利用ROUTEROS架设PPPOESERVER方案

□胡刚段炜

MikroTikRouteros是一种路由操作系统，并通过该软件将标准的PC电脑变成专业路由器。Routeros软路由系统经历了多次更新和改进，功能在不断增强和完善，特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。Routeros具备现有路由系统的大部分功能，能针对网吧、企业、小型ISP接入商、社区等网络设备的接入，是一套低成本，高性能的路由器系统。

Routeros支持多种隧道协议如PPP、PPPOE、PPTP、EOIP、IPIP以及IPsec，这些隧道协议可以为远程资源访问和企业间的连接提供较好的解决方案。如通过PPTP或IPIP实现通网络资源互用，EOIP或PPTP的远程局域网解决方案，支持PPPOE服务器等。Routeros提供了可以编写的脚本功能，脚本的加入可以使Routeros处理很多网络方案、自动检查故障和动态生成策略，更加的灵活和智能化。

江西省县级广电网自2003年大规模整合后，各地县级分公司都在陆续发展数据业务，大部分县级分公司采用的是以太网入户方式。以太网入户“有用户限速、用户更换出口不方便、盗用IP现象严重、网络病毒易引起大片网络故障、IP地址利用率很低、不能实时监控各用户流量”等缺点。九江县广电网络分公司2007年6月开始利用Routeros架设PPPOE认证系统，经过实际应用取得了良好的效果。采用ROSPPPOE认证系统优点较多。一是每个用户拨号后都是相互隔离的，安全性较高。二是可以根据用户不同需要实现差异化带宽分配。三是可以实时监控用户流量，并生成LOG文件存档。四是根据拨号的不同错误代码，能快速判断用户故障情况。五是利用广电网有多个出口的优点，给用户合理分配不同出口，或通过分配账号方式给用户多个出口，某一出口出现故障，能在ROS系统中快速切换出口。六是可以利用ROS策略路由功能优化相关应用，提升用户体验。七是ROS是基于X86构架，相对于专业级路由成本很低，而且又能实现高级路由才能实现的功能。

一、Routeros服务器的硬件配置。CPU支持多核，如INTEL至强双核；服务器主板；RAM目前版本最大支持2G；最少需要两块服务器网卡，一般服务器都集成一个或两个；硬盘为64M以上的DOM（电子硬盘）。无需配显示器、光驱、键盘、鼠标等

二、Routeros软件资料。ROS中国官方网址为“http://www.mikrotik.com.cn/”，ROS学习资料及软件下载网址为“http://bbs.routerclub.com”。

三、Routeros的相关设置。

1.ROS的安装。在ROS官方网站下载相对应的ROS的光盘映象文件，刻成光盘后，从光盘启动，出现画面后移动光标，按空格键选择相应的模块。如选择所有的模块直接按A键，然后再按I键，表示进行安装。系统提示“你是否想保持旧的配置？”选n；系统提示“硬盘上所有数据将被清除，是否继续？”选y。所有模块安装完毕，按ENTER键重启，系统安装完成。

2.ROSWANIP的设置。当系统启动后输入用户名，admin密码为空。进入系统后，输入“Ipaddadd 192.168.0.2/24ether1 ##”，“ether1”表示网卡名，第二块网卡名为“ether2”，依此类推。

用电脑直联ROS这个网卡，把电脑IP设为网卡同网段IP，然后在电脑IE中输入ROS的IP“192.168.0.2”，出现ROSWEB页面。

Winbox 板块中，点击“Downloadit”，下载ROS管理工具winbox（Routeros软路由的强大功能与容易上手的主要原因之一是来自于Routeros路由器管理软件——winbox）。步骤是：ConnectTo：填写ROS的IP地址；Login：admin；Password：默认无密码；点击connect登入winbox；点击Interfaces，出现网卡列表，双击ether1；把ether1改名为WAN，其他网卡可以根据需要依次改名。然后，点击IP ADDRESSES菜单，单击“+”添加WAN网卡的IP地址；Address：填写网卡IP及掩码，格式：192.168.0.2/24；Interface：选WAN，外网卡。其他选项留空。

3.ROS默认路由设置。点击WINBOXIP菜单中的Routes子菜单，点击“+”添加一条默认路由。Destination：目的访问地址，填0.0.0.0/0；Gateway：默认网关。

4.ROSVLAN 设置。和3550里面的VLAN号要和ROSVLANID对应，点击winbox菜单中Interfaces选中VLAN页面，点击“+”添加一个VLAN。Name：给VLAN取个名字；VLANID：一定要和CISCO设备里面的VLAN号对应；Interface：选LAN，内网卡。

5.ROSPOOL地址池的设置。点击winboxIP菜单中的pool子菜单，点击“+”添加地址池。Name：给地址池取个名字；Addresse：填写地址池的范围(10.75.100.1-10.75.100.254)。

6.ROS的PPPOE设置。要在每个VLAN上面建一个PPPOESERVER。点击winboxPPP菜单，选中PPPOE Servers页面，点击“+”添加 PPPOE服务器，每个 VLAN上面都要建一个PPPOESERVER。ServiceName：取个PPPOE服务器名；Interface：该PPPOE服务对应的网卡；Keepalive Timeout这个值是PPPOE服务器和工作站之间的超时时间，可以设大些；Authentication这个是工作站所使用的加密协议，可以勾选多个。

7.ROSPPPOE模版的设置。选中Profiles页面，点击“+”添加PPPOE模版。Name：模版的名称；LocalAddress这个是拨号后工作站的虚拟网关，随便设个地址就可以；RemoteAddress是工作站拨号后所获得IP的地址池；UseEncryption使用加密协议，这里选“NO”；ChangeTCPMSS修改MSS，这里选“NO”，后面可以统一修改。RateLimit这个是模版限速，所有用这个模版的用户都使用这里的限速规则(格式：rx/tx#rx上行速度，tx下行速度)；OnlyOne：选“YES”，使用此模版的账号只允许一个人在线。

8.添加PPPOE用户账号。选中Secrets页面，点击“+”添加一个用户账号。Name：用户拨号的用户名；Password：用户拨号的密码；Service：选PPPOE；CallerID：填上用户的MAC地址，这个账号就绑定了这个MAC，Profile是此账号所使用的模版。

9.统一修改PPPOE拨号用户的MSS，减少资源占用。

点击winboxIP菜单中的Firewall子菜单，选中FilterRules页面，点击“+”添加一条防火墙规则。General页面：chain，选择forward；Protocol，选择tcp。Advanced页面：TCPFlags，选择syn，Action页面：Action，选择changeMSS；newTCP MSS：选择 clamptopmtu。

10.ROS的NAT设置。点击winboxIP菜单中的 Firewall子菜单，选中NAT页面，点击“+”添加一条NAT规则。在General版面中：Chain，选srcnat；在Action版面中：Action，选masquerade。

11.如果地址池里使用的是广电网IP，那么ROS里就不需要做NAT，可以关闭Tracking以降低ROS资源占用。点击WINBOXIP菜单中的Firewall子菜单，选中Connections页面，点击Tracking；反勾选Enabled，则IPFIREWALLNAT项就会自动失效。

四、cisco3550配置内容。

1.设置3350中某个端口为Trunk口，命令是：“Conft”“Switchporttrunk encapsulation dot1q”“Switchportmode trunk”。

2.把设置好的Trunk口和ROS中的LAN网卡相连。

3.3550中和 ROS的 WAN口相连的设置，命令是：“Conft”“Intf0/22 #22 号端口”“Switchportacevlan910#，把端口划入 910VLAN”“Switchportmodeaccess”，“Intvlan 910”“Ipaddress192.168.0.1255.255.255.0”。

4.设置静态IP，对应的IP地址段指向ROS，命令是：“Conft”“Iproute10.72.39.0255.255.255.0192.168.0.2”。

五、利用ROS做策略路由优化广电网络。

如果有条件把电信线路和广电线路物理连接，那么我们可以利用ROS的策略路由功能把部分网络游戏及一些炒股之类应用软件转到电信线路上去进行优化。操作步聚如下：

1.电信线路所在的VLAN上设置电信线路IP。在IP设置页面中，Interface：选对应的VLAN名；比如此电信线路是接在3550的14号VLAN，则192.168.2.254为电信线路的IP。

2.做IP地址列表，指定某段广电IP走电信线路。点击winboxIP菜单中的 Firewall子菜单，点击AdressLists页面；建立一个地址列表，名为“jjxtel”，里面的 IP段为10.72.39.0/24。

3.对地址列表做路由标记。点击winboxIP菜单中的Firewall子菜单，点击 Mangle页面，点击“+”添加一条 Mangle规则。例如在jjxtel地址列表中对大智慧软件做标记，做策略路由。在 General页面：chain，选择 prerouting；Protocol，选择 tcp；Dst.port，填上目的端口号 22223。在 Advanced页面，Src.addressList：选择 jjxtel。在 Action 页面：Action，选择markrouting；NewRoutingMark，填上 jxwt；Passthrough，勾选。

4.对新建的路由标记设定网关。点击winboxIP菜单中的 Routes子菜单，点击“+”添加一条New Route规则。在General页面：Destination，填上0.0.0.0/0；Gateway，填上192.168.2.1；RoutingMark，选择jxwt规则。

注意默认网关192.168.2.1即为电信线路网关，RoutingMark为jxwt，即我们前面所做的路由标记，再填加一条策略路由，把广电的IP段(10.72.0.0/14)做策略路由，指定其走广电的网关，这样我们在访问广电内网资源时，自动走广电线路，访问外网资源时走电信线路。

5.在IPFIREWALLNAT里建一条SrcNat规则，把做了标记的广电IP段，当走电信的网关的时候把广电IP伪装成电信的IP。

由于县级广电网络发展初期用户量少，采用ROSPPPOE认证系统是性价比很高的一种过渡方案，在用户发展超过两千户的时候就应该考虑用专业级认证系统进行用户认证，因此在县级广电网络中采用ROSPPPOE系统有很大的借鉴意义。