基于VMware虚拟机部署RouterOS软件路由器

2022-03-21版权声明我要投稿

  摘要:RouterOS是一款功能强大的路由器系统软件,在中小企业网络管理应用中,基于VMware ESXi虚拟机可以部署在互联网出口处。通过软件路由器参数配置,提供局域网计算机网络接入、NAT端口映射、服务器Internet发布、防火墙策略防护等多种功能。在节约成本的同时,实现了防火墙路由器的多种服务与管理应用。

  关键词:VMware;虚拟机;RouterOS;路由器;网络;

  RouterOS是拉脱维亚Mikrotik公司研发的一款功能强大的基于Linux内核路由器操作系统软件,具备高性能数据包转发能力,并提供了丰富的网络功能。在中小企业组建网络工程中,可以将RouterOS安装到VMware ESXi虚拟机平台,部署在互联网出口处,实现专业级防火墙路由器的功能,包括内部计算机访问互联网、V P N远程互联、端口映射和服务器Internet公网发布等多种网络服务。

1 VMware ESXi安装RouterOS虚拟机的主要步骤

  以戴尔PowerEdge R900服务器为例,安装VMware ESXi5.5虚拟化基础环境后,通过vClient客户端登录ESXi主机。上传RouterOS镜像包mikrotik-5.20-clone.iso文件至服务器d a t a s t o r e 1存储器,新建一个虚拟机命名为ROS520。由于ESXi系列虚拟机环境无RouterOS的客户系统列表,可以为虚拟客户机操作系统选择一个“RedHat Enterprise Linux(32位)”类型,该Linux类型与RouterOS5.20版本保持虚拟环境的兼容。分配ROS520虚拟硬件资源,包括:1G内存、2核处理器、1G存储空间的IDE硬盘和2个虚拟网络适配器。2块虚拟网络适配器与物理服务器的2个物理网卡接口vmnic0和vmnic1一一对应,采用1000兆全双工的工作模式。一个虚拟网卡用于连接ISP运营商提供的光纤宽带设备,另一个虚拟网卡用于连接内部网络的核心交换机。虚拟网络适配器1对应网络标签V M N e t w o r k,虚拟的网络适配器2对应网络标签V M Network2。在虚拟网络中,VM Network连接标准交换机v Switch0,VM Network2连接标准交换机vSwitch1,如图1所示。数据存储ISO文件中加载安装镜像文件,启用“打开电源时连接”,运行虚拟机ROS520即开启了安装模式。在系统安装时,除了wireless无线模块不必选择外,其他功能模块都选择默认安装。

2 RouterOS软件路由器的基本配置

  2.1 winbox控制台登录RouterOS

  winbox控制台客户端软件采用了TCP协议的8291端口,支持IP地址、域名和MAC地址等多种方式登陆管理路由器。基于VM wa re E SX i虚拟机方式安装完成RouterOS后,两个虚拟网卡还没有任何IP地址参数。因此可以在内网中同一个广播域的任一计算机端运行winbox工具侦测RouterOS内部网卡的MAC物理地址,通过网卡MAC地址方式初次登录软路由,默认管理帐号为admin,初始密码为空。提高路由器的安全保密性,在New Terminal窗口执行配置命令password修改密码,建议配置同时包含大小写字母、数字和特殊字符任意组合的足够长度的密码。采用Secure Mode安全模式,在winbox和RouterOS之间使用Transport Layer Security协议登录,登录RouterOS后即可配置软件路由器的各类网络参数。

  2.2 配置RouterOS虚拟网卡参数

  RouterOS虚拟部署在企业与互联网出口处,主要起到防火墙路由器的作用。虚拟网卡的参数与企业实际的网络拓扑有关,物理网卡1接网线到光猫,物理网卡2接网线到核心交换机,确保物理链路层的可靠连接。为了区别虚拟网卡的功能应用,将接入外部网络的网卡命名为wan,接入内部网络的网卡命名为lan。具体方法是在winbox菜单列表中进入Interfaces,修改ether1为wan,修改ether2为lan。网卡均启用ARP的enable功能、1Gbps传输速率和全双工模式。进入winbox菜单列表中IP里面的Addresses,将外部网络的网卡地址设置为公网IP,输入子网掩码的位数、网络地址,选择Interface接口为wan。将内部网络的网卡地址设置为192.168.1.254,输入子网掩码的位数24位、网络地址192.168.1.0,选择Interface接口为lan。至此,两块虚拟网卡的网络参数基本配置完成。

  2.3 配置默认路由、伪装与DNS服务器

  为了使局域网计算机连接到互联网,需要配置默认路由。进入winbox菜单列表中IP里面的Routes,添加默认网关,目标地址是0.0.0.0/0,网关地址就是ISP提供的默认公网网关IP。进入winbox菜单列表中IP里面的firewall,NAT地址转换添加伪装规则,在General选择的Chain列表里面选择srcnat链表,源地址转换,Action选项中配置action=masquerade规则。添加运营商提供的DNS服务器IP地址,在ip dns的settings中可以添加多个DNS服务器地址,根据需要启用DNS缓存(allow remote requests),并可以通过Cache size修改DNS缓存大小。比如无锡地区电信线路用户可以输入DNS地址为221.228.255.1和218.2.135.1。上述配置完成后,局域网内部的计算机配置好192.168.1.0网段的IP地址、网关地址192.168.1.254与DNS参数即可接入互联网。

  2.4 RouterOS的安全配置

  RouterOS的提供了丰富的安全配置功能,比如修改协议的对应规则、限定路由器的登录管理IP地址范围、防火墙策略等。例如通过Internet远程访问RouterOS虚拟机,修改web访问的端口为28088、telnet访问的端口为28023,执行的命令行为ip service set www port=28088;ip service set telnet port=28023。

  例如,在内部网络中仅限定IP地址为192.168.1.207的计算机通过winbox登录RouterOS,可以在菜单ip中进入services,在winbox中的available from中添加地址192.168.1.207,如图2。这样局域网中的其他IP地址的计算机无法通过winbox登录RouterOS路由器。例如TCP135端口主要采用RPC远程过程调用协议,提供DCOM分布式组件对象模型服务,在一台计算机上运行的程序执行另一台远程计算机上的代码。使用DCOM通过网络直接进行包括HTTP协议在内的多种网络通信,包括“冲击波”病毒就是利用了RPC漏洞攻击联网计算机,具有一定的安全隐患。在RouterOS上可以添加一条防火墙规则,将所有通过路由器到目标协议为TCP端口135的数据包丢弃掉。执行命令行如下ip firewall filter add chain=forward dstport=135 protocol=tcp action=drop。

3 基于RouterOS发布内网FTP服务器

  内部局域网中的服务器可以通过RouterOS的端口映射功能,对互联网发布网络服务。例如内网中有一台Filezilla Server构建的FTP服务器,提供文件下载功能,IP地址为192.168.1.10。内部网络默认FTP端口为21,对外网发布FTP服务端口为16821。根据拓扑结构,需要将外网16821端口映射到内部的IP地址为192.168.1.10的21端口。端口映射配置如下,进入ip firewall的NAT,在General一栏中选择chain=dstnat,Dst Address即公网IP地址,Dst Port为tcp协议16821端口。在Action一栏中的Action中选择dst-nat操作,To Addresses设置内网FTP服务器地址192.168.1.10,To Ports端口为21。配置完成后,利用ftp://公网IP:16821的网址格式即可访问FTP服务器,FTP用户根据权限登录后即可上传或者下载文件[1]。

4 实施效果与总结

  基于VMware ESXi5.5虚拟化架构部署RouterOS软件防火墙路由器,充分利用了现有的服务器硬件资源,投入的成本较低。实践证明RouterOS具备较高的网络数据包转发性能,为了满足网络管理方面的各类应用需求,企业可以深入挖掘RouterOS的其他功能,如针对特定IP和网段进行流量控制、Q o S服务质量管理、分支机构网络的VPN远程互联,自定义高级防火墙策略等,进一步提高网络管理和信息系统安全等级保护水平。

参考文献

  [1]崔北亮.RouterOS全攻略[M].北京:电子工业出版社,2011.

作者:王文峰 单位:无锡市体育彩票管理中心

【基于VMware虚拟机部署RouterOS软件路由器】相关文章:

1.基于公共机房多系统综合运维技术的无纸化机考环境部署

2.基于多链路的路由交换策略

3.基于树莓派的全自动固液料奶茶机人机交互系统硬件设计

4.基于支持向量机的股票量化交易策略实验

5.基于虚拟仿真平台的光电探测技术理论部分的教学探索

6.基于LabVIEW的RS422通信技术虚拟检测仪器设计

7.基于虚拟现实技术的电梯安全教育系统设计

8.基于虚拟经济的资本流动会计和财务风险的文献综述

9.基于微视频和虚拟仿真平台的翻转课堂实验教学设计

10.基于胸部病变的影像检查技术虚拟仿真实验

11.大型信息系统软件版本管理流程优化

12.基于云计算环境下的软件测试平台的设计

文档上传者