Mikro,Tik,Router,OS在企业网络管理中的应用

摘要：本文介绍Mikro Tik Router OS路由操作系统调试及设置，探讨了PPTP VPN、禁止上网、带宽限制等在企业网络管理中的应用。

关键词：MikroTik Router OS PPTP VPN 禁止上网 带宽限制

中图分类号：TP393文献标识码：A文章编号：1007-9416(2012)02-0053-01

1、企业局域网上网常见问题

随着互联网业务的飞速发展，各企业、单位、公司的局域网一般都开通了互联网上网，但随之而来的各种问题困扰着网管。如：出差在外的员工期望能访问公司内部局域网的OA系统；部分员工需要使用局域网，但禁止用互联网；部分员工下载占用了较多带宽，造成整个局域网上网不正常。

2、解决办法

针对上述的问题，高端的路由器可以通过流量均衡，启用VPN功能及IP限流等方法解决这些问题，但由于高端路由器的价格较昂贵影响了使用范围。另一解决的途径是使用软件路由，其中MikroTik Router OS是较好的解决办法。 MikroTik Router OS 是基于Linux开发能在PC机上运行的路由器操作系统，目前在软件的开发和应用上不断的更新和发展，软件经历了多次更新和改进，使其功能在不断增强和完善。特别在认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比。但使用及配置比较复杂，经笔者测试实现对多个中小企业局域网科学有效的管理，在此介绍一下管理的方法以供大家参考。

3、Mikro Tik Router OS的安装及基本配置

将MikroTik Router OS的ISO镜相文件用NERO的镜相刻录功能刻到光盘上，然后用这张光盘启动电脑，开始安装ROS，安装开始时有许多要安装的模块选项，供选择，在这里选择所有模块，然后按i默认安装就可以安装完成。重起计算机后出现login：输入用户名admin，无密码，即登陆系统。

MikroTik Router OS要求至少配置2张网卡，登陆系统后首先用setup命令配置内网卡,如定义计算机为10.1.1.1/24网段，则子网掩码设置为：255.255.255.0，回车后设置生效。

在同一网段的计算机（10.1.1.X（X的数值在2-254范围）运行浏览器，地址栏输入10.1.1.1的地址后就可以下载winbox管理软件，Winbox为MikroTik Router OS图形化管理软件。运行后就可以登陆到安装了Mikro Tik Router OS的计算机。进入interfaces界面后，为了区别内外网，通常情况下将内网修改成Lan，外网修改成Wan。点击IP/Adress/+,选择Wan，Adress:222.52.118.35/24，然后单击确定。增加外网网关：IP/Router/+，Gateway：222.52.118.1/24，其它使用默认。后面继续配置NAT，在IP/Firewall/Source nat /+/Action中选择masquerade。这样内网的计算机都可以上网了。

4、PPTP VPN 实现外网访问内网

很多企业都已经建立了自己的OA服务器，出差在外的人期望能够访问内部局域网。通常可以设置端口映射的方法访问内网，但该缺点也比较明显，相当于服务器直接暴露在Internet网上，存在一定的安全隐患。比较好的方式采用PPTP VPN拨号，身份验证通过后分配私网内部IP再访问内部OA服务器，具备较高的安全性。配置的步骤如下：

(1)点击PPTP server，选上enable选项,激活 PPTP server。

(2)添加 PPTP server名字，可以修改成容易记忆的名字。

(3)在PPP--Profiles中添加规则。

(4)在PPP--Secrets中添加拨号用户及密码，根据实际情况限制带宽。

(5)然后在IP--Firewall--Service ports里面打开PPTP和GRE服务。这样基本VPN就配置完毕了。

5、禁止部分计算机上网

在企业内部，通常部分岗位是不允许上网的，可以通过规则设定禁止部分计算机上网设成不可访问外网，设置方法如下：

(1)点击IP>Firewal。(2)选择“Filter Rules”选项卡，进入访问规则设置。(3)点击“+”添加规则。(4)选择“General”选项卡，选择Chain 值为forward Scr Address:10.1.1.25。(5)进入“Action”选项卡。(6)Action：drop 禁止。(7)点击“OK”保存退出。

通过上述设置就实现10.1.1.25计算机上网，禁用多台计算机依照上述方法逐一添加即可实现。

6、限制部分计算机的带宽

在企业网内部，由于租用的专线带宽通常都比较有限，部分员工的下载往往造成整个网络很慢，甚至瘫痪。解决的办法通常是对计算机出网带宽进行限制。设置的方法为：

(1)在shell命令行状态下，运行queue simple。(2)Add target address=10.1.1.20 max-limit=512000/2048000 interface=lan

通过上述设置就实现10.1.1.20计算机的最大上行512Kbps，下行2048Kbps。通过重复上述命令就能实现限制多台计算机的带宽。

7、结语

Mikro Tik Router OS作为一款优秀的路由软件，具备强大的网络管理功能，可以媲美专业路由器，除上述功能外，还可通过脚本批量设置，ARP计算机绑定等对企业网进一步管理。本文只是实现了它的很小的一部分功能，对于其它方面的应用，希望大家共同研究。

推荐访问:网络管理 企业 Tik Mikro OS