解決軟路由掉線故障

ROS軟路由可以綁定IP和網卡的物理地址，ROS軟路由還有普通路由器望塵莫及的PPPoE拔號功能，可以分配用戶賬號和密碼，就像電信一樣使用PPPoE的方式讓用戶接入網絡，這就好像把一個局域網做了物理隔離，使用PPPoE拔號方式上網，杜絕了ARP欺騙帶來的危害。

盡管ROS軟路由在防止ARP欺騙方面有獨特的功能，但是筆者單位也時常會發生斷流的情況。

斷流現象

1.能Ping通網內其他客戶機，但Ping不通路由，連接不了Internet。

2.能Ping通網內其他客戶機，同樣Ping不通路由，但能上網（可以連接到Internet）。

原因分析

為什么會出現以上情況呢？我們懷疑是由于受到ARP病毒或其他最新的變種病毒及漏洞攻擊。受到攻擊的客戶機，MAC地址或者ARP緩存中的的本機對應MAC可能被修改，當然客戶機ARP緩存中的網關IP相對應的MAC也可能被修改。而此時中毒的計算機向網關路由發出請求時，網關路由的ARP緩存還未到刷新時間，網關路由內的ARP緩存表中保存的是客戶機還未中毒前的MAC地址。而這個MAC地址，與客戶機當前請求的MAC地址已經不一致，客戶機的連接請求被網關拒絕。即發生與網關斷流。

還有一種可能情況是，當中毒的源計算機向局域網發出假MAC廣播時，網關路由也接收到了此消息，并將這些假MAC地址與其IP相對應，并建立新的ARP緩存。導致客戶機與服務器斷開連接。

解決ROS軟路由掉線問題方法

有些情況是，出現ARP欺騙時，雙綁無效，使用各種補丁后仍掉線嚴重時，我們可以考慮用PPPoE這個點對點的協議來換掉廣播式的ARP。局域網站設置好IP地址、網關和DNS后即可ROS軟路由器上網，通過ARP協議建立MAC與IP的對應關系，也就是ARP地址映射表，當有工作站打開了帶有ARP攻擊的網頁或游戲外掛時，此工作站便會生成一個偽ARP地址映射表，并向局域網中所有機器發出ARP欺騙包，導致局域網用戶頻繁掉線。

如何從根本上解決ARP欺騙問題呢，最根本的解決方法就是不用ARP協議上Internt，工作站通過PPPoE像家用的ADSL一樣上網。假定我們掌握了ROS軟路由器的基本知識，以下通過ROS軟路由PPPoE設置和工作站端設置等方面進行介紹。

ROS軟路由PPPoE設置

路由器設置IP地址池，進入winbox，單 擊 IP→ Pool，出 現“IP Pool”界面，單擊菜單下方的“+”號，。出現“New IP Pool”界面，單擊“Addresses”后方的向下箭頭，輸入地址池范圍，例如“192.168.6.11-192.168.6.252，單擊“OK”退出。出現“New PPP Secret”對話框，Name為登錄名，Password為登錄密碼。在“Service”中選擇“PPPoE”，若需要對工作站限速，可以在下方的Limit Bytes In和Limit Bytes Out框中設置上行和下行限速，注意單位為字節/秒，若要限制為1M的速度，可以ROS軟路由器設置為1024000。單擊“OK”完成由賬號的設置。

至此ROS軟路由器已設置完成。IP→Firwall中的設置跟常規設置一樣，加一條NAT規則，Chain中選擇“srcnat”，Src.Address 的 內網網段，也可能不設置網段，即對所以網段都進行轉發。Action中設置 “Action”為“masquerade”。

經驗總結

因為ROS軟路由是基于軟件的路由器，有時候難免會因為硬件問題而影響使用和使用效果。比如硬件的兼容性，有些人可能太注重網卡的選擇而忽略了主板和內存，主板和內存的質量參差不齊，也會影響ROS實際使用效果。

在實際使用中，也遇到過因ROS軟路由的弱口令而遭到網絡中人的掃描和進入更改它的一些規則，導致不能上網或上網速度變慢。