RouterOS 6.48.6 实战部署:从零构建多线负载均衡网关
1. 硬件准备与系统安装
把旧服务器改造成专业级网关的第一步是硬件确认。我用的是一台Dell R720xd服务器,标配双千兆网卡,又加装了Intel I350-T4四口网卡,总共六个千兆网口足够做多线负载实验。这里有个细节要注意:建议选择Intel或Broadcom的网卡,Realtek芯片在RouterOS下可能出现驱动兼容性问题。
下载系统镜像时,官网有多个版本可选。6.48.6属于长期稳定版(LTS),特别适合生产环境。我遇到过有人图新鲜装7.x测试版,结果PCC功能异常,不得不重装。制作安装U盘推荐用Rufus工具,选择DD模式写入,比光盘更可靠。启动时如果遇到"no bootable device"报错,可能需要进BIOS关闭Secure Boot。
安装界面有十几个组件可选,新手容易犯两个错误:要么全选浪费资源,要么漏选关键组件。实测下来最精简的配置是:
- system(必选)
- dhcp(DHCP服务)
- ppp(PPPoE拨号)
- advanced-tools(排错工具)
- bandwidth-server(流量监控)
安装完成后别急着重启,先拔掉U盘,否则可能循环进入安装界面。我第一次操作时就踩了这个坑,盯着启动界面看了十分钟才反应过来。
2. 基础网络配置实战
刚装好的RouterOS就像毛坯房,得先打好基础设施。Winbox登录时有个冷知识:用MAC地址登录可能会被防火墙拦截,这时需要用console线直连。给网口改名这步千万不能省,我有次调试时把WAN口当LAN口配置,直接导致全网瘫痪。
IP地址规划建议用10.0.0.0/24这类私网段,避免和运营商地址冲突。配置时容易忽略的子网掩码写法:255.255.255.0要写成/24。DHCP服务要特别注意排除地址范围,我有次把网关IP包含在地址池里,结果引发IP冲突风暴。
几个必改的安全设置:
- 修改默认admin密码(80%的攻击都针对默认凭证)
- 关闭winbox的MAC访问(配置IP后立即禁用)
- 设置强密码策略(/user set admin password=xxx)
3. 多线PPPoE拨号配置
多线拨号的核心是区分每条线路的物理接口。我建议用不同颜色网线区分WAN口,曾经因为接口接错导致负载均衡失效。PPPoE配置里有个隐藏参数"add-default-route=no",必须设为否才能实现多线并存。
拨号成功后要检查三个关键点:
- 每条线路的默认路由权重(check-gateway=ping)
- NAT规则是否正确映射(chain=srcnat out-interface列表)
- 防火墙的masquerade规则
有个常见误区:很多人以为多条宽带插上就能叠加带宽。实际上需要配合路由标记和mangle规则,这个我们会在第四章详细展开。
4. NTH与PCC负载均衡
这是整个方案最硬核的部分。NTH和PCC是两种不同的负载算法:
- NTH按包数轮询(适合网页浏览)
- PCC按连接分流(适合视频会议)
配置NTH时需要特别注意计数器重置规则。我常用的配置模板:
/ip firewall mangle add chain=prerouting action=mark-connection \ new-connection-mark=conn1 passthrough=yes nth=2,1 /ip firewall mangle add chain=prerouting action=mark-connection \ new-connection-mark=conn2 passthrough=yes nth=2,2PCC配置更复杂些,要配合路由标记使用。实测发现移动端设备用PCC效果更好,因为NTH可能导致微信语音断续。企业办公场景建议PCC+故障转移组合,既保证带宽又提升可靠性。
5. 高级调优与排错
系统跑起来后还有几个优化点:
- 调整TCP MSS值(解决PPPoE MTU问题)
- 启用fasttrack(提升小包转发性能)
- 设置连接数限制(防P2P占满带宽)
排错时我必用的三板斧:
/tool ping 114.114.114.114 # 测试基础连通性 /tool traceroute 8.8.8.8 # 检查路由路径 /interface monitor-traffic # 实时流量监控遇到过最棘手的故障是运营商的MPLS标签冲突,表现为部分网站无法访问。最终通过调整路由标记的优先级解决,这个案例说明网络环境越复杂,排错越需要耐心。