RouterOS 软路由实战：一步步搭建稳定的企业级负载均衡方案

# RouterOS 软路由实战：一步步搭建稳定的企业级负载均衡方案 在企业网络场景中，单条宽带往往难以满足多用户并发上网的需求，此时使用多WAN口路由器做负载均衡是常见的解决方案。RouterOS 是 MikroTik 开发的一款功能强大、灵活性极高的路由操作系统，广泛应用于企业级路由、防火墙和流量管理场景。本文以实操案例为主，讲解 RouterOS 负载均衡的正确配置方法，以及几个常见的避坑要点，帮助你快速搭建一套稳定可用的负载均衡方案。 ## 硬件选型：选错网卡是第一个坑 RouterOS 对硬件有一定要求，但并不苛刻，合理的选型能避免后续大量麻烦。CPU 建议选择 Intel 或 AMD 的多核 x86 处理器，主频不必追求极致，但核心数要足够，因为路由器的并发连接处理能力直接取决于 CPU 性能。内存方面，基础路由功能 512MB 足够，但如果你需要跑防火墙规则、流量队列或深度检测，内存建议 2GB 以上，留足余量。 网卡是重中之重，也是最容易出问题的地方。在多WAN口高流量场景下，强烈建议使用 Intel i350、i210 或 i225 系列千兆网卡。Realtek（瑞昱）系列网卡在高速 NAT 转发时容易出现丢包和性能瓶颈，RouterOS 对 Realtek 网卡的兼容性和驱动优化不如 Intel 稳定。一个实用的经验是：两块 Intel 网卡加上一个不错的 CPU，转发性能轻松跑满千兆带宽，而同样条件下 Realtek 网卡可能只能稳定在 600-700Mbps。 此外注意主板的 PCIe 插槽数量，确保每块网卡都有足够的通道带宽，不要让多块网卡共用同一条通道导致带宽被分摊。 ## 系统安装与初始配置：这些细节决定后续体验 准备好 CHR（Cloud Hosted Router）镜像或制作好启动U盘后，接入显示器和键盘进行安装。安装过程本身非常简洁，但有几个容易踩的点需要特别注意。 首次开机后，默认管理地址是 192.168.88.1，默认用户名是 admin，密码为空。如果你的电脑网段恰好是 192.168.88.x，初次连接时可能会遇到 IP 冲突。建议先断开其他网络设备，单独用一根网线连接电脑与 RouterOS 的 LAN 口，修改本机 IP 到同网段后再访问。 安装完成后，第一件事是修改默认密码。空密码的 admin 账户是巨大的安全隐患，建议立即在 System > Users 中修改密码。其次，检查 IP > Addresses，确认各个端口的 IP 分配是否符合你的网络规划，默认配置下 ether1 通常是 WAN，ether2-ether5 是 LAN，但如果你的接线顺序不同，需要对应调整。 对于安全方面，还需要检查 Services，关闭不必要的远程管理服务，例如 finger、telnet 等，保留 winbox、ssh 和 webfig 即可。默认启用的一些服务如果不用也可以在 IP > Services 中禁用，减少攻击面。 ## 负载均衡核心配置：PCC 策略路由的正确姿势 多 WAN 口负载均衡的核心在于如何将流量分配到不同的 WAN 线路，RouterOS 最常用的是 PCC（Per Connection Classification）方式，即按连接进行分类，同一个连接的流量始终走同一个出口，避免出现单次 HTTPS 请求被拆分到两个 WAN 导致会话错乱的问题。 配置 PCC 的基本思路是在 IP > Firewall > Mangle 中添加两条规则链。第一条是 prerouting 链的 connection mark，记录每个连接从哪个 WAN 口进出；第二条是 forward 链的 packet mark，为这些连接打上路由标记。打好标记后，在 IP > Routes 中为不同的路由标记指定不同的 WAN 出口，并设置对应 WAN 的网关。 更便捷的方式是使用 RouterOS 自带的 Load Balancing 模板。在 Winbox 中进入 IP > Load Balancing，点击 Wizard 选择相应的 WAN 接口数量和类型，系统会自动生成所需的 mangle 规则和路由规则。这种方式比自己手动写规则出错概率低，尤其适合刚接触 RouterOS 的用户。但需要注意，自动生成的规则是基于当前 WAN 接口名称的，如果后续 WAN 接口名称发生变化（比如增加了新接口），需要重新运行向导或手动修正规则，否则负载均衡会失效。 这里特别要提醒的是，很多新手配置完负载均衡后发现部分网站打不开，或者网银跳转异常，这通常是因为策略路由干扰了某些应用的长连接。解决办法是为这类应用单独创建策略路由规则，指定其走固定的 WAN 口，或者干脆将它们排除在负载均衡之外。 ## DNS 配置：两个 WAN 带来的解析问题 在使用双 WAN 的环境中，DNS 配置是一个容易被忽视但影响巨大的环节。每个 WAN 通常对应不同的 ISP，而不同 ISP 的 DNS 解析结果返回的 IP 可能走不同运营商的线路，造成访问缓慢甚至无法访问。 建议在 IP > DNS 中设置统一的公共 DNS 服务器地址，如 223.5.5.5 或 114.114.114.114，并开启 Allow Remote Requests 选项，让路由器本身充当 DNS 缓存服务器。这样所有内网设备的 DNS 请求都由路由器转发和缓存，既提升了内网设备的解析速度，也保证了不同设备访问同一域名时返回的 IP 是一致的，避免因 DNS 解析不一致导致的负载均衡问题。 ## MTU 设置：看不见的通信杀手 MTU（最大传输单元）设置不当会导致大包无法传输或频繁分片，最典型的表现是部分网页打不开、VPN 连接异常、文件传输中途卡住。正常以太网帧的 MTU 是 1500，但 PPPoE 拨号场景下通常最大只能到 1492，如果设置不当会导致 Path MTU Discovery 问题。 建议通过 RouterOS 的 Tools > Ping 功能，使用 do-not-fragment 参数分别 ping 每个 WAN 对端 IP 的大包，测试出该 WAN 的实际可用 MTU 值。然后在 IP > Interfaces 中对应 WAN 接口的 Advanced Settings 里手动设置合适的 MTU 值。如果两个 WAN 的 MTU 不一致，务必分别设置，而不是用统一的默认值。 ## 配置验证：上线前的必做检查项 配置完成后，不能只靠感觉判断网络是否正常。以下几个检查项是标准流程： 打开 IP > Firewall > Mangle，确认 mangle 规则数量和内容是否符合预期，规则的 action 应该是 mark-connection 和 mark-routing，且都正确指向对应 WAN。打开 IP > Routes，确认有两条以上的路由规则，每条规则的 gateway 对应不同的 WAN 接口。检查 WAN 口的 Traffic 图表，看流量是否在两个 WAN 口上都有分布，理想情况下负载均衡的效果是各 WAN 流量相对均匀。如果流量只从一个 WAN 口出，说明 PCC 规则可能没有正确生效。 还应该用内网的多台设备同时访问网络，观察是否所有设备都能正常上网，且速度与单 WAN 时相比有合理提升。 ## 备份与回滚：养成好习惯 配置完成后立即备份是一个应该养成的习惯。使用 /export compact 命令可以导出完整配置到一份 .rsc 文件，当系统需要重置或升级后，可以直接 import 这份备份文件快速恢复所有配置。但要注意，export 导出的文件默认使用 UTF-8 编码，中文标签可能出现乱码，如有需要可在 Webfig 界面中查看和编辑备份文件。 ## 稳定性维护：这些细节让路由长期稳定运行 RouterOS 本身稳定性不错，但长时间运行后，内存占用可能会逐渐增加，或者路由表出现累积的无效条目。建议每隔一段时间检查 System > Resources 中的内存使用情况，如果内存持续增长不释放，可能存在内存泄漏，此时需要考虑重启。同时关注 System > Logs 中的异常日志，如频繁的 connection reset 或 interface errors，这些都是需要处理的前兆。 另外，关于系统升级，建议不要追最新版本。新版本发布后等待一到两个月，确认没有大规模反馈的 bug 后再升级，避免因为新版本的稳定性问题影响生产网络。每次升级前务必做好配置备份，并准备回滚方案。 ## 总结 RouterOS 的负载均衡功能是企业级网络中的实用方案，PCC 策略的实现原理并不复杂，但在实际配置中需要关注网卡兼容性、DNS 解析一致性、MTU 适配以及配置验证等关键环节。掌握这些核心细节，你就能快速搭建起一套稳定可靠的多WAN负载均衡网络，让企业的互联网接入体验得到实质提升。