Việc cấu hình Hotspot sẽ bao gồm cấu hình dịch vụ DHCP server, các thông tin DNS… Gõ lệnh sau:
[Admin@Mikrotik] ip hotspot setup (sau ghi gõ lệnh này sẽ xuất hiện các hàng yêu cầu nhập thông tin nhƣ sau)
Hotspot interface: ether1
Local address of network: 192.168.0.1/24
Masquerade network: yes
Address pool of network: 192.168.0.2-192.168.0.254 (có thể chỉnh lại theo ý muốn, đây cũng là dãy địa chỉ ip mà dịch vụ dhcp sẽ cấp cho các máy con khi kết nối).
Select certificate: none (chú ý: mặc định xuất hiện dòng import-other-certificate, chúng ta xóa dòng đó và nhập vào none).
Ip address of smtp server: 0.0.0.0 (nếu trong mạng có máy chủ smtp thì gõ địa chỉ ip vào, còn không thì để mặc định 0.0.0.0).
Tiểu luận chuyên ngành 37
Dns server: 172.32.0.4, 172.32.0.5 (ở đây sẽ nhập địa chỉ máy chủ dns server, nếu
trong mạng có máy chủ này thì nhập vào ip máy chủ đó, còn không nhập vào ip primary và secondary dns server của ISP cách nhau bởi dấu phẩy).
Dns name: điền vào tên của máy Hotspot này đƣợc khai báo trên Dns server của mạng, nếu không có thì để trống chứ không khai tùy ý.
Name of local hotspot user: Admin (tạo một account cho hệ thống để test đăng nhập hotspot).
Password for the user: mật khẩu của account này. 4.4. Cấu hình NAT
[Admin@Mikrotik] ip firewall nat add chain=srcnat action=masquerade out- interface=ether2
Nhƣ vậy cơ bản cấu hình song hệ thống Hotspot với Mikrotik. úc này dùng một máy con đăng nhập web sẽ thấy màn hình đăng nhập của Mikrotik xuất hiện, nhập vào account tạo sẵn ở bƣớc cấu hình hotspot trên là có thể truy xuất web…
Việc cấu hình các thành phần khác nhƣ tạo user, tinh chỉnh hay thay đổi các thống số dùng giao diện gui qua Winbox sẽ tiện hơn nên sẽ đƣợc giới thiệu ở phần sau.
* Chú ý: Nếu trong cấu hình bị lỗi thì có thể dùng lệnh >System/reset để xóa cấu
hình rồi cài đặt lại.
4.5. Một số lệnh trên má Hotspot chạ Mikrotik
Khi đăng nhập vào máy Hospot, tại dấu nhắc lệnh [Admin@Mikrotik] chỉ cần gõ dấu ? (enter) chúng ta sẽ thấy hiển thị các đầu mục vào nhƣ hình dƣới
Tiểu luận chuyên ngành 38 H nh 4-1: Các đầu mục cơ bản
Các đầu mục vào cũng gần giống với giao diện của Winbox. Muốn vào phần IP chúng ta chỉ cần gõ IP (enter), sau đó gõ ? (enter) sẽ thấy các mục con xuất hiện.
Tiểu luận chuyên ngành 39 H nh 4-2: Các đầu mục con
Muốn cấu hình thành phần nào chúng ta cứ gõ lệnh theo đƣờng dẫn hoặc vào từng mục rồi gõ tiếp. Ví dụ muốn cấu hình IP thì gõ IP address...;
Muốn xem thông tin địa chỉ IP của các Nic thì Ip address print; Muốn cấu hình Route thì: IP route...;
Muốn cấu hình hotspot thì: Ip hotspot setup...; Muốn cấu hình firewall, nat thì Ip firewall... Muốn tắt máy thì System shutdown;
Khởi động lại máy: System reboot;
Muốn xóa tất cả các thông tin cấu hình đã cài đặt: System reset...
Cũng giống nhƣ lệnh Dos, nếu từ đƣờng dẫn phụ muốn gõ lệnh đến đƣờng dẫn khác thì chúng ta dùng dấu / trƣớc lệnh đó; Muốn về đƣờng dẫn gốc thì / (enter), muốn dời lui đƣờng dẫn một cấp gõ ..(enter)
Tiểu luận chuyên ngành 40
Muốn xem thông tin về các Nic đang có trong máy thì từ đƣờng dẫn gốc gõ Interface
print hay di chuyển vào mục Interface rồi chỉ gõ Print (enter)
Tại các mục vào muốn xem thông tin thành phần nào chỉ cần gõ Print (enter). Muốn backup thông tin một thành phần nào đó thì gõ: Export file=(tên file) (enter). Ví dụ tại đầu mục vào IP hotspot> muốn backup thông tin phần user thành file user (mặc định phần mở rộng là .rsc) chỉ cần gõ: IP HOTSPOT>user export file =user
(file user.rsc sẽ đƣợc tạo ra, muốn lƣu lại file này thì từ máy khác kết nối ftp vào Hotspot trên inerface Wan sẽ thấy tên file này xuất hiện)
Muốn backup thông tin các user trong phần IP-binding gõ lệnh: IP HOTSPOT>ip- binding export file=ip_binding (file ip_binding.rsv sẽ đƣợc tạo ra)...
Sau này muốn import lại file nào thì dùng ftp để copy file đó vào máy Hotspot rồi từ dấu nhắc lệnh gốc gõ lệnh:
[Admin@Mikrotik]> import filename.rsc
Muốn import file user.rsc thì gõ:
Tiểu luận chuyên ngành 41
CHƢƠNG 5: CẤU HÌNH MIKROTIK THÔNG QUA WINBOX
Sau khi cài đặt xong đĩa cài Mikrotik, tiến hành cài đặt địa chỉ IP cho các Nic nhƣ các mục 1.1, 1.2, 1.3 của phần I chúng ta dùng máy tính kết nối với máy chủ Hotspot qua Nic Wan rồi dùng Winbox để đăng nhập và cấu hình các thành phần tiếp theo.
H nh 5-1: Giao diện đăng nhập của winbox
5.1. Cấu hình DHCP và DNS server
5.1.1. Cấu ìn t ông tin DNS
Tiểu luận chuyên ngành 42 H nh 5-2: Giao diện cấu hình DNS
Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của
máy này vào, còn không thì điền IP Dns server của ISP.
5.1.2. Cấu ìn t ông tin DHCP
Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo
nhƣ hình dƣới.
Tiểu luận chuyên ngành 43
Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định
H nh 5-4: Cấu hình DHCP Server - 2
Tiếp theo click Next
H nh 5-5: Cấu hình DHCP Server - 3
Click Next
H nh 5-6: Cấu hình DHCP Server - 4
Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai báo cho phù hợp với hệ thống mạng có sẵn.
Tiểu luận chuyên ngành 44
Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó xuất hiện sẵn thông tin, chúng ta không cần khai báo.
Tiếp theo click Next để hoàn tất.
5.2. Cấu hình Hotspot
Từ menu chính chọn IP>Hotspot
Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc click Next vì mọi cái đã đƣợc chọn tự động
H nh 5-8: Cấu hình hotspot - 1
Tiểu luận chuyên ngành 45 H nh 5-10: Cấu hình hotspot - 3
H nh 5-11: Cấu hình hotspot - 4
Tiểu luận chuyên ngành 46 H nh 5-13: Cấu hình hotspot - 6
H nh 5-14: Cấu hình hotspot - 7
Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:
hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng có dns server, còn không thì để trống chứ không đƣợc khai tùy ý.
H nh 5-15: Cấu hình hotspot - 8
Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài xong phần này.
Tiểu luận chuyên ngành 47 H nh 5-16: Thông tin hotspot mới tạo
Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc
nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo các chế độ mà chúng ta đặt ra.
* Cấu hình Profile cho Hotspot
Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.
Tiểu luận chuyên ngành 48 H nh 5-17: Cấu hình profile cho hotspot - 1
HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự
tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây
Rate Limit: băng thông giới hạn cho mỗi client truy cập internet
Tiểu luận chuyên ngành 49 H nh 5-18: Cấu hình profile cho hotspot - 2
*Phần Login By:
Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login lại thì chúng ta bỏ chọn phần Cookie.
5.3. Cấu hình NAT
Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp
Tiểu luận chuyên ngành 50 H nh 5-19: Cấu hình NAT - 1
Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau đó Apply và OK.
Tiểu luận chuyên ngành 51 H nh 5-20: Cấu hình NAT - 2
Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.
Tiểu luận chuyên ngành 52 H nh 5-21: Giao diện đăng nhập hotspot
5.4. Cấu hình iới hạn b ndwith
Trong ví dụ này chúng ta cấu hình để giới hạn băng thông sử dụng gồm download và upload cho mỗi máy con
5.4.1. Cấu ìn giới ạn băng t ông download tối đa là 10kbp
Từ menu chính chọn Queues, vào tab Queue Types, Nếu thấy có queue nào thì remove, sau đó click vào dấu + để add 1 Queue Type mới rồi cấu hình nhƣ hình dƣới.
Tiểu luận chuyên ngành 53 H nh 5-22: Cấu hình giới hạn băng thông download - 1
Tiếp theo vào tab Settings rồi nhập vào Rate= 10000 (tƣơng đƣơng 10kbps), Limit=50, Total Limit=2000 rồi click chọn vàot Dst. Address nhƣ hình dƣới.
Tiểu luận chuyên ngành 54 H nh 5-23: Cấu hình giới hạn băng thông download - 2
5.4.2. Cấu ìn giới ạn băng t ông upload
àm tƣơng tự nhƣ phần trên, tạo một Queue tƣơng tự , điền vào thông số Rate cho phù hợp rồi chọn Src. Address thay vì Dst. Address nhƣ trên.
Tiểu luận chuyên ngành 55 H nh 5-24: Cấu hình giới hạn băng thông upload - 1
H nh 5-25: Cấu hình giới hạn băng thông upload - 2
Tiếp theo trong màn hình chính của Queue List, click tab Simple Queues rồi
click vào dấu + để tạo mới một một simple queue, nhập vào tên và dãy địa chỉ mạng an nhƣ hình dƣới.
Tiểu luận chuyên ngành 56 H nh 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1
Tiếp theo click vào tab Advanced, ở mục Queue type chúng ta chọn 2 queue cho
Tiểu luận chuyên ngành 57 H nh 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2
Tiểu luận chuyên ngành 58
5.5. Quản lý n ƣời dùn internet
5.5.1. Tạo dan ác người dùng internet qua Hotspot
Từ menu chính chọn IP>Hotspot Sau đó click vào tab User.
Để tạo một user click vào dấu +
H nh 5-28: Giao diện tạo user
Nhập tên và mật khẩu, nếu muốn khống chế user theo địa chỉ IP hay MAC thì nhập vào ô phía dƣới. Phần quan trọng ở đây chính là Profile sẽ đƣợc trình bày ở phần tiếp
Để giới hạn thời gian hay dung lƣợng sử dụng internet cho user này chúng ta click vào tab Limits và khai báo. Sau đó click OK để hoàn tất.
Tuy nhiên quan trọng nhất là ta phải cấu hình các profile cho user để có thể quản lý từng user hay nhóm theo các cách khác nhau. Để tạo các Profile cho mỗi hay nhiều user chúng ta click vào tab Profile trong phần User của giao diện Hotspot.
Chúng ta sẽ thấy xuất hiện một profile có tên Default, profile này đƣợc tạo khi chúng ta cấu hình phần hotspot. Để tạo mới một profile chúng ta click vào dấu +. Để hiều các cấu hình profile chúng ta click vào profile default để xem.
Tiểu luận chuyên ngành 59 H nh 5-29: Hospot User Profile Default
Ở đây chúng ta để ý các tham số sau:
-Session Timeout: Thời gian user đƣợc phép sử dụng, sau khi hết thời gian này sẽ tự
động logout.
-Idle Timeout: thời gian nếu user không sử dụng mạng sẽ tự động logout.
-Keepalive Timeout: thời gian dùng cho user(client) đăng nhập mạng sau khi kết nối,
nếu sau thời gian này user chƣa đăng nhập thì địa chỉ IP sẽ đƣợc cấp cho user khác.
-Share Users: cho phép bao nhiêu client dùng chung một account.
-Incoming Filter/Outgoing Filter: chọn các Chain tƣờng lửa cho các gói tin đi
vào/ra, các chain này thông dụng trên các firewall trên nền tảng Linux.
-Phần Transparent Proxy nên tắt (không chọn dấu check).
* Để định hƣớng ngƣời sử dụng sau khi đăng nhập xong sẽ mở một trang web nào đó (quảng cáo...) chúng ta click vào tab Advertise rồi nhập địa chỉ website vào.
Tiểu luận chuyên ngành 60
5.5.2. C ứng t ực t eo đ a c ỉ IP ay Mac addre
Nếu chúng ta có những máy tính cố định và không muốn mỗi lần đi internet phải đăng nhập thì chỉ việc cấu hình chứng thực các máy này theo địa chỉ IP hay địa chỉ Mac của card mạng (trƣờng hợp này rất cần thiết đối với các cơ quan có nhu cầu sử dụng internet). Nhƣ vậy các máy có địa chỉ đã đƣợc add vào mỗi lần truy xuất internet sẽ đi thẳng nhƣ bình thƣờng không qua chứng thực. Tuy nhiên cũng có thể làm điều ngƣợc lại cho phép cấm máy nào không đƣợc đi internet thông qua IP và Mac address đã nhận biết.
Trong phần giao diện chính Hotspot chúng ta click vào tab IP Bindings
H nh 5-30: Lọc địa chỉ
Sau đó nhập địa chỉ Mac vào hay địa chỉ IP
Quan trọng nhất ở phần Type, nếu chúng ta để mặc định là regular thì không có tác dụng; Nếu chọn bybassed thì ngƣời dùng đƣợc add địa chỉ sẽ truy cập internet mà không phải đăng nhập, nếu chọn blocked thì lại không đƣợc đi internet.
5.5.3. C o p ép truy cập một ố trang web k ông cần đăng n ập
Mục đích cho quảng cáo website...
Tiểu luận chuyên ngành 61 H nh 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập
Nhập địa chỉ trang web vào Dst.Host, hoặc nhập IP trang web vào Dst. Address. Nếu muốn cho phép chỉ truy cập một trang nào đó trên địa chỉ website đã cho phép thì gõ thêm đƣờng dẫn trang đó vào Path.
5.6. Tạo ccount quản trị hệ thốn
Mặc định khi cài đặt hệ thống tạo sẵn account admin với mật khẩu trống, chúng ta có thể tạo thêm một số account với các quyền khác nhau để quản trị hệ thống hotspot.
Tiểu luận chuyên ngành 62 H nh 5-32: Danh sách người dùng
Để tạo mới một user click vào dấu +
H nh 5-33: Tạo mới người dùng torng danh sách
Nhập tên vào phần Name, gán quyền ở Group, nếu muốn cho phép user này chỉ đƣợc đăng nhập từ máy có địa chỉ ip nào đó thì nhập vào Allowed Address, muốn
khai báo mật khẩu click Password...
Các ngƣời dùng có thể quản trị hệ thống qua winbox hoặc qua web với địa chỉ IP của ether1 hoặc ether2.
Tiểu luận chuyên ngành 63
5.7. Quản trị, iám sát hệ thốn
Để quản trị hệ thống hotspot chúng ta có thể thông qua web, trong trƣờng hợp này là http://192.168.0.1 hay http://192.168.1.20
H nh 5-34: Quản trị giám sát hệ thống
Chúng ta xem hoặc thay đổi đƣợc nhiều thông tin nhƣ card mạng, địa chỉ IP, tƣờng lửa, các routes, thông tin về máy đang chạy Mikrotik.
Để xem thông tin về băng thông ngƣời dùng, rất quan trọng để xem ai đang download nhiều hoặc là máy nào đang phát tán virus, ddos... trong winbox, từ menu chính chúng ta chọn Tools>Torch rồi click vào Start...
Tiểu luận chuyên ngành 64
CHƢƠNG 6: THỰC NGHIỆM
6.1. Mô hình thực n hiệm
H nh 6-1: Mô hình thực nghiệm
Tiểu luận chuyên ngành 65
6.2. Cấu hình DHCP và DNS server