RouterOS 2.8_动视_懂你更懂生活

RouterOS 2.8

2025-09-25 23:06:54 责编:小OO

成都网大科技有限公司\n\n2010.2.11\n\nRouterOS\nFor Your networks\n\nRouterOS 2.8 中文操作手册\n\n成都网大科技\n\n版权属于成都网大科技\n\n-1-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n文档版本:\n应用于:\n\nNAT 2.8.1\nRouterOS V2.8\n\n基本设置向导\nNAT RouterOS™ 是将标准的 PC 电脑变成功能强大的路由器，只需要添加标准的 PC 网络接口卡能增强路由器的功能。操作时提供简易的远程实时 windows 应用程序（winbox） NAT RouterOS™特点如下： • • • • • • • • • • • • • • • Advanced Quality of Service control with burst support Stateful firewall with P2P protocol filtering, tunnels and IPsec STP bridging with filtering capabilities Super high speed 802.11a/b/g wireless with WEP WDS and Virtual AP features HotSpot for Plug-and-Play access RIP, OSPF, BGP routing protocols Gigabit Ethernet ready V.35, X.21, T1/E1 synchronous support async PPP with RADIUS AAA IP Telephony remote winbox GUI admin telnet/ssh/serial console admin real-time configuration and monitoring and much more (please see the Specifications Sheet)\n\nNAT RouterOS™ 是基于 Linux 的 IA-32 操作平台的路由器，NAT RouterOS™ 是将标准的 PC 电脑变成功能强大的路由器，添加标准的 PC 网络接口卡能增强路由器的功能。专用的 PC 路由器的硬件需求： o CPU 和主板 – 第 4 代处理器 (核心频率在 100MHz 或更高), 第 5 代处理器 (Intel Pentium, Cyrix 6X86, AMD K5 或类似)或是 Intel IA-32 (i386) 类似的(多处理器不支持) o RAM – 最小 MB, 最大 1 GB; 推存 MB 或更高\n-2-\n\n版权属于成都网大科技\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\no\n\n硬盘/闪盘 – 标准的 ATA 接口(SCSI 和 USB 接口不支持；RAID（磁盘阵列）添加驱动器不能支持) 。一般完全安装需要 MB 空间\n\n登陆 NAT Router\n当进入 NAT RouterOS 的终端控制界面时，将会看到登陆提示，在第一次登陆时，使用'admin' 和空密码（敲击'Enter'）即可进入。例如：\n\nNAT v2.8 Login: admin Password:\n\n通过使用/password 命令可以改变密码：\n\n[admin@NAT] > password old password: new password: ************ retype new password: ************ [admin@NAT] >\n\n终端控制操作向导\n欢迎字幕和命令提示符\n登陆路由器后可以看到 NAT RouterOS™ 的欢迎字幕和命令提示符，例如：\n\nMMM MMMM\n\nMMM MMMM\n\nKKK KKK OOOOOO\n\nTTTTTTTTTTT TTTTTTTTTTT TTT TTT TTT TTT\n\nKKK KKK III KKK KKK III KKKKK III KKK KKK III KKK KKK\n\nMMM MMMM MMM III KKK KKK RRRRRR MMM MM MMM MMM MMM III KKKKK MMM III KKK KKK\n\nRRR RRR OOO OOO RRRRRR OOO OOO OOOOOO\n\nMMM III KKK KKK RRR RRR\n\nNAT RouterOS 2.8 (c) 1999-2004\n\nhttp://www.mikrotik.com.cn/\n\nTerminal xterm detected, using multiline input mode\n\n版权属于成都网大科技\n\n-3-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 [admin@NAT] >\n\n命令提示符显示了路由器操作者身份名称和当前目录位置，例如：\n\n[admin@NAT] > [admin@NAT] interface> [admin@NAT] ip address>\n\n根目录接口管理 IP 地址管理\n\n命令\n在任何的操作目录中都可以输入“？”获取改目录中的命令列表，例如：\n\n[admin@NAT] > certificate Certificate management driver Driver manageent file Local router file storage. import Run exported configuration script interface Interface configuration log System logs password Change password ping Send ICMP Echo packets port Serial ports quit Quit console radius Radius client settings redo Redo previosly undone action setup Do basic setup of system snmp SNMP settings special-login Special login users undo Undo previous action user User management ip IP options queue Bandwidth management system System information and utilities tool Diagnostics tools export Print or save an export script that can be used to restore configuration [admin@NAT] > [admin@NAT] ip> accounting Traffic accounting address Address management arp ARP entries management dns DNS settings firewall Firewall management 版权属于成都网大科技\n\n-4-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 neighbor Neighbors packing Packet packing settings pool IP address pools route Route management service IP services policy-routing Policy routing upnp Universal Plug and Play vrrp Virtual Router Redundancy Protocol socks SOCKS version 4 proxy hotspot HotSpot management ipsec IP security web-proxy HTTP proxy export Print or save an export script that can be used to restore configuration [admin@NAT] ip>\n\n你可以通过输入路径目录名称移动到指定的目录中去，例如：\n\n[admin@NAT] > [admin@NAT] > driver [admin@NAT] driver> / [admin@NAT] > interface [admin@NAT] interface> /ip [admin@NAT] ip>\n\n根目录输入'driver'移动到 driver 目录输入'/'移动到根目录输入'interface'移动到 interface 目录输入'/ip'移动到 IP 目录中\n\n一个指令或一个变量参数不需要完整的输入，如果是含糊不清的指令或变量参数需要完整的输入。如输入 interface 时，你只要输入 in 或 int，需要显示完整的指令可以使用[Tab]键通过指令的组合，可以在当前的目录执行在不同目录操作，如：\n\n[admin@NAT] ip route> print [admin@NAT] ip route> .. address print [admin@NAT] ip route> /ip address print\n\n打印路由表打印 IP 地址列表打印 IP 地址列表\n\n指令执行概述\n\nCommand command [Enter] [?] command [?]\n版权属于成都网大科技\n\n指令执行指令显示该目录中的所有指令列表显示指令的帮助和变量列表\n-5-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\ncommand argument 显示指令的变量帮助 [?] [Tab] / /command .. "" "word1 word2" 使指令/字段完整，如果输入的内容含糊不清，第二次键入 [Tab]就会给出存在的选项移动到根目录执行根目录中的指令移动到上一级目录指定一个空字符串 Specifies a string of 2 words that contain a space\n\n在配置 IP 地址中，配置'address'和'netmask'参数时，在许多事例中你可以将 IP 地址和子网掩码一起定义，也可以将子网掩码单独定义，这两种方式是相同的，例如下面的两个输入是等价的：\n\n/ip address add address 10.0.0.1/24 interface ether1 /ip address add address 10.0.0.1 netmask 255.255.255.0 interface ether1\n\n基本配置\n接口管理（Interface Management）\n在配置 IP 地址和路由前，如果你有即插即用卡安装到路由器中，请检查/interface 中的接口列表，多数情况下设备驱动会自动安装，并且相关的接口信息会显示在/interface print 列表中，例如：\n\n[admin@NAT] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether ether wavelan wlan RX-RATE 0 0 0 0 TX-RATE 0 0 0 0 MTU 1500 1500 1500 1500\n\n0 R ether1 1 R ether2 2 X wavelan1 3 X prism1 [admin@NAT] interface>\n\n如果你想使用这些设备，一般都需要启用，使用/interface enable name 指令给出接口名称或标号启用，例如：\n\n版权属于成都网大科技\n\n-6-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 [admin@NAT] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether ether RX-RATE 0 0 TX-RATE 0 0 MTU 1500 1500\n\n0 X ether1 1 X ether2\n\n[admin@NAT] interface> enable 0 [admin@NAT] interface> enable ether2 [admin@NAT] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether ether RX-RATE 0 0 TX-RATE 0 0 MTU 1500 1500\n\n0 R ether1 1 R ether2 [admin@NAT] interface>\n\n接口的名称能通过/interface set 指令来改变其描述：\n\n[admin@NAT] interface> set 0 name=Local; set 1 name=Public [admin@NAT] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether ether RX-RATE 0 0 TX-RATE 0 0 MTU 1500 1500\n\n0 R Local 1 R Public [admin@NAT] interface>\n\nSetup 指令\n当初始化路由器时，通过使用/setup 指令设置下列配置内容： • • • • • • • 重新设置路由器配置载入接口驱动配置 IP 地址和网关设置 DHCP 客户端设置 DHCP 服务端设置 pppoe 客户端设置 pptp 客户端\n\n使用 Setup 指令，在路由器上配置 IP 地址。\n执行/setup 指令行：\n\n版权属于成都网大科技\n\n-7-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 [admin@NAT] > setup Setup uses Safe Mode. It means that all changes that are made during setup are reverted in case of error, or if Ctrl-C is used to abort setup. To keep changes exit setup using the 'x' key. [Safe Mode taken] Choose options by pressing one of the letters in the left column, before dash. Pressing 'x' will exit current menu, pressing Enter key will select the entry that is marked by an '*'. You can abort setup at any time by pressing Ctrl-C. Entries marked by '+' are already configured. Entries marked by '-' cannot be used yet. Entries marked by 'X' cannot be used without installing additional packages. r - reset all router configuration + l - load interface driver * a - configure ip address and gateway d - setup dhcp client s - setup dhcp server p - setup pppoe client t - setup pptp client x - exit menu your choice [press Enter to configure ip address and gateway]: a\n\n配置 IP 地址和网关，输入 a 或[Enter]\n\n* a - add ip address - g - setup default gateway x - exit menu your choice [press Enter to add ip address]: a\n\n选择 a 添加一个 IP 地址，首先，设置程序将要询问你选择那一个接口添加 IP 地址，如果设置程序没有指定出，合适的接口，可以通过键入[Tab]两次，查看可选的接口。在接口选择后，分配 IP 地址和子网淹码：\n\nyour choice: a enable interface: ether1 ether2 wlan1 enable interface: ether1 ip address/netmask: 10.1.0.66/24 #Enabling interface /interface enable ether1 #Adding IP address /ip address add address=10.1.0.66/24 interface=ether1 comment="added by setup" 版权属于成都网大科技\n\n-8-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 + a - add ip address * g - setup default gateway x - exit menu your choice: x\n\n基本事例\n例如：\nA 假如你需要通过 NAT router 配置下面的网络：\n\n在当前的事例中我们使用到两个网络（公网和本地网络）： • • 本地网络使用地址为：192.168.0.0 子网淹码 24-bit（255.255.255.0）。路由器的地址在这个网络中为 192.168.0.254 ISP 的网络为 10.0.0.0 子网淹码 24-bit（255.255.255.0）。路由器的地址是在网络中为 10.0.0.217 通过下面的指令添加地址：\n\n[admin@NAT] ip address> add address 10.0.0.217/24 interface Public [admin@NAT] ip address> add address 192.168.0.254/24 interface Local [admin@NAT] ip address> print Flags: X - disabled, I - invalid, D - dynamic 版权属于成都网大科技 -9-\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 # 0 1 ADDRESS 10.0.0.217/24 192.168.0.254/24 NETWORK 10.0.0.217 192.168.0.0 BROADCAST 10.0.0.255 192.168.0.255 INTERFACE Public Local\n\n[admin@NAT] ip address>\n\n这里，子网淹码在 address 变量中指定，或者也可以通过在 netmask 变量中设置 255.255.255.0。网段和广播地址在输入时没有指定，这些可以由 RouterOS 自动计算出来。\n\n查看路由\n你可以看到两个带有动态 dynamic (D)和连接 connected (C)的路由，当地址添加后会在路由中自动添加动态路由:\n\n[admin@NAT] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, R - rip, O - ospf, B - bgp # DST-ADDRESS G GATEWAY r 0.0.0.0 r 0.0.0.0 DISTANCE INTERFACE 0 0 Local Public\n\n0 DC 192.168.0.0/24 1 DC 10.0.0.0/24\n\n[admin@NAT] ip route> print detail Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, R - rip, O - ospf, B - bgp 0 DC dst-address=192.168.0.0/24 preferred-source=192.168.0.254 gateway=0.0.0.0 gateway-state=reachable distance=0 interface=Local 1 DC dst-address=10.0.0.0/24 preferred-source=10.0.0.217 gateway=0.0.0.0 gateway-state=reachable distance=0 interface=Public [admin@NAT] ip route>\n\n添加默认路由\n在下面的事例中将添加默认路由(destination 0.0.0.0 (any), netmask 0.0.0.0 (any)) 。在这个事例中 ISP 的网关是 10.0.0.1，通过 Public 接口\n\n[admin@NAT] ip route> add gateway=10.0.0.1 [admin@NAT] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, R - rip, O - ospf, B - bgp # DST-ADDRESS G GATEWAY r 10.0.0.1 r 0.0.0.0 DISTANCE INTERFACE 1 0 Public Local\n\n0 S 0.0.0.0/0 1 DC 192.168.0.0/24\n\n版权属于成都网大科技\n\n- 10 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 2 DC 10.0.0.0/24 [admin@NAT] ip route> r 0.0.0.0 0 Public\n\n这里，默认路由被列入标号#0，同样我们看到，网关 10.0.0.1 能在接口'Public'通过。如果网关没有被正确的指定，'interface'变量值将会无法确定（unknown）\n\n测试网络连接\n从现在起，/ping 指令可以用来测试网络连接情况。\n\n[admin@NAT] ip route> /ping 10.0.0.4 10.0.0.4 byte ping: ttl=255 time=7 ms 10.0.0.4 byte ping: ttl=255 time=5 ms 10.0.0.4 byte ping: ttl=255 time=5 ms 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 5/5.6/7 ms [admin@NAT] ip route> [admin@NAT] ip route> /ping 192.168.0.1 192.168.0.1 byte ping: ttl=255 time=1 ms 192.168.0.1 byte ping: ttl=255 time=1 ms 192.168.0.1 byte ping: ttl=255 time=1 ms 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 1/1.0/1 ms [admin@NAT] ip route>\n\n如果路由器的地址 192.168.0.254 在 windows 工作站的 TCP/IP 协议中配置为默认网关，这时你就能 ping 通路由器\n\nC:\\>ping 192.168.0.254 Reply from 192.168.0.254: bytes=32 time=10ms TTL=253 Reply from 192.168.0.254: bytes=32 time<10ms TTL=253 Reply from 192.168.0.254: bytes=32 time<10ms TTL=253 C:\\>ping 10.0.0.217 Reply from 10.0.0.217: bytes=32 time=10ms TTL=253 Reply from 10.0.0.217: bytes=32 time<10ms TTL=253 Reply from 10.0.0.217: bytes=32 time<10ms TTL=253 C:\\>ping 10.0.0.4 Request timed out. Request timed out. Request timed out.\n\n版权属于成都网大科技\n\n- 11 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n注：你不能访问超过路由器的任何网络(10.0.0.0/24 的网络和 Internet)，你需要作下面的设置： • • 使用源地址翻译 (masquerading)，通过 NAT 路由隐藏你的私有网络 192.168.0.0/24 (查看下面的信息) 在 ISP 的网关 10.0.0.1 上添加静态路由，指明到目标地址 192.168.0.0/24 通过 10.0.0.217 的主机，这时所有在 ISP 上的网络主机，包括服务器，将能连接到你的私有网络。在设置路由时，你需要了解一些配置 TCP/IP 的网络知识，当你遇到配置网络安装困难时，我们建议你获取更多的网络技术知识。\n\n高级配置\n下面我将讨论隐藏'hiding'私有的 LAN192.168.0.0/24 在 ISP 给的 10.0.0.217 的背后。\n\n伪装的应用事例（Masquerading）\n如果你想隐藏'hiding'私有的 LAN192.168.0.0/24 在 ISP 给的 10.0.0.217 的背后，你需要使用 NAT 路由器的源地址翻译。伪装将改变源 IP 地址和数据包端口，即将 192.168.0.0/24\n\n改为 10.0.0.217 去回应 ISP 的网络。\n使用伪装时添加一条 source-NAT 规则在防火墙配置中，执行'masquerade',如下面：\n\n[admin@NAT] ip firewall src-nat> add action=masquerade out-interface=Public [admin@NAT] ip firewall src-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 out-interface=Public action=masquerade src-address=192.168.0.0/24\n\n[admin@NAT] ip firewall src-nat>\n\n注，需要了解更多的伪装知识，请参见网络地址翻译（NAT）\n\n带宽管理事例\n假设你想要所以的 LAN 内主机的下行带宽为 128kbps 和上行带宽为 kbps:\n\n[admin@NAT] queue simple> add max-limit=000/128000 interface=Local [admin@NAT] queue simple> print Flags: X - disabled, I - invalid, D - dynamic 0 name="queue1" target-address=0.0.0.0/0 dst-address=0.0.0.0/0\n\n版权属于成都网大科技\n\n- 12 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 interface=Local queue=default priority=8 limit-at=0/0 max-limit=000/128000 [admin@NAT] queue simple>\n\nNAT 事例\n假如我们将以前的服务器从公网移动到私网中去，并想让其他的公网来访问我们的服务器，这时就需要用到 NAT：\n\n现在服务器的地址是 192.168.0.4，并且我们在服务器上运行 80 端口监听 web 服务，我们想通过公网地址 10.0.0.217：80 端口访问该服务器，即我们就需要在 NAT 路由器上作静态的网络地址翻译(NAT) ,这样通过公网地址 10.0.0.217 端口 80 将数据传输到本地网络的 192.168.0.4:80，在目标地址上配置目标地址和端口：\n\n[admin@NAT] ip firewall dst-nat> add action=nat protocol=tcp \\ dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4 [admin@NAT] ip firewall dst-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 dst-address=10.0.0.217/32:80 protocol=tcp action=nat to-dst-address=192.168.0.4 [admin@NAT] ip firewall dst-nat>\n\n注，需要了解更多的 NAT 知识，请参见网络地址翻译（NAT）\n版权属于成都网大科技 - 13 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n保护你的 Router\n如何保护你的 Router，你将不只是修改你的 admin 的密码，另外还需要设置对数据包的过滤。所有数据包到达路由器将在/ip firewall rule input 中被再次处理，列如你可以在/ip firewall rule input 添加下列策略：\n/ip firewall rule input add connection-state=invalid action=drop comment="丢弃非法的连接" /ip firewall rule input add connection-state=established comment="允许建立连接 " /ip firewall rule input add connection-state=related \\comment="允许相关连接" /ip firewall rule input add protocol=udp comment="允许 UDP" /ip firewall rule input add protocol=icmp comment="允许 ICMP Ping" /ip firewall rule input add src-address=10.0.0.0/24 comment="允许来自我们本地网络的访问" /ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080 comment="这是为我们客户设置的 web proxy 服务" /ip firewall rule input add action=drop log=yes comment="记录并丢弃掉其他的数据"\n\n使用 /ip firewall rule input print packets 命令查看有多少被这些策略再一次处理，使用 reset-counters 命令清楚统计数据。审阅系统日志 /log print 可以看到那些一数据包被丢弃掉。\n\n系统管理\n基本信息\n现在指导你是如何使用指令执行下面的功能： • • • • • 系统备份系统通过备份文件还原导出配置导入配置系统复位\n\nNAT RouterOS 将配置备份为二进制文件，通过 FTP 访问路由器下载备份文件，并可以通过备份文件还原路由器设置。 T NAT RouterOS 通过导出配置可用打印出配置信息到终端控制的屏幕上或生成文本文件（脚本），同样使用 FTP 下载文件，导入配置则将脚本文本文件导入路由器。\n版权属于成都网大科技 - 14 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n系统复位是将所有的配置信息全部删除掉，在做此操作前，最好先将路由器的配置备份一次。注! 为了保证备份不会失败，请在将备份的文件恢复到同样的电脑和同样的硬件配置上去\n\n系统备份\n操纵路径：/system backup Save 指令是保存当前配置到一个备份文件中，显示文件在/file 目录中。在/system reset 复位系统后，上传备份文件到 RouterOS 中，并通过/system backup 中的 load 指令载入配置在还原系统配置\n\n指令描述\nload name=[filename] – 载入备份文件的配置 save name=[filename] – 保存当前的配置到文件中\n\n例如：\n将当前的配置保存到文件 test：\n\n[admin@NAT] system backup> save name=test Configuration backup saved [admin@NAT] system backup>\n\n在路由器中查看保存的文件：\n\n[admin@NAT] > file print # NAME 0 test.backup [admin@NAT] > TYPE backup SIZE 12567 CREATION-TIME aug/12/2002 21:07:50\n\n导入备份文件 test:\n\n[admin@NAT] system backup> load name=test Restore and reboot? [y/N]: y ...\n\n导出指令（Export）\n版权属于成都网大科技 - 15 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n指令名称：export Export 指令用于导出脚本配置信息，这个命令可以在任何目录被激活。export a 同样也可以通过 file 生成脚本配置文件，可用 FTP 下载下来。\n\n指令描述\nfrom=[number] – 指定需要导出的项目编号 file=[filename] – 保存的文件名称。\n\n例如：\n\n[admin@NAT] > ip address print Flags: X - disabled, I - invalid, D - dynamic # 0 1 ADDRESS 10.1.0.172/24 10.5.1.1/24 NETWORK 10.1.0.0 10.5.1.0 BROADCAST 10.1.0.255 10.5.1.255 INTERFACE bridge1 ether1\n\n[admin@NAT] >\n\n制作一个导出文件：\n\n[admin@NAT] ip address> export file=address [admin@NAT] ip address>\n\n制作一个仅一个项目的导出文件：\n\n[admin@NAT] ip address> export file=address1 from=1 [admin@NAT] ip address>\n\n在路由器中查看导出的文件：\n\n[admin@NAT] > file print # NAME 0 address.rsc 1 address1.rsc [admin@NAT] > TYPE script script SIZE 315 201 CREATION-TIME dec/23/2003 13:21:48 dec/23/2003 13:22:57\n\n在不创建导出文件名，使用同样的指令导出显示出配置内容：\n\n版权属于成都网大科技\n\n- 16 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 [admin@NAT] ip address> export from=0,1 # dec/23/2003 13:25:30 by RouterOS 2.8beta12 # software id = MGJ4-MAN # / ip address add address=10.1.0.172/24 network=10.1.0.0 broadcast=10.1.0.255 \\ interface=bridge1 comment="" disabled=no add address=10.5.1.1/24 network=10.5.1.0 broadcast=10.5.1.255 \\ interface=ether1 comment="" disabled=no [admin@NAT] ip address>\n\n导入指令\n操作路径：/import 在根目录使用/import file_name 指令还原指定的导出文件。这种还原是用于部分的配置丢失。注：导入指令不可能导入收有的路由器配置只能导入部分的配置如, firewall rules 中的策略\n\n指令描述\nfile=[filename] – 载入需要导入的路由器配置文件\n\n例如：\n使用下面的指令操作载入保存的配置文件：\n\n[admin@NAT] > import address.rsc Opening script file address.rsc Script file loaded successfully [admin@NAT] >\n\n复位\n操作路径：/system 这个指令将会清除掉路由器的所有配置，包括登陆的账号和密码（恢复为“admin“和空密码） IP 地址和其他配置将会被抹去，接口将会被禁用，在 reset 指令执行后路由器将会重起。\n\n版权属于成都网大科技\n\n- 17 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n看下面的接口列表：\n\n[admin@NAT] interface> print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether bridge ether wlan RX-RATE 0 0 0 0 TX-RATE 0 0 0 0 MTU 1500 1500 1500 1500\n\n0 R ether1 1 R bridge1 2 R ether2 3 R wlan1 [admin@NAT] interface>\n\n流量监视\n指令名称：/interface monitor-traffic\n\n注：\n可以监控通过接口的任何数据流量，并且能同时监视多个网卡的流量情况\n\n例如：\n多接口监视：\n\n[admin@NAT] interface> monitor-traffic ether1,wlan1 received-packets-per-second: 1 received-bits-per-second: 475bps sent-packets-per-second: 1 1 0 0bps\n\nsent-bits-per-second: 2.43kbps 198bps -- [Q quit|D dump|C-z pause]\n\n以太网接口\n基本信息\nNAT RouterOS支持各种以太网卡，完全支持的以太网卡型号在Device Driver List可以找到。\n\n功能规格\n版权属于成都网大科技 - 19 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n功能包需要：system 等级需要：Level1 操作路径：/interface ethernet 标准与技术协议: IEEE 802.3 硬件要求: Not significant\n\n以太网接口配置\n操作路径：/interface ethernet\n\n属性描述\nname (名称; 默认: etherN) – 分配接口名称。 arp (disabled | enabled | proxy-arp | reply-only; 默认: enabled) – 地址解析协议 mtu (整型; 默认: 1500) – 最大传输单位 disable-running-check (yes | no; 默认: yes) – 检测运行情况。 mac-address (只读: MAC 地址) – 以太网卡的介质访问地址 auto-negotiation (yes | no; 默认: yes) – 当启用，接口会获取最好的网络连接。 full-duplex (yes | no; 默认: yes) – 定义数据传输全双工 long-cable (yes | no; 默认: no) – 改变电缆传输的长度设置(只适用于 NS DP83815/6 卡). 电缆长度超过 50m，设置"long-cable=yes" speed (10 Mbps | 100 Mbps | 1000 Mbps) – 设置以太网的数据传输速度，参数由以太网卡支持的最大数据传输率确定。\n\n例如\n\n[admin@NAT] > interface print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether RX-RATE 0 TX-RATE 0 MTU 1500\n\n0 X ether1\n\n[admin@NAT] > interface enable ether1 [admin@NAT] > interface print Flags: X - disabled, D - dynamic, R - running # NAME TYPE ether RX-RATE 0 TX-RATE 0 MTU 1500\n\n0 R ether1\n\n[admin@NAT] > interface ethernet [admin@NAT] interface ethernet> print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP\n\n0 R ether1\n\n1500 00:0C:42:03:00:F2 enabled\n\n[admin@NAT] interface ethernet> print detail\n\n版权属于成都网大科技\n\n- 20 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 Flags: X - disabled, R - running 0 R name="ether1" mtu=1500 mac-address=00:0C:42:03:00:F2 arp=enabled disable-running-check=yes auto-negotiation=yes full-duplex=yes long-cable=no speed=100Mbps [admin@NAT] interface ethernet>\n\n接口状态监视\n指令名称：/interface ethernet monitor\n\n属性描述\nstatus (link-ok | no-link | unknown) – 接口的状态，情况为：\nlink-ok – 网卡以连接到网络 no-link – 网卡没有连接到网络 unknown – 连接未确认\n\nrate (10 Mbps | 100 Mbps | 1000 Mbps) – 实际的连接速率 auto-negotiation (done | incomplete) – 相邻连接的状态判断。\ndone – 判断完成 incomplete – 判断失败\n\nfull-duplex (yes | no) – 是否为全双工数据传输\n\n注\n怎样在接口上设置IP地址请看IP Addresses and ARP 。\n\n例如：\n\n[admin@NAT] interface ethernet> monitor ether1,ether2 status: link-ok link-ok auto-negotiation: done done\n\nrate: 100Mbps 100Mbps full-duplex: yes yes\n\nIP 地址与 ARP\n普通信息\n版权属于成都网大科技 - 21 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n下面的手册讨论 IP 地址管理和地址解析协议设置， IP 地址在连接其它网络的设备使用 TCP/IP 协议，依次在一个物理网络中连接两个设备，借助于地址解析协议和 ARP 地址。\n\n功能规格\n需要功能包：system 需要等级：Level1 操作路径：/ip address, /ip arp 标准与技术： IP, ARP 硬件应用：无要求\n\nIP 地址\n操作路径：/ip address 在 IP 网络中，IP 地址是确认每个主机地址为目的，一个典型的 IP 地址(IPv4)由 4 个 8 位组成适当的路由寻址还需要子网掩码值，即那一段完整的 IP 地址位访问主机地址，那一段到网络地址。在大多数事例中，需要具体指名地址、掩码和接口参数。网络起始范围和广播地址能被自动计算出来。能在一个接口上添加多个 IP 地址或在接口上不分配任何地址，当桥模式在两个接口间被使用，在物理接口上添加 IP 地址并不是必须的（此从 RouterOS 的 2.8 版本起）在桥模式的事例中，， IP 地址能分配给属于桥模式的任何接口，但实际上地址将属于桥接口。你能使用/ip address print detail 查看地址归属的接口。 NAT RouterOS 有下面的地址类型： • • Static – 用户手动分配给接口 Dynamic – 确定 ppp, ppptp, 或 pppoe 以连接，自动分配的接口\n\n属性描述\naddress (IP 地址) – 主机的 IP 地址 broadcast (IP 地址; 默认: 255.255.255.255) – 广播 IP 地址，通过默认 IP 地址和子网掩码自动计算出的 disabled (yes | no; 默认: no) – 指定那一个地址禁用或启用 interface (名称) – 接口名称 actual-interface (只读: 名称) – 仅适用于逻辑接口，像桥（bridges）或隧道（tunnels） netmask (IP 地址; 默认: 0.0.0.0) – 指明网络地址，属于一个 IP 地址的一部份。 network (IP 地址; 默认: 0.0.0.0) – IP 地址网段。点对点连接时，网段到远端地址结束。\n\n注：\n版权属于成都网大科技 - 22 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n你不能有两个不同的 IP 地址来至相同的网段，例如：10.0.0.1/24 地址分配到 ether1 接口上，并且 10.0.0.132/24 地址分配到 ether2 接口上，这样是非法的。因为这两个地址属于同一个网段 10.0.0.0/24。\n\n例如：\n添加 IP 地址 10.10.10.1/24 到 ether2 接口上\n\n[admin@NAT] ip address> add address=10.10.10.1/24 interface=ether2 [admin@NAT] ip address> print Flags: X - disabled, I - invalid, D - dynamic # 0 1 2 ADDRESS 2.2.2.1/24 10.5.7.244/24 10.10.10.1/24 NETWORK 2.2.2.0 10.5.7.0 10.10.10.0 BROADCAST 2.2.2.255 10.5.7.255 10.10.10.255 INTERFACE ether2 ether1 ether2\n\n[admin@NAT] ip address>\n\n地址解析协议\n操作路径：/ip arp 尽管 IP 数据包对话通过 IP 地址，但硬件地址必须使用实际的传输数据从一个主机到另一个，通过地址解析协议从 OSI 第 3 层解析第 2 层的 MAC 地址。一个路由器会有一个当前 ARP 登记表，通常这个表是建立为动态，但为增强网络安全性，建立一个静态的即添加静态的 ARP。\n\n属性描述\naddress (IP 地址) – 相应的 IP 地址 interface (名称) – 被分配 IP 地址的接口名称 mac-address (MAC 地址; 默认: 00:00:00:00:00:00) – 相应的 MAC 地址\n\n注：\n最大的 ARP 的登记数为 1024. 如果 ARP 功能在接口上被关闭，例如：使用 arp=disabled，来至客户端的 ARP 请求将不被路由器回应，因此必须添加静态的 ARP 才行。例如，通过 arp 命令将路由器的 IP 和 MAC 地址必须添加到 windows 工作站中：\n\n版权属于成都网大科技\n\n- 23 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 C:\\> arp -s 10.5.8.254 00-aa-00-62-c6-09\n\n如果在接口上的 arp 属性设置为 reply-onlyo，这时路由器只应答来至 ARP 的请求。邻近的 MAC 地址将通过/ip arp 设置唯一的静态 ARP 列表。\n\n例如：\n\n[admin@NAT] ip arp> add address=10.10.10.10 interface=ether2 mac-address=06:21:00:56:00:12 [admin@NAT] ip arp> print Flags: X - disabled, I - invalid, H - DHCP, D - dynamic # ADDRESS MAC-ADDRESS INTERFACE\n\n0 D 2.2.2.2 1 D 10.5.7.242 2 10.10.10.10\n\n00:30:4F:1B:B3:D9 ether2 00:A0:24:9D:52:A4 ether1 06:21:00:56:00:12 ether2\n\n[admin@NAT] ip arp>\n\n如果在一个接口上使用静态 ARP 记录会使网络更安全，你必须将该接口上的 arp 设置为 'reply-only' ，相关操作在下面的/interface 目录中：\n\n[admin@NAT] ip arp> /interface ethernet set ether2 arp=reply-only [admin@NAT] ip arp> print Flags: X - disabled, I - invalid, H - DHCP, D - dynamic # ADDRESS MAC-ADDRESS INTERFACE\n\n0 D 10.5.7.242 1 10.10.10.10\n\n00:A0:24:9D:52:A4 ether1 06:21:00:56:00:12 ether2\n\n[admin@NAT] ip arp>\n\nARP 代理\n所有的物理接口，像以太网、Atheros和Prism (wireless), Aironet (PC), WaveLAN等，都可设置地址解析协议或不设置。其他则可设置使用ARP代理。如果ARP请求是从一个网络的主\n\n机发往另一个网络上的主机，那么连接这两个网络的路由器就可以回答该请求，这个过程称作委托ARP或ARP代理(ProxyARP)。这样可以欺骗发起ARP请求的发送端，使它误以为路由器就是目的主机，而事实上目的主机是在路由器的“另一边”。路由器的功能相当于目的主机的代理，把分组从其他主机转发给它\n\n例如：\n版权属于成都网大科技 - 24 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n看下列的网络配置：\n\n下面是 NAT Router 设置：\n\nadmin@NAT] ip arp> /interface ethernet print Flags: X - disabled, R - running # NAME MTU MAC-ADDRESS ARP\n\n0 R eth-LAN\n\n1500 00:50:08:00:00:F5 proxy-arp\n\n[admin@NAT] ip arp> /interface print Flags: X - disabled, D - dynamic, R - running # 0 1 NAME eth-LAN prism1 TYPE ether prism pppoe-in pppoe-in MTU 1500 1500\n\n2 D pppoe-in25 3 D pppoe-in26\n\n[admin@NAT] ip arp> /ip address print Flags: X - disabled, I - invalid, D - dynamic # 0 ADDRESS 10.0.0.217/24 NETWORK 10.0.0.0 10.0.0.230 10.0.0.231 BROADCAST 10.0.0.255 0.0.0.0 0.0.0.0 INTERFACE eth-LAN pppoe-in25 pppoe-in26\n\n1 D 10.0.0.217/32 2 D 10.0.0.217/32\n\n[admin@NAT] ip arp> /ip route print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, R - rip, O - ospf, B - bgp # DST-ADDRESS G GATEWAY r 10.0.0.1 DISTANCE INTERFACE 1 eth-LAN\n\n0 S 0.0.0.0/0\n\n版权属于成都网大科技\n\n- 25 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 1 DC 10.0.0.0/24 2 DC 10.0.0.230/32 3 DC 10.0.0.231/32 [admin@NAT] ip arp> r 0.0.0.0 r 0.0.0.0 r 0.0.0.0 0 0 0 eth-LAN pppoe-in25 pppoe-in26\n\nProxy-ARP 有哪些优点? 最主要的一个优点就是能够在不影响其他 router 的路由表的情况下在网络上添加一个新的 router,这样使得子网的变化对主机是透明的 proxy ARP 应该使用在主机没有配置默认网关或没有任何路由策略的网络上 proxy-ARP 带来的哪些负面影响? 1.增加了某一网段上 ARP 流量 2.主机需要更大的 ARP table 来处理 IP 地址到 MAC 地址的映射 3.安全问题,比如 ARP 欺骗(spoofing) 4.不会为不使用 ARP 来解析地址的网络工作 5.不能够概括和推广网络拓扑\n\nDHCP 客户端与服务\n基本信息\nDHCP (动态主机分配协议)是在一个网络中 IP 地址的分发协议。NAT RouterOS 包括两部分服务端和客户端。 IP 地址能通过静态租约绑定 MAC 地址。\n\n快速设置向导\n这个事例中将告诉你在 NAT RouterOS 中如何设置 DHCP-Server 和 DHCP-Client • 一个 DHCP-Server 的设置。 1. 创建 IP 地址池\n\n/ip pool add name=dhcp-pool1 ranges=172.16.0.10-172.16.0.20\n\n2. 添加一个 DHCP 网络 172.16.0.0/12 ，并分配一个网关 IP 地址 172.16.0.1 给 DHCP 客户端：\n\n/ip dhcp-server network add address=172.16.0.0/12 gateway=172.16.0.1\n\n版权属于成都网大科技\n\n- 26 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n3. 最后，添加一个 DHCP 服务器：\n\n/ip dhcp-server add interface=wlan1 address-pool=dhcp-pool\n\n•\n\nDHCP-Client 的设置 1. 添加 DHCP 客户端：\n\n/ip dhcp-client set interface=wlan1 enabled=yes\n\n2. 检查拟得到的一个租约：\n\n[admin@DHCP-Client] ip dhcp-client lease> print\n\nstatus: bound address: 172.16.0.20/12 gateway: 172.16.0.1 dhcp-server: 192.168.0.1 primary-dns: 159.148.147.194 expires: jun/24/2004 19:11:12\n\n[admin@DHCP-Client] ip dhcp-client lease>\n\n功能说明\n功能包需要：dhcp 等级需要：Level1 操作路径：/ip dhcp-client, /ip dhcp-server, /ip dhcp-relay 标准与协议标准：DHCP DHCP 是分配 IP 地址给 IP 的客户端。DHCP 服务器一直监视 UDP 的 67 端口，DHCP 客户端监视 UDP68。DHCP 在开始协商时会使用 0.0.0.0 的源地址或 255.255.255.255 的目标地址发送广播地址，你能在 firewall 中察觉到。\n\nDHCP-Client 设置\n操作路径: /ip dhcp-client NAT RouterOS DHCP-client 在一个以太网卡上启用，client 将接受一个地址、子网掩码、默认网关和两个 DNS 服务器地址。收到的 IP 和子网掩码将添加到选择的网卡上，默认网关将添\n\n版权属于成都网大科技\n\n- 27 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n加到路由表中的动态项目，如果 DHCP-client 被禁用或没有更新一个地址，动态路由将自动删除。\n\n属性描述\nadd-default-route (yes | no; 默认: yes) – 是否添加指定的 DHCP 服务器的默认路由 client-id (文本) – 与 administraor 或 ISP 相符合的参数 enabled (yes | no; 默认: no) – 是否启用 DHCP 客户端 host-name (文本) – 客户端的主机名 interface (名称; 默认: (unknown)) – 任何以太网 interface (这包括 wireless 和 EoIP 隧道) use-peer-dns (yes | no; 默认: yes) – 是否接受 DHCP 服务器的 DNS 的设置(将会添加到/ip dns 中)\n\n命令描述\nrenew – 更新当前的租约，如果更新操作没有成功，客户端将试着初始化租约。\n\n事例\n在 ether1 interface 启用 DHCP-client：\n\n[admin@NAT] ip dhcp-client> set enabled=yes interface=ether1 [admin@NAT] ip dhcp-client> print enabled: yes interface: ether1 host-name: "" client-id: "" add-default-route: yes use-peer-dns: yes [admin@NAT] ip dhcp-client>\n\nDHCP 基本向导设置\n指令名称: /ip dhcp-server setup\n\n向导内容\ndhcp server interface (名称) – 运行 DHCP 服务器的 interface\n\n版权属于成都网大科技\n\n- 28 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\ndhcp address space (IP 地址/掩码; 默认: 192.168.0.0/24) – DHCP 服务器将出租给客户端的网络地址段 gateway (IP 地址; 默认: 0.0.0.0) – 分配给客户端的网关地址 dhcp relay (IP 地址; 默认: 0.0.0.0) – 在 DHCP 服务器与 DHCP 客户端的 DHCP 接力的 IP 地址 addresses to give out (文本) – DHCP 服务器分配给客户端的 IP 地址池 dns servers (IP 地址) – 分配给 DHCP 客户端的 DNS 服务器地址 lease time (时间; 默认: 3d) – 使用的租期时间\n\n事例\n配置 DHCP 服务器在 ether1 interface 上，并分配给 10.0.0.2 到 10.0.0.254 的网络地址段，设置网关为 10.0.0.1，DNS 服务器为 159.148.60.2，租约时间为 3 天：\n\n[admin@NAT] ip dhcp-server> setup 选择 DHCP 服务器运行的 interface\n\ndhcp server interface: ether1 选择 DHCP 网络地址段\n\ndhcp address space: 10.0.0.0/24 设置网关地址\n\ngateway for dhcp network: 10.0.0.1 选择 IP 地址池给 DHCP 服务器\n\naddresses to give out: 10.0.0.2-10.0.0.254 设置 DNS 服务器\n\ndns servers: 159.148.60.2 设置租约时间\n\nlease time: 3d [admin@NAT] ip dhcp-server>\n\n在上面向导中设置的内容，通过命令查看如下：\n\n[admin@NAT] ip dhcp-server> print Flags: X - disabled, I - invalid # 0 NAME dhcp1 INTERFACE RELAY ether1 0.0.0.0 ADDRESS-POOL LEASE-TIME ADD-ARP dhcp_pool1 3d no\n\n[admin@NAT] ip dhcp-server> network print\n\n版权属于成都网大科技\n\n- 29 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 # ADDRESS 0 10.0.0.0/24 GATEWAY 10.0.0.1 DNS-SERVER 159.148.60.2 WINS-SERVER DOMAIN\n\n[admin@NAT] ip dhcp-server> /ip pool print # NAME 0 dhcp_pool1 [admin@NAT] ip dhcp-server> RANGES 10.0.0.2-10.0.0.254\n\n路由、负载均衡、策略路由配置\n基本信息\n下面的手册概述了 IP 路由的管理，ECMP（equal-cost multi-path）路由技术和策略路由等，具体使用哪一种路由方式，需要根据用户网络情况来选择。\n\n操作规则\n需要功能包: system 软件等级: Level1 操作路径: /ip route, /ip policy-routing 技术标准: IP (RFC 791)\n\n概述\nNAT RouterOS 有下列类型的路由： • • 动态连接路由是当在一个网卡上添加了 IP，会自动创建一个动态的路由。静态路由是用户自定义将数据传输到指定的网络去的路由，这需要指定默认的网关。\n\n当添加一个 IP 地址后，会自动创建一个动态的路由连接，你不需要手动添加连接路由器的路由配置，除非你使用一些路由协议（RIP 或 OSPF）你就需要定义静态路由到指定的网络，或指定默认网关。当使用在到一个目标网络多于一个网关时，可以称为“Equal-Cost Multi-Path Routing”即将其作负载均衡。每一对新的源/目标 IP 会选择一个新的网关。例如，一个 FTP 仅使用一个连接，但当一个新连接到不同的服务器就会使用其他的连接。添加多网关的静态路由（格式如：gateway=x.x.x.x,y.y.y.y）路由协议会建立动态的多路路由。\n\n版权属于成都网大科技\n\n- 30 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n静态路由\n操作路径：/ip route\n\n属性描述\ndst-address (IP 地址/掩码; 默认: 0.0.0.0/0) – 目标地址和子网掩码 netmask (IP 地址) – 子网掩码 gateway (IP 地址) – 网关主机地址 preferred-source (IP 地址; 默认: 0.0.0.0) – 数据包的源地址段。 distance (整型; 默认: 1) – 路由的路径跳跃数管理. gateway-state (只读: r | u) – 显示到下一个路由节点的状态，显示为：r (reachable)或 u (unreachable) (unknown) – 不能直接到达网关，或是路由被禁用\n\n注：\n你在路由中可以指定两个或多个网关，这称为（Equal-cost multipath routing）而且你可以在路由表中重复设置一种类型的网关多次。如果有多个公共接口或多个地址在任何一个接口上，这时策略路由和负责均衡如果使用了伪装（masquerading），将可能不能正确工作。为避免这个问题，使用 action=nat 替代 action=masquerade。\n\n例如：\n在一个路由器上有两个网卡和两个 IP 地址，添加两个静态路由到网络地址 192.168.0.0/16 和 0.0.0.0/0 (默认的目标地址路由) on a router with two interfaces and two IP addresses:\n\n[admin@NAT] ip route> add dst-address=192.168.0.0/16 gateway=10.10.10.2 [admin@NAT] ip route> add gateway 10.10.10.1 [admin@NAT] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY r 10.10.10.2 r 10.10.10.1 r 0.0.0.0 DISTANCE INTERFACE 1 1 0 Local Public Public\n\n0 S 192.168.0.0/16 1 S 0.0.0.0/0 2 DC 10.10.10.0/24\n\n[admin@NAT] ip route> print detail Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp 0 S dst-address=192.168.0.0/16 preferred-source=0.0.0.0 gateway=10.10.10.2 gateway-state=reachable distance=1 版权属于成都网大科技 - 31 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 interface=Local 1 S dst-address=0.0.0.0/0 preferred-source=0.0.0.0 gateway=10.10.10.1 gateway-state=reachable distance=1 interface=Public 2 DC dst-address=10.10.10.0/24 preferred-source=10.10.10.1 gateway=0.0.0.0 gateway-state=reachable distance=0 interface=Public [admin@NAT] ip route>\n\n设置 192.168.0.0/16 的网段，到达外部网络的网关为 10.10.10.2 和 10.10.10.254 两个网关。\n\n[admin@NAT] ip route> set 0 gateway=10.10.10.2,10.10.10.254 [admin@NAT] ip route> print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, r - rip, o - ospf, b - bgp # DST-ADDRESS G GATEWAY r 10.10.10.2 r 10.10.10.254 1 S 0.0.0.0/0 2 DC 10.10.10.0/24 [admin@NAT] ip route> r 10.10.10.1 r 0.0.0.0 1 0 DISTANCE INTERFACE 1 Local Local Public Public\n\n0 S 192.168.0.0/16\n\n路由表\n操作路径:/ip policy-routing 策略路由允许通过选择路由的方式分配用户访问网络资源，这个功能使用多个路由表维护，并由规则表来指定怎样在表中执行。中策略路由能处理基于源和目标地址的数据包，当数据包到达路由器后，并由防火墙对这些数据包进行筛选。当找到路由数据包后，如果没有匹配的数据与这些规则相匹配的数据包将一个接一个的被处理，包，如那些在不能到达目的的路由和执行其他相应的操作（数据包被丢弃和 ICMP 错误的发送源）如果路由表没有路由给这个相应的数据包，会送到下一个规则去查寻，直至被找到，除非是无法到达的路由或是被防火墙拒绝的数据包。但最好在规则表中添加一条“从任何地址到任何地址，所以接口，在 main 表中查寻”，因为有些数据包无法找到。路由表通过将路由规则组织在一起，以便于管理。这个表在/ip policy-routing 目录中进行创建和删除的管理。\n\n版权属于成都网大科技\n\n- 32 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n例如\nMain 表总是存在的，这个表是不能被删除和更改名称的。Main 表管理着/ip route 目录选项：\n\n[admin@NAT] ip policy-routing> table main [admin@NAT] ip policy-routing table main> print Flags: X - disabled, I - invalid, D - dynamic, R - rejected # 0 1 TYPE DST-ADDRESS G GATEWAY r 192.168.0.50 r 10.0.0.1 r 0.0.0.0 r 0.0.0.0 1 0 0 DISTANCE INTERFACE 1 Local Public Local Public\n\nstatic 192.168.1.0/24 static 0.0.0.0/0\n\n2 D connect 192.168.0.0/24 3 D connect 10.0.0.0/24\n\n[admin@NAT] ip policy-routing table main> [admin@NAT] ip policy-routing table main> /ip route print Flags: X - disabled, I - invalid, D - dynamic, J - rejected, C - connect, S - static, R - rip, O - ospf, B - bgp # DST-ADDRESS G GATEWAY r 192.168.0.50 r 10.0.0.1 r 0.0.0.0 r 0.0.0.0 1 0 0 DISTANCE INTERFACE 1 Local Public Local Public\n\n0 S 192.168.1.0/24 1 S 0.0.0.0/0 2 DC 192.168.0.0/24 3 DC 10.0.0.0/24\n\n[admin@NAT] ip policy-routing table main>\n\n添加一个新的表，命名为 mt：\n\n[admin@NAT] ip policy-routing> add name=mt [admin@NAT] ip policy-routing> print Flags: D - dynamic # 0 NAME mt\n\n1 D main [admin@NAT] ip policy-routing>\n\n添加路由到网络 To add the route to the 10.5.5.0/24 network via 10.0.0.22 gateway to the mt table:\n\n[admin@NAT] ip policy-routing> table mt [admin@NAT] ip policy-routing table mt> add dst-address=10.5.5.0/24 \\ \\... gateway=10.0.0.22 [admin@NAT] ip policy-routing table mt> print\n\n版权属于成都网大科技\n\n- 33 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 Flags: X - disabled, I - invalid, D - dynamic, R - rejected # 0 TYPE DST-ADDRESS G GATEWAY r 10.0.0.22 DISTANCE INTERFACE 1 Public\n\nstatic 10.5.5.0/24\n\n[admin@NAT] ip policy-routing table mt>\n\n策略路由\n操作路径：/ip policy-routing rule\n\n属性描述\nsrc-address (IP 地址和掩码) – 源 IP 地址/掩码 dst-address (IP 地址和掩码) – 目标 IP 地址/掩码 interface (name | all; 默认: all) – 数据通过的接口名称 flow (name; 默认: "") – 与这条规则定义的 flow 相配置的数据包。添加 flow 在 '/ip firewall mangle' commands action (drop | unreachable | lookup; 默认: unreachable) – 与这条规则数据包相符的处理方式：\ndrop – 丢弃掉数据包 unreachable – 恢复对方的目标主机无法到达 lookup – 在给定的路由表中查寻路由\n\nNotes\n在策略路由中不能承认来至 P2P 传输的第一个数据包，只有在已经建立连接的才能通过，即对于源 NAT 来说 P2P 不同于普通的传输，这样 P2P 是不会工作（一般的应用方法是策略路由重定向正常的传输到一条线路，而 P2P 传输通过其他线路）可以通过另外一中方法来解决：使不属于 P2P 传输走一个网关，但其他的传输通过另一个网关，换句话说，指定部分协议（例如： HTTP, DNS, POP3）通过网关 A，仅定义所以 P2P 使用网关 B(谁走那个网关并不重要，重要的是 P2P 协议在一条线路上)\n\n例如：\n添加所以来自 10.0.0.144 主机的数据包在 mt 路由表中查寻：\n\n[admin@NAT] ip policy-routing rule> add src-address=10.0.0.144/32 \\ \\... table=mt action=lookup [admin@NAT] ip policy-routing rule> print Flags: X - disabled, I - invalid # SRC-ADDRESS DST-ADDRESS - 34 INTE... FLOW ACTION TABLE\n\n版权属于成都网大科技\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 0 1 0.0.0.0/0 10.0.0.144/32 0.0.0.0/0 0.0.0.0/0 all all lookup lookup main mt\n\n[admin@NAT] ip policy-routing rule>\n\n应用事例\n标准策略路由设置\n假设我们想让来至 1.1.1.0/24 的数据包使用 10.0.0.1 的网关，数据包来至 2.2.2.0/24 的主机使用网关 10.0.0.2 ，剩余的数据包进过网关 10.0.0.254:\n\n操作步骤分别如下：添加三个新的路由表，一个给本地网络 1.1.1.0/24,，一个为 2.2.2.0/24 的网络，剩下其他的网络为 0.0.0.0/0:\n\n[admin@NAT] ip policy-routing> add name=from_net1; add name=from_net2; add name=rest [admin@NAT] ip policy-routing> print Flags: D - dynamic # 0 1 NAME from_net1 from_net2\n\n版权属于成都网大科技\n\n- 35 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 2 rest\n\n3 D main\n\n[admin@NAT] ip policy-routing>\n\n在每个路由表中创建默认路由：\n\n[admin@NAT] ip policy-routing> table from_net1 add gateway=10.0.0.1 [admin@NAT] ip policy-routing> table from_net2 add gateway=10.0.0.2 [admin@NAT] ip policy-routing> table rest add gateway=10.0.0.254 [admin@NAT] ip policy-routing> table from_net1 print Flags: X - disabled, I - invalid, D - dynamic, R - rejected # 0 TYPE DST-ADDRESS G GATEWAY u 10.0.0.1 DISTANCE INTERFACE 1 Public\n\nstatic 0.0.0.0/0\n\n[admin@NAT] ip policy-routing> [admin@NAT] ip policy-routing> table from_net2 print Flags: X - disabled, I - invalid, D - dynamic, R - rejected # 0 TYPE DST-ADDRESS G GATEWAY u 10.0.0.2 DISTANCE INTERFACE 1 Public\n\nstatic 0.0.0.0/0\n\n[admin@NAT] ip policy-routing> [admin@NAT] ip policy-routing> table rest print Flags: X - disabled, I - invalid, D - dynamic, R - rejected # 0 TYPE DST-ADDRESS G GATEWAY u 10.0.0.254 DISTANCE INTERFACE 1 Public\n\nstatic 0.0.0.0/0\n\n[admin@NAT] ip policy-routing>\n\n将上面的源地址添加到我们希望的路由表中去：\n\n[admin@NAT] ip policy-routing> rule [admin@NAT] ip policy-routing rule> print Flags: X - disabled, I - invalid # 0 SRC-ADDRESS 0.0.0.0/0 DST-ADDRESS 0.0.0.0/0 INT... FLOW all ACTION lookup\n\n[admin@NAT] ip policy-routing rule> add src-address=1.1.1.0/24 \\ \\... action=lookup table=from_net1 [admin@NAT] ip policy-routing rule> add src-address=2.2.2.0/24 \\ \\... action=lookup table=from_net2 [admin@NAT] ip policy-routing rule> add src-address=0.0.0.0/0 \\ \\... action=lookup table=rest [admin@NAT] ip policy-routing rule> print Flags: X - disabled, I - invalid 版权属于成都网大科技 - 36 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 # 0 1 2 3 SRC-ADDRESS 0.0.0.0/0 1.1.1.0/24 2.2.2.0/24 0.0.0.0/0 DST-ADDRESS 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 INTERFACE all all all all FLOW ACTION lookup lookup lookup lookup TABLE main from_net1 from_net2 rest\n\n[admin@NAT] ip policy-routing rule>\n\n定义游戏端口通过策略路由选择线路\n假定传奇端口是 7000，先在/ip firewall manlge 中定义一个 flow 名为 CQ，然后在设定 dst-port 的端口为 7000 。具体如： /ip firewall manlge add dst-port=7000 flow-mark=CQ，当定义完端口进入路由表，指定线路传奇的线路在 from_net1 表中查询。\n[admin@NAT] ip policy-routing rule> add flow=CQ action=lookup [admin@NAT] ip policy-routing rule> print Flags: X - disabled, I - invalid # 0 1 SRC-ADDRESS 0.0.0.0/0 0.0.0.0/0 DST-ADDRESS 0.0.0.0/0 0.0.0.0/0 INTE... FLOW all all CQ ACTION lookup lookup TABLE main from_net1\n\n[admin@NAT] ip policy-routing rule>\n\n也可以将该规则移动到 main 规则上，不用在最后添加一个空路由表：\n[admin@NAT] ip policy-routing rule> move 1 0 [admin@NAT] ip policy-routing rule> print Flags: X - disabled, I - invalid # 0 1 SRC-ADDRESS 0.0.0.0/0 0.0.0.0/0 DST-ADDRESS 0.0.0.0/0 0.0.0.0/0 INTE... FLOW all all CQ ACTION lookup lookup TABLE from_net1 main\n\n[admin@NAT] ip policy-routing rule>\n\n光纤和 ADSL 负载平衡的实例\n基本情况：用户有两条 INTERNET 线路，一条是使用光纤，另一条是使用 ADSL。使用 IP 伪装使一个局域网共享上网。ROUTER Router 共有 3 块网卡，WAN1 用于 ADSL，WAN2 用于光纤， LAN 用于连接终端。目的：实现负载平衡，并且在其中一条线路断掉后自动切换为单线路，线路恢复后，继续使用负载平衡。\n版权属于成都网大科技\n\n- 37 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司实施： 1、配置光纤线路在/ip address 中为光纤线路配置 IP 地址，子网掩码。 /ip address add address 61.139.77.77 mask 24 interface WAN2 2、配置 ADSL 线路 /interface pppoe-client 配置 ADSL 拨号信息。 /interface pppoe-client add name pppoe-line1 service CHN-Telecom/ user 以 c999@166 password 123 interface WAN1 use-peer-dns yes mtu 1942 mru 1942 3、配置 IP 伪装 /ip firewall src-Router add action masquerade /ip firewall mangle add protocol tcp tcp-options syn-only tcp-mss 1448 4、配置路由 /ip route add dst 0.0.0.0/0 gat 61.139.77.1,218.88.32.1 (注:61.139.77.1 为光纤的网关，218.88.32.1 则为 ADSL 的网关） /ip route add dst 61.139.88.105/32 get 218.88.32.1(注：如果 ADSL 连通后 PING 不通网关的话，才加这条，如果 PING 得通则不须要。） 5、配置自动切换脚本 /system script add name="downadsl" source="/in pppoe-client dis [/in pppoe-client find name pppoe-lin owner="admin" policy=reboot,read,write,policy,test /system script add name="up" source="/ip route set[/ip route find dst 0.0.0.0] gateway 61.139.73.1,218.88.32.1 owner="admin" policy=reboot,read,write,policy,test /system script add name="downf" source="/ip route set[/ip route find dst 0.0.0.0] gateway 218.88.32.1 owner="admin" policy=reboot,read,write,policy,test 6、配置 NETWATCH 用于监视网络的通断情况。 /tool netwatch add host=61.157.88.105 timeout=1s interval=5s up-script=up down-script=downadsl （注：61.157.88.105 是监视 ADSL 是否通的 IP，也可以是 ADSL 的网关。） /tool netwatch add host=61.139.73.1 timeout=1s interval=5s up-script=up down-script=downf\n\n网络地址翻译（NAT）\n基本信息\n网络地址翻译(NAT)提供了隐藏本地网络使其能正常访问公共网络。并且通过 NAT 还能添加如透明代理服务功能。\n\n版权属于成都网大科技\n\n- 38 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n快速设置向导\n• 让我们考虑下面的一个私有网络 192.168.0.0/24，通过 Public 接口的一个公网地址连接互联网，并将私有网络伪装：\n\n[admin@NAT] ip firewall src-nat> add src-address=192.168.0.0/24 out-interface=Public action=masquerade\n\n•\n\n再让我们考虑我们的一个 web 服务器 192.168.0.2 在我们的私有网 192.168.0.0/24 中，将访问路由器公网地址 10.5.8.104 的的 HTTP 数据重定向到我们的 web 服务器上：\n\n[admin@NAT] ip firewall dst-nat> add dst-address=10.5.8.104/32 dst-port=80 to-dst-address=192.168.0.2 protocol=tcp action=nat\n\nSpecifications\n功能包需要：system 等级需要：Level1 操作路径：/ip firefall src-nat, /ip firewall dst-nat 标准和技术协议： IP\n\nNAT划分：网络地址翻译分为两种功能： • 源 NAT（Source NAT）这种类型的 NAT 用于隐藏私有网络，改变转发 IP 数据包的源地址 • 目标 NAT（Destination NAT）通过内部的网络向公共网络提供相应的服务。能完成如透明代理的附加功能，改变转发 IP 数据包的目标地址。当数据包被 dst-nat 调用（不管是 action=nat 还是 action=redirect），目标地址都会被改变。关于地址翻译信息一直保存在路由器的内部表中（包括最原始的目标地址）。透明 web 代理工作时访问这个内部的信息表（当 web 请求被重定向到代理端口上），并得到 web 服务器的地址。\n\n版权属于成都网大科技\n\n- 39 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n注：\n如果你想使用 NAT，Connection-Tracking 功能(/ip firewall connection tracking) 必须被启用。\n\n源 NAT（Source NAT）\n源 NAT 是一种防火墙功能，将私有网络隐藏在 IP 地址的背后。例如，如果你有多台电脑使用一个 ISP 的网络，但 ISP 只给你一个 IP 地址去访问互联网，则源 NAT 将改变来至私有网络的源 IP 数据包的地址和端口，通过路由器连接到外部网络。\n\n属性描述\ndst-address (IP 地址; 默认: 0.0.0.0/0:0-65535) – 目标 IP 地址 src-address (IP 地址; 默认: 0.0.0.0/0:0-65535) – 源 IP 地址 flow – 相匹配的 flow 标记。只有在 mangle 中对数据包作标记才能配置。 limit-time (时间; 默认: 0) – 时间间隔。 protocol (ah | all | ddp | egp | encap | esp | ggp | gre | hmp | icmp | idpr-cmtp | igmp | ipencap | ipip | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp; 默认: any) – 协议设置\nall – 如果你想配置数据包的端口，该选项是不能使用。\n\nicmp-options - ICMP 选项 content (文本; 默认: "") – 定义匹配的包含相应文本数据包规则 comment (文本; 默认: "") – 规则的注释描述 connection (文本; 默认: "") – 连接到匹配的标记 limit-burst (整型; 默认: 0) – 在 limit-time 时间周期内允许分段的 limit-count limit-count (整型; 默认: 0) – 指定在 limit-time 时间周期内执行多少次 src-netmask (IP 地址) -源地址子网掩码 src-port (整型: 0..65535) -源端口号或长度\n0 - means all ports from 0 to 65535\n\ndst-netmask (IP 地址) – 目标地址子网掩码 dst-port (整型: 0..65535) – 目标端口和长度\n0 - 从 0-65535 的所有端口\n\ntos (any | max-reliability | max-throughput | min-cost | min-delay | normalinteger; 默认: any) – 指明一条匹配的 Type-of-Service 的 IP 数据包。 action (accept | masquerade | nat; 默认: accept) -负责执行数据包相匹配的 src-nat 规则, 分别由如下：\naccept -接受数据包并不负责任何处理 masquerade – 在路由器中使用伪装 masquerading 是用来代替源地址和端口的数据包。 to-src-address 地址是可以不用指明的 nat – 执行网络地址翻译，to-src-address 应被指明\n\nout-interface (名称; 默认: all) – 数据包离开路由器的 interface\n版权属于成都网大科技 - 40 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\nall -可以包括本地回环的数据包目的地是路由器的 interface\n\nto-dst-address (IP 地址; 默认: 0.0.0.0) – 代替原来的目标 IP 地址 to-dst-port (整型: 0..65535; 默认: 0-65535) – 代替原来的目标端口\n\n事例\n使用伪装 masquerading, action=masquerade 为一条源 NAT 规则，在 src-nat 中添加规则：\n\n[admin@test_1] ip firewall src-nat> add src-address=192.168.0.0/24 \\ \\... out-interface=wlan1 action=masquerade [admin@test_1] ip firewall src-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 src-address=192.168.0.0/24:0-65535 dst-address=0.0.0.0/0:0-65535 out-interface=wlan1 protocol=all icmp-options=any:any flow="" connection="" content="" limit-count=0 limit-burst=0 limit-time=0s action=masquerade to-src-address=0.0.0.0 to-src-port=0-65535 [admin@test_1] ip firewall src-nat>\n\n如果数据包与 masquerade 规则相匹配，这时路由器将打开一个目标连接，并发送出修改后的 IP 地址和端口分配给这个连接。路由将一直跟踪相关的伪装连接，并执行数据的反伪装。如果你想要改变源地址和端口为指定的地址和端口，是用 action=nat 代替 action=masquerade ：\n\n[admin@test_1] ip firewall src-nat> add src-address=192.168.0.1/32 out-interface=wlan1 action=nat to-src-address=1.1.1.1 [admin@test_1] ip firewall src-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 src-address=192.168.0.1/32:0-65535 dst-address=0.0.0.0/0:0-65535 out-interface=wlan1 protocol=all icmp-options=any:any flow="" connection="" content="" limit-count=0 limit-burst=0 limit-time=0s action=nat to-src-address=1.1.1.1 to-src-port=0-65535 [admin@test_1] ip firewall src-nat>\n\nDestination NAT\n操作路径: /ip firewall dst-nat 当在从一个私有网络到外面的网络中，你需要给访问的服务提供定位，就会使用到 Redirection 和 destination NAT\n版权属于成都网大科技 - 41 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\nProperty Description\ndst-address (IP 地址; 默认: 0.0.0.0/0:0-65535) – 目标 IP 地址 src-address (IP 地址; 默认: 0.0.0.0/0:0-65535) – 源 IP 地址 flow – 匹配的 flow 标记. 仅在 mangle 中定义数据包后才可以选择。 limit-time (时间; 默认: 0) – 时间间隔。 protocol (ah | all | ddp | egp | encap | esp | ggp | gre | hmp | icmp | idpr-cmtp | igmp | ipencap | ipip | iso-tp4 | ospf | pup | rdp | rspf | st | tcp | udp | vmtp | xns-idp | xtp; 默认: any) – 协议设置\nall – 如果你想定义数据的端口，这个值是不能被使用的。\n\nicmp-options – ICMP 选项 content (文本; 默认: "") – 定义匹配的包含相应文本数据包规则 comment (文本; 默认: "") – 规则的注释描述 connection (文本; 默认: "") – 连接到匹配的标记 limit-burst (整型; 默认: 0) – 在 limit-time 时间周期内允许分段的 limit-count limit-count (整型; 默认: 0) – 指定在 limit-time 时间周期内执行多少次 src-netmask (IP 地址) – 源地址子网掩码 src-port (整型: 0..65535) – 源端口号或长度\n0 – 从 0-65535 的所有端口\n\ndst-netmask (IP 地址) – 目标子网掩码 dst-port (整型: 0..65535) – 目标端口号或长度\n0 - 从 0-65535 的所有端口\n\ntos (any | max-reliability | max-throughput | min-cost | min-delay | normalinteger; 默认: any) – 指明一条匹配的 Type-of-Service 的 IP 数据包。 action (accept | redirect | nat; 默认: accept) – 负责执行数据包相匹配的 dst-nat 规则，分别由如下：\naccept – 接受数据包并不负责任何处理 redirect – 重定向路由器本地地址：端口，如在 to-dst-address 变量值没有记录，并没有指定，这时路由器的本地地址会被使用 nat – 执行网络地址翻译\n\nin-interface (名称; 默认: all) –数据包进入路由器的 interface\nall – 可以包括本地回环的数据包目的地是路由器的 interface\n\nto-dst-address (IP 地址; 默认: 0.0.0.0) – 代替原来的目标 IP 地址 to-dst-port (整型: 0..65535; 默认: 0-65535) – 代替原来的目标端口 src-mac-address (MAC 地址; 默认: 00:00:00:00:00:00) – 收到来至主机的 MAC 地址数据包\n\n事例\n这个事例描述了如何添加 dst-NAT 规则，通过地址 10.0.0.217 访问本地网络的 http 服务器 192.168.0.4：\n\n版权属于成都网大科技\n\n- 42 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 [admin@NAT] ip firewall dst-nat> add action=nat protocol=tcp \\ \\... dst-address=10.0.0.217/32:80 to-dst-address=192.168.0.4 [admin@NAT] ip firewall dst-nat> print Flags: X - disabled, I - invalid, D - dynamic 0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=10.0.0.217/32:80 protocol=tcp icmp-options=any:any flow="" connection="" content="" src-mac-address=00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=nat to-dst-address=192.168.0.4 to-dst-port=0-65535 [admin@NAT] ip firewall dst-nat>\n\nDNS 与 DNS 缓存\n基本信息\nDNS 缓存是使用最小的 DNS 请求时间连接到外部的 DNS 服务器，这相当于一个简单的本地 DNS 服务。\n\n功能说明\n需要功能包: system 需要等级: Level1 操作路径: /ip dns 标准与技术协议: DNS\n\nClient 配置与缓存设置\n操作路径: /ip dns\n\n属性描述\nallow-remote-requests (yes | no) – 是否允许指定远程网络的请求 primary-dns (IP 地址; 默认: 0.0.0.0) – 首选 DNS 服务器 secondary-dns (IP 地址; 默认: 0.0.0.0) – 备用 DNS 服务器 cache-size (整型: 512..10240; 默认: 2048 kB) – 指定 DNS 缓存的长度单位为 KB\n版权属于成都网大科技\n\n- 43 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\ncache-max-ttl (时间; 默认: 7d) – 指定缓存记录的最大存活周期 cache-used (只读:整型) – 显示当前使用的缓存大小 KB\n\nNotes\n如果/ip dhcp-client 属性下的 use-peer-dns 设置为 yes，这时/ip dns 下的 primary-dns 将会改变，并修改 DHCP 服务的 DNS 设置。\n\n事例\n设置首选 DNS 服务器为 159.148.60.2：\n\n[admin@NAT] ip dns> set primary-dns=159.148.60.2 [admin@NAT] ip dns> print resolve-mode: remote-dns primary-dns: 159.148.60.2 secondary-dns: 0.0.0.0 [admin@NAT] ip dns>\n\n缓存状态\n操作路径: /ip dns cache\n\n属性描述\nname (只读: 名称) – 主机的 DNS 名称 address (只读: IP 地址) – 主机 IP 地址 ttl (时间) – 剩余的存活周期\n\n静态 DNS\n操作路径: /ip dns static NAT RouterOS 在 DNS 缓存中嵌入了 DNS 服务器的一些特征，如通过使用路由器的 DNS 作域名解析 IP 地址。\n\n属性描述\nname (文本) – 分配给 IP 地址的 DNS 名称。\n版权属于成都网大科技 - 44 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\naddress (IP 地址) – 分配给域名的 IP 地址\n\n事例\n为www.example.com域名添加静态DNS，IP地址是 10.0.0.1：\n\n[admin@NAT] ip dns static> add name www.example.com address=10.0.0.1 [admin@NAT] ip dns static> print # NAME 0 aaa.aaa.a 1 www.example.com [admin@NAT] ip dns static> ADDRESS TTL\n\n123.123.123.123 1d 10.0.0.1 1d\n\n刷新 DNS 缓存\n操作指令: /ip dns cache flush\n\n指令属性\nflush – 清除内部 DNS 的缓存 clears internal DNS cache\n\nExample\n\n[admin@NAT] ip dns> cache flush [admin@NAT] ip dns> print primary-dns: 159.148.60.2 secondary-dns: 0.0.0.0 allow-remote-requests: no cache-size: 2048 kB cache-max-ttl: 7d cache-used: 10 kB [admin@NAT] ip dns>\n\n带宽控制\nInterface 默认队列\n版权属于成都网大科技 - 45 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\n操作路径：/queue interface\n\n属性描述\ninterface (名称) – interface 名称 queue (名称; 默认: default) –interface 的默认队列\n\nExample\n改变 wlan1 interface 的默认对列类型为 wireless-default ：\n\n[admin@NAT] queue interface> print # INTERFACE 0 ether1 1 wlan1 QUEUE default default\n\n[admin@NAT] queue interface> set wlan1 queue=wireless-default [admin@NAT] queue interface> print # INTERFACE 0 ether1 1 wlan1 [admin@NAT] queue interface> QUEUE default wireless-default\n\n配置 Simple Queues\n操作路径: /queue simple Simple queues 用于管理通过一个 interface 的流量或肯定的源或目的地址，更多的复杂的队列设置就需要使用 queue trees\n\n属性描述\nburst-limit (文本; 默认: 0/0) – 最大允许在表单中数据率的分段的进/出。 burst-threshold (文本; 默认: 0/0) – 在表单中平均分段起点进/出 burst-time (文本; 默认: 0/0) – 在表单中分段时间的进/出 burst time in form of in/out dst-address (IP 地址掩码) – 目标 IP 地址 interface (名称) – 传输流发出的 interface limit-at (文本; 默认: 0/0) – 保留流动的数据率(bits/s)的进/出 max-limit (文本; 默认: 0/0) – 最大流动的数据率(bits/s)的进/出 name (名称; 默认: queue1) – 队列名称 priority – 数据流的优先级，1 是最高优先级\n版权属于成都网大科技\n\n- 46 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\nqueue (名称; 默认: default) – 队列类型。 target-address (IP 地址掩码) – 的目标 IP 地址(源地址) total-burst-limit (文本; 默认: 0) – 最大允许总的分段（双向的）数据率(bits/s) total-burst-threshold (文本; 默认: 0) – 总的平均分段起点(bits/s) total-burst-time (文本; 默认: 0) – 总分段时间 total-limit-at (整型; 默认: 0) – 总的保留流动的数据率(bits/s) total-max-limit (整型; 默认: 0) – 总的最大流动的数据率(bits/s)\n\n注：\nmax-limit 必须等于或大于 limit-at，Queue 规则在列表中处理是按照依次出现的顺序执行。如果规则设置为 0，即意思为给规则被忽略。\n\n例如：\n添加一个 simple queue，在 ether1 interface 上，将 192.168.0.0/24 的下行为 128000 bits 每秒，上行传输为 000 bits 每秒：\n\n[admin@NAT] queue simple> add dst-address=192.168.0.0/24 interface=ether1 max-limit=000/128000 [admin@NAT] queue simple> print Flags: X - disabled, I - invalid, D - dynamic 0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.0.0/24 interface=ether1 queue=default priority=8 limit-at=0/0 max-limit=000/128000 [admin@NAT] queue simple>\n\n配置 Queue Trees\n操作路径：/queue tree queue trees 使用在当你需要对基于协议、端口和 IP 地址分组等更复杂的数据流\n\n属性描述\nburst-limit (文本; 默认: 0) - 最大允许在表单中数据率的分段 burst-threshold (文本; 默认: 0) - 在表单中平均分段起点 burst-time (文本; 默认: 0) – 允许多长的分段。 flow (名称; 默认: "") – 添加到队列中数据包的流标记。 limit-at (整型; 默认: 0) – 的数据流(bits/s)\n版权属于成都网大科技\n\n- 47 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司\n\nmax-limit (整型; 默认: 0) – 最大数据流(bits/s) name (名称; 默认: queueN) – 队列名称描述 parent (名称) – 父系队列的名称。最高级的父类一般为 interfaces ，较低的父类可用是其他的队列。\nglobal-in – 匹配的所有传入的数据 global-out – 所有发出的数据\n\npriority – 流优先级，1 是最高级 queue (名称; 默认: default) – 队列类型\n\n例如：\n将所有来至 web 服务器(TCP port 80)的传输数据标记为 abc-http ：\n\n[admin@NAT] ip firewall mangle> add action=passthrough mark-flow=abc-http protocol=tcp target-port=80 [admin@NAT] ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 target-address=:80 protocol=tcp action=passthrough mark-flow=abc-http\n\n[admin@NAT] ip firewall mangle>\n\n在 queue trees 中添加命令/queue tree add ：\n\n[admin@NAT] queue tree> add name=HTTP parent=ether1 flow=abc-http \\ max-limit=128000 [admin@NAT] queue tree> print Flags: X - disabled, I - invalid, D - dynamic 0 name="HTTP" parent=ether1 flow=abc-http limit-at=0 queue=default priority=8 max-limit=128000 burst-limit=0 burst-threshold=0 burst-time=0 [admin@NAT] queue tree>\n\n配置防火墙策略\n操作路径：/ip firewall rule (类型名)\n\n防火墙过滤策略类型： Input：是对进入路由器的数据包进行处理和让不违反规则的进入路由器的数据包通过。 Output：是处理源于路由器的数据包和离开一个接口的数据包。 Forward：是处理通过路由器的数据包。\n[admin@Router] ip firewall> print\n\n版权属于成都网大科技\n\n- 48 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 # NAME 0 input 1 forward 2 output [admin@Router] ip firewall> POLICY accept accept accept\n\n如我们想拒绝数据包进入 23 端口：\n[admin@Router] ip firewall rule input> add dst-port=23 protocol=tcp action=reject [admin@Router] ip firewall rule input> print Flags: X - disabled, I - invalid 0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=0.0.0.0/0:23 out-interface=all protocol=tcp icmp-options=any:any tcp-options=any connection-state=any flow="" sconnection="" content="" rc-mac-address= 00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=reject log=no [admin@Router] ip firewall rule input>\n\n在 firewall rule 中如何定义 action：\n\naccept – 接受数据包通过，此为默认设置； drop – 丢弃掉数据包； jump – 跳转到指定值； passthrough –忽略这条策略； reject – 拒绝数据包，发送拒绝请求； return – 返回到前一策略；例如，对冲击波病毒的防范：不允许冲击波病毒的 135 端口通过。\n[admin@Router] ip firewall rule forward> add dst-port=135 protocol=tcp action=drop [admin@Router] ip firewall rule forward> print Flags: X - disabled, I - invalid 0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=0.0.0.0/0:135 out-interface=all protocol=tcp icmp-options=any:any tcp-options=any connection-state=any flow="" sconnection="" content="" rc-mac-address= 00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=drop log=no [admin@Router] ip firewall rule forward>\n\n过滤策略并记录如对上一条的冲击波策略做记录：\n[admin@Router] ip firewall rule forward > print Flags: X - disabled, I - invalid\n\n版权属于成都网大科技\n\n- 49 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n

成都网大科技有限公司 0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=0.0.0.0/0:135 out-interface=all protocol=tcp icmp-options=any:any tcp-options=any connection-state=any flow="" sconnection="" content="" rc-mac-address= 00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=drop log=no [admin@Router] ip firewall rule forward> set 0 log=yes [admin@Router] ip firewall rule forward> print Flags: X - disabled, I - invalid 0 src-address=0.0.0.0/0:0-65535 in-interface=all dst-address=0.0.0.0/0:135 out-interface=all protocol=tcp icmp-options=any:any tcp-options=any connection-state=any flow="" sconnection="" content="" rc-mac-address= 00:00:00:00:00:00 limit-count=0 limit-burst=0 limit-time=0s action=drop log=yes\n\nBridge\n普通信息\nMAC 层的以太网桥、EoIP 、Prism、Atheros 和 RadioLAN 等都是支持的。所有 802.11b 和 802.11a 客户端的无线网卡（如 station 模式的无线）受 802.11 的无法支持桥模式，但可以通过 EoIP 协议的桥接方式实现。为防止环路出现在网络中，可以使用生成树协议(STP) ，这个协议同样使冗余线路成为可能。包括特征如下： • • • • • 生成树协议(STP) 多桥接接口功能该协议能选择转发或者丢弃能实时监控 MAC 地址桥防火墙\n\n快速设置向导\n将 ether1 和 ether2 放入一个桥中。 1. 添加一个桥，被命名为 MyBridge:\n\n/interface bridge add name="MyBridge" disabled=no\n\n版权属于成都网大科技\n\n- 50 -\n\nwww.mikrotik.com.cn Edit:YuS\n\n\r\n下载本文

显示全文

全部频道