CHƢƠNG 5 : CẤU HÌNH MIKROTIK THƠNG QUA WINBOX
5.1. Cấu hình DHCP và DNS server
5.1.1. Cấu ìn t ơng tin DNS
Tiểu luận chuyên ngành 42 H nh 5-2: Giao diện cấu hình DNS
Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của
máy này vào, cịn khơng thì điền IP Dns server của ISP.
5.1.2. Cấu ìn t ơng tin DHCP
Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo
nhƣ hình dƣới.
Tiểu luận chuyên ngành 43
Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định
H nh 5-4: Cấu hình DHCP Server - 2
Tiếp theo click Next
H nh 5-5: Cấu hình DHCP Server - 3
Click Next
H nh 5-6: Cấu hình DHCP Server - 4
Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai báo cho phù hợp với hệ thống mạng có sẵn.
Tiểu luận chuyên ngành 44
Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó xuất hiện sẵn thơng tin, chúng ta không cần khai báo.
Tiếp theo click Next để hồn tất.
5.2. Cấu hình Hotspot
Từ menu chính chọn IP>Hotspot
Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc click Next vì mọi cái đã đƣợc chọn tự động
H nh 5-8: Cấu hình hotspot - 1
Tiểu luận chuyên ngành 45 H nh 5-10: Cấu hình hotspot - 3
H nh 5-11: Cấu hình hotspot - 4
Tiểu luận chuyên ngành 46 H nh 5-13: Cấu hình hotspot - 6
H nh 5-14: Cấu hình hotspot - 7
Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:
hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng có dns server, cịn khơng thì để trống chứ khơng đƣợc khai tùy ý.
H nh 5-15: Cấu hình hotspot - 8
Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài xong phần này.
Tiểu luận chuyên ngành 47
H nh 5-16: Thông tin hotspot mới tạo
Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc
nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo các chế độ mà chúng ta đặt ra.
* Cấu hình Profile cho Hotspot
Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.
Tiểu luận chuyên ngành 48 H nh 5-17: Cấu hình profile cho hotspot - 1
HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự
tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây
Rate Limit: băng thơng giới hạn cho mỗi client truy cập internet
Tiểu luận chuyên ngành 49 H nh 5-18: Cấu hình profile cho hotspot - 2
*Phần Login By:
Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login lại thì chúng ta bỏ chọn phần Cookie.
5.3. Cấu hình NAT
Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp
Tiểu luận chuyên ngành 50 H nh 5-19: Cấu hình NAT - 1
Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau đó Apply và OK.
Tiểu luận chuyên ngành 51 H nh 5-20: Cấu hình NAT - 2
Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.
Tiểu luận chuyên ngành 52 H nh 5-21: Giao diện đăng nhập hotspot
5.4. Cấu hình iới hạn b ndwith
Trong ví dụ này chúng ta cấu hình để giới hạn băng thông sử dụng gồm download và upload cho mỗi máy con
5.4.1. Cấu ìn giới ạn băng t ông download tối đa là 10kbp
Từ menu chính chọn Queues, vào tab Queue Types, Nếu thấy có queue nào thì remove, sau đó click vào dấu + để add 1 Queue Type mới rồi cấu hình nhƣ hình dƣới.
Tiểu luận chuyên ngành 53 H nh 5-22: Cấu hình giới hạn băng thơng download - 1
Tiếp theo vào tab Settings rồi nhập vào Rate= 10000 (tƣơng đƣơng 10kbps), Limit=50, Total Limit=2000 rồi click chọn vàot Dst. Address nhƣ hình dƣới.
Tiểu luận chuyên ngành 54 H nh 5-23: Cấu hình giới hạn băng thơng download - 2
5.4.2. Cấu ìn giới ạn băng t ơng upload
àm tƣơng tự nhƣ phần trên, tạo một Queue tƣơng tự , điền vào thông số Rate cho phù hợp rồi chọn Src. Address thay vì Dst. Address nhƣ trên.
Tiểu luận chuyên ngành 55 H nh 5-24: Cấu hình giới hạn băng thơng upload - 1
H nh 5-25: Cấu hình giới hạn băng thơng upload - 2
Tiếp theo trong màn hình chính của Queue List, click tab Simple Queues rồi
click vào dấu + để tạo mới một một simple queue, nhập vào tên và dãy địa chỉ mạng an nhƣ hình dƣới.
Tiểu luận chuyên ngành 56 H nh 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1
Tiếp theo click vào tab Advanced, ở mục Queue type chúng ta chọn 2 queue cho
Tiểu luận chuyên ngành 57 H nh 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2
Tiểu luận chuyên ngành 58
5.5. Quản lý n ƣời dùn internet
5.5.1. Tạo dan ác người dùng internet qua Hotspot
Từ menu chính chọn IP>Hotspot Sau đó click vào tab User.
Để tạo một user click vào dấu +
H nh 5-28: Giao diện tạo user
Nhập tên và mật khẩu, nếu muốn khống chế user theo địa chỉ IP hay MAC thì nhập vào ơ phía dƣới. Phần quan trọng ở đây chính là Profile sẽ đƣợc trình bày ở phần tiếp
Để giới hạn thời gian hay dung lƣợng sử dụng internet cho user này chúng ta click vào tab Limits và khai báo. Sau đó click OK để hồn tất.
Tuy nhiên quan trọng nhất là ta phải cấu hình các profile cho user để có thể quản lý từng user hay nhóm theo các cách khác nhau. Để tạo các Profile cho mỗi hay nhiều user chúng ta click vào tab Profile trong phần User của giao diện Hotspot.
Chúng ta sẽ thấy xuất hiện một profile có tên Default, profile này đƣợc tạo khi chúng ta cấu hình phần hotspot. Để tạo mới một profile chúng ta click vào dấu +. Để hiều các cấu hình profile chúng ta click vào profile default để xem.
Tiểu luận chuyên ngành 59 H nh 5-29: Hospot User Profile Default
Ở đây chúng ta để ý các tham số sau:
- Session Timeout: Thời gian user đƣợc phép sử dụng, sau khi hết thời gian này sẽ tự
động logout.
- Idle Timeout: thời gian nếu user không sử dụng mạng sẽ tự động logout.
- Keepalive Timeout: thời gian dùng cho user(client) đăng nhập mạng sau khi kết nối,
nếu sau thời gian này user chƣa đăng nhập thì địa chỉ IP sẽ đƣợc cấp cho user khác.
- Share Users: cho phép bao nhiêu client dùng chung một account.
- Incoming Filter/Outgoing Filter: chọn các Chain tƣờng lửa cho các gói tin đi
vào/ra, các chain này thông dụng trên các firewall trên nền tảng Linux.
- Phần Transparent Proxy nên tắt (không chọn dấu check).
* Để định hƣớng ngƣời sử dụng sau khi đăng nhập xong sẽ mở một trang web nào đó (quảng cáo...) chúng ta click vào tab Advertise rồi nhập địa chỉ website vào.
Tiểu luận chuyên ngành 60
5.5.2. C ứng t ực t eo đ a c ỉ IP ay Mac addre
Nếu chúng ta có những máy tính cố định và khơng muốn mỗi lần đi internet phải đăng nhập thì chỉ việc cấu hình chứng thực các máy này theo địa chỉ IP hay địa chỉ Mac của card mạng (trƣờng hợp này rất cần thiết đối với các cơ quan có nhu cầu sử dụng internet). Nhƣ vậy các máy có địa chỉ đã đƣợc add vào mỗi lần truy xuất internet sẽ đi thẳng nhƣ bình thƣờng khơng qua chứng thực. Tuy nhiên cũng có thể làm điều ngƣợc lại cho phép cấm máy nào không đƣợc đi internet thông qua IP và Mac address đã nhận biết.
Trong phần giao diện chính Hotspot chúng ta click vào tab IP Bindings
H nh 5-30: Lọc địa chỉ
Sau đó nhập địa chỉ Mac vào hay địa chỉ IP
Quan trọng nhất ở phần Type, nếu chúng ta để mặc định là regular thì khơng có tác dụng; Nếu chọn bybassed thì ngƣời dùng đƣợc add địa chỉ sẽ truy cập internet mà khơng phải đăng nhập, nếu chọn blocked thì lại khơng đƣợc đi internet.
5.5.3. C o p ép truy cập một ố trang web k ông cần đăng n ập
Mục đích cho quảng cáo website...
Tiểu luận chuyên ngành 61 H nh 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập
Nhập địa chỉ trang web vào Dst.Host, hoặc nhập IP trang web vào Dst. Address. Nếu muốn cho phép chỉ truy cập một trang nào đó trên địa chỉ website đã cho phép thì gõ thêm đƣờng dẫn trang đó vào Path.
5.6. Tạo ccount quản trị hệ thốn
Mặc định khi cài đặt hệ thống tạo sẵn account admin với mật khẩu trống, chúng ta có thể tạo thêm một số account với các quyền khác nhau để quản trị hệ thống hotspot.
Tiểu luận chuyên ngành 62 H nh 5-32: Danh sách người dùng
Để tạo mới một user click vào dấu +
H nh 5-33: Tạo mới người dùng torng danh sách
Nhập tên vào phần Name, gán quyền ở Group, nếu muốn cho phép user này chỉ đƣợc đăng nhập từ máy có địa chỉ ip nào đó thì nhập vào Allowed Address, muốn
khai báo mật khẩu click Password...
Các ngƣời dùng có thể quản trị hệ thống qua winbox hoặc qua web với địa chỉ IP của ether1 hoặc ether2.
Tiểu luận chuyên ngành 63
5.7. Quản trị, iám sát hệ thốn
Để quản trị hệ thống hotspot chúng ta có thể thơng qua web, trong trƣờng hợp này là http://192.168.0.1 hay http://192.168.1.20
H nh 5-34: Quản trị giám sát hệ thống
Chúng ta xem hoặc thay đổi đƣợc nhiều thông tin nhƣ card mạng, địa chỉ IP, tƣờng lửa, các routes, thông tin về máy đang chạy Mikrotik.
Để xem thông tin về băng thông ngƣời dùng, rất quan trọng để xem ai đang download nhiều hoặc là máy nào đang phát tán virus, ddos... trong winbox, từ menu chính chúng ta chọn Tools>Torch rồi click vào Start...
Tiểu luận chuyên ngành 64
CHƢƠNG 6:
THỰC NGHIỆM
6.1. Mơ hình thực n hiệm
H nh 6-1: Mơ hình thực nghiệm
Tiểu luận chuyên ngành 65
6.2. Cấu hình DHCP và DNS server
6.2.1. Cấu ìn t ơng tin DNS
Từ menu chính chọn IP>DNS, sau đó click Settings rồi điền thơng tin nhƣ hình
H nh 6-3: Giao diện cấu hình DNS
Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của
máy này vào, cịn khơng thì điền IP Dns server của ISP.
6.2.2. Cấu ìn t ơng tin DHCP
Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo
Tiểu luận chuyên ngành 66 H nh 6-4: Cấu hình DHCP Server - 1
Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định
H nh 6-5: Cấu hình DHCP Server - 2
Tiếp theo click Next
Tiểu luận chuyên ngành 67
Click Next
H nh 6-7: Cấu hình DHCP Server - 4
Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai báo cho phù hợp với hệ thống mạng có sẵn.
H nh 6-8: Cấu hình DHCP Server - 5
Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó xuất hiện sẵn thơng tin, chúng ta không cần khai báo.
Tiếp theo click Next để hồn tất.
6.3. Cấu hình Hotspot
Từ menu chính chọn IP>Hotspot
Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc click Next vì mọi cái đã đƣợc chọn tự động
Tiểu luận chuyên ngành 68 H nh 6-9: Cấu hình hotspot - 1
H nh 6-10: Cấu hình hotspot - 2
Tiểu luận chuyên ngành 69 H nh 6-12: Cấu hình hotspot - 4
H nh 6-13: Cấu hình hotspot - 5
Tiểu luận chuyên ngành 70 H nh 6-15: Cấu hình hotspot - 7
Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:
hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng có dns server, cịn khơng thì để trống chứ khơng đƣợc khai tùy ý.
H nh 6-16: Cấu hình hotspot - 8
Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài xong phần này.
Tiểu luận chuyên ngành 71 H nh 6-17: Thông tin hotspot mới tạo
Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc
nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo
các chế độ mà chúng ta đặt ra.
* Cấu hình Profile cho Hotspot
Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.
Tiểu luận chuyên ngành 72 H nh 6-18: Cấu hình profile cho hotspot - 1
HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự
tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây
Rate Limit: băng thông giới hạn cho mỗi client truy cập internet
Tiểu luận chuyên ngành 73 H nh 6-19: Cấu hình profile cho hotspot - 2
*Phần Login By:
Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login lại thì chúng ta bỏ chọn phần Cookie.
6.4. Cấu hình NAT
Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp
Tiểu luận chuyên ngành 74 H nh 6-20: Cấu hình NAT - 1
Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau đó Apply và OK.
Tiểu luận chuyên ngành 75 H nh 6-21: Cấu hình NAT - 2
Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.
Tiểu luận chuyên ngành 76 H nh 6-22: Giao diện đăng nhập hotspot
