MikroTik RouterOS应用事例讲解（三）

 

如何实现RouterOS的动态流量控制

在局域网中因为网络带宽的问题，需要对网络流做控制，但又因为做固定的流量控制的时候，会造成在上网空闲时候带宽的浪费，这里我们可以同RouterOS的PCQ算法完成对内部局域网流量的动态分配,如下图所示：

                 

通过上图，我们可以看到当PCQ的速率设定为128k的时候，平均每个用户将会得到同样的带宽128k，当上网高峰期的时候PCQ才会做二次流量分配，如果PCQ的速率在开始就设定为0k，这样在一个用户的时候就可以得到全部带宽，之后是2个用户平均分配，依次类推，但最后带宽会控制在73k的范围内，控制最小使用带宽，保证用户正常使用。

首先进入Queue Type中配置PCQ的上行和下行：

                         
在配置PCQ的速率的时候将rate=0，即每个用户不用配置流量速率，下面是down即下行的配置：

                         
同样在上行配置如下：

                         
    在配置好Queue Type后我们进入Simple Queue中配置流量控制规则，这里我们的总出口带宽假设为1M，上行带宽为512k，内网地址段为192.168.10.0/24：

             
接下来配置Interface和Queue Type，选择上行和下行的PCQ类型分别为Up和Down：

       

这样PCQ的动态流量控制就设定完成了，这样就能实现根据用户数占用流量来动态分配带宽，这样能达到带宽的有效分配和利用。

PPTP借线操作

假设一个接入点A有电信和网通两条线路，并做了以网通为主，电信为静态路由策略设置。而另一个接入点B接入了网通的线路，并且想通过PPTP隧道的方式借用接入点A的电信线路，现在看下面的图例

                       

根据上面的案例，接入点A和B他们都是共同使用了网通的线路，这里网通两个点之间的延迟小于10ms，网络延迟小才能保证足够的网速给B做电信的访问。首先建立从接入点B到A的PPTP隧道，我们在接入点A设置PPTP服务器，在接入点B设置客户端。这里接入点A的网通IP地址为202.112.12.10，B网通地址为202.112.12.12。

配置PPPTP-Server

在接入点A启用PPTP-Server，并设置密码传输的加密类型：

                  

在这里Default-Profile我们采用default-encryption，同样你也可以在PPTP-Server的profiles中创建自己的规则。Keepalive-Timeout是PPTP-Server主动使用ICMP协议探测客户端是否在线，如果客户端使用了防火墙或禁止ICMP探测，那无法探测到客户端，Server就会主动断开该客户端的连接，这个设置需要用户自己根据网络情况判断。

设置Profile定义客户和主机的访问地址：

                        

在这里我们给PPTP-Server分配的IP地址为192.168.100.1(local-address) ，给客户端分配的地址为192.168.100.2(remote-address) 。分配IP地址也可以通过账号设置Secrets进行，在这里我们只有一个客户端所有可以直接通过profile中的规则设置，如果有多个客户端也可以通过/ip pool中的地址池做DHCP的分配。

配置limit参数：

                      

在limit参数中，我们可以看到idle-timeout，这个是客户端在没有流量超过1分钟后，就断开客户端。Rate-limit是对该类用户的流量控制这里设置的上行为512K，下行1M的带宽。最后是only-one该账户是否为唯一，这里设置为yes。

设置客户端的账号密码：

                      

进入secret设置账号和密码以及相关信息，设置好name和password后，选择service服务类型为pptp，profile规则为default-encryption。这样PPTP-Server就已经设置完成。

配置PPTP-Client

完成PPTP服务设置后，现在开始设置接入点B的PPTP-Client，进入PPP选项添加PPTP-Client：

                          
进入dial-out设置PPTP拨号信息，在server-address的地址为202.112.12.10级接入点A的网通地址：

                          

设置账号和密码分别为cdnat，设置完成后，便可以与接入点A的PPTP-Server连接。

路由配置

在这里接点A和B都做了IP地址的NAT转换，且接点A已经做了电信的静态路由规则，即A点可以实现访问网通和电信的分流，在A点不需要在做任何设置。B点就需要指定通过AB两点间的PPTP隧道到电信的线路，他指定的网关为A点的PPTP的IP地址（192.168.100.1）

设置电信访问的网关：

                 

通过编辑电信的路由脚本，并导入路由表中，则实现了通过PPTP隧道使用A接入点的电信线路，完成了借线功能。

Mikrotik HotSpot配置

         Hotspot热点服务认证是一种友好的web方式的认证系统，在此种认证方式中，系统将自动要求未认证用户打开认证网页，验证通过后，便可连接到因特网，未认证用户无论输入任何一个网站地址，都会被强制到一个认证界面，要求用户进行认证。

基于web认证的接入网关要维护一个IP地址或MAC列表，依照这个表对所有收到的每个数据包进行检查，查看该数据包是否在允许通过之列，凡是开机后第一次进行www浏览的而没有通过认证的数据包，不被允许通过，接入网关会将一个web的认证界面推给用户，让用户进行认证，认证通过后，就把该用户的IP地址加入到IP地址列表中，如果不是有权用户HTTP包文就丢弃，如果收到的包允许通过，就进行地址转换或直接使用公网地址替换原地址，而后送出。基于web认证的接入网关也可以通过Radius进行认证，此时Hotspot认证账号管理作为Radius的client。将接收到的要求认证的数据转发给Radius服务器，Radius服务器会在自己的数据内查询用户资料，并判断是否能通过。

下面是一个HotSpot认证系统情况结构：

    上面是用HotSpot做为认证网关，内网防火墙用户阻止用户的一些非法数据，保证认证网关的安全，过滤用户向外发出的相应病毒端口，控制用户对外的访问端口、数据、服务等。在内网设置防火墙是考虑到更多的病毒攻击和非法访问，以及过大的数据流量大多来至内网，当然你完全可以选择在认证网关前面增设一台对外的防火墙以保证网络更高的安全和稳定性。

                           

VRRP虚拟冗余路由协议

热点认证系统是提供一套完整的容错硬件和软件解决方案。为了保证网络永不中断，采用了以下双重方式：提供VRRP的虚拟冗余路由协议，保证一台认证系统出现故障，另外一台马上接替工作。

支持各种主流的网络接入
   热点认证系统支持PSTN、ISDN、DDN、ADSL、CABLE。支持高达1000M的网络接口，而不会降低网络出口的速度。

支持多种账户管理

面向用户的网管计费系统，支持用户上网的唯一性控制， 无论用户通过哪一台计算机访问Internet，可以对他们进行管理和计费，支持动态地址分配、静态地址 、MAC地址与帐号绑定，MAC与IP绑定，帐号与IP绑定。
支持多种用户类型，并支持新用户类型的扩展
A类帐号用户：不能访问国外站点
B类帐号用户：能够访问国外站点

方便的使用

无论您是管理员还是用户，您都能感觉到热点认证系统给您带来的方便，对于管理员，我们在提供友好的管理客户端的同时，添加了WEB管理和查询。对于用户的使用，我们不强迫您安装客户端（您也可以安装客户端，方便您的上网），只要您有浏览器，简单的通过浏览器验证就可以使用网络，并且，用户可以通过浏览器查询使用的时间，流量，费用等相关情况。

支持用户分组管理

热点认证系统支持对不同的用户类别进行分组管理，管理更加方便。