黑色蛀牙 发表于 2006-7-23 10:45:22

ROS菜鸟入门

RouterOs菜鸟

RouteOs测试(第6周)
总体来说Routeros的功能还是比较全的,没有条件测试所以功能,现在还只是会用winbox配置路由.
案例:宿舍网络解决方案
   宿舍网络拥塞,造成防火墙cpu使用率过高,有的用户中毒,发送大量数据包,也有用户使用黑客软件进行IP欺骗.有限的带宽8M,后有web及mail服务在使用,所有用户都从二层交换再到三层,最后到防火墙,如果发生内网的攻击,在二层没有邦定MAC地址和IP未登记时,内网的IP冲突时常发生,加上晚上时间没有人值班,没办法立即查出中毒和使用黑客软件的机子.面对这种情况,我们不得不舍去宿舍用户以保证其它网络的正常运行.
   最终还是舍去了宿舍用户,当然抱怨的声音也随之而来,怎么办?还有一条冗佘的adsl线路,直接接到二层?运行了3小时后...ADSL MODEM掉线,重启后不用过多久又掉线.宿舍楼的用户过了一次没有网络的夜晚,当然这对于我来说是好事,整天看电脑让人非常疲劳,也许他们还会感谢我^^当然也有电脑狂人还在打着CS,宿舍电话一直响着可是问题却没办法解决,我跟同事最后决定把电话线拔掉好好的睡觉......
   第二天,把我们机房的爱机拿出来做路由,P4 2.4 256 DDR .想了很久到底是ISA还是kfw呢?简单的好,就kfw了.安装花了10分钟,版本号6.14先简单的配置了一下,果然介面很友好,ADSL接上,拔号,策略里面只允许通过80 21 accept all udp deny any to any 时间设成下班后NAT.由于6.14版没有nbw.好了就先这样用着吧,果然没有人再打电话过来了,可能都在玩CS吧^^
   第三天,有人下来找我配合帮他接adsl线路,什么?不是可以上吗?为什么还要另外接?答:我要BT,我要DownLoad,我要pplive,我要......当然要实现这些最好是自已拉了,我说道.我们宿舍现在也只有3M的adsl,要是个个都要这些功能的话那哪怕是10M光纤都无法满足大家.
   就这样过了一周,router重启了三次(ps:有一次是我不小心拔错电源引起的|||),有人反应网络游戏玩不了,我试了经典的<<魔兽世界>>果然是不能用,会卡在已登陆界面.也有人说很卡,没有限速,只要有人在下载就会卡啦.看来简单的不一定好用啊,心想kfw已经不行了.又不想配置复杂的isa(其实是没用过).最后选用了RouteOS,看了很多配置文档,还是有点晕,先配置成简单的nat,测试一下QQ正常,正想离开被人叫住说网页打不开,我一看果然,www.baidu.com可以开,可接下去的页面就没有响应了.再去查资料,原来要在mangle加一条chang mss 1440,加上后,一切正常,松了口气.接下来是配置Queues了,在queue tree 加入pcq简单限速,上传80kbps 下载128kbps 没办法,我也不想限啊...并在mangle里加一条make packet forward标记所有包.这应该是最简单基本的配置了.大家终于可以正常上网了,可是arp欺骗仍然存在网络上,路由又掉线了&*(^&*(^(&*#%..还好Routeos有pppoe server新建pppoe server 建立帐号,拿了台内网机子做网站通知,让大家把mac地址发给我,直接将帐号邦定mac地址.ARP欺骗终于枯竭了,告一段落.
      还没完?总是有事情发生,三层流量过大?有人说把宿舍网线断开就行了,因为主机房到宿舍楼只有一条光纤到那,所以目前还只是把routeos放在三层的vlan11(192.168.11.0/24)里面,加上宿舍楼的交换机有两个vlan,分别是vlan2(192.168.1.0/24)跟vlan11,如果单独接到RouteOS主机.vlan2的用户便没法使用原有的网络.数据包便从宿舍二层到三层的vlan11口,流量太大造成三层堵塞?看了一下用户状态并没有那么夸张!!!那又如何在只有一条光纤的情况下把宿舍的二层跟办公室完全分离又不影响vlan2用户呢?带着这个问题我无力的按着winbox,试着将原来接宿舍用户的口接到了二层的trunk口上,在Lan口上建立interface Vlan2(vlan id 2) Interface vlan11(vlan id 11),并把vlan2的IP配置成192.168.1.3/24,Vlan11配一个IP地址 ip address add address 192.168.11.1/24 2 winbox掉线.跑回宿舍后找了一台vlan11的机子ping 192.168.11.1通了,Vlan2也通了,说明我的网卡还是支持trunk口的,再把pppoe server的interface改成vlan11,测试了一下拔号,成功!在三层上划一个允许所有vlan通过的trunk口接到另一张网卡上,并在这张网卡上新建vlan02(interface不能重名)vlan id 2 ,用宿舍楼vlan2用户ping了一下三层网关竟然....不通!这个问题我到现在还是想不明白,然道说同一个vlan id 能不互通?都做到这步了,实在不忍心放弃,后来终于用bridge解决了vlan2互通的问题了,具体方法在三层做一个vlan2 id的端口接到routeOS的冗佘网卡上,再将routeos上的vlan2桥接到这张网卡上.看到桥通了,总算完成一件事了,学习了很多routeros配置及原理,当然问题还会出现.我也一直在学习!!
在这里要感谢Routerclub,让我了解了很多有关ros配置的方法.这是一种快乐,谢谢!

liyu88 发表于 2006-7-23 12:11:45

不知道你宿舍有多少机器~我的带了150台   没你那样麻烦的!!

黑色蛀牙 发表于 2006-7-23 13:15:17

130台左右,但不是所有用户都在一个vlan里面
页: [1]
查看完整版本: ROS菜鸟入门