利用ROUTEROS架設(shè)PPPOESERVER方案

□胡剛段煒

MikroTikRouteros是一種路由操作系統(tǒng)，并通過(guò)該軟件將標(biāo)準(zhǔn)的PC電腦變成專(zhuān)業(yè)路由器。Routeros軟路由系統(tǒng)經(jīng)歷了多次更新和改進(jìn)，功能在不斷增強(qiáng)和完善，特別在無(wú)線(xiàn)、認(rèn)證、策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的功能，其極高的性?xún)r(jià)比，受到許多網(wǎng)絡(luò)人士的青睞。Routeros具備現(xiàn)有路由系統(tǒng)的大部分功能，能針對(duì)網(wǎng)吧、企業(yè)、小型ISP接入商、社區(qū)等網(wǎng)絡(luò)設(shè)備的接入，是一套低成本，高性能的路由器系統(tǒng)。

Routeros支持多種隧道協(xié)議如PPP、PPPOE、PPTP、EOIP、IPIP以及IPsec，這些隧道協(xié)議可以為遠(yuǎn)程資源訪(fǎng)問(wèn)和企業(yè)間的連接提供較好的解決方案。如通過(guò)PPTP或IPIP實(shí)現(xiàn)通網(wǎng)絡(luò)資源互用，EOIP或PPTP的遠(yuǎn)程局域網(wǎng)解決方案，支持PPPOE服務(wù)器等。Routeros提供了可以編寫(xiě)的腳本功能，腳本的加入可以使Routeros處理很多網(wǎng)絡(luò)方案、自動(dòng)檢查故障和動(dòng)態(tài)生成策略，更加的靈活和智能化。

江西省縣級(jí)廣電網(wǎng)自2003年大規(guī)模整合后，各地縣級(jí)分公司都在陸續(xù)發(fā)展數(shù)據(jù)業(yè)務(wù)，大部分縣級(jí)分公司采用的是以太網(wǎng)入戶(hù)方式。以太網(wǎng)入戶(hù)“有用戶(hù)限速、用戶(hù)更換出口不方便、盜用IP現(xiàn)象嚴(yán)重、網(wǎng)絡(luò)病毒易引起大片網(wǎng)絡(luò)故障、IP地址利用率很低、不能實(shí)時(shí)監(jiān)控各用戶(hù)流量”等缺點(diǎn)。九江縣廣電網(wǎng)絡(luò)分公司2007年6月開(kāi)始利用Routeros架設(shè)PPPOE認(rèn)證系統(tǒng)，經(jīng)過(guò)實(shí)際應(yīng)用取得了良好的效果。采用ROSPPPOE認(rèn)證系統(tǒng)優(yōu)點(diǎn)較多。一是每個(gè)用戶(hù)撥號(hào)后都是相互隔離的，安全性較高。二是可以根據(jù)用戶(hù)不同需要實(shí)現(xiàn)差異化帶寬分配。三是可以實(shí)時(shí)監(jiān)控用戶(hù)流量，并生成LOG文件存檔。四是根據(jù)撥號(hào)的不同錯(cuò)誤代碼，能快速判斷用戶(hù)故障情況。五是利用廣電網(wǎng)有多個(gè)出口的優(yōu)點(diǎn)，給用戶(hù)合理分配不同出口，或通過(guò)分配賬號(hào)方式給用戶(hù)多個(gè)出口，某一出口出現(xiàn)故障，能在ROS系統(tǒng)中快速切換出口。六是可以利用ROS策略路由功能優(yōu)化相關(guān)應(yīng)用，提升用戶(hù)體驗(yàn)。七是ROS是基于X86構(gòu)架，相對(duì)于專(zhuān)業(yè)級(jí)路由成本很低，而且又能實(shí)現(xiàn)高級(jí)路由才能實(shí)現(xiàn)的功能。

一、Routeros服務(wù)器的硬件配置。CPU支持多核，如INTEL至強(qiáng)雙核；服務(wù)器主板；RAM目前版本最大支持2G；最少需要兩塊服務(wù)器網(wǎng)卡，一般服務(wù)器都集成一個(gè)或兩個(gè)；硬盤(pán)為64M以上的DOM（電子硬盤(pán)）。無(wú)需配顯示器、光驅(qū)、鍵盤(pán)、鼠標(biāo)等

二、Routeros軟件資料。ROS中國(guó)官方網(wǎng)址為“http://www.mikrotik.com.cn/”，ROS學(xué)習(xí)資料及軟件下載網(wǎng)址為“http://bbs.routerclub.com”。

三、Routeros的相關(guān)設(shè)置。

1.ROS的安裝。在ROS官方網(wǎng)站下載相對(duì)應(yīng)的ROS的光盤(pán)映象文件，刻成光盤(pán)后，從光盤(pán)啟動(dòng)，出現(xiàn)畫(huà)面后移動(dòng)光標(biāo)，按空格鍵選擇相應(yīng)的模塊。如選擇所有的模塊直接按A鍵，然后再按I鍵，表示進(jìn)行安裝。系統(tǒng)提示“你是否想保持舊的配置？”選n；系統(tǒng)提示“硬盤(pán)上所有數(shù)據(jù)將被清除，是否繼續(xù)？”選y。所有模塊安裝完畢，按ENTER鍵重啟，系統(tǒng)安裝完成。

2.ROSWANIP的設(shè)置。當(dāng)系統(tǒng)啟動(dòng)后輸入用戶(hù)名，admin密碼為空。進(jìn)入系統(tǒng)后，輸入“Ipaddadd 192.168.0.2/24ether1 ##”，“ether1”表示網(wǎng)卡名，第二塊網(wǎng)卡名為“ether2”，依此類(lèi)推。

用電腦直聯(lián)ROS這個(gè)網(wǎng)卡，把電腦IP設(shè)為網(wǎng)卡同網(wǎng)段IP，然后在電腦IE中輸入ROS的IP“192.168.0.2”，出現(xiàn)ROSWEB頁(yè)面。

Winbox 板塊中，點(diǎn)擊“Downloadit”，下載ROS管理工具winbox（Routeros軟路由的強(qiáng)大功能與容易上手的主要原因之一是來(lái)自于Routeros路由器管理軟件——winbox）。步驟是：ConnectTo：填寫(xiě)ROS的IP地址；Login：admin；Password：默認(rèn)無(wú)密碼；點(diǎn)擊connect登入winbox；點(diǎn)擊Interfaces，出現(xiàn)網(wǎng)卡列表，雙擊ether1；把ether1改名為WAN，其他網(wǎng)卡可以根據(jù)需要依次改名。然后，點(diǎn)擊IP ADDRESSES菜單，單擊“+”添加WAN網(wǎng)卡的IP地址；Address：填寫(xiě)網(wǎng)卡IP及掩碼，格式：192.168.0.2/24；Interface：選WAN，外網(wǎng)卡。其他選項(xiàng)留空。

3.ROS默認(rèn)路由設(shè)置。點(diǎn)擊WINBOXIP菜單中的Routes子菜單，點(diǎn)擊“+”添加一條默認(rèn)路由。Destination：目的訪(fǎng)問(wèn)地址，填0.0.0.0/0；Gateway：默認(rèn)網(wǎng)關(guān)。

4.ROSVLAN 設(shè)置。和3550里面的VLAN號(hào)要和ROSVLANID對(duì)應(yīng)，點(diǎn)擊winbox菜單中Interfaces選中VLAN頁(yè)面，點(diǎn)擊“+”添加一個(gè)VLAN。Name：給VLAN取個(gè)名字；VLANID：一定要和CISCO設(shè)備里面的VLAN號(hào)對(duì)應(yīng)；Interface：選LAN，內(nèi)網(wǎng)卡。

5.ROSPOOL地址池的設(shè)置。點(diǎn)擊winboxIP菜單中的pool子菜單，點(diǎn)擊“+”添加地址池。Name：給地址池取個(gè)名字；Addresse：填寫(xiě)地址池的范圍(10.75.100.1-10.75.100.254)。

6.ROS的PPPOE設(shè)置。要在每個(gè)VLAN上面建一個(gè)PPPOESERVER。點(diǎn)擊winboxPPP菜單，選中PPPOE Servers頁(yè)面，點(diǎn)擊“+”添加 PPPOE服務(wù)器，每個(gè) VLAN上面都要建一個(gè)PPPOESERVER。ServiceName：取個(gè)PPPOE服務(wù)器名；Interface：該P(yáng)PPOE服務(wù)對(duì)應(yīng)的網(wǎng)卡；Keepalive Timeout這個(gè)值是PPPOE服務(wù)器和工作站之間的超時(shí)時(shí)間，可以設(shè)大些；Authentication這個(gè)是工作站所使用的加密協(xié)議，可以勾選多個(gè)。

7.ROSPPPOE模版的設(shè)置。選中Profiles頁(yè)面，點(diǎn)擊“+”添加PPPOE模版。Name：模版的名稱(chēng)；LocalAddress這個(gè)是撥號(hào)后工作站的虛擬網(wǎng)關(guān)，隨便設(shè)個(gè)地址就可以；RemoteAddress是工作站撥號(hào)后所獲得IP的地址池；UseEncryption使用加密協(xié)議，這里選“NO”；ChangeTCPMSS修改MSS，這里選“NO”，后面可以統(tǒng)一修改。RateLimit這個(gè)是模版限速，所有用這個(gè)模版的用戶(hù)都使用這里的限速規(guī)則(格式：rx/tx#rx上行速度，tx下行速度)；OnlyOne：選“YES”，使用此模版的賬號(hào)只允許一個(gè)人在線(xiàn)。

8.添加PPPOE用戶(hù)賬號(hào)。選中Secrets頁(yè)面，點(diǎn)擊“+”添加一個(gè)用戶(hù)賬號(hào)。Name：用戶(hù)撥號(hào)的用戶(hù)名；Password：用戶(hù)撥號(hào)的密碼；Service：選PPPOE；CallerID：填上用戶(hù)的MAC地址，這個(gè)賬號(hào)就綁定了這個(gè)MAC，Profile是此賬號(hào)所使用的模版。

9.統(tǒng)一修改PPPOE撥號(hào)用戶(hù)的MSS，減少資源占用。

點(diǎn)擊winboxIP菜單中的Firewall子菜單，選中FilterRules頁(yè)面，點(diǎn)擊“+”添加一條防火墻規(guī)則。General頁(yè)面：chain，選擇forward；Protocol，選擇tcp。Advanced頁(yè)面：TCPFlags，選擇syn，Action頁(yè)面：Action，選擇changeMSS；newTCP MSS：選擇 clamptopmtu。

10.ROS的NAT設(shè)置。點(diǎn)擊winboxIP菜單中的 Firewall子菜單，選中NAT頁(yè)面，點(diǎn)擊“+”添加一條NAT規(guī)則。在General版面中：Chain，選srcnat；在Action版面中：Action，選masquerade。

11.如果地址池里使用的是廣電網(wǎng)IP，那么ROS里就不需要做NAT，可以關(guān)閉Tracking以降低ROS資源占用。點(diǎn)擊WINBOXIP菜單中的Firewall子菜單，選中Connections頁(yè)面，點(diǎn)擊Tracking；反勾選Enabled，則IPFIREWALLNAT項(xiàng)就會(huì)自動(dòng)失效。

四、cisco3550配置內(nèi)容。

1.設(shè)置3350中某個(gè)端口為T(mén)runk口，命令是：“Conft”“Switchporttrunk encapsulation dot1q”“Switchportmode trunk”。

2.把設(shè)置好的Trunk口和ROS中的LAN網(wǎng)卡相連。

3.3550中和 ROS的 WAN口相連的設(shè)置，命令是：“Conft”“Intf0/22 #22 號(hào)端口”“Switchportacevlan910#，把端口劃入 910VLAN”“Switchportmodeaccess”，“Intvlan 910”“Ipaddress192.168.0.1255.255.255.0”。

4.設(shè)置靜態(tài)IP，對(duì)應(yīng)的IP地址段指向ROS，命令是：“Conft”“Iproute10.72.39.0255.255.255.0192.168.0.2”。

五、利用ROS做策略路由優(yōu)化廣電網(wǎng)絡(luò)。

如果有條件把電信線(xiàn)路和廣電線(xiàn)路物理連接，那么我們可以利用ROS的策略路由功能把部分網(wǎng)絡(luò)游戲及一些炒股之類(lèi)應(yīng)用軟件轉(zhuǎn)到電信線(xiàn)路上去進(jìn)行優(yōu)化。操作步聚如下：

1.電信線(xiàn)路所在的VLAN上設(shè)置電信線(xiàn)路IP。在IP設(shè)置頁(yè)面中，Interface：選對(duì)應(yīng)的VLAN名；比如此電信線(xiàn)路是接在3550的14號(hào)VLAN，則192.168.2.254為電信線(xiàn)路的IP。

2.做IP地址列表，指定某段廣電IP走電信線(xiàn)路。點(diǎn)擊winboxIP菜單中的 Firewall子菜單，點(diǎn)擊AdressLists頁(yè)面；建立一個(gè)地址列表，名為“jjxtel”，里面的 IP段為10.72.39.0/24。

3.對(duì)地址列表做路由標(biāo)記。點(diǎn)擊winboxIP菜單中的Firewall子菜單，點(diǎn)擊 Mangle頁(yè)面，點(diǎn)擊“+”添加一條 Mangle規(guī)則。例如在jjxtel地址列表中對(duì)大智慧軟件做標(biāo)記，做策略路由。在 General頁(yè)面：chain，選擇 prerouting；Protocol，選擇 tcp；Dst.port，填上目的端口號(hào) 22223。在 Advanced頁(yè)面，Src.addressList：選擇 jjxtel。在 Action 頁(yè)面：Action，選擇markrouting；NewRoutingMark，填上 jxwt；Passthrough，勾選。

4.對(duì)新建的路由標(biāo)記設(shè)定網(wǎng)關(guān)。點(diǎn)擊winboxIP菜單中的 Routes子菜單，點(diǎn)擊“+”添加一條New Route規(guī)則。在General頁(yè)面：Destination，填上0.0.0.0/0；Gateway，填上192.168.2.1；RoutingMark，選擇jxwt規(guī)則。

注意默認(rèn)網(wǎng)關(guān)192.168.2.1即為電信線(xiàn)路網(wǎng)關(guān)，RoutingMark為jxwt，即我們前面所做的路由標(biāo)記，再填加一條策略路由，把廣電的IP段(10.72.0.0/14)做策略路由，指定其走廣電的網(wǎng)關(guān)，這樣我們?cè)谠L(fǎng)問(wèn)廣電內(nèi)網(wǎng)資源時(shí)，自動(dòng)走廣電線(xiàn)路，訪(fǎng)問(wèn)外網(wǎng)資源時(shí)走電信線(xiàn)路。

5.在IPFIREWALLNAT里建一條SrcNat規(guī)則，把做了標(biāo)記的廣電IP段，當(dāng)走電信的網(wǎng)關(guān)的時(shí)候把廣電IP偽裝成電信的IP。

由于縣級(jí)廣電網(wǎng)絡(luò)發(fā)展初期用戶(hù)量少，采用ROSPPPOE認(rèn)證系統(tǒng)是性?xún)r(jià)比很高的一種過(guò)渡方案，在用戶(hù)發(fā)展超過(guò)兩千戶(hù)的時(shí)候就應(yīng)該考慮用專(zhuān)業(yè)級(jí)認(rèn)證系統(tǒng)進(jìn)行用戶(hù)認(rèn)證，因此在縣級(jí)廣電網(wǎng)絡(luò)中采用ROSPPPOE系統(tǒng)有很大的借鑒意義。