ROS 软路由培训课件

1. IP 地址配置；
2. 路由配置；
3. NAT 配置；
4. 防火墙策略的配置；
5. 设置上网策略
6. ROS 限速
7. ROS IPsecVPN 设置

一、配置地址

1.刚刚安装好之后使用终端操作，输入用户名 admin，密码为空登陆路由器。

2. 使 用 如 下 命 令 为 我 们 的 内 网 接 口 配 置 一 个 IP 地 址 ， ROS 默 认 的 接 口 名 称 是
ether1、ether2 假如分不清晰的情形下，我们就先给一个接口一个接口的试一下。

3.配置好接口之后，使用 winbox 来连接 ROS 路由器，地址为 192.168.56.1，用户名为

admin，密码默认为〝空〞。
 4.修改内外网接口的名称，以便我们日后区分

5.修改外网口 IP：
静态 IP：
在 IP——address 中点击加号，然后输入 IP 地址〔带子网掩码〕和接口，点击 OK 添加成
功。
 DHCP 自动猎取：
在 IP——DHCP Client 中点击〝+〞号，然后选择外网接口，点击确定，然后 ROS 就会自动
猎取 IP 地址，简单吧！！

PPPOE 宽带拨号：
点击 PPP，然后点击加号，再显现的菜单中选择 PPPOE Client；
 随便起一个名字〔无所谓〕，然后修改〝Max MTU〞值，将原先的 1480 改为 1492，然
后选择外网接口点击确定，在〝Dial Out〞一栏里面输入用户名密码，之后路由器就会自动拨
号

然后我们看见在有一条 pppoe 拨号的记录，状态为 R，表示可用

查看路由表，有一条自动生成的默认路由
 二、路由〔静态地址需要配置〕

打开 IP——address 中我们发觉差不多有一条路由了，标记为 DAC，表示是动态学习到的；

这 是 一 条 到 达 内 网 直 连 路 由 ， 我 们 点 击 加 号 ， 然 后 输 入 目 的 地 址 0.0.0.0/0 和 网 关
192.168.18.1，点击确定即可！

三、NAT 多对一上网

因为我们是多对一的上网环境，我们需要配置 NAT 使得众多客户端共享上网

点 击 IP——firewall ， 选 择 第 二 项 NAT ， 点 击 加 号 ， 新 增 一 条 NAT 的 策 略 ， 在
〝General〞Chain 选项选择 srcnat，那个选项表示我们是源 NAT，也确实是从内网到外网的地
址转换；
 接着我们点开 Action 选项，将〝Action〞一项选择 masquerade，这一项表示我们被转换
成的地址确实是我们外网口的接口地址〔外网地址唯独〕

显示情形下，假如我们有多个外网地址〔比如电信给了我们两个地址〕，那么我们能够
指定被转换成的地址，
做法确实是在 Action 选项中选择 src-nat，这也是表示源路由，只是我们需要在下面指定
要被转换的地址
 四、防火墙策略

默认情形下，ROS 里面防火墙策略是空的，是承诺所有用户上网的，下面我们细化用户
的上网权限：
1. 承诺部分用户上外网
第一我们打开 IP——firewall，选择第 6 项〝Address Lists〞，在那个地点我们新建一个组，
点击加号，用户组的名字确实是〝能够上网〞，在地址栏中我们添加能够上网的用户的 IP
地址〔能够添加多个地址和地址段，只需要保证组名字相同即可〕

添加完之后我们转到〝filter rule〞点击加号添加一条防火墙规那么；
步骤一：按如以下图操作，需要说明的是我们需要将〝connection stata〝选择
为〞established〝，那个表示承诺 TCP 连接状态为〞已连接的〝所有数据包通过〔假如少了这
一步，将会导致所有的用户上不了网〕
步骤二，添加承诺上网的策略，步骤如下
 完成以上两个步骤之后，所有用户依旧能够上网的，因为 ROS 默认的是承诺所有用户上
网的，所有我们还需要新建一条拒绝所有用户的策略；
步骤三：拒绝所有用户，
五、设置上网策略

该功能需要完成的步骤：
1. 设置可访问的地址；
2. 新建防火墙策略；
步骤一：在 IP—>Firewall—>Address Lists 里面，点击新增

步骤二：在新增窗口填写分组名称〔假如差不多存在点击向下的箭头选择对应的分组〕，在
〝address〞部分，填写对应的 IP 地址；然后点击〝OK〞按钮完成操作；

步骤三：有的时候我们需要备注一下名称〔百度、汽车之家等等〕，能够按照图中的步骤，
先选中一条记录，然后点击黄色按钮，在弹出的对话框中填写名称，最后点击〝 OK〞按钮即
可。
步骤四：依次点击〝Filter Rules〞—»点击〝+〞号，新增一条策略。

步骤五：点击〝General〞
Chain：选择 forward；
In Interface：选择内网接口〔LAN〕；
 Out Interface：选择外网接口〔WAN〕；

步骤六：点击〝Advanced〞,
Dst. Address List：选择我们之前新建好的组〔承诺访问的网址〕；
步骤七：点击〝Action〞选项
Action：选择 accept，表示承诺数据通过；
最后点击〝OK〞按钮，完整策略的配置；

步骤八：调整策略的位置
默认情形下，新增的策略是在策略列表的最后一条，我们需要通过鼠标点击拖动的方式
调整策略的顺序，我们的原那么是在〝拒绝所有〞这条策略之上就好了。
默认情形下面，新建好的策略是没有名字的〔如〝承诺访问指定的网址〞〕，假如想起
个名字，只要点击黄色的按钮添加名字就好了。
六、ROS 限速

该功能需要完成的步骤：
1. 标记流量；
2. 新建限速模型；
3. 新建限速策略；

步骤一：打开〝IP〞—»〝Firewall〞—»〝Mangle〞，点击新增按钮；

步骤二：标记 流量,点击〝General〞选项〔网页的流量要紧是在服务器返回数据时候产生，
我们确实是要标记这部分流量〕
Chain：选择 prerouting；
Protocol：选择 tcp 协议；
Src. Port：选择 80 端口；
In. Interface：选择外网接口；
步骤三：点解〝Action〞选项
Action：选择 mark_packet;
New Packet Mark：填写一个标记的名字〔组名字〕，那个地点写的是 down_web;
点击〝OK〞按钮完成流量的标记

依照需要能够自己新建多个标记：新建完成之后如下：
需要说明的是，网站标准端口是，80，有时候也可能是 8080、8081、81 等，这需要依照
实际情形新建标记策略；
步骤四：新建策略模板：依次点开〝Queues〞—»〝Queue Type〞—»点击加号新增；

步骤五：新建下载的策略模板：
Type Name：给策略模板起一个名字：down，表示下载；
Kind：选择模板的类型：pcq；
Rate：填写限速大小：2M，2M 确实是表示下载每用户限速是 2M；
Limit：填写线程会话限制：50，表示每用户最多只能有 50 个会话；
Total Limit：填写最大会话数：2000；
Classifier：选择 Dst. Address;
点击〝OK〞完成，同理新建上传的策略模板：
步骤六：新增限速策略：
ROS 的限速使用的典型的管道模型，即大管子在最别处，里面有小管子，每个小管子都
代表一个策略，都会有一个流量的上限和下限，多有小管子的流量下限值的和不能超过大管
子的最大流量值，然而小管子的流量上限和能够超过大管子的最大流量和，超过的部分将会
平分流量。
打开〝Queue Tree〞选项，点击加号新增；

步骤七：新增下载的父策略〔大管子〕
Name：给策略起一个名字，这边是 down，表示下载的父策略；
Parent：选择 global-in；
Queue Type：选择 down，那个 down 确实是我们在上一个步骤里面新建好的策略模型
〔每人 2M〕；
Max Limit：填写最大带宽，看申请的带宽而定，一样是 10M，也有 20M 的宽带；
步骤八：新增上传的父策略〔大管子〕
参数按以下图设置，依照实际情形调整；

步骤九：新增下载的子策略〔小管子〕
 Name：自己起一个名字；
Parent：选择我们新建好的父策略〔down〕，表示是子策略，并指定父策略；
Parket Marks：选择我们新建好的标记策略：down_web;
Queue Type：选择我们新建好的限速模板，down；
Limit At：填写流量下限，4M；
Max Limit：填写流量上限，10M；
点击〝OK〞就好了

新建好的策略如下：我们能够专门明显的看出策略的父子关系；

七、ROS 的 VPN 设置

配置要点：
配置 IPsec 第一时期协商；
配置 IPsec 第二时期协商；
配置 NAT 设置；ROS 特有；
 步骤一：依次打开 IP—»Ipesc—»Peer—»点击加号；

步骤二：新建 IPsec 第一时期参数：

Address：填写对端的 IP 地址：这边填写的是总部的 IP 地址；
Port：默认
Auth. Method：选择〝pre shared key〞，表示与共享密码方式协商认证；
Exchange Mode：选择〝aggressive〝，表示野蛮模式；
勾选〞Send Initial Contact〝和〞NAT Traversal〝；
Proposal Check：默认就好了；
Hash Algorithm：选择 md5；验证数据的完整性；
Encryption Algorithm：选择 3des；完成数据的加密；
DH Group：选择 modp1024，这参数相当于其他防火墙里面的〞group 2〝；
其他参数默认不变；点击 OK 完成；
步骤三：创建 IPsec 第二时期协商的参数：
点击 Proposals，点击新增；

按下去所示，分别起一个名字。并勾选 MD5、3des 和 modp1024 参数；

步骤四：点击 Policies 选项，点击新增，在弹出来的对话框中点击〞General〝
Src. Address：填写本地网段；
Dst. Address：填写对端的网段；
Protocol：选择所有；
然后点击 action 选项：
 Action：选择 encrypt，表示 IPesc 加密；
Level：默认，选择 require；
Ipsec Protocols：选择 esp；
勾选〞Tunnel〝；
SA Src. Address：本段的公网地址；
SA Dst. Address：对端的公网地址；
Proposal：选择我们上一步骤新建的 IPsec 第二时期协商的参数：〝标致〝；
点击〞OK〝就好了；

到此关于一样的防火墙就能够了，然而 ROS 里面还要增加两个操作；

步骤五：连续新建一个 Policies，参数如以下图
需要注意的是在 action 选项中，action 选择的是〞none〝；表示所有访问本地网段流量
都不进行 IPsec 加密；如此做的目的是，在实际操作中，ROS 会将总部访问本地网段〔东标〕
的流量进行 IPsec 加密，然而我们需要的是进行 IPsec 解密，因此会显现问题，加上以下策略
之后，关于总部访问分部的流量不错第二次加密，而是正常的解密操作；
步骤六：设置 NAT
在 ROS 的运行流程中，NAT 操作时比较优先的，然而我们需要的是，关于 IPsec 的流量是
不需要 NAT 操作的。
依次点开 IPfirewall—»NAT 选项，点击新增：

Chain：选择 srcnat；
Src. Address：192.168.26.0/24 那个填写的是本地网段；
Dst. Address：192.168.0.0/16 那个填写的是对端的网段；
Action：选择 accept；表示不进行任何操作，不进行 NAT；
【重点】设置好了之后将这条策略放在第一个〔使用鼠标点击拖拽的方式〕
八、IP-MAC 绑定

配置步骤：
1. IP 和 MAC 地址绑定
2. 关闭 arp

步骤一：IP 和 MAC 地址绑定

依次打开 IP—»ARP List，正常情形下，你会看见内网中所有差不多接入到网络中的设备
〔IP 地址和对应的 MAC 地址〕，同时离能看到每条记录之前都有一个〝D〞开头的标志，这
表示那个 ARP 信息是动态学习到的。
 然 后 选 中 记 录 〔 也 能 够 使 用 shift 或 者 是 ctrl 键 进 行 多 项 选 择 〕 ， 右 击 点 击 〝 Make
Static〞，将当前记录转换为静态绑定，转化之后记录前面的〝D〞标识符就会消逝。
步骤二：关闭 ARP 选项
依次打开 Interface—»〝Interface List〞—»〝Interface〞，找到内网接口〝LAN〞；
 双击打开属性配置页面，点击〝General〞，然后 ARP 选项选择〝reply-only〞，表示 ROS
开始不学习新的 ARP 信息，只对客户端进行 ARP 解析作用。
【重点】需要注意的是，在实际运用过程中，外网接口的 ARP 选项应该选择〝enable〞，因
为运营商有可能会对接入设备进行调整，因此不能对 WAN 口进行 ARP 绑定。