P.3, Q. Gò Vấp, HCM
Thứ hai đến thứ bảy
Cấu hình cô lập cổng (Port Isolation) với CRS3xx
Các sản phẩm chuyển mạch MikroTik có một tính năng có chức năng bảo mật, đó là cách ly cổng (hay gọi là Port Isolation). Tính năng này có trong tất cả các dòng sản phẩm bộ chuyển mạch MikroTik, bao gồm Dòng CSS, Dòng CRS 1xx/2xx và Dòng CRS 3xx. Tuy nhiên, trong tất cả các sê-ri này, có sự khác biệt trong cách chúng được cấu hình để cách ly cổng.
Để biết ví dụ về cấu hình cách ly cổng từ Sê-ri CSS, CRS1xx/2xx hãy xem bài viết trước đó.
Và lần này chúng ta sẽ thử thảo luận về cấu hình cổng cách ly trên CRS 3xx Series. Tính năng cách ly cổng đã được thêm vào tất cả các chip chuyển đổi bắt đầu từ ROS 6.43 trở đi. Cách ly cổng trong sê-ri CRS 3xx thường được chia thành hai trường hợp, bao gồm VLAN riêng (Cách ly cấp độ cổng) và Nhóm chuyển đổi cách ly (Cách ly một nhóm các cổng).
1./ Cấu hình cách ly VLAN.
Trong phương pháp này, chúng ta có thể cách ly từng cổng trên bộ chuyển mạch. Nói cách khác, chúng ta có thể giới hạn giao tiếp giữa các thiết bị đầu cuối (máy tính xách tay/PC) đi qua switch. Vì vậy, sau này giao tiếp có thể được thực hiện chỉ là kết nối thẳng với đường lên / đường WAN.
Trước tiên , chúng tôi sẽ làm cho mỗi giao diện Ethernet trên CRS chuyển sang cùng một miền quảng bá hoặc một phân đoạn. Như thường lệ, chúng tôi sẽ sử dụng cấu hình ‘Bridge’ và gán các giao diện vào Bridge..
/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=bridge1 hw=yes
add interface=ether2 bridge=bridge1 hw=yes
add interface=ether3 bridge=bridge1 hw=yes
add interface=ether4 bridge=bridge1 hw=yes
Tiếp theo, chúng ta vào menu “ Switch -> Port-Isolation ” để cấu hình các cổng sẽ tiến hành cách ly lưu lượng. Để thực hiện việc này, chỉ cần đặt tham số ‘Forwarding Override’ trên mỗi cổng ethernet.
/interface ethernet switch port-isolation
set ether2 forwarding-override=ether1
set ether3 forwarding-override=ether1
set ether4 forwarding-override=ether1
Với cấu hình này, lưu lượng truy cập từ cổng Ether2, Ether3, Ether4 chỉ có thể được tạo ra và chỉ chuyển tiếp tới cổng Ether1. Công Ether1 trong trường hợp này có thể là một đường lên (Uplink) với bộ định tuyến hoặc bộ chuyển mạch cấp trên.
2./ Cấu hình cách ly nhóm các cổng.
Trong trường hợp thứ hai này, chúng ta có thể định cấu hình cách ly cổng bằng cách tạo một nhóm hoặc các nhóm độc lập. Nói cách khác, giao tiếp giữa các thiết bị hiện có chỉ có thể được thực hiện trong một nhóm đó. Nếu các nhóm hoặc giao diện ethernet khác nhau không được bao gồm trong cùng một nhóm thì không thể thực hiện giao tiếp.
Các bước cấu hình như sau:
– Đầu tiên, như trong phần cấu hình trên, chúng ta thiết lập và đảm bảo rằng đã đưa giao diện của thiết bị CRS đã vào trong một Bridge.
Ví dụ: chúng tôi sẽ đưa ether2-ether7 vào một Bridge, sau này chúng tôi sẽ chia chúng thành hai nhóm.
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes
add bridge=bridge1 interface=ether6 hw=yes
add bridge=bridge1 interface=ether7 hw=yes
Tiếp theo, chúng ta cũng thiết lập tại Menu “ Switch -> Port-Isolation ”. Trong phần thiết lập này, chúng ta sẽ thực hiện giao tiếp giữa các cổng theo nhóm có sẵn.
Đối với nhóm đầu tiên ( Nhóm 1 – bao gồm cổng Ether2, Ether3, Ether4), như trong cấu trúc liên kết, giao tiếp có thể được thực hiện giữa ether2, ether3, ether4 .
/interface ethernet switch port-isolation
set ether2 forwarding-override=ether3,ether4
set ether3 forwarding-override=ether2,ether4
set ether4 forwarding-override=ether2,ether3
Đối với nhóm thứ hai ( Nhóm 2 – bao gồm cổng Ether5, Ether6, Ether7), giao tiếp chỉ có thể được thực hiện giữa ether5, ether6, ether7 .
/interface ethernet switch port-isolation
set ether5 forwarding-override=ether6,ether7
set ether6 forwarding-override=ether5,ether7
set ether7 forwarding-override=ether5,ether6
Từ các bước cấu hình cách ly cổng trên sê-ri CRS3XX ở trên, chúng tôi có thể hiện thực hóa – tùy theo các yêu cầu bảo mật tại khách hàng.
Nguồn: Routerikvn