摘 要：我國國內(nèi)現(xiàn)有多家網(wǎng)絡服務運營商，不同網(wǎng)絡環(huán)境之間的互聯(lián)、內(nèi)外網(wǎng)之間的互聯(lián)、vpn技術應用等越來越受到普通大眾的關注。本文主要討論利用Routeros系統(tǒng)建立規(guī)則，實現(xiàn)網(wǎng)絡訪問智能判斷，根據(jù)目標Ip地址及網(wǎng)站域名來智能安排網(wǎng)絡訪問的最優(yōu)通道，并且在目標Ip地址或網(wǎng)站域名異常訪問的情況下可以自動修改DNS地址及啟用VPN通道進行網(wǎng)絡訪問。

關鍵詞：ROUTEROS；DNS；VPN；pptp

中圖分類號：TP302.7

1 設置DHCP服務

1.1 添加地址池

/ip-->pool

addname=\"dhcp_pool1\"ranges=192.168.x.x-192.168.x.x

1.2 設置網(wǎng)關和dns

/ip-->dhcp-server

addname=\"DHCP_SERVER\"interface=LANlease-time=3daddress-pool=dhcp_pool1add-arp=noauthoritative=nodisabled=no

/ip-->dhcp-server-->network

addaddress=192.168.X.0/24gateway=192.168.X.Xnetmask=24dns-server=202.102.134.68，202.102.152.3comment=\"客戶端接收到的dhcp網(wǎng)絡信息\"

2 Routeros規(guī)則建立

2.1 設置pppoe撥號上網(wǎng)，建立pppoe_out，取消默認網(wǎng)關、默認DNS

/interfacepppoe-client-->pppoe_out

2.2 建立pppoe-out到VPN-server的專用路由通道；

/iproute

adddst-address=x.x.x.x/32gateway=pppoe_out

2.3 設置pptp連接，建立pptp_out，取消默認網(wǎng)關、默認DNS；

/interfacepptp-client-->pptp_out（linode-pptp）

2.4 設置異常IPdst-addressrouterule，建立FWed

/iproute

adddst-address-list-->FWed

2.5 設置防火墻，進行地址轉換

/ipfirewallnat

addaction=masqueradechain=srcnatdisabled=no

2.6 建立路由分流規(guī)則

/iproute

adddisabled=nodistance=2gateway=pppoe_outdst-address=0.0.0.0/0

adddisabled=nodistance=1gateway=pptp_outcheck-gateway=pingrouting-mark=FWed

2.7 traceroute測試

/toolstraceroute

3 訪問異常IP地址及域名規(guī)則建立

3.1 設置本地DNS為googleDNS（8.8.8.8，8.8.4.4）

/ipDNS

3.2 設置異常域名分析規(guī)則，建立layer-7分析結果標記to_google_DNS；

/ipfirewalllayer7-protocol

addname=to_google_DNSregexp=\"***.com|***.com\"comment=\"標記需要修改DNS的異常域名\"

3.3 設置防火墻標記規(guī)則，對內(nèi)網(wǎng)發(fā)出的異地DNS查詢建立標記to_local

/ipfirewallmangle

addaction=mark-connectionchain=preroutingnew-connection-mark=to_localdisable=nosrc-address=！localdst-address-type=！localdst-port=53protocol=udppassthrough=nolayer7-protocol=to_google_DNScomment=\"標記異常域名解析請求到本地DNS\"

addaction=mark-connectionchain=preroutingnew-connection-mark=to_localdisable=nosrc-address=！localdst-address-type=！localdst-port=53protocol=tcppassthrough=nolayer7-protocol=to_google_DNScomment=\"標記異常域名解析請求到本地DNS\"

3.4 設置防火墻，根據(jù)規(guī)則to_local，進行地址轉發(fā)；

/ipfirewallnat

addaction=acceptchain=dstnatdisabled=nodst-port=53protocol=udpsrc-address=_LOCAL_IP_comment=\"直通，不需要修改DNS的客戶端\"

addaction=acceptchain=dstnatdisabled=nodst-port=53protocol=tcpsrc-address=_LOCAL_IP_comment=\"直通，不需要修改DNS的客戶端\"

addaction=redirectchain=dstnatdisabled=nodst-port=53protocol=tcpto-ports=53connection-mark=to_localcomment=\"修改DNS查詢到本地DNS\"

addaction=redirectchain=dstnatdisabled=nodst-port=53protocol=udpto-ports=53connection-mark=to_localcomment=\"修改DNS查詢到本地DNS\"

3.5 traceroute測試

/toolstraceroute

4 總結

經(jīng)過以上設置及規(guī)則建立，系統(tǒng)可以實現(xiàn)網(wǎng)絡訪問的智能判斷，當網(wǎng)絡訪問出現(xiàn)異常訪問IP地址及網(wǎng)站域名，系統(tǒng)會自動修改客戶端DNS地址或自動切換到VPN連接方式來保證網(wǎng)絡訪問的暢通。

參考文獻：

[1]張超，胡玲芳，趙修慶.使用RouterOS搭建高職院校圖書館遠程訪問VPN系統(tǒng)[J]，電腦知識與技術，2010（12）.

[2]胡剛，段煒.利用ROUTEROS建設PPPOESERVER方案[J].聲屏世界，2011（12）.

[3]孫寒冰.SSLVPN技術在校園網(wǎng)中的應用與研究[J].科學之友，2011（20）.

[4]陳偉.基于RouterOS系統(tǒng)的IPSecVPN的實現(xiàn)[J].數(shù)字技術與應用，2011，06.

[5]胡剛，段煒.利用RouterOS架設pppoeserver方案[J].聲屏世界，2011，12.

[6]袁小潔，基于RouterOS軟路由在校園網(wǎng)絡中的典型應用[J].科技資訊，2010，22.

[7]瞿燕英.基于IPSEC和SSL的VPN的網(wǎng)絡系統(tǒng)的研究與應用[D].西安電子科技大學，2005.

作者簡介：徐魯魯（1984.05.24-），男，山東煙臺人，初級，大學本科，計算機科學與技術專業(yè)。