星期一, 12月 30, 2013

RouterOS 自動備份並email到gmail

本Script是引用電腦茶包Blog並加以修改,原作者是將Routeros的備份寄至hinet,因為個人的需求需寄到gmail,因此略加修改。
####################################################
#Script 引用電腦茶包Blog
#http://www.minitw.com/routeros/automatic-backup-routeros-and-email-send-backup-file.htm
#Script Name:backup_send_gmail
#-----------------------------------------
#SMTP伺服器位置
:local SMTP "smtp.gmail.com"

#寄件人
:local MailFrom "kuoabc@gmail.com"

#收件人
:local MailTo "kuoabc@gmail.com"

#寄出後是否刪除已存檔的Log(/file裡的檔案)
#0=保留 1=刪除

:local DeleteLogFile 1

:local BackupFileName
:set BackupFileName ([/system identity get name] . "_Backup-" . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6] . ".backup");
 /system backup save name=($BackupFileName);
:delay 10;

/tool e-mail set from=$MailFrom;
/tool e-mail set address=[:resolve $SMTP];

/tool e-mail send to=$MailTo subject=([/system identity get name] . " -- RouterOS Backup " . [:pick [/system clock get date] 7 11] . [:pick [/system clock get date] 0 3] . [:pick [/system clock get date] 4 6]) file=[$BackupFileName] start-tls=yes ;

:delay 10;

:if ($DeleteLogFile =1) do={
 /file rem [/file find name=($BackupFileName)];
 }

:log info ("System Backup emailed at " . [/sys cl get time] . " " . [/sys cl get date] . " (系統備份已由email寄出)");

#---
#########################################################

加入自動備份的步驟:
一、到Tools->Email,加入Email Settings,
Server:74.125.129.109,port:587
From:您的gmail,如abc@gmail.com
User:的gmail帳號,如abc
Password:為您的gmail密碼

因為gmail支援SMTP的TLS 加密認證(參考gmail說明),gmail的smtp伺服器為smtp.gmail.com,port為587,當時解析的IP為74.125.129.109,當然您也可以在server欄位填入smtp.gmail.com

二、此時設定完後,可以按【Send Email】並簡單輸入寄件資料測試是否可由Routeros將信寄出,記得TLS要打勾。
Address:
Port:
User:
Password:
To:
From:
以上六個欄位與前面一樣即可

Subject:測試的標題
Body:測試的內容

以上設定好後再按【Send Email】,接著登入到Gmail收信看看。

三、  登入Gmail若有收到測試信,就可接下一步加入自動備份的Script。



四、到System->Script,按【+】加入一個Script Name,這邊我們用backup_send_gmail,接著再將最上面的Script中紅色的字樣(:local SMTP可以不改) ,寄件人,收件人及是否在寄出備份檔後刪除這三個項目,修改完後,貼到Source的欄位內,再按【Apply】,最後按【Run Script】測試是否能成功的備份及寄出。



五、這時可以到【Files】看是否有新增一個備份檔,若還未寄出則檔案應該還在,若寄出後則可到【Log】中看到成功寄出的訊息。





六、到gmail看是否有收到自動寄出的備份檔



七、成功寄出後,我們再將這個Script加到我們的排程當中,到System->Scheduler->【+】(參考RouterOS Scheduler說明)。
Name:自訂
Start Date:  第一次執行Script的日期
Start Time:第一次執行Script的時間
Interval:間隔時間,若此處設0s,則代表僅執行一次(在Start time的時候),否則就會依interval的值間隔執行,這邊我們填1d,代表從start time起,每間隔一天的時間就會自動執行。
On Event:裡面要填您要執行的Script名稱,因為我們的script是命名為backup_send_gmail,所以這裡要填backup_send_gmail
 最後按apply就大功告成了!



星期四, 11月 07, 2013

SMC8126L2 vlan tag設定筆記


port23帶tag id 66

Vty-0#configure
Vty-0(config)#interface ethernet 1/23

Vty-0(config-if)#switchport allowed vlan add 66 tag
 

儲存設定
Vty-0(config-if)#exit
Vty-0(config)#exit
Vty-0#copy running-config startup-config
Startup configuration file name [startup1.cfg]:按enter
Write to FLASH Programming.
Write to FLASH finish.
Success.




重開機
Vty-0#reload
System will be restarted. Continue ?


port 23設為trunk mode 並帶多個tag id

interface ethernet 1/23
 switchport allowed vlan add 1 untagged
 switchport native vlan 1
 switchport mode trunk
 switchport allowed vlan add 1-2,6,11,22,33,44,55,66,77,88,99,101,4093 tagged

##################################################################


port2要下接另外一台網管交換器,

port2要加vlan tag,則必須設為trunk

設定如下:

先進入交換器的console

 

Vty-0#configure

Vty-0(config)#interface ethernet 1/2

Vty-0(config-if)#switchport mode trunk

Vty-0(config-if)#switchport allowed vlan add 11,22,33,44,55,66,99,101 tagged

Vty-0(config-if)#exit

Vty-0(config)#exit


儲存設定檔的指令

Vty-0#copy run startup-config

好了按enter


 
Startup configuration file name [startup1.cfg]:

Write to FLASH Programming.

Write to FLASH finish.

Success.

星期二, 11月 05, 2013

O2 防火牆如何設定URL過濾

O2的防火牆具有URL過濾功能,可以自行定義要阻擋的網址,其主要由兩個部分組成,【內容過濾】-【http】和【防火牆】-【內容過濾profile】,當profile設定完後,就可以到【防火牆】-【 ipv4規則】中的過濾條件中的【protection profile】選擇要過濾的profile。
這邊的例子,我們依情況分為一般的設定,及進階的設定

◎一般的URL阻擋方式(全校的URL阻擋均一致):

一、到【內容過濾】-【http】建立阻擋的黑名單,進入後,到【URL黑名單】,點按右下角的【新增】


二、如果要鎖51seer.com這個網域的所有連結,則輸入*.51seer.com*,類型選wildcard(萬用字元),這邊我們用*,這樣就可以將xxx.51seer.com/xxx/xxx/都封鎖。但這只是設定封鎖條件,還要將【URL黑名單設定】這個條件加入自行定義的profile中

\

三、到【防火牆】-【內容過濾profile】,新增自行定義的profile名字。如果只要全校套用,則profile建一個就可以了,下圖有兩個profile,Blocked_Site這個profile是我們預計要套用到全校,Lab_blocked_site是屬於進階的proflie,這裡先不管。Blocked_Site這個profile名稱可以自定,不一樣要像我這樣命名。


四、點選【Blocked_Site】的圖示,進入設定畫面,阻擋的類型,http阻擋的內容就是我們一開始在【內容過濾】-【http】所設定的,所以點進【HTTP】

五、點進【HTTP】後,將【URL黑名單】打勾,表示我們之前所設定的URL黑名單內的阻擋網址預計要阻擋,為何說預計呢?因為待一會還要到防火牆加入規則,這個阻擋才會生效。


六、我們也可以點選【P2P】,這邊我們預計要將所有P2P的服務阻擋下來,所以全部均勾選。註:只要是全校要阻擋的都可以一併在此選一選勾一勾。

七、到【防火牆】-【IPV4規則】加入一條規則,因為這是要阻擋的,所以放到最前面。



八、規則的【來源】-【來源區域】就是內部的zone或是內部的ip區段,【目的】的目的區域當然就是防火牆外部的zone,這邊我還加了一個【預設】netgroup:blocked_site,這個可不是我們之前定義的profile,這是我另外在【物件】-【IPV4】中設定的IP群組,主要是針對要阻擋的IP,再來【動作】設【拒絕】,【Protection Profile】要選【Blocked_Site】這個我們所設定的Profile。所以這條規則可以同時拒絕內部連線到要阻擋的IP及URL




九、所以只要連到所列的URL就會出現如下的畫面



◎進階的URL阻擋方式(電腦教室的阻擋機制希望較全校設定還嚴格):

因為本校除了想要設定一組全校教師套用的URL阻擋名單外,也想讓電腦教室再加上更多的URL阻擋清單(例如阻擋遊戲網站、Facebook…),所以這邊我們定義了二個,一個是Block Site(前面所設定的),一個是Lab_block_site。
因為Lab_block_site要套用到電腦教室的阻擋規則,所以之後要到【防火牆】-【IPV4規則】,將Block_Site的profile規則放的比Lab_block_site還要前面,這樣除了Block_Site的URL會被阻擋下來外,Lab_block_site所建的URL(例如facebook.com、photo.pchome.com.tw 、遊戲網站…等)也會被阻擋下來。就不會因為不想讓學生上某些網站,而導致全校均不能上,而能因不同的區域制定不同的阻擋規則。


一、我們點進【內容過濾】-【http】,到自定義URL,這邊可以將我們要阻擋或開放的URL建立不同群組,如Game、Sex、AD…等,這邊我建立了一個【lab_blocked】,這個lab_blocked是針對電腦教室額外再另外加的URL,我們以Facebook當例子。



二、到【自定義URL設定】,URL加入【*facebook.com*】類型選【wildcard】,【啟用】打勾,再按【儲存】



三、到【防火牆】-【內容過濾profile】增加【Lab_blocked_site】這個profile,這邊的名稱可以自定。


四、點選【Lab_blocked_site】的圖示,進入設定畫面,阻擋的類型,選【HTTP】,【自訂URL】的阻擋選項勾選要阻擋的URL群組,這邊的Game,Sex,Advertisment若資料不多,其實URL可以併到lab_blocked內就可以。選好就按【儲存】


五、到【防火牆】-【IPV4規則】加入一條規則,但這條規則要在放到前面所設定規則的後面,如下圖下面的紅色框。


五、到規則的設定畫面,來源區域為內部的zone,來源位址為原本設定在物件的電腦教室網路區段IP,目的區域為外部的Zone,【Protection Profile】選擇【Lab_blocked_site】這個profile


這樣子的設定有個好處是,有些網站想開放讓教師上,但不想開放讓學生上,就可以用此方式設定。




星期五, 9月 27, 2013

RouterOS的Master Port代表的意義

  一開始設定RouterOS時,線會在Interface的General內發現一個master port選項,以前設定防火牆時沒有看個這個項目,也不知道這個的意思,查了一下資料http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#switch-all-ports
原來mikrotik的routerboard有很多型號,每個型號的routerboard有搭配不同的晶片組,例如RB450G 的主機板晶片有Atheros8316,支援port switching、port mirror,port switching的功能就是可以讓routerboard的每個port達到像交換器一樣的功能,而不用另外設橋接,因為有晶片的支援,可以降低封包交換時CPU的loading。
  RB450G預設的ether2-ether5為一個交換群組,ether1可以自訂,指令列 /interface ethernet switch set switch1 switch-all-ports=no中switch-all-ports若設為yes,則可以和其他port合為一個交換群組,若設為no,則是一個獨立的port。
  如果要有路由器的功能,至少要一個wan,一個lan,那switch-all-ports要設為no,這樣ether1就是wan port ,ether2-ether5就是lan port,只是ether2-ether5可以看成是像交換器那樣,所以這幾個port就可以不用再另外設橋接(brider),就可以彼此互通。而設成switch 群組後,有一個master port選項,例如ether2設為master port,則如果要設dhcp server配發ip,就需要設在master port上,其他port如ether3-ether5要能要到ip則必須在interface內的general中設mast port為ethter2。

星期日, 9月 15, 2013

RouterOS如何備份目前設定與回復先前設定

RouterOS的備份與還原功能可分為指令與圖形界面
一、指令:
  1. 進入system backup路徑
  2. 下指令save name=xxxx ,其中xxxx為備份檔名
  3. 備份完後到/file 內下print即可看到xxxx.backup的備份檔
  4. 下面的例子是以檔名2013_09_14為備份檔
[admin@MikroTik] > system backup
[admin@MikroTik] /system backup> save name=2013_09_14 
Saving system configuration
Configuration backup saved

[admin@MikroTik] /system backup> /file print
 # NAME            TYPE                                 SIZE CREATION-TIME      
 0 skins           directory                                 jan/01/1970 08:01:00
 1 pub             directory                                 jan/02/1970 08:26:36
 2 MikroTik-020... backup                             21 765 jan/02/1970 08:45:15
 3 20130813-bac... script                             14 632 jan/02/1970 08:37:11
 4 2013_09_14.b... backup                             53 444 sep/15/2013 09:41:45




如果要還原整個系統,則是到system backup下,下達load name=xxxx,其中xxxx為要還原的備份檔
下達還原指令後,會出現Restore and reboot? [y/N]: 字樣,選擇y,則系統會重新啟動並載入還原的備份檔
 [admin@MikroTik] > file print
 # NAME            TYPE                                 SIZE CREATION-TIME     
 0 skins           directory                                 jan/01/1970 08:01:0
 1 pub             directory                                 jan/02/1970 08:26:3
 2 MikroTik-020... backup                             21 765 jan/02/1970 08:45:1
 3 20130813-bac... script                             14 632 jan/02/1970 08:37:1
 4 2013_09_14.b... backup                             53 444 sep/15/2013 09:41:4
 5 MikroTik-150... backup                             69 133 sep/15/2013 09:46:0

[admin@MikroTik] > system backup
[admin@MikroTik] /system backup> load name=MikroTik-15092013-0946.backup
Restore and reboot? [y/N]:


二、圖形模式
到files的圖形視窗界面,點選上方的【backup】系統就會自動以系統時間命名並儲存一個系統備份檔,如本圖所示為Miko Tik-15092013-0946.backup

還原時,則是先選擇還原的備份檔,再點按【Restore】,這時會出現一個確認視窗。


星期六, 9月 14, 2013

routeros如何顯示graphs流量圖

剛安裝完的RouterOS當我們進到webfig->graphs會發現 Traffic and system resource graphing 的字樣。或是以winbox進入->Tools->Graphing->Interface Graphs,會發現一切空白

這時我們以winbox為例,到Tools->Graphing->Interface Rules,點選+,加入新的Interface Graphing Rule,Interface可以選任一個網路界面,或是選擇all,按OK。

就可以到防火牆ip/graphs ,或是winbox->Tools->Graphing->Interface Graphs中選擇要觀察的界面流量圖






星期五, 8月 02, 2013

3com 4500與4210設定範例



環境3com 4500當上層交換器
3com 4210當下層交換器
3com 450026埠接3com 421025
3com 4500 本身ip設定為172.21.1.254/24
Vlan 22 172.21.2.0/24 port 1-4
Vlan 33 172.21.3.0/24 port 5-8
Vlan 44 172.21.4.0/24 port 9-12

3com 4210 本身ip設定為172.21.1.253/24
Vlan 22 port 1-4
Vlan 33 port 5-8
Vlan 44 port 9-12

3com 4500的設定


<4500>
system-view
進入設定

[4500]
INTERFACE VLAN 1
進入vlan1 這個界面,交換器預設一定會有vlan 1

[4500-Vlan-interface1]
IP ADDRESS 172.21.1.254 255.255.255.0
設定vlan 1ip,也就這台交換器的IP

[4500-Vlan-interface1]
quit
跳離設定模式

[4500]
vlan 22
新增一個名為22vlan,並跳入vlan 22

[4500-vlan22]
vlan 33
新增一個名為33vlan,並跳入vlan 33

[4500-vlan33]
vlan 44
新增一個名為44vlan,並跳入vlan 44

[4500-vlan44]
quit
跳離

[4500]
vlan 22
進入vlan 22中設定

[4500-vlan22]
PORT ETHERNET 1/0/1 TO ETHERNET 1/0/4
port 1,2,3,4設定為vlan 22

[4500-vlan22]
vlan 33
進入vlan 33中設定

[4500-vlan33]
PORT ETHERNET 1/0/5 TO ETHERNET 1/0/8
port 5,6,7,8設定為vlan 33

[4500-vlan33]
vlan 44
進入vlan 44中設定

[4500-vlan44]
PORT ETHERNET 1/0/9 TO ETHERNET 1/0/12
port 5,6,7,8設定為vlan 33

[4500-vlan44]
quit


[4500]
display vlan
showvlan的內容


Total 4 VLAN exist(s).
 The following VLANs exist:
  1(default), 22, 33, 44


[4500]
interface Vlan-interface 22
進入vlan 22的設定界面

[4500-Vlan-interface22]
ip add 172.21.2.0 24
設定vlan 22ip

[4500-Vlan-interface22]
interface Vlan-interface 33
進入vlan 33的設定界面

[4500-Vlan-interface33]
ip add 172.21.3.0 24
設定vlan 33ip

[4500-Vlan-interface33]
interface Vlan-interface 44
進入vlan 44的設定界面

[4500-Vlan-interface44]
ip add 172.21.4.0 24
設定vlan 44ip

[4500-Vlan-interface44]
quit


[4500]
dis vlan all
顯示所有的vlan設定

[4500]
save


[4500]
The configuration will be written to the device.
Are you sure?[Y/N]
是否要儲存設定,如果沒問題就是Y

[4500]

3com預設port 27,28up的狀態,也就預設就可以用了,若要將mini gbic插入25,26 則要將27,28 down,將25,26 up

[4500]
interface  GigabitEthernet 1/0/27
因為25-28giga port所以一定要有GigabitEthernet才能進入port 27

[4500 -GigabitEthernet1/0/27]
Shutdown
port 27 shutdown才能讓對映的port 25啟用,但是請注意,下完這個指令後,系統會自動reboot,要小心設定是否己儲存

<4500>
system view


[4500]
interface  GigabitEthernet 1/0/25
如果燈號還是沒亮,這時就必須將其定速

[4500 -GigabitEthernet1/0/25]
speed 1000
定速為1000 Mbps

[4500 -GigabitEthernet1/0/25]
Duplex full
定義為全雙工模式

[4500 -GigabitEthernet1/0/25]
quit










另外下層的4210設定也是如此,只是4210Layer2,無法設定vlan interfaceIP
因為4500port 25要下接4210port26,且4210一樣要切vlan22 vlan33 vlan44 並讓兩部交換器的相同vlan能互相溝通,則port還要再作trunk的動作,且必須再設static route
再者,4210port 26要上接4500port 25,因此4210port 26也要設定啟用,再設定trunk並且 設static route

Port vlan 模式有3
1.      access :port只能屬於一個vlan
2.      hybrid :可以有很多種模式,ex vlan22 可帶tag vlan 33不帶tag
3.      trunk:所有封包帶tag
設定trunk的方式如下


[4500]
interface  GigabitEthernet 1/0/25


[4500 -GigabitEthernet1/0/25]
port link-type trunk


[4500 -GigabitEthernet1/0/25]
port trunk permit vlan 1


[4500 -GigabitEthernet1/0/25]
port trunk permit vlan 22


[4500 -GigabitEthernet1/0/25]
port trunk permit vlan 33


[4500 -GigabitEthernet1/0/25]
port trunk permit vlan 44


[4500 -GigabitEthernet1/0/25]
display ip interface brief

*down: administratively down
(l): loopback
(s): spoofing
 Interface                   IP Address      Physical  Protocol     Description
 Vlan-interface1             172.21.2.254    up     up         Vlan-inte...
 Vlan-interface22            172.21.2.254    up     up         Vlan-inte...
 Vlan-interface33            172.21.3.254    up     up         Vlan-inte...
 Vlan-interface44            172.21.4.254       up     up         Vlan-inte...

可以看到vlan-interface 22,33,44physical protocalup

所以4210trunk模式也是如上的方式設定
接著要設定dhcp relay,讓client可以順利向dhcp server要到ip


[4500]
dhcp-server 1 ip 172.20.1.2
設定group名稱1dhcp server ip172.20.1.2

[4500]
Interface Vlan-Interface 1
進入vlan 1

[4500-Vlan-interface1]
Dhcp-server 1
設定vlan 1dhcp relaydhcp-server 1也就向172.20.1.2ip

[4500-Vlan-interface1]
Interface Vlan-Interface 22
進入vlan 22

[4500-Vlan-interface22]
Dhcp-server 1
設定vlan 22dhcp relaydhcp-server 1也就向172.20.1.2ip

[4500-Vlan-interface22]
Interface Vlan-Interface 33


[4500-Vlan-interface33]
Dhcp-server 1


[4500-Vlan-interface33]
Interface Vlan-Interface 44


[4500-Vlan-interface44]
Dhcp-server 1


Display dhcp-server 1 顯示Dhcp-Server 設定
Display dhcp-server Interface Vlan 2 顯示VLAN 介面的Relay 設定
Display dhcp-security 顯示Dhcp 安全性定義

static route的設定

4210client預設所有的封包均往4500丟,所以
4210static route設定為
Ip route-static 0.0.0.0 0.0.0.0 172.21.1.254  
也就是說不管目的地是那邊,封包均往4500

4500要設定
Ip route-static 172.21.1.0 255.255.255.0 172.20.1.253
Ip route-static 172.21.2.0 255.255.255.0 172.20.1.253
Ip route-static 172.21.3.0 255.255.255.0 172.20.1.253
Ip route-static 172.21.4.0 255.255.255.0 172.20.1.253
也就是說來源封包為172.21.1.0/24172.21.2.0/24172.21.3.0/24172.21.4.0/24這四個網段的ip均往回到172.20.1.253這台交換器


如何消除指定portvlan
ex
[4210-vlan11]display vlan all
 VLAN ID: 11
 VLAN Type: static
 Route Interface: not configured
 Description: VLAN 0011
 Name: VLAN 0011
 Tagged   Ports: none
 Untagged Ports:
  Ethernet1/0/1            Ethernet1/0/2            Ethernet1/0/3
  Ethernet1/0/4            Ethernet1/0/6            Ethernet1/0/13
  Ethernet1/0/14           Ethernet1/0/15           Ethernet1/0/16
  Ethernet1/0/18

如果要除去vlan11 中的ethernet1/0/6 ethernet1/0/18則下以下指令:
[4210]vlan11
[4210-vlan11]
[4210-vlan11]undo port Ethernet 1/0/6
[4210-vlan11]undo port Ethernet 1/0/18
[4210-vlan11]display vlan all
VLAN ID: 11
 VLAN Type: static
 Route Interface: not configured
 Description: VLAN 0011
 Name: VLAN 0011
 Tagged   Ports: none
 Untagged Ports:
  Ethernet1/0/1            Ethernet1/0/2            Ethernet1/0/3
  Ethernet1/0/4            Ethernet1/0/13           Ethernet1/0/14
  Ethernet1/0/15           Ethernet1/0/16