2017年8月27日 星期日

ROS虛擬路由VRRP一個網卡發兩組DHCP

RB450g或RB850gx2都有5個孔位,有時不夠用
今天我們練習用一個實體網卡,分成兩個虛擬路由界面VRRP
選擇VRRP


選好實體網卡,設定id編號

第二個界面

設定虛擬路由界面網址

設定第二虛擬路由界面網址

ip > dhcp server

第二個虛擬路由Vrrp2一同樣方式設定Dhcp server



完成了,ROS真棒的虛擬路由界面功能

你可能會想,謂何不用切Vlan方式,Vlan也是可以達到一個實體網卡分多組Dhcp,但下流設備要有L2以上的switch接收網路資料封包才行,一般便宜的switch無法認得vlan發出的資料封包,就會被丟棄,形成無法連線狀態。



以上分享,若有錯誤請來信請教,謝謝~
hnps@hnps.chc.edu.tw



2017年8月21日 星期一

ROS整合第二外線


江明熹  老師提供

學術網路及第二條專線在RouterOS策略性路由的設定方式
一、第二條專線pppoe設定方式:
1. ip > Interfaces > +
2.pppoe client
3. General選單內Name自訂,Interfaces選要接第二條線路的port


4. Dial Out選單內的UserPassword請依廠商提供的資料輸入,預設Add Default Route有勾選,請改為不要勾選,然後按OK即完成撥接設定。

二、說明:本校目前學術網路及第二條專線的設定採策略性路由方式來走。電腦教室及班級的網段走學術網路出去,行政網路的網段如要到縣網的網段163.23.200163.23.253就走學術網路出去,其餘校外的網段就走第二條專線出去,如此一來就可以做到網路分流的目標,以下就針對本校在RosterOS上的設定作說明。
三、首先要設定一標記的規則,方式如下:ip > firewall > mangle +
  1.General選單內的Chainprerouting,如下圖所示

  2.Advanced選單內的Src.Address List:輸入自訂名稱(例如:mylan)、Dst.Address List:輸入自訂名稱(例如:Server-Site),另外在Dst.Address List後方的白色方塊用滑鼠左鍵點一下,使其出現驚嘆號,如下圖所示。
說明:mylan為校內各網段ipServer-Site為校外網段ipDst.Address List後方的驚嘆號表示NOT
  3.Action選單內Actionmark routingNew Routing Mark:輸入自訂名稱(例如:FTTX),如下圖所示。
  說明:New Routing Mark的名稱只是註記標記名稱而已,可自行命名。
  4.OK儲存。
四、再來要設定校內ip網段及校外ip網段,方式如下:ip > firewall > Address List +
  1.先設定校內ip網段:NamemylanAddress:輸入校內ip網段(例如:192.168.1.0/24),如下圖所示。
  說明:Name為上個步驟Src.Address List上所輸入的名稱。
2.再來設定校外ip網段:NameServer-SiteAddress:輸入校外ip網段(例如:163.23.200.0/24),如下圖所示。
  說明:Name為上個步驟Dst.Address List上所輸入的名稱。


五、接下來要針對校內ip網段新增一組pppoeNAT偽裝,設定方式如下:ip > firewall > NAT +
1.General選單內的Chainsrnatout interface選第二條專線pppoe連線名稱,如下圖所示

2.Advanced選單內的Src.Address List:輸入校內網段的Address List名稱(依據上個步驟新增校內網段的Address List名稱,例如:mylan),如下圖所示。

3.Action選單內Actionmasquerade,如下圖所示。
4.OK儲存。
六、最後多設定一組預設路由,方式如下:ip > Routes +
1.Dst.Address輸入0.0.0.0/0Geteway選第二條專線pppoe連線名稱(例如:pppoe-out1),Routing Mark:選第一個步驟設定的New Routing Mark的名稱(例如:FTTX),如下圖所示。
六、以上是整個設定的流程,如此一來我們只要將行政網段設定到Address List mylan內,縣網的網段設定到Address List Server-Site內,那就可以做到要去縣網的網段163.23.200163.23.253就走學術網路出去,其餘校外的網段就走第二條專線出去。
說明:因本校內部有分好幾個網段,因此建議要將校內各網段也設定到Address List Server-Site內,才不會造成Address List mylan內的網段找不到校內其他網段的情形。
七、如要測試對外的路由可用所附的WinMTR軟體來測試。
說明:在Host內打入要測試的網址即會列出經過的路由。

2017年8月19日 星期六

ROS虛擬路由

ROS使用Vlan的模式,下游的網路設備也要有支持802.1Q的功能(一般的L2 switch就有此功能,一般的switch無法解析上游的vlan封包)


採用vlan可以實現 單孔多撥ADSL或光纖帳號的功能   但L2的設備比一般的switch貴,環境設定也一大堆,我們可以採用 Ros的虛擬網卡功能,搭配一般的switch 、Hub就能達到 同一網卡孔位,接受多組不同的網路電信商帳號。


不同的VRRP它的 vrid設不一樣

沒給IP呈現紅色


建好虛擬路由界面 要給一組沒用到的IP 才能啟用



RouterOs防止迴圈功能

RouterOS:v6.37rc25 以上的版本,加入網卡介面防止迴圈的功能。以Rb450G和Rb850gx2為例,如果第5port啟用防止迴圈功能,此port下的網路連線若發生迴圈情形,Ros會自動停用此port,避免全部網路都癱瘓。

 打開方式:Loop Protect 選擇 on


TheDude網路監控軟體設定

mikrotik.新版的TheDude軟體要搭配RouterOs的theDude server套件才能使用。除了自動掃描,我們也可以手動加入要監視的網路設備(例如無線AP,如果各縣市可以利用這種免費軟體監視各校的無線AP,我們就不用買貴森森的無線控制器
不只是監視自己內部的無線設備,我們也可以監看外面對外公開的網路設備(網站、伺服器...等)



回到網路圖觀看


TheDude網路監控軟體

mikrotik.的TheDude軟體非常出色,原本已經停頓一陣子沒有更新,最近RouterOs出現新的TheDude伺服器套件,可以搭配TheDude客戶端軟體使用。
以下是RouterOs支持TheDude伺服器套件的機型

裝好TheDude伺服器套件,按settings啟用

勾選Enable
客戶端(一般電腦window系統)
下載安裝

https://www.mikrotik.com/download


輸入ROS位址


掃描網段並產生網路拓撲圖