1、首页 关于 方案 工具下载 路由产品 无线应用 技术资料 代理商 汇款方式MikroTik RouterOS 应用事例讲解导航:防火墙配置规则防火墙 Tracking 设置双线备份自动切换配置源地址双线应用配置端口策略路由配置透明传输整形器配置电信网通流量控制动态流量控制PPTP 借线配置Hotspot 服务器配置PPPoE 服务器配置EoIP 隧道配置User Manager 操作配置Webbox 配置无线网络PPTP 远程办公互联配置1 : 1 NAT 实例防火墙规则下面是三条预先设置好了的 chains,他们是不被能删除的: input 用于处理进入路由器的数据包,即数据包目标 IP 地
2、址是到达路由器一个接口的 IP 地址,经过路由器的数据包不会在 input-chains 处理。 forward 用于处理通过路由器的数据包 output 用于处理源于路由器并从其中一个接口出去的数据包。 他们具体的区别如下:当处理一个 chain(数据链),策略是从 chain 列表的顶部从上而下执行的。如果一个数据包满足策略的条件,这时会执行该操作。我们来看看防火墙过滤原则:现在我来看事例中的防火墙规则:我先从 input 链表开始,这里是对所有访问路由的数据进行过滤和处理:从 input 链表的第一条开始执行,这里一共有三条规则:0 ; 接受你信任的 IP 地址访问(src-addres
3、s=填写信任 IP,默认允许任何地址)chain=input src-address=192.168.100.2 action=accept 1 ; 丢弃非法连接chain=input connection-state=invalid action=drop 2 ; 丢弃任何访问数据 chain=input action=drop下面是 forward 链表forward 链表,一共有 7 条规则,包括两个跳转到自定义链表 ICMP 和 virus 链表:0 ; 接受已建立连接的数据 chain=forward connection-state=established action=accep
4、t 1 ; 接受相关数据 chain=forward connection-state=related action=accept 2 ; 丢弃非法数据包 chain=forward connection-state=invalid action=drop 3 ; 限制每个主机 TCP 连接数为 80 条 chain=forward protocol=tcp connection-limit=80,32 action=drop 4 ; 丢弃掉所有非单播数据chain=forward src-address-type=!unicast action=drop 5 ; 跳转到 ICMP 链表cha
5、in=forward protocol=icmp action=jump jump-target=ICMP 6 ; 跳转到病毒链表 chain=forward action=jump jump-target=virusforward 工作过程如下:在自定义链表 ICMP 中,是定义所有 ICMP(Internet 控制报文协议),ICMP 经常被认为是 IP 层的一个组成部分。它传递差错报文以及其他需要注意的信息。ICMP 报文通常被 IP 层或更高层协议(TCP 或UDP)使用。例如:ping 、traceroute、trace TTL 等。我们通过 ICMP 链表来过滤所有的 ICMP 协
6、议:ICMP 链表操作过程:0 ; Ping 应答限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept 1 ; Traceroute 限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept 2 ; MTU 线路探测限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept 3 ; Ping 请求限制
7、为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept 4 ; Trace TTL 限制为每秒 5 个包 chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept 5 ; 丢弃掉任何 ICMP 数据chain=ICMP protocol=icmp action=drop在 virus 链表中过滤常见的病毒,我可以根据需要在该链表中添加新的病毒对他们做过滤:Tracking 设置这里我们可以设置是否启用 trac
8、king 连接跟踪,以及 TCP、UDP 和 ICMP 等协议的 timeout 时间,和TCP-syncookie 设置,RouterOS 在 2.9.16 中增加了 TCP-syncookie 参数。在使用 NAT 时需要启用 Tracking 连接跟踪,如果你的 RouterOS 没有使用 NAT(如在使用 bridge 模式下),可以选择关闭 tracking,降低系统资源。SYN Cookie 原理SYN Flood 是一种非常危险而常见的 DoS 攻击方式。到目前为止,能够有效防范 SYN Flood 攻击的手段并不多,而 SYN Cookie 就是其中最著名的一种SYN Cook
9、ie 是对 TCP 服务器端的三次握手协议作一些修改,专门用来防范 SYN Flood 攻击的一种手段。它的原理是,在 TCP 服务器收到 TCP SYN 包并返回 TCP SYN+ACK 包时,不分配一个专门的数据区,而是根据这个 SYN 包计算出一个 cookie 值。在收到 TCP ACK包时,TCP 服务器在根据那个 cookie 值检查这个 TCP ACK 包的合法性。如果合法,再分配专门的数据区进行处理未来的 TCP 连接。事例操作双线备份自动切换配置RouterOS 2.9 中路由规则增加的两点功能:1、在 RouterOS 2.9 路由规则中增加了 check-gateway
10、的功能,能检测到网关的线路状态,如果网关无法探测到,便认为网关无法连接,会自动禁止访问网关的数据通过,check-gateway 功能的探测时间为 10s一个周期。2、在 RouterOS 2.9 中具备了对缺省网关的判断,在 RouterOS 2.9 的任何一个路由表中只能存在一个缺省网关,即到任何目标地址为 0.0.0.0/0,没有做路由标记(routing-mark)的规则,如果存在另一个缺省网关则认为是错误,路由将不予以执行。如下图:从上图我们可以看到,所有访问电信的 IP 段从 10.200.15.1 出去,其他的数据走网通的缺省网关出去,在我们可以这些网关的前缀都为“AS”,即确定
11、的静态路由,而在第二排可以看到蓝色一行,他也是一个缺省网关,但因为一个路由表中只能存在一个缺省网关,所有前缀为“S”即静态但不确定的网关,被认为位非法的。如果当 202.112.12.12.11 网关断线,则 10.200.15.1 会自动启用,变为缺省路由,实现现在的切换,如下:当 202.112.12.11 断线后,check-gateway 在 10s 一个周期后探测到,并将 10.200.15.11 设置为缺省路由,如果 202.112.12.11 正常后,系统也将会将 202.112.12.11 设置为缺省路由,因为他是先于10.200.15.1 添加入路由表中。源地址双线应用案例这
12、是一个典型的通过一个路由器并使用两条 ISP 线路接入的环境(比如都是两条电线的 ADSL 或者 LAN 接入): 当然,你可以选择负载均衡!这里有多种方法可以选择,只是根据你的环境,选择最适合你解决方案。 基于用户端 IP 地址的策略路由 如果你有很多的主机地址,你可以通过 IP 地址将他们分组。这时,指定源 IP 地址,发送的传输通过ISP1 或者 ISP2 的网关出去。 让我们假设终端电脑的网络地址段为 192.168.100.0/24,IP 分配如下: 192.168.100.1-127 分配到 A 组 192.168.100.128-253 分配到 B 组 192.168.100.2
13、54 路由器本地 IP 地址(即内网的网关) 现在,我们通过子网划分的方式,将终端电脑进行分组:A 组为 192.168.100.0/25,地址范围:192.168.100.0-127 B 组为 192.168.100.128/25,地址范围:192.168.100.128-255 如果你不能理解,请你查阅 TCP/IP 的相关教材或通过网上查找相关的子网划分资料!我们需要添加两个ip firewall mangle 的规则,标记来至 A 组和 B 组终端电脑的数据包。 定义 A 组:链表为 chain=prerouting,源地址:src-address=192.168.100.0/25 操
14、作为 Action=mark routing 并定义新的路由标记 GroupA. 最好做一个注释,以便以后便于你自己或者别人查看和处理。 定义 B 组: 链表为 chain=prerouting,源地址:src-address=192.168.100.128/25 操作为 Action=mark routing 并定义新的路由标记 GroupB 所有来至终端电脑的 IP 传输都通过路由标记为 GroupA 或者 GroupB。这样我们可以标记到路由表中(routing table)。 下面,我们需要定义两个默认路给相应的路由标记和网关:到这里,如果你没有对路由器做 NAT 的伪装,请在/ip
15、firewall nat 里添加 src- Address=192.168.100.0/24 action=masquerade,在终端电脑上测试一下跟踪路由是否正确定义两个分组的默认路由: A 组测试如下情况: C:tracert -d 8.8.8.8Tracing route to 8.8.8.8 over a maximum of 30 hops1 2 ms 2 ms 2 ms 192.168.100.2542 10 ms 4 ms 3 ms 10.1.0.1.B 组测试如下情况: C:tracert -d 8.8.8.8Tracing route to 8.8.8.8 over a m
16、aximum of 30 hops1 2 ms 2 ms 2 ms 192.168.100.2542 10 ms 4 ms 3 ms 10.5.8.1.如何做端口的策略路由 :MikroTik RouterOS 可以支持多种策略路由,如我们常见的源地址、目标地址,同样支持端口的策略路由,多种规则可以根据用户情况配合使用,如下图:现在我们通过下面的图解一步步实现端口的策略路由:我们有两个 ISP 接入的线路,一个是 WAN1: 211.162.172.23,一个是 WAN2: 218.112.109.27(地址为假设) ,我们让默认的数据通过 WAN1,让访问网页的数据通过 WAN2。现在我们定
17、义访问网页的端口,访问网页的端口是 TCP 80 端口,我们进入 /ip firewall mangle 中做数据标记 首先我们标记 80 端口的连接,标记名为“http”然后我们从这些连接中提取我们想要的数据:之后我们从标记中提取路由标记,命名为“web” ,因为我们在前面的连接标记中做过了 passthrough 的设置,在这里就不用在重复设置。然后我们进入/ip route,配置路由我们让标记好的 80 端口路由去 WAN2 的线路:在这里,我们也可以通过/ip route rule 来定义端口的规则:让定义的 web 标记在一次回到 web 路由表中去查找网关。透明传输整形器 ( Tr
18、ansparent Traffic Shaper)这个事例将介绍如何配置一个透明传输整形器。透明整形器是建立在一个桥上,能区分和优先考虑什么样的传输通过。 现在考虑下面的网络拓扑: 在这里配置一组队列限制,一个客户端的总的通过量和三个子队列(HTTP、P2P 和其他的传输数据) ,HTTP 传输将优先在其他传输之上。 快速配置配置代码(可以复制到 MikroTik RouterOS 执行): / interface bridge add name=“bridge1“/ interface bridge port add interface=ether2 bridge=bridge1 add i
19、nterface=ether3 bridge=bridge1 / ip firewall mangle add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yesadd chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=noadd chain=prerouting p2p=all-p2p
20、action=mark-connection new-connection-mark=p2p_conn passthrough=yesadd chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=noadd chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=yesadd chain=prerouting connection-mark=other_c
21、onn action=mark-packet new-packet-mark=other passthrough=no/ queue simple add name=“main“ target-addresses=10.0.0.12/32 max-limit=256000/512000add name=“http“ parent=main packet-marks=http max-limit=240000/500000add name=“p2p“ parent=main packet-marks=p2p max-limit=64000/64000add name=“other“ parent
22、=main packet-marks=other max-limit=128000/128000分析下面将解释每段代码的具体实现: Bridge/ interface bridge add name=“bridge1“/ interface bridge port add interface=ether2 bridge=bridge1 add interface=ether3 bridge=bridge1建立一个新的 bridge 接口,并分配 2 个以太网卡给他:这样可以在两个网络间实现透明桥的功能 Mangle/ ip firewall mangle add chain=preroutin
23、g protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yesadd chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=no所有符合 TCP 端口 80 及 HTTP 协议传输的数据,将标记为数据包标记为 http ,注意:第一条规则设置为passthrough=yes,第二条为 passthrough=no. / ip fire
24、wall mangle add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yesadd chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=noadd chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=ye
25、sadd chain=prerouting connection-mark=other_conn action=mark-packet new-packet-mark=other passthrough=no同上面所述,P2P 传输被标记为数据包标记 p2p 并将剩下的传输标记为 other. Queues/ queue simple add name=“main“ target-addresses=10.0.0.12/32 max-limit=256000/512000创建一个队列,限制所有聪客户端来的流量传输为(指定客户端的 target-address)256k/512k. / queu
26、e simple add name=“http“ parent=main packet-marks=http max-limit=240000/500000add name=“p2p“ parent=main packet-marks=p2p max-limit=64000/64000add name=“other“ parent=main packet-marks=other max-limit=128000/128000所有子队列排列入 main 父系, 因此所有的带宽流量不会超过指定的 main 队列注意:http 队列优先级高于其他队列,级 HTTP 流量将优先考虑。 如果配置到电信网
27、通的流量控制对于电信和网通的 IP 地址段是已知,那么我们可以通过通过地址标记来实现对这些地址的流量控制,首先我们将电信和网通的地址段导入 RouterOS 的 address-list 中(可以在 下载到)通过 import 命令,导入地址列表:导入后我们可以在/ip firewall address-list 中找到:配置数据标记 mangle进入/ip firewall mangle 设置,这里我们定义访问电信的流量控制,我们的内网地址段为192.168.0.0/24,所有这里我们配置源地址 src-address=192.168.0.0/24。在 mangle 中先标记连接,然后在从
28、连接中提取数据包:定义标记类型:源代码:/ ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 dst-address-list=Telecom action=mark-connection new-connection-mark=Telecom passthrough=yes comment=“ disabled=no现在从标记的连接 Telecom 中提取数据包:源代码:/ ip firewall mangle add chain=prerouting connection-mark=Telecom acti
29、on=mark-packet new-packet-mark=TEL passthrough=no comment=“ disabled=no配置 simple queue现在我们进入/queue simple 对列中配置流控规则,在这里我们把到电信的带宽控制在 1M 上行和 2M 下行源代码:/ queue simple add name=“telecom“ dst-address=0.0.0.0/0 interface=all parent=none packet-marks=TEL direction=both priority=8 queue=default-small/default
30、-small limit-at=0/0 max-limit=1000000/2000000 total-queue=default-small disabled=no这样对电信的带宽控制便完成,控制网通带宽同样的如何实现 RouterOS 的动态流量控制在局域网中因为网络带宽的问题,需要对网络流做控制,但又因为做固定的流量控制的时候,会造成在上网空闲时候带宽的浪费,这里我们可以同 RouterOS 的 PCQ 算法完成对内部局域网流量的动态分配,如下图所示:通过上图,我们可以看到当 PCQ 的速率设定为 128k 的时候,平均每个用户将会得到同样的带宽 128k,当上网高峰期的时候 PCQ 才
31、会做二次流量分配,如果 PCQ 的速率在开始就设定为 0k,这样在一个用户的时候就可以得到全部带宽,之后是 2 个用户平均分配,依次类推,但最后带宽会控制在 73k 的范围内,控制最小使用带宽,保证用户正常使用。首先进入 Queue Type 中配置 PCQ 的上行和下行:在配置 PCQ 的速率的时候将 rate=0,即每个用户不用配置流量速率,下面是 down 即下行的配置:同样在上行配置如下:在配置好 Queue Type 后我们进入 Simple Queue 中配置流量控制规则,这里我们的总出口带宽假设为1M,上行带宽为 512k,内网地址段为 192.168.10.0/24:接下来配置
32、 Interface 和 Queue Type,选择上行和下行的 PCQ 类型分别为 Up 和 Down:这样 PCQ 的动态流量控制就设定完成了,这样就能实现根据用户数占用流量来动态分配带宽,这样能达到带宽的有效分配和利用。PPTP 借线操作假设一个接入点 A 有电信和网通两条线路,并做了以网通为主,电信为静态路由策略设置。而另一个接入点 B 接入了网通的线路,并且想通过 PPTP 隧道的方式借用接入点 A 的电信线路,现在看下面的图例根据上面的案例,接入点 A 和 B 他们都是共同使用了网通的线路,这里网通两个点之间的延迟小于10ms,网络延迟小才能保证足够的网速给 B 做电信的访问。首先
33、建立从接入点 B 到 A 的 PPTP 隧道,我们在接入点 A 设置 PPTP 服务器,在接入点 B 设置客户端。这里接入点 A 的网通 IP 地址为202.112.12.10,B 网通地址为 202.112.12.12。配置 PPPTP-Server在接入点 A 启用 PPTP-Server,并设置密码传输的加密类型:在这里 Default-Profile 我们采用 default-encryption,同样你也可以在 PPTP-Server 的 profiles 中创建自己的规则。Keepalive-Timeout 是 PPTP-Server 主动使用 ICMP 协议探测客户端是否在线,如
34、果客户端使用了防火墙或禁止 ICMP 探测,那无法探测到客户端,Server 就会主动断开该客户端的连接,这个设置需要用户自己根据网络情况判断。设置 Profile 定义客户和主机的访问地址:在这里我们给 PPTP-Server 分配的 IP 地址为 192.168.100.1(local-address) ,给客户端分配的地址为192.168.100.2(remote-address) 。分配 IP 地址也可以通过账号设置 Secrets 进行,在这里我们只有一个客户端所有可以直接通过 profile 中的规则设置,如果有多个客户端也可以通过/ip pool 中的地址池做 DHCP 的分配。
35、配置 limit 参数:在 limit 参数中,我们可以看到 idle-timeout,这个是客户端在没有流量超过 1 分钟后,就断开客户端。Rate-limit 是对该类用户的流量控制这里设置的上行为 512K,下行 1M 的带宽。最后是 only-one 该账户是否为唯一,这里设置为 yes。设置客户端的账号密码:进入 secret 设置账号和密码以及相关信息,设置好 name 和 password 后,选择 service 服务类型为pptp,profile 规则为 default-encryption。这样 PPTP-Server 就已经设置完成。配置 PPTP-Client完成 PP
36、TP 服务设置后,现在开始设置接入点 B 的 PPTP-Client,进入 PPP 选项添加 PPTP-Client:进入 dial-out 设置 PPTP 拨号信息,在 server-address 的地址为 202.112.12.10 级接入点 A 的网通地址:设置账号和密码分别为 cdnat,设置完成后,便可以与接入点 A 的 PPTP-Server 连接。路由配置在这里接点 A 和 B 都做了 IP 地址的 NAT 转换,且接点 A 已经做了电信的静态路由规则,即 A 点可以实现访问网通和电信的分流,在 A 点不需要在做任何设置。B 点就需要指定通过 AB 两点间的 PPTP 隧道到电
37、信的线路,他指定的网关为 A 点的 PPTP 的 IP 地址(192.168.100.1)设置电信访问的网关:通过编辑电信的路由脚本,并导入路由表中,则实现了通过 PPTP 隧道使用 A 接入点的电信线路,完成了借线功能。Mikrotik HotSpot 配置Hotspot 热点服务认证是一种友好的 web 方式的认证系统,在此种认证方式中,系统将自动要求未认证用户打开认证网页,验证通过后,便可连接到因特网,未认证用户无论输入任何一个网站地址,都会被强制到一个认证界面,要求用户进行认证。基于 web 认证的接入网关要维护一个 IP 地址或 MAC 列表,依照这个表对所有收到的每个数据包进行检查
38、,查看该数据包是否在允许通过之列,凡是开机后第一次进行 www浏览的而没有通过认证的数据包,不被允许通过,接入网关会将一个 web 的认证界面推给用户,让用户进行认证,认证通过后,就把该用户的 IP 地址加入到 IP 地址列表中,如果不是有权用户 HTTP 包文就丢弃,如果收到的包允许通过,就进行地址转换或直接使用公网地址替换原地址,而后送出。基于 web 认证的接入网关也可以通过 Radius 进行认证,此时 Hotspot 认证账号管理作为 Radius 的 client。将接收到的要求认证的数据转发给 Radius服务器,Radius 服务器会在自己的数据内查询用户资料,并判断是否能通过
39、。下面是一个 HotSpot 认证系统情况结构:上面是用 HotSpot 做为认证网关,内网防火墙用户阻止用户的一些非法数据,保证认证网关的安全,过滤用户向外发出的相应病毒端口,控制用户对外的访问端口、数据、服务等。在内网设置防火墙是考虑到更多的病毒攻击和非法访问,以及过大的数据流量大多来至内网,当然你完全可以选择在认证网关前面增设一台对外的防火墙以保证网络更高的安全和稳定性。与 PPPoE 认证对比与 PPPoE 方式相比,基于 Hotspot 认证方式的好处是对网络设备无要求,它可以穿透三层设备,对本地三层交换和路由业务无影响,在使用家庭网关或机顶盒等有三层路由设备的网络使用 Web 方式
40、比较适合。应用范围Hotspot 认证无需安装客户端软件,可以节省运维成本。而且支持 Web 页面的修改提供增值业务操作,为运营商提供更多的赢利模式。Hotspot 认证在酒店、宾馆、ISP 运营商、社区等接入场合有许多应用。热点认证服务系统应用形式主要是针对一些小型企业用户,如酒店、单位、家属区、中小规模的校园网,认证系统放在网络出口处,对用户上网进行控制,并对其流量进行控制。多线路功能同样在 RouterOS 启用 Hotspot 认证也能实现多线路的接入,如电信和网通的双线方案,这样也解决了网络访问的互联互通的问题。如下面的示意图:VRRP 虚拟冗余路由协议热点认证系统是提供一套完整的容
41、错硬件和软件解决方案。为了保证网络永不中断,采用了以下双重方式:提供 VRRP 的虚拟冗余路由协议,保证一台认证系统出现故障,另外一台马上接替工作。支持各种主流的网络接入热点认证系统支持 PSTN、ISDN、DDN、ADSL、CABLE。支持高达 1000M 的网络接口,而不会降低网络出口的速度。 支持多种账户管理面向用户的网管计费系统,支持用户上网的唯一性控制, 无论用户通过哪一台计算机访问 Internet,可以对他们进行管理和计费,支持动态地址分配、静态地址 、MAC 地址与帐号绑定,MAC 与 IP 绑定,帐号与 IP 绑定。 支持多种用户类型,并支持新用户类型的扩展A 类帐号用户:不
42、能访问国外站点B 类帐号用户:能够访问国外站点方便的使用无论您是管理员还是用户,您都能感觉到热点认证系统给您带来的方便,对于管理员,我们在提供友好的管理客户端的同时,添加了 WEB 管理和查询。对于用户的使用,我们不强迫您安装客户端(您也可以安装客户端,方便您的上网) ,只要您有浏览器,简单的通过浏览器验证就可以使用网络,并且,用户可以通过浏览器查询使用的时间,流量,费用等相关情况。 支持用户分组管理热点认证系统支持对不同的用户类别进行分组管理,管理更加方便。 提供了灵活的控制手段热点认证系统提供了许多设置选项对上网用户进行管理。比如包月未缴费,上网时段,每日上网时间等选项,当有一个条件满足后
43、,用户帐号就可以被自动查封。支持时间表,用户只可以在规定的时间内访问 Internet。高效的带宽管理热点认证系统提供高效的带宽管理功能,您可以自由的划分带宽,为每个用户定义带宽属性,从 1bps-100Mbps 的带宽设置,为特定的的用户或帐号定义保留带宽或不进行登陆认证,并且可以根据用户的使用情况动态调整带宽。 浏览技术,无需安装客户端软件上网用户使用浏览器(Browser)进行身份认证登陆等操作,不需要特殊的客户端软件,减少了网络管理员的维护工作量。支持 Web 登录方式 提供日志记录,跟踪操作人员的操作情况,杜绝操作人员违纪现象。 报表生成系统,提供用户的上网行为分析。 支持完整的用户上网记录日志,包括用户上网时间、流量、网站等 主要特征:* 用户通过时间与流量认证计费* Cookie (存储用户的账号和密码)* 带宽控制功能* 定额控制(连接超时时间, 下载/上传传输限制)* 实时用户状态信息显示* 自定义认证 HTML 页(可以由你自己设计认证页)* DHCP 服务器分配 IP 地址 * 简单的 RAIUS 客户端配置* MikroTik RouterOS Hotspot 能与 PPTP 隧道、IPsec 以及其它的一些功能配合使用。* 可以通过 Access Point 与以太网接入用户。* 定时广播指定的 URL 链接认证方法:* 用户的账号与密码
