利用ROUTEROS架設PPPOESERVER方案

□胡剛段煒

MikroTikRouteros是一種路由操作系統，并通過該軟件將標準的PC電腦變成專業路由器。Routeros軟路由系統經歷了多次更新和改進，功能在不斷增強和完善，特別在無線、認證、策略路由、帶寬控制和防火墻過濾等功能上有著非常突出的功能，其極高的性價比，受到許多網絡人士的青睞。Routeros具備現有路由系統的大部分功能，能針對網吧、企業、小型ISP接入商、社區等網絡設備的接入，是一套低成本，高性能的路由器系統。

Routeros支持多種隧道協議如PPP、PPPOE、PPTP、EOIP、IPIP以及IPsec，這些隧道協議可以為遠程資源訪問和企業間的連接提供較好的解決方案。如通過PPTP或IPIP實現通網絡資源互用，EOIP或PPTP的遠程局域網解決方案，支持PPPOE服務器等。Routeros提供了可以編寫的腳本功能，腳本的加入可以使Routeros處理很多網絡方案、自動檢查故障和動態生成策略，更加的靈活和智能化。

江西省縣級廣電網自2003年大規模整合后，各地縣級分公司都在陸續發展數據業務，大部分縣級分公司采用的是以太網入戶方式。以太網入戶“有用戶限速、用戶更換出口不方便、盜用IP現象嚴重、網絡病毒易引起大片網絡故障、IP地址利用率很低、不能實時監控各用戶流量”等缺點。九江縣廣電網絡分公司2007年6月開始利用Routeros架設PPPOE認證系統，經過實際應用取得了良好的效果。采用ROSPPPOE認證系統優點較多。一是每個用戶撥號后都是相互隔離的，安全性較高。二是可以根據用戶不同需要實現差異化帶寬分配。三是可以實時監控用戶流量，并生成LOG文件存檔。四是根據撥號的不同錯誤代碼，能快速判斷用戶故障情況。五是利用廣電網有多個出口的優點，給用戶合理分配不同出口，或通過分配賬號方式給用戶多個出口，某一出口出現故障，能在ROS系統中快速切換出口。六是可以利用ROS策略路由功能優化相關應用，提升用戶體驗。七是ROS是基于X86構架，相對于專業級路由成本很低，而且又能實現高級路由才能實現的功能。

一、Routeros服務器的硬件配置。CPU支持多核，如INTEL至強雙核；服務器主板；RAM目前版本最大支持2G；最少需要兩塊服務器網卡，一般服務器都集成一個或兩個；硬盤為64M以上的DOM（電子硬盤）。無需配顯示器、光驅、鍵盤、鼠標等

二、Routeros軟件資料。ROS中國官方網址為“http://www.mikrotik.com.cn/”，ROS學習資料及軟件下載網址為“http://bbs.routerclub.com”。

三、Routeros的相關設置。

1.ROS的安裝。在ROS官方網站下載相對應的ROS的光盤映象文件，刻成光盤后，從光盤啟動，出現畫面后移動光標，按空格鍵選擇相應的模塊。如選擇所有的模塊直接按A鍵，然后再按I鍵，表示進行安裝。系統提示“你是否想保持舊的配置？”選n；系統提示“硬盤上所有數據將被清除，是否繼續？”選y。所有模塊安裝完畢，按ENTER鍵重啟，系統安裝完成。

2.ROSWANIP的設置。當系統啟動后輸入用戶名，admin密碼為空。進入系統后，輸入“Ipaddadd 192.168.0.2/24ether1 ##”，“ether1”表示網卡名，第二塊網卡名為“ether2”，依此類推。

用電腦直聯ROS這個網卡，把電腦IP設為網卡同網段IP，然后在電腦IE中輸入ROS的IP“192.168.0.2”，出現ROSWEB頁面。

Winbox 板塊中，點擊“Downloadit”，下載ROS管理工具winbox（Routeros軟路由的強大功能與容易上手的主要原因之一是來自于Routeros路由器管理軟件——winbox）。步驟是：ConnectTo：填寫ROS的IP地址；Login：admin；Password：默認無密碼；點擊connect登入winbox；點擊Interfaces，出現網卡列表，雙擊ether1；把ether1改名為WAN，其他網卡可以根據需要依次改名。然后，點擊IP ADDRESSES菜單，單擊“+”添加WAN網卡的IP地址；Address：填寫網卡IP及掩碼，格式：192.168.0.2/24；Interface：選WAN，外網卡。其他選項留空。

3.ROS默認路由設置。點擊WINBOXIP菜單中的Routes子菜單，點擊“+”添加一條默認路由。Destination：目的訪問地址，填0.0.0.0/0；Gateway：默認網關。

4.ROSVLAN 設置。和3550里面的VLAN號要和ROSVLANID對應，點擊winbox菜單中Interfaces選中VLAN頁面，點擊“+”添加一個VLAN。Name：給VLAN取個名字；VLANID：一定要和CISCO設備里面的VLAN號對應；Interface：選LAN，內網卡。

5.ROSPOOL地址池的設置。點擊winboxIP菜單中的pool子菜單，點擊“+”添加地址池。Name：給地址池取個名字；Addresse：填寫地址池的范圍(10.75.100.1-10.75.100.254)。

6.ROS的PPPOE設置。要在每個VLAN上面建一個PPPOESERVER。點擊winboxPPP菜單，選中PPPOE Servers頁面，點擊“+”添加 PPPOE服務器，每個 VLAN上面都要建一個PPPOESERVER。ServiceName：取個PPPOE服務器名；Interface：該PPPOE服務對應的網卡；Keepalive Timeout這個值是PPPOE服務器和工作站之間的超時時間，可以設大些；Authentication這個是工作站所使用的加密協議，可以勾選多個。

7.ROSPPPOE模版的設置。選中Profiles頁面，點擊“+”添加PPPOE模版。Name：模版的名稱；LocalAddress這個是撥號后工作站的虛擬網關，隨便設個地址就可以；RemoteAddress是工作站撥號后所獲得IP的地址池；UseEncryption使用加密協議，這里選“NO”；ChangeTCPMSS修改MSS，這里選“NO”，后面可以統一修改。RateLimit這個是模版限速，所有用這個模版的用戶都使用這里的限速規則(格式：rx/tx#rx上行速度，tx下行速度)；OnlyOne：選“YES”，使用此模版的賬號只允許一個人在線。

8.添加PPPOE用戶賬號。選中Secrets頁面，點擊“+”添加一個用戶賬號。Name：用戶撥號的用戶名；Password：用戶撥號的密碼；Service：選PPPOE；CallerID：填上用戶的MAC地址，這個賬號就綁定了這個MAC，Profile是此賬號所使用的模版。

9.統一修改PPPOE撥號用戶的MSS，減少資源占用。

點擊winboxIP菜單中的Firewall子菜單，選中FilterRules頁面，點擊“+”添加一條防火墻規則。General頁面：chain，選擇forward；Protocol，選擇tcp。Advanced頁面：TCPFlags，選擇syn，Action頁面：Action，選擇changeMSS；newTCP MSS：選擇 clamptopmtu。

10.ROS的NAT設置。點擊winboxIP菜單中的 Firewall子菜單，選中NAT頁面，點擊“+”添加一條NAT規則。在General版面中：Chain，選srcnat；在Action版面中：Action，選masquerade。

11.如果地址池里使用的是廣電網IP，那么ROS里就不需要做NAT，可以關閉Tracking以降低ROS資源占用。點擊WINBOXIP菜單中的Firewall子菜單，選中Connections頁面，點擊Tracking；反勾選Enabled，則IPFIREWALLNAT項就會自動失效。

四、cisco3550配置內容。

1.設置3350中某個端口為Trunk口，命令是：“Conft”“Switchporttrunk encapsulation dot1q”“Switchportmode trunk”。

2.把設置好的Trunk口和ROS中的LAN網卡相連。

3.3550中和 ROS的 WAN口相連的設置，命令是：“Conft”“Intf0/22 #22 號端口”“Switchportacevlan910#，把端口劃入 910VLAN”“Switchportmodeaccess”，“Intvlan 910”“Ipaddress192.168.0.1255.255.255.0”。

4.設置靜態IP，對應的IP地址段指向ROS，命令是：“Conft”“Iproute10.72.39.0255.255.255.0192.168.0.2”。

五、利用ROS做策略路由優化廣電網絡。

如果有條件把電信線路和廣電線路物理連接，那么我們可以利用ROS的策略路由功能把部分網絡游戲及一些炒股之類應用軟件轉到電信線路上去進行優化。操作步聚如下：

1.電信線路所在的VLAN上設置電信線路IP。在IP設置頁面中，Interface：選對應的VLAN名；比如此電信線路是接在3550的14號VLAN，則192.168.2.254為電信線路的IP。

2.做IP地址列表，指定某段廣電IP走電信線路。點擊winboxIP菜單中的 Firewall子菜單，點擊AdressLists頁面；建立一個地址列表，名為“jjxtel”，里面的 IP段為10.72.39.0/24。

3.對地址列表做路由標記。點擊winboxIP菜單中的Firewall子菜單，點擊 Mangle頁面，點擊“+”添加一條 Mangle規則。例如在jjxtel地址列表中對大智慧軟件做標記，做策略路由。在 General頁面：chain，選擇 prerouting；Protocol，選擇 tcp；Dst.port，填上目的端口號 22223。在 Advanced頁面，Src.addressList：選擇 jjxtel。在 Action 頁面：Action，選擇markrouting；NewRoutingMark，填上 jxwt；Passthrough，勾選。

4.對新建的路由標記設定網關。點擊winboxIP菜單中的 Routes子菜單，點擊“+”添加一條New Route規則。在General頁面：Destination，填上0.0.0.0/0；Gateway，填上192.168.2.1；RoutingMark，選擇jxwt規則。

注意默認網關192.168.2.1即為電信線路網關，RoutingMark為jxwt，即我們前面所做的路由標記，再填加一條策略路由，把廣電的IP段(10.72.0.0/14)做策略路由，指定其走廣電的網關，這樣我們在訪問廣電內網資源時，自動走廣電線路，訪問外網資源時走電信線路。

5.在IPFIREWALLNAT里建一條SrcNat規則，把做了標記的廣電IP段，當走電信的網關的時候把廣電IP偽裝成電信的IP。

由于縣級廣電網絡發展初期用戶量少，采用ROSPPPOE認證系統是性價比很高的一種過渡方案，在用戶發展超過兩千戶的時候就應該考慮用專業級認證系統進行用戶認證，因此在縣級廣電網絡中采用ROSPPPOE系統有很大的借鑒意義。