Ros韌體停在5.x版請更新韌體

採用ROS的朋友，若韌體停在5.x版

最好更新一下

有學校被攻擊 還被偷開最高帳號

自己檢查一下 system > users 有無新增其他帳號

若有刪掉其他帳號 admin要換一下密碼

另外 system > script 要檢查有無被值入程序

ROS6.40版後的DHCP服務

說明教學下載

pppoe撥接一台電腦只允許一個連入

PPPoE（point to point protocal over Ethernet）

乙太網上的對等協定，是將對等協定（PPP）封裝在乙太網（Ethernet）框架中的一種網路隧道協定。

ppp

常用在兩節點間建立直接的連線，並可以提供連線認證、傳輸加密以及壓縮。

由於協定中整合PPP協定，所以實現出傳統乙太網不能提供的身分驗證、加密以及壓縮等功能，也可用於纜線數據機（cable modem）和數位用戶線路路（DSL）等以乙太網協定向用戶提供接入服務的協定體系。

本質上，它是一個允許在乙太網 廣播域中的兩個乙太網介面間建立對等隧道的協定。

PPPoE不使用ARP協議，不會產生ARP資訊，可以杜絕ARP攻擊。

位址解析協定 (ARP) 是通過解析網路層位址來找尋資料鏈路層位址的一個在網路協定包中極其重要的網路傳輸協定。

ARP是通過網路位址(例：IPv4)來定位MAC位址 (也稱為乙太位址)。 ARP已經在很多網路層和資料連結層之間得以實現。

PPPoE不會改變原來的局域網拓撲結構，可減輕網管人員工作量。

a01--RouterOs內部架站的轉址設定

有些時候，我們喜歡利用虛擬IP架設網站，但又想要外面也可以訪問得到這台伺服器。
這時，就需要利用Nat轉址。Ros內建轉址功能。
範例：
對外公開的網址 163.23.55.66
內部真正的伺服器網址192.168.2.156

RouterOs啟用代理伺服器proxy---方便管理電腦教室

電腦教室的網路管理是資訊組龐大的業務之一

如果您有使用RouterOs，建議可以啟用代理
伺服器proxy---方便管理電腦教室
以下介紹簡單啟用步驟

設定網頁瀏覽規則
範例：國內教育性質的網站，都允許  *.edu.tw
Ros的代理伺服器規則，最大好處是host名稱，接受*萬用字元
＊意思是全部

放置一些允許的規則後
最後面加一條 全部禁止的規則
這樣，只有教師允許的優良網站，學生才能瀏覽
往後要新增允許的網站，就放在這一條前面即可

教師機不用受管制
所以上面新增一條，教師機完全通過的規則

新版Rb450g與Rb850x2沒有master port

網卡master port 

以前只要勾選此項目，就能串連不同port
例如 你port2 和port3要串連起來，讓他們互通
你可以在port3勾選port2的網卡即可


新版Rb450g與Rb850x2沒有master port 了（我找不到）
你得透過橋接的方式

將要串接的port都放入同一個 Bridge

ROS虛擬路由VRRP一個網卡發兩組DHCP

RB450g或RB850gx2都有5個孔位，有時不夠用
今天我們練習用一個實體網卡，分成兩個虛擬路由界面VRRP

選擇VRRP

選好實體網卡，設定id編號

第二個界面

設定虛擬路由界面網址

設定第二虛擬路由界面網址

ip > dhcp server

第二個虛擬路由Vrrp2一同樣方式設定Dhcp server

完成了，ROS真棒的虛擬路由界面功能

你可能會想，謂何不用切Vlan方式，Vlan也是可以達到一個實體網卡分多組Dhcp，但下流設備要有L2以上的switch接收網路資料封包才行，一般便宜的switch無法認得vlan發出的資料封包，就會被丟棄，形成無法連線狀態。



以上分享，若有錯誤請來信請教，謝謝～
hnps@hnps.chc.edu.tw

ROS整合第二外線

江明熹  老師提供

學術網路及第二條專線在RouterOS策略性路由的設定方式

一、第二條專線pppoe設定方式：

1. ip > Interfaces > +

2.選pppoe client

3. General選單內Name自訂，Interfaces選要接第二條線路的port。

4. Dial Out選單內的User及Password請依廠商提供的資料輸入，預設Add Default Route有勾選，請改為不要勾選，然後按OK即完成撥接設定。

二、說明：本校目前學術網路及第二條專線的設定採策略性路由方式來走。電腦教室及班級的網段走學術網路出去，行政網路的網段如要到縣網的網段163.23.200及163.23.253就走學術網路出去，其餘校外的網段就走第二條專線出去，如此一來就可以做到網路分流的目標，以下就針對本校在RosterOS上的設定作說明。

三、首先要設定一標記的規則，方式如下：ip > firewall > mangle +

　　1.General選單內的Chain選prerouting，如下圖所示

　　2.Advanced選單內的Src.Address List：輸入自訂名稱（例如：mylan）、Dst.Address List：輸入自訂名稱（例如：Server-Site），另外在Dst.Address List後方的白色方塊用滑鼠左鍵點一下，使其出現驚嘆號，如下圖所示。

說明：mylan為校內各網段ip，Server-Site為校外網段ip，Dst.Address List後方的驚嘆號表示NOT。

　　3.Action選單內Action選mark routing、New Routing Mark：輸入自訂名稱（例如：FTTX），如下圖所示。

　　說明：New Routing Mark的名稱只是註記標記名稱而已，可自行命名。

　　4.按OK儲存。

四、再來要設定校內ip網段及校外ip網段，方式如下：ip > firewall > Address List +

　　1.先設定校內ip網段：Name選mylan，Address：輸入校內ip網段（例如：192.168.1.0/24），如下圖所示。

　　說明：Name為上個步驟Src.Address List上所輸入的名稱。

2.再來設定校外ip網段：Name選Server-Site，Address：輸入校外ip網段（例如：163.23.200.0/24），如下圖所示。

　　說明：Name為上個步驟Dst.Address List上所輸入的名稱。

五、接下來要針對校內ip網段新增一組pppoe的NAT偽裝，設定方式如下：ip > firewall > NAT +

1.General選單內的Chain選srnat，out interface選第二條專線pppoe連線名稱，如下圖所示

2.Advanced選單內的Src.Address List：輸入校內網段的Address List名稱（依據上個步驟新增校內網段的Address List名稱，例如：mylan），如下圖所示。

3.Action選單內Action選masquerade，如下圖所示。

4.按OK儲存。

六、最後多設定一組預設路由，方式如下：ip > Routes +

1.Dst.Address輸入0.0.0.0/0，Geteway選第二條專線pppoe連線名稱（例如：pppoe-out1），Routing Mark：選第一個步驟設定的New Routing Mark的名稱（例如：FTTX），如下圖所示。

六、以上是整個設定的流程，如此一來我們只要將行政網段設定到Address List 的mylan內，縣網的網段設定到Address List 的Server-Site內，那就可以做到要去縣網的網段163.23.200及163.23.253就走學術網路出去，其餘校外的網段就走第二條專線出去。

說明：因本校內部有分好幾個網段，因此建議要將校內各網段也設定到Address List 的Server-Site內，才不會造成Address List 的mylan內的網段找不到校內其他網段的情形。

七、如要測試對外的路由可用所附的WinMTR軟體來測試。

說明：在Host內打入要測試的網址即會列出經過的路由。

ROS虛擬路由

ROS使用Vlan的模式，下游的網路設備也要有支持802.1Q的功能（一般的L2 switch就有此功能，一般的switch無法解析上游的vlan封包）

採用vlan可以實現 單孔多撥ADSL或光纖帳號的功能   但L2的設備比一般的switch貴，環境設定也一大堆，我們可以採用 Ros的虛擬網卡功能，搭配一般的switch 、Hub就能達到 同一網卡孔位，接受多組不同的網路電信商帳號。

不同的VRRP它的 vrid設不一樣

沒給IP呈現紅色

建好虛擬路由界面 要給一組沒用到的IP 才能啟用

RouterOs防止迴圈功能

RouterOS:v6.37rc25 以上的版本，加入網卡介面防止迴圈的功能。以Rb450G和Rb850gx2為例，如果第5port啟用防止迴圈功能，此port下的網路連線若發生迴圈情形，Ros會自動停用此port，避免全部網路都癱瘓。

 打開方式：Loop Protect 選擇 on

TheDude網路監控軟體設定

mikrotik.新版的TheDude軟體要搭配RouterOs的theDude server套件才能使用。除了自動掃描，我們也可以手動加入要監視的網路設備（例如無線AP，如果各縣市可以利用這種免費軟體監視各校的無線AP，我們就不用買貴森森的無線控制器）

不只是監視自己內部的無線設備，我們也可以監看外面對外公開的網路設備（網站、伺服器...等）

回到網路圖觀看