ROS教程设置总结

ROS教程（1）－－－基本配置

一、LAN口配置：(admin为用户名，密码为空登录控制台）

1、查看已经安装的网卡

>interface print (可缩写为int pri)

2、更改网卡名字

〉int

〉pri

>set 0 name=lan

3设置内网卡的ip和子网掩码（先返回顶层目录，用“/”键）

〉ip address add address=192.168.194.1/24 interface=lan

4、打开winbox,以192.168.194.1为地址，admin为用户名，密码为空登陆。

5、在winbox下单击"interface"--->双击列表中"name"栏中的连接ISP的网卡--->"name"更名为"WAN"。

二、WAN口配置：

1、通过ADSL拨号上网

(1)如果电信等ISP已将帐号和相关的MAC地址绑定过，则需要修改WAN口MAC地址，否则跳到下一步。

在winbox下单击"new terminal"--->输入命令"interface ethernet"--->set WAN

mac-address=00:00:00:00:00:00--->通过print命令查看修改是否成功。

(2)建立pppoe连接到电信或其它ISP。

"PPP"--->"+"--->"general"选项卡--->在"name"中拨号名，如Tel，在"interface"中选择WAN

口--->"Dial out"选项卡中，"user"域中输入用户名，"password"中输入密码（ISP提供的），并且确保"Add default Route"处于选中状态--->"apply"--->"OK"。

2、通过静态IP上网

(1)静态IP是指由ISP提供的TCP/IP参数上网，"IP"--->"Addresses"--->"+"、

"IP"--->"Addresses"--->在"address"中输入WAN的IP地址及子网掩码位在"address"中输入WAN的IP地址及子网掩码位，在"interface"域中选择"WAN"--->"Apply"--->"OK"。

(2)添加默认路由，目的是增加到internet的路由，"IP"--->"Routes"--->"+"--->"Dst.address"中输入"0.0.0.0/0"，"gateway"中输入ISP提供的网关，如果不明白，则可选择"WAN"也行

--->"Apply"--->"OK"。

三、配置NAT地址转换

"IP"--->"firewall"--->"NAT"选项卡--->"+"--->在"chain"中选择"srcnat"即源地址转换，"Src.Address"中输入要转换的内网网络号，当然，如果想让所有地内网地址都可以转换则留空白--->"Action"选择项中的"action"中选择"masquerade"即对外伪装--->"apply"--->"OK"。

到此为止，ROS的NAT转换功能基本实现，局域网用户可以通过配置LAN口所在网段IP 及用LAN的IP作为网关上网了。

四、配置DHCP服务器

若ROS路由没有启用DHCP服务器，则在客户端必须给要上网的电脑配置IP和网关以及运营商的dns.若启用则在客户端不必设置IP等。

（*）IP\POOL 添加，name:Pool-DHCP IP段，

如：192.168.194.10-192.168.194.100

(*) IP\DHCP Server

(#)DHCP\点加号，Name:DHCP,Interface:lan

leaseTime:3d Address Pool-DHCP

Authoritative:yes

(#)Networks\点加号，Address:192.168.194.0/24

Gateway:192.168.194.1

Netmask:24

DNS：221.3.131.12

221.3.131.11

ROS教程（2）－－－配置PPPOE server服务器

通过以上教程(1)已经实现了局域网共享上网的目标，但这样的网络的弊端也是显而易见的，由于所有用户均在同一广播域内，首先是广播包太多，造成网络性能下降；其次用户之间的访问无法隔离，造成信息的不安全；第三是给系统留下安全隐患，当网中的一些PC感染了计算机病毒，将及有可能造成交叉感染；最后是网络管理及为不便，由于网段内的IP可由用户自己设定，造成IP管理混乱，同时无法控制用户上网行为。当然可以在软件路由系统中增加内网网卡来划分多网段，但投资将增加。

本教程提出利用虚拟拨号解决以上出现的一些问题，尤其是解决广播域内ARP病毒造成的危害，同时可控制用户的上网行为，如通过授权方式充许用户上网。

一、PPPOE server服务器配置

1、创建地址池，其用途是当用户拨号成功后将从地址池中获取一个IP地址。

在winbox中点击"IP"--->"Pool"--->"+"--->在"name"中输入地址池名称，起的名尽量见名思意，"Adresses"内输入一个地址范围，如:12.0.0.1-12.0.0.250--->"apply"--->"OK"。

2、创建Profile(模板），其用途是当用户拨号通以后，将以模板的样式提供参数给用户，并对用户进行一些限定。

"PPP"--->"Profile"选项卡--->"+"--->"name"域中输入一个profile名，在"Local Address"中输入一个IP地址（随意），"Remote Address"中选择第一步所创建的地址池名，在"DNS Server"中输入运营商的dns,其他还有一些选项根据需要配置--->"Apply"--->"OK"。

3、创建pppoe server

"ppp"--->"pppoe server"选项卡--->"+"--->"service name"中输入PPPOE server名称，"interface"中选择LAN口，"default profile"中选择第二步所创建的profile--->"Apply"--->"OK"。

4、创建用户

"PPP"--->"secret"--->"+"--->分别在"name"、"password"中输入帐号名和密码，"sevice"中选择"pppoe"或"any"--->"profile"中选择第三步所创建的profile--->"apply"--->"OK"。

二、配置radius 服务器（可选）

在pppoe server添加用户和管理用户是不方便的，而且功能弱小，我们完全可能选用第三方的AAA服务器，即Radius 服务器，下面介绍的是在ROS端如何配置，radius服务器端的配置在这就不介绍了。

1、添加radius

"radius"--->"+"--->在"service"中根据需要勾选"ppp"、"hopspot"、"dhcp"等选项--->在"Addrss"中填radius 服务器IP地址（注意ROS一定能PING得能通），"secret"中填公共秘匙

--->"apply"--->"OK"。

2、在PPP中启用radius

"PPP"--->"secret"--->点击"PPP authentication&accounting"--->勾选"use

radiu"--->"apply"--->"OK"。

注意：在配置了pppoe server 以后，内网用户同样可以通过设置IP(教程1中提到)来连接internet，如何防止这种现象发生，方法很简单，就是删除掉LAN的IP就行了。

ROS教程（3)---静态NAT配置及应用

在教程（1）中已介绍了通过地址伪装技术(masquerade)实现动态网络地址转换，以达到LAN内主机通过配置TCP/IP参数连接internet网目的。一些企业，尤其是一些大中型企业，需要对外开放自己的企业服务器，如WEB、FTP、OA等应用服务器，若直接将这些服务器挂到公网上，不仅需要更多的合法IP，造成成本的增加，而且对服务器的安全保护也是极为不利，同时还造成企业内部用户访问造成“曲线回巢”效果。为了解决这么一个问题，可以将企业服务器安装在企业LAN内，在ROS中配置端口映射，企业对外公布的服务地址是ROS的WAN口地址（一个合法的IP地址或域名），当外部用户防问企业服务器时，ROS 将该连接直接映射到企业LAN中的某一台主机即可正常访问，从而达到了一IP多用途、经济、安全和高效的网络服务。下面以企业内安装Web服务器为例介绍配置过程，其他服务器配置类似。

一、修改ROS占用的默认服务端口。

方法1：修改，在Winbox中选"IP"--->"services"--->双击"www"--->在"Port"栏中将默认的80端口改为一个1024以后的端口号--->"Apply"--->"OK"。

方法2:禁用www,如果不需要ROS开放www服务，完全可以关闭该服务，在Winbox 中选"IP"--->"services"--->选中"www"--->点击工具样上的"X"disable按钮。

二、建立端口映射。

1、在Winbox中选"IP"--->"firewall"--->选择"general"选项卡--->在"chain"栏中选"dstnat"(即对包头的目标IP转换）--->在"Dst Address"栏中输入WAN口的IP地址(合法）--->在"Protocol"栏中选"6 (tcp)"--->在"Dst Port"栏中输入"80"。

2、在以上窗口中选"Action"选项卡--->在"Action"栏中选"Dstnat"--->在"To Address"栏中输入企业LAN内的Web服务器的IP地址（私有IP)--->在"To Ports"栏中输入企业Web服务器所用的端口号，如80。

3、"Apply"--->"OK"

到此为止，端口映射完成。

ROS教程（4）---VLAN配置及应用

在教程(1)中介绍了通过动态NAT的配置，实现了LAN内用户连接internet网。当一个LAN 内的用户数量较少时，该方法是可行的。一旦用户量很大时，如大中型企业用户群或一个大的网吧，LAN内的广播包将以数量级的形式上升，造成网络性能急速下降！这是由于整个LAN就是一个广播域，一个很大的广播域，它的缺点是显而易见的，为了提高网络性能，有必要将一个大的广播域划分为多个较小的广播域，有必要在LAN内引入二层交换机，通过VLAN技术分割广播域。这是引入VLAN原因之一，其二，有些企业为了管理需要，允许一部分员工上班时间可以访问外部网络（如internet)，而另一部分员工不能访问外部网络，通过VLAN技术就很容易实现了。

划分VLAN后，如何实现各VLAN与ROS间的通信是这个教程要重点讨论的一个问题，总体来说有两种方法可以实现以上目的：

方法1：

思路：

在内网中引入三层交换机，然后在三层交换机上创建VLAN,分别给各VLAN的三层虚端口设置IP(注意，其中要有一个VLAN的三层端口IP与ROS的LAN口IP在同一网段，并且由该VLAN的一个成员端口连线到ROS的LAN口）。在三层交换机上启用路由功能，配置默认路由指向ROS的LAN口（即下一跳IP为ROS的LAN口IP)，最后在ROS中设置回程路由分别回指到各个VLAN（注意下一跳地址指向与ROS LAN口连接的VLAN的三层端口IP)。方法1的优点是原理简单，但用户数据包要出到ROS外部需要两次路由（分别在三层交换机和ROS中各进行一次），造成数据延迟较大。

方法2：

思路：在内网中使用二层交换机（或三层交换机不启用三层功能），将二层VLAN通过trunk端口透传到ROS的LAN口，在ROS的LAN口上创建多个VLAN，在ROS中给各个VLAN端口分配三层端口IP，最终各VLAN用户的数据包只是在ROS中路由一次就可以出到ROS外部。

以上两种方法相比之下，方法2优势明显，一个是延迟的问题，第二是在方法1中我们无法建立PPPOE拨号方式控制用户上网，而第二种方法可以在每个VLAN中创建pppoe 拨号服务。下面就介绍方法2。

一、交换机上的配置（以思科交换机为例）。

1、创建VLAN(以创建VLAN 10 VLAN 20为例）

switch#config terminal 进入全局配置模式

switch(config)#vlan 10 创建vlan 10

switch(config-vlan)#name office 给vlan 10 起名为office

switch(config-vlan)#exit 返回全局配置模式

switch(config)#vlan 20 创建vlan 20

switch(config-vlan)#name home 给vlan 20 起名为home

switch(config-vlan)#exit 返回全局配置模式

2、将端口加入相应vlan中（本例中将f0/1～f0/10加入vlan 10,f0/11～f0/20加入，f0/21～f0/24保留vlan 1中)

switch(config)#interface range f0/1 - f0/10 进入端口1至10

switch(config-if-range)#switchport access vlan 10 将以上端口加入vlan 10

switch(config-if-range)#exit 返回全局配置模式

switch(config)#interface range f0/11 - f0/20 进入端口11至20

switch(config-if-range)#switchport access vlan 20 将以上端口加入vlan 20

switch(config-if-range)#exit 返回全局配置模式

3、将某一端口连接到ROS的LAN口，并将该端口的链路类型改为trunk（以f0/24为例）

switch(config)#interface f0/24

switch(config-if)#switchport trunk encapsulation dot1q (三层交换机需要这条命令，二层不需要）封装dot1q协议

switch(config-if)#switchport mode trunk

到此交换机配置完成。

二、ROS上的配置。

1、在lan口上创建vlan。

(1)在winbox中选"interface"--->"VLAN"--->"+"--->"name"栏中输入"office"--->"VLAN ID"栏中输入"10"--->"apply"--->"OK"。

(2)同样方法创建vlan 20

2、给VLAN三层虚端口配置IP。

(1)在winbox中选"IP"--->"Address"--->"+"--->"Address"栏中输入IP地址及子网掩码位--->在"interface"栏中选刚才所创建的VLAN即可。

（2）VLAN 20方法同上。

3、建立动态NAT，注意，在"IP"--->"firewall"--->"NAT"中的"general"选项卡中的"Src Address"可不输入，若不输入则所有VLAN均可连外网，若只允许VLAN 10连外网，则只需输入VLAN 10 的网络号，其他设置跟ROS教程（1）相同。

ROS教程（5）---无线配置及应用

随着Notebook及带有WIFI功能手机的广泛应用，一些公共场所对无线上网应用的需求急升，如飞机场、汽车站、Coofee Bus、Hotel等场所，由于有线的不便及无线的灵活便利，使得无线的应用得到了广泛的应用。本教程就利用ROS构建无线局域网作一个简要而实用的介绍。

一、硬件准备。

要架构无线局域网势必要有无线发射装置，无线发线装置简称AP,目前市场上有很多的AP设备，比如soho型宽带无线路由器、企业级无线路由器，还有DIY型AP，下面简要介绍各种AP的特点。

1、soho型宽带无线路由器。通常也称肥胖型AP，也就是说它一身兼有有线路由功能和AP发射功能，这种无线路由器，充其量就是一个简单的NAT设备，主要面向家庭及小型办公应用，由于其硬件性能低下，功能少，一般只支持2048～4096线程，也就意味着当用量很多时（如达到8个用户以上），数据包被丢弃的机率很高，造成网速很低的感觉。同时，由于其功能单一，无法对用户身份进行认证及管理，其安全性亦大打折扣。基于以上原因，在组建大中型无线网络时，不太可能选用soho型无线宽带路由器。

2、企业级无线路由器。功能强大，安全性高，但构建成本高，功能单一，且后期网络扩容难，升级困难，对于财力有限的中型企业来说亦不是最佳选择。

3、DIY无线路由器。就是由用户自已安装配置的无线路由器，完全可以在有线路由器基础上添加无线路由功能，功能丰富，完全可以按照用户意愿来配置，支持的线程数最高可达65535，完全达到了超大型用户群的应用需求。成本低下亦是其具有强大竞争力的原因之一。目前是构建无线局域网的最佳方案之一，本教程基于DIY无线局域网作介绍。

硬件方面，只需在有线基础上添加一张无线网卡和一个2.4G无线放大器和天线，在选购无线网卡时需注意，目前ROS支持的无线网卡种类单一，只支持ATHEROS芯片的无线网卡。

二、硬件安装。

将无线网卡插入扩展槽，驱动ROS自带，无需安装，注意，ROS2.9.27只支持802.11B/A/G 标准，要用802.11n需ROS3.0以上版本。

三、配置。

1、启用无线网卡。

默认无线网卡是禁用的，要在winbox下启用无线网卡：winbox--->"interface"--->右击无线网卡--->"enable"

2、配置无线网卡。

(1)winbox--->wireless--->"interface"选项卡--->双击对应的无线网卡--->"general"选项卡

--->"WPA Pre-Shared Key"或--->"WPA2 Pre-Shared Key"设置密码，当然也可以不设置（如果后面做Hotspot还是不设为好）

(2)winbox--->wireless--->"interface"选项卡--->双击对应的无线网卡--->"wireless"选项卡

--->"mode"栏选择"ap-bridge"（多点桥接模式）--->"Band"栏选择"2.4GHz-B/G"(根据具体无线网卡支持的标准）--->点击窗口右侧"snooper"查看目前空闲的信道--->"Frequency"栏中选择上一步可用的频率--->"SSID"栏中输入无线标志识，自己起个名称即可--->"Apply"--->"OK"。

(3)配置无线网卡IP地址，方法与有线网卡相同。

到此为止，无线信号区域内的用记（笔记本电脑、WIFI手机)即可通过设置IP上网，网关为无线网卡IP。

3、配置Hotspot热点认证（可选，当然有线亦可配置热点认证）。

（1）配置DHCP服务器，允许移动用户自动获取IP地址（当然不是必选，但最好配置，手机设置IP很麻烦）。

winbox--->"IP"---->"DHCP server"--->"interface"选项卡--->单击"DHCP setup"--->在弹出的窗口中"DHCP server interface"栏选择无线网卡--->单击"next"--->"DHCP server space"栏保留默认，单击"next"--->"Gateway for DHCP Network"栏保留默认，单击"next"---> "Address to Give out"保留，单击"nex"--->"DNS server"输入当地DNS服务器地址，单击"next"--->"lease time"栏设置租约期时间，单击"next"--->"OK"

（2）配置Hotspot热点认证上网。

通过Hotspot认证，用户不论访问什么网叶均需网页身份，避免了拨号认证，可方便手机用户进行身份认证，既安全、方便又实用，当然Hotspot认证也可用在有线方面，配置方法相似。

winbox--->"IP"--->"Hotspot"--->"servers"选项卡--->单击"Hotspot Setup"--->"HotSpot Interface"中选择无线网卡，单击"next"--->"local Address of Network "栏保留默认，"next"--->"Address Pool of Network"保留不变，"next"--->"Select Certificate"选择验证方式，选"none","next"--->"Ip Address of SMTP Server"保留不变,"next"--->"DNS server"填本地DNS

服务器地址,"next"--->询问DNS全称，保留空白，"next"--->创建热点认证用户、密码。

4、配置pppoe server。

方法与教程(2)的有线PPPOE server 相似，只是在选择端口时注意选择无线网卡即可。ROS教程（6）---VPN配置及应用

VPN即虚拟专用网络的简称，其通过在internet网上建立一条隧道，通过隧道安全、可靠地传输数据，为企业内部网络的扩展及远程用户访问企业私有网络提供了可靠的途径，其低廉的成本为群多企业所青睐。

VPN实现技术种类繁多，主来包括PPTP、L2TP、IPSEC、EOIP等技术，但其应用模式不外乎两种，一种是企业私有网络互联即LAN到LAN的VPN，如公司总部LAN与分部LAN互联；第二种是internet 网中的用户通过VPN拨号拨入企业内部网进行资料访问或管理网络，如出差在外员工访问企业内部资料、外部人员对企业服务器代管等应用。

本教程就PPTP的不同配置分别实现这两种应用。

一、远程访问VPN。

1、远程访问VPN配置要求：企业端（即服务器端）必须有一个合法的IP地址（最好是一个静态的IP地址，若是动态的，拨号用户亦可通过动态域名拨号）。

2、配置步骤：

（1）创建地址池。用于给已拨入的用户分配IP地址，该地址池网段不得与ROS中的任何一个网段相同。

在winbox中选择"IP"--->"Pool"--->"name"栏中输入地址池名称，如

VPN-pool--->"Addresses"栏中输入地址池的IP值范围，如

172.16.1.2-172.16.1.10--->"Apply"--->"OK"。

（2）创建Profile(模板）。Profile的作用是当用户拨号进入以后，服务器将以模板的板式提供参数给用户，或是限定用户的权限。

winbox中单击"PPP"--->"Profiles"选项卡--->"name"栏中输入模板名称--->"Local address"输入一个与第一步同一网段的IP--->"Remote Address"栏中选择第一步所创建的地址池

--->"DNS"栏中输入本地DNS服务器地址--->"Use Encryption"使用加密栏中选

yes--->"Apply"--->"OK"

（3）启用服务。

winbox中选择"interface"选项卡--->勾选"Enable"--->"Default Profile"栏选择第二步所创建的模板--->勾选"pap"和"chap"两种认证方式--->"Apply"--->"OK"。

（4）创建用户。用户用于提供给远程用户拨入。

winbox中选择"Secret"选项卡--->"name"栏中输入用户名--->"Passwork"输入密码

--->"Service"栏选择PPTP--->"Profile"栏选择第二步所创建的Profile。

（5）配置客户端。在XP下创建VPN拨号器。

注意：客户端拨通以后可以访问企业网内部，但不能上网，原因是ROS防止数据“回流”。

二、LAN到LAN的VPN。

1、LAN到LAN的VPN配置要求：该配置要求配置一个服务器端(一个LAN)和一个客户端(另一个LAN)，服务器端必须有一个静态合法IP地址，客户端不要求使用静态合法IP。

2、配置步骤：

（1）服务器端配置。

A、启用PPTP服务。（方法与远程访问VPN相同）

B、添加一个PPTP用户。

winbox中单击"PPP"--->选择"Secret--->"name"输入一个用户名，"Password"输入密码，用于对端建立客户端拨号--->"Service"栏选择PPTP--->"Local Address"栏输入一个在双方ROS 未曾使用过的网段的IP，作为服务器端的隧道端口IP，如192.168.1.1--->"Remote Address"栏中输入一个与"Local Address"在同一网段的IP，如192.168.1.2--->"Apply"--->"OK"。

Ｃ、为服务器端各网段分别建立一条去往对端（客户端）的静态路由表。

比如：服务器端内网有两个网段：10.0.0.0/24 20.0.0.0/24

则需要在"IP"--->"Route"---"+",分别建立静态路由

Destination:10.0.0.0/24 Gateway:192.168.1.2(对端隧道端口IP)

Destination:20.0.0.0/24 Gateway:192.168.1.2(对端隧道端口IP)

(2)客户端（另一个LAN)

A、添加一个PPTP-Client。

winbox中单击"interface"--->"+"--->PPTP-Client--->"General"选项卡中"Connect-to"栏输入服务器端WAN口的IP地址--->"Dial out"选项卡中分别输入在服务器端Secret中所建立的name和Password--->"Apply"--->"OK" 。

Ｂ、为客户端ROS中的所有网段分别建立静态路由。

如：客户端有：30.0.0.0/24 40.0.0.0/24

则需要在"IP"--->"Route"---"+",分别建立静态路由

Destination:30.0.0.0/24 Gateway:192.168.1.1(对端隧道端口IP)

Destination:40.0.0.0/24 Gateway:192.168.1.1(对端隧道端口IP)

注意：LAN到LAN的VPN连接以后，双方私有网络内主机可以相互访问，而且，双方主机亦可以访问internet。

至此，两种VPN全部介绍完。