王文峰

(无锡市体育彩票管理中心,江苏无锡 214072)

0 前言

RouterOS是拉脱维亚Mikrotik公司研发的一款功能强大的基于Linux内核路由器操作系统软件,具备高性能数据包转发能力,并提供了丰富的网络功能。在中小企业组建网络工程中,可以将RouterOS安装到VMware ESXi虚拟机平台,部署在互联网出口处,实现专业级防火墙路由器的功能,包括内部计算机访问互联网、VPN远程互联、端口映射和服务器Internet公网发布等多种网络服务。

1 VMware ESXi安装RouterOS虚拟机的主要步骤

以戴尔PowerEdge R900服务器为例,安装VMware ESXi5.5虚拟化基础环境后,通过vClient客户端登录ESXi主机。上传RouterOS镜像包mikrotik-5.20-clone.iso文件至服务器datastore1存储器,新建一个虚拟机命名为ROS520。由于ESXi系列虚拟机环境无RouterOS的客户系统列表,可以为虚拟客户机操作系统选择一个“RedHat Enterprise Linux(32位)”类型,该Linux类型与RouterOS 5.20版本保持虚拟环境的兼容。分配ROS520虚拟硬件资源,包括:1G内存、2核处理器、1G存储空间的IDE硬盘和2个虚拟网络适配器。2块虚拟网络适配器与物理服务器的2个物理网卡接口vmnic0和vmnic1一一对应,采用1000兆全双工的工作模式。一个虚拟网卡用于连接ISP运营商提供的光纤宽带设备,另一个虚拟网卡用于连接内部网络的核心交换机。虚拟网络适配器1对应网络标签VM Network,虚拟的网络适配器2对应网络标签VM Network2。在虚拟网络中,VM Network连接标准交换机vSwitch0, VM Network2连接标准交换机vSwitch1,如图1所示。数据存储ISO文件中加载安装镜像文件,启用“打开电源时连接”,运行虚拟机ROS520即开启了安装模式。在系统安装时,除了wireless无线模块不必选择外,其他功能模块都选择默认安装。

图1 虚拟网络配置Fig.1 Virtual network configuration

2 RouterOS软件路由器的基本配置

2.1 winbox控制台登录RouterOS

winbox控制台客户端软件采用了 TCP协议的8291端口,支持 IP 地址、域名和 MAC 地址等多种方式登陆管理路由器。基于VMware ESXi虚拟机方式安装完成RouterOS后,两个虚拟网卡还没有任何IP地址参数。因此可以在内网中同一个广播域的任一计算机端运行winbox工具侦测RouterOS内部网卡的MAC物理地址,通过网卡MAC地址方式初次登录软路由,默认管理帐号为admin,初始密码为空。提高路由器的安全保密性,在New Terminal窗口执行配置命令password修改密码,建议配置同时包含大小写字母、数字和特殊字符任意组合的足够长度的密码。采用Secure Mode安全模式,在winbox和RouterOS之间使用Transport Layer Security协议登录,登录RouterOS后即可配置软件路由器的各类网络参数。

2.2 配置RouterOS虚拟网卡参数

RouterOS虚拟部署在企业与互联网出口处,主要起到防火墙路由器的作用。虚拟网卡的参数与企业实际的网络拓扑有关,物理网卡1接网线到光猫,物理网卡2接网线到核心交换机,确保物理链路层的可靠连接。为了区别虚拟网卡的功能应用,将接入外部网络的网卡命名为wan,接入内部网络的网卡命名为lan。具体方法是在winbox菜单列表中进入Interfaces,修改ether1为wan,修改ether2为lan。网卡均启用ARP的enable功能、1Gbps传输速率和全双工模式。进入winbox菜单列表中IP里面的Addresses,将外部网络的网卡地址设置为公网IP,输入子网掩码的位数、网络地址,选择Interface接口为wan。将内部网络的网卡地址设置为192.168.1.254,输入子网掩码的位数24位、网络地址192.168.1.0,选择Interface接口为lan。至此,两块虚拟网卡的网络参数基本配置完成。

2.3 配置默认路由、伪装与DNS服务器

为了使局域网计算机连接到互联网,需要配置默认路由。进入winbox菜单列表中IP里面的Routes,添加默认网关,目标地址是0.0.0.0/0,网关地址就是ISP提供的默认公网网关IP。进入winbox菜单列表中IP里面的firewall,NAT地址转换添加伪装规则,在General选择的Chain列表里面选择srcnat链表,源地址转换,Action选项中配置action=masquerade规则。添加运营商提供的DNS服务器IP地址,在ip dns的settings中可以添加多个DNS服务器地址,根据需要启用DNS缓存(allow remote requests),并可以通过Cache size修改DNS缓存大小。比如无锡地区电信线路用户可以输入DNS地址为221.228.255.1和218.2.135.1。上述配置完成后,局域网内部的计算机配置好192.168.1.0网段的IP地址、网关地址192.168.1.254与DNS参数即可接入互联网。

2.4 RouterOS的安全配置

RouterOS的提供了丰富的安全配置功能,比如修改协议的对应规则、限定路由器的登录管理IP地址范围、防火墙策略等。例如通过Internet远程访问RouterOS虚拟机,修改web访问的端口为28088、telnet访问的端口为28023,执行的命令行为ip service set www port=28088;ip service set telnet port=28023。

例如,在内部网络中仅限定IP地址为192.168.1.207的计算机通过winbox登录RouterOS,可以在菜单ip中进入services,在winbox中的available from中添加地址192.168.1.207,如图2。这样局域网中的其他IP地址的计算机无法通过winbox登录RouterOS路由器。例如TCP135端口主要采用RPC远程过程调用协议,提供DCOM分布式组件对象模型服务,在一台计算机上运行的程序执行另一台远程计算机上的代码。使用DCOM通过网络直接进行包括HTTP协议在内的多种网络通信,包括“冲击波”病毒就是利用了RPC漏洞攻击联网计算机,具有一定的安全隐患。在RouterOS上可以添加一条防火墙规则,将所有通过路由器到目标协议为TCP端口135的数据包丢弃掉。执行命令行如下ip firewall filter add chain=forward dstport=135 protocol=tcp action=drop。

图2 设置winbox授权登录IPFig.2 Setting winbox authorized login IP

3 基于RouterOS发布内网FTP服务器

内部局域网中的服务器可以通过RouterOS的端口映射功能,对互联网发布网络服务。例如内网中有一台Filezilla Server构建的FTP服务器,提供文件下载功能,IP地址为192.168.1.10。内部网络默认FTP端口为21,对外网发布FTP服务端口为16821。根据拓扑结构,需要将外网16821端口映射到内部的IP地址为192.168.1.10的21端口。端口映射配置如下,进入 ip firewall的NAT,在General一栏中选择chain=dstnat,Dst Address即公网IP地址,Dst Port为tcp协议16821端口。在Action一栏中的Action中选择dst-nat 操作,To Addresses设置内网FTP服务器地址192.168.1.10,To Ports端口为21。配置完成后,利用ftp://公网IP:16821的网址格式即可访问FTP服务器,FTP用户根据权限登录后即可上传或者下载文件[1]。

4 实施效果与总结

基于VMware ESXi5.5虚拟化架构部署RouterOS软件防火墙路由器,充分利用了现有的服务器硬件资源,投入的成本较低。实践证明RouterOS具备较高的网络数据包转发性能,为了满足网络管理方面的各类应用需求,企业可以深入挖掘RouterOS的其他功能,如针对特定IP和网段进行流量控制、QoS服务质量管理、分支机构网络的VPN远程互联,自定义高级防火墙策略等,进一步提高网络管理和信息系统安全等级保护水平。