使用RouterOS软件构建学生网络实验环境

摘要：在计算机网络课程的教学中，建设计算机网络实验机房是至关重要的。如何构建灵活、稳定、性价比高的网络实验环境，是实训基地建设的重点问题。该文提供一个使用RouterOS软件构建学生网络实验环境的解决方案，从学校建设网络实验环境的一般需求出发，介绍了如何使用RouterOS软件较好地解决这些通用需求。RouterOS是构建计算机实验网络的高效和廉价之选。

关键字：软件路由器；RouterOS；计算机网络；实验平台

中图分类号： TP393 文献标识码：A文章编号：1009-3044(2011)22-5362-03

1 RouterOS简介

RouterOS是一种操作系统，由美国MikroTik公司发行。该软件可将一台标准的PC电脑变成专业路由器。由于该操作系统软件基于Linux内核设计，因此其性能极为稳定，同时其专门针对路由器进行的优化设计又使其功能极为丰富。

RouterOS最新版本为4.3版，现在市场上的主流应用是2.9版。该系统软件不但能完成常规路由器的路由、NAT、VPN等功能，还在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，深受网络应用各界人士的青睐，被誉为“电信级”的路由器。

2 职业学校学生实验网络构建和管理的一般需求

在职业学校里，通常要建设多个计算机实验室供学生进行专业学习。这些计算机实验室根据实验项目或用途的不同在其硬件配置、软件安装、网络接入、管理方式等诸多方面都存在着差异。在网络接入和网络管理方面，一般有如下的一些需求：

1）所有实验室计算机均需要接入互联网，一般中职学校接入互联网使用一至二根ISP光纤线路，因此多个实验室需要共享这些线路上网。

2）多个实验室之间必要时要能实现互访，使不同实验室间共享文件成为可能。

3）实验室建设要考虑到管理的便利性，例如可实现IP地址的自动分配，能够很便利地开放或关闭学生访问互联网的权限，能够便利地对学生的上网行为进行记录或管理等。

4）实验室建设要方便创设学生实验的环境，例如可构建拨号服务器供学生训练拨号上网，能够构建远程访问服务器供学生体会远程拨入的作用，能够充当路由器使学生可以理解多网段的概念等。

3 使用RouterOS构建学生网络实验环境

Routeros在实验室构建过程中，通常用作路由器功能，在多个实验室间充当骨干设备或实验网出口设备，其在拓扑图中的位置如图1所示。

图1中的RouterOS安装在一台微机上用作网络出口设备，完成路由、NAT和访火墙等功能。下面介绍相关的操作：

3.1 安装及管理

3.1.1 安装

将RouterOS刻录在一张光盘上，设置电脑的CD-ROM为最先启动的盘，安装光盘启动后出现如图2。

图2是选择安装模块的页面，每一个项目均代表了RouterOS的一个组件，除“system”这个系统核心组件外，其它组件均是可选安装的。如果不知道哪个组件是什么功能的话，最简单的方法就是全部选择，根据页面的提示，只要按“a”键即可全部选中。选中安装的组件后，按“i”键即可开始安装。安装过程很短，十几秒后即可安装完成，其后通过按“Eenter”键系统重启，进入登录页面。初始登录帐号是admin，密码为空。使用此帐号和密码登入后即可对RouterOS进行配置。

3.1.2 RouterOS的管理

RouterOS是类LINUX的操作系统，其管理是文字界面的，操作起来不太友好。开发者为它设计了一个基于windows的图形界面，使操作变得更为便利。要使用图形界面，必须先将一台安装了windows的电脑与RouterOS的一张网卡连接起来，连接拓扑如图3。

图3所示进行设备的连接后，先要管理机和RouterOS分配IP地址，例如192.168.1.1和192.168.1.2。第一次给RouterOS某张网卡配置地址时，只能通过文字界面进行配置，配置命令如图4。

在routeros配置好IP地址后，在另一台windows xp电脑上配置IP地址为：192.168.1.2/24，并在电脑上使用浏览器访问192.168.1.1,点击网页左上角（红框部分）下载winbox管理工具,效果图如图5所示。

下载完成后，即可利用下载的winbox登录routeros进行管理，登录及管理界面如图6。

在右边基于windows的窗口中即可对RouterOS进行配置。

3.2 多网段互联及IP地址分配

RouterOS主机是一个路由器，它的网络接口数量由插在主板上的网卡数量决定。特别注意，为了对主板上所插网卡与系统所列示的网卡之间进行对应的区分，建议逐一添加网卡，逐一进入系统改名进行区分。

在多个实训室间经常存在互相访问的需求，由路由器的原理可知，多个不同的网络连接到路由器不同的接口上，给不同的接口配置不同网段的IP地址后，路由器即可实现不同网络间的连接。通过给RouterOS添加多张网卡，每张网卡连接一个实验室，再给每张网卡配置不同网段的IP地址，即可使不同的实验室间可以互相访问。图7显示了在winbox中给网卡配置IP地址的方法：

图7

通过以上的配置后，分别连接到one、two、three三个接口上的三个实验室间即可实现互访。

3.3 实验室访问互联网

访问互联网是所有实验室电脑的基本要求，为了使实验室电脑可以访问互联网，需要在出口设备上设置NAT或共享服务，设置的方法很简单，单独为每个内网卡设置一次“地址转换”即可，设置路径：IP->firewall―>NAT，设置过程如图8。

为每张内网网卡设置一次，即可实现使该实验室共享上网服务。

3.4 学生上网行为管理

为了使学生上网的行动能够得到管理，即什么时候开放上网、什么时候不能让学生上网，这是必须进行控制的，利用RouterOS的防火墙功能可以很好地实现这个需求。RouterOS的防火墙结构如图9。

图9是RouterOS防火墙的数据流控制图，对这个图最简单的解读是：如果对最终数据流是进入防火墙本身的，那么就在INPUT表中设置防火规则；如果对穿越防火墙的数据流进行控制，就要在forward表中进行设置。

下面以限制学生机上网，但允许教师机上网作为例子，设置一条防火墙规则。设置路径：IP―>firewall->filter rules,设置截图如图10。

图10的三张截图定义了一个动作：对通过forward列表的数据流，如果其源地址不在teacher列表中，则拒绝让它通过。

作完这个定义后，还要定义一个teacher表，使防火墙不要拦截源地址在这个列表中的老师机。定义路径：IP―>firewall―>Address Lists,定义截图如图11。

此外，还要在防火墙的拒绝规则下面定义一条：允许所有。只有这样，那些被第一条拒绝通过的老师电脑才能终通过防火墙。

图12

其它的防火规则可按此方法逐条定义，但要注意每条规则放置的顺序，这与一般防火设备一样，规则的放置顺序可对最终的数据流控制产生影响。

3.5 拨号服务器（pppoe server）构建

学生在进行网络相关课程的学习时，需要学习在系统中如何创建一个“ADSL拨号连接”来上网，我们可以利用RouterOS搭建一个pppoe服务器，并为拨入的连接提供一个有别于实验室所用IP段的地址，在防火墙上开放新获取地址的上网权限。这样，学习即可在实验室电脑上体验与拨入“中国电信”同样的感受。

创建一个pppoe服务器有三个环节：一是为拨入创建一个地址池，二是设置pppoe服务器，三是在防火墙上为用户通过拨号获取的地址池开放访问互联网。

3.5.1 设置地址池

设置路径：IP->pool，设置截图为图13。

3.5.2 设置pppoe服务器

设置路径：A.ppp->interfaces->pppoe server，B: ppp->interfaces->secrets，C：ppp->interfaces->profiles。设置截图如图14。

3.5.3 设置防火墙放行192.168.88.0网段

此任务设置参看上述第4点防火墙设置。

RouterOS有很多服务器的功能，本文不具体提到RouterOS构建服务器的方法。可参看其它相关的手册说明。

4 结束语

RouterOS功能强化，性能稳定，通过窗口界面winbox管理起来又很方便。不但在学校的实验室建设中可以发挥重要的作用，在办公网络和网吧中使用也极为广泛，是廉价和高效的解决方案。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文