ROS软路由实现网通电信双光纤上网

电大理工 2010 年 12 月 Study of Science and Engineering at RTVU. 第 4 期 总第 245 期 ROS 软路由实现网通电信双光纤上网 林玉明 朝阳广播电视大学（朝阳 122000 ） 摘 要 通过对当前网络中流行的 ROS 软路由原理进行分析，并从其双线自动策略路由和网络安全 方面逐步探讨其安装和调试过程。 关键词 软路由 路由表 NAT 默认网关 ROS 是一款基于 LINUX 的 ISP 级的软路由 系统，现在很多大型网吧及企业都是使用的这个 路由系统，它支持电信、网通双线自动策略路由， 即当客户端访问的服务器地址是网通的，则走网 通线路路径，是电信的则走电信线路路径，这样 可以解决网通线路访问电信服务器，或电信线路 访问网通服务器之间速度变慢的问题。鉴于此现 在很多网吧、企事业单位都选择了电信和网通双 光纤并具有固定 IP 的线路，所以一个双线自动 策略路由，即网通走网通的，电信走电信的 只待解决，而 ROS 正是为此设计的软路由系统， 从而省去了花高价买硬件路由器的费用，并且其 性能稳定，硬件配置要求低，只需一台主机，不 用键盘、鼠标、显示器等，所以现在 ROS 得到 了广大用户的青睐和使用。 1 ROS296 的基本配置 (1)登录 ROS 安装完毕后启动进入登录窗口，缺省用户名 为：admin 密码为空。 (2)设置第一块网卡 IP 命令提示符下输入？（问号）来查看相应的 命令，首先设第一块网卡的 ip：在提示付下输入 setup 命令，连续按两次 a，出现 enable inter- face:ether1 表示第一块网卡，改为 ether2、ether3 则分别为第二、三块网卡设备，回车后在 ip address/netmask:输入 IP 地址和子网掩码如： 192.168.1.1/24,再次回车要求输入默认网关：如 192.168.1.254,然后按 X 键退出，此时本地局域 网卡的网络设置结束。 (3)远程登录 ROS 设置 在本地局域网 windows 端机器，ip 设成 192.168.1.x ，网关设成：192.168.1.254 然后在 ie 地址栏输上 192.168.1.1，出现 routeos 的欢迎 画面。点击，提示下载 winbox ，保存，运行 winbox 后提示输入 192.168.1.1 用户名 admin 密码不输，选连接。会出现路由的管理界面，至 此 ROS296 的基本设置完毕。 2 ROS296 的高级网络设置 2.1 设置网络接口 在 WINBOX 主界面中鼠标左键单击 INTER -FACE，进入接口配置窗口更改接口名称，双击 ether1 将 name 改为 lan 表示内网网卡，同样将 另两个 ether2、ether3 分别改为 cnc 和 tel 表示连 接网通线路和电信线路，方便后边的配置。 2.2 设置网通和电信接口 IP 信息 在 WINBOX 主界面中鼠标左键单击 ip － 第4期 林玉明:ROS软路由实现网通电信双光纤上网 . 45 . －》address 设置地址： 选择＋号，输入 cnc 接 口的 ip 地址（isp 给你的）连接外网用的，然后 再选+号输入 tel 接口的 ip 地址（isp 给你的）连 接外网用的，如图 1 所示。 图 1 设置网通和电信接口 IP 信息 2.3 设置默认网关 在 WINBOX 主界面中鼠标左键单击 IP->ROUTE,选+号添加默认网关,默认网通就添 网通网关，默认电信就添电信的网关，目的是访 问的外网地址在路由表中找不到相应网段的路 径能走出去，则把访问的目的地址送往默认网关 这条路径去连接。选中 gateway，输上网关地址 在这里，destination 可以使用默认 0.0.0.0 。如 图 2 所示。 图 2 设置默认网关 2.4 设置 NAT 共享上网 在 WINBOX 主界面中鼠标左键单击 ip － －》firewall －－》NAT ，选择＋号，选择 action， action 里面选择 masquerade ，其余选择默认即 可，至此共享上网就完成了。 设置网通 CNC 和电信 TEL 的静态路由表在 IE 地址栏输入 ftp://192.168.1.1，进入 ROS296 机器的 FTP 里，然后上传 CNC.RSC 和 TEL.RSC 即网通和电信的路由表文件。然后在 WINBOX 中，鼠标左键单击 NEW TERMINAL,进入终端 窗口，输入 import cnc.rsc 和 import tel.rsc 完成网 通和电信路由表的导入，此时可实现网通和电信 访问路线的自动切换，即访问网通的网站和服务 器通过网通路径走，访问电信网站和服务器通过 电信路径走。 2.5 设置网络的监控的开关和自动切换脚本 (1)生成自动切换脚本 在 WINBOX 中，鼠标左键单击 NEW TERMINAL,进入终端窗口在命令提示符下依次 输入 / system script add name="dxup" source="/ip route set \[/ip route find comment=TEL\] gateway \电信网关 \n"policy=ftp,reboot,read,write, policy,test,winbox,password add name="CNCup" source="/ip route set \[/ip route find comment=CNC\] gateway \网通网 关\n" policy=ftp,reboot,read,write, policy,test,winbox,password add name="dxdown"source=":if \(\[/tool netwatch get \[/tool netwatch find \ comment=CNC\] status\]=\"down\"\) do {/ip route set \[/ip route find \ comment=TEL\] gateway \[/ip address get \[/ip address find \ interface=pppoe-out1\] network\]} else {/ip route set \[/ip route find \ comment=TEL\] gateway 网通网关}" \ policy=ftp,reboot,read,write,policy,test,winbox,pas sword add name="CNCdown"source=":if \(\[/ tool netwatch get \[/tool netwatch find \ comment=TEL\] status\]=\"down\"\) do {/ip route set \[/ip route find \ . 46 . 电大理工 总第 245 期 comment=CNC\] gateway \[/ip address get \[/ip address find \ interface=pppoe-out1\] network\]} else {/ip route set \[/ip route find \ comment=CNC\] gateway 电信网关}" \ policy=ftp,reboot,read,write,policy,test,winb ox,password (2)设置网络监控： 在WINBOX主界面中鼠标左键单击 tool － －》netwatch , 选择＋号添加 host=① 电 信 网 关 timeout=1s interval=1m up-script=dxup down-script=dxdown comment= "TEL" disabled=no host=② 网 通 网 关 timeout=1s interval=1m up-script=CNCup down-script=CNC down comment= "CNC" disabled=no 这样 netwatch 可监控网络是否通，如果一根 掉线了则自动把路径切换到另一个存活线路的 路由表（注意上述 dxup dxdown cncup cncdown 要一致）。 3 ROS296 防火墙的设置 高级网络设置完毕可以实现双光纤自动切 换上网，但是如果不设置防火墙规则，安全将没 有保障，网络病毒和木马程序会进入网络内部， 使网速变慢或掉线等等现象发生。 首先设置如下： (1)允许来自内网的连接： ip －》firewall －》filter fules ，选择＋号， in interface 选择内网网卡（lan），其他默认这条 路由允许来自内网的连接，如果有限制，可以修 改 src address 的 ip 段，或者 content 内容过滤 (2)禁止所有的外部连接。 ip －》firewall －》filter chains 选中 input ， 选择 drop。 以上两条规则，屏蔽来自外网的所有连接， 还要注意，顺序不要弄错，不然，你也连接不上 路由了，即：允许来自内网的连接的规则在前， 拒绝所有的连接的规则在后。 (3)恶意网站和广告屏蔽： i p －》firewall －》filter fules ，选择 forward 选择＋号，（举例如，禁止登陆新浪聊天室） advanced 里面 content 输入 chat.sina.com ,action 里面选择 return，即可。 (4)更多的防火墙设置： 把防火墙的一些规则存成 firewall.rsc，进入 ROS296 机器的 FTP 里，然后上传 firewall.rsc 文件。然后在 WINBOX 中，鼠标左键单击 NEW TERMINAL, 进 入 终 端 窗 口 ， 输 入 import firewall.rsc 后防火墙的规则即可在系统中生效， 实现端口、、地址、连接数等的限制。 4 修改管理员的账号 配置完毕,为了保障系统安全需修改管理员 帐号和密码 , 在 WINBOX 中鼠标左键单击 USERS,双击 ADMIN 改个名字和右下脚的 password,如果不需要远程修改 ROS,可以设定访 问 IP,如 192.168.1.0/24 之类的只允许在内部登 录。 5 内网客户端的设置 设置客户端的 IP地址为 192.168.1.x/24,网关 设置为 192.168.1.1(ROS的LAN接口地址)，DNS 设置为 192.168.1.1 即可实现客户端的上网。 以上所用 ROS2.96 系统、网通路由表 cnc.rsc、电信路由表 telip.rsc、防火墙规则文件 firewall.rsc 、自动切换的脚本文件 dxup dxdown cncup cncdown 可以到互联网上下载使用。 参考文献 [1]葛中泽,李志强.Routeros 在校园网中的应用.鄂州大学 学报, 2007 (02) . [2]唐宝富.软件路由器让局域网安全共享网外资源,科技 咨询导报, 2007 (05) . （责任编辑：苗君明）