紀(jì)義勝，葛孚強(qiáng)

（德州市李家岸灌區(qū)管理局，山東 臨邑 251500）

Router?OS?技術(shù)在灌區(qū)信息化中的應(yīng)用

紀(jì)義勝，葛孚強(qiáng)

（德州市李家岸灌區(qū)管理局，山東 臨邑 251500）

Router OS 是基于 Linux 系統(tǒng)的一種路由操作系統(tǒng)，它可以將 1 臺(tái)標(biāo)準(zhǔn)的電腦轉(zhuǎn)變?yōu)?1 臺(tái)專業(yè)級(jí)的路由器使用，在認(rèn)證、策略路由和防火墻過(guò)濾等功能上都有著突出的功能。探討將其應(yīng)用于灌區(qū)的信息通訊中，通過(guò)設(shè)置 Router OS 服務(wù)器 3 塊網(wǎng)卡的策略路由實(shí)現(xiàn)灌區(qū)不同網(wǎng)段之間的信息轉(zhuǎn)發(fā)，具有架設(shè)簡(jiǎn)單、管理方便的特點(diǎn)，不但使得不同網(wǎng)段之間的信息轉(zhuǎn)發(fā)更加穩(wěn)定，同時(shí)也解決局域網(wǎng)內(nèi)的 ARP 木馬病毒的攻擊問(wèn)題，經(jīng)過(guò) 2 年多的運(yùn)行實(shí)踐，沒有出現(xiàn)大的問(wèn)題，網(wǎng)絡(luò)安全性、穩(wěn)定性得到有效保障。

灌區(qū)信息化；ARP；Router OS；NAT 地址轉(zhuǎn)換

某灌區(qū)在信息化通訊網(wǎng)絡(luò)建設(shè)中，采用了租用聯(lián)通專線的運(yùn)行模式，節(jié)約了建設(shè)投資，減輕了運(yùn)行維護(hù)的負(fù)擔(dān)。由于跨越多個(gè)縣市，網(wǎng)通給每個(gè)縣市提供了不同的通信網(wǎng)段，該灌區(qū)信息路由采用了Windows 2000 Server 路由和遠(yuǎn)程策略，發(fā)現(xiàn)存在運(yùn)行不穩(wěn)定、管理不方便的問(wèn)題。為此嘗試將 Router OS 運(yùn)用于灌區(qū)信息化的通信系統(tǒng)中，實(shí)現(xiàn) 3 款網(wǎng)段間的信息自由轉(zhuǎn)發(fā)，可有效地控制局域網(wǎng) ARP 等網(wǎng)絡(luò)病毒，具有結(jié)構(gòu)簡(jiǎn)單，易于上手的特點(diǎn)。

1 基本情況

某灌區(qū)信息化建設(shè)涵蓋了 1 個(gè)中心，5 個(gè)分中心，分別位于 A，B 這 2 縣，A 縣提供的網(wǎng)絡(luò)地址 192.168.10.0/24，B 縣提供的網(wǎng)絡(luò)地址 192.168.11.0/24，管理中心外網(wǎng)地址 172.18.15.230/28，內(nèi)網(wǎng) 192.168.1.0/24。設(shè)有服務(wù)器 1 臺(tái)，服務(wù)器開啟 SQL Sever、路由遠(yuǎn)程訪問(wèn)、流媒體等服務(wù)， SQL Sever 服務(wù)負(fù)責(zé)來(lái)自互聯(lián)網(wǎng)內(nèi)的灌區(qū)水情數(shù)據(jù)訪問(wèn)，路由和遠(yuǎn)程訪問(wèn)負(fù)責(zé) 192.168.10.0/24，192.168.11.0/24 與 192.168.1.0/24 網(wǎng)段的數(shù)據(jù)轉(zhuǎn)換，通過(guò)外網(wǎng)地址172.18.15.230 訪問(wèn) Internet，流媒體服務(wù)負(fù)責(zé)各分中心視頻監(jiān)控信息的數(shù)據(jù)轉(zhuǎn)發(fā)，網(wǎng)絡(luò)結(jié)構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

2 路由方式

路由器下接服務(wù)器，路由器 Wan 口接 Internet光纜，地址設(shè)為電信服務(wù)商給定的 172.18.15.230/28，Lan 口接管理中心局域網(wǎng)，網(wǎng)關(guān)地址設(shè)為 192.168.1.1。服務(wù)器有 2 塊網(wǎng)卡，1 塊接 192.168.10.0/24，網(wǎng)絡(luò)地址為 192.168.10.2，1 塊接 192.168.1.0/24，網(wǎng)絡(luò)地址為 192.168.1.254。安裝 Windows 2000 Sever 系統(tǒng)、路由和遠(yuǎn)程訪問(wèn)，負(fù)責(zé) 2 塊網(wǎng)卡間的信息轉(zhuǎn)換；安裝 Microsoft SQL Server 2000（SQL2000），存貯和管理采集到的灌區(qū)水情信息；安裝流媒體服務(wù)，負(fù)責(zé)分中心視頻信息的轉(zhuǎn)發(fā)。

3 主要問(wèn)題

3.1 網(wǎng)絡(luò)管理混亂

隨著經(jīng)濟(jì)社會(huì)的發(fā)展，管理中心局域網(wǎng)功能越來(lái)越強(qiáng)大，接入用戶越來(lái)越多，局域網(wǎng)內(nèi)除灌區(qū)水情系統(tǒng)外，還安裝了財(cái)務(wù)管理、檔案管理、OA 辦公等系統(tǒng)，對(duì)網(wǎng)絡(luò)要求越來(lái)越高，而局域網(wǎng)內(nèi)真正能夠主動(dòng)預(yù)防和正確查殺病毒的卻寥寥無(wú)幾，有的同志在下載安裝軟件時(shí)，不注意取消插件安裝、下載文件的木馬查殺，往往在無(wú)意識(shí)間中了病毒，單機(jī)病毒影響自身計(jì)算機(jī)運(yùn)行，網(wǎng)絡(luò)病毒發(fā)作時(shí)不僅可以造成網(wǎng)絡(luò)中斷、通訊延時(shí)等現(xiàn)象，甚至截獲中毒主機(jī)通訊數(shù)據(jù)，并向外網(wǎng)指定的用戶發(fā)送，還有的同志進(jìn)行 P2P 下載占用大量網(wǎng)絡(luò)流量導(dǎo)致網(wǎng)絡(luò)堵塞，既影響了局域網(wǎng)運(yùn)行質(zhì)量，又影響了灌區(qū)數(shù)據(jù)的安全。

3.2 路由不穩(wěn)定

服務(wù)器兼有路由和數(shù)據(jù)服務(wù)、流媒體轉(zhuǎn)發(fā)等功能，訪問(wèn)量大，經(jīng)常受到不明病毒侵?jǐn)_，購(gòu)置的單機(jī)版殺毒軟件又不能有效清除整個(gè)網(wǎng)絡(luò)的病毒，路由服務(wù)經(jīng)常無(wú)故終止，造成與各縣市的數(shù)據(jù)通訊中斷，直接影響灌區(qū)信息化系統(tǒng)運(yùn)行。

4 采取的措施

基于以上問(wèn)題，在灌區(qū)信息化通信系統(tǒng)應(yīng)用了功能強(qiáng)大、性能穩(wěn)定的 Router OS 技術(shù)。

4.1 Router OS 技術(shù)簡(jiǎn)介

Router OS 是基于 Linux 的一種路由操作系統(tǒng)，通過(guò)該軟件將標(biāo)準(zhǔn)的 PC 電腦變成專業(yè)路由器，Router OS 軟路由經(jīng)歷過(guò)多次更新和改進(jìn)，在認(rèn)證、策略路由、帶寬控制和防火墻過(guò)濾等功能上有著非常突出的功能，架設(shè)調(diào)試非常簡(jiǎn)單，管理更加方便的特點(diǎn)，對(duì) PC 機(jī)的配置要求非常低，P3 或 P4 處理器，128 MB～1 GB 的內(nèi)存，20～60 GB 硬盤，Router OS 2.97 以下版本必須采用 IDE 接口硬盤，Router OS 3.0 以上版本支持 SATA 接口的硬盤[1]。根據(jù)管理局信息通訊的要求，需要至少配置 3 塊網(wǎng)卡，路由器硬件配置如圖2 所示。

4.2 系統(tǒng)安裝

1）從 Router OS 官網(wǎng)下載系統(tǒng)，刻錄成安裝光盤。

圖2 路由器硬件配置

2）將電腦硬盤格式化為 1 個(gè)分區(qū)，用 Router OS 安裝盤啟動(dòng)電腦，選擇安裝所需要的功能，安裝完成后重啟計(jì)算機(jī)，登陸賬號(hào)默認(rèn)為 Admin，密碼為空，成功登錄后注冊(cè)許可[2]。

3）配置網(wǎng)卡。路由器配置 3 塊網(wǎng)卡，安裝完成后網(wǎng)卡默認(rèn)名稱為 Ether1，Ether2，Ether3。用Set 命令設(shè)置 Ether1 的名稱為 Lan，內(nèi)網(wǎng) IP 地址192.168.1.1，在局域網(wǎng)內(nèi)電腦上設(shè)置同網(wǎng)段 IP 地址、子網(wǎng)掩碼和網(wǎng)關(guān)，網(wǎng)關(guān)為 Ether1 的地址，在瀏覽器地址欄輸入 http://192.168.1.1 地址，可打開Router OS 管理頁(yè)面，下載 Winbox，Connect to 輸入192.168.1.1 的地址，用戶名和密碼與登錄 Router OS的相同，可打開 Winbox 界面，在 Winbox 界面中設(shè)置 Ether2 名稱為 Wan，外網(wǎng)地址 172.18.15.230、子網(wǎng)掩碼、網(wǎng)關(guān)和 DNS（電信提供）后，設(shè)置Ether3 名稱為 Zhuan，地址為 B 縣網(wǎng)段內(nèi)某一地址192.168.10.3，完成參數(shù)設(shè)置。幾個(gè)命令如下：

4）配置防火墻。從網(wǎng)絡(luò)層上分類，可分為 2 層過(guò)濾防火墻和 3 層及以上防火墻，他們分別在 Bridge Filter 和 IP Firewan Filter 下進(jìn)行操作，能對(duì)各層的數(shù)據(jù)進(jìn)行處理?？梢詫?shí)現(xiàn)以下幾個(gè)方面的功能：a.實(shí)現(xiàn)對(duì)病毒和網(wǎng)絡(luò)攻擊的防御，用戶可以從 Routers OS官方獲得最新的防火墻策略；b.可以有計(jì)劃地限制BT，電驢等軟件下載；c.利用 Routers OS 隊(duì)列進(jìn)行帶寬控制；d.綁定用戶的 MAC 地址[3]。

4.3 NAT 地址轉(zhuǎn)換

IP-Firewall 點(diǎn)擊“NAT”，點(diǎn)擊“+”，General 選項(xiàng)卡下，Chain：Srcnat（源地址映射），在 Src.Address填寫需要 NAT 的私網(wǎng)段地址（192.168.1.0/24），然后選擇“Action”選項(xiàng)卡，將 Action 的值設(shè)為“Masquerade”，點(diǎn)擊“OK”完成[4]。這時(shí)在局域網(wǎng)內(nèi)，連接 Lan 網(wǎng)卡的終端用戶，網(wǎng)卡設(shè)置為192.168.1.0/24，網(wǎng)關(guān)設(shè)為 192.168.1.1 即可上網(wǎng)。連接 Zhuan 網(wǎng)卡的終端用戶，網(wǎng)卡地址設(shè)置為192.168.10.0/24，網(wǎng)關(guān)設(shè)置為 192.168.10.3 即可上網(wǎng)。要想在 192.168.1.0/24 和 192.168.10.0/24 之間交換數(shù)據(jù)，點(diǎn)擊 IP-ROUTE-“+”-Dst.Address 中填入 192.168.10.0/24，Gateway 中填寫“Zhuan”，Pref.Source 中填寫“192.168.10.3”，OK，搞定。

5 結(jié)語(yǔ)

Router OS 系統(tǒng)建成后，所有終端的網(wǎng)絡(luò)訪問(wèn)都通過(guò) Router OS，不同網(wǎng)段間的數(shù)據(jù)轉(zhuǎn)發(fā)也通過(guò)Router OS，服務(wù)器只做灌區(qū)信息化數(shù)據(jù)存儲(chǔ)和流媒體轉(zhuǎn)發(fā)服務(wù)，不僅解決了 ARP 病毒對(duì)網(wǎng)絡(luò)的攻擊，而且實(shí)現(xiàn)了在一個(gè)設(shè)備上不同網(wǎng)段的數(shù)據(jù)交換。使用方面，通過(guò) Winbox 維護(hù)數(shù)據(jù)，監(jiān)視用戶使用網(wǎng)絡(luò)流量情況，對(duì)用戶計(jì)算機(jī)的維護(hù)量大大減輕，非法入侵和破壞得到了有效的控制。運(yùn)行 2 年多以來(lái)，沒有出現(xiàn)大的問(wèn)題，網(wǎng)絡(luò)的安全性、穩(wěn)定性得到有效保障。

[1] 梅宴標(biāo).Router OS 軟件路由器在局域網(wǎng)中的應(yīng)用[J].電腦編程技巧與維護(hù)，2013 (4): 47-48,77.

[2] 崔北亮.Router OS 全攻略[M].北京：電子工業(yè)出版社，2010: 11-16.

[3] 石曉東.基于 ROS 的高校圖書館服務(wù)器網(wǎng)絡(luò)安全策略研究[J].制造業(yè)自動(dòng)化，2010,32 (9): 212-214.

[4] 饒居華，劉祥廣，陳武臣.Router OS 在受限校園網(wǎng)里的應(yīng)用[J].電腦知識(shí)與技術(shù)，2013 (20): 4596-4597.

Application of Router OS technology in Irrigated Area Informatizatio

JI Yisheng,GE Fuqiang
(Management of Irrigation Area of Dezhou City Bureau of L Lijia'an,Linyi 251500,China)

Router OS is a router operating system based on Linux system.It can change a standard computer to a professional grade router,which has prominent functions in the authentication,policy routing and firewall filtering and so on.The article discusses its application in the information communication of irrigation area.Through setting policy routing of three NIC in Router OS Server,the information forwarding is achieved of different segment in irrigation area.It is simple to set up and convenient to management.It not only lets the information transmit among different segments more stably,but also solves the problem of Trojan virus attack of LAN ARP.And network security and stability are effectively guaranteed through running practice of more than two years.

informatization of irrigation district;ARP;Router OS;NAT address conversion

TP312；TV39

A

1674-9405(2015)01-0055-03

2014-08-22

紀(jì)義勝（1970－），男，山東樂陵人，高級(jí)工程師，從事灌區(qū)信息化工作。