❶ 用 CentOS 7 纯手工打造属于自己的软路由服务器
传送门:
自从了解了软路由这玩意之后,它强大的性能以及高自由度就一直让我羡慕不已。
但是作为“懂” Linux 以及计算机网络的我来说,如果直接使用现成的软路由系统总感觉低估了自己的能力……而且我家里也已经有了一台 Linux 服务器,要是能做到物尽其用那就最好了。
于是我很早就计划着搭建一台属于自己的软路由服务器。可惜由于懒癌发作,一直没有动手。直到半个月前,家里的旧路由器终于坏了,这时候我才着手去研究它……
前前后后折腾了一整天,总算是完工了!感觉收获了不少东西。想想还是很有必要把整个配置过程整理完然后给大家分享一下!
本文纯属个人学习经验分享,写得可能会比较乱,仅供参考。如有错误,可以的话请及时提出,谢谢!
由于我的服务器上只有一个网口,所以必须配合划分了 VLAN 的交换机,把它当作一台单臂路由才能实现上述功能。
下面我划分了三个 VLAN:
以下是交换机端口及 VLAN 的配置表:
以下是服务器网络接口的配置表:
至于“外网”的访问,由于我的云主机流量充足,所以我使用“绕过大陆 IP”模式。
“双 S”-local 监听的地址和端口为 0.0.0.0:1080 , “双 S”-redir 监听的地址和端口为 0.0.0.0:1081 。
以下是“内外网”自动分流原理图:
下面把“可能被污染的域名”交由 dns2socks 解析。
该方案可以达到预期效果,但是仍有不完善的地方。
第一是没有在服务器上设置 QoS 来限制客人网络的网速(后来在交换机上设定了)。
第二是“可能被污染的域名列表”和“大陆 IP 地址集”无法实现自动更新。
不过现在就先这么用着吧,哈哈。
❷ 服务器怎么做软路由
1.工作组情况下的身份验证使用本地计算机来完成的;域环境下的身份验证是由DC来完成的,因此服务器也必须加入到域中成为域成员,不要把DC和服务器搭建在一台服务器,还有就是客户进行连接是不用输入域名。
2.远程访问服务(Remote Access Service,RAS)允许客户机通过拨号连接或虚拟专用连接登陆的网络。
3.Windows Server 2003远程访问服务提供了两种远程登陆的方式:拨号网络、虚拟专用网。
4.拨号网络的组件:拨号网络客户端、远程访问服务器、wan结构、远程访问协议、lan协议。
5.Vpn组件:客户端(可能是计算机和路由器)、服务器、隧道、连接、隧道协议(pptp和L2tp)、传输互联网络。
6.远程访问服务器的属性包括常规、安全、ip、ppp和日志。
7.在客户端建立连接时要输入服务器的ip地址,输入的是服务器的外网地址。
8.常用的拨号方式:PPTP、L2TP。
9.身份验证的方法:智能卡(EAP服务器与客户端必须全有智能卡)、CHAP1、CHAP2.
10.相同的帐户可以在不同的计算机上同时登陆,但是他们所用的端口是不同的。
11.PPTP和L2TP的端口默认是128个,但是可以自己修改。
12.服务器可以随时断开与客户的连接。
13.在服务器上应用远程访问策略可以是连接更加安全,策略包括条件、权限和配置文件。
14.远程访问的权限:允许访问、拒绝访问、通过远程访问策略控制访问。
15.回拨选项:不回拨(由拨叫方付费)、有呼叫方设置(由服务器端付费)、总是回拨到(由服务器端付费,更安全)。
16.只有提升域的安全级别才能够采用“通过远程访问策略”来验证权限,第一次提升域功能级别要重启计算机。
17.远程访问策略的配置文件包括:拨入限制、ip、多重链接、身份验证(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(无加密、基本加密、增强加密、最强加密)、高级。
18.Windows默认的远程访问策略是不能删除的,如果删除即使不用远程访问策略也不能访问。
19.远程访问的排错:检查硬件是否正常、远程访问服务是否启动、如果服务启动,检查服务器的配置、用户帐户的拨入属性配置是否正确、远程访问策略是否正确、客户端配置是否正确。
20.常见故障及解决方法:
1>在客户机拨入时,显示“本帐户没有拨入权限”。
可能的原因:用户帐户拨入属性中设置拒绝权限、远程访问策略的条件不满足、远程访问策略中配置拒绝访问的权限、没有远程访问策略。
2>在客户机拨入时,总是弹出对话框提示重新输入用户名和密码。
可能的原因:密码输入错误、用户名输入错误。
3>在客户机拨入时,显示身份验证协议问题。
可能原因:客户端域远程访问服务器的身份验证方式不匹配。
❸ 服务器怎样安装软路由
服务器如何安装软路由?
软路由根据所需要负载的路由协议要求,可选配相应等级的硬件,相对来说对CPU和内存不是要求很高,但是要求CPU运算稳定,建议选用Intel志强系列CPU,内粗4G即可,由于路由协议是一种选择运算性质的协议不会产生大量数据,硬盘不需要多大容量,稳定即可,建议选用160GSAS硬盘。
服务器安装软路由有什么作用?
路由选择需要多条线路,最基本的也需要2块网卡,网卡至少G口,如果条件允许万M级别的网卡也是不错的选择。这些配件都很牛叉了,最后就不能输到动力上面,电源建议选择冗余的双电源。你可以想象如果一个负荷着千M级别的路由电源挂了的结果。按照这个配置租用的服务器可相当于一个十万级别的硬件路由,而提供的路由能力绝对不亚于十万级别的硬件路由。
摘自天下数据!
❹ 安装软路由的命令
命令说明:
RouterOS的基本设置包括四个部分interface、ip address、ip route 、ip firewall src-nat。
1.interface的命令中主要为修改接口称和激活接口;
2.ip address的命令主要为分别在两接相应接口上增加外网IP地址和局域网IP地址;
3.ip route的命令主要是墙加路由表,这里简单的网络路由表中只有三条,一条是手动加的,两条是动态路由项;
4.ip firewall src-nat 的命令是用来设置网络地址转换,这里的伪装masquerade)即是网络地址转换NAT)的一种特殊形式,局域网多台机器使用一个外网IP上网一般都用伪装masquerade)。
如果只是做单纯的路由器来使用,把上面绿色部分的IP按实际的网络修改即可!
此过程本人已全新安装测试多次,均很正常,如果你按照此命令设置仍不能让局域网访问外网,最有可能的是你的内网和外网网线插反了网卡,更不要忘了客户机的TCP/IP属性配置。
设置RouterOS筒明教程官方设置) RouterOS V2.8
设置RouterOS筒明教程
如何设置RouterOS文档版本:1.5 应用于:MikroTik RouterOS V2.8
怎么样保护你的MikroTik RouterOS™?
属性描述
要保护你的MikroTik RouterOS™, 你不应该只是修改你的admin的密码,还需要设置数据包的过滤,所以目的地到路由器的数据包需要在一次经过ip firewall的input链表处理。注意input链表不会去**通过路由器的传输数据。
你可以添加下面的规则到/ip firewall rule input 只需要通过' 和paste'到路由器的Terminal Console(终端控制台)或
在winbox中配置相关的参数):
/ip firewall rule input add connection-state=invalid action=drop \
comment="Drop invalid connections"
/ip firewall rule input add connection-state=established \
comment="Allow established connections"
/ip firewall rule input add connection-state=related \
comment="Allow related connections"
/ip firewall rule input add protocol=udp comment="Allow UDP"
/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"
/ip firewall rule input add src-address=10.0.0.0/24 \
comment="Allow access from our local network. Edit this!"
/ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
comment="This is web proxy service for our customers. Edit this!"
/ip firewall rule input add action=drop log=yes \
comment="Log and drop everything else"
使用/ip firewall rule input print packets 命令可以看到有多少个数据包被里面的规则处理过。使用reset-counters 命令去复位统计值。检查系统日志文件通过/log print可以看到数据包被丢弃的信息。
你可能需要在里面添加允许来至确认主机的访问。例如:记住出现在列表中的防火墙规则在命令中被处理。一个规则匹配的数据包,不会被之后其他的规则处理。添加了新的规则后,如果想优先被处理,通过move命令移动到所以规则之上。
怎样保护你的MikroTik RouterOS™ 从来至 Spam的请求
Description
To protect your MikroTik RouterOS™ from being used as spam relay you have to:
保证你的路由器使用了防火墙规则。 See the How To section about it!
配置web proxy 访问列表
web proxy访问列表配置在/ip web-proxy access下。例如,添加下面规则允许来至确认主机的访问。 只需要通过' 和paste'到路由器的Terminal Console(终端控制台)或
在winbox中配置相关的参数):
/ip web-proxy access add src-address=192.168.0.0/24 \
comment="Our customers"
/ip web-proxy access add dst-port=23-25 action=deny \
comment="Deny using us as telnet and SMTP relay"
/ip web-proxy access add action=deny \
comment="Deny everything else"
注意,允许确认服务首先你应该由规则,并且在规则的最后通常为拒绝任何的访问。
如何连接你的家庭网络到xDSL?
属性描述
确认你的家用DSL modem以安装好,并想通过一个安全的方式将你的家庭网络连接到Internet,首先你需要安装MikroTik路由器在DSL modem和你家庭网络中间:
下一步连接你的家庭网络到xDSL:
首先你的MikroTik路由器有两张以太网卡,一个对应家庭的DSL modem ,一个对应你的家庭网络。
安装时,确定你安装了dhcp软件功能包。
启用两个网卡,如下:
/interface enable ether1,ether2
配置DHCP客户端在对外的接口上xDSL) 接收来至IP配置的服务:
/ip dhcp-client set enabled=yes interface=ether1
检查,如果你收到IP配置信息后使用lease print,如下:
[admin@MikroTik] ip dhcp-client> lease print
address: 81.198.16.4/21
expires: may/10/2001 04:41:49
gateway: 81.198.16.1
primary-dns: 195.13.160.52
secondary-dns: 195.122.1.59
[admin@MikroTik] ip dhcp-client>
添加你的私有网络地址到ether2网卡上,如下:
/ip address add address=192.168.0.1/24 interface=ether2
在你的本地网络配置伪装:
/ip firewall src-nat add out-interface=ether1 action=masquerade \ comment="Masquerades everything leaving the external interface"
配置防火墙保护你的路由器:
/ip firewall rule input add connection-state=invalid action=drop \
comment="Drop invalid connection packets"
/ip firewall rule input add connection-state=established \
comment="Allow established connections"
/ip firewall rule input add connection-state=related \
comment="Allow related connections"
/ip firewall rule input add protocol=udp comment="Allow UDP"
/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"
/ip firewall rule input add src-address=192.168.0.0/24 \
comment="From my home network"
/ip firewall rule input add action=drop log=yes \
comment="Log and drop everything else"
可选)配置DHCP服务散发IP配置到你的家庭网络中去:
/ip pool add name=private ranges=192.168.0.2-192.168.0.254
/ip dhcp-server network add gateway=192.168.0.1 address=192.168.0.0/24 \
dns-server=195.13.160.52,195.122.1.59 domain="mail.com"
/ip dhcp-server add name=home interface=ether2 lease-time=3h \
address-pool=private
/ip dhcp-server enable home
这样!你能通过你的家庭网络访问Internet。
如何保持我的路由器的更新
属性描述
保持你的路由器更新,你应该:
更新最新的RouterOS软件版本
如果你有一个RouterBoard,需要更新BIOS固件版本
在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。
首先,At first, 检查你的一个routerboard功能包被安装
[admin@MikroTik] system package> print
Flags: I - invalid
# NAME VERSION BUILD-TIME UNINSTALL
0 routerboard 2.8.14 aug/06/2004 15:30:32 no
1 security 2.8.14 aug/06/2004 14:08:54 no
2 system 2.8.14 aug/06/2004 14:03:02 no
3 advanced-tools 2.8.14 aug/06/2004 14:04:55 no
4 wireless 2.8.14 aug/06/2004 14:42:17 no
[admin@MikroTik] system package>
检查你的RouterBoard BIOS固件:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.1 Aug/06/2004 15:30:19)
[admin@MikroTik] system routerboard>
可以通过在下载页面查看在all packages文档最新的BIOS更新(http://www.routerboard.com/archive.html)。BIOS更新文件被命名为wlb-bios-[version_number].fwf 这里的version_number 是BIOS固件版本。
如果这个文件包含一个较新的版本,通过FTP使用二进制文件传输模式,拷贝到路由器。但完成后,你应该能在/file目录看到文件以及包含的BIOS固件信息:
[admin@MikroTik] system routerboard> /file print
# NAME TYPE SIZE CREATION-TIME
0 wlb-bios-1.3.2.fwf routerbios 73079 sep/07/2004 00:12:05
[admin@MikroTik] system routerboard>
检查RouterBoard的BIOS固件版本和你可以看到能一个能用于更新的版本:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.2 Aug/22/2004 12:13:56)
[admin@MikroTik] system routerboard>
现在通过upgrade命令更新BIOS版本。
[admin@MikroTik] system routerboard> upgrade
Firmware upgrade requires reboot of the router. Continue? [y/n]
选择y后软件将升级BIOS,路由器将自动重启,请不要手动重启路由器。在路由器重启完成后,可用检查新的BIOS版本:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.2 Aug/22/2004 12:13:56)
upgrade-firmware: 1.3.2 Aug/22/2004 12:13:56)
[admin@MikroTik] system routerboard>
如何配置透明桥在两个网络中?
属性描述
远程网络能通过MikroTik RouterOS™基于IP的以太传输(EoIP)或WDS功能简单桥接起来,使用EoIP能扩展到其他别的类型的网卡上,如PPTP, CISCO/Aironet, Prism 。WDS 只能工作在Prism与Atheros网卡上。
注:因为MikroTik RouterOS不能直接在两个无线设备上做透明桥,所以通过EoIP方式实现。
让我们假设下面的一个网络设置:
使用EoIP隧道的透明桥
下面的步骤将使用EoIP接口创建透明桥:
确定你以将两个MikroTik路由器连接,例如一个路由器配置为服务端 AP),另外一个则为客户端station):
[admin@AP] > interface wireless set wlan1 mode=bridge ssid=mikrotik \
\... disabled=no
[admin@Station] interface wireless> print
[admin@Station] interface wireless> set wlan1 mode=station ssid=mikrotik disabled=no
确定IP配置正确,并能从一个路由器访问到另一个:
[admin@AP] > ip address add address=10.1.0.1/24 interface=wlan1
[admin@Station] > ip address add address=10.1.0.2/24 interface=wlan1
[admin@Station] > ping 10.1.0.1
10.1.0.1 64 byte pong: ttl=64 time=1 ms
10.1.0.1 64 byte pong: ttl=64 time=1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 1/1.0/1 ms
[admin@Station] >
添加EoIP隧道接口:
[admin@AP] > interface eoip add remote-address=10.1.0.2 tunnel-id=1 disabled=no
[admin@Station] > interface eoip add remote-address=10.1.0.1 tunnel-id=1 \\... disabled=no
添加桥接口并将相应的接口放入:
[admin@AP] > interface bridge add forward-protocols=ip,arp,other disabled=no
[admin@AP] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1
[admin@Station] > interface bridge add forward-protocols=ip,arp,other \
\... disabled=no
[admin@Station] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1
注:
如果你是通过ether1连接的,那在设置后将会丢失连接。这是因为网卡设置的切换。
将以太网卡的IP地址移动到桥接口上:
[admin@AP] ip address> set [find interface=ether1 ] interface=bridge1
[admin@AP] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.215/24 10.0.0.0 10.0.0.255 bridge1
1 10.1.0.1/24 10.1.0.0 10.1.0.255 wlan1
[admin@AP] ip address>
[admin@Station] ip address> set [find interface=ether1 ] interface=bridge1
[admin@Station] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.216/24 10.0.0.0 10.0.0.255 bridge1
1 10.1.0.2/24 10.1.0.0 10.1.0.255 wlan1 [admin@Station] ip address>
现在你可以通过在ether1上的bridge1接口连接到路由器。
通过ping 测试桥连接从10.0.0.215到10.0.0.216。注,桥需要10到30秒时间学习地址和开始经过的流量。
如果你有prism、CISCO/Aironet网卡或加密的PPTP隧道,同样可以创建EoIP透明桥然而,EoIP隧道只能用于建立两个MikroTik路由器之间。
如何将公网地址连接到一个本地地址?
属性描述
例如一个电脑有一个自己在局域网的地址但需要使用公务网络的通信。
让我们假设两个地址(10.0.0.216和10.0.0.217)被分配到路由器。在这个例子中我们将在一个'full NAT'到内网地址192.168.0.4指向外网的10.0.0.216的地址。10.0.0.217的外网地址仍然用于自己内部网络的伪装。
添加10.0.0.216/24和10.0.0.217/24 地址到路由器的外网网卡上,并设置192.168.0.254/24到内网网卡:
/ip address
add address=10.0.0.216/24 interface=Public
add address=10.0.0.217/24 interface=Public
add address=192.168.0.254/24 interface=Local
print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.216/24 10.0.0.0 10.0.0.255 Public
1 10.0.0.217/24 10.0.0.0 10.0.0.255 Public
2 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
在添加默认路由的时你应该意识到有两个地址。While adding the default route to the router you should be aware of having two addresses. You should specify the address that the router will be using while talking to the outer networks:
/ip route
add gateway=10.0.0.1 preferred-source=10.0.0.217
print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 10.0.0.1 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Public
2 DC 192.168.0.0/24 r 0.0.0.0 0 Local
添加dst-nat规则允许从外网到内网服务器的访问:
/ip firewall dst-nat
add dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
添加src-nat规则允许内网服务器能与外网通信,并这是除192.168.0.4主机地址通过外网地址10.0.0.216出去,其他的内网地址通过10.0.0.217:
/ip firewall src-nat
add src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216
add src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217
print
Flags: X - disabled, I - invalid, D - dynamic
0 src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216
1 src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217
一些提示:
如果你是ADSL用户,在上文描述的基础上不要在外网的网络接口上指定IP及掩码,也不要在路由表中加入任何静态路由记录,但要在外网的网络接口上加入PPPoE Client,在PPPoE Client属性中输入ADSL帐号和密码。这时外网接口会自动获得IP,也可获得路由记录。
如果你仅仅是动态IP用户但不是ADSL用户,应在上文描述的基础上不要在外网的网络接口上指定IP及掩码,也不要在路由表中加入任何静态路由记录,只需要在外网的网络接口上加入DHCP Client即可。这时外网接口会自动获得IP,也可获得路由记录。
MikroTik RouterOS 中为IP10限速的设置
请把下面的打印改为命令
[root@MikroTik] queue simple> print
Flags: X - disabled, I - invalid, D - dynamic
0 name="queue1" target-address=0.0.0.0/0 dst-address=192.168.1.10/32
interface=all queue=default priority=8 limit-at=0/0
max-limit=800000/00
MikroTik RouterOS 把迅雷限制为单资源下载的设置
请把下面的打印改为命令
[admin@MikroTik] ip firewall rule forward> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; 允许IP252所有
src-address=192.168.1.252/32 action=accept
1 ;;; 禁迅雷TCP两端口
dst-address=:3076-3077 protocol=tcp action=drop
2 ;;; 禁迅雷UDP两端口
dst-address=:3076-3077 protocol=udp action=drop
MikroTik RouterOS 端口映射的设置
[admin@MikroTik] ip firewall dst-nat> dst-address=218.*.*.170/32:21 protocol=tcp action=nat to-dst-address=192.168.1.251 to-dst-port=21
❺ 怎么制作软路由
本方法使用最简单的ICS上网方式(能自主上网),不需要购买ADSL宽带路由器
软件要求:Windows
XP
硬件要求:5口HUB一个,网线三根
连接图如图1所示。
教你一招ADSL共享上网的另类方法
下面就以上图为依据把设置步骤一一列出:
1)连接节点1与Hub,断开节点2。
2)在节点1上建立虚拟拨号并打开ICS共享。(此时,节点1的IP地址为192.168.0.1子网掩码为255.255.255.0)
3)打开网卡的TCP/IP属性,手动修改子网掩码为255.255.0.0,在DNS和网关上修改为192.168.1.1。到此节点1已经设置完毕。
4)断开节点1,连接节点2与HUB.
5)在节点2上建立虚拟拨号并打开ICS共享。(此时,节点2的IP地址为192.168.0.1子网掩码为255.255.255.0)
6)打开网卡的TCP/IP属性,手动修改IP地址为192.168.1.1,子网掩码为255.255.0.0,在DNS和网关上修改为192.168.0.1。到此节点2已经设置完毕。
7)连接好节点1。所有设置即全部完毕。
设置完毕后,先上网的机器可直接拨号上网,后上网的机器可以直接打开IE就可上网,如IE打不开,可自行拨号上网。免除许多麻烦。
表1:相关设置一览
节点1
节点2
IP
地
址:
192.168.0.1
192.168.1.1
子网掩码:
255.255.0.0
255.255.0.0
网关:
192.168.1.1
192.168.0.1
DNS:
192.168.1.1
192.168.0.1
本方法主要是修改了IP地址的子网掩码,及相关设置,从而使两个不同网段的C类地址可以相互访问。
什么是ICS?
ICS,Internet
Connection
Sharing的简称,是一种在Windows
2000/XP操作系统中的共享上网服务。它可以使多个用户利用一条上网线路上网,而无须另外安装其他软硬件。
设置ICS
设置ICS之前,你必需对主机和客户机进行配置。主机将需要两个连接:一个是到Internet的连接,另一个是到网络上其它机器的连接。
配置主机
点击“开始”,指向“设置”,然后点击“网络和拨号连接”。
右击你想共享的连接,然后点击“属性”。
点击“Internet连接共享”属性页。选择“为这个连接启用Internet连接”。
配置客户机
检查是否安装了TCP/IP协议;点击“开始”,指向“设置”,然后点击“网络拨号设置”。
右击“本地连接”然后选择“属性”。
选择“TCP/IP属性”属性页,检查网络接口卡的TCP/IP属性是否配置为自动获取IP地址和DNS服务器,并检查动态主机配置协议(DHCP)是否正在使用中。
重新启动机器。
❻ 软路由怎么搭建服务器
cisco思科是全世界领先且顶尖的通讯厂商,出产的路由器功能也是很出色的,那么你知道软路由怎么搭建服务器吗?下面是我整理的一些关于软路由怎么搭建服务器的相关资料,供你参考。
什么是软路由?
软路由是指利用 台式机 或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能;而硬路由则是以特有的硬设备,包括处理器、电源供应、嵌入式软件,提供设定的路由器功能。
软件路由器并不复杂,非常简单,会用普通操作PC就可以安装软件路由,顾名思义就是系统软件设置完成路由功能
根据使用的操作不同可以分为基于windows平台和基于Linux/bsd平台开发的软件路由器,基于Windows平台的软件防火墙比较常见的有ISA Server、Winroute Firewall、小草上网行为管理软路由等,这些软件有些是商业化的,通常根据授权用户数不同收费而不同,购买正版的软件防火墙的费用对许多中小型企业来说无疑是一笔不小的开支,小草上网行为管理软路由是目前有限的基于windows平台而且又主打免费的一款软路由软件;而基于Unix/Linux平台的软件防火墙大家一般接触较少,受益于开放源码运行,目前基于Unix/Linux平台的软件防火墙如雨后春笋般不断推出,这些软件防火墙大多是免费的,常见的有海蜘蛛、ikuai8、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux[1] 等,这些系统共有的特点是一般对硬件要求较低,甚至只需要一台486电脑,一张软盘,两块网卡就可以安装出一台非常专业的软件防火墙,这对很多有淘汰下来的低档电脑的朋友来说,意味着拿一台淘汰的电脑,安装一套免费的防火墙软件,不花一分钱就 DIY 出一台专业的防火墙,而且这些系统自身也包含了NAT功能,同时可以实现宽带共享,这意味着这台免费的防火墙其实也是一台出色的宽带路由器,这是多么令人激动的事情,不过就目前来看这类免费的软路由通常为了生存下去或因过多 广告 的插入导致用户的不满。
软路由搭建服务器的 方法 :
1.工作组情况下的身份验证使用本地计算机来完成的;域环境下的身份验证是由DC来完成的,因此服务器也必须加入到域中成为域成员,不要把DC和服务器搭建在一台服务器,还有就是客户进行连接是不用输入域名。
2.远程访问服务(Remote Access Service,RAS)允许客户机通过拨号连接或虚拟专用连接登陆的网络。
3.Windows Server 2003远程访问服务提供了两种远程登陆的方式:拨号网络、虚拟专用网。
4.拨号网络的组件:拨号网络客户端、远程访问服务器、wan结构、远程访问协议、lan协议。
5.Vpn组件:客户端(可能是计算机和路由器)、服务器、隧道、连接、隧道协议(pptp和L2tp)、传输互联网络。
6.远程访问服务器的属性包括常规、安全、ip、ppp和日志。
7.在客户端建立连接时要输入服务器的ip地址,输入的是服务器的外网地址。
8.常用的拨号方式:PPTP、L2TP。
9.身份验证的方法:智能卡(EAP服务器与客户端必须全有智能卡)、CHAP1、CHAP2.
10.相同的帐户可以在不同的计算机上同时登陆,但是他们所用的端口是不同的。
11.PPTP和L2TP的端口默认是128个,但是可以自己修改。
12.服务器可以随时断开与客户的连接。
13.在服务器上应用远程访问策略可以是连接更加安全,策略包括条件、权限和配置文件。
14.远程访问的权限:允许访问、拒绝访问、通过远程访问策略控制访问。
15.回拨选项:不回拨(由拨叫方付费)、有呼叫方设置(由服务器端付费)、总是回拨到(由服务器端付费,更安全)。
16.只有提升域的安全级别才能够采用“通过远程访问策略”来验证权限,第一次提升域功能级别要重启计算机。
17.远程访问策略的配置文件包括:拨入限制、ip、多重链接、身份验证(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(无加密、基本加密、增强加密、最强加密)、高级。
18.Windows默认的远程访问策略是不能删除的,如果删除即使不用远程访问策略也不能访问。
19.远程访问的排错:检查硬件是否正常、远程访问服务是否启动、如果服务启动,检查服务器的配置、用户帐户的拨入属性配置是否正确、远程访问策略是否正确、客户端配置是否正确。
20.常见故障及解决方法:
1>在客户机拨入时,显示“本帐户没有拨入权限”。
可能的原因:用户帐户拨入属性中设置拒绝权限、远程访问策略的条件不满足、远程访问策略中配置拒绝访问的权限、没有远程访问策略。
2>在客户机拨入时,总是弹出对话框提示重新输入用户名和密码。
可能的原因:密码输入错误、用户名输入错误。
3>在客户机拨入时,显示身份验证协议问题。
可能原因:客户端域远程访问服务器的身份验证方式不匹配。