作为一个网络管理员,近期被“网络执法官”弄的焦头烂额。虽然我们可以查找出非法攻击者,但是却没有更好的办法进行治理。常常是我们前脚处理,他们马上就重新攻击。多次请示领导,也没有更好的解决方案。我们只好改用其他的方式管理。
我们知道,利用时下流行的PPPoE的方法,是最好的避免基于以太网的ARP攻击的方法。(其具体原理请读者自行查阅资料,本人不再累述)。但是专业的硬件解决方案价格太高了,申请了多次,领导都没有批准。没办法,只好自选出路了。
在网上流浪了一天以后,终于选择出了一款软路由软件——RouterOs,由MikroTik公司出品,号称是ISP级的路由软件。看过它的说明书后,发现它的功能还真是够多!最关键就是——它支持PPPoE Server。好,就选择它了!下面就开始我的RouteROS之旅:
一:RouteROS简介
RouterOs是一款基于Linux的路由器操作系统,功能强大,拥有几乎所有硬件路由具有的功能。当然,这里我们只选用了它的PPPOE Server功能。RouteROS要求相当简单:一台具有奔腾以上的CPU,64M内存的X86计算机就足够了(既然号称ISP级的路由器,对内存的要求是大了点)。关键是对网卡的支持:Intel的8255X系列、3com的3c905系列、RealTek的8139系列,常见的网卡全可以。(建议大家选用Intel82559网卡,速度和稳定性都很好。RealTek8139对CPU资源消耗较大,不适合大数据流量工作。3com就不要考虑了,官方文件说它不支持MTU1500,在特殊应用上可能有问题。具体的资料请大家到到www.mikrotik.com查询)。笔者使用的系统是Intel的奔腾Ⅲ450,64M内存,Intel82559 100M 网卡,可以轻松的承担大约200用户的PPPOE拨号以及NAT(网络地址转换)。唯一的缺点是该软件是收费的,试用时间只有24小时。不过还好,发挥我们的“能动性”,可以解决这个问题。
二:RouteROS的安装
这一点很简单――RouterOs已经和Linux结合在一起了。大家可以到http://www.mikrotik.com/download.html#v2 去下载。大约有20M。软盘镜像版可能需要7-9张软盘,建议下载光盘镜像版。将下载的.iso文件用刻录软件刻录为光盘,可以利用这张光盘启动并安装RouterOs。安装是自动的,基本不需人工干预。为了以后方便使用,可以一起下载RouteROS的图形配置界面Winbox。
三:RouteROS的基本配置
重新启动计算机后,可以看到下图的界面:
管理员用户名是:admin 默认口令为空。Ok,现在忘掉你学过的ciSCo或者华为命令吧。让我们来看看RouterOs的配置命令:如果大家用过Linux,就会感觉很熟悉。RouteROS的配置按分操作目录分类的(官方文件叫Home menu lEVEl,我暂且这么翻译),也就是说在不同的目录提示符下所能进行的工作是不同的。所以,在下文中还请大家注意当前工作目录。
常用命令如下(该命令基本通用):
输入?来显示当前目录下可执行的命令。
使用print来显示当前目录下的配置。
使用add 来添加配置。
使用remove 来删除指定配置。
输入..回到上曾目录。
RuteROS有?号命令补全功能,在没有歧义的情况下也可以使用命令缩写。
为了安全,请大家在根目录先使用password命令来修改admin用户的口令。
接下来,开始进入我们的RouteROS之PPPoE Server之旅吧!
⒈ 配置我们的网卡:
RouteROS中,网卡默认以ether1、ether2、ether3的形式进行命名。
网卡配置是在[admin@MikroTik] interface>目录,使用print命令来看看:
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 X ether1 ether 0 0 1500
1 X ether2 ether 0 0 1500
X表示网卡还没有启动,使用enable命令启动:
[admin@MikroTik] interface> en 0
[admin@MikroTik] interface> en 1
再用print命令看看:
[admin@MikroTik] interface> print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R ether1 ether 0 0 1500
1 R ether2 ether 0 0 1500
状态变成R,说明网卡启动成功。
查看网卡ether1数据流量:
[admin@MikroTik] interface> monitor-traffic ether1
received-packets-per-second: 3
received-bits-per-second: 24.4kbps
sent-packets-per-second: 0
sent-bits-per-second: 0bps
[Q uit|D dump|C-z pause]
Q键退出。D键记录数据包。C键暂停。
查看网卡ether1工作状态:
[admin@MikroTik] interface ethernet> monitor ether1
status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
default-cable-setting: standard
[Q quit|D dump|C-z pause]
可以看出,网卡已经连接,以100M全双工的方式运作。
⒉ 为网卡配置IP地址。
我的网络外网连接IP是219.218.188.12(教育网的)。连接到网卡ether1。
为网卡ether1设置IP地址:
[admin@MikroTik] ip address> add address=219.218.188.12/24 interface=ether1
内网网卡用于PPPoE Server,为了减少麻烦,所以不设置IP地址。
查看一下IP设置情况:
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 219.218.188.12/24 219.218.188.0 219.218.188.255 ether1
[1] [2] 下一页