Mikro,Tik,Router,OS在企业网络管理中的应用
摘要:本文介绍Mikro Tik Router OS路由操作系统调试及设置,探讨了PPTP VPN、禁止上网、带宽限制等在企业网络管理中的应用。
关键词:MikroTik Router OS PPTP VPN 禁止上网 带宽限制
中图分类号:TP393文献标识码:A文章编号:1007-9416(2012)02-0053-01
1、企业局域网上网常见问题
随着互联网业务的飞速发展,各企业、单位、公司的局域网一般都开通了互联网上网,但随之而来的各种问题困扰着网管。如:出差在外的员工期望能访问公司内部局域网的OA系统;部分员工需要使用局域网,但禁止用互联网;部分员工下载占用了较多带宽,造成整个局域网上网不正常。
2、解决办法
针对上述的问题,高端的路由器可以通过流量均衡,启用VPN功能及IP限流等方法解决这些问题,但由于高端路由器的价格较昂贵影响了使用范围。另一解决的途径是使用软件路由,其中MikroTik Router OS是较好的解决办法。 MikroTik Router OS 是基于Linux开发能在PC机上运行的路由器操作系统,目前在软件的开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善。特别在认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比。但使用及配置比较复杂,经笔者测试实现对多个中小企业局域网科学有效的管理,在此介绍一下管理的方法以供大家参考。
3、Mikro Tik Router OS的安装及基本配置
将MikroTik Router OS的ISO镜相文件用NERO的镜相刻录功能刻到光盘上,然后用这张光盘启动电脑,开始安装ROS,安装开始时有许多要安装的模块选项,供选择,在这里选择所有模块,然后按i默认安装就可以安装完成。重起计算机后出现login:输入用户名admin,无密码,即登陆系统。
MikroTik Router OS要求至少配置2张网卡,登陆系统后首先用setup命令配置内网卡,如定义计算机为10.1.1.1/24网段,则子网掩码设置为:255.255.255.0,回车后设置生效。
在同一网段的计算机(10.1.1.X(X的数值在2-254范围)运行浏览器,地址栏输入10.1.1.1的地址后就可以下载winbox管理软件,Winbox为MikroTik Router OS图形化管理软件。运行后就可以登陆到安装了Mikro Tik Router OS的计算机。进入interfaces界面后,为了区别内外网,通常情况下将内网修改成Lan,外网修改成Wan。点击IP/Adress/+,选择Wan,Adress:222.52.118.35/24,然后单击确定。增加外网网关:IP/Router/+,Gateway:222.52.118.1/24,其它使用默认。后面继续配置NAT,在IP/Firewall/Source nat /+/Action中选择masquerade。这样内网的计算机都可以上网了。
4、PPTP VPN 实现外网访问内网
很多企业都已经建立了自己的OA服务器,出差在外的人期望能够访问内部局域网。通常可以设置端口映射的方法访问内网,但该缺点也比较明显,相当于服务器直接暴露在Internet网上,存在一定的安全隐患。比较好的方式采用PPTP VPN拨号,身份验证通过后分配私网内部IP再访问内部OA服务器,具备较高的安全性。配置的步骤如下:
(1)点击PPTP server,选上enable选项,激活 PPTP server。
(2)添加 PPTP server名字,可以修改成容易记忆的名字。
(3)在PPP--Profiles中添加规则。
(4)在PPP--Secrets中添加拨号用户及密码,根据实际情况限制带宽。
(5)然后在IP--Firewall--Service ports里面打开PPTP和GRE服务。这样基本VPN就配置完毕了。
5、禁止部分计算机上网
在企业内部,通常部分岗位是不允许上网的,可以通过规则设定禁止部分计算机上网设成不可访问外网,设置方法如下:
(1)点击IP>Firewal。(2)选择“Filter Rules”选项卡,进入访问规则设置。(3)点击“+”添加规则。(4)选择“General”选项卡,选择Chain 值为forward Scr Address:10.1.1.25。(5)进入“Action”选项卡。(6)Action:drop 禁止。(7)点击“OK”保存退出。
通过上述设置就实现10.1.1.25计算机上网,禁用多台计算机依照上述方法逐一添加即可实现。
6、限制部分计算机的带宽
在企业网内部,由于租用的专线带宽通常都比较有限,部分员工的下载往往造成整个网络很慢,甚至瘫痪。解决的办法通常是对计算机出网带宽进行限制。设置的方法为:
(1)在shell命令行状态下,运行queue simple。(2)Add target address=10.1.1.20 max-limit=512000/2048000 interface=lan
通过上述设置就实现10.1.1.20计算机的最大上行512Kbps,下行2048Kbps。通过重复上述命令就能实现限制多台计算机的带宽。
7、结语
Mikro Tik Router OS作为一款优秀的路由软件,具备强大的网络管理功能,可以媲美专业路由器,除上述功能外,还可通过脚本批量设置,ARP计算机绑定等对企业网进一步管理。本文只是实现了它的很小的一部分功能,对于其它方面的应用,希望大家共同研究。
上一篇:能上网的最终将战胜不能上网的
下一篇:校园融合业务动态密码功能的实现