ros 软路由防火墙规则
ros 软路由防火墙规则
routeros防火墙功能非常灵活。routeros防火墙属于包过滤防火墙，你可以定义一系列的规则过滤掉发往routeros、从routeros
发出、通过routeros转发的数据包。在routeros防火墙中定义了三个防火墙（过滤）链（即input、forward、output），你可
以在这三个链当中定义你自己的规则。&&&&&&&input意思是指发往routeros自己的数据（也就是目的ip是routeros接口中的一个ip地址）；&&&&&&&output意思是指从routeros发出去的数据（也就是数据包源ip是routeros接口中的一个ip地址）；&&&&&&&forward意思是指通过routeros转发的（比如你内部计算机访问外部网络，数据需要通过你的routeros进行转发出去）。&&&&&&&禁
止ping&routeros，我们一般需要在input链中添加规则，因为数据包是发给routeros的，数据包的目标ip是routeros的一个
接口ip地址。（当然如果你硬是要在output里建立一条规则过滤掉icmp信息也能做到ping不通，当你ping的数据包到达routeos
时，routeos能接收这个数据包并做出回应，当routeros回应给你的包要发出去的时候会检查output的规则并过滤掉回应你的包。）在
每条链中的每条规则都有目标ip，源ip，进入的接口（in&interface），非常灵活的去建立规则。比如ROS禁止PING，禁止外网ping你
routeros，只需要在in&interface中选择你连外部网络的接口。禁止内部ping的话可以选择连你内部网络的接口。如果禁止所有的
ping的话，那么接口选择all。当然禁止ping&协议要选择icmp&，action选择drop或reject。&&&&&&&另
外要注意的就是，icmp协议并不是就指的是ping，而是&ping是使用icmp协议中的一种（我们ping&出去发送的数据包icmp协议的类型为
8&代码为0，在routeros中写为icmp-options=8：0；而我们对ping做出回应icmp类型为0&代码为0），还有很多东西也属于
icmp协议。打个比方，如果你禁止内部网络ping所有外部网络，可以在forward链中建立一条规则，协议为icmp，action为drop，其
他默认，那么你内部网络ping不通外部任何地址，同时如果你用trancroute命令跟踪路由也跟踪不了。在做规则是要注意每一个细节。&&&&&&&还有就是，input，output，forward三条链在routeros中默认都是允许所有的数据。也就是除非你在规则中明确禁止，否则允许。可以通过ip&firewall&set&input&policy=drop等进行修改默认策略ros防火墙名词解释input&-&进入路由，并且需要对其处理forward&-&路由转发output&-&经过路由处理，并且从接口出去的包action：1&accept：&接受add-dst-to-address-list&-&把一个目标IP地址加入address-listadd-src-to-address-list&-&把一个源IP地址加入address-list2&drop&-&丢弃3&jump&-&跳转，可以跳转到一个规则主题里面，如input&forward，也可以跳转到某一条里面4&log&-&日志记录5&passthrough&-&忽略此条规则6&reject&-&丢弃这个包，并且发送一个ICMP回应消息7&return&-&把控制返回给jump的所在8&tarpit&-&捕获和扣留&进来的TCP连接&(用SYN/ACK回应进来的TCP&SYN&包)address-
list&(name)&-&把从action=add-dst-to-address-list&or&action=add-src-to-
address-list&actions得到的IP地址放入address-list列表.&这个列表要用来对比address-list-
timeout&看是什么时候用address-list&parameter从address&list中移走chain&(forward&|&input&|&output&|&name)&-&使用chain得到特定列表，不同的数据流经过不同的chain规则要仔细的选对正确的访问控制.&如果&input&不是非常的确定和一个新的规则需要添加注释,transfered&through&the&particular&connection0的意思是无限的,例如&connection-bytes=&意思是2MB以上connection-limit&(integer&|&netmask)&-&地址的传输流量控制connection-mark&(name)&-&传输中的标记后的数据包connection-state&(estabilished&|&invalid&|&new&|&related)&-&连接的状态（连接中，不规则的连接，新的连接，相互联系的连接）connection-type&连接的类型&（ftp&|&gre&|&h323&|&irc&|&mms&|&pptp&|&quake3&|&tftp)content&包的内容dst-address&(IP&address&|&netmask&|&IP&address&|&IP&address)&-&目标地址dst-address-list&(name)&-&目标地址表dst-address-type&(unicast&|&local&|&broadcast&|&multicast)&-&目标地址类型unicast&-点对点local&-&本地地址broadcast&-&广播multicast&-&多播dst-limit&(integer&|&time&|&integer&|&dst-address&|&dst-port&|&src-address&|&time)&-&目标限制Count&-&每秒最大的包数量by&Time&optionTime&-&时间Burst&-&突发的Mode&-等级优先Expire&-&终止dst-port&目标端口hotspot&暂时不做学习icmp-options&(integer&|&integer)&-&ICMP&选择in-interface&(name)&-&进入接口ipv4-options&(any&|&loose-source-routing&|&no-record-route&|&no-router-alert&|&no-source-routing&|no-timestamp&|&none&|&record-route&|&router-alert&|&strict-source-routing&|&timestamp)any&-&match&packet&with&at&least&one&of&the&ipv4&optionsloose-source-routing&-&match&packets&with&loose&source&routing&option.&This&option&is&used&toroute&the&internet&datagram&based&on&information&supplied&by&the&sourceno-record-route&-&match&packets&with&no&record&route&option.&This&option&is&used&to&route&theinternet&datagram&based&on&information&supplied&by&the&sourceno-router-alert&-&match&packets&with&no&router&alter&optionno-source-routing&-&match&packets&with&no&source&routing&optionno-timestamp&-&match&packets&with&no&timestamp&optionrecord-route&-&match&packets&with&record&route&optionrouter-alert&-&match&packets&with&router&alter&optionstrict-source-routing&-&match&packets&with&strict&source&routing&optiontimestamp&-&match&packets&with&timestampjump-target&(forward&|&input&|&output&|&name)&-跳转limit&(integer&|&time&|&integer)&-&限制Count&-&每秒最大的包数量Time&-&突发的总时间log-prefix&(text)&-&如果还有定义的字符，加入日志out-interface&(name)&-&流出的接口p2p&(all-p2p&|&bit-torrent&|&blubster&|&direct-connect&|&edonkey&|&fasttrack&|&gnutella&|&soulseek&|&warez|&winmx)&-&P2P协议packet-mark&(text)&-&给包标记packet-size&(integer:&0..65535&|&integer:&0..65535)&-&包大小range&in&bytesMin&-&最小Max&-&最大phys-in-interface&(name)&-&物理上的进入接口phys-out-interface&(name)&-物理上的出去接口protocol&(ddp&|&egp&|&encap&|&ggp&|&gre&|&hmp&|&icmp&|&idrp-
cmtp&|&igmp&|&ipencap&|&ipip&|&ipsec-ah&|ipsec-esp&|&iso-
tp4&|&ospf&|&pup&|&rdp&|&rspf&|&st&|&tcp&|&udp&|&vmtp&|&xns-
idp&|&xtp&|&integer)&-协议psd&(integer&|&time&|&integer&|&integer)&-&防止对ROS的端口扫描random&(integer:&1..99)&-&matches&packets&randomly&with&given&propabilityreject-with&(icmp-admin-prohibited&|&icmp-echo-reply&|&icmp-host-prohibited&|icmp-
host-unreachable&|&icmp-net-prohibited&|&icmp-network-
unreachable&|&icmp-port-unreachable&|icmp-protocol-unreachable&|&tcp-
reset&|&integer)&-&改变reject的回答方式routing-mark&(name)&-&路由标记src-address&(IP&address&|&netmask&|&IP&address&|&IP&address)&-源地址src-address-list&(name)&-源地址列表src-address-type&(unicast&|&local&|&broadcast&|&multicast)&-&源地址类型src-mac-address&(MAC&address)&-&源MAC地址src-port&(integer:&0..65535&|&integer:&0..65535)&-&源端口tcp-flags&(ack&|&cwr&|&ece&|&fin&|&psh&|&rst&|&syn&|&urg)&-TCP&标志类型ack&-&acknowledging&datacwr&-&congestion&window&reducedece&-&ECN-echo&flag&(explicit&congestion&notification)fin&-&close&connectionpsh&-&push&functionrst&-&drop&connectionsyn&-&new&connectionurg&-&urgent&datatcp-mss&(integer:&0..65535)&-&TCP&MSStime&(time&|&time&|&sat&|&fri&|&thu&|&wed&|&tue&|&mon&|&sun)&-&allows&to&create&filter&based&on&the&packets'arrival&time&and&date&or,&for&locally&generated&packets,&departure&time&and&datetos&(max-reliability&|&max-throughput&|&min-cost&|&min-delay&|&normal)&-&specifies&a&match&for&thevalue&of&Type&of&Service&(ToS)&field&of&an&IP&headermax-reliability&-&maximize&reliability&(ToS=4)max-throughput&-&maximize&throughput&(ToS=8)min-cost&-&minimize&monetary&cost&(ToS=2)min-delay&-&minimize&delay&(ToS=16)normal&-&normal&service&(ToS=0):foreach&i&in=[/system&logging&facility&find&local=memory&]&do=[/system&logging&facility&set&$i&local=none]RO防synip-firewall-connectionsTracking:TCP&Syn&Sent&Timeout:50&&&&&&&&&&&&&&&&&TCP&syn&received&timeout:30限线程脚本：:for&aaa&from&2&to&254&do={/ip&firewall&filter&add&chain=forward&src-address=(192.168.0.&.&$aaa)&protocol=tcp&connection-limit=50,32&action=drop}RO端口的屏蔽ip-firewall-Filer&Rules里面选择forward的意思代表包的转发firewall&rule-General&&&&&&&&&Dst.Address:要屏蔽的端口&&&&&&&&&Protocol:tcpAction:drop(丢弃）ros限速手动限速winbox---queues----simple&queues点“+”，NAME里随便填，下面是IP地址的确定①Target&Address&不
管，Dst.&Address里填&你要限制的内网机器的IP，比如我这里有个&1号机器&IP为&192.168.1.101，那
dst.address&里就填&192.168.1.101&然后是/32（这里的32不是指掩码了，个人理解为指定的意思）！②interface里&记着要选你连接外网那个卡，我这里分了“local和public”，所以选public③&其他的不管，我们来看最重要的东西拉，Max&limit&，这个东西是你限制的上限，注意的是&这里的数值是比特位，比如我要限制下载的速度为&500K&那么就填入多少呢？&500&X&1000&X&8=400&0000=4M。④&另
外，很多朋友都有个疑问，到底一般的用户会有多大流量呢？一般的网络游戏，如&梦幻西游&传奇&封神榜&等等，其下行在&20Kbps以内！&最耗网络资
源的就是下载-----我们就是为了限制它拉，其次是VOD点播，一般DVD格式的大约要&2M多吧，所以你看情况限制拉&别搞的太绝！！！限速脚本：:for&aaa&from&2&to&254&do=
{/queue&simple&add&name=(queue&.&$aaa)&dst-address=
(192.168.0.&.&$aaa)&limit-at=0/0&max-limit=0000}&说明：aaa是变量2&to&254是2~254192.168.0.&.&$aaa是IP上两句加起来是192.168.0.2~192.168.0.254connection-limit=50是线程数这里为50max-limit=0000是上行／下行使用：WinBox-System-Scripts-＋Name(脚本名程)Source(脚本)OK-选择要运行的脚本-Run&ScriptROS限速的极致应用一般我们用ros限速只是使用了max-limit，其实ros限速可以更好的运用。比如我们希望客户打开网页时速度可以快一些，下载时速度可以慢一些。ros2.9就可以实现。max-limit------我们最常用的地方，最大速度burst-limit--------突破速度的最大值burst-thershold--------突破速度的阀值burst-time-------突破速度的时间值解释一下图片的限制意义当
客户机在30秒（burst-time）内的平均值小于突破速度阀值（burst-thershold）180K时，客户机的最大下载速率可以超过最大限
速值（max-limit）200K，达到突破最大值（burst-limit）400K，如果30秒内平均值大于180K，那客户机的最大速度只能达到
200K。这样也就是当我们开网页时可以得到一个更大的速度400K，长时间下载时速度只能得到200K，使我们的带宽可以更有效的利用动态限速ROS动态限速（检测外网总速度进行限速开关）废话不说先看脚本原理：以下操作全部在WINBOX界面里完成介绍：可以实现在总速度不超过9M的情况下自动关闭所有生成的限速规则在总速度超过18M的时候自动启动所有生成的限速规则。说明：在输入脚本内容时不要把两边的（）带上，那个是为了区分非脚本字符。&&&&&&&&&&&&&总速度=你的外网网卡当前速度。打开&/system/scripts脚本::for&aaa&from&1&to&254&do={/queue&simple&add&name=(ip_&.&$aaa)&dst-address=(192.168.0.&.&$aaa)&interface=wan&max-limit=000&burst-limit=0000&burst-threshold=000&burst-time=30s/1m&&&&&&&&&}上面是生成限速树，对网段内所有IP的限速列表！下面进入正题：脚本名：node_on脚本内容：（:for&aaa&from&1&to&254&do={/queue&sim&en&[find&name=(ip_&.&$aaa)]}）脚本名：node_off脚本内容：（:for&aaa&from&1&to&254&do={/queue&sim&dis&[find&name=(ip_&.&$aaa)]}）scripts（脚本部分）以完成打开&/tools/traffic&monitor新建：名：node_18M&&&&&&&&&traffic=received&&&&&&&&&trigger=above&&&&&&&&&on&event=node_on&threshold:新建：名：node_9M&&&&&&&&&traffic=received&&&&&&&&&trigger=below&&&&&&&&&on&event=node_off&&&&&&&&&threshold:9000000在输入脚本内容时不要把两边的（）带上，那个是为了区分非脚本字符。RO映射ip-firewall-Destination&NATGeneral-In.&Interface&all(如果你是拨号的就选择pppoe的、固定IP选择all即可）&&&&&&&&&Dst.&Address:外网IP/32&&&&&&&&&Dst.&Port:要映射的端口&&&&&&&&&Protocol:tcp(如果映射反恐的就用udp)Action&action:nat&&&&&&&&&TO&Dst.Addresses:你的内网IP&&&&&&&&&TO&Dst.Ports:要映射的端口ip伪装ip-firewall-Source&NATAction&Action:masquerade(IP伪装）回流（因为假如说在本网吧做SF需要回流）ip-firewall-Source&NAT在general-Src.address：&192.168.0.0/24&&&&&&&&&这里特殊说明下&&&&&&&&&内网ip段&&&&&&&&&24代表定值不可修改RO的IP:mac绑定绑定:foreach&i&in=[/ip&arp&find&dynamic=yes&]&do=[/ip&arp&add&copy-from=$i]解除绑定:foreach&i&in=[/ip&arp&find&]&do=[/ip&arp&remove&$i]完了在interfaces里面选择内网在选择reply-onlyRO设置的备份（两总方法）files-file&listbackup即可（可以到你的ftp里面找）背份资料命令行：system回车backup回车save&name=设置文件名&回车资料恢复命令system回车backup回车load&name=文件名&&&&&&&&&回车
发表评论：
TA的最新馆藏[转]&[转]&[转]&为了适应wordpress最新的版本，本站模板已更新
> 无线Nstreme配置ROS
Nstreme 点对点高带宽设置
Nstreme 是 RouterOS 独有的协议，支持数据帧重组，提高 WLAN 无线传输带宽，使用 Nstreme 特别依赖CPU性能，如果采用 RB433AH 在 5G-turbo 模式下可以获得70Mbps的带宽。注意：Nstreme 不支持 ap-bridge 对 ap-bridge 的模式
点我们可以采用 ap-bridge 或者 birdge 方式，在这里我们推荐使用 ap-bridge 与 station-wds 的桥接方式，如下图：
设置在ap-bridge和station-wds模式的我们分以下步骤：
在 ap-bridge 和 station-wds 中添加 bridge，定义 bridge 的接口，并分配管理的 IP 地址
配置 ap-bridge 和 station-wds 的无线参数
检查桥接连接情况
步骤1：进入bridge添加bridge1的桥接，通常情况下我会开启rstp协议，启用生成树协议：
添加 ether1 和 wlan1到 brdige1 桥接中，这里在 interface 中分别添加 ether1 和 wlan1 进入 bridge1 中。这样 ether1 和 wlan1 就实现了桥接功能，能实现数据二层的透明传输：
注：在RouterOS3.0的bridge中增加了一个设置选项，是否选择 ip firewall 过滤，如果不使用 ip firewall 过滤路由器的桥接转发速度将提升性能，但如果你要求对无线传输过程中的IP数据进行过滤处理，那就需要开启 use-ip-firewall 功能：
注：以上配置操作适用于 ap-bridge 和 station-wds设备
设置完桥接后我们进入 ip address 给 ap-bridge 和 station-wds 的 bridge 配置一个IP地址 192.168.10.1/24 和 192.168.10.2/24，用于管理设备和监测用。这样 wlan1 口和 ether1 都能分配到这个地址。命令如下：
ap-bridge设备
/ip address add address=192.168.10.1/24 interface=bridge1
station-wds设备
/ip address add address=192.168.10.2/24 interface=bridge1
步骤2：桥接和IP地址设置好后，现在配置ap-bridge和station-wds的无线参数。
设置ap-bridge的无线，这里mode=ap-bridge，band=5G，frequency=5200，SSID=CDNAT
配置 ap-bridge 的 WDS 模式，配置参数 wds-mode=dynamic-mesh（动态方式），wds-default Bridge=bridge1（将连接无线添加到bridge中）
配置 station-wds 端的设置只需要将 Mode=station-wds band=5G，SSID=CDNAT，不需要设置 Frequency 参数，station-wds 在匹配 Band 和 SSID 后会自动搜索：
在 station-wds 模式下与 ap-bridge 的WDS参数配置相同
步骤3：当配置完成后，我们可以通过在 ap-brdige 端的设备查看是否连接，如果正常连接后 ap-bridge 端的 Wireless Tables 下会在 wlan1 前现时“R”，并增加一个 wds1 的无线接口。
在ap-bridge 下的 Bridge 中可以看到，WDS 模式自动将 wds1 接口添加到 Port 中：
我们可以通过在无线注册信息列表中查看信号强度：
这里显示的是-63，信号能连接使用的最低值在“-88到-90”，数字越接近正数“1”信号越强。Station-wds 端在连接后会自动适用 ap-bridge 的参数，并正常通信。
启用Nstreme协议
MikroTik 都有的 Nstreme 协议用于长距离的无线传输、增加带宽和提高网络质量的作用。 Nstreme 只支持 ap-bridge to station/station-wds，不支持 ap-bridge to ap-bridge，所以通常 Nstreme 被用于点对点传输或点对多点传输。启用 Nstreme 的操作只需要进入无线网卡配置的 Nstreme 选项。
在我们做点对点传输的时候，可以启用 Nsteme 协议，提高网络安全和传输质量。Ap-bridge 的配置，启用 Nsteme 协议，禁止 CSMA 协议，并选择最好的帧传输：
Station 和 station-wds 的配置，只需要启用即可：
Nstreme 协议必须双方同时启用，才能正常连接，所以配置 Nstreme 时一定要注意。
转载请注明： &
or分享 (0)ROS.PPPOE拨号上网基本设置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
ROS.PPPOE拨号上网基本设置
||暂无简介
总评分3.9|
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩16页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢ROS软路由防火墙配置规则_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
ROS软路由防火墙配置规则
||暂无简介
高级维修电工|
总评分3.6|
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩3页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢查看: 1537|
摘要: 在PPPoE（以太网点对点协议）协议提供了广泛的用户管理，网络管理和会计核算的好处，互联网服务供应商（ISP）和网络管理员。目前PPPOE主要被ISP用于xDSL，线缆调制解调器以及普通的以太网络控制客户端连接。PPPoE是 ...
进入()在PPPoE（以太网点对点协议）协议提供了广泛的用户管理，网络管理和会计核算的好处，互联网服务供应商（ISP）和网络管理员。目前PPPOE主要被ISP用于xDSL，线缆调制解调器以及普通的以太网络控制客户端连接。PPPoE是标准点到点对点协议（PPP）的延伸。它们之间的区别是体现在运输方式：PPPoE协议采用以太网，而不是串行调制解调器连接。一般来说，使用PPPOE来伸手，基于用户名（工作站，如果需要的话）认证，而不是工作站的唯一身份验证，使用静态IP地址或DHCP客户端的IP地址。谏不使用静态IP地址或DHCP PPPoE设置明显的安全原因相同的接口。PPPoE客户端和服务器工作在任何以太网级别的路由器上的接口 - Aironet设备，思科的WaveLAN，棱镜，Atheros的802.11（无线），10/100/1000 Mbit / s以太网，RadioLan EoIP（以太网over IP隧道）。功能列表PPPoE服务器和客户端的支持;多链路PPP（MLPPP）;MLPPP在单一链路（全尺寸帧传输能力）;BCP（桥控制协议）支持 - 允许PPP链路发送原始以太网帧;MPPE 40位和128位的RSA加密MPPE;PAP，CHAP，MSCHAP V1/V2认证;RADIUS支持客户端身份验证和记帐。请注意，的MS-CHAPv1或MS-CHAPv2的RADIUS服务器验证用户使用CHAP，RADIUS协议不使用共享的秘密，它仅用于认证答复。所以，如果你有一个错误的共享密钥，RADIUS服务器会接受请求。您可以使用/半径监视器命令，看坏答复参数。每当客户端尝试连接时，这个值应该增加。支持连接：MikroTik的RouterOS软路由的任何PPPoE服务器的PPPoE客户端（访问集中器）MikroTik的：RouterOS软路由的服务器（访问集中器），多个PPPoE客户端（客户端都可以做几乎所有的操作系??统和大多数路由器）产品规格所需的软件包：PPP许可证要求：一级（限于1接口），Level3的（限于200接口），级别4（限于200接口），LEVEL5（限于500接口），6级（无限）子菜单级别：/接口PPPOE服务器/接口PPPOE客户端标准和技术：PPPoE协议（RFC 2516）硬件用法：PPPoE服务器可能需要额外的RAM（使用约9KiB（10KiB加额外的数据包队列，如果数据传输速率限制使用）每个连接）和CPU电源。最大支持65535连接。快速安装指南MikroTik的RouterOS软路由的配置PPPoE客户端，只需增加一个PPPoE客户端：/接口PPPOE客户端&& 添加名称= PPPOE用户麦克风用户=用户密码= passwd的接口= WLAN1 \& 禁用服务名称=网络=MikroTik的RouterOS软路由的配置是一个接入集中器（PPPoE服务器）：添加一个地址池为客户从10.1.1.62到10.1.1.72;添加PPP轮廓;添加PPP秘密（用户名/密码）;加入PPPoE服务器本身。/ IP池&添加名称=“PPPOE池”范围= 10.1.1.62-10.1.1.72/ PPP简介&添加名称=“PPPoE瞩目的”本地地址= 10.1.1.1远程地址= pppoe的池/ PPP秘密的&添加名称=用户密码= passwd服务= PPPOE轮廓= pppoe的配置文件/接口的PPPoE服务器服务器&添加服务名称=互联网接口= WLAN1默认配置pppoe的配置文件PPPoE的操作阶段PPPoE具有两个阶段：Discovery阶段-一个客户端发现所有可用的接入集中器，并选择其中一个建立PPPOE session.This阶段，有四个步骤：初始化，报价，请求和会话确认。PPPoE发现使用特殊的以太网帧，用自己的以太网帧类型0x8863。要主动发现，PPPoE客户端发送PADI帧的广播以太网地址（FF：FF：FF：FF：FF：FF），可以指定特定的服务名。当服务器收到PADI帧，它响应客户端的单播以太网地址PADO帧。可以有一个以上的服务器的客户机的广播范围。在这种情况下客户端收集PADO帧，并选择一个（在大多数情况下，它拿起首先响应的服务器）来启动会话。客户端发送PADR框架的单播以太网地址的服务器选择。如果服务器同意建立一个会话与这个特定的客户端，它分配资源设立PPP会话分配会话ID数。PADS帧，此号码被发送回客户端。当客户端收到PADS帧，它知道服务器的MAC地址和会话ID，分配资源，并可以开始会话。会议-当发现阶段完成后，双方都会知道PPPoE会话ID和其他同行的Etehrnet，（MAC）地址一起定义PPPoE会话。PPP帧封装在的PPPoE会话框，其中有以太网帧类型0x8864。当服务器发送确认和客户端接收，PPP会话阶段开始，包括以下步骤：LCP协商认证IPCP协商 -客户端分配一个IP地址。PPPoE服务器发送到客户端来决定会话的状态ECHO-REQUEST报文，否则服务器将无法确定会话终止的情况下，当客户端终止会话，而不发送终止请求包。PPPoE协议的更详细的描述在RFC 2516中，可以发现使用的数据包的类型包 描述PADI PPPoE有效发现初始化PPPoE客户端发送一个PADI包发送到广播地址。这个包也可以填入“服务名称”字段，如果一个服务名称已经进入拨号网络的PPPoE宽带的Connectoid的性能。如果一个服务名，还没有进入这一领域不填充PADO PPPoE有效发现提供的PPPoE服务器，或接入集中器，应该回应PADO，如果访问集中器能够提供服务的“服务名称”字段中，已经上市的PADI分组，PADI。如果没有“服务名称”字段已经上市，接入集中器将响应与PADO包“服务名称”字段中填入访问集中器可以提供服务的服务的名称。PADO PPPoE客户端的单播地址的数据包发送到PADR PPPoE有效发现请求，当接收到PADO包，PPPoE客户端响应一个PADR包。此数据包被发送到单播地址的访问集中。客户端可能会收到多个PADO包，但客户端收到客户端的第一个有效的PADO响应。如果初始的PADI分组，有一个空白的“服务名称”字段中提起，客户端填充PADR包“服务名称”字段已返回PADO包的第一个服务名称。PADS PPPoE有效发现会话确认收到PADR被当，接入集中点到点对点协议（PPP）会话生成一个唯一的会话标识（ID），并返回这个ID在PADS包到PPPoE客户端。此数据包被发送到客户端的单播地址。PADT PPPoE有效发现终止后，随时可能会被发送建立会话，表明一个PPPoE会话终止。它可以由服务器或者客户端发送。MTU通常情况下，可以无分片传输的最大的以太网帧为1500字节。PPPoE协议增加了另外6个字节的开销和PPP领域增加了两个字节，1492字节的IP数据报离开。因此最大的PPPoE MRU和MTU值不得大于1492。TCP协议栈尽量避免碎片，操作系统，他们使用的最大段大小（MSS）。默认情况下，MSS选择出接口的MTU减去一般大小的TCP和IP报头（40字节），这将导致在1460字节一个Eternet接口。不幸的是，有可能是较低的MTU值，这将导致碎片的中间环节。在这种情况下，TCP堆栈执行路径MTU发现。路由器不能转发数据报没有碎片都应该放下包，并发送ICMP碎片所需的源主机。当主机接收ICMP，它会尝试降低MTU。这应该工作在理想的世界，然而，在现实世界中许多路由器不产生碎片所需的数据包，也有很多的防火墙丢弃所有的ICMP数据报。这个问题的解决方法是调整MSS如果它太大。RouterOS软路由的默认情况下，增加了轧液的规则拦截TCP SYN数据包，静静地调整任何通告的MSS选项，所以他们会适当的PPPoE链路。支持的最大的MTU routerboards其他信息都在这里列出。PPPoE客户端子菜单： /接口PPPOE客户端属性财产 描述AC-名称（字符串，默认：“” ） 接入集中器名称，这可能NE留空，客户端将连接到任何接入集中器上的广播域添加默认路由（是没有默认值：无） 启用/禁用是否自动添加默认路由允许（MSCHAP2 | mschap1 |第一章| PAP，默认：MSCHAP2 MSCHAP1，第一章，子宫颈） 允许的验证方法，默认情况下，所有的方法都可以按需拨号（是没有默认值：无） 连接到AC只有当产生出站流量接口（串默认：） 接口名称，客户端将运行最大MRU（整数默认值：1460） 最大接收单元最大MTU（整数默认值：1460） 最大传输单元MRRU（整数：512 .. 65535 |禁用默认：禁用） 链接上可以接收的最大数据包大小。如果一个数据包是大于MTU隧道，将被分成多个包，允许原图IP或以太网要发送的数据包在隧道。阅读更多&&名字（字符串，默认：PPPOE [I] ） PPPoE接口的名称，RouterOS软路由的产生，如果没有指定，密码（字符串，默认） 用来验证密码简介（字符串默认值：默认） 默认配置文件/ PPP配置文件中定义的连接服务名称（字符串，默认：“” ） 指定的接入集中器上设置的服务名称，可以留空连接到任何PPPoE服务器使用对DNS（是没有默认值：无） 启用/禁用得到同行的DNS设置用户（字符串，默认：“” ） 用于身份验证的用户名状态命令/接口的pppoe客户端监视器会显示当前的PPPoE状态。只读性能：财产 描述AC-MAC（MAC地址）
MAC地址的访问集中器（AC）的客户端连接到AC-名称（字符串）
接入集中器名称编码（字符串）
在这方面，所使用的加密和编码（如果是不对称的，分离用'/'）使用mru（整数）
有效MRU的链接MTU（整数）
有效MTU的链接的服务名称（字符串） 使用的服务名称状态（字符串） 当前的连接状态。可用的值有：拨号时，验证密码...连接，断开。正常运行时间（时间） 以天，小时，分钟和秒的连接时间显示扫描器从V3.21 RouterOS软路由的新工具- PPPoE的扫描仪。它允许您扫描所有活跃的PPPoE服务器的广播域。如下命令来运行扫描仪/接口PPPOE客户端扫描参数&只读性能：财产 描述服务（字符串） 配置服务器上的服务名称MAC地址（MAC） 检测到的服务器的MAC地址AC-名称（字符串） 接入集中器名称注意注意为Windows。有些连接指令可以使用??的形式，其中的“电话号码”，如“MikroTik_AC \ MT1”，被指定为表示，“MikroTik_AC”的接入集中器名称和“MT1”是服务名。指定MRRU意味着使MP（多链路PPP）在单一链路上。该协议是用来分裂成更小的大包。可以在Windows中启用了网络标签，设置按钮，“协商多重链接”为单链路连接。他们的MRRU硬编码1614。这个设置是有用的克服PathMTU发现故障。MP两端上应该启用。例子要添加和启用PPPoE客户端ether1的接口连接到AC电源提供testSN服务使用用户名用户密码passwd：[管理员@ RemoteOffice]接口PPPOE客户端外接接口= ether1的服务名称=的testSN用户=用户&&密码= passwd中的残疾人=无[管理员@ RemoteOffice]接口PPPOE客户端打印标志：X &- 停用，R &- 运行&0 R名称中=“pppoe的OU??T1”最大MTU = 1480最大MRU = 1480 MRRU =禁用接口= ether1的& & & 用户=“用户”密码“passwd文件”的简介=默认的服务名称=的“testSN”& & & AC-名称=“”添加默认路由=无按需拨号=无使用等DNS =无& & & 允许= PAP，CHAP MSCHAP1 MSCHAP2[管理员@ MikroTik的接口PPPOE客户端&显示器PPPOE-OUT1& & & & 状态：“连接”& & & & 正常运行时间：6& & &空闲时间：6S& & & 编码：“MPPE128无国籍”& 服务名称：“testSN”& & & &名：“MikroTik的”& & & & AC-mac：在零点C：42:04:00:73& & & & & &MTU：1480& & & & & &MRU：1480其他资源PPPoE的客户端：RASPPPOE的Windows 95，98，98SE，ME，NT4，2000，XP。PPPoE服务器设置（接入集中器）子菜单： /接口的PPPoE服务器服务器PPPoE服务器（接入集中器）为每个接口支持多台服务器 - 不同的服务名称。目前已经过测试，PPPoE服务器的吞吐量为160 Mb / s的赛扬600的CP??U。使用更高速度的CPU，吞吐量??应该按比例增加。接入集中器名称和PPPoE服务名称所使用的客户身份接入集中登记。接入集中器名称显示路由器的命令提示符之前的身份是一样的。的身份可以被设置内/系统标识子菜单。注意：在WindowsXP中，如果没有指定服务名称，将只能使用服务没有名字的。所以，如果你想为WindowsXP的客户，留下您的服务名称为空。属性财产 描述验证“（MSCHAP2 mschap1 |第一章| PAP，默认：“MSCHAP2 MSCHAP1，第一章，子宫颈”） 验证算法默认配置文件（字符串，默认：“默认”） 使用默认用户配置文件接口（字符串，默认：“” ） 接口方面，该客户端连接到存活时间超时（默认：“10” ） 定义的时间段（以秒计算）之后，路由器开始发送keepalive报文的每一秒。如果没有交通，没有存活的回应来的那段时间（即2 * keepalive报超时），不响应客户端宣布断开。最大MRU（整数，默认：“1480” ） 最大接收单元。最佳值的隧道工作减少了20（1500字节的以太网链路的接口的MTU设置为1480，以避免碎片的数据包）最大MTU（整数 ;默认：“1480” ） 最大传输单元。最佳值的隧道工作减少了20（1500字节的以太网链路的接口的MTU设置为1480，以避免碎片的数据包）最大会话（整数 ;默认：“0” ） 客户的交流服务的最大数量。'0' - 没有任何限制。MRRU（整数：512 .. 65535 |禁用，默认：“禁用”） 链接可以接收的最大数据包大小。如果一个数据包是大于MTU隧道，将被分成多个包，允许原图IP或以太网要发送的数据包在隧道。阅读更多&&会议每主机（yes | no用于默认：“不”） 只允许每一个会话主机（由MAC地址）。如果一台主机将尝试建立一个新的会话，旧的将被关闭服务名称（字符串，默认：“” ） PPPoE服务名称。服务器将接受客户端发送PADI消息的服务名称匹配这个PADI消息服务名称“字段中设置或不设置。注意确定在大多数情况下，默认存活超时值为10。如果你把它设置为0时，路由器将不会断开客户端，直到他们明确注销或重新启动路由器。为了解决这个问题，一个会话的每个主机都可以使用。安全问题：不分配IP地址的接口，您将收到的PPPoE请求。指定MRRU意味着使MP（多链路PPP）在单一链路上。该协议是用来分裂成更小的大包。可以在Windows中启用了网络标签，设置按钮，“协商多重链接”为单链路连接。他们的MRRU硬编码1614。这个设置是有用的克服PathMTU发现故障。MP两端上应该启用。例子要添加ether1的界面，提供前服务和每台主机只允许一个连接PPPoE服务器：[管理员@ MikroTik的接口PPPOE服务器服务器&外接接口= ether1的服务名称= EX&& 会议每一个主机=[管理员@ MikroTik的接口PPPOE服务器服务器&打印标志：X &- 禁用& 0 X服务名称=“EX”接口= ether1的MTU = 1480 MRU = 1480 MRRU =禁用& & & 认证= MSCHAP2，MSCHAP，第一章，子宫颈保持活动超时= 10& & & 会议每一个主机= YES最大会话= 0默认配置文件=默认[管理员@ MikroTik的接口的PPPOE服务器服务器&PPPoE服务器子菜单： /接口的PPPoE服务器有两种类型的接口（隧道）项目PPTP服务器配置 - 静态用户和动态连接。创建一个接口为每个给定的服务器建立隧道。如果有一个需要引用的特定用户创建的特定接口的名称（在防火墙规则或其他地方），静态接口加入行政。动态接口添加到此列表时自动连接用户，其用户名不符合任何现有的静态条目（或情况下，项目已经处于活动状态，不能有两个单独的隧道接口的同名引用）。动态接口，用户连接时出现和消失，一旦用户断开连接，所以它是不可能引用隧道创建，使用路由器的配置（例如，防火墙），所以如果你需要一个持久的规则，用户，创建一个静态条目为他/她。否则它是安全的使用动态配置。请注意，在这两种情况下，PPP用户必须正确配置 - 静态条目不更换PPP配置。属性概述编码（只读：文本） - 加密和编码（如果不对称，以“/”分隔）在这方面正在使用MRU（只读整数） - 客户端的MRUMTU（只读整数） - 客户端的MTU姓名（名称） - 接口名称远程地址（只读：MAC地址） - 连接的客户端的MAC地址服务 - 服务名称（姓名），连接到用户正常运行时间（只读） - 显示客户端连接多久用户 - 连接的用户的名称（姓名）（必须是目前在用户darabase，反正）例子要查看当前连接的用户：[管理员@ MikroTik的接口PPPOE服务器&打印标志：X &- 残疾人，D &- 动态，R &- 运行&&＃名用户服务远程... 编码UPTIME&0 DR 用户当然00:0 C：... MPPE12 ... 40m45s[管理员@ MikroTik的接口PPPOE服务器&要断开用户前：[管理员@ MikroTik的接口PPPOE服务器&删除[查找用户=前][管理员@ MikroTik的接口PPPOE服务器&打印[管理员@ MikroTik的接口PPPOE服务器&应用实例PPPoE的一点对多点无线802.11g网络在无线网络中，PPPoE服务器可能被连接到访问点（以及到正规站的无线基础设施）。无论是我们的RouterOS软路由的客户端或Windows的PPPoE客户端可以连接到PPPoE认证的接入点。RouterOS软路由的客户端中，无线接口可以被设置MTU 1600这样PPPoE接口可以被设置为1500的MTU值。优化传输1500字节的数据包，避免了相关的任何问题的MTU小于1500。尚未确定如何更改Windows无线接口的MTU在这一刻。让我们考虑以下安装MikroTik的无线AP提供无线客户端透明地访问本地网络验证：首先，无线接口应配置：[管理]接口无线@ PPPOE服务器&设置0模式= AP桥\& &频率= 2442带= 2.4GHz的-B / G的ssid = MT残疾人=[管理员@ PPPOE服务器接口无线打印标志：X &- 停用，R &- 运行&&0的X名字=“WLAN1”MTU = 1500 MAC地址= 00:0 C：42:18:5 C：3D ARP =启用& & & 接口类型= Atheros的AR5413模式= AP-桥的ssid =“MT”频率= 2442& & & 带= 2.4-b / g的扫描列表=默认天线模式=蚂蚁的WDS模式=禁用& & & WDS默认桥=没有WDS忽略的ssid =没有默认认证=是& & & 默认转发= YES默认AP-TX限制= 0默认客户端TX限制= 0& & & 隐藏SSID =无安全配置=默认压缩=无[管理员@的PPPoE服务器接口无线&现在，配置以太网接口，添加的IP地址，并设置缺省路由：[管理的PPPoE服务器] IP地址&添加地址10.1.0.3/24接口=本地[管理员@ PPPoE的服务器IP地址&打印标志：X &- 禁用，我 - 无效的，D &- 动态&＃地址网络广播接口&0 10.1.0.3/24 10.1.0.0 10.1.0.255本地[管理的PPPoE服务器] IP地址& / IP路由[管理员@的PPPoE服务器的IP路由添加网关为10.1.0.1[管理员@的PPPoE服务器IP路由&打印标志：X &- 禁用，A &- 活跃，D &- 动态，&C &- &S &- 连接，静态的，R &- &RIP，B &- 邻 - &BGP，OSPF，M &- &MME，&B &- 黑洞，可达，U &- &P &- 禁止&&＃DST地址COMMON-SRC 3G门户距离INTER ...&0 ADC 10.1.0.0/24 10.1.0.3 0本地&1为0.0.0.0 / 0 R 10.1.0.1 1本地[管理员@的PPPoE服务器的IP路由/以太网接口[管理员@ PPPOE服务器接口以太网&设置本地ARP代理ARP[管理员@ PPPOE服务器以太网接口打印标志：X &- 停用，R &- 运行&＃NAME MTU MAC地址的ARP&0读本地 C：42:03:25:53代理ARP[管理员@ PPPOE服务器以太网接口&我们应该添加PPPoE服务器的无线接口：[管理员@ PPPOE服务器接口PPPOE服务器服务器&添加接口= WLAN1 \& &服务名称= MT会话的每一个主机是残疾人=[管理员@ PPPOE服务器界面PPPOE服务器服务器&打印标志：X &- 禁用&0服务名称=“MT”接口= WLAN1最大MTU = 1480最大MRU = 1480 MRRU =禁用& & &验证= PAP，CHAP，MSCHAP2 MSCHAP1的keepalive超时= 10& & &会议每一个主机= YES最大会话= 0默认配置文件=默认[管理员@ PPPOE服务器接口PPPOE服务器服务器&最后，我们可以设置PPPoE客户端：[管理员@的PPPoE服务器] IP池&添加名称= PPPOE范围= 10.1.0.100-10.1.0.200[管理员@的PPPoE服务器IP池&打印&＃名称范围&0 PPPOE 10.1.0.100-10.1.0.200，[管理员@的PPPoE服务器IP池& / PPP模式[管理员@ PPPOE服务器] PPP的个人主页&集默认使用加密=是\& &本地地址= 10.1.0.3远程地址= PPPOE[管理员@ PPPOE服务器] PPP简介&打印标志：* &- 默认&0 * =“默认”本地地址= 10.1.0.3远程地址= PPPOE& & &使用压缩=没有使用-VJ压缩=没有使用加密=是只有一=& & &更改TCP-MSS =是&1 * =“默认加密”使用压缩=默认& & &使用VJ压缩=默认使用加密=是只有一=默认& & &更改TCP-MSS =默认[管理员@ PPPOE服务器] PPP简介& .. 秘密[管理员@ PPPOE服务器] PPP的秘密&添加名称= W = wkst服务密码= PPPOE[管理员@ PPPOE服务器] PPP的秘密&加名=密码= LTP服务= PPPOE[管理员@ PPPOE服务器] PPP秘密&打印标志：X &- 禁用&＃名称服务呼叫者ID密码概况远程地址&0瓦特PPPOE wkst默认0.0.0.0&1升PPPOE LTP默认0.0.0.0[管理@ PPPOE服务器PPP秘密&因此，我们已经完成了配置，并增加了两个用户：W和L是谁能够连接到互联网，使用PPPoE客户端软件。注意：Windows XP中内置的客户端支持加密，但RASPPPOE没有。所以，如果计划不支持Windows客户端，比Windows XP早，建议不要求加密。在其他情况下，服务器将接受客户端不加密的数据。故障排除我可以连接到我的PPPoE服务器。平的推移，即使通过了，但我仍然无法打开网页请确保您已指定一个有效的DNS服务器，路由器（在/ IP的DNS或/ PPP的个人主页上的DNS服务器参数）。PPPoE服务器显示一个以上的活跃用户输入一个客户，当客户端断开连接，他们仍然显示和活跃设置存活超时参数（PPPoE服务器配置）10，如果你想注销，如果他们不回应，持续10秒，被视为客户。注意：如果存活超时参数设置为0，只有一个参数（PPP配置文件设置）设置为yes，那么客户可能能够连接只有一次。要解决这个问题一个会话的每一个主机 PPPoE服务器配置参数应该设置为yes我的Windows XP客户端无法连接到PPPoE服务器您必须指定“服务名称”XP PPPoE客户端的属性。如果服务名没有设置，或者不匹配MikroTik的PPPoE服务器的服务名称，你会得到“线路正忙”的错误，系统显示“验证密码 - 未知错误”我想有PPPoE连接建立的日志配置/系统日志记录工具下，使PPP类型的日志记录功能。阅读更多&&
Router Operating System}