TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

Tìm hiểu Mikrotik Router GVHD: ThS. Nguyễn Hữu Trung

Tiểu luận chuyên ngành 1

TRƢỜNG ĐH SPKT TPCHM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Khoa Công Nghệ Thông Tin Độc lập – Tự do – Hạnh phúc

____________ ______________

NHIỆM VỤ THỰC HIỆN TIỂU LUẬN CHUYÊN NGÀNH

Họ tên: Lê Trung Hiếu 10110038

Trần Hoàng Anh 10110004

Chuyên ngành: Mạng máy tính

Tên đề tài:

TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG

HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI

CÓ CHỨNG THỰC

Nội dung thực hiện:

Lý thuyết:

- Tìm hiểu khái quát về WLAN.

- Tìm hiểu về giao thức Radius.

- Tìm hiểu về Mikrotik Router.

Thực hành:

- Xây dựng demo hệ thống hotspot gateway cho dịch vụ internet Lan-Wifi có

chức thực.

TPHCM, Ngày … Tháng …. Năm….

Giảng viên hƣớng dẫn

(ký và ghi rõ họ tên)



NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................


Giáo viên hƣớng dẫn




NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................

............................................................................................................................................


Giáo viên phản biện




LỜI CẢM ƠN

Lời đầu tiên, chúng em xin chân thành cảm ơn khoa Công Nghệ Thông Tin

trƣờng Đại Học Sƣ Phạm Kỹ Thuật Tp.HCM đã tạo điều kiện cho chúng em thực hiện

đề tài này.

Chúng em xin chân thành cảm ơn Thầy Nguyễn Hữu Trung đã tận tình hƣớng

dẫn, chỉ bảo chúng em trong suốt quá trình thực hiện đề tài.

Chúng em xin chân thành cám ơn quý Thầy Cô trong Khoa đã tận tình

giảng dạy, trang bị cho chúng em những kiến thức quý báu trong những năm học vừa

qua.

Trong phạm vi khả năng cho phép, chúng em đã rất cố gắng để hoàn thành đề tài

một cách tốt nhất. Song, chắc chắn sẽ không tránh khỏi những thiếu sót. Chúng em

kính mong nhận đƣợc sự cảm thông và những ý kiến đóng góp của quý thầy cô và các

bạn.

Tp.HCM, tháng 12 năm 2013,

Nhóm sinh viên thực hiện đề tài



MỤC LỤC

NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN ............................................................ 2

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ............................................................... 3

LỜI CẢM ƠN .................................................................................................................. 4

MỤC LỤC ....................................................................................................................... 5

DANH MỤC HÌNH ẢNH ............................................................................................... 8

DANH MỤC BẢNG BIỂU ........................................................................................... 11

CHƢƠNG 1: GIỚI THIỆU WIRELESS LAN ........................................................ 12

1.1. Tổng quan về wireless LAN ............................................................................ 12

1.1.1. ịch sử ra đời ......................................................................................... 12

1.1.2. Nguyên tắc hoạt động của mạng Wireless LAN ................................... 13

1.2. Ƣu-nhƣợc điểm của mạng Wireless LAN ....................................................... 13

1.2.1. Ƣu điểm ................................................................................................. 13

1.2.2. Nhƣợc điểm ........................................................................................... 14

1.3. Các chuẩn phổ biến của WLAN ...................................................................... 14

1.3.1. Chuẩn 802.11b ....................................................................................... 15

1.3.2. Chuẩn 802.11a ....................................................................................... 15

1.3.3. Chuẩn 802.11g ....................................................................................... 15

1.3.4. Chuẩn 802.11n ....................................................................................... 15

1.3.5. Chuẩn 802.11ac ..................................................................................... 16

CHƢƠNG 2: TÌM HIỂU VỀ GIAO THỨC RADIUS ............................................. 18

2.1. Giới thiệu về giao thức RADIUS ..................................................................... 18

2.2. Hoạt động ......................................................................................................... 18

2.3. Giao thức truyền tin ......................................................................................... 21

2.4. Cơ chế bảo mật xác thực .................................................................................. 21

2.5. Cơ chế ủy quyền .............................................................................................. 21

2.6. Cấu trúc gói tin RADIUS ................................................................................. 22

2.6.1. Trƣờng code ........................................................................................... 23



2.6.2. Trƣờng Identifier ................................................................................... 23

2.6.3. Trƣờng length ........................................................................................ 23

2.6.4. Trƣờng Authenticator ............................................................................ 24

2.6.5. Trƣờng Attribute .................................................................................... 24

2.7. Các loại gói tin ................................................................................................. 26

2.7.1. Access-Request ...................................................................................... 26

2.7.2. Access-Accept ....................................................................................... 27

2.7.3. Access-Reject......................................................................................... 27

2.7.4. Access-Chanllenge................................................................................. 28

CHƢƠNG 3: GIỚI THIỆU VỀ MIKROTIK ROUTER .......................................... 30

3.1. Giới thiệu ......................................................................................................... 30

3.2. Những bƣớc cơ bản .......................................................................................... 30

3.2.1. Lần đầu tiên khởi động .......................................................................... 30

3.2.1.1. Tổng quan........................................................................................... 30

3.2.1.2. Winbox ............................................................................................... 30

3.2.1.3. WebFig ............................................................................................... 32

3.2.1.4. CLI ..................................................................................................... 32

3.2.2. Quá trình đăng nhập bằng giao diện điều khiển .................................... 33

CHƢƠNG 4: CẤU HÌNH MIKROTIK THÔNG QUA DÒNG LỆNH................... 35

4.1. Cấu hình địa chỉ IP ........................................................................................... 35

4.2. Cấu hình DHCP Server .................................................................................... 35

4.3. Cấu hình Hotspot ............................................................................................. 36

4.4. Cấu hình NAT .................................................................................................. 37

4.5. Một số lệnh trên máy Hotspot chạy Mikrotik .................................................. 37

CHƢƠNG 5: CẤU HÌNH MIKROTIK THÔNG QUA WINBOX ......................... 41

5.1. Cấu hình DHCP và DNS server ....................................................................... 41

5.1.1. Cấu hình thông tin DNS ........................................................................ 41

5.1.2. Cấu hình thông tin DHCP ...................................................................... 42

5.2. Cấu hình Hotspot ............................................................................................. 44

5.3. Cấu hình NAT .................................................................................................. 49



5.4. Cấu hình giới hạn bandwith ............................................................................. 52

5.4.1. Cấu hình giới hạn băng thông download tối đa là 10kbps .................... 52

5.4.2. Cấu hình giới hạn băng thông upload .................................................... 54

5.5. Quản lý ngƣời dùng internet ............................................................................ 58

5.5.1. Tạo danh sách ngƣời dùng internet qua Hotspot ................................... 58

5.5.2. Chứng thực theo địa chỉ IP hay Mac address ........................................ 60

5.5.3. Cho phép truy cập một số trang web không cần đăng nhập .................. 60

5.6. Tạo account quản trị hệ thống .......................................................................... 61

5.7. Quản trị, giám sát hệ thống .............................................................................. 63

CHƢƠNG 6: THỰC NGHIỆM ................................................................................ 64

6.1. Mô hình thực nghiệm ....................................................................................... 64

6.2. Cấu hình DHCP và DNS server ....................................................................... 65

6.2.1. Cấu hình thông tin DNS ........................................................................ 65

6.2.2. Cấu hình thông tin DHCP ...................................................................... 65

6.3. Cấu hình Hotspot ............................................................................................. 67

6.4. Cấu hình NAT .................................................................................................. 73

6.5. Giao diện đăng nhập Mikrotik router manager ................................................ 76

6.6. Cài đặt User Manager ...................................................................................... 76

6.7. Cấu hình ở winbox ........................................................................................... 78

6.8. Cấu hình Mikrotik User Manager .................................................................... 79

6.8.1. Cấu hình routers ..................................................................................... 79

6.8.2. Cấu hình Customer ................................................................................ 80

6.8.3. Tạo Voucher trong Mikrotik User Manager .......................................... 81

6.8.3.1. Tạo cấu hình giới hạn ......................................................................... 81

6.8.3.2. Tạo cấu hình Voucher ........................................................................ 82

6.8.3.3. Tạo ngƣời dùng .................................................................................. 85

KẾT LUẬN ................................................................................................................... 87

TÀI LIỆU THAM KHẢO ............................................................................................. 88



DANH MỤC HÌNH ẢNH

Hình 2-1: Radius server hoat động theo mô hình Client/server .................................... 19

Hình 2-2: Sự tƣơng tác giữa host, client và radius server ............................................. 20

Hình 2-3: Cơ chế ủy quyền ............................................................................................ 22

Hình 2-4: Cấu trúc gói tin Radius .................................................................................. 23

Hình 2-5: Trƣờng Attribute trong gói tin Radius .......................................................... 24

Hình 2-6: Định dạng gói tin Access-Request ................................................................ 26

Hình 2-7: Định dạng gói tin Access-Request ................................................................ 27

Hình 2-8:Cấu trúc gói tin Access-Reject ....................................................................... 28

Hình 2-9:Cấu trúc gói tin Access-Chanllenge ............................................................... 29

Hình 3-1: Router BOARD ............................................................................................. 30

Hình 3-2: Cửa sổ chính của winbox .............................................................................. 31

Hình 3-3: Cửa sổ chính của webfig ............................................................................... 32

Hình 3-4: Giao diện dòng lệnh ...................................................................................... 33

Hình 4-1: Các đầu mục cơ bản ...................................................................................... 38

Hình 4-2: Các đầu mục con ........................................................................................... 39

Hình 5-1: Giao diện đăng nhập của winbox .................................................................. 41

Hình 5-2: Giao diện cấu hình DNS ............................................................................... 42

Hình 5-3: Cấu hình DHCP Server - 1 ............................................................................ 42





Hình 5-8: Cấu hình hotspot - 1 ...................................................................................... 44


Hình 5-10: Cấu hình hotspot - 3 .................................................................................... 45






Hình 5-16: Thông tin hotspot mới tạo ........................................................................... 47

Hình 5-17: Cấu hình profile cho hotspot - 1 ................................................................. 48


Hình 5-19: Cấu hình NAT - 1 ........................................................................................ 50

Hình 5-20: Cấu hình NAT - 2 ........................................................................................ 51



Hình 5-21: Giao diện đăng nhập hotspot ....................................................................... 52

Hình 5-22: Cấu hình giới hạn băng thông download - 1 ............................................... 53

Hình 5-23: Cấu hình giới hạn băng thông download - 2 ............................................... 54

Hình 5-24: Cấu hình giới hạn băng thông upload - 1 .................................................... 55

Hình 5-25: Cấu hình giới hạn băng thông upload - 2 .................................................... 55

Hình 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1 ............................................... 56

Hình 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2 ............................................... 57

Hình 5-28: Giao diện tạo user ....................................................................................... 58

Hình 5-29: Hospot User Profile Default ........................................................................ 59

Hình 5-30: Lọc địa chỉ ................................................................................................... 60

Hình 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập .................. 61

Hình 5-32: Danh sách ngƣời dùng ................................................................................ 62

Hình 5-33: Tạo mới ngƣời dùng torng danh sách ......................................................... 62

Hình 5-34: Quản trị giám sát hệ thống .......................................................................... 63

Hình 6-1: Mô hình thực nghiệm .................................................................................... 64

Hình 6-2: Giao diện đăng nhập của winbox .................................................................. 64

Hình 6-3: Giao diện cấu hình DNS ............................................................................... 65














Hình 6-17: Thông tin hotspot mới tạo ........................................................................... 71



Hình 6-20: Cấu hình NAT - 1 ........................................................................................ 74

Hình 6-21: Cấu hình NAT - 2 ........................................................................................ 75

Hình 6-22: Giao diện đăng nhập hotspot ....................................................................... 76

Hình 6-23: Giao diện đăng nhập Mikrotik User Manager ............................................ 76

Hình 6-24: Các gói cài đặt trong Mikrotik .................................................................... 77

Hình 6-25: Cách cài đặt các gói cài đặt ......................................................................... 77



Hình 6-26: Cấu hình Radius ở winbox - 1 .................................................................... 78



Hình 6-29: Cấu hình Mikrotik User Manager ............................................................... 80

Hình 6-30: Cấu hình Customer ...................................................................................... 81

Hình 6-31: Cấu hình giới hạn cho các voucher - 1 ........................................................ 82








Hình 6-39: Hiển thị thông tin các Voucher ................................................................... 86

Hình 6-40: Hiển thị thêm thuộc tính.............................................................................. 86



DANH MỤC BẢNG BIỂU

ảng 2-1: Các giá trị phổ biến của trƣờng code trong gói tin Radius ........................... 23

ảng 2-2: Định dạng của trƣờng Value ......................................................................... 24

ảng 2-3: Các thuộc tính của trƣờng Attribute ............................................................. 25



CHƢƠNG 1: GIỚI THIỆU WIRELESS LAN

1.1. Tổng quan về wireless LAN

Wireless LAN (WLAN) là một loại mạng máy tính mà việc kết nối giữa các thành

phần trong mạng không sử dụng các loại cáp nhƣ một mạng thông thƣờng, môi trƣờng

truyền thông của các thành phần trong mạng là không khí và các thành phần trong

mạng sử dụng sóng điện từ để truyền thông với nhau.

1.1.1. c ử ra đời

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản

xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp

này cung cấp tốc độ truyền dữ liệu 1Mbps -thấp hơn nhiều so với tốc độ 10Mbps của

hầu hết các mạng sử dụng cáp hiện thời.

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng

băng tần 2.4Ghz. Mặc dù những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn

nhƣng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không đƣợc công bố

rộng rãi. Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần

số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không

dây chung.

Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn

sự ra đời của chuẩn 802.11 và đƣợc biết với tên gọi WIFI (Wireless Fidelity) cho các

mạng WLAN. Chuẩn 802.11 hỗ trợ ba phƣơng pháp truyền tín hiệu. Trong đó có

phƣơng pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz.

Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn

802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Những thiết

bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây

vƣợt trội. Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ

truyền dữ liệu có thể lên tới 11Mbps.



Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g, có thể truyền

nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu

lên đến 54Mbps. Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tƣơng

thích ngƣợc với các thiết bị chuẩn 802.11b.

Năm 2009, Chuẩn Wi-Fi thế hệ thứ tƣ ra đời với tên gọi 802.11n, tốc độ tối đa

600Mb/s (trên thị trƣờng phổ biến có các thiết bị 150Mb/s, 300Mb/s và 450Mb/s).

Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router hỗ

trợ thì hai băng tần này có thể cùng đƣợc phát sóng song song.

Năm 2013 đánh dấu sự xuất hiện của Chuẩn Wi-Fi thế hệ thứ năm 802.11ac. Về

mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi 802.11n ở

cùng một loại thiết bị và môi trƣờng truyền dẫn.

1.1.2. Nguyên tắc hoạt động của mạng Wireless LAN

Mạng WLAN sử dụng sóng điện từ (vô tuyến và tia hồng ngoại) để truyền thông

tin từ điểm này sang điểm khác. Để nhận đƣợc dữ liệu máy thu vô tuyến bắt sóng một

tần số vô tuyến xác định và bỏ qua các tín hiệu vô tuyến trên các tần số khác.

Trong một cấu hình mạng WLAN tiêu biểu, một thiết bị thu phát đƣợc gọi là một

điểm truy cập (AP- Access Point) nối tới mạng nối dây từ một vị trí cố định sử dụng

cáp Ethernet chuẩn. AP nhận, lƣu vào bộ nhớ đệm và truyền dữ liệu giữa các mạng

W AN và cơ sở hạ tầng mạng nối dây. Một điểm AP đơn phục vụ cho một nhóm nhỏ

ngƣời dùng trong phạm vi nhỏ.

Ngƣời dùng đầu cuối truy cập mạng WLAN thông qua card giao tiếp mạng

Wireless AN. Điểm truy cập (hoặc anten được gắn tới nó) thông thƣờng đƣợc gắn

trên cao nhƣng thực tế đƣợc gắn bất cứ nơi đâu miễn là đáp ứng đƣợc nhu cầu thu

phát.

1.2. Ƣu-nhƣợc điểm của mạng Wireless LAN

1.2.1. Ưu điểm

- Sự tiện lợi: Mạng không dây cũng nhƣ hệ thống mạng thông thƣờng. Nó cho

phép ngƣời dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực đƣợc triển

khai (nhà hay văn phòng). Với sự gia tăng số ngƣời sử dụng máy tính xách tay, đó là

một điều rất thuận lợi.



- Khả năng di động: Với sự phát triển của các mạng không dây công cộng, ngƣời

dùng có thể truy cập Internet ở bất cứ đâu. Chẳng hạn ở các quán Cafe, ngƣời dùng có

thể truy cập Internet không dây miễn phí.

- Hiệu quả: Ngƣời dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi

khác.

- Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1

access point. Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong

việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà.

- Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số

lƣợng ngƣời dùng. Với hệ thống mạng dùng cáp cần phải gắn thêm cáp.

1.2.2. N ược điểm

- Bảo mật: Môi trƣờng kết nối không dây nên khả năng bị tấn công là rất cao.

- Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động

tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhƣng với một tòa nhà

lớn thì không đáp ứng đƣợc nhu cầu. Để đáp ứng cần phải mua thêm Repeater hay

access point, dẫn đến chi phí gia tăng.

- Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín

hiệu bị giảm do tác động của các thiết bị khác là không tránh khỏi. Làm giảm đáng kể

hiệu quả hoạt động của mạng.

- Tốc độ: Tốc độ của mạng không dây (1- 125 Mbps) rất chậm so với mạng sử

dụng cáp(100Mbps đến hàng Gbps). Tuy nhiên hiện nay khoảng cách này đã đƣợc rút

ngắn khá nhiều.

1.3. Các chuẩn phổ biến của WLAN

IEEE (Institute of Electrical and Electronics Engineers) là tổ chức đi tiên

phong trong lĩnh vực chuẩn hóa mạng LAN với đề án IEEE 802 nổi tiếng bắt đầu triển

khai từ năm 1980 và kết quả là hàng loại các chuẩn thuộc họ 802.x ra đời. 802.11 là

một trong các chuẩn của họ 802.x bao gồm các giao thức truyền tin qua mạng không

dây.



1.3.1. Chuẩn 802.11b

Ra đời năm 1999. Chuẩn này đáp ứng đủ cho phần lớn các ứng dụng của mạng,

hoạt động ở dải tần 2,4GHz, tốc độ truyền dữ liệu tối đa là 11 Mbps. Đây là chuẩn

đƣợc chấp nhận rộng rãi trên thế giới.

Nhƣợc điểm của chuẩn này là hoạt động ở dải tần 2,4Ghz trùng với dải tần của

nhiều thiết bị khác trong gia đình nên có thể bị nhiễu.

1.3.2. C uẩn 802.11a

à phiên bản nâng cấp của 82.11b, dùng kĩ thuật điều chế OFDM

(Orthogonal frequency-division multiplexing), cho phép truyền dữ liệu nhanh hơn, Tốc

độ truyền dữ liệu từ 20 Mbps đến 54 Mbps. Các hệ thống sử dụng chuẩn này hoạt

động ở băng tần 5Ghz.

Chuẩn 802.11a không có khả ngăn tƣơng thích với 802.11b do chúng hoạt động

ở các dải tần khác nhau. Điểm yếu của chuẩn này là dải phủ sóng hẹp và dễ bị che

khuất. (tần số càng cao thì dải truyền tín hiệu càng ngắn).

1.3.3. Chuẩn 802.11g

Chuẩn này hoạt động trên cùng tần số với 802.11b. Tuy nhiên chúng hỗ trợ tốc

độ truyền dữ liệu nhanh gấp 5 lần so với chuẩn 802.11b với cùng một phạm vi phủ

sóng. Tốc độ truyền dữ liệu tối đa có thể lên tới 54Mbps. Các thiết bị thuộc chuẩn

802.11b và 802.11g hoàn toàn tƣơng thích với nhau tuy nhiên khi trộn lẫn các thiết bị

của 2 chuẩn đó với nhau thì các thiết bị sẽ hoạt động theo chuẩn nào có tốc độ thấp

hơn.

1.3.4. C uẩn 802.11n

Đây là chuẩn đƣợc thiết kế để cải thiện cho 802.11g trong tổng số băng thông

đƣợc hỗ trợ bằng cách tận dụng nhiều tín hiệu không dây và các anten (công nghệ

MIMO). Khi chuẩn này đƣợc đƣa ra, các kết nối 802.11n hỗ trợ tốc độ dữ liệu từ 54

đến 600 Mbps. 802.11n cũng cung cấp phạm vi bao phủ tốt hơn so với các chuẩn Wi-

Fi trƣớc nó nhờ cƣờng độ tín hiệu mạnh của nó. Thiết bị 802.11n có thể tƣơng thích

với các thiết bị 802.11g.

Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router

hỗ trợ thì hai băng tần này có thể cùng đƣợc phát sóng song song với nhau.



1.3.5. C uẩn 802.11ac

Tốc độ tối đa hiện là 1730Mbps (sẽ còn tăng tiếp) và chỉ chạy ở băng tần 5GHz.

Một số mức tốc độ thấp hơn (ứng với số luồng truyền dữ liệu thấp hơn) bao gồm

450Mbps và 900Mbps.

Về mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi

802.11n ở cùng số luồng (stream) truyền, ví dụ khi dùng ăng-ten 1x1 thì Wi-Fi ac cho

tốc độ 450Mbps, trong khi Wi-Fi n chỉ là 150Mbps. Còn nếu tăng lên ăng-ten 3x3 với

ba luồng, Wi-Fi ac có thể cung cấp 1300Mb/s, trong khi Wi-Fi n chỉ là 450Mb/s. Tuy

nhiên, những con số nói trên chỉ là tốc độ tối đa trên lý thuyết, còn trong đời thực thì

tốc độ này sẽ giảm xuống tùy theo thiết bị thu phát, môi trƣờng, vật cản, nhiễu tín

hiệu.

* u điểm chu n ac

- Băng thông kênh truyền rộng hơn: ăng thông rộng hơn giúp việc truyền dữ

liệu giữa hai thiết bị đƣợc nhanh hơn. Trên băng tần 5GHz, Wi-Fi 802.11ac hỗ trợ các

kênh với độ rộng băng thông 20MHz, 40MHz, 80MHz và tùy chọn 160MHz. Trong

khi đó, 802.11n chỉ hỗ trợ kênh 20MHz và 40MHz mà thôi

- Nhiều luồng dữ liệu hơn: Spatial stream là một luồng dữ liệu đƣợc truyền đi

bằng công nghệ đa ăng-ten MIMO. Nó cho phép một thiết bị có thể phát đi cùng lúc

nhiều tín hiệu bằng cách sử dụng nhiều hơn 1 ăng-ten. 802.11n có thể đảm đƣơng tối

đa 4 spatial stream, còn với Wi-Fi 802.11ac thì con số này đƣợc đẩy lên đến 8 luồng.

Tƣơng ứng với đó sẽ là 8 ăng-ten, còn gắn trong hay ngoài thì tùy nhà sản xuất nhƣng

thƣờng họ sẽ chọn giải pháp gắn trong để đảm bảo tính thẩm mỹ.

- Hỗ trợ Multi user-MIMO: ở Wi-Fi 802.11n, một thiết bị có thể truyền nhiều

spatial stream nhƣng chỉ nhắm đến 1 địa chỉ duy nhất. Điều này có nghĩa là chỉ một

thiết bị (hoặc một ngƣời dùng) có thể nhận dữ liệu ở một thời điểm. Ngƣời ta gọi đây

là single-user MIMO (SU-MIMO). Còn với chuẩn 802.11ac, một kĩ thuật mới đƣợc bổ

sung vào với tên gọi multi-user MIMO. Nó cho phép một access point sử dụng nhiều

ăng-ten để truyền tín hiệu đến nhiều thiết bị (hoặc nhiều ngƣời dùng) cùng lúc và trên

cùng một băng tần. Các thiết bị nhận sẽ không phải chờ đợi đến lƣợt mình nhƣ SU-

MIMO, từ đó độ trễ sẽ đƣợc giảm xuống đáng kể.



- Beamforimg: Wi-Fi là một mạng đa hƣớng, tức tín hiệu từ router phát ra sẽ tỏa

ra khắp mọi hƣớng. Tuy nhiên, các thiết bị 802.11ac có thể sử dụng một công nghệ

dùng để định hƣớng tín hiệu truyền nhận gọi là beamforming. Router sẽ có khả năng

xác định vị trí của thiết bị nhận, ví dụ nhƣ laptop, smartphone, tablet, để rồi tập trung

đẩy năng lƣợng tín hiệu lên mức mạnh hơn hƣớng về phía thiết bị đó. Mục đích của

beamforming đó là giảm nhiễu. Mặc dù sóng Wi-Fi vẫn tỏa ra khắp mọi hƣớng, tuy

nhiên với công nghệ beamforming thì chùm tín hiệu có thể đƣợc định hƣớng tốt hơn

đến một thiết bị xác định trong vùng phủ sóng.

- Tầm phủ sóng rộng hơn: chúng ta có thể thấy rằng với cùng 3 ăng-ten, router

dùng chuẩn 802.11ac sẽ cho tầm phủ sóng rộng đến 90 mét, trong khi router xài mạng

802.11n có tầm phủ sóng chỉ khoảng 80 mét là tối đa. Tốc độ của mạng 802.11ac ở

từng mức khoảng cách cũng nhanh hơn 802.11n. Với những nhà, văn phòng rộng,

chúng ta có thể giảm số lƣợng repeater cần dùng để khuếch đại và lặp tín hiệu, tiết

kiệm đƣợc kha khá chi phí.

- Router Wi-Fi ac tương thích ngược với các chu n cũ: hiện nay, hầu hết

các router Wi-Fi trên thị trƣờng có hỗ trợ chuẩn 802.11ac sẽ hỗ trợ thêm các chuẩn cũ,

bao gồm b/g/n. Chúng cũng sẽ có hai băng tần 2,4GHz lẫn 5GHz. Đối với những

router có khả năng chạy hai băng tần cùng lúc, băng tần 2,4GHz sẽ đƣợc sử dụng để

phát Wi-Fi n, còn 5GHz sẽ dùng để phát Wi-Fi ac.



CHƢƠNG 2: TÌM HIỂU VỀ GIAO THỨC RADIUS

2.1. Giới thiệu về giao thức RADIUS

RADIUS (Remote Authentication Dial In User Service) là một giao thức có khả

ngăn cung cấp xác thực tập trung, cấp phép và kiểm toán (Authentication,

Authorization và Accounting-AAA).

Với những hệ thống lớn, nhiều ngƣời dùng thì việc quản trị là rất quan trọng.

việc bảo mật, xác thực và kiểm toán. Điều này có thể đạt đƣợc bằng cách xây dựng cơ

sở dữ liệu ngƣời dùng để cho phép xác thực (xác minh username và password), cũng

nhƣ các thông tin cấu hình cụ thể của các dịch vụ mà ngƣời dùng đƣợc quyền sử dụng

nhƣ S IP, PPP, Telnet.

Giao thức RADIUS đƣợc sử dụng rộng rãi vì một số lý do sau:

- Một số hệ thống đơn không thể đáp ứng đƣợc nhu cầu chứng thực khi lƣợng

ngƣời sử dụng tăng cao.

- RADIUS tạo điều kiện cho ngƣời sử dụng quản lý tập trung. Nhiều ISP có

hàng chục ngàn, hàng trăm ngàn hay thậm chí hàng triệu ngƣời dùng. Ngƣời dùng

đƣợc thêm vào và xoá liên tục trong ngày và xác thực ngƣời dùng thay đổi liên tục

trong ngày do đó quản trị tập trung là yêu cầu quan trọng.

- RADIUS cung cấp một số cấp độ bảo mật và chống tấn công và gần nhƣ đƣợc

hỗ trợ ở khắp nơi. Các giao thức khác không đƣợc hỗ trợ nhiều về phần cứng còn

RADIUS thì ngƣợc lại.

2.2. Hoạt độn

RADIUS hoạt động theo mô hình client/ server.

- Client: đƣợc chạy trên NAS (network access server) nằm trên toàn mạng. Nó

chuyển các thông tin ngƣời dùng lên server bằng các phƣơng thức đƣợc định nghĩa

sẵn.

- Server: chạy trên máy tính hoặc máy trạm tại trung tâm mạng và duy trì các

thông tin liên quan đến việc xác thực ngƣời dùng và các dịch vụ truy cập mạng. Nó



xác thực một ngƣời dùng sau khi nhận đƣợc một yêu cầu kết nối và xử lý sau đó trả về

kết quả (ví dụ nhƣ từ chối truy cập, chấp nhận yêu cầu của ngƣời dùng) cho client.

Nói chung RADIUS server duy trì ba cơ sở dữ liệu gồm ngƣời dùng (Users),

khách (Clients), từ điển (Dictionary) nhƣ hình bên dƣới.

H nh 2-1: Radius server hoat động theo mô hình Client/server

- Users: lƣu trữ thông tin về ngƣời dùng nhƣ tài khoản, mật khẩu, các giao thức ứng

dụng và địa chỉ IP.

- Clients:lƣu trữ các thông tin về RADIUS client nhƣ khóa chia sẻ, địa chỉ IP.

- Dictionary: lƣu trữ các thông tin mô tả các thuộc tính và giá trị của giao thức

RADIUS.

Hình bên dƣới thể hiện sự tƣơng tác giữa host, client và radius server.



H nh 2-2: Sự tương tác giữa host, client và radius server

Sau đây là cách radius hoạt động:

- Bước 1: Các host khởi tạo và gửi các yêu cầu kết nối đến radius client (chứa tài

khoản và mật khẩu ngƣời dùng).

- Bước 2: Sau khi nhận đƣợc tên ngƣời dùng và mật khẩu , RADIUS client sẽ gửi một

yêu cầu chứng thực ( Access-Request ) đến máy chủ RADIUS , mật khẩu ngƣời dùng

đƣợc mã hóa bởi các Message-Digest 5 (MD5) thuật toán với khóa chia sẻ trƣớc khi

đƣợc gửi đi.

- Bước 3: Các máy chủ RADIUS xác nhận tên ngƣời dùng và mật khẩu. Nếu xác thực

thành công, nó sẽ gửi lại một thông báo Access-Accept có chứa các thông tin về quyền

của ngƣời sử dụng. Nếu xác thực thất bại, nó sẽ trả về một thông báo Access-Reject .

- Bước 4: Các RADIUS Client chấp nhận hoặc từ chối ngƣời sử dụng theo kết quả xác

thực nhận đƣợc từ server . Nếu nó chấp nhận ngƣời sử dụng, nó sẽ gửi một yêu cầu bắt

đầu – kiểm toán (Accounting-Request) đến máy chủ RADIUS .

- Bước 5: Các RADIUS Server trả về một thông điệp khởi động kế toán ( Accounting-

Response) và bắt đầu kế toán (start-Accounting).



- Bước 6: Các host có thể truy cập các tài nguyên trong mạng theo quyền đã đƣợc quy

định sẵn.

- Bước 7: Để kết thúc phiên làm việc host gửi một yêu cầu ngắt kết nối tới RADIUS

client và RADIUS client gửi một yêu cầu ngắt kết nối đến RADIUS server.

- Bước 8: RADIUS server trả về thông điệp ngắt kết nối (stop-accounting) và dừng

kiểm toán.

- Bước 9: Host ngừng truy cập tài nguyên mạng.

2.3. Gi o thức tru ền tin

RADIUS dùng UTP thay cho TCP vì một số đặc điểm sau:

- Thời gian yêu cầu của 2 giao thức này khác nhau khá đáng kể: một bên

RADIUS không yêu cầu xác thực dữ liệu bị mất. Ngƣời dùng sẵn sàng chờ một vài

giây để xác thực hoàn thành do đó việc truyền lại của TCP là không cần thiết. Mặt

khác ngƣời dùng không cần mất nhiều thời gian để xác thực. Nếu dùng TCP ngƣời

dùng sẽ mất thời gian xác thực lãng phí.

- Tính phi trạng thái của UDP giúp đơn giản hoá khi sử dụng: client và server có

thể vào hoặc ra. Hệ thống khởi động lại hoặc gặp trục trặc sẽ không gây ra vấn đề về

thời gian chờ kết nối.

- UDP giúp đơn giản hoá việc triển khai máy chủ: trƣớc đây máy chủ chỉ xử lý

đơn luồng, có nghĩa là từng yêu cầu một đƣợc nhận, xử lý và trả lại. Điều này sẽ làm

mất tính thời gian thực. Giải pháp là làm máy chủ chạy đa nhiệm. Điều này có thể làm

dc đơn giản với UDP.

2.4. Cơ chế bảo mật xác thực

Thông tin trao đổi giữa client và server đƣợc xác thực bởi một khóa chia sẻ. khóa

này không bao giờ đƣợc truyền đi qua mạng do đó nâng cao tính bảo mật của thông

tin. Để ngăn chặn mật khẩu ngƣời dùng bị bắt trong các mạng không an toàn các mật

khẩu đƣợc mã hóa trong quá trình truyền.

2.5. Cơ chế ủy quyền



H nh 2-3: Cơ chế ủy quyền

RADIUS server có thể gửi gói tin Access-request của NAS tới một RADIUS

server khác (Remote Server). Remote Server này sẽ trả lời (Access-Accept, Access-

Reject, Access-Challenge ) cho server đã gửi yêu cầu cho nó. Sau đó server này sẽ gửi

lại cho NAS.

úc này, máy chủ RADIUS server có chức năng nhƣ một máy chủ chuyển tiếp.

Chúng ta có thể xây dựng một chuỗi các máy chủ u quyền trƣớc khi đến Remote

Server nhƣng cần chú ý để tránh lặp vòng. Dƣới đây là mô tả một phiên làm việc của

RADIUS server proxy, NAS và Remote RADIUS server:

- Bước 1: NAS sẽ gửi một yêu câu truy cập (Access-request) tới máy chủ

RADIUS chuyển tiếp (forwarding server).

- Bước 2: Máy chủ chuyển tiếp (forwarding server) sẽ chuyển tiếp yêu cầu tới

Remote RADIUS server.

- Bước 3: Remote server sẽ gửi một Access-Accept, Access-Reject, Access-

Challenge tới máy chủ chuyển tiếp.(ở đây ta chọn Access-Accept).

- Bước 4: Máy chủ chuyển tiếp sẽ gửi Access-Accept tới NAS.

2.6. Cấu trúc gói tin RADIUS

Hình dƣới cho thấy cấu trúc gói tin RADIUS.



H nh 2-4: Cấu trúc gói tin Radius

2.6.1. Trường code

Dài 1 byte. Mô tả loại gói tin RADIUS. Bảng dƣới mô tả các giá trị phổ biến và ý

nghĩa của chúng.

Bảng 2-1: Các giá trị phổ biến của trường code trong gói tin Radius

Giá trị Loại gói tin Mô tả

1 Access-Request Đƣợc gửi từ Client tới Server. Chứa thông tin xác

thực ngƣời dùng.

2 Access-Accept Từ server tới client. Nếu tất cả các thuộc tính xác

thực chính xác thì server gửi trả gói tin Access-

Accept.

3 Access-Reject Gửi từ Server tới Client. Nếu xác thực thất bại server

sẽ gửi gói tin này để trả lời cho ngƣời dùng.

4 Accounting-

Request

Gửi từ clien tới server. Gói tin loại này chứa thông

tin ngƣời dùng để yêu cầu bắt đầu hay kết thúc kiểm

toán

5 Accounting-

Response

Gửi từ server tới client để trả lời cho gói tin

Accounting-Request

11 Access-Challenge

2.6.2. Trường Identifier

Dài 1 byte. Cho phép Client yêu cầu hoặc trả lời RADIUS Server. Dùng để đối

chiếu giữa gói tin trả lời và gói tin yêu cầu. ngoài ra còn dùng để phát lại các gói tin.

2.6.3. Trường length

Dài 2 byte. Cho biết chiều dài của toàn bộ gói, bao gồm cả Code, Identifier,

ength, Authenticator, và các trƣờng thuộc tính. Giá trị của trƣờng này trong khoảng



20-4096 byte. yte vƣợt quá chiều dài đƣợc coi là đệm và bị bỏ sau khi nhận đƣợc.

Nếu chiều dài của một gói tin nhận đƣợc là ít hơn so với chiều dài chỉ định trong

trƣờng length thì các gói tin đó sẽ bị loại bỏ.

2.6.4. Trường Authenticator

Dài 16 byte. Đƣợc sử dụng để chứa các thông tin liên quan đến xác thực và kiểm

toán. Chúng ta sẽ tìm hiểu kỹ hơn ở các gói tin cụ thể.

2.6.5. Trường Attribute

Mỗi một thuộc tính mang thông tin chi tiết cấu hình của một yêu cầu hoặc trả lời.

Trƣờng này đƣợc hợp thành từ ba trƣờng: loại, độ dài, và giá trị (Type, Length, and

Value).

H nh 2-5: Trường Attribute trong gói tin Radius

Trong đó:

- Type: Một byte, giá trị trong khoảng 1 đến 255. Nó chỉ ra loại thuộc tính.

Những thuộc tính thƣờng đƣợc sử dụng để xác thực RADIUS và ủy quyền đƣợc liệt kê

trong Bảng dƣới.

- Length: Một byte cho biết chiều dài của Attribute bao gồm cả các trƣờng type,

length, và value.

- Value: Giá trị của trƣờng Attribute, lên đến 253 byte. Định dạng và nội dung

của nó phụ thuộc vào các trƣờng Length và type. Định dạng của trƣờng Value là một

trong năm loại dữ liệu sau:

Bảng 2-2: Định dạng của trường Value

Kiểu dữ liệu Mô tả

Text Dài 1-253 byte chứa UTF-8 encoded.

String Dài 1-253 byte chứa dữ liệu nhị phân (giá trị từ 0-255 trong hệ

thập phân).

Address Dài 32 bit.

Integer 32 bit.

Time 32 bit. Thời gian bắt đầu từ ngày 1 tháng 1 năm 1970.



Bảng 2-3: Các thuộc tính của trường Attribute

* Chú ý: Các loại thuộc tính trên đƣợc định nghĩa trong RFC 2865, RFC 2866,

RFC 2867, and RFC 2568.



2.7. Các loại gói tin

2.7.1. Access-Request

Các gói tin Access-Request đƣợc dùng để gửi tới RADIUS server để yêu cầu truy

cập tài nguyên mạng. Sau khi nhận đƣợc một Access-Requet hợp lệ từ client, một trả

lời thích hợp sẽ đƣợc truyền đi từ server. Một Access-Request bắt buộc phải có NAS-

IP Address hoặc NAS-ID hoặc cả hai.

Một Access-Request phải chứa thuộc tính User-password, hoặc CHAP-password

hoặc CHAP-State. Một Access-Request không thể chứa cả 2 user-password và CHAP-

password.

Một Access-Request nên chứa một NAS-Port hoặc NAS-Port-Type hoặc cả 2.

Một Access-Request có thể chứa các thuộc tính bổ sung nhƣ một gợi ý cho máy chủ

(máy chủ không yêu cầu các thuộc tính này.). Nếu trong Access-Request có thuộc tính

User-password thì nó sẽ đƣợc ẩn đi theo thuật toán MD5.

ên dƣới là định dạng gói tin Access-Request. Các trƣờng đƣợc truyền đi

theo thứ tự từ trái qua phải.

H nh 2-6: Định dạng gói tin Access-Request

- Trường Code: có giá trị 1 cho loại gói tin Access-Request.

- Trường Identifier: trƣờng này sẽ thay đổi giá trị khi giá trị của các thuộc tính

khác thay đổi hoặc bất cứ khi nào có một sự phản hồi hợp lệ từ một yêu cầu trƣớc đó

ngƣợc lại trƣờng này không thay đổi giá trị

- Trường Request Authenticator: trƣờng này phải đƣợc thay đổi mỗi khi trƣờng

ID thay đổi.



- Trường Attributes: trƣờng này có thể thay đổi độ dài và danh sách các thuộc

tính đƣợc yêu cầu cho các loại dịch vụ khác nhau.

2.7.2. Access-Accept

Gói tin này đƣợc gửi từ máy chủ RADIUS tới Client, và cung cấp các thông tin

cấu hình cụ thể cần thiết để ngƣời dùng bắt đầu sử dụng dịch vụ.Code sẽ có giá trị 2 để

xác định loại gói tín Access-Accept. Khi nhận một Access-accept trƣờng Identifier

của Access-Request sẽ phải đúng với trƣờng Identifier Access-Accept. Các gói tin

không hợp lệ sẽ bị bỏ.

Định dạng gói tin Access-Request. Các trƣờng đƣợc truyền đi theo thứ tự từ trái

qua phải.

H nh 2-7: Định dạng gói tin ccess-Request

- Trường Code: có giá trị là 2 cho loại gói tin Access-Accept.

- Trường Identifier: đƣợc lấy từ Identifier trong gói tin Access-Request.

- Trường Response Authenticator: Trƣờng này chứa: Code, Identifier, Length và

trƣờng Request Authenticator có đƣợc từ gói tin Accounting-Request, thuộc tính

Response (nếu có). Tất cả đƣợc mã hóa bằng thuật toán MD5 (mã hóa một

chiều) và lƣu vào trƣờng Authenticator của gói tin Accounting-Response.

- Trường Attributes: có thể thay đổi chiều dài, và có chứa một danh sách các

thuộc tính.

2.7.3. Access-Reject

Nếu máy chủ AAA sau khi kiểm tra các thông tin của ngƣời dùng hoàn toàn thỏa

mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-



Accept. Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject

và NAS sẽ ngắt kết nối với user.

Cấu trúc gói tin Access-Reject:

H nh 2-8:Cấu trúc gói tin Access-Reject

- Trường Code: có giá trị 3 cho loại gói tin Access-Reject.

- Trường Identifier: copy từ Identifier của gói tin Access-Request.


trƣờng Request Authenticator có đƣợc từ gói tin Accounting-Request, thuộc tính

Response (nếu có). Tất cả đƣợc mã hóa bằng thuật toán MD5(mã hóa một chiều)

và lƣu vào trƣờng Authenticator của gói tin Accounting-Response.

- Trường Attributes: có thế có hoặc không các thuộc tính.

2.7.4. Access-Chanllenge

Nếu máy chủ RADIUS muốn ngƣời dùng cung cấp thêm thông tin xác thực nó

sẽ gửi một gói tin Access-Challenge để trải lời cho gói tin Access-Request.

Các trƣờng có thể có một hoặc nhiều Reply-Message và có thể có 1 thuộc tính

State duy nhất hoặc không. Vendor-Specific, Idle-Timeout, Session-Timeout and

Proxy-State là những thuộc tính cũng có thể đƣợc thêm vào trong gói tin này. Những

gói tin nào có Identifier khác so với Identifier của gói Access-Request sẽ bị xoá bỏ.

Nếu NAS không hỗ trợ challenge/response thì nó sẽ xử lý Access-chanllenge

giống nhƣ xử lý Access-Reject. Nếu NAS hỗ trợ challenge/response . khi đó NAS sẽ

hiển thị các tin nhắn (nếu có) cho ngƣời dùng từ server và yêu cầu ngƣời dùng trả

lời.NAS sẽ gửi một Access-Request với ID mới với User-Password đƣợc thay thế



bằng User s response (mã hoá). Và có thể thêm vào thuộc tính State từ gói tin Access-

Challenge nếu có.

Cấu trúc gói tin Access-Chanllenge:

H nh 2-9:Cấu trúc gói tin Access-Chanllenge

- Trường Code:có giá trị 11 cho loại gói tin Access-Challenge.

- Trường Identifier: đƣợc sao chép từ Identifier của Access-Request.


trƣờng Request Authenticator có đƣợc từ gói tin Access-Request, thuộc tính

Response (nếu có). Tất cả đƣợc mã hóa bằng thuật toán MD5(mã hóa một

chiều).

- Trường Attributes: có thế có hoặc không các thuộc tính.



CHƢƠNG 3: GIỚI THIỆU VỀ MIKROTIK ROUTER

3.1. Giới thiệu

Mikrotik là tên của một nhà sản xuất thiết bị mạng máy tính ở Latvian (một nƣớc

thuộc vùng Baltic – bắc Âu). Công ty thành lập năm 1995.

Sản phẩm chính của Mikrotik là

một hệ điều hành dựa trên Linux có

tên là Mikrotik RouterOS. Đƣợc cài đặt trên phần cứng độc quyền của công ty

(RouterBOARD) hoặc trên máy tính bình thƣờng, biến máy tính đó thành router và

thực hiện các tính năng nhƣ firewall, bandwidth management, wireless access point,

virtual private network (VPN), hotspot gateway và một số tính năng khác.

3.2. Nhữn bƣớc cơ bản

3.2.1. Lần đầu tiên khởi động

3.2.1.1. Tổng quan

Sau khi cài đặt xong hệ điều hành RouterOS lên máy tính hoặc mở nguồn Bộ

định tuyến (router) lần đầu tiên, chúng ta có nhiều cách để kết nối với nó:

- Truy cập vào Command Line Interface (CLI – giao diện dòng lệnh) thông qua

Telnet, ssh, serial cable hoặc thậm chí là bàn phím và màn hình nếu router có card màn

hình.

- Truy cập vào Web dựa trên Graphical User Interface (GUI – giao diện đồ họa

ngƣời dùng WebFig).

- Sử dụng WinBox.

Mọi router đều đƣợc cấu hình trƣớc với địa chỉ IP là 192.168.88.1/24 ở cổng

ether1. Mặc định tên đăng nhập là admin và mật khẩu để trống.

Có thể có các cài đặt thêm vào các router tùy từng dòng RouterBoard. Ví dụ,

RB750 ether1 đƣợc cài đặt nhƣ là cổng của mạng WAN và bất cứ giao tiếp nào với

router thông qua cổng đó đều không thực hiện đƣợc.

3.2.1.2. Winbox

H nh 3-1: Router BOARD



Winbox là tiện ích dùng để cấu hình, có thể kết nối với router thông qua địa chỉ

MAC hoặc địa chỉ IP.

Winbox sẽ cố tải các plugins từ router, nếu nó kết nối lần đầu tiên tới router với

phiên bản hiện tại. Chú ý rằng nó có thể mất khoảng 1 phút để tải hết tất cả các plugins

nếu nhƣ winbox đƣợc kết nối bằng địa chỉ MAC.

Phƣơng pháp này có thể chạy với bất kỳ thiết bị nào chạy RouterOS. Máy tính

của bạn cần có MTU là 1500.

Sau khi winbox đã hoàn tất việc tải các plugins và đã xác thực, cửa số chính sẽ

hiện ra.

H nh 3-2: Cửa sổ chính của winbox

Nếu winbox không thể tìm thấy bất kỳ router nào, hãy chắc chắn rằng máy tính

của bạn đã kết nối với router bằng cáp Ethernet hoặc ít nhất là chúng kết nối đến cùng

1 Bộ chuyển đổi (switch). Winbox kết nối đến router ngay cả khi địa chỉ IP chƣa đƣợc

cấu hình. Do việc kết nối bằng địa chỉ MAC không đủ ổn định để sử dụng liên tục, do



đó, điều đó là không khôn ngoan khi sử dụng thật sự trong sản xuất. Kết nối bằng địa

chỉ MAC chỉ nên sử dụng để cấu hình lúc ban đầu.

3.2.1.3. WebFig

Nếu bạn có một router với cấu hình mặc định, khi đó chúng ta có thể kết nối với

router bằng giao diện web thông qua địa chỉ IP của router. WebFig gần nhƣ có các

chức năng cấu hình giống nhƣ Winbox.

H nh 3-3: Cửa sổ chính của webfig

3.2.1.4. CLI

Giao diện dòng lệnh (CLI) cho phép cấu hình router sử dụng dòng lệnh. Có rất

nhiều lệnh có sẵn, vì thế họ chia chúng thành những nhóm tổ chức bằng cách phân cấp

đơn cấp. Có rất nhiều cách để truy cập vào CLI:

- Winbox terminal.

- Telnet.

- Ssh.

- Serial cabel etc.



Sau khi giao diện dòng lệnh hiện lên, bạn sẽ thấy phần đăng nhập. Điền tên đăng

nhập là admin và mật khẩu đăng nhập để rỗng. Sau đó bạn sẽ thấy màn hình:

H nh 3-4: Giao diện dòng lệnh

3.2.2. Quá trìn đăng n ập bằng giao diện điều khiển

Có nhiều cách khác nhau để đăng nhập vào giao diện điều khiển:

- Cổng nối tiếp (serial port).

- Console (gồm màn hình và bàn phím).

- Telnet.

- Ssh (Secure Shell).

- Mac-telnet.

- Winbox terminal

Xác nhận tên và mật khẩu để tiến hành quá trình đăng nhập. Quá trình đăng nhập

có thể hiện những thông tin khác nhau trên màn hình (license – giấy phép, giới thiệu

bản cập nhật, thông tin về khóa của phần mềm, cấu hình mặc định).

Khi đăng nhập thành công thì trình tự cuối cùng là in biểu ngữ và đƣa trình điều

khiển đến giao điện điều khiển.

Giao diện điều khiển hiển thị ghi chú của hệ thống, lịch sử đăng nhập cuối cùng,

tự động nhận diện kích cở, khả năng của thiết bị đầu cuối (terminal) và hiển thị dấu

nhắc lệnh. Sau đó bạn có thể bắt đầu viết câu lệnh.

Sử dụng mũi tên đi lên [↑] để gọi lại các dòng lệnh từ lịch sử dòng lệnh, phím

TA để tự động hoàn tất 1 từ trong lệnh mà bạn đang gõ, phím ENTER để thực hiện

dòng lệnh, tổ hợp phím Ctrl + C để ngắt lệnh đang chạy và đƣa về đấu nhắc.



Cách dễ nhất để thoát khỏi giao diện điều khiển là nhấn tổ hợp phím Ctrl + D tại

dấu nhắc lệnh khi chƣa viết lệnh (bạn có thể hủy bỏ lệnh hiện hành và có đƣợc dòng

lệnh trống với Ctrl + C, vì vậy nhấn Ctrl + C sau đó Ctrl + D sẽ đăng xuất bạn ra ngoài

trong nhiều trƣờng hợp.



CHƢƠNG 4: CẤU HÌNH MIKROTIK THÔNG

QUA DÒNG LỆNH

4.1. Cấu hình địa chỉ IP

- Cấu hình IP cho Nic sẽ kết nối với adsl (Nic Wan hay interface Wan) hay với

router trung gian trên đƣờng ra internet (ADSL, LEASELINE). Ở đây IP của Nic này

là 172.32.0.20/16 và Nic này sẽ đƣợc gán cho interface ether3.

* Chú ý: Ở đây cấu trúc lệnh sẽ đƣợc gõ từ đƣờng dẫn gốc là [Admin@Mikrotik].

Để trở về đƣờng dẫn gốc này từ đƣờng dẫn bất kỳ chỉ cần gõ /(enter).

[Admin@Mikrotik]> ip address add address=172.32.0.20/16 interface=ether2

- Cấu hình IP cho Nic kết nối với các AP hay mạng an của các máy con. Ở đây

IP sẽ là 192.168.0.1/24 , Nic này sẽ đƣợc gán cho ether1.

[Admin@Mikrotik]> ip address add address=192.168.0.1/24 interface=ether1

* Chú ý: để tiện quản lý sau khi cấu hình xong nên đổi tên 2 interface ether1 và

ether2 thành an và Wan hay ocal và Public cho dễ nhớ.

- Cấu hình IP default gateway (là địa chỉ adsl modem-router hay router kết nối

vào interface Wan trên đƣờng đi ra internet.. Trong ví dụ ở đây là 172.32.0.20.

[Admin@Mikrotik]> ip route add gateway 172.32.0.20

Sau đó dùng máy tính kết nối với Máy Hotspot chạy Mikrotik qua Nic Wan rồi

dùng Winbox để cấu hình các thành phần tiếp theo.

4.2. Cấu hình DHCP Server

Thêm các thông tin DNS cho máy chủ. Nếu trong mạng có máy chủ DNS thì ta

thêm địa chỉ máy chủ này vào.

[admin@MikroTik] /ip dns set servers=172.32.0.4,172.32.0.5

Gõ lệnh sau để hiển thị các dòng yêu cầu nhập thông tin dhcp-server:



[admin@MikroTik] > ip dhcp-server setup

dhcp server interface: ether2

dhcp address space: 192.168.1.0/24

gateway for dhcp network: 192.168.1.1

addresses to give out: 192.168.1.2-192.168.1.254 (Đây là dải IP mà dịch vụ dhcp sẽ

cấp cho các máy con khi kết nối)

dns servers: 203.162.0.182,8.8.8.8 (Ở đây nhập địa chỉ IP của máy chủ DNS server,

nếu trong mạng có máy chủ DNS thì nhập IP của máy chủ đó. Nếu không thì nhập ip

primary và second dns server cách nhau bởi dấu phẩy)

lease time: 3d (Thời gian cho thuê mặc định là 03 ngày)

4.3. Cấu hình Hotspot

Việc cấu hình Hotspot sẽ bao gồm cấu hình dịch vụ DHCP server, các thông tin

DNS… Gõ lệnh sau:

[Admin@Mikrotik] ip hotspot setup (sau ghi gõ lệnh này sẽ xuất hiện các hàng yêu

cầu nhập thông tin nhƣ sau)

Hotspot interface: ether1

Local address of network: 192.168.0.1/24

Masquerade network: yes

Address pool of network: 192.168.0.2-192.168.0.254 (có thể chỉnh lại theo ý muốn,

đây cũng là dãy địa chỉ ip mà dịch vụ dhcp sẽ cấp cho các máy con khi kết nối).

Select certificate: none (chú ý: mặc định xuất hiện dòng import-other-certificate,

chúng ta xóa dòng đó và nhập vào none).

Ip address of smtp server: 0.0.0.0 (nếu trong mạng có máy chủ smtp thì gõ địa chỉ ip

vào, còn không thì để mặc định 0.0.0.0).



Dns server: 172.32.0.4, 172.32.0.5 (ở đây sẽ nhập địa chỉ máy chủ dns server, nếu

trong mạng có máy chủ này thì nhập vào ip máy chủ đó, còn không nhập vào ip

primary và secondary dns server của ISP cách nhau bởi dấu phẩy).

Dns name: điền vào tên của máy Hotspot này đƣợc khai báo trên Dns server của

mạng, nếu không có thì để trống chứ không khai tùy ý.

Name of local hotspot user: Admin (tạo một account cho hệ thống để test đăng nhập

hotspot).

Password for the user: mật khẩu của account này.

4.4. Cấu hình NAT

[Admin@Mikrotik] ip firewall nat add chain=srcnat action=masquerade out-

interface=ether2

Nhƣ vậy cơ bản cấu hình song hệ thống Hotspot với Mikrotik. úc này dùng một

máy con đăng nhập web sẽ thấy màn hình đăng nhập của Mikrotik xuất hiện, nhập vào

account tạo sẵn ở bƣớc cấu hình hotspot trên là có thể truy xuất web…

Việc cấu hình các thành phần khác nhƣ tạo user, tinh chỉnh hay thay đổi các

thống số dùng giao diện gui qua Winbox sẽ tiện hơn nên sẽ đƣợc giới thiệu ở phần sau.

* Chú ý: Nếu trong cấu hình bị lỗi thì có thể dùng lệnh >System/reset để xóa cấu

hình rồi cài đặt lại.

4.5. Một số lệnh trên má Hotspot chạ Mikrotik

Khi đăng nhập vào máy Hospot, tại dấu nhắc lệnh [Admin@Mikrotik] chỉ cần gõ

dấu ? (enter) chúng ta sẽ thấy hiển thị các đầu mục vào nhƣ hình dƣới



H nh 4-1: Các đầu mục cơ bản

Các đầu mục vào cũng gần giống với giao diện của Winbox. Muốn vào phần IP chúng

ta chỉ cần gõ IP (enter), sau đó gõ ? (enter) sẽ thấy các mục con xuất hiện.



H nh 4-2: Các đầu mục con

Muốn cấu hình thành phần nào chúng ta cứ gõ lệnh theo đƣờng dẫn hoặc vào từng

mục rồi gõ tiếp. Ví dụ muốn cấu hình IP thì gõ IP address...;

Muốn xem thông tin địa chỉ IP của các Nic thì Ip address print;

Muốn cấu hình Route thì: IP route...;

Muốn cấu hình hotspot thì: Ip hotspot setup...;

Muốn cấu hình firewall, nat thì Ip firewall...

Muốn tắt máy thì System shutdown;

Khởi động lại máy: System reboot;

Muốn xóa tất cả các thông tin cấu hình đã cài đặt: System reset...

Cũng giống nhƣ lệnh Dos, nếu từ đƣờng dẫn phụ muốn gõ lệnh đến đƣờng dẫn khác

thì chúng ta dùng dấu / trƣớc lệnh đó; Muốn về đƣờng dẫn gốc thì / (enter), muốn dời

lui đƣờng dẫn một cấp gõ ..(enter)



Muốn xem thông tin về các Nic đang có trong máy thì từ đƣờng dẫn gốc gõ Interface

print hay di chuyển vào mục Interface rồi chỉ gõ Print (enter)

Tại các mục vào muốn xem thông tin thành phần nào chỉ cần gõ Print (enter).

Muốn backup thông tin một thành phần nào đó thì gõ: Export file=(tên file) (enter).

Ví dụ tại đầu mục vào IP hotspot> muốn backup thông tin phần user thành file user

(mặc định phần mở rộng là .rsc) chỉ cần gõ: IP HOTSPOT>user export file =user

(file user.rsc sẽ đƣợc tạo ra, muốn lƣu lại file này thì từ máy khác kết nối ftp vào

Hotspot trên inerface Wan sẽ thấy tên file này xuất hiện)

Muốn backup thông tin các user trong phần IP-binding gõ lệnh: IP HOTSPOT>ip-

binding export file=ip_binding (file ip_binding.rsv sẽ đƣợc tạo ra)...

Sau này muốn import lại file nào thì dùng ftp để copy file đó vào máy Hotspot rồi từ

dấu nhắc lệnh gốc gõ lệnh:

[Admin@Mikrotik]> import filename.rsc

Muốn import file user.rsc thì gõ:

[Admin@Mikrotik]> import user.rsc



CHƢƠNG 5: CẤU HÌNH MIKROTIK THÔNG

QUA WINBOX

Sau khi cài đặt xong đĩa cài Mikrotik, tiến hành cài đặt địa chỉ IP cho các Nic

nhƣ các mục 1.1, 1.2, 1.3 của phần I chúng ta dùng máy tính kết nối với máy chủ

Hotspot qua Nic Wan rồi dùng Winbox để đăng nhập và cấu hình các thành phần tiếp

theo.

H nh 5-1: Giao diện đăng nhập của winbox

5.1. Cấu hình DHCP và DNS server

5.1.1. Cấu ìn t ông tin DNS

Từ menu chính chọn IP>DNS, sau đó click Settings rồi điền thông tin nhƣ hình



H nh 5-2: Giao diện cấu hình DNS

Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của

máy này vào, còn không thì điền IP Dns server của ISP.

5.1.2. Cấu ìn t ông tin DHCP

Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo

nhƣ hình dƣới.

H nh 5-3: Cấu hình DHCP Server - 1



Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định


Tiếp theo click Next


Click Next


Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai

báo cho phù hợp với hệ thống mạng có sẵn.




Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các

máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó

xuất hiện sẵn thông tin, chúng ta không cần khai báo.

Tiếp theo click Next để hoàn tất.


Từ menu chính chọn IP>Hotspot

Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc

click Next vì mọi cái đã đƣợc chọn tự động

H nh 5-8: Cấu hình hotspot - 1











Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:

hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng

có dns server, còn không thì để trống chứ không đƣợc khai tùy ý.


Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài

xong phần này.

Sau khi hoàn tất, click vào Hotspot mới tạo chúng ta có các thông tin sau:



H nh 5-16: Thông tin hotspot mới tạo

Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc

nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo

các chế độ mà chúng ta đặt ra.

* Cấu hình Profile cho Hotspot

Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile

Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở

bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể

xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.



H nh 5-17: Cấu hình profile cho hotspot - 1

HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự

tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây

Rate Limit: băng thông giới hạn cho mỗi client truy cập internet

Để cấu hình thêm các thông số khác chúng ta chọn tab Login




*Phần Login By:

Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn

là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login

lại thì chúng ta bỏ chọn phần Cookie.


Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ

hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp

cho các máy con; Phần Out.Interface=ether2 (Nic kết nối WAN) .



H nh 5-19: Cấu hình NAT - 1

Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau

đó Apply và OK.




Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng

máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng

account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.



H nh 5-21: Giao diện đăng nhập hotspot

5.4. Cấu hình iới hạn b ndwith

Trong ví dụ này chúng ta cấu hình để giới hạn băng thông sử dụng gồm

download và upload cho mỗi máy con

5.4.1. Cấu ìn giới ạn băng t ông download tối đa là 10kbp

Từ menu chính chọn Queues, vào tab Queue Types, Nếu thấy có queue nào thì

remove, sau đó click vào dấu + để add 1 Queue Type mới rồi cấu hình nhƣ hình dƣới.



H nh 5-22: Cấu hình giới hạn băng thông download - 1

Tiếp theo vào tab Settings rồi nhập vào Rate= 10000 (tƣơng đƣơng 10kbps),

Limit=50, Total Limit=2000 rồi click chọn vàot Dst. Address nhƣ hình dƣới.

http://wiki.mikrotik.com/wiki/Image:Bandwidth-1.JPG



H nh 5-23: Cấu hình giới hạn băng thông download - 2

5.4.2. Cấu ìn giới ạn băng t ông upload

àm tƣơng tự nhƣ phần trên, tạo một Queue tƣơng tự , điền vào thông số Rate

cho phù hợp rồi chọn Src. Address thay vì Dst. Address nhƣ trên.

http://wiki.mikrotik.com/wiki/Image:Bandwidth-2.JPG



H nh 5-24: Cấu hình giới hạn băng thông upload - 1

H nh 5-25: Cấu hình giới hạn băng thông upload - 2

Tiếp theo trong màn hình chính của Queue List, click tab Simple Queues rồi

click vào dấu + để tạo mới một một simple queue, nhập vào tên và dãy địa chỉ mạng

an nhƣ hình dƣới.



H nh 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1

Tiếp theo click vào tab Advanced, ở mục Queue type chúng ta chọn 2 queue cho

download và upload đã tạo ở trên

http://wiki.mikrotik.com/wiki/Image:Simple-queue-1.JPG



H nh 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2

http://wiki.mikrotik.com/wiki/Image:Simple-queue-2.JPG



5.5. Quản lý n ƣời dùn internet

5.5.1. Tạo dan ác người dùng internet qua Hotspot


Sau đó click vào tab User.

Để tạo một user click vào dấu +

H nh 5-28: Giao diện tạo user

Nhập tên và mật khẩu, nếu muốn khống chế user theo địa chỉ IP hay MAC thì

nhập vào ô phía dƣới. Phần quan trọng ở đây chính là Profile sẽ đƣợc trình bày ở phần

tiếp

Để giới hạn thời gian hay dung lƣợng sử dụng internet cho user này chúng ta

click vào tab Limits và khai báo. Sau đó click OK để hoàn tất.

Tuy nhiên quan trọng nhất là ta phải cấu hình các profile cho user để có thể quản

lý từng user hay nhóm theo các cách khác nhau. Để tạo các Profile cho mỗi hay nhiều

user chúng ta click vào tab Profile trong phần User của giao diện Hotspot.

Chúng ta sẽ thấy xuất hiện một profile có tên Default, profile này đƣợc tạo khi

chúng ta cấu hình phần hotspot. Để tạo mới một profile chúng ta click vào dấu +. Để

hiều các cấu hình profile chúng ta click vào profile default để xem.



H nh 5-29: Hospot User Profile Default

Ở đây chúng ta để ý các tham số sau:

- Session Timeout: Thời gian user đƣợc phép sử dụng, sau khi hết thời gian này sẽ tự

động logout.

- Idle Timeout: thời gian nếu user không sử dụng mạng sẽ tự động logout.

- Keepalive Timeout: thời gian dùng cho user(client) đăng nhập mạng sau khi kết nối,

nếu sau thời gian này user chƣa đăng nhập thì địa chỉ IP sẽ đƣợc cấp cho user khác.

- Share Users: cho phép bao nhiêu client dùng chung một account.

- Incoming Filter/Outgoing Filter: chọn các Chain tƣờng lửa cho các gói tin đi

vào/ra, các chain này thông dụng trên các firewall trên nền tảng Linux.

- Phần Transparent Proxy nên tắt (không chọn dấu check).

* Để định hƣớng ngƣời sử dụng sau khi đăng nhập xong sẽ mở một trang web

nào đó (quảng cáo...) chúng ta click vào tab Advertise rồi nhập địa chỉ website vào.



5.5.2. C ứng t ực t eo đ a c ỉ IP ay Mac addre

Nếu chúng ta có những máy tính cố định và không muốn mỗi lần đi internet phải

đăng nhập thì chỉ việc cấu hình chứng thực các máy này theo địa chỉ IP hay địa chỉ

Mac của card mạng (trƣờng hợp này rất cần thiết đối với các cơ quan có nhu cầu sử

dụng internet). Nhƣ vậy các máy có địa chỉ đã đƣợc add vào mỗi lần truy xuất internet

sẽ đi thẳng nhƣ bình thƣờng không qua chứng thực. Tuy nhiên cũng có thể làm điều

ngƣợc lại cho phép cấm máy nào không đƣợc đi internet thông qua IP và Mac address

đã nhận biết.

Trong phần giao diện chính Hotspot chúng ta click vào tab IP Bindings

H nh 5-30: Lọc địa chỉ

Sau đó nhập địa chỉ Mac vào hay địa chỉ IP

Quan trọng nhất ở phần Type, nếu chúng ta để mặc định là regular thì không có

tác dụng; Nếu chọn bybassed thì ngƣời dùng đƣợc add địa chỉ sẽ truy cập internet mà

không phải đăng nhập, nếu chọn blocked thì lại không đƣợc đi internet.

5.5.3. C o p ép truy cập một ố trang web k ông cần đăng n ập

Mục đích cho quảng cáo website...

Từ giao diện chính Hotspot chọn tab Walled Garden



H nh 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập

Nhập địa chỉ trang web vào Dst.Host, hoặc nhập IP trang web vào Dst. Address.

Nếu muốn cho phép chỉ truy cập một trang nào đó trên địa chỉ website đã cho phép thì

gõ thêm đƣờng dẫn trang đó vào Path.

5.6. Tạo ccount quản trị hệ thốn

Mặc định khi cài đặt hệ thống tạo sẵn account admin với mật khẩu trống, chúng

ta có thể tạo thêm một số account với các quyền khác nhau để quản trị hệ thống

hotspot.

Từ menu chính bên trái chọn User.



H nh 5-32: Danh sách người dùng

Để tạo mới một user click vào dấu +

H nh 5-33: Tạo mới người dùng torng danh sách

Nhập tên vào phần Name, gán quyền ở Group, nếu muốn cho phép user này chỉ

đƣợc đăng nhập từ máy có địa chỉ ip nào đó thì nhập vào Allowed Address, muốn

khai báo mật khẩu click Password...

Các ngƣời dùng có thể quản trị hệ thống qua winbox hoặc qua web với địa chỉ IP

của ether1 hoặc ether2.



5.7. Quản trị, iám sát hệ thốn

Để quản trị hệ thống hotspot chúng ta có thể thông qua web, trong trƣờng hợp

này là http://192.168.0.1 hay http://192.168.1.20

H nh 5-34: Quản trị giám sát hệ thống

Chúng ta xem hoặc thay đổi đƣợc nhiều thông tin nhƣ card mạng, địa chỉ IP,

tƣờng lửa, các routes, thông tin về máy đang chạy Mikrotik.

Để xem thông tin về băng thông ngƣời dùng, rất quan trọng để xem ai đang

download nhiều hoặc là máy nào đang phát tán virus, ddos... trong winbox, từ menu

chính chúng ta chọn Tools>Torch rồi click vào Start...



CHƢƠNG 6: THỰC NGHIỆM

6.1. Mô hình thực n hiệm

H nh 6-1: Mô hình thực nghiệm

H nh 6-2: Giao diện đăng nhập của winbox



6.2. Cấu hình DHCP và DNS server

6.2.1. Cấu ìn t ông tin DNS

Từ menu chính chọn IP>DNS, sau đó click Settings rồi điền thông tin nhƣ hình

H nh 6-3: Giao diện cấu hình DNS

Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của

máy này vào, còn không thì điền IP Dns server của ISP.

6.2.2. Cấu ìn t ông tin DHCP

Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo

nhƣ hình dƣới.




Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định


Tiếp theo click Next




Click Next


Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai

báo cho phù hợp với hệ thống mạng có sẵn.


Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các

máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó

xuất hiện sẵn thông tin, chúng ta không cần khai báo.

Tiếp theo click Next để hoàn tất.



Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc

click Next vì mọi cái đã đƣợc chọn tự động














Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:

hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng

có dns server, còn không thì để trống chứ không đƣợc khai tùy ý.


Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài

xong phần này.

Sau khi hoàn tất, click vào Hotspot mới tạo chúng ta có các thông tin sau:



H nh 6-17: Thông tin hotspot mới tạo

Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc

nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo

các chế độ mà chúng ta đặt ra.

* Cấu hình Profile cho Hotspot

Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile

Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở

bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể

xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.




HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự

tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây

Rate Limit: băng thông giới hạn cho mỗi client truy cập internet

Để cấu hình thêm các thông số khác chúng ta chọn tab Login




*Phần Login By:

Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn

là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login

lại thì chúng ta bỏ chọn phần Cookie.


Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ

hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp

cho các máy con; Phần Out.Interface=ether2 (Nic kết nối WAN) .




Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau

đó Apply và OK.




Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng

máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng

account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.



H nh 6-22: Giao diện đăng nhập hotspot

6.5. Giao diện đăn nhập Mikrotik router m n er

H nh 6-23: Giao diện đăng nhập Mikrotik User Manager

Chƣơng trình quản lý ngƣời dùng là một ứng dụng máy chủ RADIUS. Nó là một gói

phần mềm riêng biệt cho RouterOS.

6.6. Cài đặt User Manager



- Kiểm tra xem gói user-manager đã đƣợc cài đặt chƣa. Chọn System –

Packages.

H nh 6-24: Các gói cài đặt trong Mikrotik

- Tải gói "user-manager" trên trang http://www.mikrotik.com/download.

- Mở winbox, sau đó chọn file user-manager.npk vừa tải kéo thả vào winbox.

File sẽ tự động cài đặt.

H nh 6-25: Cách cài đặt các gói cài đặt

- Khởi động lại.

- Kiểm tra lại xem gói user-manager đã đƣợc cài đặt chƣa.

http://www.mikrotik.com/download

http://2.bp.blogspot.com/-TpXiyaoxwjg/UZi9WpGpQDI/AAAAAAAAAdU/g5H3427n4AM/s1600/Install+user-manager.png

http://2.bp.blogspot.com/-TpXiyaoxwjg/UZi9WpGpQDI/AAAAAAAAAdU/g5H3427n4AM/s1600/Install+user-manager.png



6.7. Cấu hình ở winbox

Sau khi hotspot đã hoạt động tốt, chúng ta tiến hành cấu hình user-manager. Mở

winbox, chọn Radius – sau đó chọn dấu cộng (+) để thêm. Cửa sổ mới xuất hiện. Điền

địa chỉ IP của Radius User Manager, mã bí mật. Ví dụ, testing123.

Chú ý: Địa chỉ IP của Radius server phải là IP WAN của router mikrotik hoặc

localhost (127.0.0.1).

H nh 6-26: Cấu hình Radius ở winbox - 1

Chọn OK. Sau đó chọn Incoming. Chọn Accept, điền port is 1700. Sau đó OK.

http://2.bp.blogspot.com/-l-EJTXCW3WA/UZi615P6hRI/AAAAAAAAAck/mszhrtovMxc/s1600/Radius.png




Sau đó mở cửa sổ Hotspot (IP – Hotspot), chọn thẻ Server profiles. Chọn

hsprof1. Sau đó cửa số mới xuất hiện. Chọn thẻ RADIUS. Đánh dấu vào Use radius,

và Accounting. Sau đó chọn OK.


6.8. Cấu hình Mikrotik User Manager

Kết thúc cấu hình ở winbox, mở trình duyệt, và đi đến trang web http://<ip-

address-mikrotik>/userman. Đăng nhập với tên là admin và mật khẩu là để trống.

6.8.1. Cấu ìn router

Chọn routers – add – New. Mô tả của router mới hiện lên, điền name, IP

address, secret, và coa port.

http://4.bp.blogspot.com/-3orzuxSl-Hs/UZjB2OHTpCI/AAAAAAAAAdk/Tvkp0dBhsrQ/s1600/Radius+Incoming.png

http://3.bp.blogspot.com/-quFezdeiggA/UYasDyaoQBI/AAAAAAAAAao/x1_q5grWT-8/s1600/hotspot+server+profiles.png

http://4.bp.blogspot.com/-3orzuxSl-Hs/UZjB2OHTpCI/AAAAAAAAAdk/Tvkp0dBhsrQ/s1600/Radius+Incoming.png

http://3.bp.blogspot.com/-quFezdeiggA/UYasDyaoQBI/AAAAAAAAAao/x1_q5grWT-8/s1600/hotspot+server+profiles.png



H nh 6-29: Cấu hình Mikrotik User Manager

6.8.2. Cấu ìn Cu tomer

Để bảo mật, thay đổi mật khẩu admin khi đăng nhập vào Mikrotik User Manager.

Chọn Customer - admin. Cửa sổ thông tin admin hiện lên, điền password, và một số

thông tin khác vào.

http://4.bp.blogspot.com/-Lrvdd3R9Hz0/UZi65uJPkWI/AAAAAAAAAc8/42J17jVCx-s/s1600/Userman+Routers.png



H nh 6-30: Cấu hình Customer

Tạo ngƣời dùng ở user manager, và sau đó từ trình duyệt của máy khách đăng

nhập bằng tài khoản ngƣời dùng đã tạo. Nếu thành công có nghĩa là chúng ta đã cấu

hình Mikrotik User Manager thành công nhƣ một Radius Server.

6.8.3. Tạo Voucher trong Mikrotik User Manager

Để chắc chắn rằng bạn đã tạo thành công Mikrotik User Manager nhƣ Radius

Server. Đây là 2 loại vouchers thƣờng đƣợc dùng:

1. Một là, vouchers giới hạn thời gian. Time Voucher 2 hours, hết hạn 10 ngày từ

ngày bắt đầu sử dụng.

2. Hai là, vouchers sử dụng giới hạn hạn ngạch. Quota Voucher 1 G , hết hạn 30

ngày từ ngày bắt đầu sử dụng.

Mở trình duyệt và gõ: http://<ip-address-mikrotik>/userman. Điền tên đăng nhập

và password.

6.8.3.1. Tạo cấu h nh giới hạn

Chọn Profiles – thẻ Limitation. Chọn add – New. Trong cửa sổ Limitation

detail, điền tên là: "1 Giga Bytes", giới hạn tải. Điền một số thông số khác, sau đó

chọn Add.

http://1.bp.blogspot.com/-LfgT-y5BNlY/UZi61EpYzeI/AAAAAAAAAcc/og6pMLWdz3Q/s1600/Userman+Customers.png



H nh 6-31: Cấu hình giới hạn cho các voucher - 1

Sau đó, ở thẻ Limitation, chọn add – New, điền một tên khác: "2 Hours" và ở

phần Limits – Uptime điền : 120m. Sau đó chọn Add.


6.8.3.2. Tạo cấu h nh Voucher

Trong thẻ Profiles, chọn dấu cộng ( + ) để tạo profiles. Điền tên "Time 2

Hours", và chọn Create.

http://2.bp.blogspot.com/-93BgVJs-vFY/UZpe3amn2uI/AAAAAAAAAe8/FjT5ZGaPvUk/s1600/Userman+Profiles+Limitations+details.png

http://2.bp.blogspot.com/-uQZjKJA5GGw/UZpeUOaB5FI/AAAAAAAAAeE/u5NfTCZ25eI/s1600/Limitation+details+2+hours.png

http://2.bp.blogspot.com/-93BgVJs-vFY/UZpe3amn2uI/AAAAAAAAAe8/FjT5ZGaPvUk/s1600/Userman+Profiles+Limitations+details.png

http://2.bp.blogspot.com/-uQZjKJA5GGw/UZpeUOaB5FI/AAAAAAAAAeE/u5NfTCZ25eI/s1600/Limitation+details+2+hours.png




Tiếp tục điền vào các thông tin trong của sổ. Sau đó chọn Add new limitation.


Cửa sổ Profile part xuất hiện. Phần Limits, Chọn “ 2 hours”, sau đó chọn Add.

Trở lại thẻ Profiles, chọn Save profile.

http://3.bp.blogspot.com/-6ieocgqkm6g/UZpeUSw5bkI/AAAAAAAAAeM/L_zWTNycyU4/s1600/Mikroti+User+Manager+profiles.png

http://2.bp.blogspot.com/-z3ofHXezGPk/UZrDIRefjUI/AAAAAAAAAfM/trCV6NAaUSE/s1600/add+new+limitation.png

http://3.bp.blogspot.com/-6ieocgqkm6g/UZpeUSw5bkI/AAAAAAAAAeM/L_zWTNycyU4/s1600/Mikroti+User+Manager+profiles.png

http://2.bp.blogspot.com/-z3ofHXezGPk/UZrDIRefjUI/AAAAAAAAAfM/trCV6NAaUSE/s1600/add+new+limitation.png




Đã tạo xong một profile. Tiếp theo ta tạo 1 cái khác tƣơng tự các bƣớc trên. Chọn

dấu công ( + ) để tạo profile mới. Điền tên : Quota 1 GB, chọn Create. Sau đó điền

các thông tin và chọn Add new limitation.


Phần Limits ta chọn 1 Giga Bytes, sau đó chọn Add. Và lƣu lại profile.

http://3.bp.blogspot.com/-s37a_GMavdo/UZpeU3lQyBI/AAAAAAAAAeY/Be6XsHvJOmY/s1600/Profile+part.png

http://2.bp.blogspot.com/-vGDXT7y0cbg/UZr29PQ-vKI/AAAAAAAAAgI/KxJ5n4BxY1U/s1600/Profiles+1+GB.png

http://3.bp.blogspot.com/-s37a_GMavdo/UZpeU3lQyBI/AAAAAAAAAeY/Be6XsHvJOmY/s1600/Profile+part.png

http://2.bp.blogspot.com/-vGDXT7y0cbg/UZr29PQ-vKI/AAAAAAAAAgI/KxJ5n4BxY1U/s1600/Profiles+1+GB.png




6.8.3.3. Tạo người dùng

Chọn Users – Add – Batch. Ở của sổ User details, điền số lƣợng ngƣời dùng

muốn thêm, độ dài tên ngƣời dùng,.... Trong phần Assign profile, chọn Assign profile

: Time 2 Hours. Sau đó chọn Add. Tiếp tục làm các bƣớc để tạo các tài khoản ngƣời

dùng khác với Asign profile là: Quota 1 GB.


http://3.bp.blogspot.com/-bOrI_uaoD3w/UZr29GvEjFI/AAAAAAAAAgM/ZqkX_Na6dtQ/s1600/Profile+part+1+GB.png

http://4.bp.blogspot.com/-93zFCsSuyu4/UZtfz-8bOgI/AAAAAAAAAg4/oSmXeuLR5PI/s1600/create+users+time+voucher.png

http://3.bp.blogspot.com/-bOrI_uaoD3w/UZr29GvEjFI/AAAAAAAAAgM/ZqkX_Na6dtQ/s1600/Profile+part+1+GB.png

http://4.bp.blogspot.com/-93zFCsSuyu4/UZtfz-8bOgI/AAAAAAAAAg4/oSmXeuLR5PI/s1600/create+users+time+voucher.png



H nh 6-39: Hiển thị thông tin các Voucher

Nếu bạn không thấy thẻ password, bạn phải cài đặt trong phần setting. Chọn

Users, sau đó chọn password ở cột hidden, di chuyển qua cột visible. Save lại.

H nh 6-40: Hiển thị thêm thuộc tính

http://3.bp.blogspot.com/-hkVpQNbzLJg/UZtiN42QmII/AAAAAAAAAhQ/rTaYjnncmIg/s1600/list+users.png

http://2.bp.blogspot.com/--wK5co7mLgI/UZrziU6TsOI/AAAAAAAAAfc/hvWiTSeGldA/s1600/Settings+User+Manager.png

http://3.bp.blogspot.com/-hkVpQNbzLJg/UZtiN42QmII/AAAAAAAAAhQ/rTaYjnncmIg/s1600/list+users.png

http://2.bp.blogspot.com/--wK5co7mLgI/UZrziU6TsOI/AAAAAAAAAfc/hvWiTSeGldA/s1600/Settings+User+Manager.png



KẾT LUẬN

Khi xây dựng tiểu luận “ TÌM HIỂU VỀ MIKROTIK ROUTER VÀ XÂY DỰNG DEMO

HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN WIFI CÓ

CHỨNG THỰC ” đã cơ bản đạt đƣợc những mục tiêu:

- Cung cấp những kiến thức cơ bản và hoàn chỉnh về W AN cũng nhƣ cung cấp

cho ngƣời đọc những thông tin tổng quan về sự phát triển của WLAN và những lợi ích

mà WLAN mang lại.

- Tìm hiểu và đƣa ra những thông tin quan trọng giúp ngƣời đọc nắm rõ nguyên

tắc hoạt động cũng nhƣ cấu trúc của giao thức chứng thực RADIUS.

- Xây dựng demo hệ thống hotspot gateway cho dịch vụ Iintenet-WLAN sử dụng

giao thức xác thực RADIUS trên Mikrotik router.

Tuy nhiên do thời gian có hạn nên bài tiểu luận cũng còn một số hạn chế như:

- Đề tài còn chƣa đi sâu vào tìm hiểu những chức năng có thể làm đƣợc trên

Mikrotik router.

Vấn đề chứng thực ngƣời dùng cho hệ thống WLAN nói riêng và hệ thống mạng nói

chung hiện đang là vấn đề cấp thiết và đáng đƣợc quan tâm. Từ những kết luận của bài

tiểu luận đã làm đƣợc có thể phát triển lên mức độ cao hơn và tìm hiểu sâu hơn về các

vấn đề nhƣ:

- Tìm hiểu sâu hơn về những biện pháp chứng thực ngƣời dùng trên Mikrotik

router.

- Đi sâu tìm hiểu những chức năng có trên hệ thống Mikrotik router.

- Triển khai hệ thống hotspot gateway chứng thực radius trên hệ thống mạng cụ

thể.



TÀI LIỆU THAM KHẢO

1. Cấu hình Mikrotik từ A-Z

http://www.mikrotik.com/testdocs/ros/2.9/

2. Cấu hình Loadbalancing 2 line adsl với Mikrotik

http://wiki.mikrotik.com/wiki/Routing

http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

3. Cấu hình chặn web đen với Mikrotik mô hình proxy

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_

Using_Proxy

4. Cấu hình VPN server với giao thứcPPTP

http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php

5. Cấu hình giới hạn băng thông

http://wiki.mikrotik.com/wiki/PCQ_Examples

6. Cấu hình webproxy

http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy.php

http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy_content.php#7.53.7

7.Cấu hình share internet cho Lan với kết nối adsl theo Pppoe (bridge)

http://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_Li

ne

8. Cấu hình Mikrotik hotspot với Free Radius

http://infodotnet.blogspot.com/search/label/Mikrotik

9. Cấu hình Mikrotik làm Firewall cho mạng lan có kết nối internet

http://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_Li

ne

10. Diễn đàn trao đổi, thảo luận về Mikrotik

www.forum.mikrotik.com

11. RFC 2865

http://tools.ietf.org/search/rfc2865

http://www.mikrotik.com/testdocs/ros/2.9/

http://wiki.mikrotik.com/wiki/Routing

http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php

http://wiki.mikrotik.com/wiki/PCQ_Examples

http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy.php

http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy_content.php#7.53.7

http://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_Line


http://infodotnet.blogspot.com/search/label/Mikrotik



http://www.forum.mikrotik.com/

http://tools.ietf.org/search/rfc2865



12. IEEE 802.11x

http://en.wikipedia.org/wiki/IEEE_802.11

13. IEEE 802.11ac

http://en.wikipedia.org/wiki/IEEE_802.11ac

http://en.wikipedia.org/wiki/IEEE_802.11

http://en.wikipedia.org/wiki/IEEE_802.11ac

TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

Education