[admin@MikroTik]> 表示当前的操作员是admin,路由器名称是MikroTik,当前路径在根目录。
[admin@MikroTik]>System license print 查看软件授权
[admin@MikroTik]>? 帮助
[admin@MikroTik]>/ 回到根目录
[admin@MikroTik]>. . 回到当前路径的上一级目录
[admin@MikroTik]>password 修改登录密码
[admin@MikroTik]>interface 移动到interface接口模式
[admin@MikroTik] / interface > / iproute 移动到ip route目录
[admin@MikroTik]/ ip route> print 打印路由表
[admin@MikroTik] / ip route>..address print 打印IP地址表
[admin@MikroTik] / ip route> / ipaddress print 打印IP地址表
[admin@MikroTik]>ip address add address=172.16.0.1/16 interface=Lan0 配置ROS接口IP地址和子网掩码
[admin@MikroTik]>ip address add address=172.16.0.1 netmask=255.255.0.0 interface=Lan0 配置IP地址和子网掩码
在浏览器中输入http://172.16.0.1即可下载Winbox
[admin@MikroTik]>interface print 查看接口信息
[admin@MikroTik]>interface disabel 0 禁用编号为0的网卡
[admin@MikroTik]>interface enable Lan0 启用名称是Lan0的网卡
[admin@MikroTik]>interface set 1name=wan1 改变接口的名称
如果网卡突然不工作,可以禁用网卡然后启用,如果还是不行就重启ROS。
[admin@MikroTik]>system shutdown 关闭ROS
[admin@MikroTik]>system reboot 重启ROS
[admin@MikroTik]> setup 进入设置
-----然后输入 S设置DHCP服务器------
Setup使用安全模式,所有在setup期间所做的修改都可以撤销,按Ctrl+C组合键放弃setup操作,按x键退出setup并保存修改。
输入每列最左边的字母选择一个选项,按x退出当前菜单。按回车执行有*标记的条目。
有“+”标记的条目是已配置过的。
有“-”标记的条目是仍然不能配置的。
有“X”标记的条目是因为没有安装额外的包而不能使用
[admin@MikroTik]>interface pppoe-client addinterface=wan1 user=0123412341234 password=12345678 add-default-route=yes use-peer-dns=yes disable=no 外网ADSL接入的配置(外网接口的IP地址、默认路由和DNS均是动态获取)
[admin@MikroTik]>interface pppoe-client print验证链接是否成功
[admin@MikroTik]>ping www.baidu.com 测试Internet连通性
----------要上网就必须配置路由和NAT-------------
默认路由设置:
首先需要手动添加默认路由,在ip→routers选项,在routes选项卡下单击“+”按钮,在general选项卡中,destination文本框中输入0.0.0.0/0,在gateway下拉列表中选择pppoe-out1,有几根ADSL,就需要添加几条路由。
动态NAT设置:
在Winbox中单击IP→Firewall选项,打开NAT选项卡,单击“+”按钮,打开“New NAT Rule”对话框。选择General选项卡,在Chain下拉列表中选择“srcnat”选项,在Src.Address文本框中输入“172.16.0.0/16”,在out.interface下拉列表中选择pppoe-out1(有几条ADSL,就需要添加几条NAT)。打开Action选项卡,在Action下拉列表中选择“masquerade”选项,即把内网中的IP地址伪装成ROS外网接口的IP地址。
------------【速率控制--队列树的配置】-----------------------------
(1)标记连接
[admin@MikroTik]>ipfirewall mangle add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes disable=no 根据流量类型区分所有p2p的流量,并设置新的连接标记“p2p_conn”
(2)标记数据包
[admin@MikroTik]>ip firewall mangle addchain=prerouting connection-mark= p2p_conn action=mark-packet new-packet-mark=p2p passthrough=yes disable=no 为p2p流量的数据包打上新的数据包标记“p2p”
[admin@MikroTik]>ip firewall mangle addchain=prerouting connection-mark=! p2p_conn action=mark-packet new-packet-mark=general passthrough=yes disable=no 为所有非p2p的流量打上新的数据包标记“general”
[admin@MikroTik]>ip firewall mangle addchain=prerouting pack-size= 32-512 action=mark-packet new-packet-mark=small passthrough=yes disable=no 一般来说对延迟敏感的数据包都是小包,如语音、交互式应用,为数据包大小在32字节至512字节之间的小包打上新的数据标记“small”
[admin@MikroTik]>ip firewall mangle addchain=prerouting pack-size= 512-1200 action=mark-packet new-packet-mark=big passthrough=yes disable=no 为数据包大小在512字节至1200字节之间的大数据包打上新的数据标记“big”
(3)配置队列树
[admin@MikroTik]>queue tree add name=””p2p” parent= Lan0 packet-mark=p2p limit-at=400000 priority=8max-limit=4000000 disable=no 在连接内网的网卡“Lan0”上保障所有p2p流量的速率为400kb/s,最大允许4Mb/s
[admin@MikroTik]>queue tree add name=””ClassA” parent= Lan0 limit-at=0 priority=8max-limit=16000000disable=no 添加一个“ClassA”类,不设保障速率。最大速率是16Mb/s,相当于最大出口带宽
[admin@MikroTik]>queue tree add name=””Leaf1” parent= ClassA packet-mark=general limit-at=1000000 priority=7 max-limit=16000000 disable=no 添加一个叶子类“Leaf1”,其父类是ClassA。针对标记是“general”的数据包,优先级是7,保障速率1Mb/s,最大速率没有限制
[admin@MikroTik]>queue tree add name=””Leaf2” parent= ClassA packet-mark=big limit-at=1000000 priority=6max-limit=16000000 disable=no 添加一个叶子类“Leaf2”,其父类是ClassA。针对标记是“big”的数据包,优先级是6,保障速率1Mb/s,最大速率没有限制
[admin@MikroTik]>queue tree add name=””Leaf3” parent= ClassA packet-mark=small priority=5 disable=no 添加一个叶子类“Leaf3”,其父类是ClassA。针对标记是“small”的数据包,优先级是5,速率没有限制,该类包具有最高的优先级。
(4)配置均分带宽
[admin@MikroTik]>queue type add name=pcq-downloadkind=pcq pcq-classifier=dst-address
[admin@MikroTik]>queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
上面两条代码是添加两种PCQ队列类型,分别用于上传和下载
[admin@MikroTik]>queue simple add interface=Lan0 max-limit=16000000/16000000 name=pcq-queuel priority=8 queue=pcq-upload/pcq-download target-addresses=172.16.0.1/16添加一个简单队列,使用PCQ类型。
------【多出口应用--负载均衡配置】-----------------------------------
[admin@MikroTik]>ip dns set primary-dns=61.139.2.69 secondary-dns=218.6.200.139allow-remote-requests=yes 配置DNS服务器
[admin@MikroTik]>ip firewall mangle addchain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1440 调整TCP最大段大小,主要是针对ADSL链路,因其会产生额外的数据包头
---------下面是mangle配置,在处理路由前,通过Nth来分配用户连接会话。4条ADSL共需要添加4组规则:----------------------------
1-1[admin@MikroTik]>ip firewall mangle add chain=prerouting in-interface=Lan0connection-state=new nth=4,1 action=mark-connection new-connection-mark=1 passthrough=yesdisabled=no 每隔一个建立的新会话,用“1”做new-connection-mark(新连接标记),Passthrough(通过)被设置为yes,将这些数据包传递给后面的规则处理
1-2[admin@MikroTik]>ip firewall mangle add chain=prerouting in-interface=Lan0 connection-mark=1action=mark-routing new-routing-mark=1 passthrough=yesdisabled=no将所有标记属于“1”的连接的routing mark(路由标记)为“1”。
2-1[admin@MikroTik]>ipfirewall mangle add chain=preroutingin-interface=Lan0 connection-state=new nth=4,2 action=mark-connection new-connection-mark=2 passthrough=yesdisabled=no每隔一个建立的新会话,用“2”做标记连接,因此所有属于同一会话的连续的数据包将被放到同样标记的连接中。Passthrough(通过)被设置为yes,将这些数据包传递给后面的规则处理
2-2[admin@MikroTik]>ipfirewall mangle add chain=prerouting in-interface=Lan0connection-mark=2 action=mark-routing new-routing-mark=2passthrough=yes disabled=no 将所有标记属于“2”的连接的routing mark为“2”。
3-1[admin@MikroTik]>ip firewall mangle add chain=prerouting in-interface=Lan0connection-state=new nth=4,3 action=mark-connection new-connection-mark=3 passthrough=yesdisabled=no 每隔一个建立的新会话,用“3”做new-connection-mark(新连接标记)
3-2[admin@MikroTik]>ip firewall mangle add chain=prerouting in-interface=Lan0 connection-mark=3action=mark-routing new-routing-mark=3 passthrough=yesdisabled=no将所有标记属于“3”的连接的routing mark(路由标记)为“3”。
4-1[admin@MikroTik]>ip firewall mangle add chain=prerouting in-interface=Lan0connection-state=new nth=4,4 action=mark-connection new-connection-mark=4 passthrough=yesdisabled=no 每隔一个建立的新会话,用“4”做new-connection-mark(新连接标记)
4-2[admin@MikroTik]>ip firewall mangle add chain=prerouting in-interface=Lan0 connection-mark=4action=mark-routing new-routing-mark=4 passthrough=yesdisabled=no将所有标记属于“4”的连接的routing mark(路由标记)为“4”。
------------下面是配置路由表:--------------------
[admin@MikroTik]>ip route add gateway=pppoe-out1 routing-mark=1comment="1" 路由标记是“1”的数据包,默认出口是pppoe-out1
[admin@MikroTik]>ip route add gateway=pppoe-out2 routing-mark=2 comment="2"路由标记是“2”的数据包,默认出口是pppoe-out2
[admin@MikroTik]>ip route add gateway=pppoe-out3 routing-mark=3comment="3" 路由标记是“3”的数据包,默认出口是pppoe-out3
[admin@MikroTik]>ip route add gateway=pppoe-out4 routing-mark=4comment="4" 路由标记是“4”的数据包,默认出口是pppoe-out4
[admin@MikroTik]>ip route add gateway=pppoe-out4 comment="other"disabled=no不是脚本生成器产生的,但需要这一条将没有路由标记的数据包的默认出口设置为pppoe-out4(也可以是其他的),主要是针对ROS本身发起的数据包,为了便于操作,为这条路由添加了注释“other”
---------[下面是配置NAT]:----------------------------------
【说明】:如果其中有一根ADSL没有连接使用时,在配置了connection-mark后将导致不能正常上网,或者是有时能上,有时不能上的情况。只要将NAT规则中的connection-mark值去掉即可。所以建议最好不要配置connection-mark。
[admin@MikroTik]>ipfirewall nat addchain=srcnat connection-mark=1action= masquerade out-interface=pppoe-out1 comment="1" disabled=no 将之前创建的连接标记是“1”的数据包转换成出口pppoe-out1的IP地址
[admin@MikroTik]>ip firewall nat add chain=srcnat connection-mark=2action= masquerade out-interface=pppoe-out2 comment="2" disabled=no 将之前创建的连接标记是“2”的数据包转换成出口pppoe-out2的IP地址
[admin@MikroTik]>ip firewall nat add chain=srcnat connection-mark=3action= masquerade out-interface=pppoe-out3 comment="3" disabled=no 将之前创建的连接标记是“3”的数据包转换成出口pppoe-out3的IP地址
[admin@MikroTik]>ip firewall nat add chain=srcnat connection-mark=4action=masquerade out-interface=pppoe-out4 comment="4" disabled=no 将之前创建的连接标记是“4”的数据包转换成出口pppoe-out4的IP地址
------【常见故障--网银无法登陆解决办法】-----------------------------
【说明】;由于配置NAT后,网络地址转换过快,导致网上银行无法正常登陆问题,需要指定443端口走单线。
(路由器设置的问题,把去工行的包做个标记,mangle dst-ip=icbc.commark route gonghang,然后把标记为gonghang的包从一条线出去,在路由表里可以设置。不知道你用什么版本的双线,最好自己知道双线的原理,如果你不知道,掉线的不止是工行,游戏也会)
[admin@MikroTik]> ip firewall mangle add chain=prerouting in-interface=Lan0 protocol=tcp dst-port=443 action=add-dst-to-address-listaddress-list=bankaddress-list-timeout=3h comment="" disabled=no 指定目的地址端口为443的TCP连接添加到新的地址列表bank,地址超时时间为3小时。
[admin@MikroTik]> ip firewall mangle add chain=prerouting in-interface=Lan0 dst-address-list=bank action=mark-connection new-connection-mark=1 passthrough=yes comment="" disabled=no 将bank地址列表中的连接标记为新连接标记“1”。
本文出自 “С” 博客
