????說起來,工控機(jī)軟路由中作為主路由器的選擇很多,國(guó)內(nèi)的愛快、開源的OpenWRT、商業(yè)化的ROS,等等,還有其他的,恕在下才疏學(xué)淺其他路由系統(tǒng)知道的不多。有人說OpenWRT雖然開源但是穩(wěn)定性不夠,國(guó)內(nèi)的愛快雖然免費(fèi)但總有這樣那樣的擔(dān)心,ROS作為商業(yè)化很成功的系統(tǒng),不支持中文,收費(fèi),上手難度高,等等,各說各有理。作為一個(gè)小白實(shí)在搞不清里面的彎彎繞繞,也只是在機(jī)緣巧合下,有個(gè)朋友極力推薦ROS,然后我就踏上了折騰ROS的不歸路。先聲明下,在下購(gòu)買的正版ROS,如需購(gòu)買請(qǐng)某寶上找正版代理,也不貴幾百塊錢,一個(gè)好點(diǎn)的無線路由器也差不多這價(jià)格了。并且ROS由于是Linux內(nèi)核,支持創(chuàng)建腳本,能實(shí)現(xiàn)各類復(fù)雜功能。那么閑話少敘,下面進(jìn)入正題。
一、ROS和管理工具WinBox下載
????1.?ROS的官方正版下載地址:點(diǎn)擊下載,提取碼:yxxx。
????2.?WinBox的官方正版下載地址:點(diǎn)擊下載,提取碼:p92s。
二、虛擬機(jī)Esxi的網(wǎng)絡(luò)配置
1.?虛擬機(jī)Esxi的安裝。
這里不多介紹了,不清楚的請(qǐng)參考我上一篇文章《軟路由中Esxi 7.0?安裝教程和避坑指南》。
2.?網(wǎng)卡直通。
進(jìn)入虛擬機(jī),點(diǎn)擊管理->硬件->PCI設(shè)備,這里可以看到我們工控機(jī)軟路由的所有網(wǎng)卡。
在上圖中,從1到6分別代表了ETH0到ETH5。這里多說兩句,有的人的軟路由網(wǎng)卡不支持直通,不要緊,有的支持直通。直不直通看個(gè)人選擇,直通效率更高,不直通的話200兆以下的寬帶影響不大。在這里著重說下,一定要先規(guī)劃好自己的網(wǎng)口分配,分配好了就不要來回改,不然很麻煩。我這里說說我的分配規(guī)劃:?ETH0是默認(rèn)管理端口,我們不直通。ETH2到ETH5作為主路由的網(wǎng)口,其中ETH5作為光貓寬帶接入口,可以直通。我這里的ETH1也沒有直通,在我個(gè)人的情況里,是作為iTV的接入口,這里我們先預(yù)留這里,后面我專門出篇文章講IPTV融合。那么,總結(jié)下來,ETH0沒有直通,默認(rèn)管理端口;ETH2到ETH5作為主路由的網(wǎng)口,進(jìn)行直通。怎么直通?其實(shí)很簡(jiǎn)單,上圖中,選擇某一個(gè)網(wǎng)卡,然后點(diǎn)擊綠框中的“切換直通”即可。后悔不想直通?也很簡(jiǎn)單,選中某一網(wǎng)卡,再次點(diǎn)擊上圖綠框中的“切換直通”即可。默認(rèn)的Management Network端口組不可修改,否則將無法控制ESXI。
3.?虛擬交換機(jī)
進(jìn)入Esxi導(dǎo)航器,點(diǎn)擊網(wǎng)絡(luò)->物理網(wǎng)卡,在我們直通后,就只看到兩個(gè)沒有直通的網(wǎng)卡了。
上圖中,虛擬交換機(jī)和端口組都是設(shè)置完后自動(dòng)生成的,如果沒有就手動(dòng)建一個(gè)。在這里你只需關(guān)注“vmnic0”這塊物理網(wǎng)卡即可,“vmnic1”這塊物理網(wǎng)卡,我是分配給ITV的這里大家自行忽略即可。再次提醒,默認(rèn)的Management Network端口組不可修改,否則將無法控制ESXI。
三、?創(chuàng)建ROS虛擬機(jī)
1.?選擇創(chuàng)建類型
進(jìn)入Esxi導(dǎo)航器,點(diǎn)擊【虛擬機(jī)】->【創(chuàng)建或注冊(cè)虛擬機(jī)】。輸入虛擬機(jī)名字。
并選擇創(chuàng)建類型為“從OVF或OVA文件部署虛擬機(jī)”,輸入虛擬機(jī)名稱。
2.?上傳OVF和VMDK文件
將下載好的已解壓會(huì)得到的.ovf和.vmdk兩個(gè)文件,將這兩個(gè)文件全部拖入窗口中。
記住請(qǐng)用上面我提供的下載鏈接,多余的話不說。
3.?選擇存儲(chǔ)和部署選項(xiàng)
然后按下圖中設(shè)置,不斷下一頁即可:
4.?虛擬機(jī)內(nèi)存和硬盤設(shè)置
在上面設(shè)置成后完,即可完成虛擬機(jī)的創(chuàng)建。然后進(jìn)入Esxi的虛擬機(jī),選擇剛剛創(chuàng)建好的虛擬機(jī),右鍵選擇【編輯設(shè)置】
?這里的硬盤大小,一定不要修改,原因你懂的。請(qǐng)支持正版。
5.?給虛擬機(jī)ROS添加網(wǎng)卡。
點(diǎn)擊【添加其他設(shè)備】->【PCI設(shè)備】,把直通的四個(gè)網(wǎng)卡添加進(jìn)來。
上圖紅框中,從03到06對(duì)應(yīng)的網(wǎng)口是ETH2到ETH5。ETH0是管理網(wǎng)口,我們不直通,ETH1是我設(shè)置iTV用的,不加進(jìn)來。
6.?虛機(jī)選項(xiàng)設(shè)置
還是上圖的頁面,點(diǎn)擊【虛擬機(jī)選項(xiàng)】選項(xiàng)卡。
第一步:將【客戶機(jī)操作系】”修改為:Linux。
第二步:將【客戶機(jī)操作系統(tǒng)版本】修改為:其他2.6.x或更高版本的Linux(64位)。
第三步:將【引導(dǎo)選項(xiàng)】中的【固件】修改為:BIOS。
最后點(diǎn)擊保存,至此我們的ROS虛擬機(jī)就創(chuàng)建好了。
?支持正版請(qǐng)購(gòu)買正版L4及其以上的授權(quán),或者購(gòu)買CHR P1以上的授權(quán)。CHR授權(quán)優(yōu)點(diǎn):可自助不限次數(shù)轉(zhuǎn)移,真正意義上的終身授權(quán),推薦購(gòu)買CHR授權(quán)!
四、主路由ROS的上網(wǎng)配置。
1.?使用WinBox登錄ROS
?第一次登陸ROS,不需要設(shè)置IP地址,直接用WinBox提示mac地址登陸。Login填入默認(rèn)賬號(hào)admin,Password默認(rèn)為空,點(diǎn)擊Connect進(jìn)行連接。
2.?規(guī)劃IP地址和DHCP分配
這里根據(jù)我之前安裝Esxi時(shí)就規(guī)劃好的IP地址,Esxi使用10.0.0.2,那么這里ROS虛擬機(jī)我使用10.0.0.1,旁路由OpenWRT使用10.0.0.3。DHCP分配的范圍是10.0.0.10-10.0.0.240。這個(gè)每個(gè)人根據(jù)具體情況可以修改。重要的是規(guī)劃IP地址的時(shí)候一定要記住,最好只使用“10/8、?172/12?、192/16”這三個(gè)網(wǎng)段,不要使用公網(wǎng)網(wǎng)段,不然后面你的留學(xué)上網(wǎng)會(huì)有問題。
3.?查看在Esxi下分配的網(wǎng)絡(luò)接口
登陸進(jìn)去之后,點(diǎn)擊左側(cè)菜單欄的【Interfaces】,在右側(cè)會(huì)出現(xiàn)你分配給ROS網(wǎng)卡。注意,這里的網(wǎng)口【Name】不一定跟你工控機(jī)上對(duì)應(yīng),它的序號(hào)完全是亂的,所以最好根據(jù)Mac地址一個(gè)個(gè)測(cè)試一下修改【Name】,使之能夠與工控機(jī)的網(wǎng)口,對(duì)應(yīng)。一般,我們先把網(wǎng)線插在ETH0端口,在上圖中它的【Name】是“ether2”,因?yàn)槟憧梢钥吹揭呀?jīng)有數(shù)據(jù)傳輸了。那么我們就一個(gè)個(gè)改過來。如下圖:
這里ETH0是軟路由的管理端口,系統(tǒng)自動(dòng)分配,ETH2-ETH5是我們配置ROS虛擬機(jī)的時(shí)候手動(dòng)分配的。再次提醒,我的ETH1是留給iTV的,如果你沒這個(gè)需求,就一起加進(jìn)來。這里我用ETH5作為WAN口,連接寬帶。
3.?創(chuàng)建網(wǎng)橋
創(chuàng)建網(wǎng)橋是為了把ROS里面的網(wǎng)絡(luò)端口放在一起,這樣隨便插哪個(gè)端口都可以連接ROS的Web管理界面了。
登陸進(jìn)去之后,點(diǎn)擊左側(cè)菜單欄的【Bridge】,先給ROS添加一個(gè)網(wǎng)橋。
這里網(wǎng)橋首先只要做一個(gè)命名即可,其他都保持默認(rèn)就行,如上圖。
然后,把【Interface】的網(wǎng)口都加入到這個(gè)網(wǎng)橋里面,要一個(gè)個(gè)添加,預(yù)留的WAN口不要加進(jìn)來。如下圖。
如上圖所示,我們剛創(chuàng)建的網(wǎng)橋,就把所有端口添加進(jìn)來了。注意不要把WAN口加進(jìn)來。
4.?創(chuàng)建PPPOE撥號(hào)
?以為我加的寬帶環(huán)境是電信撥號(hào),所以光貓只處理光電信號(hào),路由功能還是交給專門的路由器為好。如果你家是自動(dòng)分配的,也可以設(shè)置,不過要看下篇文章。
?首先WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【Interface】,然后在“Interface”選項(xiàng)卡中點(diǎn)擊“+”號(hào),選擇【PPPOE Client】,如下圖所示:
在上圖中,Name:填寫撥號(hào)連接名稱,也可保持默認(rèn)。Max MTU:可手動(dòng)填寫,一般保持默認(rèn)即可。Max MRU:可手動(dòng)填寫,一般保持默認(rèn)即可。Interface:選擇需要用于撥號(hào)的端口,此端口需連接至光貓的WAN口,須確保端口選擇正確,否則將無法撥號(hào)成功。我這里用地ETH5作為WAN口。
?接著,我們?cè)O(shè)置寬帶賬號(hào)密碼,還是在上圖中,點(diǎn)擊【Dial Out】選項(xiàng)卡。如下圖所示:
撥號(hào)連接成功后在【Interface】界面PPPOE撥號(hào)前方會(huì)有一個(gè)“R”表示,代表已經(jīng)連接成功,同時(shí)將有出口和入口流量。如下圖所示:
5.?設(shè)置網(wǎng)關(guān)
?首先WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【IP】,在彈出菜單中選擇【Adresses】,如下圖所示:
然后在彈出對(duì)話框中點(diǎn)擊“+”號(hào),在彈出對(duì)話框中填入相關(guān)信息。如下圖:
首先,【Address】填入規(guī)劃好的ROS的IP地址,24代表子網(wǎng)掩碼“255.255.255.0”。【Network】中填入“10.0.0.0”,這里說下如果你的ROS的IP地址是“192.168.1.1”那么這里的【Network】就填入“1192.168.1.0”。最后【Interface】選擇之前創(chuàng)建的網(wǎng)橋。
6.?設(shè)置DHCP地址池
首先WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【IP】,在彈出菜單中選擇【Pool】,在彈出的【IP Pool】對(duì)話框中,選擇【Pools】選項(xiàng)卡,點(diǎn)擊“+”號(hào),如下圖所示:
Name:隨意填寫,能區(qū)分即可。Address:此處為一個(gè)IP地址范圍,文章中為10.0.0.10-10.0.0.2490,也就是說設(shè)備聯(lián)網(wǎng)后將分配這個(gè)IP段內(nèi)的地址。
7.?設(shè)置DHCP服務(wù)器
首先WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【IP】,在彈出菜單中選擇【DHCP Server】,在彈出的【DHCP Server】對(duì)話框中,選擇【DHCP】選項(xiàng)卡,點(diǎn)擊“+”號(hào),如下圖所示:
Name:自定義提阿尼額。Interface:選擇已經(jīng)創(chuàng)建好網(wǎng)橋“ros_bridge”,意味著該網(wǎng)橋內(nèi)的所有設(shè)備都通過創(chuàng)建的DHCP Server下發(fā)IP地址。Lease Time:租約時(shí)間(在一定的時(shí)間內(nèi),路由器會(huì)把ip地址僅分配給指定的mac地址使用),默認(rèn)為10分鐘,可根據(jù)需求修改。Address Pool:選擇已經(jīng)創(chuàng)建好的地址池。全部設(shè)置好后點(diǎn)擊Apply,OK保存設(shè)置。
接著,仍然使用WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【IP】,在彈出菜單中選擇【DHCP Server】,在彈出的【DHCP Server】對(duì)話框中,選擇【Networks】選項(xiàng)卡,點(diǎn)擊“+”號(hào),如下圖所示:
Address:填入10.0.0.0/24(如管理IP為192.168.1.1,則此處填入192.168.1.0/24,/24表示子網(wǎng)掩碼255.255.255.0)。Gateway(網(wǎng)關(guān)):填入10.0.0.1(ROS本身IP)。Netmask(子網(wǎng)掩碼):填入24。DNS Servers填入10.0.0.1(ROS本身IP)。最后點(diǎn)擊“Apply”應(yīng)用,然后再點(diǎn)擊“OK”確認(rèn)。
8.?DNS設(shè)置
使用WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【IP】,在彈出菜單中選擇【DNS】,在彈出的【DNS Settingr】對(duì)話框中,設(shè)置相關(guān)信息,如下圖所示:
點(diǎn)擊Servers后面的下箭頭添加DNS,填入公共的DNS,將Allow Remote Requests(允許遠(yuǎn)程請(qǐng)求)打鉤。點(diǎn)擊OK,保存設(shè)置。
9.?NAT設(shè)置
使用WinBox進(jìn)入ROS,在左側(cè)菜單欄點(diǎn)擊【IP】,在彈出菜單中選擇【Firewall】,在彈出的【Firewall】對(duì)話框中,選擇【NAT】選項(xiàng)卡,點(diǎn)擊“+”號(hào),彈出【New NAT Rule】,在此對(duì)話框的【General】選項(xiàng)卡中的“Chain”的值選擇“srcnat”,如下圖所示:
?接著,在彈出的【New NAT Rule】對(duì)話框中,選擇【Action】選項(xiàng)卡,設(shè)置“Action”的值為“masquerade”。如下圖所示:
最后點(diǎn)擊Apply,OK。
10.?注意事項(xiàng)
通過過上述設(shè)置,ROS就可以連上網(wǎng)了,可以去Interface里面查看一下端口數(shù)據(jù)流通情況。
1)?查看PPPOE撥號(hào)是否正常。
2)?如果PPPOE正常,WAN口和LAN口都有數(shù)據(jù)流通,還上不了網(wǎng),那么請(qǐng)用WinBox接入ROS,點(diǎn)擊左側(cè)菜單欄【IP】菜單,彈出的菜單中接著點(diǎn)擊【DNS】,查看一下“Dynamic Servers”后面是否有異常的IP,該IP不屬于你規(guī)劃的網(wǎng)段,那么刪掉就可以上網(wǎng)了。如下圖所示:
11.?ROS安全設(shè)置
1)?禁用不常用的服務(wù)
點(diǎn)擊左側(cè)菜單欄【IP】菜單,彈出的菜單中接著點(diǎn)擊【Services】,選中要禁用的服務(wù),并點(diǎn)擊左上角紅色“X”號(hào),即可禁用相關(guān)服務(wù),禁用后服務(wù)將置灰,建議僅保留WinBox服務(wù)即可。如下圖所示:
如上圖所示,我個(gè)人就保留了“winbox”和“www”(web管理頁面)這兩項(xiàng),如果你有其他需要可以開啟適合自己的服務(wù),比如ssh和ftp等等。在“Port”列,可以修改服務(wù)端口,比如Web管理頁面默認(rèn)是80端口,你可以改成其他的。
2)?關(guān)閉公網(wǎng)DNS查詢
關(guān)閉公網(wǎng)DNS查詢是為了防止你的ROS被劫持為肉雞作為DDOS的攻擊器,那么需要以下設(shè)置:
如上圖所示,點(diǎn)擊左側(cè)菜單欄【IP】菜單,彈出的菜單中接著點(diǎn)擊【Firewall】,在彈出的對(duì)話框中選擇“Rules”,然后點(diǎn)擊“+”號(hào),在【General】選項(xiàng)卡中,Chain選擇Input;Protocol選udp;Dst.port填入53;In.interface選擇ROS的WAN口(例如我這里是ETH5)。然后切換至【Action】選項(xiàng)卡,Action選drop,點(diǎn)擊Apply,OK保存設(shè)置。
3)?禁止外網(wǎng)Ping
禁止外網(wǎng)Ping,是為了你的路由器ROS被外網(wǎng)Ping掃描,設(shè)置如下圖所示:
?如上圖所示,點(diǎn)擊左側(cè)菜單欄【IP】菜單,彈出的菜單中接著點(diǎn)擊【Firewall】,在彈出的對(duì)話框中選擇“Rules”選項(xiàng)卡,然后點(diǎn)擊“+”號(hào),在【General】選項(xiàng)卡中Chain選擇Input、Src-address將方框選中并填入自己的內(nèi)網(wǎng)IP段(比如我規(guī)劃的網(wǎng)段10.0.0.0/24,/24表示255.255.255.0)、Protocol選icmp,切換至Action選項(xiàng)卡,Action選drop,點(diǎn)擊Apply,OK保存設(shè)置。通過此條防火墻規(guī)則,防止ROS被外網(wǎng)Ping掃描。
4)?備份ROS路由器設(shè)置
上面設(shè)置這么多內(nèi)容,萬一重裝了從頭開始,就太麻煩了,ROS自帶了備份工具,如下圖所示:
如上圖所示,點(diǎn)擊左側(cè)菜單欄【Files】菜單,彈出的對(duì)話框“File List”中接著點(diǎn)擊【Backup】選項(xiàng)卡,在彈出的對(duì)話框中填入備份名稱,選擇是否加密,然后點(diǎn)擊【Backup】按鈕即可。然后在“File List”對(duì)話框中可以看到的備份文件,然后右鍵點(diǎn)擊該文件,在彈出菜單中選擇“Download”下載到本地。
五、?請(qǐng)使用正版
請(qǐng)去官網(wǎng)購(gòu)買正版軟件并購(gòu)買正版授權(quán),我提供的下載鏈接僅供測(cè)試使用,多的話不說。
