Mikro Tik Router OS在企业网络管理中的应用.docVIP

Mikro Tik Router OS在企业网络管理中的应用 摘要：本文介绍mikro tik router os路由操作系统调试及设置，探讨了pptp vpn、禁止上网、带宽限制等在企业网络管理中的应用。 关键词：mikrotik router os pptp vpn 禁止上网 带宽限制 中图分类号：tp393 文献标识码：a 文章编号：1007-9416(2012)02-0053-01 1、企业局域网上网常见问题 随着互联网业务的飞速发展，各企业、单位、公司的局域网一般都开通了互联网上网，但随之而来的各种问题困扰着网管。如：出差在外的员工期望能访问公司内部局域网的oa系统；部分员工需要使用局域网，但禁止用互联网；部分员工下载占用了较多带宽，造成整个局域网上网不正常。 2、解决办法 针对上述的问题，高端的路由器可以通过流量均衡，启用vpn功能及ip限流等方法解决这些问题，但由于高端路由器的价格较昂贵影响了使用范围。另一解决的途径是使用软件路由，其中mikrotik router os是较好的解决办法。 mikrotik router os 是基于linux开发能在pc机上运行的路由器操作系统，目前在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比。但使用及配置比较复杂，经笔者测试实现对多个中小企业局域网科学有效的管理，在此介绍一下管理的方法以供大家参考。 3、mikro tik router os的安装及基本配置 将mikrotik router os的iso镜相文件用nero的镜相刻录功能刻到光盘上，然后用这张光盘启动电脑，开始安装ros，安装开始时有许多要安装的模块选项，供选择，在这里选择所有模块，然后按i默认安装就可以安装完成。重起计算机后出现login：输入用户名admin，无密码，即登陆系统。 mikrotik router os要求至少配置2张网卡，登陆系统后首先用setup命令配置内网卡,如定义计算机为10.1.1.1/24网段，则子网掩码设置为：255.255.255.0，回车后设置生效。 在同一网段的计算机（10.1.1.x（x的数值在2-254范围）运行浏览器，地址栏输入10.1.1.1的地址后就可以下载winbox管理软件，winbox为mikrotik router os图形化管理软件。运行后就可以登陆到安装了mikro tik router os的计算机。进入interfaces界面后，为了区别内外网，通常情况下将内网修改成lan，外网修改成wan。点击ip/adress/+,选择wan，adress:222.52.118.35/24，然后单击确定。增加外网网关：ip/router/+，gateway：222.52.118.1/24，其它使用默认。后面继续配置nat，在ip/firewall/source nat /+/action中选择masquerade。这样内网的计算机都可以上网了。 4、pptp vpn 实现外网访问内网 很多企业都已经建立了自己的oa服务器，出差在外的人期望能够访问内部局域网。通常可以设置端口映射的方法访问内网，但该缺点也比较明显，相当于服务器直接暴露在internet网上，存在一定的安全隐患。比较好的方式采用pptp vpn拨号，身份验证通过后分配私网内部ip再访问内部oa服务器，具备较高的安全性。配置的步骤如下： (1)点击pptp server，选上enable选项,激活 pptp server。 (2)添加 pptp server名字，可以修改成容易记忆的名字。 (3)在ppp--profiles中添加规则。 (4)在ppp--secrets中添加拨号用户及密码，根据实际情况限制带宽。 (5)然后在ip--firewall--service ports里面打开pptp和gre服务。这样基本vpn就配置完毕了。 5、禁止部分计算机上网 在企业内部，通常部分岗位是不允许上网的，可以通过规则设定禁止部分计算机上网设成不可访问外网，设置方法如下： (1)点击ipfirewal。(2)选择“filter rules”选项卡，进入访问规则设置。(3)点击“+”添加规则。(4)选择“general”选项卡，选择chain 值为forward scr address:10.1.1.25。(5)进入“action”选项卡。(6)action：drop 禁止。(7)点击“ok”保存退出。 通过上述设置就实现10.1.1.25计算机上网，禁用多台计算机依照上述方法逐一添加即可实现。 6、限制部分计算机的带宽 在企业网内部，由于租用的专线带宽通常都比较有限，部