RouterOS软件路由器在校园网中应用.docVIP

RouterOS软件路由器在校园网中应用 　　摘要：本文以RouterOS为例介绍了它在校园网中的应用，并结合网络原理对它的主要功能进行详细阐述。 　　关键词：网络；RouterOS；防火墙；HOTSPOT认证；路由 　　中图分类号：TP393.18文献标识码：A文章编号：1007-9599 (2012) 04-0000-02 　　RouterOS是一种路由器操作系统，通过该软件可以将标准的PC电脑变成专业的路由器，随着该软件的更新和发展，其功能不断增强和完善，现几乎可以满足网络管理者的所有要求。RouterOS的功能很多，如NAT、防火墙配置、策略路由、脚本编写、网络监控等等，许多校园网碰到的问题都可在RouterOS中找到了解决方案。 　　早在2005年我校就开始了校园网络建设。由于经费紧张，最初采用windows共享模式，通过二层交换机来访问互联网。但随着校园网络用户日益增长,常会出现私自更改 IP地址、病毒攻击以及网络带宽的恶意抢占、掉线等问题，迫切寻找一种安全稳定的网络访问方式，经过多方尝试，认定RouterOS路由操作系统是最佳解决问题方案。本文结合笔者多年RouterOS的使用经验，特从以下四个方面阐述RouterOS的应用。 　　一、用NAT实现校内用户上网和校外用户访问学校资源 　　在现实生活中，由于公用IP地址资源是非常有限的，当地的ISP（网络运营商）只会分配给用户一个到两个公用的IP地址。怎样用这有限的公用IP地址使更多用户访问上网，怎样让外部的用户访问校园网里共享资源，是我们要解决的主要问题。虽然许多软件路由都能解决这个问题，但速度、稳定性方面还是赶不上RouterOS。因为RouterOS是基于Linux为核心的网络操作系统，采用的是IPTABLES（Linux 内核集成的IP信息包过滤系统）包过滤系统，它的工作原理简单有效，数据包过滤路径短，效率高。在RouterOS上它的功能名称叫“NAT（Network Address Translation，网络地址转换）”。 　　NAT的功能可分为两个部分，即对内和对外。 　　（一）对内---校园内网用户上网，在POSTROUTING链上作Masquerade（伪装），即把内网（校园网）中私用IP地址伪装成RouterOS外网接口的IP公用地址一个端口。在内网用户与外界通讯过程中它始终维护这个链接的存在，外界的主机认为它是和一个公用的ip地址通讯，内网用户则认为它是和外部主机通讯，外部主机和内部用户之间是“透明”的。 　　这里为什么在POSTROUTING链表设置呢？因为这个链表在路由器出口位置在这里做IP地址转换，下一步就可把数据包转发出去，数据包无须再过滤、路由了。 　　Winbox（routeros图形界面的配置工具）设置中，关键点在于chain（链）的选择，src.Address（内网私用源地址）以及Action（动作）的选择。 　　（二）对外---校园网内经常会有WEB服务器，FTP服务器，校园办公系统服务器等资源性站点向外公布。为了让外部的用户能访问到它们，我们就得做地址映射，即把校园网资源所属服务器私用ip地址端口映射到公用IP地址一个端口上。否则，外网是无法访问内网信息。其映射建立是在数据包还没穿过RouterOS，刚进入PREROUTING链表中进行。 　　Winbox设置中，chain应选择dstnat，Dst.Address（公网目的地址）及目的端口填写正确，Action选择Dst-nat，To Address填写服务器私用IP地址，To Ports填写服务器所属服务端口号，比如WEB服务器端口号为80，FTP服务器端口号为21等。 　　二、使用 Routeros强大的防火墙功能保护校园网安全畅通 　　在校园网中，用户对计算机及网络了解层次不一，由于使用不当，机器感染病毒的非常多，轻者造成自己不能上网，重者造成整个网络中断。还有些用户不顾别人感受，使用p2p软件或在线看高清视频，占用大量的带宽，使别人不能上网。如何有效防范外界网络攻击和合理使用有限的带宽资源成了每个网络管理员的最关心的问题。Routeros的防火墙功能来可较好解决上述问题，它既可以保护routeros路由器自身免受攻击，又可以使内网用户得到安全公平上网环境。 　　（一）通过INPUT链表可对所有访问路由器的数据包进行过滤和处理，实现自身对病毒和网络攻击防御。INPUT链表用于处理进入路由器的数据包，即数据包目标IP地址是到达路由器一个接口的IP地址。 　　如何通过INPUT链表过滤非法数据包，我们可以winbox图形窗口上添加规则，位置在ip firewall input窗口中。这里RouterOS的开发商已为我们编辑好了官方脚本，