Oct
10
晨晨所管理的网络规模在迅速膨胀,而且电脑数量还在不断增加。为了能把工作搞好,晨晨不断地利用空余时间“充电”。这天他从一些资料中得知,在电脑数量比较多的网络中可以使用DHCP服务为客户端电脑自动分配IP地址,可以省去手动配置IP地址的麻烦。晨晨心想这倒不错,这样一来肯定能减轻不少工作负担。尽管通过看资料晨晨已经对DHCP有了一定地了解,但由于没有实践经验而不敢轻易动手操作,幸好有我们的高手阿昊在一旁手把手指导……
准备安装
阿昊是一个有着良好习惯的技术高手,每次进行实际操作之前总要针对欲实现的目标做一些准备工作,当然这次也不例外。阿昊首先让晨晨选择了一台安装有Windows Server 2003的服务器用以部署DHCP服务,并且还让晨晨为这台服务器指定了一个静态IP地址(如“10.115.223.1”)。另外根据网络中同一子网内所拥有的客户端电脑的数量,阿昊和晨晨初步确定了一段IP地址范围作为DHCP的作用域。
阿昊提示:DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是Windows 2000 Server和Windows Server 2003系统内置的服务组件之一。DHCP服务能为网络内的客户端电脑自动分配TCP/IP配置信息(如IP地址、子网掩码、默认网关和DNS服务器地址等),从而帮助网络管理员省去手动配置相关选项的工作。
安装DHCP服务
在Windows Server 2003系统中默认没有安装DHCP服务,因此晨晨在阿昊的指导下开始安装DHCP服务。
第1步 在“控制面板”中双击“添加或删除程序”图标,在打开的窗口左侧单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。
第2步 在“组件”列表中找到并勾选“网络服务”复选框,然后单击“详细信息”按钮,打开“网络服务”对话框。接着在“网络服务的子组件”列表中勾选“动态主机配置协议(DHCP)”复选框,依次单击“确定→下一步”按钮开始配置和安装DHCP服务。最后单击“完成”按钮完成安装(如图1)。
第2步 在打开的“新建作用域向导”对话框中单击“下一步”按钮,打开“作用域名”向导页。在“名称”框中为该作用域键入一个名称(如“CCE”)和一段描述性信息,单击“下一步”按钮。
小提示:这里的作用域名称只起到一个标识的作用,基本上没有实际应用。
第4步 在打开的“添加排除”向导页中可以指定排除的IP地址或IP地址范围。由于晨晨已经使用了几个IP地址作为其它服务器的静态IP地址,因此需要将它们排除。在“起始IP地址”编辑框中键入排除的IP地址并单击“添加”按钮。重复操作即可,接着单击“下一步”按钮(如图4)。
准备安装
阿昊是一个有着良好习惯的技术高手,每次进行实际操作之前总要针对欲实现的目标做一些准备工作,当然这次也不例外。阿昊首先让晨晨选择了一台安装有Windows Server 2003的服务器用以部署DHCP服务,并且还让晨晨为这台服务器指定了一个静态IP地址(如“10.115.223.1”)。另外根据网络中同一子网内所拥有的客户端电脑的数量,阿昊和晨晨初步确定了一段IP地址范围作为DHCP的作用域。
阿昊提示:DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是Windows 2000 Server和Windows Server 2003系统内置的服务组件之一。DHCP服务能为网络内的客户端电脑自动分配TCP/IP配置信息(如IP地址、子网掩码、默认网关和DNS服务器地址等),从而帮助网络管理员省去手动配置相关选项的工作。
安装DHCP服务
在Windows Server 2003系统中默认没有安装DHCP服务,因此晨晨在阿昊的指导下开始安装DHCP服务。
第1步 在“控制面板”中双击“添加或删除程序”图标,在打开的窗口左侧单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。
第2步 在“组件”列表中找到并勾选“网络服务”复选框,然后单击“详细信息”按钮,打开“网络服务”对话框。接着在“网络服务的子组件”列表中勾选“动态主机配置协议(DHCP)”复选框,依次单击“确定→下一步”按钮开始配置和安装DHCP服务。最后单击“完成”按钮完成安装(如图1)。
阿昊提示:如果是在Active Directory(活动目录)域中部署DHCP服务器,还需要进行授权才能使DHCP服务器生效。本例的网络基于工作组管理模式,因此无需进行授权操作即可进行创建IP作用域的操作。
创建IP作用域
晨晨对新技术的接受能力很强,三下五除二就完成了DHCP服务的安装。阿昊提醒晨晨,要想为同一子网内的所有客户端电脑自动分配IP地址,首先要做就是创建一个IP作用域,这也是事先确定一段IP地址作为IP作用域的原因。在阿昊的指导下,晨晨又开始了创建IP作用域的操作。
第1步 依次单击“开始→管理工具→DHCP”,打开“DHCP”控制台窗口。在左窗格中右击DHCP服务器名称,执行“新建作用域”命令(如图2)。
创建IP作用域
晨晨对新技术的接受能力很强,三下五除二就完成了DHCP服务的安装。阿昊提醒晨晨,要想为同一子网内的所有客户端电脑自动分配IP地址,首先要做就是创建一个IP作用域,这也是事先确定一段IP地址作为IP作用域的原因。在阿昊的指导下,晨晨又开始了创建IP作用域的操作。
第1步 依次单击“开始→管理工具→DHCP”,打开“DHCP”控制台窗口。在左窗格中右击DHCP服务器名称,执行“新建作用域”命令(如图2)。
第2步 在打开的“新建作用域向导”对话框中单击“下一步”按钮,打开“作用域名”向导页。在“名称”框中为该作用域键入一个名称(如“CCE”)和一段描述性信息,单击“下一步”按钮。
小提示:这里的作用域名称只起到一个标识的作用,基本上没有实际应用。
第3步 打开“IP地址范围”向导页,分别在“起始IP地址”和“结束IP地址”编辑框中键入事先确定的IP地址范围(本例为“10.115.223.2~10.115.223.254”)。接着需要定义子网掩码,以确定IP地址中用于“网络/子网ID”的位数。由于本例网络环境为城域网内的一个子网,因此根据实际情况将“长度”微调框的值调整为“23”,单击“下一步”按钮(图3)。
第4步 在打开的“添加排除”向导页中可以指定排除的IP地址或IP地址范围。由于晨晨已经使用了几个IP地址作为其它服务器的静态IP地址,因此需要将它们排除。在“起始IP地址”编辑框中键入排除的IP地址并单击“添加”按钮。重复操作即可,接着单击“下一步”按钮(如图4)。
第5步 在打开的“租约期限”向导页中,默认将客户端获取的IP地址使用期限限制为8天。如果没有特殊要求保持默认值不变,单击“下一步”按钮。
第6步 打开“配置DHCP选项”向导页,保持选中“是,我想现在配置这些选项”单选框并单击“下一步”按钮。在打开的“路由器(默认网关)”向导页中根据实际情况键入网关地址(本例为“10.115.223.254”)并依次单击“添加→下一步”按钮。
第7步 在打开的“域名称和DNS服务器”向导页中没有做任何设置,这是因为网络中没有安装DNS服务器且尚未升级成域管理模式。依次单击“下一步”按钮,跳过“WINS服务器”向导页打开“激活作用域”向导页。保持“是,我想现在激活此作用域”单选框选中状态,并依次单击“下一步”→“完成”按钮结束配置。
设置DHCP客户端
安装了DHCP服务并创建了IP作用域后,晨晨以为已经大功告成了。可是阿昊提醒道:“要想使用DHCP方式为客户端电脑分配IP地址,除了网络中有一台DHCP服务器外,还要求客户端电脑应该具备自动向DHCP服务器获取IP地址的能力,这些客户端电脑就被称作DHCP客户端”。
阿昊跟晨晨来到一台运行Windows XP的客户端电脑面前进行了如下设置:在桌面上右击“网上邻居”图标,执行“属性”命令。在打开的“网络连接”窗口中右击“本地连接”图标并执行“属性”,打开“本地连接 属性”对话框。然后双击“Internet协议(TCP/IP)”选项,点选“自动获得IP地址”单选框,并依次单击“确定”按钮。
阿昊提示:默认情况下端电脑使用的都是自动获取IP地址的方式,一般无需进行修改,只需检查一下就行了。
至此,DHCP服务器端和客户端已经全部设置完成了。在DHCP服务器正常运行的情况下,首次开机的客户端会自动获取一个IP地址并拥有八天的使用期限。
修改租约期限
尽管DHCP服务器部署成功了,但是晨晨又开始犯嘀咕了。客户端在获取一个IP地址后只有8天的使用期限,期限过后又要重新申请一个新的IP地址。频繁的IP地址变动肯定又会给管理工作带来麻烦。能不能使客户端在获取一个IP地址后就拥有对该IP地址的永久使用权呢?看来晨晨开始动脑筋了,这让阿昊大为高兴。阿昊说:“只要将‘租约期限’设置成‘无限制’就能解决该问题”。在“DHCP”控制台窗口中展开“服务器名称”目录,然后右击“作用域CCE”选项,执行“属性”命令。在打开的属性对话框中点选“无限制”单选框,并单击“确定”按钮。
在阿昊手把手的指导下,晨晨已经掌握了DHCP服务器的基本配置方法。最后阿昊总结,关于DHCP方面的知识还有很多,诸如DHCP服务器数据库的备份与还原、DHCP保留、重建被损坏的DHCP服务器等重要操作都需要在日后逐步掌握。晨晨一边点头,一边说:“真是听君一席话,胜读十年书啊!”
第6步 打开“配置DHCP选项”向导页,保持选中“是,我想现在配置这些选项”单选框并单击“下一步”按钮。在打开的“路由器(默认网关)”向导页中根据实际情况键入网关地址(本例为“10.115.223.254”)并依次单击“添加→下一步”按钮。
第7步 在打开的“域名称和DNS服务器”向导页中没有做任何设置,这是因为网络中没有安装DNS服务器且尚未升级成域管理模式。依次单击“下一步”按钮,跳过“WINS服务器”向导页打开“激活作用域”向导页。保持“是,我想现在激活此作用域”单选框选中状态,并依次单击“下一步”→“完成”按钮结束配置。
设置DHCP客户端
安装了DHCP服务并创建了IP作用域后,晨晨以为已经大功告成了。可是阿昊提醒道:“要想使用DHCP方式为客户端电脑分配IP地址,除了网络中有一台DHCP服务器外,还要求客户端电脑应该具备自动向DHCP服务器获取IP地址的能力,这些客户端电脑就被称作DHCP客户端”。
阿昊跟晨晨来到一台运行Windows XP的客户端电脑面前进行了如下设置:在桌面上右击“网上邻居”图标,执行“属性”命令。在打开的“网络连接”窗口中右击“本地连接”图标并执行“属性”,打开“本地连接 属性”对话框。然后双击“Internet协议(TCP/IP)”选项,点选“自动获得IP地址”单选框,并依次单击“确定”按钮。
阿昊提示:默认情况下端电脑使用的都是自动获取IP地址的方式,一般无需进行修改,只需检查一下就行了。
至此,DHCP服务器端和客户端已经全部设置完成了。在DHCP服务器正常运行的情况下,首次开机的客户端会自动获取一个IP地址并拥有八天的使用期限。
修改租约期限
尽管DHCP服务器部署成功了,但是晨晨又开始犯嘀咕了。客户端在获取一个IP地址后只有8天的使用期限,期限过后又要重新申请一个新的IP地址。频繁的IP地址变动肯定又会给管理工作带来麻烦。能不能使客户端在获取一个IP地址后就拥有对该IP地址的永久使用权呢?看来晨晨开始动脑筋了,这让阿昊大为高兴。阿昊说:“只要将‘租约期限’设置成‘无限制’就能解决该问题”。在“DHCP”控制台窗口中展开“服务器名称”目录,然后右击“作用域CCE”选项,执行“属性”命令。在打开的属性对话框中点选“无限制”单选框,并单击“确定”按钮。
在阿昊手把手的指导下,晨晨已经掌握了DHCP服务器的基本配置方法。最后阿昊总结,关于DHCP方面的知识还有很多,诸如DHCP服务器数据库的备份与还原、DHCP保留、重建被损坏的DHCP服务器等重要操作都需要在日后逐步掌握。晨晨一边点头,一边说:“真是听君一席话,胜读十年书啊!”
Oct
8
你的内网DNS服务器工作状态正常吗?大家常用的测试方法是查看内网用户是否能使用域名浏览网站,但这种测试方法并不全面和科学。其实最简单和便捷的方式是使用nslookup+Ping命令的组合方式,通过简单的两步就能给本地企业网中的DNS服务器做个快速“体检”。
第一步:首先使用nslookup命令来测试本企业网的DNS服务器,查看它是否能正常将域名解析成IP地址。这里笔者以www.yahoo.com这个域名为例。
在企业网内客户机中,点击“开始→运行”,然后输入“CMD”命令调出提示符窗口。在提示符窗口中输入“nslookup”命令,接着在“>”提示符后输入“www.yahoo.com”并按回车键,如果你的DNS服务器工作正常,就会出现“Addresses:66.94.230.75,66.94.230.38,66.94.230.40,66.94.230.4,66.94.230.46,66.94.230.47,66.94.230.49,66.94.230.52,”的提示信息,说明DNS服务器已经成功将域名解析成IP地址了,最后输入“exit”命令,这样就完成第一步测试。
[提示]:一般情况下,一个域名只对应一个IP地址。但对于某些使用群集技术的网站来说,如www.yahoo.com,使用nslookup命令解析域名后,就会出现多个对应的IP地址。
第二步:成功完成第一步操作后,说明本地DNS服务器的域名解析成IP地址是正常的,但这还是不够,那么DNS服务器是否能正常将一个IP地址反向解析成域名呢?下面就以上面解析出的“66.94.230.75”这个IP地址为例,介绍如何使用“Ping”进行测试。
在命令提示符窗口中输入“ping -a 66.94.230.75”命令,如果出现类似于“Pinging p.vip.scd.yahoo.com [66.94.230.75] with 32 bytes of data”这样的提示信息,说明对本地DNS服务器反向解析成功,这样就完成第二步测试。到此为止对DNS服务的测试工作完成,说明你使用的DNS服务器工作正常。
第一步:首先使用nslookup命令来测试本企业网的DNS服务器,查看它是否能正常将域名解析成IP地址。这里笔者以www.yahoo.com这个域名为例。
在企业网内客户机中,点击“开始→运行”,然后输入“CMD”命令调出提示符窗口。在提示符窗口中输入“nslookup”命令,接着在“>”提示符后输入“www.yahoo.com”并按回车键,如果你的DNS服务器工作正常,就会出现“Addresses:66.94.230.75,66.94.230.38,66.94.230.40,66.94.230.4,66.94.230.46,66.94.230.47,66.94.230.49,66.94.230.52,”的提示信息,说明DNS服务器已经成功将域名解析成IP地址了,最后输入“exit”命令,这样就完成第一步测试。
[提示]:一般情况下,一个域名只对应一个IP地址。但对于某些使用群集技术的网站来说,如www.yahoo.com,使用nslookup命令解析域名后,就会出现多个对应的IP地址。
第二步:成功完成第一步操作后,说明本地DNS服务器的域名解析成IP地址是正常的,但这还是不够,那么DNS服务器是否能正常将一个IP地址反向解析成域名呢?下面就以上面解析出的“66.94.230.75”这个IP地址为例,介绍如何使用“Ping”进行测试。
在命令提示符窗口中输入“ping -a 66.94.230.75”命令,如果出现类似于“Pinging p.vip.scd.yahoo.com [66.94.230.75] with 32 bytes of data”这样的提示信息,说明对本地DNS服务器反向解析成功,这样就完成第二步测试。到此为止对DNS服务的测试工作完成,说明你使用的DNS服务器工作正常。
Oct
5
以下是提高IIS 5.0网站服务器的执行效率的八种方法:
1. 启用HTTP的持续作用可以改善5~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 [独立] 的处理程序会损失20%的执行效率。
4. 增加快取记忆体的保存文档数量,可提高ActiveServer Pages之效能。
5. 勿使用CGI程式
6. 增加IIS 5.0电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
简单介绍如下
1、启用HTTP的持续作用
启用HTTP的持续作用(Keep-Alive)时,IIS与浏览器的连线不会断线,可以改善执行效率,直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时,于每次用户端请求时都不须重新建立一个新的连接,所以将改善服务器的效率。
此功能为HTTP .预设的功能,HTTP .0加上Keep-Alive header也可以提供HTTP的持续作用功能。
2、启用HTTP的持续作用可以改善5~20%的执行效率。
如何启用HTTP的持续作用呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,勾选 [HTTP的持续作用] 选项。
3、不启用记录
不启用记录可以改善5~8%的执行效率。
如何设定不启用记录呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,不勾选 [启用记录] 选项。
设定非独立的处理程序
使用 [独立] 的处理程序会损失20%的执行效率,此处所谓「独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高(独立的)] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)]时执行效率较高,设定画面如下:
如何设定非「独立」的处理程序呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录]页,设定应用程式保护选项为 [低 (IIS处理程序)]。
4、调整快取(Cache)记忆体
IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。
ASP指令文档执行过後,会在暂存於快取(Cache)记忆体中以提高执行效能。增加快取记忆体的保存文档数量,可提高Active Server Pages之效能。
可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。
如何设定快取(Cache)功能呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页,按下 [设定] 按钮时,即可由[处理程序选项] 页设定 [指令档快取记忆体] 。
如何设定快取(Cache)记忆体档案数量呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之 [伺服器扩充程式] 页,按下 [设定] 按钮。
即可设定快取(Cache)记忆体档案数量。
5、勿使用CGI程式
使用CGI程式时,因为处理程序(Process)须不断地产生与摧毁,造成执行效率不佳。
一般而言,执行效率比较如下:
静态网页(Static):00
ISAPI:50
ASP:0
CGI:
换句话说,ASP比CGI可能快0倍,因此勿使用CGI程式可以改善IIS的执行效率。
以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。
以安全(Security)而言:ASP(独立) = ISAPI(独立)= CGI > ASP(非独立) = ISAPI(非独立)= 静态网页(Static)。
6、增加IIS 5.0电脑CPU数量
根据微软的测试报告,增加IIS4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍。
IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。
7、启用ASP侦错功能
勿启用ASP侦错功能可以改善执行效率。
如何勿启用ASP侦错功能呢?步骤如下:
於 [Internet服务管理员] 中,选取Web站台、或应用程式的起始目录,按右键选择[内容],按 [主目录]、[虚拟目录] 或 [目录] 页,按下[设定] 按钮,选择 [应用程式侦错] 页,不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。
8、静态网页采用HTTP 压缩
静态网页采用HTTP 压缩,大约可以减少20%的传输量。
HTTP压缩功能启用或关闭,系针对整台IIS服务器来设定。
用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web服务器,才有HTTP压缩功能。
如何启用HTTP压缩功能呢?步骤如下:
若要启用HTTP压缩功能,方法为在 [Internet服务管理员] 中,选取电脑之 [内容],於 [主要内容] 之下选取[WWW服务]。然後按一下 [编辑] 按钮,於 [服务] 页上,选取 [压缩静态档案] 可以压缩静态档案,不选取 [压缩应用程式档案] 。
动态产生的内容档案(压缩应用程式档案)也可以压缩,但是须耗费额外CPU处理时间,若% Processor Time已经百分之八十或更多时,建议不要压缩。
其次 我还要说一下,就是除掉一些不必要的服务
1. 启用HTTP的持续作用可以改善5~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 [独立] 的处理程序会损失20%的执行效率。
4. 增加快取记忆体的保存文档数量,可提高ActiveServer Pages之效能。
5. 勿使用CGI程式
6. 增加IIS 5.0电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
简单介绍如下
1、启用HTTP的持续作用
启用HTTP的持续作用(Keep-Alive)时,IIS与浏览器的连线不会断线,可以改善执行效率,直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时,于每次用户端请求时都不须重新建立一个新的连接,所以将改善服务器的效率。
此功能为HTTP .预设的功能,HTTP .0加上Keep-Alive header也可以提供HTTP的持续作用功能。
2、启用HTTP的持续作用可以改善5~20%的执行效率。
如何启用HTTP的持续作用呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,勾选 [HTTP的持续作用] 选项。
3、不启用记录
不启用记录可以改善5~8%的执行效率。
如何设定不启用记录呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台,於 [内容] 之 [主目录] 页,不勾选 [启用记录] 选项。
设定非独立的处理程序
使用 [独立] 的处理程序会损失20%的执行效率,此处所谓「独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高(独立的)] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)]时执行效率较高,设定画面如下:
如何设定非「独立」的处理程序呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录]页,设定应用程式保护选项为 [低 (IIS处理程序)]。
4、调整快取(Cache)记忆体
IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。
ASP指令文档执行过後,会在暂存於快取(Cache)记忆体中以提高执行效能。增加快取记忆体的保存文档数量,可提高Active Server Pages之效能。
可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。
如何设定快取(Cache)功能呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页,按下 [设定] 按钮时,即可由[处理程序选项] 页设定 [指令档快取记忆体] 。
如何设定快取(Cache)记忆体档案数量呢?步骤如下:
在 [Internet服务管理员] 中,选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之 [伺服器扩充程式] 页,按下 [设定] 按钮。
即可设定快取(Cache)记忆体档案数量。
5、勿使用CGI程式
使用CGI程式时,因为处理程序(Process)须不断地产生与摧毁,造成执行效率不佳。
一般而言,执行效率比较如下:
静态网页(Static):00
ISAPI:50
ASP:0
CGI:
换句话说,ASP比CGI可能快0倍,因此勿使用CGI程式可以改善IIS的执行效率。
以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。
以安全(Security)而言:ASP(独立) = ISAPI(独立)= CGI > ASP(非独立) = ISAPI(非独立)= 静态网页(Static)。
6、增加IIS 5.0电脑CPU数量
根据微软的测试报告,增加IIS4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍。
IIS 5.0将静态的网页资料暂存於快取(Cache)记忆体当中;IIS 4.0则将静态的网页资料暂存於档案当中。调整快取(Cache)记忆体的保存档案数量可以改善执行效率。
7、启用ASP侦错功能
勿启用ASP侦错功能可以改善执行效率。
如何勿启用ASP侦错功能呢?步骤如下:
於 [Internet服务管理员] 中,选取Web站台、或应用程式的起始目录,按右键选择[内容],按 [主目录]、[虚拟目录] 或 [目录] 页,按下[设定] 按钮,选择 [应用程式侦错] 页,不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。
8、静态网页采用HTTP 压缩
静态网页采用HTTP 压缩,大约可以减少20%的传输量。
HTTP压缩功能启用或关闭,系针对整台IIS服务器来设定。
用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS 5.0之Web服务器,才有HTTP压缩功能。
如何启用HTTP压缩功能呢?步骤如下:
若要启用HTTP压缩功能,方法为在 [Internet服务管理员] 中,选取电脑之 [内容],於 [主要内容] 之下选取[WWW服务]。然後按一下 [编辑] 按钮,於 [服务] 页上,选取 [压缩静态档案] 可以压缩静态档案,不选取 [压缩应用程式档案] 。
动态产生的内容档案(压缩应用程式档案)也可以压缩,但是须耗费额外CPU处理时间,若% Processor Time已经百分之八十或更多时,建议不要压缩。
其次 我还要说一下,就是除掉一些不必要的服务
Oct
2
一:安装
1、光盘版的(转自雨纷飞大哥作品)
将iso文件刻录成可引导光盘。机器的硬盘设置为IDE0,即第一个IDE通道的主盘。
bios设置光盘引导系统,放入光盘启动机器得到如下
选择 2:Install RouteOS 2.8.18后稍等,得到如下画面:
用方向键和空格选择你需要的模组功能后,按"A"全选,摁“i“键确定安装。会再次询问你继续?yes or no?,摁“Y“.
然后又问:do you want to keep lod configuraton?你需要保留旧的结构么?摁“N
然后开始自动的格式化磁盘、安装核心、安装模组。最后提示:
Press ENTER to Reboot,按回车重新启动机器。
重新启动后出现图1的那个引导画面(如果没有出现而直接进了登陆界面说明用硬盘引导了):
选择3: Crack RouteOS Floppy Disk,开始破解。
破解过程都是中文的。如果你的硬盘在IDE0:0的话破解是不会有问题的。否则可能出现系统文件被破坏、启动时0123456...循环出现等问题。
问你是否重启呢。把光盘拿出来后按下Y确定重启动
重新启动后开始登陆。初始用户名admin,初始密码为空。
咦?怎么还有提示注册的信息和Soft ID?
原来是还需要一个命令激活注册补丁才可以哦:
输入命令:/system license import file-name=key
或者缩写为/sy lic i f key
然后提示你是否重新启动。按Y重新启动
重新启动并用admin:““登陆后发现,提示注册的信息已经完全消失了,现在是正式版了
现在服务器启动起来了,但是还没有任何配置,若想用winbox对其进行控制,则必须激活和配置网卡的ip 掩码等。这里我装了三块网卡,一块接电信,一块接网通,一块路由后接内网交换机。
首先看看三块网卡是否都被识别出来了,命令是:
/interface
print
可以缩写为
/int
pri
以后用缩写不再另外注名。
结果应该如下图:
然后我们来激活他们,命令是:
ENABLE 0
ENABLE 1
ENABLE 2
0是第一块网卡。
激活后没有提示。用print命令查看后发现网卡前面的X变成R,就代表激活成功了。
如下图
但是ether1 ether2之类的名字实在是抽象不便于以后的配置,所以我们把网卡给改个名字:
命令:
SET 0 NAME=newname
我这里用
set 0 name=dianxin
set 1 name=wangtong
set 2 name=neiwang
如下图:改名成功。
然后给他们相应的IP。
先返回顶层目录,用/键就可以了。
然后输入:
IP
ADDRESS
add address 192.168.0.10/24 interface dianxin
add address 192.168.0.11/24 interface wangtong
add address 192.168.0.12/24 interface neiwang
这样就设置好了dianxin、wangtong、内网这三块网卡的IP和子网掩码。24代表255.255.255.0
我只是做实验写教程,具体IP地址还要根据你的实际情况来变动。
添加完毕后可以用print命令来查看结果。如果发现某条有错误,用“remove 错误的编号“既可以删除
到这里IP的配置就大功告成了,我们终于可以跟文字界面说拜拜了~
2、GHOST版的(原创)
将下载好的G文件放在一块带有ghost的虚拟dos(我的是的MAX—dos)系统上,进ghost选择恢复镜像到全盘(千万别错了哦,是全盘镜像)。完毕重启后无需破解,余下的操作同上,我就不重复了。
二:winbox下调试
根据你所设的局域网IP。输入
(我的是192.168.1.1) 下载winbox
得到如下图:
输入管理员用户admin,默认密码为空,如图
第一项:interfaces。这里可以更改你的网卡名称,查看个内外网总体
查看外网流量如图:(选择网卡名称第四项traffic)
第二项,IP
由于你已经填写好了内外网的IP,所以IP Addresses里无须再管了。注意事项,外网掩码请仔细询问你当地的电信或者网通部门
2、ip routes,这里是更改你所走的网关用的,如图
3、IP pool(不管他)
4、IP arp(这里是网卡mac地址与ip地址绑定,我是绑定了),具体操作,双击前面带D(代表未arp绑定)的IP地址,点tools选择copy,点OK,哈哈,前面的D就没啦,恭喜你绑定成功
5、IP vrrp(不管他)
6、IP firewall(重点哦)
到这里了,是不是还拼不通外网啊,哈哈,没有IP伪装啊,当然上不了啊。IP—firewall—source,点加号加一条规则,第一项里面填你的设置的内网网段,不是网关哦,后面跟24,不是32哦。切记!如图
能上网了吧,这时候你的软路由非常脆弱,所以,我们来给他增“墙”,本文核心,防火墙配置。
input 设置图:
一些重要的端口改变图:为什么要改变端口,用途很明显,默认的大家都知道,而你所改的呢?只有你自己知道,哈哈,这就是效果!
看到没?
比如telnet啊,winbox啊,upnp,http(这里是指访问你的路由的http端口哦)。
forward 设置,这里控制着你网吧的安全核心,先看图:
其本都是drop drop drop。(阻止的意思啦)
tcp/udp协议的134—139端口,445端口(把三波引进来的就是这个端口,罪大恶极,封封封!)
500端口(这个端口是别人经常攻击你软路由的端口,也封)还有迅雷5啊,P2P啊,QQ幻想啊(你的是100M光纤就别封了,无所谓)
output 设置,此项比较简单,但很重要,syn大家都明白吧。如图:
virus设置:(也很重要哦)如果你input forward 两项防火没有起到什么作用,可以在里面做个跳转,使之两项转向virus设置。
virus设置图
jump(跳转图):
哈哈,防火墙设置基本完成,不要看似简单,记住写规则的顺序:先允许,后拒绝,别说我没讲哦,否则防火墙会被你配的一团糟,你还以为你的路由很安全呢?哈哈。
端口映射:
这项比较简单,IP—firewall—Destination。先看图:
负载平衡:IP—firewall—connections 点Tracking 看我图设置
网卡顺序嘛:以三块网卡为例,以我的为例,从主板显卡这边数,依次为3、2、1。
大家要限速的请看下面:Queues项的Simple queue
ros下怎样用命令关机?
system—shutdown
Oct
2
设置RouterOS简明教程
如何设置RouterOS
文档版本:
1.5
应用于:
MikroTik RouterOS V2.8
怎么样保护你的MikroTik RouterOS™?
属性描述
要保护你的MikroTik RouterOS™, 你不应该只是修改你的admin的密码,还需要设置数据包的过滤,所以目的地到路由器的数据包需要在一次经过ip firewall的input链表处理。注意input链表不会去**通过路由器的传输数据。
你可以添加下面的规则到/ip firewall rule input (只需要通过'copy 和paste'到路由器的Terminal Console(终端控制台)或 在winbox中配置相关的参数):
/ip firewall rule input add connection-state=invalid action=drop \
comment="Drop invalid connections"
/ip firewall rule input add connection-state=established \
comment="Allow established connections"
/ip firewall rule input add connection-state=related \
comment="Allow related connections"
/ip firewall rule input add protocol=udp comment="Allow UDP"
/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"
/ip firewall rule input add src-address=10.0.0.0/24 \
comment="Allow access from our local network. Edit this!"
/ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
comment="This is web proxy service for our customers. Edit this!"
/ip firewall rule input add action=drop log=yes \
comment="Log and drop everything else"
使用/ip firewall rule input print packets 命令可以看到有多少个数据包被里面的规则处理过。使用reset-counters 命令去复位统计值。检查系统日志文件通过/log print可以看到数据包被丢弃的信息。
你可能需要在里面添加允许来至确认主机的访问。例如:记住出现在列表中的防火墙规则在命令中被处理。一个规则匹配的数据包,不会被之后其他的规则处理。添加了新的规则后,如果想优先被处理,通过move命令移动到所以规则之上。
怎样保护你的MikroTik RouterOS™ 从来至 Spam的请求
Description
To protect your MikroTik RouterOS™ from being used as spam relay you have to:
保证你的路由器使用了防火墙规则。 See the How To section about it!
配置web proxy 访问列表
web proxy访问列表配置在/ip web-proxy access下。例如,添加下面规则允许来至确认主机的访问。 (只需要通过'copy 和paste'到路由器的Terminal Console(终端控制台)或 在winbox中配置相关的参数):
/ip web-proxy access add src-address=192.168.0.0/24 \
comment="Our customers"
/ip web-proxy access add dst-port=23-25 action=deny \
comment="Deny using us as telnet and SMTP relay"
/ip web-proxy access add action=deny \
comment="Deny everything else"
注意,允许确认服务首先你应该由规则,并且在规则的最后通常为拒绝任何的访问。
如何连接你的家庭网络到xDSL?
属性描述
确认你的家用DSL modem以安装好,并想通过一个安全的方式将你的家庭网络连接到Internet,首先你需要安装MikroTik路由器在DSL modem和你家庭网络中间:
下一步连接你的家庭网络到xDSL:
首先你的MikroTik路由器有两张以太网卡,一个对应家庭的DSL modem ,一个对应你的家庭网络。
安装时,确定你安装了dhcp软件功能包。
启用两个网卡,如下:
/interface enable ether1,ether2
配置DHCP客户端在对外的接口上(xDSL) 接收来至IP配置的服务:
/ip dhcp-client set enabled=yes interface=ether1
检查,如果你收到IP配置信息后使用lease print,如下:
[admin@MikroTik] ip dhcp-client> lease print
address: 81.198.16.4/21
expires: may/10/2001 04:41:49
gateway: 81.198.16.1
primary-dns: 195.13.160.52
secondary-dns: 195.122.1.59
[admin@MikroTik] ip dhcp-client>
添加你的私有网络地址到ether2网卡上,如下:
/ip address add address=192.168.0.1/24 interface=ether2
在你的本地网络配置伪装:
/ip firewall src-nat add out-interface=ether1 action=masquerade \ comment="Masquerades everything leaving the external interface"
配置防火墙保护你的路由器:
/ip firewall rule input add connection-state=invalid action=drop \
comment="Drop invalid connection packets"
/ip firewall rule input add connection-state=established \
comment="Allow established connections"
/ip firewall rule input add connection-state=related \
comment="Allow related connections"
/ip firewall rule input add protocol=udp comment="Allow UDP"
/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"
/ip firewall rule input add src-address=192.168.0.0/24 \
comment="From my home network"
/ip firewall rule input add action=drop log=yes \
comment="Log and drop everything else"
(可选)配置DHCP服务散发IP配置到你的家庭网络中去:
/ip pool add name=private ranges=192.168.0.2-192.168.0.254
/ip dhcp-server network add gateway=192.168.0.1 address=192.168.0.0/24 \
dns-server=195.13.160.52,195.122.1.59 domain="mail.com"
/ip dhcp-server add name=home interface=ether2 lease-time=3h \
address-pool=private
/ip dhcp-server enable home
这样!你能通过你的家庭网络访问Internet。
如何保持我的路由器的更新
属性描述
保持你的路由器更新,你应该:
更新最新的RouterOS软件版本
如果你有一个RouterBoard,需要更新BIOS固件版本
在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。
首先,At first, 检查你的一个routerboard功能包被安装
[admin@MikroTik] system package> print
Flags: I - invalid
# NAME VERSION BUILD-TIME UNINSTALL
0 routerboard 2.8.14 aug/06/2004 15:30:32 no
1 security 2.8.14 aug/06/2004 14:08:54 no
2 system 2.8.14 aug/06/2004 14:03:02 no
3 advanced-tools 2.8.14 aug/06/2004 14:04:55 no
4 wireless 2.8.14 aug/06/2004 14:42:17 no
[admin@MikroTik] system package>
检查你的RouterBoard BIOS固件:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 (Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.1 (Aug/06/2004 15:30:19)
[admin@MikroTik] system routerboard>
可以通过在下载页面查看在all packages文档最新的BIOS更新(http://www.routerboard.com/archive.html)。BIOS更新文件被命名为wlb-bios-[version_number].fwf 这里的version_number 是BIOS固件版本。
如果这个文件包含一个较新的版本,通过FTP使用二进制文件传输模式,拷贝到路由器。但完成后,你应该能在/file目录看到文件以及包含的BIOS固件信息:
[admin@MikroTik] system routerboard> /file print
# NAME TYPE SIZE CREATION-TIME
0 wlb-bios-1.3.2.fwf routerbios 73079 sep/07/2004 00:12:05
[admin@MikroTik] system routerboard>
检查RouterBoard的BIOS固件版本和你可以看到能一个能用于更新的版本:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 (Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.2 (Aug/22/2004 12:13:56)
[admin@MikroTik] system routerboard>
现在通过upgrade命令更新BIOS版本。
[admin@MikroTik] system routerboard> upgrade
Firmware upgrade requires reboot of the router. Continue? [y/n]
选择y后软件将升级BIOS,路由器将自动重启,请不要手动重启路由器。在路由器重启完成后,可用检查新的BIOS版本:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.2 (Aug/22/2004 12:13:56)
upgrade-firmware: 1.3.2 (Aug/22/2004 12:13:56)
[admin@MikroTik] system routerboard>
如何配置透明桥在两个网络中?
属性描述
远程网络能通过MikroTik RouterOS™基于IP的以太传输(EoIP)或WDS功能简单桥接起来,使用EoIP能扩展到其他别的类型的网卡上,如PPTP, CISCO/Aironet, Prism 。WDS 只能工作在Prism与Atheros网卡上。
注:因为MikroTik RouterOS不能直接在两个无线设备上做透明桥,所以通过EoIP方式实现。
让我们假设下面的一个网络设置:
使用EoIP隧道的透明桥
下面的步骤将使用EoIP接口创建透明桥:
确定你以将两个MikroTik路由器连接,例如一个路由器配置为服务端 (AP),另外一个则为客户端(station):
[admin@AP] > interface wireless set wlan1 mode=bridge ssid=mikrotik \
\... disabled=no
[admin@Station] interface wireless> print
[admin@Station] interface wireless> set wlan1 mode=station ssid=mikrotik disabled=no
确定IP配置正确,并能从一个路由器访问到另一个:
[admin@AP] > ip address add address=10.1.0.1/24 interface=wlan1
[admin@Station] > ip address add address=10.1.0.2/24 interface=wlan1
[admin@Station] > ping 10.1.0.1
10.1.0.1 64 byte pong: ttl=64 time=1 ms
10.1.0.1 64 byte pong: ttl=64 time=1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 1/1.0/1 ms
[admin@Station] >
添加EoIP隧道接口:
[admin@AP] > interface eoip add remote-address=10.1.0.2 tunnel-id=1 disabled=no
[admin@Station] > interface eoip add remote-address=10.1.0.1 tunnel-id=1 \\... disabled=no
添加桥接口并将相应的接口放入:
[admin@AP] > interface bridge add forward-protocols=ip,arp,other disabled=no
[admin@AP] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1
[admin@Station] > interface bridge add forward-protocols=ip,arp,other \
\... disabled=no
[admin@Station] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1
注: 如果你是通过ether1连接的,那在设置后将会丢失连接。这是因为网卡设置的切换。
将以太网卡的IP地址移动到桥接口上:
[admin@AP] ip address> set [find interface=ether1 ] interface=bridge1
[admin@AP] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.215/24 10.0.0.0 10.0.0.255 bridge1
1 10.1.0.1/24 10.1.0.0 10.1.0.255 wlan1
[admin@AP] ip address>
[admin@Station] ip address> set [find interface=ether1 ] interface=bridge1
[admin@Station] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.216/24 10.0.0.0 10.0.0.255 bridge1
1 10.1.0.2/24 10.1.0.0 10.1.0.255 wlan1 [admin@Station] ip address>
现在你可以通过在ether1上的bridge1接口连接到路由器。
通过ping 测试桥连接从10.0.0.215到10.0.0.216。注,桥需要10到30秒时间学习地址和开始经过的流量。
如果你有prism、CISCO/Aironet网卡或加密的PPTP隧道,同样可以创建EoIP透明桥然而,EoIP隧道只能用于建立两个MikroTik路由器之间。
如何将公网地址连接到一个本地地址?
属性描述
例如一个电脑有一个自己在局域网的地址但需要使用公务网络的通信。
让我们假设两个地址(10.0.0.216和10.0.0.217)被分配到路由器。在这个例子中我们将在一个'full NAT'到内网地址192.168.0.4指向外网的10.0.0.216的地址。10.0.0.217的外网地址仍然用于自己内部网络的伪装。
添加10.0.0.216/24和10.0.0.217/24 地址到路由器的外网网卡上,并设置192.168.0.254/24到内网网卡:
/ip address
add address=10.0.0.216/24 interface=Public
add address=10.0.0.217/24 interface=Public
add address=192.168.0.254/24 interface=Local
print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.216/24 10.0.0.0 10.0.0.255 Public
1 10.0.0.217/24 10.0.0.0 10.0.0.255 Public
2 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
在添加默认路由的时你应该意识到有两个地址。While adding the default route to the router you should be aware of having two addresses. You should specify the address that the router will be using while talking to the outer networks:
/ip route
add gateway=10.0.0.1 preferred-source=10.0.0.217
print
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 10.0.0.1 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Public
2 DC 192.168.0.0/24 r 0.0.0.0 0 Local
添加dst-nat规则允许从外网到内网服务器的访问:
/ip firewall dst-nat
add dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
print
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
添加src-nat规则允许内网服务器能与外网通信,并这是除192.168.0.4主机地址通过外网地址10.0.0.216出去,其他的内网地址通过10.0.0.217:
/ip firewall src-nat
add src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216
add src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217
print
Flags: X - disabled, I - invalid, D - dynamic
0 src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216
1 src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217
如何设置RouterOS
文档版本:
1.5
应用于:
MikroTik RouterOS V2.8
怎么样保护你的MikroTik RouterOS™?
属性描述
要保护你的MikroTik RouterOS™, 你不应该只是修改你的admin的密码,还需要设置数据包的过滤,所以目的地到路由器的数据包需要在一次经过ip firewall的input链表处理。注意input链表不会去**通过路由器的传输数据。
你可以添加下面的规则到/ip firewall rule input (只需要通过'copy 和paste'到路由器的Terminal Console(终端控制台)或 在winbox中配置相关的参数):
/ip firewall rule input add connection-state=invalid action=drop \
comment="Drop invalid connections"
/ip firewall rule input add connection-state=established \
comment="Allow established connections"
/ip firewall rule input add connection-state=related \
comment="Allow related connections"
/ip firewall rule input add protocol=udp comment="Allow UDP"
/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"
/ip firewall rule input add src-address=10.0.0.0/24 \
comment="Allow access from our local network. Edit this!"
/ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
comment="This is web proxy service for our customers. Edit this!"
/ip firewall rule input add action=drop log=yes \
comment="Log and drop everything else"
使用/ip firewall rule input print packets 命令可以看到有多少个数据包被里面的规则处理过。使用reset-counters 命令去复位统计值。检查系统日志文件通过/log print可以看到数据包被丢弃的信息。
你可能需要在里面添加允许来至确认主机的访问。例如:记住出现在列表中的防火墙规则在命令中被处理。一个规则匹配的数据包,不会被之后其他的规则处理。添加了新的规则后,如果想优先被处理,通过move命令移动到所以规则之上。
怎样保护你的MikroTik RouterOS™ 从来至 Spam的请求
Description
To protect your MikroTik RouterOS™ from being used as spam relay you have to:
保证你的路由器使用了防火墙规则。 See the How To section about it!
配置web proxy 访问列表
web proxy访问列表配置在/ip web-proxy access下。例如,添加下面规则允许来至确认主机的访问。 (只需要通过'copy 和paste'到路由器的Terminal Console(终端控制台)或 在winbox中配置相关的参数):
/ip web-proxy access add src-address=192.168.0.0/24 \
comment="Our customers"
/ip web-proxy access add dst-port=23-25 action=deny \
comment="Deny using us as telnet and SMTP relay"
/ip web-proxy access add action=deny \
comment="Deny everything else"
注意,允许确认服务首先你应该由规则,并且在规则的最后通常为拒绝任何的访问。
如何连接你的家庭网络到xDSL?
属性描述
确认你的家用DSL modem以安装好,并想通过一个安全的方式将你的家庭网络连接到Internet,首先你需要安装MikroTik路由器在DSL modem和你家庭网络中间:
下一步连接你的家庭网络到xDSL:
首先你的MikroTik路由器有两张以太网卡,一个对应家庭的DSL modem ,一个对应你的家庭网络。
安装时,确定你安装了dhcp软件功能包。
启用两个网卡,如下:
/interface enable ether1,ether2
配置DHCP客户端在对外的接口上(xDSL) 接收来至IP配置的服务:
/ip dhcp-client set enabled=yes interface=ether1
检查,如果你收到IP配置信息后使用lease print,如下:
[admin@MikroTik] ip dhcp-client> lease print
address: 81.198.16.4/21
expires: may/10/2001 04:41:49
gateway: 81.198.16.1
primary-dns: 195.13.160.52
secondary-dns: 195.122.1.59
[admin@MikroTik] ip dhcp-client>
添加你的私有网络地址到ether2网卡上,如下:
/ip address add address=192.168.0.1/24 interface=ether2
在你的本地网络配置伪装:
/ip firewall src-nat add out-interface=ether1 action=masquerade \ comment="Masquerades everything leaving the external interface"
配置防火墙保护你的路由器:
/ip firewall rule input add connection-state=invalid action=drop \
comment="Drop invalid connection packets"
/ip firewall rule input add connection-state=established \
comment="Allow established connections"
/ip firewall rule input add connection-state=related \
comment="Allow related connections"
/ip firewall rule input add protocol=udp comment="Allow UDP"
/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"
/ip firewall rule input add src-address=192.168.0.0/24 \
comment="From my home network"
/ip firewall rule input add action=drop log=yes \
comment="Log and drop everything else"
(可选)配置DHCP服务散发IP配置到你的家庭网络中去:
/ip pool add name=private ranges=192.168.0.2-192.168.0.254
/ip dhcp-server network add gateway=192.168.0.1 address=192.168.0.0/24 \
dns-server=195.13.160.52,195.122.1.59 domain="mail.com"
/ip dhcp-server add name=home interface=ether2 lease-time=3h \
address-pool=private
/ip dhcp-server enable home
这样!你能通过你的家庭网络访问Internet。
如何保持我的路由器的更新
属性描述
保持你的路由器更新,你应该:
更新最新的RouterOS软件版本
如果你有一个RouterBoard,需要更新BIOS固件版本
在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。
首先,At first, 检查你的一个routerboard功能包被安装
[admin@MikroTik] system package> print
Flags: I - invalid
# NAME VERSION BUILD-TIME UNINSTALL
0 routerboard 2.8.14 aug/06/2004 15:30:32 no
1 security 2.8.14 aug/06/2004 14:08:54 no
2 system 2.8.14 aug/06/2004 14:03:02 no
3 advanced-tools 2.8.14 aug/06/2004 14:04:55 no
4 wireless 2.8.14 aug/06/2004 14:42:17 no
[admin@MikroTik] system package>
检查你的RouterBoard BIOS固件:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 (Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.1 (Aug/06/2004 15:30:19)
[admin@MikroTik] system routerboard>
可以通过在下载页面查看在all packages文档最新的BIOS更新(http://www.routerboard.com/archive.html)。BIOS更新文件被命名为wlb-bios-[version_number].fwf 这里的version_number 是BIOS固件版本。
如果这个文件包含一个较新的版本,通过FTP使用二进制文件传输模式,拷贝到路由器。但完成后,你应该能在/file目录看到文件以及包含的BIOS固件信息:
[admin@MikroTik] system routerboard> /file print
# NAME TYPE SIZE CREATION-TIME
0 wlb-bios-1.3.2.fwf routerbios 73079 sep/07/2004 00:12:05
[admin@MikroTik] system routerboard>
检查RouterBoard的BIOS固件版本和你可以看到能一个能用于更新的版本:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.1 (Aug/06/2004 15:30:19)
upgrade-firmware: 1.3.2 (Aug/22/2004 12:13:56)
[admin@MikroTik] system routerboard>
现在通过upgrade命令更新BIOS版本。
[admin@MikroTik] system routerboard> upgrade
Firmware upgrade requires reboot of the router. Continue? [y/n]
选择y后软件将升级BIOS,路由器将自动重启,请不要手动重启路由器。在路由器重启完成后,可用检查新的BIOS版本:
[admin@MikroTik] system routerboard> print
routerboard: yes
model: 230
serial-number: 8387617
current-firmware: 1.3.2 (Aug/22/2004 12:13:56)
upgrade-firmware: 1.3.2 (Aug/22/2004 12:13:56)
[admin@MikroTik] system routerboard>
如何配置透明桥在两个网络中?
属性描述
远程网络能通过MikroTik RouterOS™基于IP的以太传输(EoIP)或WDS功能简单桥接起来,使用EoIP能扩展到其他别的类型的网卡上,如PPTP, CISCO/Aironet, Prism 。WDS 只能工作在Prism与Atheros网卡上。
注:因为MikroTik RouterOS不能直接在两个无线设备上做透明桥,所以通过EoIP方式实现。
让我们假设下面的一个网络设置:
使用EoIP隧道的透明桥
下面的步骤将使用EoIP接口创建透明桥:
确定你以将两个MikroTik路由器连接,例如一个路由器配置为服务端 (AP),另外一个则为客户端(station):
[admin@AP] > interface wireless set wlan1 mode=bridge ssid=mikrotik \
\... disabled=no
[admin@Station] interface wireless> print
[admin@Station] interface wireless> set wlan1 mode=station ssid=mikrotik disabled=no
确定IP配置正确,并能从一个路由器访问到另一个:
[admin@AP] > ip address add address=10.1.0.1/24 interface=wlan1
[admin@Station] > ip address add address=10.1.0.2/24 interface=wlan1
[admin@Station] > ping 10.1.0.1
10.1.0.1 64 byte pong: ttl=64 time=1 ms
10.1.0.1 64 byte pong: ttl=64 time=1 ms
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 1/1.0/1 ms
[admin@Station] >
添加EoIP隧道接口:
[admin@AP] > interface eoip add remote-address=10.1.0.2 tunnel-id=1 disabled=no
[admin@Station] > interface eoip add remote-address=10.1.0.1 tunnel-id=1 \\... disabled=no
添加桥接口并将相应的接口放入:
[admin@AP] > interface bridge add forward-protocols=ip,arp,other disabled=no
[admin@AP] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1
[admin@Station] > interface bridge add forward-protocols=ip,arp,other \
\... disabled=no
[admin@Station] > interface bridge port set eoip-tunnel1,ether1 bridge=bridge1
注: 如果你是通过ether1连接的,那在设置后将会丢失连接。这是因为网卡设置的切换。
将以太网卡的IP地址移动到桥接口上:
[admin@AP] ip address> set [find interface=ether1 ] interface=bridge1
[admin@AP] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.215/24 10.0.0.0 10.0.0.255 bridge1
1 10.1.0.1/24 10.1.0.0 10.1.0.255 wlan1
[admin@AP] ip address>
[admin@Station] ip address> set [find interface=ether1 ] interface=bridge1
[admin@Station] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.216/24 10.0.0.0 10.0.0.255 bridge1
1 10.1.0.2/24 10.1.0.0 10.1.0.255 wlan1 [admin@Station] ip address>
现在你可以通过在ether1上的bridge1接口连接到路由器。
通过ping 测试桥连接从10.0.0.215到10.0.0.216。注,桥需要10到30秒时间学习地址和开始经过的流量。
如果你有prism、CISCO/Aironet网卡或加密的PPTP隧道,同样可以创建EoIP透明桥然而,EoIP隧道只能用于建立两个MikroTik路由器之间。
如何将公网地址连接到一个本地地址?
属性描述
例如一个电脑有一个自己在局域网的地址但需要使用公务网络的通信。
让我们假设两个地址(10.0.0.216和10.0.0.217)被分配到路由器。在这个例子中我们将在一个'full NAT'到内网地址192.168.0.4指向外网的10.0.0.216的地址。10.0.0.217的外网地址仍然用于自己内部网络的伪装。
添加10.0.0.216/24和10.0.0.217/24 地址到路由器的外网网卡上,并设置192.168.0.254/24到内网网卡:
/ip address
add address=10.0.0.216/24 interface=Public
add address=10.0.0.217/24 interface=Public
add address=192.168.0.254/24 interface=Local
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.216/24 10.0.0.0 10.0.0.255 Public
1 10.0.0.217/24 10.0.0.0 10.0.0.255 Public
2 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
在添加默认路由的时你应该意识到有两个地址。While adding the default route to the router you should be aware of having two addresses. You should specify the address that the router will be using while talking to the outer networks:
/ip route
add gateway=10.0.0.1 preferred-source=10.0.0.217
Flags: X - disabled, I - invalid, D - dynamic, J - rejected,
C - connect, S - static, r - rip, o - ospf, b - bgp
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 S 0.0.0.0/0 r 10.0.0.1 1 Public
1 DC 10.0.0.0/24 r 0.0.0.0 0 Public
2 DC 192.168.0.0/24 r 0.0.0.0 0 Local
添加dst-nat规则允许从外网到内网服务器的访问:
/ip firewall dst-nat
add dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
Flags: X - disabled, I - invalid, D - dynamic
0 dst-address=10.0.0.216/32 action=nat to-dst-address=192.168.0.4
添加src-nat规则允许内网服务器能与外网通信,并这是除192.168.0.4主机地址通过外网地址10.0.0.216出去,其他的内网地址通过10.0.0.217:
/ip firewall src-nat
add src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216
add src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217
Flags: X - disabled, I - invalid, D - dynamic
0 src-address=192.168.0.4/32 action=nat to-src-address=10.0.0.216
1 src-address=192.168.0.0/24 action=nat to-src-address=10.0.0.217
