Router OS 在受限校园网里的应用

Router OS 在受限校园网里的应用 摘要:介绍了Router OS的技术特点，并结合实例，阐述了一种利用Router OS操作系统，通过教学院楼里一台能接入Internet的PC机解决学生宿舍管理人员的Internet接入问的方法。经长时间观察，该方法使用的系统运行正常、稳定，为宿舍管理人员的Internet接入需求提供了方便、可靠的服务。 关键词:路由操作系统;虚拟专用网;网络地址转换;路由 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)20-4596-02 学校宿舍网络可谓是最难管理的网络之一，因为一部分同学利用掌握的网络技术进行ARP攻击导致Internet接入服务瘫痪，更有同学疯狂进行P2P下载导致网络流量大量占用发生堵塞现象。因此，为了便于管理，越来越多的学校(包括我校)只为普通教学院楼提供Internet接入服务，而对宿舍楼只提供普通的校园内网接入服务不提供Internet接入服务，同学们只有自己联系ISP运营商才能接入Internet。但这为宿舍里的管理老师和工作人员的Internet接入需求带来不便，对于此问题，不少学者曾经尝试使用架设代理服务器来解决[1]，但效果不尽人意，代理服务器具有运行不稳定，应用兼容性差等缺点。该文将详细叙述利用Router OS系统搭建VPN服务器解决该问题的方法和步骤。 1 关键技术介绍 1.1 Router OS简介 Router OS是一种基于Linux内核的路由操作系统，通过该软件可将标准的PC电脑变成专业路由器。该软件经历了多次改进完善，其功能非常突出，可以把几百元的计算机转变成具备价值上万元的专业级路由器[2]。它集路由、PPPoE认证、VPN、策略路由、带宽控制和防火墙等功能于一体，其极高的性价比，受到许多网络人士的青睐。 1.2 虚拟专用网VPN 虚拟专用网VPN即“Virtual Private Network”，是指通过公用骨干网将物理分布在不同地点的多个私有网络或者网络节点组成逻辑上的虚拟专用网络。该技术传递的数据可以是使用不同协议封装的数据包，隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。新的包头提供了路由信息，因此该数据包可以在宿舍和VPN服务器两个端点之间通过学校内网进行路由传输。一旦到达网络终点，数据将被解包并转发到最终目的地[3]，传输过程如图1所示。Router OS系统支持P VPN、L2TP VPN、Open VPN和SSL VPN方式接入。 2 Router OS在受限校园网里的应用 在普通教学院楼中选定一台取得Internet访问权限的PC机安装Router OS操作系统，利用Router OS操作系统自带的VPN服务组件搭建一个VPN服务器来满足宿舍区工作人员的Internet服务需求。 2.1 Router OS 的安装和配置 Router OS安装方法与大多数操作系统安装方法一致。默认的Router OS是不开启DHCP客户端的，需要自行配置IP地址等信息便于以后使用Winbox登陆到Router OS进行管理。 根据实际网络环境，输入以下命令配置IP地址，子网掩码: [admin@MikroTik] ip address>add address=172.18.15.232/24 interface=ether1 配置好后，便可用处于同网段的一台普通PC通过Winbox连接到Router OS并进行配置[4]。 2.2 Router OS VPN服务在校园网中的应用 2.2.1 完善网络参数 运行Winbox登陆到Router OS，在左方“IP”菜单的“Address”子菜单里的“Routes”选项卡里配置好默认网关(172.18.15.1)，然后在左方“IP”菜单里的“DNS”子菜单里的“Static”选项卡里根据实际网络环境配置DNS(222.246.129.80)。测试VPN服务器能否在教学院楼正常访问Internet。 2.2.2 启用VPN服务 在“PPP”菜单中的“interface”选项卡里选择“PPTP Server”，勾选“Enable”启用VPN服务。在“PPP”菜单中的“Secrets”选项卡里点击“+”号添加账户名、密码，在“Local Address”里填上为VPN服务器设置的私有地址。建议与VPN服务器出口静态IP异段，例:(192.168.1.1)。注意:每位用户设置中该项应一致。在“Remote Address”里填上给该用户分配的私有地址，例:(192.168.1.2)。注意，每位用户设置中该项分配的私有地址应该保持不重复。 2.2.3 启用NAT地址转换 在“IP”菜单中的“Firewall”子菜单里选择“NAT”选项卡，点击“+”号添加NAT规则，在“Chain”里选择“srcnat” (源地址NAT)。在“Src.Address”中填写需要NAT私网地址段(192.168.1.0/24)。在“Action”中选择“masquerade”(伪装)。 2.2.4 配置VPN客户端 在宿舍PC中打开控制面板，单击“网络和共享中心”，选择“设置新的连接或网络”，在弹出的对话框中选择“连接到工作区”。 继续选择“使用我的Internet连接(VPN)”。在internet地址一栏中填入VPN服务器地址(172.18.15.232)以及创建的账户和密码就可以进行连接并取得Internet访问权限了。 3 结论 经过上述的配置，宿舍工作人员可在宿舍受限的校园内网环境中使用VPN服务连接到教学院楼的VPN服务器并取得Internet访问权限，有效得解决了由宿舍只提供普通的校园内网接入服务不提供Internet接入服务给宿舍工作人员带来的不便。 参考文献: [1] 赵红.代理服务在文科实践教学环节中的应用[J].实验技术与管理，2013，30:33-35. [2] 梅宴标. RouterOS软件路由器在局域网中的应用[J].电脑编程技巧与维护，2013，4:47-48+77. [3] 程思. VPN中的隧道技术研究[J].计算机技术与发展，2010，20:156-158. [4] 崔北亮. Router OS全攻略[M].北京:电子工业出版社，2010:11-16.