ROS軟路由培訓(一)

1、 可修改 歡迎下載 精品 Word 可修改 歡迎下載 精品 Word 可修改 歡迎下載 精品 Word本期內(nèi)容包括ROS路由器的根底配置，主要內(nèi)容包括：IP地址配置；路由配置；NAT配置；防火墻策略的配置；設置上網(wǎng)策略ROS限速ROS IPsecVPN設置一、配置地址1.剛剛安裝好之后使用終端操作，輸入用戶名admin，密碼為空登陸路由器。2.使用如下命令為我們的內(nèi)網(wǎng)接口配置一個IP地址，ROS默認的接口名稱是ether1、ether2如果分不清楚的情況下，我們就先給一個接口一個接口的試一下。3.配置好接口之后，使用winbox來連接ROS路由器，地址為，用戶名為admin，密碼默認為“空。4

2、.修改內(nèi)外網(wǎng)接口的名稱，以便我們?nèi)蘸髤^(qū)分5.修改外網(wǎng)口IP：靜態(tài)IP：在IPaddress中點擊加號，然后輸入IP地址帶子網(wǎng)掩碼和接口，點擊OK添加成功。DHCP自動獲?。涸贗PDHCP Client中點擊“+號，然后選擇外網(wǎng)接口，點擊確定，然后ROS就會自動獲取IP地址，簡單吧！PPPOE寬帶撥號：點擊PPP，然后點擊加號，再出現(xiàn)的菜單中選擇PPPOE Client；隨便起一個名字無所謂，然后修改“Max MTU值，將原來的1480改為1492，然后選擇外網(wǎng)接口點擊確定，在“Dial Out一欄里面輸入用戶名密碼，之后路由器就會自動撥號然后我們看見在有一條pppoe撥號的記錄，狀態(tài)為R，表示

3、可用查看路由表，有一條自動生成的默認路由二、路由靜態(tài)地址需要配置翻開IPaddress中我們發(fā)現(xiàn)已經(jīng)有一條路由了，標記為DAC，表示是動態(tài)學習到的；這是一條到達內(nèi)網(wǎng)直連路由，我們點擊加號，然后輸入目的地址和網(wǎng)關(guān)，點擊確定即可！三、NAT多對一上網(wǎng)因為我們是多對一的上網(wǎng)環(huán)境，我們需要配置NAT使得眾多客戶端共享上網(wǎng)點擊IPfirewall，選擇第二項NAT，點擊加號，新增一條NAT的策略，在“GeneralChain選項選擇srcnat，這個選項表示我們是源NAT，也就是從內(nèi)網(wǎng)到外網(wǎng)的地址轉(zhuǎn)換；接著我們點開Action選項，將“Action一項選擇masquerade，這一項表示我們被轉(zhuǎn)換成的地

4、址就是我們外網(wǎng)口的接口地址外網(wǎng)地址唯一顯示情況下，如果我們有多個外網(wǎng)地址比方電信給了我們兩個地址，那么我們可以指定被轉(zhuǎn)換成的地址，做法就是在Action選項中選擇src-nat，這也是表示源路由，只是我們需要在下面指定要被轉(zhuǎn)換的地址四、防火墻策略默認情況下，ROS里面防火墻策略是空的，是允許所有用戶上網(wǎng)的，下面我們細化用戶的上網(wǎng)權(quán)限：允許局部用戶上外網(wǎng)首先我們翻開IPfirewall，選擇第6項“Address Lists，在這里我們新建一個組，點擊加號，用戶組的名字就是“可以上網(wǎng)，在地址欄中我們添加可以上網(wǎng)的用戶的IP地址可以添加多個地址和地址段，只需要保證組名字相同即可添加完之后我們轉(zhuǎn)到“

5、filter rule點擊加號添加一條防火墻規(guī)那么；步驟一：按如以以下圖操作，需要說明的是我們需要將“connection stata“選擇為established“，這個表示允許TCP連接狀態(tài)為已連接的“所有數(shù)據(jù)包通過如果少了這一步，將會導致所有的用戶上不了網(wǎng)步驟二，添加允許上網(wǎng)的策略，步驟如下完成以上兩個步驟之后，所有用戶還是可以上網(wǎng)的，因為ROS默認的是允許所有用戶上網(wǎng)的，所有我們還需要新建一條拒絕所有用戶的策略；步驟三：拒絕所有用戶，五、設置上網(wǎng)策略該功能需要完成的步驟：設置可訪問的地址；新建防火墻策略；步驟一：在IPFirewallAddress Lists里面，點擊新增步驟二：在新

6、增窗口填寫分組名稱如果已經(jīng)存在點擊向下的箭頭選擇對應的分組，在“address局部，填寫對應的IP地址；然后點擊“OK按鈕完成操作；步驟三：有的時候我們需要備注一下名稱百度、汽車之家等等，可以按照圖中的步驟，先選中一條記錄，然后點擊黃色按鈕，在彈出的對話框中填寫名稱，最后點擊“OK按鈕即可。步驟四：依次點擊“Filter Rules?點擊“+號，新增一條策略。步驟五：點擊“GeneralChain：選擇forward；In Interface：選擇內(nèi)網(wǎng)接口LAN；Out Interface：選擇外網(wǎng)接口WAN；步驟六：點擊“Advanced,Dst. Address List：選擇我們之前新建

7、好的組允許訪問的網(wǎng)址；步驟七：點擊“Action選項Action：選擇accept，表示允許數(shù)據(jù)通過；最后點擊“OK按鈕，完整策略的配置；步驟八：調(diào)整策略的位置默認情況下，新增的策略是在策略列表的最后一條，我們需要通過鼠標點擊拖動的方式調(diào)整策略的順序，我們的原那么是在“拒絕所有這條策略之上就好了。默認情況下面，新建好的策略是沒有名字的如“允許訪問指定的網(wǎng)址，如果想起個名字，只要點擊黃色的按鈕添加名字就好了。六、ROS限速該功能需要完成的步驟：標記流量；新建限速模型；新建限速策略；步驟一：翻開“IP?“Firewall?“Mangle，點擊新增按鈕；步驟二：標記 流量,點擊“General選項網(wǎng)

8、頁的流量主要是在效勞器返回數(shù)據(jù)時候產(chǎn)生，我們就是要標記這局部流量Chain：選擇prerouting；Protocol：選擇tcp協(xié)議；Src. Port：選擇80端口；In. Interface：選擇外網(wǎng)接口；步驟三：點解“Action選項Action：選擇mark_packet;New Packet Mark：填寫一個標記的名字組名字，這里寫的是down_web;點擊“OK按鈕完成流量的標記根據(jù)需要可以自己新建多個標記：新建完成之后如下：需要說明的是，網(wǎng)站標準端口是，80，有時候也可能是8080、8081、81等，這需要根據(jù)實際情況新建標記策略；步驟四：新建策略模板：依次點開“Queues

9、?“Queue Type?點擊加號新增；步驟五：新建下載的策略模板：Type Name：給策略模板起一個名字：down，表示下載；Kind：選擇模板的類型：pcq；Rate：填寫限速大?。?M，2M就是表示下載每用戶限速是2M；Limit：填寫線程會話限制：50，表示每用戶最多只能有50個會話；Total Limit：填寫最大會話數(shù)：2000；Classifier：選擇Dst. Address;點擊“OK完成，同理新建上傳的策略模板：步驟六：新增限速策略：ROS的限速使用的典型的管道模型，即大管子在最外面，里面有小管子，每個小管子都代表一個策略，都會有一個流量的上限和下限，多有小管子的流量下限

10、值的和不能超過大管子的最大流量值，但是小管子的流量上限和可以超過大管子的最大流量和，超過的局部將會平分流量。翻開“Queue Tree選項，點擊加號新增；步驟七：新增下載的父策略大管子Name：給策略起一個名字，這邊是down，表示下載的父策略；Parent：選擇global-in；Queue Type：選擇down，這個down就是我們在上一個步驟里面新建好的策略模型每人2M；Max Limit：填寫最大帶寬，看申請的帶寬而定，一般是10M，也有20M的寬帶；步驟八：新增上傳的父策略大管子參數(shù)按以以下圖設置，根據(jù)實際情況調(diào)整；步驟九：新增下載的子策略小管子Name：自己起一個名字；Paren

11、t：選擇我們新建好的父策略down，表示是子策略，并指定父策略；Parket Marks：選擇我們新建好的標記策略：down_web;Queue Type：選擇我們新建好的限速模板，down；Limit At：填寫流量下限，4M；Max Limit：填寫流量上限，10M；點擊“OK就好了新建好的策略如下：我們能夠很明顯的看出策略的父子關(guān)系；七、ROS的VPN設置配置要點：配置IPsec第一階段協(xié)商；配置IPsec第二階段協(xié)商；配置NAT設置；ROS特有；步驟一：依次翻開IP?Ipesc?Peer?點擊加號；步驟二：新建IPsec第一階段參數(shù)：Address：填寫對端的IP地址：這邊填寫的是總部

12、的IP地址；Port：默認Auth. Method：選擇“pre shared key，表示與共享密碼方式協(xié)商認證；Exchange Mode：選擇“aggressive“，表示野蠻模式；勾選Send Initial Contact“和NAT Traversal“；Proposal Check：默認就好了；Hash Algorithm：選擇md5；驗證數(shù)據(jù)的完整性；Encryption Algorithm：選擇3des；完成數(shù)據(jù)的加密；DH Group：選擇modp1024，這參數(shù)相當于其他防火墻里面的group 2“；其他參數(shù)默認不變；點擊OK完成；步驟三：創(chuàng)立IPsec第二階段協(xié)商的參數(shù)：

13、點擊Proposals，點擊新增；按下去所示，分別起一個名字。并勾選MD5、3des和modp1024參數(shù)；步驟四：點擊Policies選項，點擊新增，在彈出來的對話框中點擊General“Src. Address：填寫本地網(wǎng)段；Dst. Address：填寫對端的網(wǎng)段；Protocol：選擇所有；然后點擊action選項：Action：選擇encrypt，表示IPesc加密；Level：默認，選擇require；Ipsec Protocols：選擇esp；勾選Tunnel“；SA Src. Address：本段的公網(wǎng)地址；SA Dst. Address：對端的公網(wǎng)地址；Proposal：選擇

14、我們上一步驟新建的IPsec第二階段協(xié)商的參數(shù)：“標致“；點擊OK“就好了；到此對于一般的防火墻就可以了，但是ROS里面還要增加兩個操作；步驟五：繼續(xù)新建一個Policies，參數(shù)如以以下圖需要注意的是在action選項中，action選擇的是none“；表示所有訪問本地網(wǎng)段流量都不進行IPsec加密；這樣做的目的是，在實際操作中，ROS會將總部訪問本地網(wǎng)段東標的流量進行IPsec加密，但是我們需要的是進行IPsec解密，所以會出現(xiàn)問題，加上以下策略之后，對于總部訪問分部的流量不錯第二次加密，而是正常的解密操作；步驟六：設置NAT在ROS的運行流程中，NAT操作時比較優(yōu)先的，但是我們需要的是，

15、對于IPsec的流量是不需要NAT操作的。依次點開IPfirewall?NAT選項，點擊新增：Chain：選擇srcnat；Src. Address：這個填寫的是本地網(wǎng)段；Dst. Address：這個填寫的是對端的網(wǎng)段；Action：選擇accept；表示不進行任何操作，不進行NAT；【重點】設置好了之后將這條策略放在第一個使用鼠標點擊拖拽的方式八、IP-MAC綁定配置步驟：IP和MAC地址綁定關(guān)閉arp步驟一：IP和MAC地址綁定依次翻開IP?ARP List，正常情況下，你會看見內(nèi)網(wǎng)中所有已經(jīng)接入到網(wǎng)絡中的設備IP地址和對應的MAC地址，并且離能看到每條記錄之前都有一個“D開頭的標志，這表示這個ARP信息是動態(tài)學習到的。然后選中記錄也可以使用shift或者是ctrl鍵進行多項選擇，右擊點擊“Make Static，將當前記錄轉(zhuǎn)換為靜態(tài)綁定，轉(zhuǎn)化之后記錄前面的“D標識符就會消失。步驟二：關(guān)閉ARP選項依次翻開Interface?“Interface List?“Interface，找到內(nèi)網(wǎng)接口“LAN；雙擊翻開屬性配置頁面，點擊“General，然后ARP選項選擇“reply-only，表示ROS開始不學習新的ARP信息，只對客戶端進行ARP解析作用?！局攸c】需要注