下限值的和不能超過大管子的最大流量值，但是小管子的流量上限和可以超過大管子的最大流量和，超過的部分將會平分流量。打開“Queue Tree”選項，點擊加號新增；步驟七：新增下載的父策略（大管子）Name：給策略起一個名字，這邊是down，表示下載的父策略；Parent：選擇global-in；Queue Type：選擇down，這個down就是我們在上一個步驟里面新建好的策略模型（每人2M）；Max Limit：填寫最大帶寬，看申請的帶寬而定，一般

11、是10M，也有20M的寬帶；步驟八：新增上傳的父策略（大管子）參數(shù)按下圖設(shè)置，根據(jù)實際情況調(diào)整；步驟九：新增下載的子策略（小管子）Name：自己起一個名字；Parent：選擇我們新建好的父策略（down），表示是子策略，并指定父策略；Parket Marks：選擇我們新建好的標記策略：down_web;Queue Type：選擇我們新建好的限速模板，down；Limit At：填寫流量下限，4M；Max Limit：填寫流量上限，10M；點擊“OK”就好了新建好的策略如下：我們能夠很明顯的看出策略的父子關(guān)系；七、ROS的VPN設(shè)置配置要點：配置IPsec第一階段協(xié)商；配置IPsec第二階段協(xié)商

12、；配置NAT設(shè)置；ROS特有；步驟一：依次打開IPIpescPeer點擊加號；步驟二：新建IPsec第一階段參數(shù)：Address：填寫對端的IP地址：這邊填寫的是總部的IP地址；Port：默認Auth. Method：選擇“pre shared key”，表示與共享密碼方式協(xié)商認證；Exchange Mode：選擇“aggressive“，表示野蠻模式；勾選”Send Initial Contact“和”NAT Traversal“；Proposal Check：默認就好了；Hash Algorithm：選擇md5；驗證數(shù)據(jù)的完整性；Encryption Algorithm：選擇3des；完成

13、數(shù)據(jù)的加密；DH Group：選擇modp1024，這參數(shù)相當于其他防火墻里面的”group 2“；其他參數(shù)默認不變；點擊OK完成；步驟三：創(chuàng)建IPsec第二階段協(xié)商的參數(shù)：點擊Proposals，點擊新增；按下去所示，分別起一個名字。并勾選MD5、3des和modp1024參數(shù)；步驟四：點擊Policies選項，點擊新增，在彈出來的對話框中點擊”General“Src. Address：填寫本地網(wǎng)段；Dst. Address：填寫對端的網(wǎng)段；Protocol：選擇所有；然后點擊action選項：Action：選擇encrypt，表示IPesc加密；Level：默認，選擇require；Ips

14、ec Protocols：選擇esp；勾選”Tunnel“；SA Src. Address：本段的公網(wǎng)地址；SA Dst. Address：對端的公網(wǎng)地址；Proposal：選擇我們上一步驟新建的IPsec第二階段協(xié)商的參數(shù)：“標致“；點擊”O(jiān)K“就好了；到此對于一般的防火墻就可以了，但是ROS里面還要增加兩個操作；步驟五：繼續(xù)新建一個Policies，參數(shù)如下圖需要注意的是在action選項中，action選擇的是”none“；表示所有訪問本地網(wǎng)段流量都不進行IPsec加密；這樣做的目的是，在實際操作中，ROS會將總部訪問本地網(wǎng)段（東標）的流量進行IPsec加密，但是我們需要的是進行IPse

15、c解密，所以會出現(xiàn)問題，加上以下策略之后，對于總部訪問分部的流量不錯第二次加密，而是正常的解密操作；步驟六：設(shè)置NAT在ROS的運行流程中，NAT操作時比較優(yōu)先的，但是我們需要的是，對于IPsec的流量是不需要NAT操作的。依次點開IPfirewallNAT選項，點擊新增：Chain：選擇srcnat；Src. Address：/24這個填寫的是本地網(wǎng)段；Dst. Address：/16這個填寫的是對端的網(wǎng)段；Action：選擇accept；表示不進行任何操作，不進行NAT；【重點】設(shè)置好了之后將這條策略放在第一個（使用鼠標點擊拖拽的方式）八、IP-MAC綁定配置步驟：1. IP和MAC地址綁定2. 關(guān)閉arp步驟一：IP和MAC地址綁定依次打開IPARP List，正常情況下，你會看見內(nèi)網(wǎng)中所有已經(jīng)接入到網(wǎng)絡(luò)中的設(shè)備（IP地址和對應的MAC地址），并且離能看到每條記錄之前都有一個“D”開頭的標志，這表示這個ARP信息是動態(tài)學習到的。然后選中記錄（也可以使用shift或者是ctrl鍵進行多選），右擊點擊“Make Static”，將當前記錄轉(zhuǎn)換