付新敏RouterOS配置手冊

MｉkrｏTｉｋＲouterOＳv2.9基本操作說明CＤNAＴwww。mｉkrｏtik．cｏm．ｃnＲｏuterOＳ應(yīng)用說明主要特征TCＰ／IP協(xié)議組：Fireｗall和ＮAＴ–包狀態(tài)過濾；P２P協(xié)議過濾；源和目標(biāo)ＮＡＴ；對源MAC、IP地址、端口、ＩP協(xié)議、協(xié)議(ICMＰ、TＣP、MＳS等）、接口、對內(nèi)部的數(shù)據(jù)包和連接作標(biāo)記、ToＳ字節(jié)、內(nèi)容過濾、順序優(yōu)先與數(shù)據(jù)頻繁和時(shí)間控制、包長度控制．.。路由–靜態(tài)路由;多線路平衡路由;基于策略的路由（在防火墻中分類）;ＲＩPv1／v2,OSＰFｖ2，ＢGＰv4數(shù)據(jù)流控制–能對每個(gè)IＰ、協(xié)議、子網(wǎng)、端口、防火墻標(biāo)記做流量控制；支持PCQ，RＥD，SFQ，F(xiàn)IＦＯ對列；Peer—to-Pｅe(cuò)r協(xié)議限制HｏｔＳpot–HｏｔＳpot認(rèn)證網(wǎng)關(guān)支持ＲADIＵS驗(yàn)證和記錄;用戶可用即插即用訪問網(wǎng)絡(luò);流量控制功能；具備防火墻功能；實(shí)時(shí)信息狀態(tài)顯示;自定義HTＭL登錄頁；支持ｉＰass;支持SＳL安全驗(yàn)證;支持廣告功能。點(diǎn)對點(diǎn)隧道協(xié)議–支持PPTP，ＰＰＰoＥ和L2TＰ訪問控制和客戶端；支持PAP，CHＡP,ＭＳCHＡＰｖ1和ＭSCHAPv2驗(yàn)證協(xié)議；支持RADIUS驗(yàn)證和記錄；MＰPE加密;PPＰoE壓縮;數(shù)據(jù)流控制；具備防火墻功能；支持PPPｏE按需撥號。簡單隧道–IＰIＰ隧道、ＥoIP隧道（EtheｒnｅｔoveｒIP)ＩPsec–支持IP安全加密AＨ和ESP協(xié)議；Ｐroxy–支持ＦＴP和HＴＴP緩存服務(wù)器;支持HＴＴPＳ代理;支持透明代理;支持ＳOCKＳ協(xié)議;DNSstaｔiｃｅntｒｉｅｓ;支持獨(dú)立的緩存驅(qū)動(dòng)器;訪問控制列表;支持父系代理。ＤＨCＰ–DHCＰ服務(wù)器；DＨCＰ接力；DＨＣＰ客戶端;多DＨＣP網(wǎng)絡(luò);靜態(tài)和動(dòng)態(tài)DHCＰ租約;支持ＲＡＤＩUＳ。VＲＲP–高效率的ＶＲRP協(xié)議（虛擬路由冗余協(xié)議）UPnP–支持即插即用ＮTP–網(wǎng)絡(luò)對時(shí)協(xié)議服務(wù)器和客戶端;同步GPS系統(tǒng)Monｉtoriｎg／Ａｃｃouｎtinｇ–IP傳輸日志記錄;防火墻活動(dòng)記錄;靜態(tài)HTＴP圖形資源管理。SＮMＰ–只讀訪問Ｍ3P–MｉkroTiｋ分包協(xié)議，支持無線連接和以太網(wǎng).MNDＰ–ＭikｒoTｉk鄰近探測協(xié)議;同樣支持思科的CDＰ.Tools-ｐing;ｔraｃeroｕte；baｎｄｗｉdｔｈtｅsｔ;ｐingfｌood；telneｔ；SＳＨ;packetsｎiffｅr；ＤDNS.二層鏈接Wiｒｅleｓs－IEEE802.１１ａ/b／ｇｗｉreｌessclieｎt和訪問節(jié)點(diǎn)(AP)；Nｓetreme和Nstreｍe2協(xié)議；無線分布系統(tǒng)（WDS）；虛擬AP功能；40和１04biｔWＥP；WPApre-sharｅdｋey加密；訪問控制列表；RADIUS服務(wù)器驗(yàn)證；漫游功能（wｉreleｓs客戶端)；接入點(diǎn)橋接功能。Ｂridgｅ–支持生成樹協(xié)議(STＰ);多橋接口;橋防火墻；ＭＡCNAT功能。VLAＮ-IＥEE8０2．１qVｉｒｔｕalLAＮ，支持以太網(wǎng)和無線連接;多VLAN支持；ＶLAN橋接。Syｎchrｏｎouｓ—V.35,V.24，E1/Ｔ１，X。２1,ＤS3（T3）媒體類型；syｎc-ＰPP,CｉsｃoHDLＣ，幀中繼協(xié)議；AＮＳI—617d（AＮDＩoranｎeｘＤ）和Ｑ933a（CCＩＴTｏraｎnexA)幀中繼LＭI類型Ａsynｃhroｎｏuｓ–串型PＰＰdial－in／ｄｉal-out;PAＰ,CＨAＰ,MSCＨＡＰv1和MSＣHAＰv2驗(yàn)證協(xié)議;RAＤＩUS驗(yàn)證和記錄;支持串口；ｍodｅm池支持１28個(gè)端口。IＳDN－ISDＮｄiａl－in／dｉａl－out;PＡP，CHAＰ,MSＣHＡPｖ1和MSCHＡＰｖ２驗(yàn)證協(xié)議；RＡＤＩUS驗(yàn)證和記錄；CｉscoＨDＬＣ，x75i,ｘ7５ｕi，x7５bui隊(duì)列支持.硬件要求CＰU和主板–核心頻率在1０0MＨz或更高的單核心ｉ３８６處理器，以及與兼容的主板。RAＭ–最小32MiB，最大１GｉＢ；推薦64MｉB或更高.ROM–標(biāo)準(zhǔn)ＡTＡ/ＩDE接口(SCSI和ＵSB控制器不支持;ＲＡIＤ控制器驅(qū)動(dòng)不支持；SATＡ僅支持老的訪問模式)最小需要64Mｂ空間；Flash和一些微型驅(qū)動(dòng)器使用ＡＴA接口能連接使用。MIPＳ硬件要求支持系統(tǒng)—RouｔeｒＢOARDseriｅs(５32、15３、１1２）RAＭ–最?。?MiＢＲOM–板載NAＮＤ驅(qū)動(dòng)，最?。?Mb配置RoｕｔｅｒOS提供了強(qiáng)大的命令配置接口。你同樣可以通過簡易的Wｉnｄows遠(yuǎn)程圖形軟件ＷｉnBox管理路由器。Web配置提供了多數(shù)常用的功能上.主要特征:完全一至的用戶接口運(yùn)行時(shí)配置和監(jiān)控支持多個(gè)連接訪問用戶策略配置活動(dòng)歷史記錄，uｎdｏ/reｄo操作安全模式操作Sｃrｉpｔs能事先安排執(zhí)行時(shí)間和執(zhí)行內(nèi)容，腳本支持所有的命令操作。路由器可用通過下面的接口進(jìn)行管理:本地teｍｉnaｌcｏｎｓole-PＳ/2或USB鍵盤和ＶGA顯示卡進(jìn)行控制Ｓerialconsole–任何(默認(rèn)使用ＣOM１）RS23２異步串口，串口默認(rèn)設(shè)置為9６00ｂｉt/s，8datａbitｓ,1stｏｐbit，nｏpariｔy,hardｗaｒe（RTS/CTＳ）flowｃｏｎｔrol。Teｌｎｅt–ｔelnet服務(wù)默認(rèn)運(yùn)行在ＴCP端口２3ＳSH—SＳＨ（安全ｓhｅｌｌ）服務(wù)默認(rèn)運(yùn)行在TCP端口2２MACＴｅｌｎｅｔ－MｉkrｏTikMAＣTelnet協(xié)議被默認(rèn)啟用在所以類以太網(wǎng)卡接口上。Ｗｉnｂox–Winbｏx是ＲouｔerOS的一個(gè)Windows遠(yuǎn)程圖形管理軟件,使用TCP端口82９1（限2．9版本的winbｏｘ)，同樣也可用通過ＭＡＣ地址連接?；驹O(shè)置向?qū)У顷慠outeｒOSMｉkroＴiｋＲouterOＳ內(nèi)能通過遠(yuǎn)程配置各種參數(shù),包括Telnet，SSH，WiｎＢoｘ和Wｅｂｂox.在這里我們將著重介紹怎樣使用WinＢｏx：ＭAＣ-telｎｅt是在路由器沒有IP地址的情況下或者配置防火墻參數(shù)后無法連接，通過路由器網(wǎng)卡MAC地址登錄的方式遠(yuǎn)程連接到路由器。MAＣ—ｔｅｌｎet僅能使用在來自同一個(gè)廣播域中（因此在網(wǎng)絡(luò)中不能有路由的存在），且路由器的網(wǎng)卡應(yīng)該被啟用。注:在Wｉnbｏｘ中嵌入了通過MＡC地址連接路由器的功能，并內(nèi)置了探測工具。這樣在管理員忘記或復(fù)位了路由器后，同樣可以通過MAC登陸到RｏuterOS上，進(jìn)行圖形界面操作.Ｗｉnboｘ控制臺是用于MikroＴikRouterＯS的管理和配置,使用圖形管理接口（ＧUI）。通過連接到ＭiｋroTik路由器的HTＴＰ(TCP80端口)歡迎界面下載Wiｎbｏｘ.exｅ可執(zhí)行文件，下載并保存在你的Winｄows中，之后直接在你Ｗindows電腦上運(yùn)行Winｂox.exｅ文件下面是對相應(yīng)的功能鍵做介紹：搜索和顯示MNＤＰ(MｉkｒｏＴｉkNｅｉｇhbｏrDｉscoveryPrｏtocoｌ）或CＤP（CｉscｏDｉscoｖerｙＰｒotoｃol）設(shè)備?？梢酝ㄟ^該功能鍵搜索同一子網(wǎng)內(nèi)MｉkroTiｋ和Cisco設(shè)備。并能通過MＡC地址登陸到ＭiｋroＴikRoｕtｅｒＯＳ進(jìn)行操作.通過指定的ＩP地址(默認(rèn)端口為８0，不許特別指定，如果你修改了端口需要對具體訪問端口做自定)或MAＣ地址（如果路由器在同一子網(wǎng)內(nèi))登陸路由器。保存當(dāng)前連接列表(當(dāng)需要運(yùn)行它們時(shí),只需雙擊)刪除從列表中選擇的項(xiàng)目刪除所有列表中的項(xiàng)目，清除在本地的緩存，從ｗbｘ文件導(dǎo)入地址或?qū)С鰹閣ｂｘ文件SecureMode（安全模式)提供保密并在wｉｎbox和RoｕｔerＯS之間使用TLS（TraｎspｏrｔLａｙeｒSeｃurity）協(xié)議ＫeepPasswｏrd（保存密碼)保存密碼到本地磁盤的文本文件中路由器的winbox控制臺：Ｗinｂｏx控制臺使用ＴＣP８29１端口，在登陸到路由器后可以通過Ｗiｎboｘ控制臺操作MｉkroTｉk路由器的配置并執(zhí)行與本地控制臺同樣的任務(wù).命令功能概述下面是對Winbｏx控制臺的操作建議:圖標(biāo)功能圖標(biāo)功能添加一條項(xiàng)目定義或編輯一個(gè)注釋刪除一條存在項(xiàng)目刷新當(dāng)前窗口啟用一個(gè)項(xiàng)目撤銷操作禁用一條項(xiàng)目恢復(fù)操作故障分析我能在Lｉnｕx上運(yùn)行Winbｏx？能，使用Wｉnｅ圖形接口，可以運(yùn)行Winbｏx并連接到RｏutｅrOＳ。我不能打開Ｗinｂoｘ控制臺檢查路由器上/iｐseｒvicｅprint的ｗｗw服務(wù)端口和地址是否正確,確定地址是你能連接到的指定網(wǎng)絡(luò)，確定端口為你指定的端口。如果你的服務(wù)端口和訪問地址被修改，你可以通過下面的命令設(shè)置回默認(rèn)值/ipsｅrｖiｃeseｔｗｗｗpoｒt=8０ａdｄress=0．0。0．0/0。Winｂox控制臺使用TＣP８29１端口在防火墻中是否做了訪問限制.同樣也能用任何ＰＣ通過標(biāo)準(zhǔn)的ＤB９模式串口線連接到路由器，串口連接的默認(rèn)設(shè)置為每秒位數(shù):９60０ｂiｔs/s（ＲouterBOＡRＤ5０0串口是1１５20０biｔs/s),使用終端仿真程序(如在windｏｗｓ中的超級終端或ＳeｃureＣRT，UＮＩX／Ｌinux的ｍinｉcom)連接到路由器.超級終端的具體參數(shù)設(shè)置如下:在路由器啟動(dòng)完成后，會(huì)發(fā)出連續(xù)兩聲短觸“嘀嘀”的明鳴音,之后在顯示屏上，出現(xiàn)登錄的提示，如果在終端顯示中，沒有提示任何信息,需要檢查一下網(wǎng)線或是串口線是否連接好。當(dāng)?shù)卿浀浇K端控制臺后，會(huì)出現(xiàn)RoutｅrOＳ的登錄提示,第一次登錄的時(shí)候用戶名為“aｄmｉｎ"密碼為空，直接敲回車鍵進(jìn)入，如下面的所示：MｉｋｒｏTｉｋv2。9Lｏgin：adminＰasswｏrd:修改密碼可以使用/paｓswｏｒd命令［aｄmｉn＠ＭikｒoTｉk］>ｐaｓｓworｄoｌｄｐasswoｒｄ：nｅｗｐａssworｄ：**＊＊＊＊*＊*＊＊*reｔｙpeｎｅwｐａsｓwｏrd:＊*＊＊＊＊＊＊*＊＊＊［adｍin＠MikroTiｋ］＞添加軟件功能包基本安裝僅有ｓｙｓtem功能能包,包括基本的IP路由和路由管理功能。可用通過添加功能包如:IＰＴｅlｅpｈony，OSＰF，wiｒeｌess等，增加路由器的功能.你需要下載軟件功能包，并上傳到路由器添加軟件功能包,應(yīng)該和當(dāng)前的系統(tǒng)版本相同，如果不是相同的版本，功能包將不會(huì)被安裝,上傳功能包是通過FTP的方式,將功能包,放到路由器的FＴP空間中，上傳完后重啟路由器，路由器將自動(dòng)安裝功能包。終端控制向?qū)g迎界面和命令提示在登錄后路由器后將會(huì)看到RoutｅｒOS?歡迎界面和命令提示：?MｉｋｒｏTikＲｏuteｒOS2.９（c)１９99-２0０4hｔtp:／/wｗｗ。mikroｔiｋ.cｏｍ.cn／Termiｎａlxtｅｒｍdetｅｃtｅd，ｕsinｇmulｔilineinｐｕtｍoｄe［ａdmｉn＠ＭｉkｒoTｉk]>命令提示顯示路由器的身份名稱和當(dāng)前的操作路徑,如下:［aｄmｉｎ＠ＭikｒoTiｋ]＞［aｄｍiｎ＠ＭｉkrｏTik］inｔerface＞［ａdｍin＠MiｋroTｉk]ｉpaddｒess＞命令在任何操作目錄使用‘？’都可用獲取在當(dāng)前目錄中的命令信息。[aｄmｉn@MikroTiｋ]>lｏg/－—系統(tǒng)日志quit–退出控制臺raｄiuｓ/—－Raｄｉuｓ客戶端設(shè)置cｅｒtifｉcａｔe/—－授權(quán)管理speciaｌ-loｇin/—－特殊登錄用戶ｒｅdo–返回以前執(zhí)行的操作drivｅr/--驅(qū)動(dòng)管理ping–ping命令ｓetup–做基本的系統(tǒng)設(shè)置inteｒｆａce/—－接口配置pａｓswoｒｄ–修改密碼ｕndｏ–撤銷以前的操作ｐort/-—串口控制impｏｒt–運(yùn)行導(dǎo)入的配置腳本snmp/－－SNMP設(shè)置user/－－用戶管理ｆile/—－路由器本地文件存儲ｓｙｓtem/－-系統(tǒng)信息和應(yīng)用程序queue／—-帶寬管理ip／—-ＩP選項(xiàng)tool/－—診斷工具ｐpp/--點(diǎn)對點(diǎn)協(xié)議ｒoｕting/－—各種路由協(xié)議設(shè)置export--導(dǎo)出腳本［ａdmin@MｉkｒｏTｉk]〉[adｍｉn＠MikｒoＴik］ip＞..–回到根目錄ｓervice/－-IP服務(wù)ｓｏｃks/－—SOCＫS４代理arｐ/-—ＡRＰ項(xiàng)目管理upnp／－-ＵＰNP管理dnｓ／－—DＮS設(shè)置ａdｄresｓ/—-地址管理accounｔinｇ/－—傳輸記錄tｈe－proxｙ/－—vrrp/——虛擬路由冗余協(xié)議ｐｏoｌ/－-IＰ地址池pａcking/-—數(shù)據(jù)包封裝設(shè)置nｅｉｇhbｏｒ/-—鄰居route/-—路由管理fireｗａll/--防火墻管理dhcp-cliｅnt/－—DＨＣP客戶端設(shè)置dhcp—ｒelａy／-—DＨＣP中繼設(shè)置ｄhcp－servｅr／－－ＤHCP服務(wù)設(shè)置hｏtspoｔ/－－ＨｏtＳｐot管理ｉpｓec/－—ＩP安全設(shè)置wｅｂ—proxｙ/——HTTＰ代理expoｒt－-［aｄmｉｎ＠ＭikrｏTik］iｐ＞上面是對可用命令和目錄的簡短描述，在下面的例子中,你可用通過輸入目錄名稱移動(dòng)到不同的目錄中去。[aｄmｉn@MikrｏTik]〉｜根目錄［adｍin＠MiｋroTiｋ]>ｄｒiｖer|輸入’drｉｖeｒ＇進(jìn)入到驅(qū)動(dòng)管理目錄中［ａdｍiｎ＠MikrｏTik］dｒivｅr〉/|輸入＇/'從任何目錄中回到根目錄［admiｎ＠ＭiｋroＴik］＞ｉnteｒfａcｅ｜輸入＇ｉｎｔeｒｆace'進(jìn)入接口管理目錄中[admin＠MikroTik]inｔerｆａcｅ>/ｉp|輸入＇/iｐ’從任何目錄進(jìn)入ＩP管理目錄［admｉn＠MikrｏTｉk］ip＞|一個(gè)指令或一個(gè)變量參數(shù)不需要完整的輸入,如果是含糊不清的指令或變量參數(shù)需要完整的輸入.如輸入ｉnｔeｒfacｅ時(shí),你只要輸入ｉn或inｔ,需要顯示完整的指令可以使用［Taｂ]鍵通過指令的組合，可以在當(dāng)前的目錄執(zhí)行在不同目錄操作，如:[aｄmin＠MｉｋｒｏTik］ｉｐｒｏute〉print打印路由表［ａdｍin@ＭikroTｉｋ]iproｕte〉。．a(chǎn)ddresｓprinｔ打印IＰ地址列表［admin@MｉkroTik］ｉproｕｔe>/ｉpaddｒesspｒint打印ＩP地址列表指令執(zhí)行概述Ｃoｍmanｄ指令ｃommａnd［Ｅｎter]執(zhí)行指令[?］顯示該目錄中的所有指令列表coｍmａnd[？］顯示指令的幫助和變量列表ｃommanｄａrgument［？］顯示指令的變量幫助[Taｂ］使指令/字段完整,如果輸入的內(nèi)容含糊不清,第二次鍵入[Tａb］就會(huì)給出存在的選項(xiàng)/移動(dòng)到根目錄/comｍanｄ執(zhí)行根目錄中的指令。。移動(dòng)到上一級目錄"＂指定一個(gè)空字符串”woｒd1woｒｄ2”Sｐecｉｆiｅsastringoｆ2wｏｒdｓthatcｏｎtａiｎaspaｃｅ在配置IP地址中，配置＇adｄreｓs＇和’ｎｅｔｍask'參數(shù)時(shí)，在許多事例中你可以將IP地址和子網(wǎng)掩碼一起定義，也可以將子網(wǎng)掩碼單獨(dú)定義，這兩種方式是相同的,例如下面的兩個(gè)輸入是等價(jià)的：／iｐａdｄｒessａddａdｄrｅss1０．０。0。１/2４iｎtｅｒｆaceｅtｈeｒ1／ｉpaddressａdｄaｄdreｓs10.０。0.1ｎeｔmask255．２55。255．0intｅrｆaｃeetｈeｒ１基本配置接口管理（InｔerｆacｅＭａnagemeｎt)在配置IP地址和路由前，如果你有即插即用卡安裝到路由器中,請檢查／ｉnterfacｅ中的接口列表,多數(shù)情況下設(shè)備驅(qū)動(dòng)會(huì)自動(dòng)安裝，并且相關(guān)的接口信息會(huì)顯示在/inteｒfaｃeprint列表中，例如:[admin＠MikｒoTｉk]iｎterfacｅ＞prｉnｔＦlａgｓ:Ｘ－dｉsaｂled,Ｄ-ｄynamic，R—ruｎnｉｎg＃NAＭETＹPＥRＸ－RＡTEＴＸ-RAＴEMTＵ０Rether１ｅtheｒ0０１5０01Reｔｈeｒ２ethｅr0015002Xwaveｌａn1waveｌａｎ０01５００3Xprism1wｌan00１500［admin＠ＭikroTiｋ］inｔｅrfaｃe>如果你想使用這些設(shè)備,一般都需要啟用，使用/inｔerfaceｅｎablｅnamｅ指令給出接口名稱或標(biāo)號啟用,例如：[adｍin＠MｉkroTik］interｆａｃe〉ｐｒinｔFｌags：X—disaｂleｄ,D－dｙnａｍic，Ｒ-runnｉng＃NAMＥTＹPERＸ-ＲAＴＥＴＸ—RATEMTU0Ｘetheｒ1ｅtｈeｒ０0150０１Xether２etｈｅr０01５00［admin@MikｒoTik]intｅrｆace>ｅnａble0[admin＠ＭikroTik]interｆaｃe>enableｅther２［ａｄｍin@MikroTik］inｔerfａce＞printＦｌags:X-dｉｓａｂleｄ,D-dynａmic,R-rｕｎniｎg#NＡMＥTＹPEＲＸ—ＲAＴETX—RATEMTU０Ｒeｔheｒ1eｔｈer0０1５001Ｒeｔｈeｒ２ether００1500［admiｎ＠ＭｉkｒoTik］inteｒfａce〉接口的名稱能通過／interｆaceｓet指令來改變其描述：［admin@ＭikrｏＴik］inｔerface＞seｔ0ｎame=Loｃaｌ;seｔ1nａｍe=Publｉc[ａｄmin@ＭikrｏTiｋ]inteｒfａce〉ｐrｉｎtFｌags:X-disａbｌｅd，Ｄ－dｙnaｍic,R-rｕnnｉng＃NAMＥTＹPＥＲＸ-ＲATETＸ—RATＥMＴＵ0RＬoｃａletｈer0０15０01RPｕblicether0０1５０0[ａｄmin@MｉｋroTik]interface〉Ｓetup指令當(dāng)初始化路由器時(shí)，通過使用/sｅｔuｐ指令設(shè)置下列配置內(nèi)容:重新設(shè)置路由器配置載入接口驅(qū)動(dòng)配置IＰ地址和網(wǎng)關(guān)設(shè)置ＤＨCP客戶端設(shè)置ＤＨＣＰ服務(wù)端設(shè)置pppoe客戶端設(shè)置ppｔp客戶端使用Setuｐ指令，在路由器上配置ＩP地址.執(zhí)行／setup指令行：［aｄmin＠ＭiｋroＴik]＞setｕpSeｔuｐusesＳafeMｏdｅ．Itmｅａnsｔｈａt(yī)alｌchａｎgｅsthａｔareｍadeduｒinｇｓeｔｕｐarｅrｅvertedｉnｃasｅofｅrror,orｉｆCtrｌ—Ｃisuseｄｔoaborｔｓeｔup．Ｔｏｋｅe(cuò)ｐcｈangeseｘｉtsetupuｓingthe’x’ｋey.[SafeModeｔａｋｅn]Ｃhｏｏｓeｏptｉｏnsbypresｓingｏｎeofthｅleｔｔersintheleftcｏｌｕmn,beｆoｒedash．Presｓing＇ｘ’wiｌｌeｘitcurｒｅｎｔｍeｎu,prｅssiｎｇＥnｔeｒｋeywiｌlｓelectｔheeｎtrythａt(yī)ismarｋedbyan'＊'．ＹoｕｃaｎaborｔｓｅtuｐatａｎytimebｙｐrｅｓｓiｎgCｔｒl－C。Eｎtｒiesmarｋｅdby＇＋'areａlｒeadycoｎｆiguｒｅd.Ｅntriesmarkedby'—’cannoｔbｅusedｙet．Entrｉesmaｒkedby’X’ｃanｎotbeuseｄwitｈoｕtiｎｓｔalｌinｇaddiｔioｎaｌpackages。r—ｒｅsetａllroｕteｒｃｏｎfｉｇｕrａt(yī)ｉon+l-loaｄｉnterfaｃeｄｒiver＊a—confiｇｕreipaｄｄressandｇａt(yī)ewaｙd-setｕpdｈcｐcｌienｔs-setupｄｈcｐserｖerp—setｕｐｐppｏeｃlienｔｔ-sｅtｕppｐtｐclｉeｎtｘ－ｅxitmeｎuyoｕrchoiｃe［preｓsEnterｔｏconｆigureiｐａddｒeｓsａndgaｔewaｙ]:a配置ＩP地址和網(wǎng)關(guān),輸入a或[Ｅｎteｒ］＊a－ａddipaｄdｒess—g—setｕpdeｆａuｌｔｇａt(yī)ewａyｘ-exitmｅnuｙｏuｒchoice[pｒessEnｔertｏaｄｄipaddress]:a選擇a添加一個(gè)IＰ地址,首先，設(shè)置程序?qū)⒁儐柲氵x擇那一個(gè)接口添加IP地址,如果設(shè)置程序沒有指定出，合適的接口,可以通過鍵入[Taｂ］兩次,查看可選的接口。在接口選擇后，分配IP地址和子網(wǎng)淹碼：yoｕrchoice:aenａbｌeｉnｔerfａｃe:ｅthｅr1ｅther2wlan１ｅｎaｂleinｔｅrfaｃe:ｅtheｒ１ipaddreｓｓ／neｔmask：10。1.0.6６/24＃Ｅnaｂlinｇinterfａce／inｔerfaceｅｎaｂｌeetｈｅr1＃AｄdingＩＰａdｄrｅss／iｐaｄdressaddａddｒｅss＝10。1.0.６６/24ｉntｅrfaｃｅ=ｅｔhｅr1commｅnｔ="addedbyｓeｔｕp"＋a—ａddiｐaｄdrｅsｓ＊g－ｓetｕpdｅfauｌtｇatewaｙx-exｉｔmeｎuyouｒchoｉｃe:x基本事例配置一個(gè)RouteｒｏS分為三個(gè)步驟：第一步：檢查Ｉntｅrｆaｃｅ上的網(wǎng)卡是否正確安裝，然后在ｉpaｄdress中配置IＰ地址；第二步：在配置好ＩP地址后,在ｉｐrouｔeｓ中配置默認(rèn)網(wǎng)關(guān),配置完后檢查是否到外網(wǎng)默認(rèn)網(wǎng)關(guān)正常;第三步：在ipfｉｒeｗallnａt(yī)中配置NAＴ偽裝，隱藏內(nèi)部網(wǎng)絡(luò)。例如：假如你需要通過MｉkroTｉkrｏuter配置下面的網(wǎng)絡(luò):在當(dāng)前的事例中我們使用到兩個(gè)網(wǎng)絡(luò)(公網(wǎng)和本地網(wǎng)絡(luò)):本地網(wǎng)絡(luò)使用地址為：192.1６8.０．0子網(wǎng)淹碼24—ｂｉt(２55.２55．25５．０）。路由器的地址在這個(gè)網(wǎng)絡(luò)中為１9２。１６8．０．２54ＩＳP的網(wǎng)絡(luò)為10.０.0.0子網(wǎng)淹碼24—ｂit（２55．255。２５5。０）.路由器的地址是在網(wǎng)絡(luò)中為10．０。０．217通過下面的指令添加地址：［aｄｍｉn＠ＭｉkrｏＴiｋ］ｉｐaddrｅss>addaｄdｒeｓs10.0。0．21７／24interfａcｅPuｂｌic［ａdｍin@MｉkrｏTik］ipaｄdｒｅsｓ〉addadｄrｅss1９2．１68。0.254/２４intｅrfaceLoｃａｌ[ａdｍin@MikroＴｉｋ］ｉpａdｄreｓs>prinｔＦlaｇｓ：Ｘ—dｉsaｂｌｅｄ,I-iｎvａlｉｄ,Ｄ－ｄynamic＃ADDRESＳＮEＴWORKBＲＯADCASＴINＴＥRＦＡＣE010。0.0．21７/2４１0.０.0．２１７10。0.０。25５Public１192.１68.0。254/24192.1６８．0.０192。168.０。25５Local［aｄmｉn＠MｉｋｒｏTｉk]ipａｄdrｅss＞這里，子網(wǎng)淹碼在ａdｄress變量中指定，或者也可以通過在neｔmasｋ變量中設(shè)置25５．2５5.2５5.0.網(wǎng)段和廣播地址在輸入時(shí)沒有指定，這些可以由RouteｒOＳ自動(dòng)計(jì)算出來。請注意:在IP地址被分配到路由器的不同網(wǎng)卡上時(shí),應(yīng)屬于不同的網(wǎng)絡(luò)，下面是winbox中的設(shè)置情況：查看路由你可以看到兩個(gè)帶有動(dòng)態(tài)dyｎamｉc(Ｄ)和連接connecｔｅｄ（Ｃ)的路由,當(dāng)?shù)刂诽砑雍髸?huì)在路由中自動(dòng)添加動(dòng)態(tài)路由：［ａｄｍｉn@MiｋroTik］iproｕte＞ｐrintFｌａｇｓ:X-ｄiｓaｂlｅd，I—iｎｖaliｄ,D－dｙnamiｃ,Ｊ－ｒeｊected，C－ｃｏnｎｅct，Ｓ－static,R-rip,Ｏ—ospｆ，B—bgｐ#DSＴ—ＡDＤREＳＳＧGATEWAYDＩSTANCＥIＮTＥＲＦＡＣE０DC192。1６8.0。0/2４ｒ0.０.0。00Local１DC10。0.0。0/2４ｒ0．0．０．00Puｂｌic[ａｄｍin＠MｉｋｒoTｉk]ipｒouｔｅ〉ｐｒｉｎtｄeｔaｉlＦlags:X—diｓａbled,Ｉ—iｎｖaｌiｄ,Ｄ－dynaｍic,Ｊ—rｅjecｔed,C—connecｔ,S—sｔatiｃ，R-rip，O—ｏspf，B-bgp0DCdst-adｄｒeｓｓ＝19２。168．0。0／24pｒeferred—ｓourｃｅ=1９2．168．0。２5４gatｅwａy=０.０．0．0gatｅｗay-sｔａt(yī)ｅ=ｒｅａｃhableｄｉstａnｃe=０interface＝Loｃal1ＤＣdst-aｄdrｅｓs=1０.０。0。０/24preferred—sｏurce=１0．0．0．２1７gaｔewａy＝gａt(yī)eway-sｔatｅ=reａchabledistancｅ=０iｎtｅｒfacｅ＝Puｂｌｉｃ［ａdｍin＠ＭikroTik]ｉｐroute>添加默認(rèn)路由在下面的事例中將添加默認(rèn)路由（destinａｔion0.０．0。0(aｎy），netmａsk0.０.0.0（anｙ））.在這個(gè)事例中ＩSＰ的網(wǎng)關(guān)是1０。0.0．１，通過Public接口[admin@ＭｉkroTｉｋ]ｉpｒoｕｔe〉adｄｇaｔeｗay=10.0．0.1［admiｎ＠MｉkroＴｉk］iproutｅ〉ｐrｉntFｌaｇｓ:Ｘ-diｓaｂｌｅd，Ｉ—iｎvalid，Ｄ－dynａmic，J－ｒｅｊeｃteｄ,C—connect,S-stａt(yī)ic,R-riｐ，O-ospｆ，Ｂ-ｂｇp#ＤST－ADＤＲESSGＧATEＷAYDISＴANCEＩNＴEＲFＡＣE0S0。０.0.0/0r10.0。０.1１Ｐuｂlic１DC１９2。１68.0.0/2４r0。0。0．０0Ｌｏcal２ＤＣ10。0。0．0/24r０．０.0．0０Puｂlic[ａdｍiｎ@MikroTiｋ］iｐroｕｔe>這里，默認(rèn)路由被列入標(biāo)號#0,同樣我們看到，網(wǎng)關(guān)１0．0。０。１能在接口'Ｐｕblic'通過。如果網(wǎng)關(guān)沒有被正確的指定,'iｎterfａｃe'變量值將會(huì)無法確定（unｋnoｗn).Winｂox添加后情況如下：測試網(wǎng)絡(luò)連接從現(xiàn)在起，/ｐｉｎｇ指令可以用來測試網(wǎng)絡(luò)連接情況。［admin@MiｋroTｉｋ]iproｕte＞／piｎg１0.0.0。４10.０.0.46４bytepiｎg：ｔｔl=25５time=7ms１0．0.0．４64byｔeｐｉｎｇ：ttl=2５５tiｍe=5ｍs１0。０.0。464byteｐing:ｔｔｌ=2５5time=5ｍｓ３ｐacｋｅｔstransmｉttｅｄ，３pacｋｅtsrｅceiｖed,０%packｅtlossｒound-ｔripmiｎ／avg/max=5/５．6/７ms［aｄmin＠MiｋroTik］iｐrｏute>［ａdmin@ＭiｋｒｏＴik]iprｏｕtｅ＞/ｐing19２．1６8。０.１192．1６８．０．16４bytｅpiｎg:ttl=２５５time=１ms192．１６8．0。1６4byｔｅｐｉｎg：ｔｔｌ＝２５5ｔiｍe=1ms1９２。１68。0．164ｂｙｔepｉng：ttl＝２55ｔiｍe=１ms３ｐackｅtｓtｒaｎsmitted，3ｐacketsreceiveｄ,0%paｃkeｔｌossrｏｕnd－trｉｐmｉn/avg/ｍaｘ=１/１.0/１mｓ[adｍin@MiｋｒoＴiｋ]ｉｐrｏutｅ>如果路由器的地址192。1６8。0．25４在windows工作站的TCP／IP協(xié)議中配置為默認(rèn)網(wǎng)關(guān),這時(shí)你就能ｐiｎg通路由器Ｃ：\＞ｐｉnｇ1９2.16８．0．25４Repｌyｆrom１92。168.0。2５４：bｙｔes=32ｔiｍe=10msTTL＝25３Ｒeｐｌyfｒom1９2。16８。０．2５４:byｔeｓ=3２tｉｍe＜10mｓTＴＬ＝２５3Ｒｅｐｌｙfｒoｍ192．168。0。254:ｂytes=32ｔｉme〈１０msTTL=25３C：\>pinｇ10。０.０．２17Rｅplｙfｒom１0。0．0.217：bｙｔes=３2ｔime=10msＴTL＝253Reｐｌｙfrｏｍ10。0。0．21７:byteｓ=32tiｍe<1０ｍsTTL=25３Reｐｌyfrom10。0。０．21７：byｔｅs=3２ｔiｍe<10msＴＴL=25３Ｃ:\＞ping10．0.0.４Requeｓttｉmeｄouｔ．Reqｕesｔtｉｍｅdout。Rｅquesｔtimｅdoｕt．注：你不能訪問超過路由器的任何網(wǎng)絡(luò)(10。0．0。0/２4的網(wǎng)絡(luò)和Internet），你需要作下面的設(shè)置:使用源地址翻譯(mａsｑuｅｒadinｇ），通過ＭｉkrｏTｉｋ路由隱藏你的私有網(wǎng)絡(luò)192。1６8.0。0/２4（查看下面的信息）在IＳP的網(wǎng)關(guān)10．0．0。1上添加靜態(tài)路由,指明到目標(biāo)地址192．16８。０.0/24通過10．0．0．２1７的主機(jī)，這時(shí)所有在ＩSP上的網(wǎng)絡(luò)主機(jī)，包括服務(wù)器,將能連接到你的私有網(wǎng)絡(luò)。在設(shè)置路由時(shí)，你需要了解一些配置ＴCP/ＩＰ的網(wǎng)絡(luò)知識,當(dāng)你遇到配置網(wǎng)絡(luò)安裝困難時(shí),我們建議你獲取更多的網(wǎng)絡(luò)技術(shù)知識。下面我將討論隱藏＇ｈiｄｉnｇ’私有的ＬＡＮ192.１６８。０。0/24在ISＰ給的10。０.0.2１７的背后。偽裝的應(yīng)用事例（Maｓｑueｒaｄing）如果你想隱藏＇hiding’私有的LＡN192.1６8.０。0／2４在ISP給的1０。0．0.2１7的背后，你需要使用ＲouterＯＳ的源地址翻譯.偽裝將改變源ＩＰ地址和數(shù)據(jù)包端口,即將１9２.１68。０．0／24改為１０。0.０。２１７去回應(yīng)IＳP的網(wǎng)絡(luò)。使用偽裝時(shí)添加一條NAT規(guī)則在防火墻配置中，執(zhí)行＇ｍａsquｅrade’，如下面：[ａdmｉn＠MikｒｏTik]ipfirewａllｎat＞adｄchaｉｎ=srｃｎatａｃｔｉoｎ=ｍasｑueｒaｄeoｕt—iｎｔeｒface=Public[ａdｍin＠MｉkroTｉk]ipｆiｒewａlｌnａt(yī)〉ｐrinｔFlａgs：Ｘ—ｄiｓａblｅｄ,I-iｎvaliｄ,Ｄ-dｙｎamic0chaｉn=ｓrcｎatout—ｉｎterｆacｅ=Puｂlicactｉｏｎ=masquｅｒａdeWｉnｂox添加后如下注：如果需要了解很多的NAT信息,建議參閱ＮＡT說明文檔。以上是如何配置一個(gè)簡單RouｔｅｒＯS網(wǎng)絡(luò)的應(yīng)用實(shí)例.帶寬管理事例假設(shè)你想要限制所以的LＡＮ內(nèi)主機(jī)的下行帶寬為1２8kbps和上行帶寬為６4ｋｂps:［admｉｎ@MikroＴik］queuesｉmｐlｅ>addmax—ｌimiｔ=６4000／128000iｎteｒfaｃｅ=Local［ａdｍin@ＭiｋrｏＴｉk]qｕeｕｅsimple〉prｉnｔFｌaｇｓ：X-disaｂｌｅd,Ｉ－inｖalｉｄ，D-dynamiｃ0ｎaｍe=”queuｅ１＂ｔarｇeｔ－aｄdｒeｓｓ=0．0．0。0/0ｄst-aｄdｒess=0。0．０．0／0inｔｅｒface＝Localｑｕeue＝defaultpｒiorｉty=8lｉｍiｔ—at=0/0mａx－limit=640０0/1280００［ａdmin@MｉkrｏTik］ｑueｕesiｍple＞ＮＡT端口映射事例假如我們將以前的服務(wù)器從公網(wǎng)移動(dòng)到私網(wǎng)中去，并想讓其他的公網(wǎng)來訪問我們的服務(wù)器，這時(shí)就需要用到ＮAT：現(xiàn)在服務(wù)器的地址是192。1６８。0。4，并且我們在服務(wù)器上運(yùn)行８0端口監(jiān)聽web服務(wù)，我們想通過公網(wǎng)地址10．0．０.217：80端口訪問該服務(wù)器,即我們就需要在MikroTｉk路由器上作靜態(tài)的網(wǎng)絡(luò)地址翻譯（NＡT)，這樣通過公網(wǎng)地址10.0.0。217端口８０將數(shù)據(jù)傳輸?shù)奖镜鼐W(wǎng)絡(luò)的１92。１68.０.4:8０，在目標(biāo)地址上配置目標(biāo)地址和端口:[admin＠ＭｉｋroＴik］ipfｉrewａllｎat＞ａddchain=dｓｔnａt(yī)ａｃｔion＝dsｔ-natprotoｃｏｌ=ｔcpdst-adｄress＝１0．０.0．2１7/3２dsｔ-ｐｏrt=80to-aｄｄrｅsses＝192.168.0．４[adｍｉn＠MｉkroTik］iｐｆｉｒeｗａlｌｎaｔ＞prFlａgｓ:Ｘ-ｄisaｂlｅd，I—iｎvalid,D—dyｎａmic0chaiｎ＝dstｎａt(yī)dst-addｒess=１0。0．０.2１7/3２proｔocol＝ｔcpｄst—port=８０ａction=dst—natto－ａddｒｅｓｓes=1９2．1６８．0。４to－porｔs=0-65535系統(tǒng)管理基本信息現(xiàn)在指導(dǎo)你是如何使用指令執(zhí)行下面的功能:系統(tǒng)備份系統(tǒng)通過備份文件還原導(dǎo)出配置導(dǎo)入配置系統(tǒng)復(fù)位MiｋroTikＲouｔerOS將配置備份為二進(jìn)制文件,通過FTＰ訪問路由器下載備份文件，并可以通過備份文件還原路由器設(shè)置.TMｉｋｒoＴikRｏuｔerOＳ通過導(dǎo)出配置可用打印出配置信息到終端控制的屏幕上或生成文本文件(腳本）,同樣使用FＴP下載文件,導(dǎo)入配置則將腳本文本文件導(dǎo)入路由器.系統(tǒng)復(fù)位是將所有的配置信息全部刪除掉，在做此操作前,最好先將路由器的配置備份一次。注!為了保證備份不會(huì)失敗，請?jiān)趯浞莸奈募謴?fù)到同樣的電腦和同樣的硬件配置上去系統(tǒng)備份操縱路徑：／sysｔｅmbackupSａｖe指令是保存當(dāng)前配置到一個(gè)備份文件中，顯示文件在／ｆｉle目錄中.在/sysｔｅmrｅｓｅｔ復(fù)位系統(tǒng)后,上傳備份文件到RｏｕteｒOS中,并通過／systemｂackup中的ｌｏａｄ指令載入配置在還原系統(tǒng)配置指令描述loaｄname=[filenａme］–載入備份文件的配置sａｖenamｅ=［fiｌenａｍe］–保存當(dāng)前的配置到文件中例如:將當(dāng)前的配置保存到文件teｓt：[ａdｍin@ＭｉkroTik］ｓｙsｔｅmbａckup>sａveｎame=testCｏｎｆｉguｒationｂacｋｕｐsaｖed［aｄmｉｎ＠MikｒoＴｉk］systｅmbａckup>在路由器中查看保存的文件：[admin@ＭｉｋｒoTｉk]〉fiｌeprint＃NAMETＹPＥSＩＺＥCRＥATION－ＴIME０tesｔ．bａcｋupbackup1２５６7aug／12／20０２２１：0７：５0[admｉn@MikroTiｋ］＞導(dǎo)入備份文件ｔest:［aｄmｉn＠MiｋｒoTｉk］ｓystｅmbａcｋup＞loadname=testRｅstｏｒeａnｄrｅｂoot?［y/Ｎ］：y.．．導(dǎo)出指令（Eｘpｏrt）指令名稱:exportExｐoｒt指令用于導(dǎo)出腳本配置信息，這個(gè)命令可以在任何目錄被激活。exportａ同樣也可以通過fｉｌe生成腳本配置文件，可用FＴＰ下載下來。指令描述frｏm=［number]–指定需要導(dǎo)出的項(xiàng)目編號fiｌe=［filｅnａｍe］–保存的文件名稱.例如:[aｄｍin@MｉkｒｏTik]〉ｉpaｄdｒeｓsｐｒinｔFlａｇｓ：X－dｉsａbｌed，I-inｖａliｄ，D—dynaｍiｃ#ADDREＳSＮETＷORKBROAＤＣＡSTＩNＴERFＡＣＥ0１0．1。0．1７2／2410．1.0．0１０.1。０．２5５brｉdge1１１0．５.1。1/241０。5.1。０10．５。1。25５ｅther1[ａｄmｉｎ@ＭｉkroＴiｋ］〉制作一個(gè)導(dǎo)出文件：[adｍin@MikｒoTｉｋ］ｉｐaddress＞exportfiｌｅ=adｄresｓ[adｍin@ＭｉkroTiｋ］ipadｄｒess〉制作一個(gè)僅一個(gè)項(xiàng)目的導(dǎo)出文件：［admin@MikroTik］ipａddress＞ｅxpｏrtｆilｅ＝aｄdｒess1fｒom＝1[adｍin@MikroTik］iｐａddreｓs>在路由器中查看導(dǎo)出的文件:［ａdｍin＠ＭikｒoTik］〉fｉleprinｔ#NＡMＥTＹPESIＺECRＥATＩON－TＩME０ａｄｄrｅss．ｒｓcscript３１５ｄeｃ/２３/２0０３1３：2１：481ａddreｓs１．rscsｃripｔ201dｅｃ/2３／2０0３1３:2２：57［aｄｍin＠ＭikrｏＴｉｋ］＞在不創(chuàng)建導(dǎo)出文件名，使用同樣的指令導(dǎo)出顯示出配置內(nèi)容:[adｍin＠ＭｉkroTik]iｐaddｒess＞exｐorｔｆrｏm=0，１＃deｃ／２3／20０313:2５:30byRouｔeｒOS2。８beta1２＃sofｔｗａｒeid＝MGJ4－ＭAＮ＃/ｉpaddｒessaddaｄdreｓs=10。1。0.1７2/２4networｋ=10.1．０。0ｂroａdｃａｓt=１0．１.0。255\inｔerfａce=bｒment=＂＂ｄｉsａｂｌeｄ＝noａｄｄａddrｅsｓ=10．5.1.１／24netｗork=10。５.１。0broaｄcaｓｔ=10.5．1.25５\ｉnｔｅrfaｃe＝ｅther１comｍenｔ＝”"ｄｉsaｂled=ｎo[aｄmiｎ@ＭikｒoＴｉｋ]iｐadｄｒess〉導(dǎo)入指令操作路徑：/impｏｒｔ在根目錄使用/ｉmpoｒｔfiｌe＿ｎａme指令還原指定的導(dǎo)出文件。這種還原是用于部分的配置丟失。注:導(dǎo)入指令不可能導(dǎo)入收有的路由器配置只能導(dǎo)入部分的配置如,ｆiｒewallｒuleｓ中的策略指令描述fｉle＝［filenａme］–載入需要導(dǎo)入的路由器配置文件例如:使用下面的指令操作載入保存的配置文件:［ａdmｉn＠MｉkｒoTｉｋ]〉iｍpｏrｔaｄdｒｅｓｓ.ｒｓcOｐｅnｉｎgsｃriptfｉlｅａｄdｒｅss．rｓcSｃrｉptfileloadeｄsｕcceｓsfｕlｌy［admｉｎ＠MikroＴik］＞復(fù)位操作路徑：/ｓysｔem這個(gè)指令將會(huì)清除掉路由器的所有配置，包括登陸的賬號和密碼（恢復(fù)為“adｍiｎ“和空密碼)ＩP地址和其他配置將會(huì)被抹去,接口將會(huì)被禁用,在rｅsｅt指令執(zhí)行后路由器將會(huì)重起。例如:［ａdmin@MikｒoＴik］〉systemrｅsetDangｅrous！Resetanｙway?[ｙ/Ｎ]:nacｔiｏｎcancｅlled［admin@MｉkroTｉｋ］>ＡDＳL撥號上網(wǎng)事例ADSL用戶名:ｕｓｅｒ＠１６９密碼：123４SｅrviceName：CＨN-Telecｏｍ１：添加ＰPＰOEClienｔs［admｉn＠Ｒoｕter］inteｒfaceｐｐpｏe-ｃliｅnt>[adｍin＠Router］iｎtｅrｆａｃｅｐppｏe-cliｅnt〉ａddinｔerfaｃe=etheｒ1mtu＝149２mru＝149２sｅrvice-ｎame=CＨN-Ｔelecomuｓer=ｕser＠169ｐaｓsword＝1２34add－defａuｌt-roｕte=yesuｓe-pｅe(cuò)r—dnｓ=yｅs[admin＠ROＵＴEＲ］ｉnｔｅrfacepppoe-client>prinｔFlaｇs：Ｘ-dｉｓabｌｅｄ,R-rｕｎning0Xｎame=”pｐｐｏｅ-ｏut1＂mtu=149２ｍru＝1４９2inｔerfaｃe=eｔｈeｒ1uｓｅr=ｕｓer@1６9paｓswｏrd=1234prｏｆiｌｅ＝ｄｅfaｕltsｅrviｃe－ｎame=CHＮ-Ｔｅlecomａc—name=＂”ａdd－ｄefaｕｌｔ－rｏuｔe＝y(tǒng)ｅｓdiaｌ－on－demａnd=nousｅ－pｅｅr－dns=yesPPPＯE撥號已經(jīng)配置好，接下來將AＤSLMOＤEM的網(wǎng)線連接好進(jìn)行以下操作就可以連同了。［adｍｉｎ@Roｕｔｅr］inｔerfacｅpppoe-cliｅｎt〉ｅｎａble0［aｄmｉｎ＠Router］ｉｎtｅrｆaceｐｐpｏe—clｉｅnt〉moｎiｔorｐpｐoe—oｕt1sｔａｔｕs："connected”ｕｐｔime：10seｎcｏdｉｎg："noｎe”sｅｒvice－nａｍｅ：”CHＮ—Tｅlecoｍ＂ａc－ｎame：”＂ａｃ－mac：００:Ｃ0：DF:０７:５E:E6之后還需在ｉpfireｗａlｌmanglｅ中添加一條規(guī)則:[admin@Roｕter]ｉpfireｗaｌlｍａｎgle>adｄchａin=ｆoｒwａrdｐｒｏｔｏcｏｌ＝tcｐtｃp—ｆｌaｇs=sｙｎacｔioｎ=cｈange－ｍsｓnew-ｍsｓ=１4４０[ａdｍｉｎ＠Ｒouｔer］ipfirewａｌlmangｌｅ〉ｐｒinｔFlａｇs:X－ｄｉｓabｌed，Ｉ–inｖalｉd0chain=fｏｒwａrdｐrｏtocｏｌ=tcpｔｃp—flags＝syｎａcｔion＝cｈａnge－mssnew-msｓ＝1４40最后不要忘了設(shè)置IP偽裝。雙線應(yīng)用案例這是一個(gè)典型的通過一個(gè)路由器并使用兩條ＩSＰ線路接入的環(huán)境(比如都是兩條電線的ADSL或者LAN接入）:當(dāng)然，你可以選擇負(fù)載均衡！這里有多種方法可以選擇，只是根據(jù)你的環(huán)境，選擇最適合你解決方案。基于用戶端IＰ地址的策略路由如果你有很多的主機(jī)地址，你可以通過IP地址將他們分組。這時(shí),指定源IＰ地址,發(fā)送的傳輸通過ＩＳＰ1或者ISP2的網(wǎng)關(guān)出去。讓我們假設(shè)終端電腦的網(wǎng)絡(luò)地址段為192。16８。100.０/２４，IP分配如下：１92.1６８。10０.１—1２7分配到A組192。１6８．100。128-253分配到B組192．168。10０。25４路由器本地IＰ地址（即內(nèi)網(wǎng)的網(wǎng)關(guān)）現(xiàn)在,我們通過子網(wǎng)劃分的方式，將終端電腦進(jìn)行分組:A組為192。１68．1０0.０／25，地址范圍:19２．168．１00。0-127B組為1９２。16８.1０0．1２8／25,地址范圍:１９2。168.１0０.128-２５5如果你不能理解，請你查閱ＴＣP／ＩP的相關(guān)教材或通過網(wǎng)上查找相關(guān)的子網(wǎng)劃分資料！我們需要添加兩個(gè)ipｆｉｒewalｌmaｎgle的規(guī)則,標(biāo)記來至A組和Ｂ組終端電腦的數(shù)據(jù)包.定義Ａ組:鏈表為ｃhain＝ｐrerouｔｉng,源地址:srｃ－ａddreｓｓ＝192．168。10０.0/25操作為Action=ｍarkｒｏｕtiｎg并定義新的路由標(biāo)記GroupＡ．最好做一個(gè)注釋，以便以后便于你自己或者別人查看和處理.定義Ｂ組：鏈表為chａin=pｒerouting，源地址:srｃ－addrｅsｓ＝１9２．１68。１00.128/25操作為Aｃtiｏｎ＝maｒkrｏutｉｎg并定義新的路由標(biāo)記GroupB所有來至終端電腦的IP傳輸都通過路由標(biāo)記為ＧroｕｐA或者GroupB。這樣我們可以標(biāo)記到路由表中（roｕｔingtａbｌe）。下面,我們需要定義兩個(gè)默認(rèn)路給相應(yīng)的路由標(biāo)記和網(wǎng)關(guān):到這里，如果你沒有對路由器做NＡT的偽裝，請?jiān)?ipfiｒewallｎａt(yī)里添加src-Address＝192。1６８.100．０／２4acｔｉon＝ｍasqueraｄe，在終端電腦上測試一下跟蹤路由是否正確定義兩個(gè)分組的默認(rèn)路由：Ａ組測試如下情況:C：\＞trａｃｅrｔ-d８。8．８。8Traｃｉｎgroｕteｔｏ8。8．8。8overａmaximumｏｆ30hops