TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

Tìm hiểu Mikrotik Router

TRƢỜNG ĐH SPKT TPCHM

GVHD: ThS. Nguyễn Hữu Trung

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Khoa Công Nghệ Thông Tin

Độc lập – Tự do – Hạnh phúc

____________

______________

NHIỆM VỤ THỰC HIỆN TIỂU LUẬN CHUYÊN NGÀNH

Họ tên:

Lê Trung Hiếu

10110038

Trần Hoàng Anh

10110004

Chuyên ngành: Mạng máy tính
Tên đề tài:
TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG
HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI
CÓ CHỨNG THỰC
Nội dung thực hiện:
Lý thuyết:
- Tìm hiểu khái quát về WLAN.
- Tìm hiểu về giao thức Radius.
- Tìm hiểu về Mikrotik Router.
Thực hành:
- Xây dựng demo hệ thống hotspot gateway cho dịch vụ internet Lan-Wifi có
chức thực.
TPHCM, Ngày … Tháng …. Năm….
Giảng viên hƣớng dẫn

(ký và ghi rõ họ tên)

Tiểu luận chuyên ngành

1



NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
Giáo viên hƣớng dẫn



2



NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
............................................................................................................................................
Giáo viên phản biện



3



LỜI CẢM ƠN
Lời đầu tiên, chúng em xin chân thành cảm ơn khoa Công Nghệ Thông Tin
trƣờng Đại Học Sƣ Phạm Kỹ Thuật Tp.HCM đã tạo điều kiện cho chúng em thực hiện
đề tài này.

Chúng em xin chân thành cảm ơn Thầy Nguyễn Hữu Trung đã tận tình hƣớng
dẫn, chỉ bảo chúng em trong suốt quá trình thực hiện đề tài.

Chúng em xin chân thành cám ơn quý Thầy Cô trong Khoa đã tận tình
giảng dạy, trang bị cho chúng em những kiến thức quý báu trong những năm học vừa
qua.

Trong phạm vi khả năng cho phép, chúng em đã rất cố gắng để hoàn thành đề tài
một cách tốt nhất. Song, chắc chắn sẽ không tránh khỏi những thiếu sót. Chúng em
kính mong nhận đƣợc sự cảm thông và những ý kiến đóng góp của quý thầy cô và các
bạn.

Tp.HCM, tháng 12 năm 2013,

Nhóm sinh viên thực hiện đề tài


4



MỤC LỤC
NHẬN XÉT CỦA GIÁO VIÊN HƢỚNG DẪN ............................................................2
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ...............................................................3
LỜI CẢM ƠN ..................................................................................................................4
MỤC LỤC .......................................................................................................................5
DANH MỤC HÌNH ẢNH ...............................................................................................8
DANH MỤC BẢNG BIỂU ...........................................................................................11
CHƢƠNG 1:

GIỚI THIỆU WIRELESS LAN ........................................................12

1.1. Tổng quan về wireless LAN ............................................................................12
1.1.1.

ịch sử ra đời .........................................................................................12

1.1.2.

Nguyên tắc hoạt động của mạng Wireless LAN ...................................13

1.2. Ƣu-nhƣợc điểm của mạng Wireless LAN .......................................................13
1.2.1.

Ƣu điểm .................................................................................................13

1.2.2.

Nhƣợc điểm ...........................................................................................14

1.3. Các chuẩn phổ biến của WLAN ......................................................................14
1.3.1.

Chuẩn 802.11b .......................................................................................15

1.3.2.

Chuẩn 802.11a .......................................................................................15

1.3.3.

Chuẩn 802.11g .......................................................................................15

1.3.4.

Chuẩn 802.11n .......................................................................................15

1.3.5.

Chuẩn 802.11ac .....................................................................................16

CHƢƠNG 2:

TÌM HIỂU VỀ GIAO THỨC RADIUS .............................................18

2.1. Giới thiệu về giao thức RADIUS .....................................................................18
2.2. Hoạt động .........................................................................................................18
2.3. Giao thức truyền tin .........................................................................................21
2.4. Cơ chế bảo mật xác thực ..................................................................................21
2.5. Cơ chế ủy quyền ..............................................................................................21
2.6. Cấu trúc gói tin RADIUS .................................................................................22
2.6.1.

Trƣờng code ...........................................................................................23


5



2.6.2.

Trƣờng Identifier ...................................................................................23

2.6.3.

Trƣờng length ........................................................................................23

2.6.4.

Trƣờng Authenticator ............................................................................24

2.6.5.

Trƣờng Attribute ....................................................................................24

2.7. Các loại gói tin .................................................................................................26
2.7.1.

Access-Request ......................................................................................26

2.7.2.

Access-Accept .......................................................................................27

2.7.3.

Access-Reject.........................................................................................27

2.7.4.

Access-Chanllenge.................................................................................28

CHƢƠNG 3:

GIỚI THIỆU VỀ MIKROTIK ROUTER ..........................................30

3.1. Giới thiệu .........................................................................................................30
3.2. Những bƣớc cơ bản ..........................................................................................30
3.2.1.

Lần đầu tiên khởi động ..........................................................................30

3.2.1.1. Tổng quan...........................................................................................30
3.2.1.2. Winbox ...............................................................................................30
3.2.1.3. WebFig ...............................................................................................32
3.2.1.4. CLI .....................................................................................................32
3.2.2.
CHƢƠNG 4:

Quá trình đăng nhập bằng giao diện điều khiển ....................................33
CẤU HÌNH MIKROTIK THÔNG QUA DÒNG LỆNH...................35

4.1. Cấu hình địa chỉ IP ...........................................................................................35
4.2. Cấu hình DHCP Server ....................................................................................35
4.3. Cấu hình Hotspot .............................................................................................36
4.4. Cấu hình NAT ..................................................................................................37
4.5. Một số lệnh trên máy Hotspot chạy Mikrotik ..................................................37
CHƢƠNG 5:

CẤU HÌNH MIKROTIK THÔNG QUA WINBOX .........................41

5.1. Cấu hình DHCP và DNS server .......................................................................41
5.1.1.

Cấu hình thông tin DNS ........................................................................41

5.1.2.

Cấu hình thông tin DHCP ......................................................................42

5.2. Cấu hình Hotspot .............................................................................................44
5.3. Cấu hình NAT ..................................................................................................49


6



5.4. Cấu hình giới hạn bandwith .............................................................................52
5.4.1.

Cấu hình giới hạn băng thông download tối đa là 10kbps ....................52

5.4.2.

Cấu hình giới hạn băng thông upload ....................................................54

5.5. Quản lý ngƣời dùng internet ............................................................................58
5.5.1.

Tạo danh sách ngƣời dùng internet qua Hotspot ...................................58

5.5.2.

Chứng thực theo địa chỉ IP hay Mac address ........................................60

5.5.3.

Cho phép truy cập một số trang web không cần đăng nhập ..................60

5.6. Tạo account quản trị hệ thống ..........................................................................61
5.7. Quản trị, giám sát hệ thống ..............................................................................63
CHƢƠNG 6:

THỰC NGHIỆM ................................................................................64

6.1. Mô hình thực nghiệm .......................................................................................64
6.2. Cấu hình DHCP và DNS server .......................................................................65
6.2.1.

Cấu hình thông tin DNS ........................................................................65

6.2.2.

Cấu hình thông tin DHCP ......................................................................65

6.3. Cấu hình Hotspot .............................................................................................67
6.4. Cấu hình NAT ..................................................................................................73
6.5. Giao diện đăng nhập Mikrotik router manager ................................................76
6.6. Cài đặt User Manager ......................................................................................76
6.7. Cấu hình ở winbox ...........................................................................................78
6.8. Cấu hình Mikrotik User Manager ....................................................................79
6.8.1.

Cấu hình routers .....................................................................................79

6.8.2.

Cấu hình Customer ................................................................................80

6.8.3.

Tạo Voucher trong Mikrotik User Manager ..........................................81

6.8.3.1. Tạo cấu hình giới hạn .........................................................................81
6.8.3.2. Tạo cấu hình Voucher ........................................................................82
6.8.3.3. Tạo ngƣời dùng ..................................................................................85
KẾT LUẬN ...................................................................................................................87
TÀI LIỆU THAM KHẢO .............................................................................................88


7



DANH MỤC HÌNH ẢNH
Hình 2-1: Radius server hoat động theo mô hình Client/server ....................................19
Hình 2-2: Sự tƣơng tác giữa host, client và radius server .............................................20
Hình 2-3: Cơ chế ủy quyền............................................................................................22
Hình 2-4: Cấu trúc gói tin Radius..................................................................................23
Hình 2-5: Trƣờng Attribute trong gói tin Radius ..........................................................24
Hình 2-6: Định dạng gói tin Access-Request ................................................................26
Hình 2-7: Định dạng gói tin Access-Request ................................................................27
Hình 2-8:Cấu trúc gói tin Access-Reject .......................................................................28
Hình 2-9:Cấu trúc gói tin Access-Chanllenge ...............................................................29
Hình 3-1: Router BOARD .............................................................................................30
Hình 3-2: Cửa sổ chính của winbox ..............................................................................31
Hình 3-3: Cửa sổ chính của webfig ...............................................................................32
Hình 3-4: Giao diện dòng lệnh ......................................................................................33
Hình 4-1: Các đầu mục cơ bản ......................................................................................38
Hình 4-2: Các đầu mục con ...........................................................................................39
Hình 5-1: Giao diện đăng nhập của winbox ..................................................................41
Hình 5-2: Giao diện cấu hình DNS ...............................................................................42
Hình 5-3: Cấu hình DHCP Server - 1 ............................................................................42
Hình 5-8: Cấu hình hotspot - 1 ......................................................................................44
Hình 5-10: Cấu hình hotspot - 3 ....................................................................................45
Hình 5-16: Thông tin hotspot mới tạo ...........................................................................47
Hình 5-17: Cấu hình profile cho hotspot - 1 .................................................................48
Hình 5-19: Cấu hình NAT - 1........................................................................................50
Hình 5-20: Cấu hình NAT - 2........................................................................................51


8



Hình 5-21: Giao diện đăng nhập hotspot .......................................................................52
Hình 5-22: Cấu hình giới hạn băng thông download - 1 ...............................................53
Hình 5-23: Cấu hình giới hạn băng thông download - 2 ...............................................54
Hình 5-24: Cấu hình giới hạn băng thông upload - 1 ....................................................55
Hình 5-25: Cấu hình giới hạn băng thông upload - 2 ....................................................55
Hình 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1 ...............................................56
Hình 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2 ...............................................57
Hình 5-28: Giao diện tạo user .......................................................................................58
Hình 5-29: Hospot User Profile Default ........................................................................59
Hình 5-30: Lọc địa chỉ ...................................................................................................60
Hình 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập ..................61
Hình 5-32: Danh sách ngƣời dùng ................................................................................62
Hình 5-33: Tạo mới ngƣời dùng torng danh sách .........................................................62
Hình 5-34: Quản trị giám sát hệ thống ..........................................................................63
Hình 6-1: Mô hình thực nghiệm ....................................................................................64
Hình 6-2: Giao diện đăng nhập của winbox ..................................................................64
Hình 6-3: Giao diện cấu hình DNS ...............................................................................65
Hình 6-17: Thông tin hotspot mới tạo ...........................................................................71
Hình 6-20: Cấu hình NAT - 1........................................................................................74
Hình 6-21: Cấu hình NAT - 2........................................................................................75
Hình 6-22: Giao diện đăng nhập hotspot .......................................................................76
Hình 6-23: Giao diện đăng nhập Mikrotik User Manager ............................................76
Hình 6-24: Các gói cài đặt trong Mikrotik ....................................................................77
Hình 6-25: Cách cài đặt các gói cài đặt .........................................................................77

9



Hình 6-26: Cấu hình Radius ở winbox - 1 ....................................................................78
Hình 6-29: Cấu hình Mikrotik User Manager ...............................................................80
Hình 6-30: Cấu hình Customer......................................................................................81
Hình 6-31: Cấu hình giới hạn cho các voucher - 1........................................................82
Hình 6-39: Hiển thị thông tin các Voucher ...................................................................86
Hình 6-40: Hiển thị thêm thuộc tính..............................................................................86


10



DANH MỤC BẢNG BIỂU

ảng 2-1: Các giá trị phổ biến của trƣờng code trong gói tin Radius ...........................23
ảng 2-2: Định dạng của trƣờng Value.........................................................................24
ảng 2-3: Các thuộc tính của trƣờng Attribute .............................................................25


11



CHƢƠNG 1: GIỚI THIỆU WIRELESS LAN

1.1. Tổng quan về wireless LAN
Wireless LAN (WLAN) là một loại mạng máy tính mà việc kết nối giữa các thành
phần trong mạng không sử dụng các loại cáp nhƣ một mạng thông thƣờng, môi trƣờng
truyền thông của các thành phần trong mạng là không khí và các thành phần trong
mạng sử dụng sóng điện từ để truyền thông với nhau.
1.1.1.

c

ử ra đời

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản
xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz. Những giải pháp
này cung cấp tốc độ truyền dữ liệu 1Mbps -thấp hơn nhiều so với tốc độ 10Mbps của
hầu hết các mạng sử dụng cáp hiện thời.
Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng
băng tần 2.4Ghz. Mặc dù những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn
nhƣng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không đƣợc công bố
rộng rãi. Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần
số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không
dây chung.
Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn
sự ra đời của chuẩn 802.11 và đƣợc biết với tên gọi WIFI (Wireless Fidelity) cho các
mạng WLAN. Chuẩn 802.11 hỗ trợ ba phƣơng pháp truyền tín hiệu. Trong đó có
phƣơng pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz.
Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn
802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu). Những thiết
bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây
vƣợt trội. Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ
truyền dữ liệu có thể lên tới 11Mbps.


12



Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g, có thể truyền
nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu
lên đến 54Mbps. Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tƣơng
thích ngƣợc với các thiết bị chuẩn 802.11b.
Năm 2009, Chuẩn Wi-Fi thế hệ thứ tƣ ra đời với tên gọi 802.11n, tốc độ tối đa
600Mb/s (trên thị trƣờng phổ biến có các thiết bị 150Mb/s, 300Mb/s và 450Mb/s).
Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router hỗ
trợ thì hai băng tần này có thể cùng đƣợc phát sóng song song.
Năm 2013 đánh dấu sự xuất hiện của Chuẩn Wi-Fi thế hệ thứ năm 802.11ac. Về
mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi 802.11n ở
cùng một loại thiết bị và môi trƣờng truyền dẫn.
1.1.2. Nguyên tắc hoạt động của mạng Wireless LAN
Mạng WLAN sử dụng sóng điện từ (vô tuyến và tia hồng ngoại) để truyền thông
tin từ điểm này sang điểm khác. Để nhận đƣợc dữ liệu máy thu vô tuyến bắt sóng một
tần số vô tuyến xác định và bỏ qua các tín hiệu vô tuyến trên các tần số khác.
Trong một cấu hình mạng WLAN tiêu biểu, một thiết bị thu phát đƣợc gọi là một
điểm truy cập (AP- Access Point) nối tới mạng nối dây từ một vị trí cố định sử dụng
cáp Ethernet chuẩn. AP nhận, lƣu vào bộ nhớ đệm và truyền dữ liệu giữa các mạng
W AN và cơ sở hạ tầng mạng nối dây. Một điểm AP đơn phục vụ cho một nhóm nhỏ
ngƣời dùng trong phạm vi nhỏ.
Ngƣời dùng đầu cuối truy cập mạng WLAN thông qua card giao tiếp mạng
Wireless AN. Điểm truy cập (hoặc anten được gắn tới nó) thông thƣờng đƣợc gắn
trên cao nhƣng thực tế đƣợc gắn bất cứ nơi đâu miễn là đáp ứng đƣợc nhu cầu thu
phát.
1.2. Ƣu-nhƣợc điểm của mạng Wireless LAN
1.2.1. Ưu điểm
- Sự tiện lợi: Mạng không dây cũng nhƣ hệ thống mạng thông thƣờng. Nó cho
phép ngƣời dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực đƣợc triển
khai (nhà hay văn phòng). Với sự gia tăng số ngƣời sử dụng máy tính xách tay, đó là
một điều rất thuận lợi.

13



- Khả năng di động: Với sự phát triển của các mạng không dây công cộng, ngƣời
dùng có thể truy cập Internet ở bất cứ đâu. Chẳng hạn ở các quán Cafe, ngƣời dùng có
thể truy cập Internet không dây miễn phí.
- Hiệu quả: Ngƣời dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi
khác.
- Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1
access point. Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong
việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà.
- Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số
lƣợng ngƣời dùng. Với hệ thống mạng dùng cáp cần phải gắn thêm cáp.
1.2.2. N ược điểm
- Bảo mật: Môi trƣờng kết nối không dây nên khả năng bị tấn công là rất cao.
- Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động
tốt trong phạm vi vài chục mét. Nó phù hợp trong 1 căn nhà, nhƣng với một tòa nhà
lớn thì không đáp ứng đƣợc nhu cầu. Để đáp ứng cần phải mua thêm Repeater hay
access point, dẫn đến chi phí gia tăng.
- Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín
hiệu bị giảm do tác động của các thiết bị khác là không tránh khỏi. Làm giảm đáng kể
hiệu quả hoạt động của mạng.
- Tốc độ: Tốc độ của mạng không dây (1- 125 Mbps) rất chậm so với mạng sử
dụng cáp(100Mbps đến hàng Gbps). Tuy nhiên hiện nay khoảng cách này đã đƣợc rút
ngắn khá nhiều.
1.3. Các chuẩn phổ biến của WLAN
IEEE (Institute of Electrical and Electronics Engineers) là tổ chức đi tiên
phong trong lĩnh vực chuẩn hóa mạng LAN với đề án IEEE 802 nổi tiếng bắt đầu triển
khai từ năm 1980 và kết quả là hàng loại các chuẩn thuộc họ 802.x ra đời. 802.11 là
một trong các chuẩn của họ 802.x bao gồm các giao thức truyền tin qua mạng không
dây.


14



1.3.1. Chuẩn 802.11b
Ra đời năm 1999. Chuẩn này đáp ứng đủ cho phần lớn các ứng dụng của mạng,
hoạt động ở dải tần 2,4GHz, tốc độ truyền dữ liệu tối đa là 11 Mbps. Đây là chuẩn
đƣợc chấp nhận rộng rãi trên thế giới.
Nhƣợc điểm của chuẩn này là hoạt động ở dải tần 2,4Ghz trùng với dải tần của
nhiều thiết bị khác trong gia đình nên có thể bị nhiễu.
1.3.2. C uẩn 802.11a
à phiên bản nâng cấp của 82.11b, dùng kĩ thuật điều chế OFDM
(Orthogonal frequency-division multiplexing), cho phép truyền dữ liệu nhanh hơn, Tốc
độ truyền dữ liệu từ 20 Mbps đến 54 Mbps. Các hệ thống sử dụng chuẩn này hoạt
động ở băng tần 5Ghz.
Chuẩn 802.11a không có khả ngăn tƣơng thích với 802.11b do chúng hoạt động
ở các dải tần khác nhau. Điểm yếu của chuẩn này là dải phủ sóng hẹp và dễ bị che
khuất. (tần số càng cao thì dải truyền tín hiệu càng ngắn).
1.3.3. Chuẩn 802.11g
Chuẩn này hoạt động trên cùng tần số với 802.11b. Tuy nhiên chúng hỗ trợ tốc
độ truyền dữ liệu nhanh gấp 5 lần so với chuẩn 802.11b với cùng một phạm vi phủ
sóng. Tốc độ truyền dữ liệu tối đa có thể lên tới 54Mbps. Các thiết bị thuộc chuẩn
802.11b và 802.11g hoàn toàn tƣơng thích với nhau tuy nhiên khi trộn lẫn các thiết bị
của 2 chuẩn đó với nhau thì các thiết bị sẽ hoạt động theo chuẩn nào có tốc độ thấp
hơn.
1.3.4. C uẩn 802.11n
Đây là chuẩn đƣợc thiết kế để cải thiện cho 802.11g trong tổng số băng thông
đƣợc hỗ trợ bằng cách tận dụng nhiều tín hiệu không dây và các anten (công nghệ
MIMO). Khi chuẩn này đƣợc đƣa ra, các kết nối 802.11n hỗ trợ tốc độ dữ liệu từ 54
đến 600 Mbps. 802.11n cũng cung cấp phạm vi bao phủ tốt hơn so với các chuẩn WiFi trƣớc nó nhờ cƣờng độ tín hiệu mạnh của nó. Thiết bị 802.11n có thể tƣơng thích
với các thiết bị 802.11g.
Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router
hỗ trợ thì hai băng tần này có thể cùng đƣợc phát sóng song song với nhau.

15



1.3.5. C uẩn 802.11ac
Tốc độ tối đa hiện là 1730Mbps (sẽ còn tăng tiếp) và chỉ chạy ở băng tần 5GHz.
Một số mức tốc độ thấp hơn (ứng với số luồng truyền dữ liệu thấp hơn) bao gồm
450Mbps và 900Mbps.
Về mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi
802.11n ở cùng số luồng (stream) truyền, ví dụ khi dùng ăng-ten 1x1 thì Wi-Fi ac cho
tốc độ 450Mbps, trong khi Wi-Fi n chỉ là 150Mbps. Còn nếu tăng lên ăng-ten 3x3 với
ba luồng, Wi-Fi ac có thể cung cấp 1300Mb/s, trong khi Wi-Fi n chỉ là 450Mb/s. Tuy
nhiên, những con số nói trên chỉ là tốc độ tối đa trên lý thuyết, còn trong đời thực thì
tốc độ này sẽ giảm xuống tùy theo thiết bị thu phát, môi trƣờng, vật cản, nhiễu tín
hiệu.
* u điểm chu n

ac

- Băng thông kênh truyền rộng hơn: ăng thông rộng hơn giúp việc truyền dữ
liệu giữa hai thiết bị đƣợc nhanh hơn. Trên băng tần 5GHz, Wi-Fi 802.11ac hỗ trợ các
kênh với độ rộng băng thông 20MHz, 40MHz, 80MHz và tùy chọn 160MHz. Trong
khi đó, 802.11n chỉ hỗ trợ kênh 20MHz và 40MHz mà thôi
- Nhiều luồng dữ liệu hơn: Spatial stream là một luồng dữ liệu đƣợc truyền đi
bằng công nghệ đa ăng-ten MIMO. Nó cho phép một thiết bị có thể phát đi cùng lúc
nhiều tín hiệu bằng cách sử dụng nhiều hơn 1 ăng-ten. 802.11n có thể đảm đƣơng tối
đa 4 spatial stream, còn với Wi-Fi 802.11ac thì con số này đƣợc đẩy lên đến 8 luồng.
Tƣơng ứng với đó sẽ là 8 ăng-ten, còn gắn trong hay ngoài thì tùy nhà sản xuất nhƣng
thƣờng họ sẽ chọn giải pháp gắn trong để đảm bảo tính thẩm mỹ.
- Hỗ trợ Multi user-MIMO: ở Wi-Fi 802.11n, một thiết bị có thể truyền nhiều
spatial stream nhƣng chỉ nhắm đến 1 địa chỉ duy nhất. Điều này có nghĩa là chỉ một
thiết bị (hoặc một ngƣời dùng) có thể nhận dữ liệu ở một thời điểm. Ngƣời ta gọi đây
là single-user MIMO (SU-MIMO). Còn với chuẩn 802.11ac, một kĩ thuật mới đƣợc bổ
sung vào với tên gọi multi-user MIMO. Nó cho phép một access point sử dụng nhiều
ăng-ten để truyền tín hiệu đến nhiều thiết bị (hoặc nhiều ngƣời dùng) cùng lúc và trên
cùng một băng tần. Các thiết bị nhận sẽ không phải chờ đợi đến lƣợt mình nhƣ SUMIMO, từ đó độ trễ sẽ đƣợc giảm xuống đáng kể.

16



- Beamforimg: Wi-Fi là một mạng đa hƣớng, tức tín hiệu từ router phát ra sẽ tỏa
ra khắp mọi hƣớng. Tuy nhiên, các thiết bị 802.11ac có thể sử dụng một công nghệ
dùng để định hƣớng tín hiệu truyền nhận gọi là beamforming. Router sẽ có khả năng
xác định vị trí của thiết bị nhận, ví dụ nhƣ laptop, smartphone, tablet, để rồi tập trung
đẩy năng lƣợng tín hiệu lên mức mạnh hơn hƣớng về phía thiết bị đó. Mục đích của
beamforming đó là giảm nhiễu. Mặc dù sóng Wi-Fi vẫn tỏa ra khắp mọi hƣớng, tuy
nhiên với công nghệ beamforming thì chùm tín hiệu có thể đƣợc định hƣớng tốt hơn
đến một thiết bị xác định trong vùng phủ sóng.
- Tầm phủ sóng rộng hơn: chúng ta có thể thấy rằng với cùng 3 ăng-ten, router
dùng chuẩn 802.11ac sẽ cho tầm phủ sóng rộng đến 90 mét, trong khi router xài mạng
802.11n có tầm phủ sóng chỉ khoảng 80 mét là tối đa. Tốc độ của mạng 802.11ac ở
từng mức khoảng cách cũng nhanh hơn 802.11n. Với những nhà, văn phòng rộng,
chúng ta có thể giảm số lƣợng repeater cần dùng để khuếch đại và lặp tín hiệu, tiết
kiệm đƣợc kha khá chi phí.
- Router Wi-Fi

ac tương thích ngược với các chu n cũ: hiện nay, hầu hết

các router Wi-Fi trên thị trƣờng có hỗ trợ chuẩn 802.11ac sẽ hỗ trợ thêm các chuẩn cũ,
bao gồm b/g/n. Chúng cũng sẽ có hai băng tần 2,4GHz lẫn 5GHz. Đối với những
router có khả năng chạy hai băng tần cùng lúc, băng tần 2,4GHz sẽ đƣợc sử dụng để
phát Wi-Fi n, còn 5GHz sẽ dùng để phát Wi-Fi ac.


17


CHƢƠNG 2:


TÌM HIỂU VỀ GIAO THỨC RADIUS

2.1. Giới thiệu về giao thức RADIUS
RADIUS (Remote Authentication Dial In User Service) là một giao thức có khả
ngăn cung cấp xác thực tập trung, cấp phép và kiểm toán (Authentication,
Authorization và Accounting-AAA).
Với những hệ thống lớn, nhiều ngƣời dùng thì việc quản trị là rất quan trọng.
việc bảo mật, xác thực và kiểm toán. Điều này có thể đạt đƣợc bằng cách xây dựng cơ
sở dữ liệu ngƣời dùng để cho phép xác thực (xác minh username và password), cũng
nhƣ các thông tin cấu hình cụ thể của các dịch vụ mà ngƣời dùng đƣợc quyền sử dụng
nhƣ S IP, PPP, Telnet.
Giao thức RADIUS đƣợc sử dụng rộng rãi vì một số lý do sau:
- Một số hệ thống đơn không thể đáp ứng đƣợc nhu cầu chứng thực khi lƣợng
ngƣời sử dụng tăng cao.
- RADIUS tạo điều kiện cho ngƣời sử dụng quản lý tập trung. Nhiều ISP có
hàng chục ngàn, hàng trăm ngàn hay thậm chí hàng triệu ngƣời dùng. Ngƣời dùng
đƣợc thêm vào và xoá liên tục trong ngày và xác thực ngƣời dùng thay đổi liên tục
trong ngày do đó quản trị tập trung là yêu cầu quan trọng.
- RADIUS cung cấp một số cấp độ bảo mật và chống tấn công và gần nhƣ đƣợc
hỗ trợ ở khắp nơi. Các giao thức khác không đƣợc hỗ trợ nhiều về phần cứng còn
RADIUS thì ngƣợc lại.
2.2. Hoạt độn
RADIUS hoạt động theo mô hình client/ server.
- Client: đƣợc chạy trên NAS (network access server) nằm trên toàn mạng. Nó
chuyển các thông tin ngƣời dùng lên server bằng các phƣơng thức đƣợc định nghĩa
sẵn.
- Server: chạy trên máy tính hoặc máy trạm tại trung tâm mạng và duy trì các
thông tin liên quan đến việc xác thực ngƣời dùng và các dịch vụ truy cập mạng. Nó


18



xác thực một ngƣời dùng sau khi nhận đƣợc một yêu cầu kết nối và xử lý sau đó trả về
kết quả (ví dụ nhƣ từ chối truy cập, chấp nhận yêu cầu của ngƣời dùng) cho client.
Nói chung RADIUS server duy trì ba cơ sở dữ liệu gồm ngƣời dùng (Users),
khách (Clients), từ điển (Dictionary) nhƣ hình bên dƣới.

H nh 2-1: Radius server hoat động theo mô hình Client/server
- Users: lƣu trữ thông tin về ngƣời dùng nhƣ tài khoản, mật khẩu, các giao thức ứng
dụng và địa chỉ IP.
- Clients:lƣu trữ các thông tin về RADIUS client nhƣ khóa chia sẻ, địa chỉ IP.
- Dictionary: lƣu trữ các thông tin mô tả các thuộc tính và giá trị của giao thức
RADIUS.
Hình bên dƣới thể hiện sự tƣơng tác giữa host, client và radius server.


19



H nh 2-2: Sự tương tác giữa host, client và radius server
Sau đây là cách radius hoạt động:
- Bước 1: Các host khởi tạo và gửi các yêu cầu kết nối đến radius client (chứa tài
khoản và mật khẩu ngƣời dùng).
- Bước 2: Sau khi nhận đƣợc tên ngƣời dùng và mật khẩu , RADIUS client sẽ gửi một
yêu cầu chứng thực ( Access-Request ) đến máy chủ RADIUS , mật khẩu ngƣời dùng
đƣợc mã hóa bởi các Message-Digest 5 (MD5) thuật toán với khóa chia sẻ trƣớc khi
đƣợc gửi đi.
- Bước 3: Các máy chủ RADIUS xác nhận tên ngƣời dùng và mật khẩu. Nếu xác thực
thành công, nó sẽ gửi lại một thông báo Access-Accept có chứa các thông tin về quyền
của ngƣời sử dụng. Nếu xác thực thất bại, nó sẽ trả về một thông báo Access-Reject .
- Bước 4: Các RADIUS Client chấp nhận hoặc từ chối ngƣời sử dụng theo kết quả xác
thực nhận đƣợc từ server . Nếu nó chấp nhận ngƣời sử dụng, nó sẽ gửi một yêu cầu bắt
đầu – kiểm toán (Accounting-Request) đến máy chủ RADIUS .
- Bước 5: Các RADIUS Server trả về một thông điệp khởi động kế toán ( AccountingResponse) và bắt đầu kế toán (start-Accounting).


20



- Bước 6: Các host có thể truy cập các tài nguyên trong mạng theo quyền đã đƣợc quy
định sẵn.
- Bước 7: Để kết thúc phiên làm việc host gửi một yêu cầu ngắt kết nối tới RADIUS
client và RADIUS client gửi một yêu cầu ngắt kết nối đến RADIUS server.
- Bước 8: RADIUS server trả về thông điệp ngắt kết nối (stop-accounting) và dừng
kiểm toán.
- Bước 9: Host ngừng truy cập tài nguyên mạng.
2.3. Gi o thức tru ền tin
RADIUS dùng UTP thay cho TCP vì một số đặc điểm sau:
- Thời gian yêu cầu của 2 giao thức này khác nhau khá đáng kể: một bên
RADIUS không yêu cầu xác thực dữ liệu bị mất. Ngƣời dùng sẵn sàng chờ một vài
giây để xác thực hoàn thành do đó việc truyền lại của TCP là không cần thiết. Mặt
khác ngƣời dùng không cần mất nhiều thời gian để xác thực. Nếu dùng TCP ngƣời
dùng sẽ mất thời gian xác thực lãng phí.
- Tính phi trạng thái của UDP giúp đơn giản hoá khi sử dụng: client và server có
thể vào hoặc ra. Hệ thống khởi động lại hoặc gặp trục trặc sẽ không gây ra vấn đề về
thời gian chờ kết nối.
- UDP giúp đơn giản hoá việc triển khai máy chủ: trƣớc đây máy chủ chỉ xử lý
đơn luồng, có nghĩa là từng yêu cầu một đƣợc nhận, xử lý và trả lại. Điều này sẽ làm
mất tính thời gian thực. Giải pháp là làm máy chủ chạy đa nhiệm. Điều này có thể làm
dc đơn giản với UDP.
2.4. Cơ chế bảo mật xác thực
Thông tin trao đổi giữa client và server đƣợc xác thực bởi một khóa chia sẻ. khóa
này không bao giờ đƣợc truyền đi qua mạng do đó nâng cao tính bảo mật của thông
tin. Để ngăn chặn mật khẩu ngƣời dùng bị bắt trong các mạng không an toàn các mật
khẩu đƣợc mã hóa trong quá trình truyền.
2.5. Cơ chế ủy quyền


21



H nh 2-3: Cơ chế ủy quyền
RADIUS server có thể gửi gói tin Access-request của NAS tới một RADIUS
server khác (Remote Server). Remote Server này sẽ trả lời (Access-Accept, AccessReject, Access-Challenge ) cho server đã gửi yêu cầu cho nó. Sau đó server này sẽ gửi
lại cho NAS.
úc này, máy chủ RADIUS server có chức năng nhƣ một máy chủ chuyển tiếp.
Chúng ta có thể xây dựng một chuỗi các máy chủ u quyền trƣớc khi đến Remote
Server nhƣng cần chú ý để tránh lặp vòng. Dƣới đây là mô tả một phiên làm việc của
RADIUS server proxy, NAS và Remote RADIUS server:
- Bước 1: NAS sẽ gửi một yêu câu truy cập (Access-request) tới máy chủ
RADIUS chuyển tiếp (forwarding server).
- Bước 2: Máy chủ chuyển tiếp (forwarding server) sẽ chuyển tiếp yêu cầu tới
Remote RADIUS server.
- Bước 3: Remote server sẽ gửi một Access-Accept, Access-Reject, AccessChallenge tới máy chủ chuyển tiếp.(ở đây ta chọn Access-Accept).
- Bước 4: Máy chủ chuyển tiếp sẽ gửi Access-Accept tới NAS.
2.6. Cấu trúc gói tin RADIUS
Hình dƣới cho thấy cấu trúc gói tin RADIUS.


22



H nh 2-4: Cấu trúc gói tin Radius
2.6.1. Trường code
Dài 1 byte. Mô tả loại gói tin RADIUS. Bảng dƣới mô tả các giá trị phổ biến và ý
nghĩa của chúng.
Bảng 2-1: Các giá trị phổ biến của trường code trong gói tin Radius
Giá trị
Loại gói tin
Mô tả
1
Access-Request
Đƣợc gửi từ Client tới Server. Chứa thông tin xác
thực ngƣời dùng.
2
Access-Accept
Từ server tới client. Nếu tất cả các thuộc tính xác
thực chính xác thì server gửi trả gói tin AccessAccept.
3
Access-Reject
Gửi từ Server tới Client. Nếu xác thực thất bại server
sẽ gửi gói tin này để trả lời cho ngƣời dùng.
4
AccountingGửi từ clien tới server. Gói tin loại này chứa thông
Request
tin ngƣời dùng để yêu cầu bắt đầu hay kết thúc kiểm
toán
5
AccountingGửi từ server tới client để trả lời cho gói tin
Response
Accounting-Request
11
Access-Challenge
2.6.2. Trường Identifier
Dài 1 byte. Cho phép Client yêu cầu hoặc trả lời RADIUS Server. Dùng để đối
chiếu giữa gói tin trả lời và gói tin yêu cầu. ngoài ra còn dùng để phát lại các gói tin.
2.6.3. Trường length
Dài 2 byte. Cho biết chiều dài của toàn bộ gói, bao gồm cả Code, Identifier,
ength, Authenticator, và các trƣờng thuộc tính. Giá trị của trƣờng này trong khoảng


23


20-4096 byte.


yte vƣợt quá chiều dài đƣợc coi là đệm và bị bỏ sau khi nhận đƣợc.

Nếu chiều dài của một gói tin nhận đƣợc là ít hơn so với chiều dài chỉ định trong
trƣờng length thì các gói tin đó sẽ bị loại bỏ.
2.6.4. Trường Authenticator
Dài 16 byte. Đƣợc sử dụng để chứa các thông tin liên quan đến xác thực và kiểm
toán. Chúng ta sẽ tìm hiểu kỹ hơn ở các gói tin cụ thể.
2.6.5. Trường Attribute
Mỗi một thuộc tính mang thông tin chi tiết cấu hình của một yêu cầu hoặc trả lời.
Trƣờng này đƣợc hợp thành từ ba trƣờng: loại, độ dài, và giá trị (Type, Length, and
Value).

H nh 2-5: Trường Attribute trong gói tin Radius
Trong đó:
- Type: Một byte, giá trị trong khoảng 1 đến 255. Nó chỉ ra loại thuộc tính.
Những thuộc tính thƣờng đƣợc sử dụng để xác thực RADIUS và ủy quyền đƣợc liệt kê
trong Bảng dƣới.
- Length: Một byte cho biết chiều dài của Attribute bao gồm cả các trƣờng type,
length, và value.
- Value: Giá trị của trƣờng Attribute, lên đến 253 byte. Định dạng và nội dung
của nó phụ thuộc vào các trƣờng Length và type. Định dạng của trƣờng Value là một
trong năm loại dữ liệu sau:
Bảng 2-2: Định dạng của trường Value
Kiểu dữ liệu
Text
String
Address
Integer
Time

Mô tả
Dài 1-253 byte chứa UTF-8 encoded.
Dài 1-253 byte chứa dữ liệu nhị phân (giá trị từ 0-255 trong hệ
thập phân).
Dài 32 bit.
32 bit.
32 bit. Thời gian bắt đầu từ ngày 1 tháng 1 năm 1970.


24



Bảng 2-3: Các thuộc tính của trường Attribute

* Chú ý: Các loại thuộc tính trên đƣợc định nghĩa trong RFC 2865, RFC 2866,
RFC 2867, and RFC 2568.


25



2.7. Các loại gói tin
2.7.1. Access-Request
Các gói tin Access-Request đƣợc dùng để gửi tới RADIUS server để yêu cầu truy
cập tài nguyên mạng. Sau khi nhận đƣợc một Access-Requet hợp lệ từ client, một trả
lời thích hợp sẽ đƣợc truyền đi từ server. Một Access-Request bắt buộc phải có NASIP Address hoặc NAS-ID hoặc cả hai.
Một Access-Request phải chứa thuộc tính User-password, hoặc CHAP-password
hoặc CHAP-State. Một Access-Request không thể chứa cả 2 user-password và CHAPpassword.
Một Access-Request nên chứa một NAS-Port hoặc NAS-Port-Type hoặc cả 2.
Một Access-Request có thể chứa các thuộc tính bổ sung nhƣ một gợi ý cho máy chủ
(máy chủ không yêu cầu các thuộc tính này.). Nếu trong Access-Request có thuộc tính
User-password thì nó sẽ đƣợc ẩn đi theo thuật toán MD5.
ên dƣới là định dạng gói tin Access-Request. Các trƣờng đƣợc truyền đi
theo thứ tự từ trái qua phải.

H nh 2-6: Định dạng gói tin Access-Request
- Trường Code: có giá trị 1 cho loại gói tin Access-Request.
- Trường Identifier: trƣờng này sẽ thay đổi giá trị khi giá trị của các thuộc tính
khác thay đổi hoặc bất cứ khi nào có một sự phản hồi hợp lệ từ một yêu cầu trƣớc đó
ngƣợc lại trƣờng này không thay đổi giá trị
- Trường Request Authenticator: trƣờng này phải đƣợc thay đổi mỗi khi trƣờng
ID thay đổi.


26



- Trường Attributes: trƣờng này có thể thay đổi độ dài và danh sách các thuộc
tính đƣợc yêu cầu cho các loại dịch vụ khác nhau.
2.7.2. Access-Accept
Gói tin này đƣợc gửi từ máy chủ RADIUS tới Client, và cung cấp các thông tin
cấu hình cụ thể cần thiết để ngƣời dùng bắt đầu sử dụng dịch vụ.Code sẽ có giá trị 2 để
xác định loại gói tín Access-Accept. Khi nhận một Access-accept trƣờng Identifier
của Access-Request sẽ phải đúng với trƣờng Identifier Access-Accept. Các gói tin
không hợp lệ sẽ bị bỏ.
Định dạng gói tin Access-Request. Các trƣờng đƣợc truyền đi theo thứ tự từ trái
qua phải.

H nh 2-7: Định dạng gói tin ccess-Request
- Trường Code: có giá trị là 2 cho loại gói tin Access-Accept.
- Trường Identifier: đƣợc lấy từ Identifier trong gói tin Access-Request.
- Trường Response Authenticator: Trƣờng này chứa: Code, Identifier, Length và

trƣờng Request Authenticator có đƣợc từ gói tin Accounting-Request, thuộc tính
Response (nếu có). Tất cả đƣợc mã hóa bằng thuật toán MD5 (mã hóa một
chiều) và lƣu vào trƣờng Authenticator của gói tin Accounting-Response.
- Trường Attributes: có thể thay đổi chiều dài, và có chứa một danh sách các

thuộc tính.
2.7.3. Access-Reject
Nếu máy chủ AAA sau khi kiểm tra các thông tin của ngƣời dùng hoàn toàn thỏa
mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-


27



Accept. Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject
và NAS sẽ ngắt kết nối với user.
Cấu trúc gói tin Access-Reject:

H nh 2-8:Cấu trúc gói tin Access-Reject
- Trường Code: có giá trị 3 cho loại gói tin Access-Reject.
- Trường Identifier: copy từ Identifier của gói tin Access-Request.

trƣờng Request Authenticator có đƣợc từ gói tin Accounting-Request, thuộc tính
Response (nếu có). Tất cả đƣợc mã hóa bằng thuật toán MD5(mã hóa một chiều)
và lƣu vào trƣờng Authenticator của gói tin Accounting-Response.
- Trường Attributes: có thế có hoặc không các thuộc tính.
2.7.4. Access-Chanllenge
Nếu máy chủ RADIUS muốn ngƣời dùng cung cấp thêm thông tin xác thực nó
sẽ gửi một gói tin Access-Challenge để trải lời cho gói tin Access-Request.
Các trƣờng có thể có một hoặc nhiều Reply-Message và có thể có 1 thuộc tính
State duy nhất hoặc không. Vendor-Specific, Idle-Timeout, Session-Timeout and
Proxy-State là những thuộc tính cũng có thể đƣợc thêm vào trong gói tin này. Những
gói tin nào có Identifier khác so với Identifier của gói Access-Request sẽ bị xoá bỏ.
Nếu NAS không hỗ trợ challenge/response thì nó sẽ xử lý Access-chanllenge
giống nhƣ xử lý Access-Reject. Nếu NAS hỗ trợ challenge/response . khi đó NAS sẽ
hiển thị các tin nhắn (nếu có) cho ngƣời dùng từ server và yêu cầu ngƣời dùng trả
lời.NAS sẽ gửi một Access-Request với ID mới với User-Password đƣợc thay thế


28



bằng User s response (mã hoá). Và có thể thêm vào thuộc tính State từ gói tin AccessChallenge nếu có.
Cấu trúc gói tin Access-Chanllenge:

H nh 2-9:Cấu trúc gói tin Access-Chanllenge
- Trường Code:có giá trị 11 cho loại gói tin Access-Challenge.
- Trường Identifier: đƣợc sao chép từ Identifier của Access-Request.

trƣờng Request Authenticator có đƣợc từ gói tin Access-Request, thuộc tính
Response (nếu có). Tất cả đƣợc mã hóa bằng thuật toán MD5(mã hóa một
chiều).
- Trường Attributes: có thế có hoặc không các thuộc tính.


29


CHƢƠNG 3:


GIỚI THIỆU VỀ MIKROTIK ROUTER

3.1. Giới thiệu
Mikrotik là tên của một nhà sản xuất thiết bị mạng máy tính ở Latvian (một nƣớc
thuộc vùng Baltic – bắc Âu). Công ty thành lập năm 1995.
Sản phẩm chính của Mikrotik là
một hệ điều hành dựa trên Linux có
H nh 3-1: Router BOARD
tên là Mikrotik RouterOS. Đƣợc cài đặt trên phần cứng độc quyền của công ty
(RouterBOARD) hoặc trên máy tính bình thƣờng, biến máy tính đó thành router và
thực hiện các tính năng nhƣ firewall, bandwidth management, wireless access point,
virtual private network (VPN), hotspot gateway và một số tính năng khác.
3.2. Nhữn bƣớc cơ bản
3.2.1. Lần đầu tiên khởi động
3.2.1.1. Tổng quan
Sau khi cài đặt xong hệ điều hành RouterOS lên máy tính hoặc mở nguồn Bộ
định tuyến (router) lần đầu tiên, chúng ta có nhiều cách để kết nối với nó:
- Truy cập vào Command Line Interface (CLI – giao diện dòng lệnh) thông qua
Telnet, ssh, serial cable hoặc thậm chí là bàn phím và màn hình nếu router có card màn
hình.
- Truy cập vào Web dựa trên Graphical User Interface (GUI – giao diện đồ họa
ngƣời dùng WebFig).
- Sử dụng WinBox.
Mọi router đều đƣợc cấu hình trƣớc với địa chỉ IP là 192.168.88.1/24 ở cổng
ether1. Mặc định tên đăng nhập là admin và mật khẩu để trống.
Có thể có các cài đặt thêm vào các router tùy từng dòng RouterBoard. Ví dụ,
RB750 ether1 đƣợc cài đặt nhƣ là cổng của mạng WAN và bất cứ giao tiếp nào với
router thông qua cổng đó đều không thực hiện đƣợc.
3.2.1.2. Winbox


30



Winbox là tiện ích dùng để cấu hình, có thể kết nối với router thông qua địa chỉ
MAC hoặc địa chỉ IP.
Winbox sẽ cố tải các plugins từ router, nếu nó kết nối lần đầu tiên tới router với
phiên bản hiện tại. Chú ý rằng nó có thể mất khoảng 1 phút để tải hết tất cả các plugins
nếu nhƣ winbox đƣợc kết nối bằng địa chỉ MAC.
Phƣơng pháp này có thể chạy với bất kỳ thiết bị nào chạy RouterOS. Máy tính
của bạn cần có MTU là 1500.
Sau khi winbox đã hoàn tất việc tải các plugins và đã xác thực, cửa số chính sẽ
hiện ra.

H nh 3-2: Cửa sổ chính của winbox
Nếu winbox không thể tìm thấy bất kỳ router nào, hãy chắc chắn rằng máy tính
của bạn đã kết nối với router bằng cáp Ethernet hoặc ít nhất là chúng kết nối đến cùng
1 Bộ chuyển đổi (switch). Winbox kết nối đến router ngay cả khi địa chỉ IP chƣa đƣợc
cấu hình. Do việc kết nối bằng địa chỉ MAC không đủ ổn định để sử dụng liên tục, do


31



đó, điều đó là không khôn ngoan khi sử dụng thật sự trong sản xuất. Kết nối bằng địa
chỉ MAC chỉ nên sử dụng để cấu hình lúc ban đầu.
3.2.1.3. WebFig
Nếu bạn có một router với cấu hình mặc định, khi đó chúng ta có thể kết nối với
router bằng giao diện web thông qua địa chỉ IP của router. WebFig gần nhƣ có các
chức năng cấu hình giống nhƣ Winbox.

H nh 3-3: Cửa sổ chính của webfig
3.2.1.4. CLI
Giao diện dòng lệnh (CLI) cho phép cấu hình router sử dụng dòng lệnh. Có rất
nhiều lệnh có sẵn, vì thế họ chia chúng thành những nhóm tổ chức bằng cách phân cấp
đơn cấp. Có rất nhiều cách để truy cập vào CLI:
- Winbox terminal.
- Telnet.
- Ssh.
- Serial cabel etc.


32



Sau khi giao diện dòng lệnh hiện lên, bạn sẽ thấy phần đăng nhập. Điền tên đăng
nhập là admin và mật khẩu đăng nhập để rỗng. Sau đó bạn sẽ thấy màn hình:

H nh 3-4: Giao diện dòng lệnh
3.2.2. Quá trìn đăng n ập bằng giao diện điều khiển
Có nhiều cách khác nhau để đăng nhập vào giao diện điều khiển:
- Cổng nối tiếp (serial port).
- Console (gồm màn hình và bàn phím).
- Telnet.
- Ssh (Secure Shell).
- Mac-telnet.
- Winbox terminal
Xác nhận tên và mật khẩu để tiến hành quá trình đăng nhập. Quá trình đăng nhập
có thể hiện những thông tin khác nhau trên màn hình (license – giấy phép, giới thiệu
bản cập nhật, thông tin về khóa của phần mềm, cấu hình mặc định).
Khi đăng nhập thành công thì trình tự cuối cùng là in biểu ngữ và đƣa trình điều
khiển đến giao điện điều khiển.
Giao diện điều khiển hiển thị ghi chú của hệ thống, lịch sử đăng nhập cuối cùng,
tự động nhận diện kích cở, khả năng của thiết bị đầu cuối (terminal) và hiển thị dấu
nhắc lệnh. Sau đó bạn có thể bắt đầu viết câu lệnh.
Sử dụng mũi tên đi lên [↑] để gọi lại các dòng lệnh từ lịch sử dòng lệnh, phím
TA để tự động hoàn tất 1 từ trong lệnh mà bạn đang gõ, phím ENTER để thực hiện
dòng lệnh, tổ hợp phím Ctrl + C để ngắt lệnh đang chạy và đƣa về đấu nhắc.


33



Cách dễ nhất để thoát khỏi giao diện điều khiển là nhấn tổ hợp phím Ctrl + D tại
dấu nhắc lệnh khi chƣa viết lệnh (bạn có thể hủy bỏ lệnh hiện hành và có đƣợc dòng
lệnh trống với Ctrl + C, vì vậy nhấn Ctrl + C sau đó Ctrl + D sẽ đăng xuất bạn ra ngoài
trong nhiều trƣờng hợp.


34



CHƢƠNG 4: CẤU HÌNH MIKROTIK THÔNG
QUA DÒNG LỆNH
4.1. Cấu hình địa chỉ IP
- Cấu hình IP cho Nic sẽ kết nối với adsl (Nic Wan hay interface Wan) hay với
router trung gian trên đƣờng ra internet (ADSL, LEASELINE). Ở đây IP của Nic này
là 172.32.0.20/16 và Nic này sẽ đƣợc gán cho interface ether3.
* Chú ý: Ở đây cấu trúc lệnh sẽ đƣợc gõ từ đƣờng dẫn gốc là [Admin@Mikrotik].
Để trở về đƣờng dẫn gốc này từ đƣờng dẫn bất kỳ chỉ cần gõ /(enter).
[Admin@Mikrotik]> ip address add address=172.32.0.20/16 interface=ether2
- Cấu hình IP cho Nic kết nối với các AP hay mạng an của các máy con. Ở đây
IP sẽ là 192.168.0.1/24 , Nic này sẽ đƣợc gán cho ether1.
[Admin@Mikrotik]> ip address add address=192.168.0.1/24 interface=ether1
* Chú ý: để tiện quản lý sau khi cấu hình xong nên đổi tên 2 interface ether1 và
ether2 thành an và Wan hay ocal và Public cho dễ nhớ.
- Cấu hình IP default gateway (là địa chỉ adsl modem-router hay router kết nối
vào interface Wan trên đƣờng đi ra internet.. Trong ví dụ ở đây là 172.32.0.20.
[Admin@Mikrotik]> ip route add gateway 172.32.0.20
Sau đó dùng máy tính kết nối với Máy Hotspot chạy Mikrotik qua Nic Wan rồi
dùng Winbox để cấu hình các thành phần tiếp theo.

4.2. Cấu hình DHCP Server
Thêm các thông tin DNS cho máy chủ. Nếu trong mạng có máy chủ DNS thì ta
thêm địa chỉ máy chủ này vào.
[admin@MikroTik] /ip dns set servers=172.32.0.4,172.32.0.5
Gõ lệnh sau để hiển thị các dòng yêu cầu nhập thông tin dhcp-server:


35



[admin@MikroTik] > ip dhcp-server setup
dhcp server interface: ether2
dhcp address space: 192.168.1.0/24
gateway for dhcp network: 192.168.1.1
addresses to give out: 192.168.1.2-192.168.1.254 (Đây là dải IP mà dịch vụ dhcp sẽ
cấp cho các máy con khi kết nối)
dns servers: 203.162.0.182,8.8.8.8 (Ở đây nhập địa chỉ IP của máy chủ DNS server,
nếu trong mạng có máy chủ DNS thì nhập IP của máy chủ đó. Nếu không thì nhập ip
primary và second dns server cách nhau bởi dấu phẩy)
lease time: 3d (Thời gian cho thuê mặc định là 03 ngày)

4.3. Cấu hình Hotspot
Việc cấu hình Hotspot sẽ bao gồm cấu hình dịch vụ DHCP server, các thông tin
DNS… Gõ lệnh sau:
[Admin@Mikrotik] ip hotspot setup (sau ghi gõ lệnh này sẽ xuất hiện các hàng yêu
cầu nhập thông tin nhƣ sau)
Hotspot interface: ether1
Local address of network: 192.168.0.1/24
Masquerade network: yes
Address pool of network: 192.168.0.2-192.168.0.254 (có thể chỉnh lại theo ý muốn,
đây cũng là dãy địa chỉ ip mà dịch vụ dhcp sẽ cấp cho các máy con khi kết nối).
Select certificate: none (chú ý: mặc định xuất hiện dòng import-other-certificate,
chúng ta xóa dòng đó và nhập vào none).
Ip address of smtp server: 0.0.0.0 (nếu trong mạng có máy chủ smtp thì gõ địa chỉ ip
vào, còn không thì để mặc định 0.0.0.0).


36



Dns server: 172.32.0.4, 172.32.0.5 (ở đây sẽ nhập địa chỉ máy chủ dns server, nếu
trong mạng có máy chủ này thì nhập vào ip máy chủ đó, còn không nhập vào ip
primary và secondary dns server của ISP cách nhau bởi dấu phẩy).
Dns name: điền vào tên của máy Hotspot này đƣợc khai báo trên Dns server của
mạng, nếu không có thì để trống chứ không khai tùy ý.
Name of local hotspot user: Admin (tạo một account cho hệ thống để test đăng nhập
hotspot).
Password for the user: mật khẩu của account này.

4.4. Cấu hình NAT
[Admin@Mikrotik] ip firewall nat add chain=srcnat action=masquerade outinterface=ether2
Nhƣ vậy cơ bản cấu hình song hệ thống Hotspot với Mikrotik. úc này dùng một
máy con đăng nhập web sẽ thấy màn hình đăng nhập của Mikrotik xuất hiện, nhập vào
account tạo sẵn ở bƣớc cấu hình hotspot trên là có thể truy xuất web…
Việc cấu hình các thành phần khác nhƣ tạo user, tinh chỉnh hay thay đổi các
thống số dùng giao diện gui qua Winbox sẽ tiện hơn nên sẽ đƣợc giới thiệu ở phần sau.
* Chú ý: Nếu trong cấu hình bị lỗi thì có thể dùng lệnh >System/reset để xóa cấu
hình rồi cài đặt lại.

4.5. Một số lệnh trên má Hotspot chạ Mikrotik
Khi đăng nhập vào máy Hospot, tại dấu nhắc lệnh [Admin@Mikrotik] chỉ cần gõ
dấu ? (enter) chúng ta sẽ thấy hiển thị các đầu mục vào nhƣ hình dƣới


37



H nh 4-1: Các đầu mục cơ bản
Các đầu mục vào cũng gần giống với giao diện của Winbox. Muốn vào phần IP chúng
ta chỉ cần gõ IP (enter), sau đó gõ ? (enter) sẽ thấy các mục con xuất hiện.


38



H nh 4-2: Các đầu mục con
Muốn cấu hình thành phần nào chúng ta cứ gõ lệnh theo đƣờng dẫn hoặc vào từng
mục rồi gõ tiếp. Ví dụ muốn cấu hình IP thì gõ IP address...;
Muốn xem thông tin địa chỉ IP của các Nic thì Ip address print;
Muốn cấu hình Route thì: IP route...;
Muốn cấu hình hotspot thì: Ip hotspot setup...;
Muốn cấu hình firewall, nat thì Ip firewall...
Muốn tắt máy thì System shutdown;
Khởi động lại máy: System reboot;
Muốn xóa tất cả các thông tin cấu hình đã cài đặt: System reset...
Cũng giống nhƣ lệnh Dos, nếu từ đƣờng dẫn phụ muốn gõ lệnh đến đƣờng dẫn khác
thì chúng ta dùng dấu / trƣớc lệnh đó; Muốn về đƣờng dẫn gốc thì / (enter), muốn dời
lui đƣờng dẫn một cấp gõ ..(enter)


39



Muốn xem thông tin về các Nic đang có trong máy thì từ đƣờng dẫn gốc gõ Interface
print hay di chuyển vào mục Interface rồi chỉ gõ Print (enter)
Tại các mục vào muốn xem thông tin thành phần nào chỉ cần gõ Print (enter).
Muốn backup thông tin một thành phần nào đó thì gõ: Export file=(tên file) (enter).
Ví dụ tại đầu mục vào IP hotspot> muốn backup thông tin phần user thành file user
(mặc định phần mở rộng là .rsc) chỉ cần gõ: IP HOTSPOT>user export file =user
(file user.rsc sẽ đƣợc tạo ra, muốn lƣu lại file này thì từ máy khác kết nối ftp vào
Hotspot trên inerface Wan sẽ thấy tên file này xuất hiện)
Muốn backup thông tin các user trong phần IP-binding gõ lệnh: IP HOTSPOT>ipbinding export file=ip_binding (file ip_binding.rsv sẽ đƣợc tạo ra)...
Sau này muốn import lại file nào thì dùng ftp để copy file đó vào máy Hotspot rồi từ
dấu nhắc lệnh gốc gõ lệnh:
[Admin@Mikrotik]> import filename.rsc
Muốn import file user.rsc thì gõ:
[Admin@Mikrotik]> import user.rsc


40



CHƢƠNG 5: CẤU HÌNH MIKROTIK THÔNG
QUA WINBOX
Sau khi cài đặt xong đĩa cài Mikrotik, tiến hành cài đặt địa chỉ IP cho các Nic
nhƣ các mục 1.1, 1.2, 1.3 của phần I chúng ta dùng máy tính kết nối với máy chủ
Hotspot qua Nic Wan rồi dùng Winbox để đăng nhập và cấu hình các thành phần tiếp
theo.

H nh 5-1: Giao diện đăng nhập của winbox
5.1. Cấu hình DHCP và DNS server
5.1.1. Cấu ìn t ông tin DNS
Từ menu chính chọn IP>DNS, sau đó click Settings rồi điền thông tin nhƣ hình


41



H nh 5-2: Giao diện cấu hình DNS
Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của
máy này vào, còn không thì điền IP Dns server của ISP.
5.1.2. Cấu ìn t ông tin DHCP
Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo
nhƣ hình dƣới.

H nh 5-3: Cấu hình DHCP Server - 1


42



Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định

Tiếp theo click Next

Click Next

Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai
báo cho phù hợp với hệ thống mạng có sẵn.



43



Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các
máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó
xuất hiện sẵn thông tin, chúng ta không cần khai báo.
Tiếp theo click Next để hoàn tất.
Từ menu chính chọn IP>Hotspot
Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc
click Next vì mọi cái đã đƣợc chọn tự động

H nh 5-8: Cấu hình hotspot - 1



44







45




Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:
hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng
có dns server, còn không thì để trống chứ không đƣợc khai tùy ý.

Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài
xong phần này.
Sau khi hoàn tất, click vào Hotspot mới tạo chúng ta có các thông tin sau:


46



H nh 5-16: Thông tin hotspot mới tạo
Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc
nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo
các chế độ mà chúng ta đặt ra.
* Cấu hình Profile cho Hotspot
Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile
Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở
bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể
xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.


47



H nh 5-17: Cấu hình profile cho hotspot - 1
HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự
tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây
Rate Limit: băng thông giới hạn cho mỗi client truy cập internet
Để cấu hình thêm các thông số khác chúng ta chọn tab Login


48



*Phần Login By:
Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn
là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login
lại thì chúng ta bỏ chọn phần Cookie.
Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ
hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp
cho các máy con; Phần Out.Interface=ether2 (Nic kết nối WAN) .


49



H nh 5-19: Cấu hình NAT - 1
Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau
đó Apply và OK.


50



Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng
máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng
account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.


51



H nh 5-21: Giao diện đăng nhập hotspot
5.4. Cấu hình iới hạn b ndwith
Trong ví dụ này chúng ta cấu hình để giới hạn băng thông sử dụng gồm
download và upload cho mỗi máy con
5.4.1. Cấu ìn giới ạn băng t ông download tối đa là 10kbp
Từ menu chính chọn Queues, vào tab Queue Types, Nếu thấy có queue nào thì
remove, sau đó click vào dấu + để add 1 Queue Type mới rồi cấu hình nhƣ hình dƣới.


52



H nh 5-22: Cấu hình giới hạn băng thông download - 1
Tiếp theo vào tab Settings rồi nhập vào Rate= 10000 (tƣơng đƣơng 10kbps),
Limit=50, Total Limit=2000 rồi click chọn vàot Dst. Address nhƣ hình dƣới.


53



H nh 5-23: Cấu hình giới hạn băng thông download - 2
5.4.2. Cấu ìn giới ạn băng t ông upload
àm tƣơng tự nhƣ phần trên, tạo một Queue tƣơng tự , điền vào thông số Rate
cho phù hợp rồi chọn Src. Address thay vì Dst. Address nhƣ trên.


54



H nh 5-24: Cấu hình giới hạn băng thông upload - 1

H nh 5-25: Cấu hình giới hạn băng thông upload - 2
Tiếp theo trong màn hình chính của Queue List, click tab Simple Queues rồi
click vào dấu + để tạo mới một một simple queue, nhập vào tên và dãy địa chỉ mạng
an nhƣ hình dƣới.


55



H nh 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1
Tiếp theo click vào tab Advanced, ở mục Queue type chúng ta chọn 2 queue cho
download và upload đã tạo ở trên


56



H nh 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2


57



5.5. Quản lý n ƣời dùn internet
5.5.1. Tạo dan

ác người dùng internet qua Hotspot

Sau đó click vào tab User.
Để tạo một user click vào dấu +

H nh 5-28: Giao diện tạo user
Nhập tên và mật khẩu, nếu muốn khống chế user theo địa chỉ IP hay MAC thì
nhập vào ô phía dƣới. Phần quan trọng ở đây chính là Profile sẽ đƣợc trình bày ở phần
tiếp
Để giới hạn thời gian hay dung lƣợng sử dụng internet cho user này chúng ta
click vào tab Limits và khai báo. Sau đó click OK để hoàn tất.
Tuy nhiên quan trọng nhất là ta phải cấu hình các profile cho user để có thể quản
lý từng user hay nhóm theo các cách khác nhau. Để tạo các Profile cho mỗi hay nhiều
user chúng ta click vào tab Profile trong phần User của giao diện Hotspot.
Chúng ta sẽ thấy xuất hiện một profile có tên Default, profile này đƣợc tạo khi
chúng ta cấu hình phần hotspot. Để tạo mới một profile chúng ta click vào dấu +. Để
hiều các cấu hình profile chúng ta click vào profile default để xem.


58



H nh 5-29: Hospot User Profile Default
Ở đây chúng ta để ý các tham số sau:
- Session Timeout: Thời gian user đƣợc phép sử dụng, sau khi hết thời gian này sẽ tự
động logout.
- Idle Timeout: thời gian nếu user không sử dụng mạng sẽ tự động logout.
- Keepalive Timeout: thời gian dùng cho user(client) đăng nhập mạng sau khi kết nối,
nếu sau thời gian này user chƣa đăng nhập thì địa chỉ IP sẽ đƣợc cấp cho user khác.
- Share Users: cho phép bao nhiêu client dùng chung một account.
- Incoming Filter/Outgoing Filter: chọn các Chain tƣờng lửa cho các gói tin đi
vào/ra, các chain này thông dụng trên các firewall trên nền tảng Linux.
- Phần Transparent Proxy nên tắt (không chọn dấu check).
* Để định hƣớng ngƣời sử dụng sau khi đăng nhập xong sẽ mở một trang web
nào đó (quảng cáo...) chúng ta click vào tab Advertise rồi nhập địa chỉ website vào.


59



5.5.2. C ứng t ực t eo đ a c ỉ IP ay Mac addre
Nếu chúng ta có những máy tính cố định và không muốn mỗi lần đi internet phải
đăng nhập thì chỉ việc cấu hình chứng thực các máy này theo địa chỉ IP hay địa chỉ
Mac của card mạng (trƣờng hợp này rất cần thiết đối với các cơ quan có nhu cầu sử
dụng internet). Nhƣ vậy các máy có địa chỉ đã đƣợc add vào mỗi lần truy xuất internet
sẽ đi thẳng nhƣ bình thƣờng không qua chứng thực. Tuy nhiên cũng có thể làm điều
ngƣợc lại cho phép cấm máy nào không đƣợc đi internet thông qua IP và Mac address
đã nhận biết.
Trong phần giao diện chính Hotspot chúng ta click vào tab IP Bindings

H nh 5-30: Lọc địa chỉ
Sau đó nhập địa chỉ Mac vào hay địa chỉ IP
Quan trọng nhất ở phần Type, nếu chúng ta để mặc định là regular thì không có
tác dụng; Nếu chọn bybassed thì ngƣời dùng đƣợc add địa chỉ sẽ truy cập internet mà
không phải đăng nhập, nếu chọn blocked thì lại không đƣợc đi internet.
5.5.3. C o p ép truy cập một ố trang web k ông cần đăng n ập
Mục đích cho quảng cáo website...
Từ giao diện chính Hotspot chọn tab Walled Garden


60



H nh 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập
Nhập địa chỉ trang web vào Dst.Host, hoặc nhập IP trang web vào Dst. Address.
Nếu muốn cho phép chỉ truy cập một trang nào đó trên địa chỉ website đã cho phép thì
gõ thêm đƣờng dẫn trang đó vào Path.
5.6. Tạo ccount quản trị hệ thốn
Mặc định khi cài đặt hệ thống tạo sẵn account admin với mật khẩu trống, chúng
ta có thể tạo thêm một số account với các quyền khác nhau để quản trị hệ thống
hotspot.
Từ menu chính bên trái chọn User.


61



H nh 5-32: Danh sách người dùng
Để tạo mới một user click vào dấu +

H nh 5-33: Tạo mới người dùng torng danh sách
Nhập tên vào phần Name, gán quyền ở Group, nếu muốn cho phép user này chỉ
đƣợc đăng nhập từ máy có địa chỉ ip nào đó thì nhập vào Allowed Address, muốn
khai báo mật khẩu click Password...
Các ngƣời dùng có thể quản trị hệ thống qua winbox hoặc qua web với địa chỉ IP
của ether1 hoặc ether2.


62



5.7. Quản trị, iám sát hệ thốn
Để quản trị hệ thống hotspot chúng ta có thể thông qua web, trong trƣờng hợp
này là http://192.168.0.1 hay http://192.168.1.20

H nh 5-34: Quản trị giám sát hệ thống
Chúng ta xem hoặc thay đổi đƣợc nhiều thông tin nhƣ card mạng, địa chỉ IP,
tƣờng lửa, các routes, thông tin về máy đang chạy Mikrotik.
Để xem thông tin về băng thông ngƣời dùng, rất quan trọng để xem ai đang
download nhiều hoặc là máy nào đang phát tán virus, ddos... trong winbox, từ menu
chính chúng ta chọn Tools>Torch rồi click vào Start...


63



CHƢƠNG 6: THỰC NGHIỆM
6.1. Mô hình thực n hiệm

H nh 6-1: Mô hình thực nghiệm

H nh 6-2: Giao diện đăng nhập của winbox

64



6.2. Cấu hình DHCP và DNS server
6.2.1. Cấu ìn t ông tin DNS
Từ menu chính chọn IP>DNS, sau đó click Settings rồi điền thông tin nhƣ hình

H nh 6-3: Giao diện cấu hình DNS
Chú ý: Nếu có DNS server trong mạng lan (có forward ra internet) thì điền ip của
máy này vào, còn không thì điền IP Dns server của ISP.
6.2.2. Cấu ìn t ông tin DHCP
Từ menu chính bên trái chọn IP > DHCP-Server rồi click Setup và làm theo
nhƣ hình dƣới.


65



Tiếp theo click Next và để nguyên thông tin IP nhƣ mặc định

Tiếp theo click Next


66



Click Next

Đó là dãy IP mà DHCP sẽ cấp cho các máy con khi kết nối, ở đây chúng ta khai
báo cho phù hợp với hệ thống mạng có sẵn.

Ở đây sẽ khai báo Primary và Secondary DNS server sẽ đƣợc cung cấp cho các
máy con qua DHCP. Tuy nhiên do chúng ta đã cấu hình DNS server rồi nên đây nó
xuất hiện sẵn thông tin, chúng ta không cần khai báo.
Tiếp theo click Next để hoàn tất.
Click vào Setup rồi cấu hình theo thứ tự nhƣ các hình dƣới, hầu hết là chỉ việc
click Next vì mọi cái đã đƣợc chọn tự động


67






68







69



Ở hình trên phần DNS N me chúng ta điền vào tên của máy hotspot(vd:
hotspot.congty.com) đã đƣợc khai báo trong dns server nếu nhƣ trong hệ thống mạng
có dns server, còn không thì để trống chứ không đƣợc khai tùy ý.

Phần này là tạo account đầu tiên cho Hotspot để chúng ta có thể test sau khi cài
xong phần này.
Sau khi hoàn tất, click vào Hotspot mới tạo chúng ta có các thông tin sau:


70



H nh 6-17: Thông tin hotspot mới tạo
Ở đây chúng ta chú ý đến phần Profile, chúng ta có thể tạo nhiều profile để lúc
nào cần thiết thay đổi cho phù hợp. Các profile này dùng quản lý ngƣời truy cập theo
các chế độ mà chúng ta đặt ra.
* Cấu hình Profile cho Hotspot
Trên giao diện chính của hotspot, phần tab Server chúng ta click vào Profile
Chúng ta sẽ thấy có 2 profile tạo sẵn, một là default và một là hsprof1 mới tạo ở
bƣớc trên, để tạo mới một profile chúng ta click vào dấu +, tuy nhiên chúng ta có thể
xem profile hsprof1 mới tạo để hiểu cách tạo các profile khác.


71



HTML Directory: thƣ mục mặc định chứa web login, nếu chúng ta muốn tự
tạo web login khác thì chỉ định thƣ mục chứa web đó ở đây
Rate Limit: băng thông giới hạn cho mỗi client truy cập internet
Để cấu hình thêm các thông số khác chúng ta chọn tab Login


72



*Phần Login By:
Có nhiều giao thức hỗ trợ trên web login, mặc định là giao thức chung đƣợc chọn
là HTTP Chap. Nếu muốn ngƣời dùng mỗi lần logout xong phải nhập account để login
lại thì chúng ta bỏ chọn phần Cookie.
Từ menu chính bên trái chọn IP > Firewall, click vào tab NAT rồi cấu hình nhƣ
hình. Chú ý: Chain=srcnat; Src. Address=192.168.0.0/24 (dãy IP mà DHCP sẽ cấp
cho các máy con; Phần Out.Interface=ether2 (Nic kết nối WAN) .


73



Tiếp theo clic vào tab Action rồi chọn Action=Masquerade nhƣ hình dƣới, sau
đó Apply và OK.


74



Nhƣ vậy cơ bản chúng ta đã cấu hình xong hệ thống hotspot. ây giờ có thể dùng
máy con đăng nhập chúng ta sẽ thấy xuất hiện màn hình đăng nhập của Mikrotic, dùng
account mới tạo sẵn ở bƣớc trên nhập vào chúng ta có thể sử dụng internet đƣợc rồi.


75



H nh 6-22: Giao diện đăng nhập hotspot
6.5. Giao diện đăn nhập Mikrotik router m n

er

H nh 6-23: Giao diện đăng nhập Mikrotik User Manager
Chƣơng trình quản lý ngƣời dùng là một ứng dụng máy chủ RADIUS. Nó là một gói
phần mềm riêng biệt cho RouterOS.

6.6. Cài đặt User Manager


76



- Kiểm tra xem gói user-manager đã đƣợc cài đặt chƣa. Chọn

System –

Packages.

H nh 6-24: Các gói cài đặt trong Mikrotik
- Tải gói "user-manager" trên trang http://www.mikrotik.com/download.
- Mở winbox, sau đó chọn file user-manager.npk vừa tải kéo thả vào winbox.
File sẽ tự động cài đặt.

H nh 6-25: Cách cài đặt các gói cài đặt
- Khởi động lại.
- Kiểm tra lại xem gói user-manager đã đƣợc cài đặt chƣa.


77



6.7. Cấu hình ở winbox
Sau khi hotspot đã hoạt động tốt, chúng ta tiến hành cấu hình user-manager. Mở
winbox, chọn Radius – sau đó chọn dấu cộng (+) để thêm. Cửa sổ mới xuất hiện. Điền
địa chỉ IP của Radius User Manager, mã bí mật. Ví dụ, testing123.
Chú ý: Địa chỉ IP của Radius server phải là IP WAN của router mikrotik hoặc
localhost (127.0.0.1).

H nh 6-26: Cấu hình Radius ở winbox - 1
Chọn OK. Sau đó chọn Incoming. Chọn Accept, điền port is 1700. Sau đó OK.


78



Sau đó mở cửa sổ Hotspot (IP – Hotspot), chọn thẻ Server profiles. Chọn
hsprof1. Sau đó cửa số mới xuất hiện. Chọn thẻ RADIUS. Đánh dấu vào Use radius,
và Accounting. Sau đó chọn OK.

6.8. Cấu hình Mikrotik User Manager
Kết thúc cấu hình ở winbox, mở trình duyệt, và đi đến trang web http://<ipaddress-mikrotik>/userman. Đăng nhập với tên là admin và mật khẩu là để trống.
6.8.1. Cấu ìn router
Chọn routers – add – New. Mô tả của router mới hiện lên, điền name, IP
address, secret, và coa port.


79



H nh 6-29: Cấu hình Mikrotik User Manager
6.8.2. Cấu ìn Cu tomer
Để bảo mật, thay đổi mật khẩu admin khi đăng nhập vào Mikrotik User Manager.
Chọn Customer - admin. Cửa sổ thông tin admin hiện lên, điền password, và một số
thông tin khác vào.


80



H nh 6-30: Cấu hình Customer
Tạo ngƣời dùng ở user manager, và sau đó từ trình duyệt của máy khách đăng
nhập bằng tài khoản ngƣời dùng đã tạo. Nếu thành công có nghĩa là chúng ta đã cấu
hình Mikrotik User Manager thành công nhƣ một Radius Server.
6.8.3. Tạo Voucher trong Mikrotik User Manager
Để chắc chắn rằng bạn đã tạo thành công Mikrotik User Manager nhƣ Radius
Server. Đây là 2 loại vouchers thƣờng đƣợc dùng:
1. Một là, vouchers giới hạn thời gian. Time Voucher 2 hours, hết hạn 10 ngày từ
ngày bắt đầu sử dụng.
2. Hai là, vouchers sử dụng giới hạn hạn ngạch. Quota Voucher 1 G , hết hạn 30
ngày từ ngày bắt đầu sử dụng.
Mở trình duyệt và gõ: http://<ip-address-mikrotik>/userman. Điền tên đăng nhập
và password.
6.8.3.1. Tạo cấu h nh giới hạn
Chọn Profiles – thẻ Limitation. Chọn add – New. Trong cửa sổ Limitation
detail, điền tên là: "1 Giga Bytes", giới hạn tải. Điền một số thông số khác, sau đó
chọn Add.


81



H nh 6-31: Cấu hình giới hạn cho các voucher - 1
Sau đó, ở thẻ Limitation, chọn add – New, điền một tên khác: "2 Hours" và ở
phần Limits – Uptime điền : 120m. Sau đó chọn Add.

H nh 6-32: Cấu hình giới hạn cho các voucher - 2
6.8.3.2. Tạo cấu h nh Voucher
Trong thẻ Profiles, chọn dấu cộng ( + ) để tạo profiles. Điền tên "Time 2
Hours", và chọn Create.


82

TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC

Similar to TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC (20)

Recently uploaded

Recently uploaded (20)

TÌM HIỂU MIKROTIK ROUTER VÀ XÂY DỰNG DEMO HỆ THỐNG HOTSPOT GATEWAY CHO DỊCH VỤ INTERNET LAN-WIFI CÓ CHỨNG THỰC