Router OS 技术在灌区信息化中的应用

纪义胜，葛孚强

（德州市李家岸灌区管理局，山东 临邑 251500）

Router OS 技术在灌区信息化中的应用

纪义胜，葛孚强

（德州市李家岸灌区管理局，山东 临邑 251500）

Router OS 是基于 Linux 系统的一种路由操作系统，它可以将 1 台标准的电脑转变为 1 台专业级的路由器使用，在认证、策略路由和防火墙过滤等功能上都有着突出的功能。探讨将其应用于灌区的信息通讯中，通过设置 Router OS 服务器 3 块网卡的策略路由实现灌区不同网段之间的信息转发，具有架设简单、管理方便的特点，不但使得不同网段之间的信息转发更加稳定，同时也解决局域网内的 ARP 木马病毒的攻击问题，经过 2 年多的运行实践，没有出现大的问题，网络安全性、稳定性得到有效保障。

灌区信息化；ARP；Router OS；NAT 地址转换

某灌区在信息化通讯网络建设中，采用了租用联通专线的运行模式，节约了建设投资，减轻了运行维护的负担。由于跨越多个县市，网通给每个县市提供了不同的通信网段，该灌区信息路由采用了Windows 2000 Server 路由和远程策略，发现存在运行不稳定、管理不方便的问题。为此尝试将 Router OS 运用于灌区信息化的通信系统中，实现 3 款网段间的信息自由转发，可有效地控制局域网 ARP 等网络病毒，具有结构简单，易于上手的特点。

1 基本情况

某灌区信息化建设涵盖了 1 个中心，5 个分中心，分别位于 A，B 这 2 县，A 县提供的网络地址 192.168.10.0/24，B 县提供的网络地址 192.168.11.0/24，管理中心外网地址 172.18.15.230/28，内网 192.168.1.0/24。设有服务器 1 台，服务器开启 SQL Sever、路由远程访问、流媒体等服务， SQL Sever 服务负责来自互联网内的灌区水情数据访问，路由和远程访问负责 192.168.10.0/24，192.168.11.0/24 与 192.168.1.0/24 网段的数据转换，通过外网地址172.18.15.230 访问 Internet，流媒体服务负责各分中心视频监控信息的数据转发，网络结构如图1 所示。

图1 网络结构图

2 路由方式

路由器下接服务器，路由器 Wan 口接 Internet光缆，地址设为电信服务商给定的 172.18.15.230/28，Lan 口接管理中心局域网，网关地址设为 192.168.1.1。服务器有 2 块网卡，1 块接 192.168.10.0/24，网络地址为 192.168.10.2，1 块接 192.168.1.0/24，网络地址为 192.168.1.254。安装 Windows 2000 Sever 系统、路由和远程访问，负责 2 块网卡间的信息转换；安装 Microsoft SQL Server 2000（SQL2000），存贮和管理采集到的灌区水情信息；安装流媒体服务，负责分中心视频信息的转发。

3 主要问题

3.1 网络管理混乱

随着经济社会的发展，管理中心局域网功能越来越强大，接入用户越来越多，局域网内除灌区水情系统外，还安装了财务管理、档案管理、OA 办公等系统，对网络要求越来越高，而局域网内真正能够主动预防和正确查杀病毒的却寥寥无几，有的同志在下载安装软件时，不注意取消插件安装、下载文件的木马查杀，往往在无意识间中了病毒，单机病毒影响自身计算机运行，网络病毒发作时不仅可以造成网络中断、通讯延时等现象，甚至截获中毒主机通讯数据，并向外网指定的用户发送，还有的同志进行 P2P 下载占用大量网络流量导致网络堵塞，既影响了局域网运行质量，又影响了灌区数据的安全。

3.2 路由不稳定

服务器兼有路由和数据服务、流媒体转发等功能，访问量大，经常受到不明病毒侵扰，购置的单机版杀毒软件又不能有效清除整个网络的病毒，路由服务经常无故终止，造成与各县市的数据通讯中断，直接影响灌区信息化系统运行。

4 采取的措施

基于以上问题，在灌区信息化通信系统应用了功能强大、性能稳定的 Router OS 技术。

4.1 Router OS 技术简介

Router OS 是基于 Linux 的一种路由操作系统，通过该软件将标准的 PC 电脑变成专业路由器，Router OS 软路由经历过多次更新和改进，在认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，架设调试非常简单，管理更加方便的特点，对 PC 机的配置要求非常低，P3 或 P4 处理器，128 MB～1 GB 的内存，20～60 GB 硬盘，Router OS 2.97 以下版本必须采用 IDE 接口硬盘，Router OS 3.0 以上版本支持 SATA 接口的硬盘[1]。根据管理局信息通讯的要求，需要至少配置 3 块网卡，路由器硬件配置如图2 所示。

4.2 系统安装

1）从 Router OS 官网下载系统，刻录成安装光盘。

图2 路由器硬件配置

2）将电脑硬盘格式化为 1 个分区，用 Router OS 安装盘启动电脑，选择安装所需要的功能，安装完成后重启计算机，登陆账号默认为 Admin，密码为空，成功登录后注册许可[2]。

3）配置网卡。路由器配置 3 块网卡，安装完成后网卡默认名称为 Ether1，Ether2，Ether3。用Set 命令设置 Ether1 的名称为 Lan，内网 IP 地址192.168.1.1，在局域网内电脑上设置同网段 IP 地址、子网掩码和网关，网关为 Ether1 的地址，在浏览器地址栏输入 http://192.168.1.1 地址，可打开Router OS 管理页面，下载 Winbox，Connect to 输入192.168.1.1 的地址，用户名和密码与登录 Router OS的相同，可打开 Winbox 界面，在 Winbox 界面中设置 Ether2 名称为 Wan，外网地址 172.18.15.230、子网掩码、网关和 DNS（电信提供）后，设置Ether3 名称为 Zhuan，地址为 B 县网段内某一地址192.168.10.3，完成参数设置。几个命令如下：

4）配置防火墙。从网络层上分类，可分为 2 层过滤防火墙和 3 层及以上防火墙，他们分别在 Bridge Filter 和 IP Firewan Filter 下进行操作，能对各层的数据进行处理。可以实现以下几个方面的功能：a.实现对病毒和网络攻击的防御，用户可以从 Routers OS官方获得最新的防火墙策略；b.可以有计划地限制BT，电驴等软件下载；c.利用 Routers OS 队列进行带宽控制；d.绑定用户的 MAC 地址[3]。

4.3 NAT 地址转换

IP-Firewall 点击“NAT”，点击“+”，General 选项卡下，Chain：Srcnat（源地址映射），在 Src.Address填写需要 NAT 的私网段地址（192.168.1.0/24），然后选择“Action”选项卡，将 Action 的值设为“Masquerade”，点击“OK”完成[4]。这时在局域网内，连接 Lan 网卡的终端用户，网卡设置为192.168.1.0/24，网关设为 192.168.1.1 即可上网。连接 Zhuan 网卡的终端用户，网卡地址设置为192.168.10.0/24，网关设置为 192.168.10.3 即可上网。要想在 192.168.1.0/24 和 192.168.10.0/24 之间交换数据，点击 IP-ROUTE-“+”-Dst.Address 中填入 192.168.10.0/24，Gateway 中填写“Zhuan”，Pref.Source 中填写“192.168.10.3”，OK，搞定。

5 结语

Router OS 系统建成后，所有终端的网络访问都通过 Router OS，不同网段间的数据转发也通过Router OS，服务器只做灌区信息化数据存储和流媒体转发服务，不仅解决了 ARP 病毒对网络的攻击，而且实现了在一个设备上不同网段的数据交换。使用方面，通过 Winbox 维护数据，监视用户使用网络流量情况，对用户计算机的维护量大大减轻，非法入侵和破坏得到了有效的控制。运行 2 年多以来，没有出现大的问题，网络的安全性、稳定性得到有效保障。

[1] 梅宴标.Router OS 软件路由器在局域网中的应用[J].电脑编程技巧与维护，2013 (4): 47-48,77.

[2] 崔北亮.Router OS 全攻略[M].北京：电子工业出版社，2010: 11-16.

[3] 石晓东.基于 ROS 的高校图书馆服务器网络安全策略研究[J].制造业自动化，2010,32 (9): 212-214.

[4] 饶居华，刘祥广，陈武臣.Router OS 在受限校园网里的应用[J].电脑知识与技术，2013 (20): 4596-4597.

Application of Router OS technology in Irrigated Area Informatizatio

JI Yisheng,GE Fuqiang
(Management of Irrigation Area of Dezhou City Bureau of L Lijia'an,Linyi 251500,China)

Router OS is a router operating system based on Linux system.It can change a standard computer to a professional grade router,which has prominent functions in the authentication,policy routing and firewall filtering and so on.The article discusses its application in the information communication of irrigation area.Through setting policy routing of three NIC in Router OS Server,the information forwarding is achieved of different segment in irrigation area.It is simple to set up and convenient to management.It not only lets the information transmit among different segments more stably,but also solves the problem of Trojan virus attack of LAN ARP.And network security and stability are effectively guaranteed through running practice of more than two years.

informatization of irrigation district;ARP;Router OS;NAT address conversion

TP312；TV39

A

1674-9405(2015)01-0055-03

2014-08-22

纪义胜（1970－），男，山东乐陵人，高级工程师，从事灌区信息化工作。