5.日志管理
1 路径:/system logging
2 功能
记录方式定义:facility,分为local,remote,none 三类,对应本地记录、远程记录、不记录。记录内容:facility,共分为16 种日志信息。[admin@RouerOS] system logging facility> pri # FACILITY LOGGING PREFIX REMOTE-ADDRESS REMOTE-PORT 0 Firewall-Log remote firewall 172.16.1.254 514 1 PPP-Account none 2 PPP-Info none 3 PPP-Error none 4 System-Info none 5 System-Error none 6 System-Warning none 7 Telephony-Info none 8 Telephony-Error none 9 Prism-Info none 10 ISDN-Info none 11 Hotspot-Account none 12 Hotspot-Info none 13 Hotspot-Error none 14 IPsec-Warning none 15 IKE-Info none
5.3 命令示例:
/system logging set 0 logging=remote remote-address=172.16.1.254 remote-port=514
5.4 为了将日志信息分类,以便于LOG 服务器分析处理,可以设置log 信息的“prefix”
参数,对不同的日志信息进行标示。
/ system logging facility set Firewall-Log logging=remote prefix="fw" remote-add=172.16.1.254 remote-p=514 set PPP-Account logging=remote prefix="pppoe" remote-add=172.16.1.254 remote-p=514
日志信息一定不要设置成写在本地FLASH 中,否则,MT2 的性能将显著下降。
6.机器名称管理
1 路径:/system identity
2 功能:设置/修改系统名
6.3 示例:/system identity set name=gggggg
7.系统时间设置
1 路径:/system clock
2 功能:设置系统时间和时区
8. 系统热启动
/system reboot
三.物理接口的配置管理
1.进入接口子路径:
[admin@RouerOS] interface ethernet> enable
2.端口使能与禁用:
[admin@RouerOS] interface ethernet> enable <int_num>
或使用命令:
/int eth <int_num> disabled=yes(no)
1 禁用启动时检查网络端口状态:
2 修改端口名称
[admin@RouerOS] interface ethernet> set <numbers> disable-running-check=yes(no)
[admin@RouerOS] interface ethernet> set <numbers> name=(int-name)
网管截屏:
四.查看当前配置
4.1 查看全部配置
/export 或/print
4.2 查看子项配置
如查看ip 子项的配置:/ip export
或
/ip print
五.IP 参数配置
1. 路径:
[admin@RouerOS] IP Address>
2. 功能:
配置IPAddress 、Route、Policy-routing 、DHCPclient 、DNS、Firewall、Hotspot 、IPPool 、IP Service 等等。IP 参数配置命令:
3. 配置IP 地址及路由
3.1 配置IP Address:[admin@RouerOS] ip address>
add addr=61.155.135.1 netm=255.255.255.252 int=eth3 删除IP Addr:ip address> remove <numbers> # numbers=执行print 命令后显示的内容中的“Flags”项。
3.2 路由配置
ip route> add dst-address=0.0.0.0/0 preferred-source=0.0.0.0 \ gateway=10.255.255.1 distance=1 comment="" disabled=no
删除某条静态路由:
ip route> remove <numbers>
3.3 基于源地址的策略路由
假设某网络有3 个出口。主出口到吉通网,网关是10.255.255.1/24,PPPoE 源地址池为
172.16.1.0/24;第二出口到网通网,网关是192.168.1.1/24,PPPoE 源地址池是172.16.1.0/24;[admin@RouerOS] ip policy-routing>
a) 新建路由表名:
ip policy-routing> add name=jitong
可用print 命令查看结果:
b) 进入路由表:
[admin@RouerOS] ip policy-routing table jitong> 添加路由项(命令见上述第3.2 项)配置结果示例如下:
c) 配置策略路由规则:[admin@RouerOS] ip policy-routing rule> add dst-a=0.0.0.0 dst-n=0.0.0.0 src-a=172.16.2.0 src-netmask=255.255.255.0 act=lookup inte=all flow=wt table=wangtong
配置结果示例:
# 除Table main 外,其它路由表中的路由策略必须配置Flow 参数(见上表)。
§策略路由也可用下面的方法配置:
ip policy-routing table jitong add dst-address=0.0.0.0/0 gateway=192.168.1.1 preferred-source=0.0.0.0 \ comment="" disabled=no / ip policy-routing table main add dst-address=0.0.0.0/0 gateway=10.255.255.1 preferred-source=0.0.0.0 \ comment="" disabled=no
1 基于目的地址的策略路由
2 4. 配置Firewall
建议用GUI 终端配置Firewall 。针对某种应用的更详细的配置参见本手册后面的“防火墙配置”章节。
4.1 防火墙对包的处理方式
/ ip firewall
set input name="input" policy=accept comment=""
set forward name="forward" policy=accept comment=""
set output name="output" policy=accept comment=""
4.2 配置mangle(策略路由用到)
/ ip firewall mangle add src-address=172.16.1.0/24:0-65535 in-interface=all \ dst-address=0.0.0.0/0:0-65535 protocol=all tcp-options=any \ icmp-options=any:any flow="" src-mac-address=00:00:00:00:00:00 \ limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow=ji \ tcp-mss=dont-change comment="" disabled=no add src-address=172.16.2.0/24:0-65535 in-interface=all \ dst-address=0.0.0.0/0:0-65535 protocol=all tcp-options=any \ icmp-options=any:any flow="" src-mac-address=00:00:00:00:00:00 \ limit-count=0 limit-burst=0 limit-time=0s action=accept mark-flow="" \ tcp-mss=dont-change comment="" disabled=yes
4.3 开放防火墙端口
/ ip firewall service-port set ftp ports=21 disabled=no set irc ports=6667 disabled=yes
4.4 配置NAT
/ ip firewall src-nat
add src-address=172.16.1.0/24:0-65535 dst-address=0.0.0.0/0:0-65535 \
out-interface=eth0 protocol=all icmp-options=any:any flow=ji \
limit-count=0 limit-burst=0 limit-time=0s action=masquerade \
to-src-address=172.16.1.3-172.16.1.254 to-src-port=0 comment="" \
disabled=no
add src-address=172.16.2.0/24:0-65535 dst-address=0.0.0.0/0:0-65535 \
out-interface=eth1 protocol=all icmp-options=any:any flow="" \
limit-count=0 limit-burst=0 limit-time=0s action=masquerade \
to-src-address=172.16.2.3-172.16.2.254 to-src-port=0 comment="" \
disabled=no
§src-nat(原地址转换)是将数据包中的原地址进行转换;
§dst-nat(目的地址转换)是将数据包中的目的地址进行转换。它用于让互联网用户访问私网内部的服务器(如WEB server 、FTP server),对私网上的WEB 服务器IP 进行重定向。
§如果action 选择masquerade (地址伪装),则to-src-address 不用设置!该选项是指将用户地址转换为该指定的地址,而不是public 端口的地址。
