P.3, Q. Gò Vấp, HCM
Thứ hai đến thứ bảy
Trình khởi động – bootloader trên RouterOS
Trên các thiết bị Mikrotik có một tính năng có chức năng bảo vệ quyền truy cập vào hệ thống của bộ định tuyến, bộ chuyển mạch, đặc biệt là liên quan đến việc sử dụng nút RESET. Reset hay khôi phục cài đặt gốc là một tính năng có thể áp dụng để khôi phục bộ định tuyến khi gặp sự cố hoặc xóa các cấu hình không mong muốn trước đó. Thế nhưng, nếu chẳng may ai đó thực hiện hành vi khôi phục bộ định tuyến khi chưa có sự đồng ý của quản trị viên thì sao nhỉ. Để hạn chế điều này, RouterOS cung cấp một tính năng này là ” Protect RouterBOOT “. Khi tính năng này được kích hoạt, một số chức năng không thể được thực hiện theo mặc định, cụ thể là nút RESET và đặt lại lỗ kim trên bo mạch chủ. Và quyền truy cập bộ định tuyến từ bảng điều khiển Console cũng sẽ bị vô hiệu hóa theo.
Nếu bạn muốn thực hiện thay đổi cấu hình để thay đổi chế độ khởi động hoặc RouterBOOT thì chỉ có thể thực hiện thông qua RouterOS (từ xa qua Winbox). Theo mặc định, tính năng này không được bật. Để kích hoạt nó, lưu ý firmware của RouterBOARD phải trở phiên bản trên v3.24 và không thể sử dụng dưới phiên bản đó. Tất cả các kiến trúc bo mạch chủ hiện tại đã hỗ trợ, bao gồm ARM; ARM64; MIPSBE; MMIPS; SMIPS; TILE; PPC.
Để kích hoạt tính năng này, chúng ta có thể truy cập tính năng thông qua giao diện Winbox với Menu System > RouterBOARD hoặc qua CLI với cú pháp cụ thể là /system routerboard settings set protected-routerboot=enabled.
Với cú pháp trên, chức năng Protected-RouterBOOT sẽ tự động được kích hoạt.
Chúng tôi có các cấu trúc liên kết mạng khác nhau, đối với một số nhu cầu nhất định, có thể chúng tôi có thể sử dụng cấu trúc liên kết như hình dưới.
Bộ định tuyến RB5009 cung cấp Internet chính trong mạng và khởi tạo VLAN, kết nối cổng Ether2 với bộ chuyển mạch CSS326-24G-2S+ với cổng Ether2. Cổng Ether2 trên Router và Ether2 trên Switch là cổng trung kế, trong đó một số máy tính được kết nối với bộ chuyển mạch để kiểm tra kết quả.
Đối với RB5009
Tạo giao diện VLAN cho VLAN 10, VLAN20, VLAN30 cụ thể là các VLAN mô tả trong cấu trúc phía trên, chi tiết về quản lý VLAN các bạn có thể xem tại bài viết trước đây của chúng tôi
Sau khi giao diện VLAN được tạo, hãy thêm địa chỉ ip cho từng giao diện VLAN và thêm máy chủ dhcp cho VLAN10, VLAN20 và VLAN30 nếu cần.
Đối với CSS326-24G-2S+RM
Như chúng ta đã biết, SwOS là một hệ điều hành có nhiều tính năng chuyển mạch, một trong số đó là SwOS hỗ trợ triển khai VLAN. Mặc dù cả hai đều sử dụng SwOS nhưng cấu hình VLAN trên CSS326-24G-2S+RM hơi khác so với RB250GS.
Các bước cấu hình khá dễ dàng. Đầu tiên để truy cập vào điều khiển của CSS326-24G-2S+RM bằng trình duyệt web có IP mặc định: 192.168.88.1 tên người dùng: admin và không cần mật khẩu. Đừng quên thay đổi địa chỉ IP của PC có cùng mạng con IP 192.168.88.0/24. Bước này tương tự khi cấu hình trên dòng RB260.
CSS326-24G-2S+RM nhận lưu lượng nhiều VLAN từ Router qua Port2 (trunk-port), sau đó mỗi VLAN sẽ được phân phối cho các thiết bị client/host qua Port3, Port4, Port 5 theo VLAN-ID tương ứng theo cấu trúc liên kết.
Trước tiên, hãy bật tính năng học VLAN độc lập – IVL (Independent VLAN Learning) trong Menu System. Với tính năng này, mỗi VLAN tương ứng có riêng mỗi bảng học địa chỉ mà không sử dụng chia sẻ như phương pháp SVL – (Shared VLAN Learning).
Sau khi bước trên hoàn tất, hãy tiến hành cài đặt trên tab VLANs .
Trong menu này, chúng tôi xác định thành viên VLAN , cụ thể là cài đặt cho mỗi VLAN-ID sẽ được chuyển tiếp trên bất kỳ cổng ethernet nào mong muốn. Mỗi hộp trong tham số Thành viên (Member) đại diện cho một cổng ethernet vật lý, bắt đầu từ ngoài cùng bên trái đại diện cho cổng ether1 theo thứ tự đến cổng ngoài cùng bên phải, cổng 26 (SFP).
Theo cấu trúc liên kết, chúng tôi sẽ gán 3 VLAN-ID, cụ thể là VLAN-ID = 10, 20 và 30. Vì cổng ether2 là cổng trung kế (Cổng Trunk nhận các VLAN từ bộ định tuyến) và truyền tất cả các VLAN-ID tới các cổng còn lại nên cổng ether2 trở thành Thành viên (Member) cho tất cả các VLAN-ID, trong khi đối với Port3, Port4 là Access-Port (Kết nối với PC) cho mỗi VLAN-ID thì chỉ điều chỉnh làm thành viên cho mỗi VLAN-ID mà thôi. Ví dụ, như trong hình, với VLAN-ID=10, nó có cổng Thành viên của cả cổng ether2 và cổng ether3; với VLAN-ID=20, nó có cổng Thành viên của cả cổng ether2 và cổng ether4; với VLAN-ID=30, nó có cổng Thành viên của cả cổng ether2 và cổng ether5;. Đối với các cổng còn lại, chỉ cần điều chỉnh theo những gì bạn mong muốn.
! Tuy nhiên, hãy lưu ý rằng: Cổng Ether5 là cổng kết nối với một thiết bị có thể cấu hình VLAN, ở đây là bộ phát sóng cAP ac. Với yêu cầu untagged VLAN 20 và Tagged VLAN30, vì vậy VLAN20, VLAN30 cũng là thành viên của cổng ether5.
Bước tiếp theo, chúng tôi cần định cấu hình VLAN hoạt động cho các cổng Ether2, Ether3, Ether4 và cả Ether5. .
Việc cấu hình tại thẻ VLAN . Trong menu này, chúng tôi có thể bật Chế độ VLAN , xác định chính sách nhận VLAN và VLAN ID mặc định cho mỗi cổng Ethernet.
Đối với cổng Ether2, đây là cổng trung kế để nhận lưu lượng VLAN từ bộ định tuyến, vì thế chế độ nhận (VLAN Receive) là Only Tagged, để bật VLAN (Mode) là Enable. Lưu ý giữ nguyên VLAN-ID=1.
Đối với cổng Ether3, đây là cổng truy cập (Access) để kết nối với PC với VLAN10, vì thế chế độ nhận (VLAN Receive) là Only Untagged, để bật VLAN (Mode) là Enable. Lưu ý thay đổi VLAN-ID=10.
Đối với cổng Ether4, đây là cổng truy cập (Access) để kết nối với PC với VLAN20, vì thế chế độ nhận (VLAN Receive) là Only Untagged, để bật VLAN (Mode) là Enable. Lưu ý thay đổi VLAN-ID=20.
Đối với cổng Ether5, đây là cổng lai. Đây là cổng vừa thực hiện truy cập với VLAN20 và truyền cả VLAN30, vì thế chế độ nhận (VLAN Receive) là any, để bật VLAN (Mode) là Enable. Lưu ý thay đổi VLAN-ID=20.
Thử kết nối lại cổng Ether 3 trên CSS326-24G-2S+, và tất nhiên việc truy cập đã thành công.
Tất nhiên, việc cấu hình VLAN trên SwitchOS hoặc RouterOS sẽ có sự khác biệt. Tuy nhiên, nếu chúng ta thực sự cố gắng thực hiện, điều này sẽ giúp bạn hiểu hơn về các tính năng phong phú mà Mikrotik mang lại. Hãy bắt đầu cấu hình từ hôm nay
Chúc các bạn thành công.
Nguồn: Routerikvn