中文手册RouterOS.docx
《中文手册RouterOS.docx》由会员分享,可在线阅读,更多相关《中文手册RouterOS.docx(23页珍藏版)》请在冰豆网上搜索。
中文手册RouterOS
ISP级软件路由器之王
RouerOS宽带接入服务器
用户手册――配置指南
RouerOS系列宽带接入服务器配置指南内容摘要
一.概述.................................................................3
1.RouerOS宽带接入服务器的网络接口类型...............................3
2.RouerOS宽带接入服务器具有以下网络功能.............................3
二.基本的配置管理........................................................5
11.系统的缺省帐号...................................................5
12.登录方式.........................................................5
13.命令行配置的基本操作.............................................6
1远程管理-权限管理..........................................7
15.日志管理.........................................................8
19
17.系统时间设置.....................................................10
8.系统热启动.......................................................10
三.物理接口的配置管理....................................................10
四.查看当前配置..........................................................11
4.1查看全部配置....................................................11
4.2查看子项配置....................................................11
五.IP参数配置...........................................................11
11.路径:
...........................................................11
12.功能:
...........................................................11
13.配置IP地址及路由................................................12
14.配置Firewall....................................................14
15.配置IPService,限定远程管理RouerOS的地址和方式................16
16.配置Hotspot(WEB认证).........................................16
17.配置IPPool.....................................................16
18.启用NAT后的策略路由配置.........................................16
六.配置ppp参数.........................................................21
1.配置PPP模板....................................................22
2.配置Radius-client..............................................22
七.PPPoE配置...........................................................23
八.HOTSPOT配置.........................................................25
九.VLAN配置............................................................30
十.VPN配置.............................................................31
10.1PPTPVPN......................................................31
10.2EOIPVPN......................................................32
十一.DHCP配置..........................................................33
11.1DHCPServer...................................................33
MAC地址(及IP地址)与端口绑定.................................34
十二.防火墙配置.........................................................35
12.1防“冲击波”病毒..............................................35
十三.配置文件的备份与恢复...............................................36
11.显示文件系统....................................................36
12.备份配置文件....................................................36
13.恢复配置文件....................................................37
14.配置文件上载与下载..............................................37
15.配置复位........................................................37
16.查看系统资源状况................................................37
27.监视端口流量....................................................37
Reference:
.............................................................37
一.概述
RouerOS宽带接入服务器是基于嵌入式专用网络操作系统而设计的,具有丰富的网络接口,具备
多数常见的网络设备功能,处理能力超群,运行十分稳健,性价比极高。
1.RouerOS宽带接入服务器的网络接口类型
1.14个10/100M以太网接口,可选10/100/1000M接口
4个RJ45以太网接口机箱上标注名称分别为“ETH0”、“ETH1”、“ETH2”、“ETH3”,在系统中对应名称为
“ETH0”、“ETH1”、“ETH2”、“ETH3”。
由于物理接口较多,虚拟接口(如VLAN、PVC等)更多,因此不像一
般防火墙上用“内网接口”、“外网接口”、“停火区接口”等作为标示。
在配置防火墙功能或其它网络功能时
由用户灵活运用。
可选以下接口:
□※无线网络(WirelessLAN)接口(2.4G,5.2G,5.8G无线网);
□※MOXAC101同步接口;
□※MOXAC502同步接口;
□※串行异步接口;
□※IP电话接口;
□※ISDN接口;
□※帧中继PVC接口;
□※E1/T1接口。
2.RouerOS宽带接入服务器具有以下网络功能
当然,有些功能需要单独的许可证。
1路由器功能(支持RIP1、RIP2、RIPng、OSPF、OSPFv6、BGP4路由协议)支持IPv4、IPv6协议。
2PPPOE服务器和客户端功能支持RADIUS认证和计费,支持基于用户帐号的带宽管理和访问控制
策略。
3PPTP/VPN服务器和客户端功能支持RADIUS认证和计费,支持基于用户帐号的带宽管理和访问控
制策略,支持PAP、CHAP、MSCHAP、MSCHAPv2认证协议,支持MPPE链路加密。
4L2TP/VPN服务器和客户端功能支持RADIUS认证和计费,支持基于用户帐号的带宽管理和访问控
制策略,支持PAP、CHAP、MSCHAP、MSCHAPv2认证协议,支持链路加密。
5基于IPIP的VPN功能与CISCO等厂家的IPIP功能兼容,与各种类UNIX、UNIX系统的IPIP功能
兼容。
6基于IPSEC的VPN功能支持AH/SEP模式,支持多种哈稀(HASH)算法和加密算法。
7基于EoIP(EthernetoverIP)的VPN功能提供高性能线速VPN功能,支持基于PPTP、L2TP、IPSEC
的链路加密应用。
8HOTSPOT(WEB认证)服务器功能支持在有线局域网和无线局域网上的WEB认证;支持RADIUS后
台认证计费,支持MD5-CHAP认证协议以保证用户口令的安全传输;用户无需安装客户端软件,并可动态
显示连接时长和上网流量。
9无线接入服务器(ACCESSPOINT,AP)功能支持2.4GHZ、5.2GHZ、5.8GHZ无线网络,在无线链
路上可使用PPPOE、PPTP、L2TP、IPIP、IPSEC、HOTSPOT等接入方式。
10集成WEB-CACHE功能和代理服务器功能支持WEB-CACHE和透明代理功能。
11状态防火墙功能和NAT功能支持IP共享、基于源地址的NAT转换、基于目的地址的NAT转换、IP
端口重定向等功能。
12DHCP服务器和客户端功能支持IP-MAC绑定。
13DNSCACHE功能提供基于缓存的DNS服务器功能。
14NTP时间服务器和客户端功能作为NTP时间服务器,可以为其它网络设备和系统提供时间基准;
作为NTP时间服务客户端,可以保持网络设备的时间同步。
15IP电话网关功能通过增加IP电话接口卡,具备IP电话网关功能。
16流量整形和带宽管理功能提供多种模式的流量整形和带宽管理功能,提供固定分配的带宽管理、
基于RADIUS授权的带宽管理等多种管理方式。
17网桥功能方便地以二层网络的方式连接各种网络。
18VLAN(802.1Q)功能可以划分多达4096个802.1QVLAN,提供网络细分的能力。
19STP(SpanningTreeProtocol)功能可以为网络提供环型拓扑保护机制。
20RADIUS客户端功能用以完成PPP连接的RADIUS认证和HOTSPOT的RADIUS认证
21SNMP网管功能可以让设备整体的网络管理环境。
22UPS监视功能可以自动发现UPS电源设备掉电或重大故障,并采取相应动作保护网络设备。
RouerOS宽带接入服务器可以通过GUI图形界面进行配置管理,也支持使用命令行(CLI)方式进行配置
和管理。
使用CLI方式时,可以通过TELNET远程登录、SSH安全加密远程登录、CONSOLE本地控制台登
录进入RouerOS宽带接入服务器进行配置管理。
二.基本的配置管理
1.系统的缺省帐号
缺省帐号为"admin",没有密码直接回车即可,该帐号具有最大权限。
2.登录方式
2.1通过console口进行管理
利用我们提供的专用console线连接RouerOS2与计算机,在计算机的串行通信口设置为
9600-8-N-1,无流控。
2.2通过远程telnet登录管理
须在/ipservice下设置允许telnet登录的客户IP地址范围,缺省为允许所有IP登录。
为安全
起见,要严格设置可登录地址范围。
2.3通过专用客户端"winbox.exe",以GUI方式登录管理
须在/ipservice下设置允许GUI登录的客户IP地址范围,缺省为允许所有IP登录。
为安全起
见,要严格设置可登录地址范围。
2.4通过SSH客户端登录管理
SSH是基于证书/口令链路加密的登录方式,具有极高的安全性,不需要限制登录IP地址范围。
如果确实需要,可以通过防火墙策略实现。
3.命令行配置的基本操作在任何路径下或命令行中输入一个问号,可以提示你随后的选项。
1RouerOS2登录后的提示符为:
[admin@RouerOS]>#这里admin是登录用户名如果进入到某个
配置子项(如IPAddress),则提示符变为:
[admin@RouerOS]IPAddress>
3.2命令行的基本格式为:
“路径树命令参数名=参数值”其中,路径树由具有层次结构的路径节点组成,节点与节点间用空格
符分隔;命令与参数名之间也用空格符号分隔;参数名与参数值之间用“=”连接。
RouerOS2支持命令补全
(用“TAB”键补全),支持问号“?
”求助,支持命令回滚,支持路径名/命令名/参数名缩写,使用非常方便。
通过输入全路径树,在根路径上可以完成所有的命令行操作;也可以进入某一路径进行相关操作。
从父路
径进入子路径,只要输入子路径名即可;从子路径返回父路径,只要输入“..”即可。
输入“/”将从任何路径
下返回根路径。
2常用命令有print,add,set,enable,disable,epxort等。
“print”用于显示相关配置参数或状
态信息,用于新增配置项,用于修改配置参数,、
“add”“set”“enable”
“disable”用于相关项目的允许/禁止,“export”用于导出配置脚本。
一个功能的设置有时需要在几个路径中进行配置,以后会有详细说明。
4.RouerOS远程管理-权限管理
4.1管理员账号管理
1路径:
/user
2功能:
增加、删除、禁止、开启用户帐号;设置帐号密码、组;修改用户名;设置允许用户进入
系统的客户端IP地址;编辑注释信息。
4.1.3示例:
a)修改用户属性/userset0name=hiaddress=0.0.0.0netmask=0.0.0.0group=sys
password=dfusjkecommet=yournamedisable=no
#上面命令行中红色的“0”代表用户的编号(见下面网管截屏中的“#”项)。
在其它配置项目中,如有多个
同样的配置项目,也都是用编号来区分的,在配置中要注意!
4.2访问控制列表
1设置可telnet(或ssh、web等)网管的地址:
[admin@RouerOS]ipservice>set0
address=192.168.1.238netmask=255.255.255.255
2禁用某种登录方式:
如禁用ftp[admin@RouerOS]ipservice>set1dis=yes
4.3在防火墙规则中实现访问限制
[admin@xinhua]ipfirewallruleinput>prFlags:
X-disabled,I-invalid,D-dynamic4
src-address=0.0.0.0/0:
0-65535in-interface=alldst-address=0.0.0.0/0:
!
22out-interface=all
protocol=tcpicmp-options=any:
anytcp-options=anyconnection-state=newflow=""connection=""
content=""src-mac-address=00:
00:
00:
00:
00:
00limit-count=0limit-burst=0limit-time=0s
action=droplog=no
注:
上述规则中的“!
22)表示除了22号端口外禁止通过所有其它端口对RouerOS本身的连接。
5.日志管理
1路径:
/systemlogging
2功能
记录方式定义:
facility,分为local,remote,none三类,对应本地记录、远程记录、不记录。
记录内
容:
facility,共分为16种日志信息。
[admin@RouerOS]systemloggingfacility>pri#FACILITYLOGGING
PREFIXREMOTE-ADDRESSREMOTE-PORT0Firewall-Logremotefirewall172.16.1.2545141PPP-Account
none2PPP-Infonone3PPP-Errornone4System-Infonone5System-Errornone6System-Warning
none7Telephony-Infonone8Telephony-Errornone9Prism-Infonone10ISDN-Infonone11
Hotspot-Accountnone12Hotspot-Infonone13Hotspot-Errornone14IPsec-Warningnone15IKE-Info
none
5.3命令示例:
/systemloggingset0logging=remoteremote-address=172.16.1.254remote-port=514
5.4为了将日志信息分类,以便于LOG服务器分析处理,可以设置log信息的“prefix”
参数,对不同的日志信息进行标示。
/systemloggingfacilitysetFirewall-Loglogging=remoteprefix="fw"remote-add=172.16.1.254
remote-p=514setPPP-Accountlogging=remoteprefix="pppoe"remote-add=172.16.1.254
remote-p=514
日志信息一定不要设置成写在本地FLASH中,否则,MT2的性能将显著下降。
6.机器名称管理
1路径:
/systemidentity
2功能:
设置/修改系统名
6.3示例:
/systemidentitysetname=gggggg
7.系统时间设置
1路径:
/systemclock
2功能:
设置系统时间和时区
8.系统热启动
/systemreboot
三.物理接口的配置管理
1.进入接口子路径:
[admin@RouerOS]interfaceethernet>enable
2.端口使能与禁用:
[admin@RouerOS]interfaceethernet>enable
或使用命令:
/intethdisabled=yes(no)
1禁用启动时检查网络端口状态:
2修改端口名称
[admin@RouerOS]interfaceethernet>setdisable-running-check=yes(no)
[admin@RouerOS]interfaceethernet>setname=(int-name)
网管截屏:
四.查看当前配置
4.1查看全部配置
/export或/print
4.2查看子项配置
如查看ip子项的配置:
/ipexport
或
/ipprint
五.IP参数配置
1.路径:
[admin@RouerOS]IPAddress>
2.功能:
配置IPAddress、Route、Policy-routing、DHCPclient、DNS、Firewall、Hotspot、IPPool、IPService
等等。
IP参数配置命令:
3.配置IP地址及路由
3.1配置IPAddress:
[admin@RouerOS]ipaddress>
addaddr=61.155.135.1netm=255.255.255.252int=eth3删除IPAddr:
ipaddress>remove
#numbers=执行print命令后显示的内容中的“Flags”项。
3.2路由配置
iproute>adddst-address=0.0.0.0/0preferred-source=0.0.0.0\gateway=10.255.255.1
distance=1comment=""disabled=no
删除某条静态路由:
iproute>remove
3.3基于源地址的策略路由
假设某网络有3个出口。
主出口到吉通网,网关是10.255.255.1/24,PPPoE源地址池为172.16.1.0/24;
第二出口到网通网,网关是192.168.1.1/24,PPPoE源地址池是172.16.1.0/24;[admin@RouerOS]ip
policy-routing>
a)新建路由表名:
ippolicy-routing>addname=jitong
升级会员 