使用RouterOS构建与谐校园网络.docVIP

使用RouterOS构建与谐校园网络 　　校园网作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。随着应用的深入，校园网上的各种数据急剧增加，各种各样的安全问题开始困扰我们。笔者结合几年来在校园网建设安全管理中逐步摸索、积累的经验和教训，谈谈解决校园网内由ARP欺骗导致的网络中断和限制迅雷、BT等下载软件的下载速度的方法。 　　 　　一、关于RouterOS 　　 　　RouterOS是路由操作系统，可以通过该系统软件将标准的PC机做成专用的路由器。RouterOS在经历了多次更新和改进后，它的功能在不断增强和完善，特别在无线、认证、策略路由、带宽控制和防火墙过滤等方面上有着非常强大的功能。笔者采用的软件是MikroTik RouterOS v2.9 版本。此版本要求：CPU为核心频率在100MHZ或更高的单核心i386处理器以及与CPU兼容的主板；RAM最小32MB, 最大1GB，推荐64MB或更高；硬盘（闪盘）采用标准的ATA接口。完全安装小于40MB。 　　 　　二、硬件准备及连接 　　 　　RouterOS对于硬件要求不高，很低的配置就能很好地工作。为了保证路由性能，笔者选用了CII800 CPU，256M内存，容量为128MCF卡作为电子盘，两张性能较好的网卡，如3COM或INTEL（分别连接光纤收发器和中心交换机）。我校的网络拓扑结构如图1所示。 　　 　　 　　三、RouterOS配置 　　 　　1．网卡设置 　　（1）启动后，填入用户admin，密码为空，进入系统。 　　（2）设置第一块网卡的IP：在提示符下输入setup命令，如果本机网卡是PCI的，会提示设置ether1（即第一块网卡），输入ipaddress(IP地址)：、netmask(子网掩码)：、gateway：54、network：、broadcast：55。默认直接回车。 　　（3）在客户机（Windows系统）上，将其网卡的IP地址设成10.12.8.X，在IE地址栏输入，回车后会出现routeros的欢迎画面，点击下载Winbox软件。 　　（4）运行Winbox，输入，用户名admin，密码为空。 　　（5）启用第二块网卡：点击Interface，选择第二块卡，选择对号，启用此网卡。 　　（6）设置地址：选择IP→Address，单击“＋”号，输入第二块卡的IP地址（一般由因特网服务提供商ISP提供，例如我校的是区教育信息中心提供的IP：28）。为了便于管理，将这两块网卡的名字重新命名：第一块网卡是Local，第二块卡是Public，如图2所示。 　　 　　2．开通路由 　　添加静态路由：选择IP→Routes，单击“＋”号，选中gateway，输入网关地址54，destination使用默认 ，表示路由所有地址，也可以根据需要，指定IP范围路由。静态路由可以有多条，比如可以分别指定多个IP段，达到管理的目的。这里笔者使用默认，如图3所示。 　　 　　3．带宽管理 　　在网络管理工作中，困扰我们最多的是校园网络的速度问题。我校共有400多台电脑，以前用迈普2600作为互联网接入设备，带宽为10M，但由于学校的教师比较喜欢使用BT软件或迅雷软件，导致学校网络的网速极慢，经常使学校网络出口的带宽达到极限，有时还会出现掉网现象。 　　 　　针对上述问题，笔者利用RouterOS的带宽管理工具Simple queues对每个IP限速。不管是BT还是P2P式下载软件都会按照设定的下载速度去下载。此方法只是限速而不是禁止使用BT软件或迅雷软件等。 　　在Interface中，查看Public网卡的流量时，RX为下行流量，TX为上行流量；查看Local网卡的流量时，RX为上行流量，TX为下行流量。 　　运行Winbox进入系统，选择queues→simple queues，对每个IP限速1228800/1228800（下载150KB/上传150KB），如图4所示。 　　下面是限速的脚本： 　　/ queue simple 　　Add name=8net20 target-address=/0 dst-address=0/32 　　interface=public queue=default priority=8 limit-at=0/0 　　max-limit=1228800/1228800 disabled=no 　　要限多少个IP，就写多少个，再在Terminal模式下用Import命令导入到系统。 　　经过长时间的测试和使用，学校网络在10M的带宽的环境下，随时保持100～200机器同时在线，PING 值一般小于10MS,没有发现丢包现象。 　　4．