MikroTik RouterOS脚本生成器

　　MikroTik RouterOS脚本生成器是一款非常实用的路由器管理系统，程序系统中还内置了非常丰富的功能模块，让用户能够根据自己的需要对路由器进行管理，它具有ISP的所有必要功能-路由，防火墙，带宽管理，无线访问点，回程链路，热点网关等等功能，快速简单的安装和易于使用的界面；非常适合应用于各种类型的路由器、交换机和无线系统管理领域，从小型办公室或家庭到运营商ISP网络，都有各种不同的设备，而此工具都能为您提供帮助；它也可以安装在PC上，并将其转变为具有所有必要功能的路由器；需要的用户可以下载体验

软件功能

　　MikroTik RouterOS 是路由操作系统，基于 Linux 核心开发,兼容 x86 PC的路由软件

　　支持将普通PC变为高性能路由器,现在已移植到 MikroTik RouterBOARD 等硬件平台运行.

　　RouterOS 开发和应用上不断的更新和发展,软件经历了多次更新和改进,使其功能在不断增强和完善.

　　特别在 Wlan 无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常强大的功能

　　其极高的性价比,受到许多网络人士的青睐

　　脚本的编辑功能,实现系统智能化运行；

　　兼容当前的所有x86平台的硬件,如Intel和AMD等

　　支持自助开发平台 RouterBOARD、CRS和CCR系列.

　　软件路由相对于Cisco路由器可用作到专业路由器大部分的功能

　　成本却是它的很小一部分，更灵活处理和方便升级，相对简易的管理与维护.

软件特色

　　可以通过安装文件建立自己的MikroTik路由器

　　所有的功能可以测试24小时,由足够的时间测试,因为时间是根据系统运行时间记录的

　　如果你每天测试8个小时,一共可以测试3天.

　　使用普通PC的RouterOS处理能力相对于多数路由器都要快,

　　随着x86构架的PC不断发展CPU处理速度和性能也在不断提升，多数路由器的处理器多在533MHz-800MHz.

　　MikroTik RouterOS支持多CPU处理

　　在RouterOS 3.0版本后支持多CPU运行,3.0-4.0版本支持8核心处理器,早期的版本不支持多CPU.

　　5.0版本后支持6核心处理器,特别是在6.0版本对多核CPU做了更好的优化.

　　MikroTik RouterOS是否支持SATA、USB和SCSI安装RouterOS 3.0版本支持SATA和USB安装,SCSI和SAS不支持.

使用说明

　　用户可以直接通过此网站下载对应的安装包，然后即可进行解压，双击程序即可将其打开

　　双击后，即可弹出对应的用户界面，整个用户界面的功能模块分布非常清晰

　　Vik在Mikrotik环境中

　　我将尝试解释如何在Mikrotik设备上处理VLAN和QOS。

　　在交换技术中，我们有三种端口模式：Access，Trunk和Hybrid。

　　访问端口应仅与未标记的数据包一起使用。这种端口是您将PC连接到交换机的位置。

　　中继端口能够接收和转发来自多个VLAN的数据包。这是一个互连开关。

　　Hybrid端口是一种特殊模式，允许在同一端口上添加未标记和标记的数据包。假设您有一台Voip台式电话，您将PC连接到电话，电话连接到交换机。我们将为PC提供voip和未标记数据的VLAN。

　　Mikrotik设备上的Vlan接口应始终被视为“在出口添加标签/从入口删除标签”。

　　为了实现此设置，我们需要eth1和eth2作为访问端口，而eth5作为中继端口。

　　要在中继端口上配置VLAN：

　　为了能够将数据包从访问端口转发到VLAN，我们需要桥接：

　　现在，只需将端口添加到网桥：

　　完成后，只有同一网络上的主机才能进行通信。

　　如果我们在行李箱中间有另一个开关？

　　SW1和SW2上的配置保持不变，在SW3上，我们需要：

　　接口eth3，eth4是中继端口，仅需要转发标记的数据包。我们不需要执行任何标签添加/删除操作，因此无需添加VLAN。

　　SW3上的访问端口是更高级的设置：

　　SW1和SW2保持不变，在SW3上，我们需要添加：

　　在SW3上，到达eth1的数据包将在br-vlan10内部转发到vlan-10，并在此处进行标记。

　　设置好标签后，他们将进入br-trunk。

　　VLAN上的QoS

　　这称为802.1p。在vlan标签内，我们有3位可用于设置CoS（优先级），并从0到7。0是最低优先级，7是最高优先级。

　　默认情况下，所有数据包的CoS都设置为0。

　　可以在两个位置设置CoS字段：/ ip防火墙mangle或/ interface桥过滤器

　　当直接在VLAN接口（边缘路由器或添加了标签的设备）上工作时，请使用/ ip防火墙。

　　处理网桥时，请使用/ interface网桥过滤器。

　　要设置CoS字段，在规则上使用的操作是set-priority。在VLAN接口上设置此选项后，它将设置其CoS ID。

　　在此设置中，我们将保留先前的网络图。

　　让我们看看是否设置我们的CoS工作：

　　在SW1上设置：

　　在SW3上进行以下设置：

　　现在可以在同一网络上的PC之间进行ping操作。然后查看SW3上的日志，应该是这样的：

　　从日志中我们可以看到它是与prio 1一起收到的，并已更改为prio 0。

　　默认情况下，网桥始终将CoS设置为0。如果我们希望CoS保留在整个网络中，则应在SW3上设置以下规则：

　　/接口网桥过滤器添加链=转发操作=设置优先级新优先级=从入口

　　待续...（WLAN上的VLAN，WMM）

　　如果发现问题或需要支持，请发送邮件至officelan dot pt的jorge dot amaral。

　　R52，R52Hn和R52H功率放大器损坏

　　如果插卡变得太热而无法触摸，将它们插入到RouterBOARD中后却被禁用-可能会损坏PA。这可能是由用户或制造问题引起的。要确定，必须返回RMA进行仔细检查。

　　R52，R52Hn和R52H ESD损坏

　　接地不当会在暴风雨或其他ESD情况下对无线卡造成ESD损坏。要测试R52或R52H卡是否由于雷电/风暴静电损坏而发生故障，请使用万用表。

　　对于典型的ISP，企业甚至日常家庭用户而言，带宽管理是日常运营的重要组成部分。RouterOS用户可以使用许多不同类型的管理工具，例如QoS，速率限制，数据包限制等。

　　我亲自在没有其他类型的常规高速Internet连接（即电缆，光纤或DSL）的区域中操作无线ISP。我本人无法访问光纤，因此我无法获得一个最快的主干网连接，无法为我只有一个连接提供足够的带宽。由于此限制，负载均衡多个Internet主干网连接非常重要。

　　在过去，我使用了ECMP，每个连接样式的持久性负载均衡（请参阅Routing）以及各种其他方法。但是，我发现那时在各个不同领域都缺乏（无法正确地进行负载平衡，HTTP下载中断，IM问题等等）。然后，我研究了一种在最小化潜在问题的同时使我对带宽有更多控制的方法。最终结果是按流量类型的负载平衡。本教程旨在解决一个特定的深度问题，以后，我可能会扩展/添加有关故障转移的其他信息，以及其他主题

　　使用的RouterOS的功能

　　防火墙规则

　　防火墙地址列表

　　路由

　　第1步-如何分流

　　甚至在登录RouterOS框之前，您都应该了解如何划分流量，并了解哪些流量可以分解，哪些流量不能分解。

　　这是您可能想要尝试分离的示例（无特定顺序）

　　HTTP流量（端口80）

　　SSL流量（端口443）

　　POP3流量（端口110）

　　SMTP通信（端口25）

　　P2P流量（各种端口）

　　未知流量（各种端口）

　　列出流量类型及其运行的端口后，您需要查看该列表，并确定该列表是否甚至可以强制断开某些Internet连接。

　　以上面的清单为例，这是我想出的

　　HTTP流量（尚未发现问题）

　　SSL流量（某些问题，对于正常的SSL网站和所有软件的90％来说，这不是问题，我将在以后解释为什么会出现问题）

　　POP3流量（尚未发现问题）

　　SMTP流量（尚未发现问题）

　　P2P流量（必须与未知流量通过相同的Internet连接，稍后再解释）

　　未知流量（必须与P2P流量通过相同的Internet连接，稍后再解释）

　　现在快速解释为什么根据流量类型可能会出现一些问题。某些网站/程序不能很好地处理来自不同IP地址的多个请求，这就是ECMP存在如此多问题的原因。我将为无法完成负载平衡的罕见情况提供一个简单的解决方案。

　　再次以上面的示例为例，我们可以解释在何处以及为什么会出现问题。SSL-网站的优点在于，它们是对不同数据的单独请求，即 从3个不同来源加载图片将是对每个相应服务器的请求。结果是，如果我们拥有一个同时使用SSL和HTTP流量的网站，我们就会知道，在大多数情况下，该网站将只回答请求，而无需考虑原始IP地址。但是，这是一种特殊情况，如果网站/程序开发人员检查了请求的发起地，并且发现IP不同，则他们可能无法成功回答这些请求（这可能是设计使然，也可能是偶然的）。我有2个案例，在这两个案例中，都是安全的医疗网站将其用作保护其数据的方法。

　　P2P和未知-我将同时解决这些问题，因为问题是相同的。RouterOS不会基于任何单一条件识别P2P，而是分析数据包！这意味着RouterOS需要一些时间来观看数据，然后才意识到实际上是P2P流量。结果，直到建立连接后，RouterOS才知道数据是P2P。这很重要，因为从特定的Internet连接发送数据的唯一方法是，必须在建立连接之前知道流量。因此，与P2P流量一样，未知流量也就是未知的。通过标记未知流量，尽管您可以控制将什么Internet连接用于P2P和剩余的未知流量（非常有用！）

　　第2步-设置网络

　　在深入了解本教程之前，我们需要一个虚拟的网络作为示例。

　　客户端计算机（172.18.1.0/24）

　　互联网网关（10.0.1.1/24，10.0.2.1/24）

　　RouterOS IP（10.0.1.2/24，10.0.2.2/24）

　　假设IP，默认路由和DNS设置已经存在，则以下允许用户访问Internet。

　　创建地址列表以允许互联网使用

　　创建地址列表以绕过负载平衡

　　将“伪装”应用于离开WAN接口的流量

　　客户端应该能够浏览Internet，但是只能使用一个Internet连接（RouterOS中的当前默认路由）

　　步骤3-使用RouterOS的Mangle工具标记特定流量

　　以下是必要的RouterOS命令，用于标记特定路由的特定流量。我们将使用与开头相同的示例流量类型，即HTTP，SSL，POP3，SMTP，P2P和未知

　　前两行提供了一种标记某些客户端以绕过负载平衡并仅将特定的Internet连接用于其所有流量的方法。

　　然后，接下来的几行将基于dst-port标记流量，注意我们没有经过，也注意到我们正在标记所有流量（即使未知），并且始终为Unknown指定不同的Internet连接和P2P，而不使用路由器的默认路由。我也将P2P标记为单独，即使它必须与未知流量发出相同的Internet连接。

　　我这样做的原因有两个，一个是我可以通过简单地禁用一条路由轻松地停止所有流量，另一个是在我的RouterOS配置中，我使用了很多QoS，很容易记住如果QoS反映了负载平衡。

　　因此，既然我们正在标记各自路线的路况，接下来我们必须添加这些实际路线。

　　步骤4-使用RouterOS的路由功能将流量强制发送到某些Internet连接

　　以下是必需的RouterOS命令，以为标记的HTTP，SSL，POP3，SMTP，P2P和未知流量提供路由

　　前两行提供必要的路由，以通过流量类型为未负载均衡的客户端提供正确的Internet网关。其余的行是根据流量类型提供适当网关所需的路由

　　第5步-查看您创建的内容

　　您做了什么：*您将Internet流量智能地分为了不同的类型*使用RouterOS的Mangle工具将流量标记为*您创建了一个绕过列表，以允许某些IP绕过流量分配负载*您分配了特定的根据您标记为Mangle的流量来确定路线

　　您所做的工作非常强大，可以说本教程只是冰山一角。我在此处列出的流量类型仅占总数的一小部分，您可能需要添加许多其他类型（例如，DNS，终端服务，ICMP等）。无论是在小型办公室环境（将电子邮件的使用与浏览分开）还是大型无线ISP（用于负载平衡）中，都可以使用多种方法。一些技巧和总结

　　1.在开始之前仔细想想要实现的目标2.注意每条线路上的类型流量（输入密集型还是输出密集型）3.最后进行实验，没有什么比找到更好，更快和更智能的方法更好的了以很少的资本成本改善您的服务