玩转软路由 篇三：虚拟机ESXI中Mikrotik RouterOS(ROS)的安装设置教程

创作立场声明：本文所测商品为自费购入。如参加张大妈家的活动获得，我会在文中点明。坚持独立的评价观点是笔者创作的基本底线，绝不会因商品来源不同而有所偏颇，请各位放心。

说起来，工控机软路由中作为主路由器的选择很多，国内的爱快、开源的OpenWRT、商业化的ROS，等等，还有其他的，恕在下才疏学浅其他路由系统知道的不多。有人说OpenWRT虽然开源但是稳定性不够，国内的爱快虽然免费但总有这样那样的担心，ROS作为商业化很成功的系统，不支持中文，收费，上手难度高，等等，各说各有理。作为一个小白实在搞不清里面的弯弯绕绕，也只是在机缘巧合下，有个朋友极力推荐ROS，然后我就踏上了折腾ROS的不归路。先声明下，在下购买的正版ROS，如需购买请某宝上找正版代理，也不贵几百块钱，一个好点的无线路由器也差不多这价格了。并且ROS由于是Linux内核，支持创建脚本，能实现各类复杂功能。那么闲话少叙，下面进入正题。

一、ROS和管理工具WinBox

二、虚拟机Esxi的网络配置

1. 虚拟机Esxi的安装。

这里不多介绍了，不清楚的请参考我上一篇文章《软路由中Esxi 7.0 安装教程和避坑指南》。

2. 网卡直通。

进入虚拟机，点击管理->硬件->PCI设备，这里可以看到我们工控机软路由的所有网卡。

在上图中，从1到6分别代表了ETH0到ETH5。这里多说两句，有的人的软路由网卡不支持直通，不要紧，有的支持直通。直不直通看个人选择，直通效率更高，不直通的话200兆以下的宽带影响不大。在这里着重说下，一定要先规划好自己的网口分配，分配好了就不要来回改，不然很麻烦。我这里说说我的分配规划： ETH0是默认管理端口，我们不直通。ETH2到ETH5作为主路由的网口，其中ETH5作为光猫宽带接入口，可以直通。我这里的ETH1也没有直通，在我个人的情况里，是作为iTV的接入口，这里我们先预留这里，后面我专门出篇文章讲IPTV融合。那么，总结下来，ETH0没有直通，默认管理端口；ETH2到ETH5作为主路由的网口，进行直通。怎么直通？其实很简单，上图中，选择某一个网卡，然后点击绿框中的“切换直通”即可。后悔不想直通？也很简单，选中某一网卡，再次点击上图绿框中的“切换直通”即可。默认的Management Network端口组不可修改，否则将无法控制ESXI。

3. 虚拟交换机

进入Esxi导航器，点击网络->物理网卡，在我们直通后，就只看到两个没有直通的网卡了。

上图中，虚拟交换机和端口组都是设置完后自动生成的，如果没有就手动建一个。在这里你只需关注“vmnic0”这块物理网卡即可，“vmnic1”这块物理网卡，我是分配给ITV的这里大家自行忽略即可。再次提醒，默认的Management Network端口组不可修改，否则将无法控制ESXI。

三、 创建ROS虚拟机

1. 选择创建类型

进入Esxi导航器，点击【虚拟机】->【创建或注册虚拟机】。输入虚拟机名字。

并选择创建类型为“从OVF或OVA文件部署虚拟机”，输入虚拟机名称。

2. 上传OVF和VMDK文件

将下载好的已解压会得到的.ovf和.vmdk两个文件，将这两个文件全部拖入窗口中。

记住请用上面我提供的下载链接，多余的话不说。

3. 选择存储和部署选项

然后按下图中设置，不断下一页即可：

4. 虚拟机内存和硬盘设置

在上面设置成后完，即可完成虚拟机的创建。然后进入Esxi的虚拟机，选择刚刚创建好的虚拟机，右键选择【编辑设置】

这里的硬盘大小，一定不要修改，原因你懂的。请支持正版。

5. 给虚拟机ROS添加网卡。

点击【添加其他设备】->【PCI设备】，把直通的四个网卡添加进来。

上图红框中，从03到06对应的网口是ETH2到ETH5。ETH0是管理网口，我们不直通，ETH1是我设置iTV用的，不加进来。

6. 虚机选项设置

还是上图的页面，点击【虚拟机选项】选项卡。

第一步：将【客户机操作系】”修改为：Linux。

第二步：将【客户机操作系统版本】修改为：其他2.6.x或更高版本的Linux（64位）。

第三步：将【引导选项】中的【固件】修改为：BIOS。

最后点击保存，至此我们的ROS虚拟机就创建好了。

支持正版请购买正版L4及其以上的授权，或者购买CHR P1以上的授权。CHR授权优点：可自助不限次数转移，真正意义上的终身授权，推荐购买CHR授权！

四、主路由ROS的上网配置。

1. 使用WinBox登录ROS

第一次登陆ROS，不需要设置IP地址，直接用WinBox提示mac地址登陆。Login填入默认账号admin，Password默认为空，点击Connect进行连接。

2. 规划IP地址和DHCP分配

这里根据我之前安装Esxi时就规划好的IP地址，Esxi使用10.0.0.2，那么这里ROS虚拟机我使用10.0.0.1，旁路由OpenWRT使用10.0.0.3。DHCP分配的范围是10.0.0.10-10.0.0.240。这个每个人根据具体情况可以修改。重要的是规划IP地址的时候一定要记住，最好只使用“10/8、 172/12 、192/16”这三个网段，不要使用公网网段，不然后面你的留学上网会有问题。

3. 查看在Esxi下分配的网络接口

登陆进去之后，点击左侧菜单栏的【Interfaces】，在右侧会出现你分配给ROS网卡。注意，这里的网口【Name】不一定跟你工控机上对应，它的序号完全是乱的，所以最好根据Mac地址一个个测试一下修改【Name】，使之能够与工控机的网口，对应。一般，我们先把网线插在ETH0端口，在上图中它的【Name】是“ether2”，因为你可以看到已经有数据传输了。那么我们就一个个改过来。如下图：

这里ETH0是软路由的管理端口，系统自动分配，ETH2-ETH5是我们配置ROS虚拟机的时候手动分配的。再次提醒，我的ETH1是留给iTV的，如果你没这个需求，就一起加进来。这里我用ETH5作为WAN口，连接宽带。

3. 创建网桥

创建网桥是为了把ROS里面的网络端口放在一起，这样随便插哪个端口都可以连接ROS的Web管理界面了。

登陆进去之后，点击左侧菜单栏的【Bridge】，先给ROS添加一个网桥。

这里网桥首先只要做一个命名即可，其他都保持默认就行，如上图。

然后，把【Interface】的网口都加入到这个网桥里面，要一个个添加，预留的WAN口不要加进来。如下图。

如上图所示，我们刚创建的网桥，就把所有端口添加进来了。注意不要把WAN口加进来。

4. 创建PPPOE拨号

以为我加的宽带环境是电信拨号，所以光猫只处理光电信号，路由功能还是交给专门的路由器为好。如果你家是自动分配的，也可以设置，不过要看下篇文章。

首先WinBox进入ROS，在左侧菜单栏点击【Interface】，然后在“Interface”选项卡中点击“＋”号，选择【PPPOE Client】，如下图所示：

在上图中，Name：填写拨号连接名称，也可保持默认。Max MTU：可手动填写，一般保持默认即可。Max MRU：可手动填写，一般保持默认即可。Interface：选择需要用于拨号的端口，此端口需连接至光猫的WAN口，须确保端口选择正确，否则将无法拨号成功。我这里用地ETH5作为WAN口。

接着，我们设置宽带账号密码，还是在上图中，点击【Dial Out】选项卡。如下图所示：

拨号连接成功后在【Interface】界面PPPOE拨号前方会有一个“R”表示，代表已经连接成功，同时将有出口和入口流量。如下图所示：

5. 设置网关

首先WinBox进入ROS，在左侧菜单栏点击【IP】，在弹出菜单中选择【Adresses】，如下图所示：

然后在弹出对话框中点击“＋”号，在弹出对话框中填入相关信息。如下图：

首先，【Address】填入规划好的ROS的IP地址，24代表子网掩码“255.255.255.0”。【Network】中填入“10.0.0.0”，这里说下如果你的ROS的IP地址是“192.168.1.1”那么这里的【Network】就填入“1192.168.1.0”。最后【Interface】选择之前创建的网桥。

6. 设置DHCP地址池

首先WinBox进入ROS，在左侧菜单栏点击【IP】，在弹出菜单中选择【Pool】，在弹出的【IP Pool】对话框中，选择【Pools】选项卡，点击“＋”号，如下图所示：

Name：随意填写，能区分即可。Address：此处为一个IP地址范围，文章中为10.0.0.10-10.0.0.240，也就是说设备联网后将分配这个IP段内的地址。

7. 设置DHCP服务器

首先WinBox进入ROS，在左侧菜单栏点击【IP】，在弹出菜单中选择【DHCP Server】，在弹出的【DHCP Server】对话框中，选择【DHCP】选项卡，点击“＋”号，如下图所示：

Name：自定义设置。Interface：选择已经创建好网桥“ros_bridge”，意味着该网桥内的所有设备都通过创建的DHCP Server下发IP地址。Lease Time：租约时间（在一定的时间内，路由器会把ip地址仅分配给指定的mac地址使用），默认为10分钟，可根据需求修改。Address Pool：选择已经创建好的地址池。全部设置好后点击Apply，OK保存设置。

接着，仍然使用WinBox进入ROS，在左侧菜单栏点击【IP】，在弹出菜单中选择【DHCP Server】，在弹出的【DHCP Server】对话框中，选择【Networks】选项卡，点击“＋”号，如下图所示：

Address：填入10.0.0.0/24（如管理IP为192.168.1.1，则此处填入192.168.1.0/24，/24表示子网掩码255.255.255.0）。Gateway(网关)：填入10.0.0.1（ROS本身IP）。Netmask(子网掩码)：填入24。DNS Servers填入10.0.0.1（ROS本身IP）。最后点击“Apply”应用，然后再点击“OK”确认。

8. DNS设置

使用WinBox进入ROS，在左侧菜单栏点击【IP】，在弹出菜单中选择【DNS】，在弹出的【DNS Settingr】对话框中，设置相关信息，如下图所示：

点击Servers后面的下箭头添加DNS，填入公共的DNS，将Allow Remote Requests（允许远程请求）打钩。点击OK，保存设置。

9. NAT设置

使用WinBox进入ROS，在左侧菜单栏点击【IP】，在弹出菜单中选择【Firewall】，在弹出的【Firewall】对话框中，选择【NAT】选项卡，点击“＋”号，弹出【New NAT Rule】，在此对话框的【General】选项卡中的“Chain”的值选择“srcnat”,如下图所示：

接着，在弹出的【New NAT Rule】对话框中，选择【Action】选项卡，设置“Action”的值为“masquerade”。如下图所示：

最后点击Apply，OK。

10. 注意事项

通过过上述设置，ROS就可以连上网了，可以去Interface里面查看一下端口数据流通情况。

1) 查看PPPOE拨号是否正常。

2) 如果PPPOE正常，WAN口和LAN口都有数据流通，还上不了网，那么请用WinBox接入ROS，点击左侧菜单栏【IP】菜单，弹出的菜单中接着点击【DNS】，查看一下“Dynamic Servers”后面是否有异常的IP，该IP不属于你规划的网段，那么删掉就可以上网了。如下图所示：

11. ROS安全设置

1) 禁用不常用的服务

点击左侧菜单栏【IP】菜单，弹出的菜单中接着点击【Services】，选中要禁用的服务，并点击左上角红色“X”号，即可禁用相关服务，禁用后服务将置灰，建议仅保留WinBox服务即可。如下图所示：

如上图所示，我个人就保留了“winbox”和“www”（web管理页面）这两项，如果你有其他需要可以开启适合自己的服务，比如ssh和ftp等等。在“Port”列，可以修改服务端口，比如Web管理页面默认是80端口，你可以改成其他的。

2) 关闭公网DNS查询

关闭公网DNS查询是为了防止你的ROS被劫持为肉鸡作为DDOS的攻击器，那么需要以下设置：

如上图所示，点击左侧菜单栏【IP】菜单，弹出的菜单中接着点击【Firewall】，在弹出的对话框中选择“Rules”，然后点击“＋”号，在【General】选项卡中，Chain选择Input；Protocol选udp；Dst.port填入53；In.interface选择ROS的WAN口(例如我这里是ETH5)。然后切换至【Action】选项卡，Action选drop，点击Apply，OK保存设置。

3) 禁止外网Ping

禁止外网Ping，是为了你的路由器ROS被外网Ping扫描，设置如下图所示：

如上图所示，点击左侧菜单栏【IP】菜单，弹出的菜单中接着点击【Firewall】，在弹出的对话框中选择“Rules”选项卡，然后点击“＋”号，在【General】选项卡中Chain选择Input、Src-address将方框选中并填入自己的内网IP段(比如我规划的网段10.0.0.0/24，/24表示255.255.255.0)、Protocol选icmp，切换至Action选项卡，Action选drop，点击Apply，OK保存设置。通过此条防火墙规则，防止ROS被外网Ping扫描。

4)备份ROS路由器设置

上面设置这么多内容，万一重装了从头开始，就太麻烦了，ROS自带了备份工具，如下图所示：

如上图所示，点击左侧菜单栏【Files】菜单，弹出的对话框“File List”中接着点击【Backup】选项卡，在弹出的对话框中填入备份名称，选择是否加密，然后点击【Backup】按钮即可。然后在“File List”对话框中可以看到的备份文件，然后右键点击该文件，在弹出菜单中选择“Download”下载到本地。

五、 请使用正版

请去官网购买正版软件并购买正版授权