解决软路由掉线故障

ROS软路由可以绑定IP和网卡的物理地址，ROS软路由还有普通路由器望尘莫及的PPPoE拔号功能，可以分配用户账号和密码，就像电信一样使用PPPoE的方式让用户接入网络，这就好像把一个局域网做了物理隔离，使用PPPoE拔号方式上网，杜绝了ARP欺骗带来的危害。

尽管ROS软路由在防止ARP欺骗方面有独特的功能，但是笔者单位也时常会发生断流的情况。

断流现象

1.能Ping通网内其他客户机，但Ping不通路由，连接不了Internet。

2.能Ping通网内其他客户机，同样Ping不通路由，但能上网（可以连接到Internet）。

原因分析

为什么会出现以上情况呢？我们怀疑是由于受到ARP病毒或其他最新的变种病毒及漏洞攻击。受到攻击的客户机，MAC地址或者ARP缓存中的的本机对应MAC可能被修改，当然客户机ARP缓存中的网关IP相对应的MAC也可能被修改。而此时中毒的计算机向网关路由发出请求时，网关路由的ARP缓存还未到刷新时间，网关路由内的ARP缓存表中保存的是客户机还未中毒前的MAC地址。而这个MAC地址，与客户机当前请求的MAC地址已经不一致，客户机的连接请求被网关拒绝。即发生与网关断流。

还有一种可能情况是，当中毒的源计算机向局域网发出假MAC广播时，网关路由也接收到了此消息，并将这些假MAC地址与其IP相对应，并建立新的ARP缓存。导致客户机与服务器断开连接。

解决ROS软路由掉线问题方法

有些情况是，出现ARP欺骗时，双绑无效，使用各种补丁后仍掉线严重时，我们可以考虑用PPPoE这个点对点的协议来换掉广播式的ARP。局域网站设置好IP地址、网关和DNS后即可ROS软路由器上网，通过ARP协议建立MAC与IP的对应关系，也就是ARP地址映射表，当有工作站打开了带有ARP攻击的网页或游戏外挂时，此工作站便会生成一个伪ARP地址映射表，并向局域网中所有机器发出ARP欺骗包，导致局域网用户频繁掉线。

如何从根本上解决ARP欺骗问题呢，最根本的解决方法就是不用ARP协议上Internt，工作站通过PPPoE像家用的ADSL一样上网。假定我们掌握了ROS软路由器的基本知识，以下通过ROS软路由PPPoE设置和工作站端设置等方面进行介绍。

ROS软路由PPPoE设置

路由器设置IP地址池，进入winbox，单 击 IP→ Pool，出 现“IP Pool”界面，单击菜单下方的“+”号，。出现“New IP Pool”界面，单击“Addresses”后方的向下箭头，输入地址池范围，例如“192.168.6.11-192.168.6.252，单击“OK”退出。出现“New PPP Secret”对话框，Name为登录名，Password为登录密码。在“Service”中选择“PPPoE”，若需要对工作站限速，可以在下方的Limit Bytes In和Limit Bytes Out框中设置上行和下行限速，注意单位为字节/秒，若要限制为1M的速度，可以ROS软路由器设置为1024000。单击“OK”完成由账号的设置。

至此ROS软路由器已设置完成。IP→Firwall中的设置跟常规设置一样，加一条NAT规则，Chain中选择“srcnat”，Src.Address 的 内网网段，也可能不设置网段，即对所以网段都进行转发。Action中设置 “Action”为“masquerade”。

经验总结

因为ROS软路由是基于软件的路由器，有时候难免会因为硬件问题而影响使用和使用效果。比如硬件的兼容性，有些人可能太注重网卡的选择而忽略了主板和内存，主板和内存的质量参差不齐，也会影响ROS实际使用效果。

在实际使用中，也遇到过因ROS软路由的弱口令而遭到网络中人的扫描和进入更改它的一些规则，导致不能上网或上网速度变慢。