2024年4月28日发(作者:)

Mikro Tik Router OS在企业网络管理中的应用

摘要:本文介绍mikro tik router os路由操作系统调试及设置,探讨了pptp vpn、

禁止上网、带宽限制等在企业网络管理中的应用。

关键词:mikrotik router os pptp vpn 禁止上网 带宽限制

中图分类号:tp393 文献标识码:a 文章编号:1007-9416(2012)02-0053-01

1、企业局域网上网常见问题

随着互联网业务的飞速发展,各企业、单位、公司的局域网一般都开通了互联网上网,

但随之而来的各种问题困扰着网管。如:出差在外的员工期望能访问公司内部局域网的oa

系统;部分员工需要使用局域网,但禁止用互联网;部分员工下载占用了较多带宽,造成

整个局域网上网不正常。

2、解决办法

针对上述的问题,高端的路由器可以通过流量均衡,启用vpn功能及ip限流等方法

解决这些问题,但由于高端路由器的价格较昂贵影响了使用范围。另一解决的途径是使用

软件路由,其中mikrotik router os是较好的解决办法。 mikrotik router os 是基于linux

开发能在pc机上运行的路由器操作系统,目前在软件的开发和应用上不断的更新和发展,

软件经历了多次更新和改进,使其功能在不断增强和完善。特别在认证、策略路由、带宽

控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比。但使用及配置比较复

杂,经笔者测试实现对多个中小企业局域网科学有效的管理,在此介绍一下管理的方法以

供大家参考。

3、mikro tik router os的安装及基本配置

将mikrotik router os的iso镜相文件用nero的镜相刻录功能刻到光盘上,然后用这

张光盘启动电脑,开始安装ros,安装开始时有许多要安装的模块选项,供选择,在这里

选择所有模块,然后按i默认安装就可以安装完成。重起计算机后出现login:输入用户名

admin,无密码,即登陆系统。

mikrotik router os要求至少配置2张网卡,登陆系统后首先用setup命令配置内网

卡,如定义计算机为10.1.1.1/24网段,则子网掩码设置为:255.255.255.0,回车后设置生

效。

在同一网段的计算机(10.1.1.x(x的数值在2-254范围)运行浏览器,地址栏输入

10.1.1.1的地址后就可以下载winbox管理软件,winbox为mikrotik router os图形化管

理软件。运行后就可以登陆到安装了mikro tik router os的计算机。进入interfaces界面

后,为了区别内外网,通常情况下将内网修改成lan,外网修改成wan。点击ip/adress/+,

选择wan,adress:222.52.118.35/24,然后单击确定。增加外网网关:ip/router/+,

gateway:222.52.118.1/24,其它使用默认。后面继续配置nat,在ip/firewall/source nat

/+/action中选择masquerade。这样内网的计算机都可以上网了。

4、pptp vpn 实现外网访问内网

很多企业都已经建立了自己的oa服务器,出差在外的人期望能够访问内部局域网。

通常可以设置端口映射的方法访问内网,但该缺点也比较明显,相当于服务器直接暴露在

internet网上,存在一定的安全隐患。比较好的方式采用pptp vpn拨号,身份验证通过

后分配私网内部ip再访问内部oa服务器,具备较高的安全性。配置的步骤如下:

(1)点击pptp server,选上enable选项,激活 pptp server。

(2)添加 pptp server名字,可以修改成容易记忆的名字。

(3)在ppp--profiles中添加规则。

(4)在ppp--secrets中添加拨号用户及密码,根据实际情况限制带宽。

(5)然后在ip--firewall--service ports里面打开pptp和gre服务。这样基本vpn就

配置完毕了。

5、禁止部分计算机上网

在企业内部,通常部分岗位是不允许上网的,可以通过规则设定禁止部分计算机上网

设成不可访问外网,设置方法如下:

(1)点击ip>firewal。(2)选择“filter rules”选项卡,进入访问规则设置。(3)点击“+”

添加规则。(4)选择“general”选项卡,选择chain 值为forward scr address:10.1.1.25。

(5)进入“action”选项卡。(6)action:drop 禁止。(7)点击“ok”保存退出。

通过上述设置就实现10.1.1.25计算机上网,禁用多台计算机依照上述方法逐一添加

即可实现。

6、限制部分计算机的带宽

在企业网内部,由于租用的专线带宽通常都比较有限,部分员工的下载往往造成整个

网络很慢,甚至瘫痪。解决的办法通常是对计算机出网带宽进行限制。设置的方法为:

(1)在shell命令行状态下,运行queue simple。(2)add target address=10.1.1.20

max-limit=512000/2048000 interface=lan

通过上述设置就实现10.1.1.20计算机的最大上行512kbps,下行2048kbps。通过

重复上述命令就能实现限制多台计算机的带宽。

7、结语

mikro tik router os作为一款优秀的路由软件,具备强大的网络管理功能,可以媲美

专业路由器,除上述功能外,还可通过脚本批量设置,arp计算机绑定等对企业网进一步

管理。本文只是实现了它的很小的一部分功能,对于其它方面的应用,希望大家共同研究。