Tìm hiểu mikrotik router và xây dựng demo hệ thống hotspot gateway cho dịch vụ internet lan wifi có chứng thực

tìm hiểu mikrotik router và xây dựng demo hệ thống hotspot gateway cho dịch vụ internet lan wifi có chứng thực, tìm hiểu về hệ thống mikrotik router và xây dựng demo hệ thống hotspot gateway, giúp bạn có những kiến thưc trong công việc cũng như trong học tập

TRƯỜNG ĐH SPKT TPCHM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Khoa Công Nghệ Thông Tin Độc lập – Tự do – Hạnh phúc

NHIỆM VỤ THỰC HIỆN TIỂU LUẬN CHUYÊN NGÀNH

- Tìm hiểu khái quát về WLAN

- Tìm hiểu về giao thức Radius

- Tìm hiểu về Mikrotik Router

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

TPHCM, Ngày … Tháng … Năm…

Giáo viên hướng dẫn

(ký và ghi rõ họ tên)

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

TPHCM, Ngày … Tháng … Năm…

Giáo viên phản biện

(ký và ghi rõ họ tên)

Trong phạm vi khả năng cho phép, chúng em đã rất cố gắng để hoàn thành đề tài một cách tốt nhất Song, chắc chắn sẽ không tránh khỏi những thiếu sót Chúng em kính mong nhận đƣợc sự cảm thông và những ý kiến đóng góp của quý thầy cô và các bạn

Tp.HCM, tháng 12 năm 2013,

Nhóm sinh viên thực hiện đề tài

MỤC LỤC

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 2

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 3

LỜI CẢM ƠN 4

MỤC LỤC 5

DANH MỤC HÌNH ẢNH 8

DANH MỤC BẢNG BIỂU 11

CHƯƠNG 1: GIỚI THIỆU WIRELESS LAN 12

1.1 Tổng quan về wireless LAN 12

1.1.1 ịch sử ra đời 12

1.1.2 Nguyên tắc hoạt động của mạng Wireless LAN 13

1.2 Ưu-nhược điểm của mạng Wireless LAN 13

1.2.1 Ưu điểm 13

1.2.2 Nhược điểm 14

1.3 Các chuẩn phổ biến của WLAN 14

1.3.1 Chuẩn 802.11b 15

1.3.2 Chuẩn 802.11a 15

1.3.3 Chuẩn 802.11g 15

1.3.4 Chuẩn 802.11n 15

1.3.5 Chuẩn 802.11ac 16

CHƯƠNG 2: TÌM HIỂU VỀ GIAO THỨC RADIUS 18

2.1 Giới thiệu về giao thức RADIUS 18

2.2 Hoạt động 18

2.3 Giao thức truyền tin 21

2.4 Cơ chế bảo mật xác thực 21

2.5 Cơ chế ủy quyền 21

2.6 Cấu trúc gói tin RADIUS 22

2.6.1 Trường code 23

2.6.2 Trường Identifier 23

2.6.3 Trường length 23

2.6.4 Trường Authenticator 24

2.6.5 Trường Attribute 24

2.7 Các loại gói tin 26

2.7.1 Access-Request 26

2.7.2 Access-Accept 27

2.7.3 Access-Reject 27

2.7.4 Access-Chanllenge 28

CHƯƠNG 3: GIỚI THIỆU VỀ MIKROTIK ROUTER 30

3.1 Giới thiệu 30

3.2 Những bước cơ bản 30

3.2.1 Lần đầu tiên khởi động 30

3.2.1.1 Tổng quan 30

3.2.1.2 Winbox 30

3.2.1.3 WebFig 32

3.2.1.4 CLI 32

3.2.2 Quá trình đăng nhập bằng giao diện điều khiển 33

CHƯƠNG 4: CẤU HÌNH MIKROTIK THÔNG QUA DÒNG LỆNH 35

4.1 Cấu hình địa chỉ IP 35

4.2 Cấu hình DHCP Server 35

4.3 Cấu hình Hotspot 36

4.4 Cấu hình NAT 37

4.5 Một số lệnh trên máy Hotspot chạy Mikrotik 37

CHƯƠNG 5: CẤU HÌNH MIKROTIK THÔNG QUA WINBOX 41

5.1 Cấu hình DHCP và DNS server 41

5.1.1 Cấu hình thông tin DNS 41

5.1.2 Cấu hình thông tin DHCP 42

5.2 Cấu hình Hotspot 44

5.3 Cấu hình NAT 49

5.4 Cấu hình giới hạn bandwith 52

5.4.1 Cấu hình giới hạn băng thông download tối đa là 10kbps 52

5.4.2 Cấu hình giới hạn băng thông upload 54

5.5 Quản lý người dùng internet 58

5.5.1 Tạo danh sách người dùng internet qua Hotspot 58

5.5.2 Chứng thực theo địa chỉ IP hay Mac address 60

5.5.3 Cho phép truy cập một số trang web không cần đăng nhập 60

5.6 Tạo account quản trị hệ thống 61

5.7 Quản trị, giám sát hệ thống 63

CHƯƠNG 6: THỰC NGHIỆM 64

6.1 Mô hình thực nghiệm 64

6.2 Cấu hình DHCP và DNS server 65

6.2.1 Cấu hình thông tin DNS 65

6.2.2 Cấu hình thông tin DHCP 65

6.3 Cấu hình Hotspot 67

6.4 Cấu hình NAT 73

6.5 Giao diện đăng nhập Mikrotik router manager 76

6.6 Cài đặt User Manager 76

6.7 Cấu hình ở winbox 78

6.8 Cấu hình Mikrotik User Manager 79

6.8.1 Cấu hình routers 79

6.8.2 Cấu hình Customer 80

6.8.3 Tạo Voucher trong Mikrotik User Manager 81

6.8.3.1 Tạo cấu hình giới hạn 81

6.8.3.2 Tạo cấu hình Voucher 82

6.8.3.3 Tạo người dùng 85

KẾT LUẬN 87

TÀI LIỆU THAM KHẢO 88

DANH MỤC HÌNH ẢNH

Hình 2-1: Radius server hoat động theo mô hình Client/server 19

Hình 2-2: Sự tương tác giữa host, client và radius server 20

Hình 2-3: Cơ chế ủy quyền 22

Hình 2-4: Cấu trúc gói tin Radius 23

Hình 2-5: Trường Attribute trong gói tin Radius 24

Hình 2-6: Định dạng gói tin Access-Request 26

Hình 2-7: Định dạng gói tin Access-Request 27

Hình 2-8:Cấu trúc gói tin Access-Reject 28

Hình 2-9:Cấu trúc gói tin Access-Chanllenge 29

Hình 3-1: Router BOARD 30

Hình 3-2: Cửa sổ chính của winbox 31

Hình 3-3: Cửa sổ chính của webfig 32

Hình 3-4: Giao diện dòng lệnh 33

Hình 4-1: Các đầu mục cơ bản 38

Hình 4-2: Các đầu mục con 39

Hình 5-1: Giao diện đăng nhập của winbox 41

Hình 5-2: Giao diện cấu hình DNS 42

Hình 5-3: Cấu hình DHCP Server - 1 42

Hình 5-4: Cấu hình DHCP Server - 2 43

Hình 5-5: Cấu hình DHCP Server - 3 43

Hình 5-6: Cấu hình DHCP Server - 4 43

Hình 5-7: Cấu hình DHCP Server - 5 43

Hình 5-8: Cấu hình hotspot - 1 44

Hình 5-9: Cấu hình hotspot - 2 44

Hình 5-10: Cấu hình hotspot - 3 45

Hình 5-11: Cấu hình hotspot - 4 45

Hình 5-12: Cấu hình hotspot - 5 45

Hình 5-13: Cấu hình hotspot - 6 46

Hình 5-14: Cấu hình hotspot - 7 46

Hình 5-15: Cấu hình hotspot - 8 46

Hình 5-16: Thông tin hotspot mới tạo 47

Hình 5-17: Cấu hình profile cho hotspot - 1 48

Hình 5-18: Cấu hình profile cho hotspot - 2 49

Hình 5-19: Cấu hình NAT - 1 50

Hình 5-20: Cấu hình NAT - 2 51

Hình 5-21: Giao diện đăng nhập hotspot 52

Hình 5-22: Cấu hình giới hạn băng thông download - 1 53

Hình 5-23: Cấu hình giới hạn băng thông download - 2 54

Hình 5-24: Cấu hình giới hạn băng thông upload - 1 55

Hình 5-25: Cấu hình giới hạn băng thông upload - 2 55

Hình 5-26: Giới hạn băng thông cho các dãy địa chỉ - 1 56

Hình 5-27: Giới hạn băng thông cho các dãy địa chỉ - 2 57

Hình 5-28: Giao diện tạo user 58

Hình 5-29: Hospot User Profile Default 59

Hình 5-30: Lọc địa chỉ 60

Hình 5-31: Cấu hình cho phép truy nhập trang web không cần đăng nhập 61

Hình 5-32: Danh sách người dùng 62

Hình 5-33: Tạo mới người dùng torng danh sách 62

Hình 5-34: Quản trị giám sát hệ thống 63

Hình 6-1: Mô hình thực nghiệm 64

Hình 6-2: Giao diện đăng nhập của winbox 64

Hình 6-3: Giao diện cấu hình DNS 65

Hình 6-4: Cấu hình DHCP Server - 1 66

Hình 6-5: Cấu hình DHCP Server - 2 66

Hình 6-6: Cấu hình DHCP Server - 3 66

Hình 6-7: Cấu hình DHCP Server - 4 67

Hình 6-8: Cấu hình DHCP Server - 5 67

Hình 6-9: Cấu hình hotspot - 1 68

Hình 6-10: Cấu hình hotspot - 2 68

Hình 6-11: Cấu hình hotspot - 3 68

Hình 6-12: Cấu hình hotspot - 4 69

Hình 6-13: Cấu hình hotspot - 5 69

Hình 6-14: Cấu hình hotspot - 6 69

Hình 6-15: Cấu hình hotspot - 7 70

Hình 6-16: Cấu hình hotspot - 8 70

Hình 6-17: Thông tin hotspot mới tạo 71

Hình 6-18: Cấu hình profile cho hotspot - 1 72

Hình 6-19: Cấu hình profile cho hotspot - 2 73

Hình 6-20: Cấu hình NAT - 1 74

Hình 6-21: Cấu hình NAT - 2 75

Hình 6-22: Giao diện đăng nhập hotspot 76

Hình 6-23: Giao diện đăng nhập Mikrotik User Manager 76

Hình 6-24: Các gói cài đặt trong Mikrotik 77

Hình 6-25: Cách cài đặt các gói cài đặt 77

Hình 6-26: Cấu hình Radius ở winbox - 1 78

Hình 6-27: Cấu hình Radius ở winbox - 2 79

Hình 6-28: Cấu hình Radius ở winbox - 2 79

Hình 6-29: Cấu hình Mikrotik User Manager 80

Hình 6-30: Cấu hình Customer 81

Hình 6-31: Cấu hình giới hạn cho các voucher - 1 82

Hình 6-32: Cấu hình giới hạn cho các voucher - 2 82

Hình 6-33: Cấu hình giới hạn cho các voucher - 3 83

Hình 6-34: Cấu hình giới hạn cho các voucher - 4 83

Hình 6-35: Cấu hình giới hạn cho các voucher - 5 84

Hình 6-36: Cấu hình giới hạn cho các voucher - 6 84

Hình 6-37: Cấu hình giới hạn cho các voucher - 7 85

Hình 6-38: Cấu hình giới hạn cho các voucher - 8 85

Hình 6-39: Hiển thị thông tin các Voucher 86

Hình 6-40: Hiển thị thêm thuộc tính 86

DANH MỤC BẢNG BIỂU

ảng 2-1: Các giá trị phổ biến của trường code trong gói tin Radius 23 ảng 2-2: Định dạng của trường Value 24 ảng 2-3: Các thuộc tính của trường Attribute 25

CHƯƠNG 1: GIỚI THIỆU WIRELESS LAN

1.1 Tổng quan về wireless LAN

Wireless LAN (WLAN) là một loại mạng máy tính mà việc kết nối giữa các thành

phần trong mạng không sử dụng các loại cáp như một mạng thông thường, môi trường truyền thông của các thành phần trong mạng là không khí và các thành phần trong mạng sử dụng sóng điện từ để truyền thông với nhau

1.1.1 c ử ra đời

Công nghệ WLAN lần đầu tiên xuất hiện vào cuối năm 1990, khi những nhà sản xuất giới thiệu những sản phẩm hoạt động trong băng tần 900Mhz Những giải pháp này cung cấp tốc độ truyền dữ liệu 1Mbps -thấp hơn nhiều so với tốc độ 10Mbps của hầu hết các mạng sử dụng cáp hiện thời

Năm 1992, những nhà sản xuất bắt đầu bán những sản phẩm WLAN sử dụng băng tần 2.4Ghz Mặc dù những sản phẩm này đã có tốc độ truyền dữ liệu cao hơn nhưng chúng vẫn là những giải pháp riêng của mỗi nhà sản xuất không được công bố rộng rãi Sự cần thiết cho việc thống nhất hoạt động giữa các thiết bị ở những dãy tần

số khác nhau dẫn đến một số tổ chức bắt đầu phát triển ra những chuẩn mạng không dây chung

Năm 1997, Institute of Electrical and Electronics Engineers (IEEE) đã phê chuẩn

sự ra đời của chuẩn 802.11 và được biết với tên gọi WIFI (Wireless Fidelity) cho các

mạng WLAN Chuẩn 802.11 hỗ trợ ba phương pháp truyền tín hiệu Trong đó có phương pháp truyền tín hiệu vô tuyến ở tần số 2.4Ghz

Năm 1999, IEEE thông qua hai sự bổ sung cho chuẩn 802.11 là các chuẩn

802.11a và 802.11b (định nghĩa ra những phương pháp truyền tín hiệu) Những thiết

bị WLAN dựa trên chuẩn 802.11b đã nhanh chóng trở thành công nghệ không dây vượt trội Các thiết bị WLAN 802.11b truyền phát ở tần số 2.4Ghz, cung cấp tốc độ truyền dữ liệu có thể lên tới 11Mbps

Năm 2003, IEEE công bố thêm một sự cải tiến là chuẩn 802.11g, có thể truyền nhận thông tin ở cả hai dãy tần 2.4Ghz và 5Ghz và có thể nâng tốc độ truyền dữ liệu lên đến 54Mbps Thêm vào đó, những sản phẩm áp dụng 802.11g cũng có thể tương thích ngược với các thiết bị chuẩn 802.11b

Năm 2009, Chuẩn Wi-Fi thế hệ thứ tư ra đời với tên gọi 802.11n, tốc độ tối đa 600Mb/s (trên thị trường phổ biến có các thiết bị 150Mb/s, 300Mb/s và 450Mb/s) Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router hỗ trợ thì hai băng tần này có thể cùng được phát sóng song song

Năm 2013 đánh dấu sự xuất hiện của Chuẩn Wi-Fi thế hệ thứ năm 802.11ac Về mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi 802.11n ở cùng một loại thiết bị và môi trường truyền dẫn

1.1.2 Nguyên tắc hoạt động của mạng Wireless LAN

Mạng WLAN sử dụng sóng điện từ (vô tuyến và tia hồng ngoại) để truyền thông

tin từ điểm này sang điểm khác Để nhận được dữ liệu máy thu vô tuyến bắt sóng một tần số vô tuyến xác định và bỏ qua các tín hiệu vô tuyến trên các tần số khác

Trong một cấu hình mạng WLAN tiêu biểu, một thiết bị thu phát được gọi là một

điểm truy cập (AP- Access Point) nối tới mạng nối dây từ một vị trí cố định sử dụng

cáp Ethernet chuẩn AP nhận, lưu vào bộ nhớ đệm và truyền dữ liệu giữa các mạng

W AN và cơ sở hạ tầng mạng nối dây Một điểm AP đơn phục vụ cho một nhóm nhỏ người dùng trong phạm vi nhỏ

Người dùng đầu cuối truy cập mạng WLAN thông qua card giao tiếp mạng

Wireless AN Điểm truy cập (hoặc anten được gắn tới nó) thông thường được gắn

trên cao nhưng thực tế được gắn bất cứ nơi đâu miễn là đáp ứng được nhu cầu thu

phát

1.2 Ưu-nhược điểm của mạng Wireless LAN

1.2.1 Ưu điểm

- Sự tiện lợi: Mạng không dây cũng như hệ thống mạng thông thường Nó cho

phép người dùng truy xuất tài nguyên mạng ở bất kỳ nơi đâu trong khu vực được triển khai (nhà hay văn phòng) Với sự gia tăng số người sử dụng máy tính xách tay, đó là một điều rất thuận lợi

- Khả năng di động: Với sự phát triển của các mạng không dây công cộng, người

dùng có thể truy cập Internet ở bất cứ đâu Chẳng hạn ở các quán Cafe, người dùng có thể truy cập Internet không dây miễn phí

- Hiệu quả: Người dùng có thể duy trì kết nối mạng khi họ đi từ nơi này đến nơi

khác

- Triển khai: Việc thiết lập hệ thống mạng không dây ban đầu chỉ cần ít nhất 1

access point Với mạng dùng cáp, phải tốn thêm chi phí và có thể gặp khó khăn trong việc triển khai hệ thống cáp ở nhiều nơi trong tòa nhà

- Khả năng mở rộng: Mạng không dây có thể đáp ứng tức thì khi gia tăng số

lượng người dùng Với hệ thống mạng dùng cáp cần phải gắn thêm cáp

1.2.2 N ược điểm

- Bảo mật: Môi trường kết nối không dây nên khả năng bị tấn công là rất cao

- Phạm vi: Một mạng chuẩn 802.11g với các thiết bị chuẩn chỉ có thể hoạt động

tốt trong phạm vi vài chục mét Nó phù hợp trong 1 căn nhà, nhưng với một tòa nhà lớn thì không đáp ứng được nhu cầu Để đáp ứng cần phải mua thêm Repeater hay access point, dẫn đến chi phí gia tăng

- Độ tin cậy: Vì sử dụng sóng vô tuyến để truyền thông nên việc bị nhiễu, tín

hiệu bị giảm do tác động của các thiết bị khác là không tránh khỏi Làm giảm đáng kể hiệu quả hoạt động của mạng

- Tốc độ: Tốc độ của mạng không dây (1- 125 Mbps) rất chậm so với mạng sử

dụng cáp(100Mbps đến hàng Gbps) Tuy nhiên hiện nay khoảng cách này đã được rút ngắn khá nhiều

1.3 Các chuẩn phổ biến của WLAN

IEEE (Institute of Electrical and Electronics Engineers) là tổ chức đi tiên

phong trong lĩnh vực chuẩn hóa mạng LAN với đề án IEEE 802 nổi tiếng bắt đầu triển khai từ năm 1980 và kết quả là hàng loại các chuẩn thuộc họ 802.x ra đời 802.11 là một trong các chuẩn của họ 802.x bao gồm các giao thức truyền tin qua mạng không dây

1.3.1 Chuẩn 802.11b

Ra đời năm 1999 Chuẩn này đáp ứng đủ cho phần lớn các ứng dụng của mạng, hoạt động ở dải tần 2,4GHz, tốc độ truyền dữ liệu tối đa là 11 Mbps Đây là chuẩn được chấp nhận rộng rãi trên thế giới

Nhược điểm của chuẩn này là hoạt động ở dải tần 2,4Ghz trùng với dải tần của nhiều thiết bị khác trong gia đình nên có thể bị nhiễu

1.3.2 C uẩn 802.11a

à phiên bản nâng cấp của 82.11b, dùng kĩ thuật điều chế OFDM

(Orthogonal frequency-division multiplexing), cho phép truyền dữ liệu nhanh hơn, Tốc

độ truyền dữ liệu từ 20 Mbps đến 54 Mbps Các hệ thống sử dụng chuẩn này hoạt động ở băng tần 5Ghz

Chuẩn 802.11a không có khả ngăn tương thích với 802.11b do chúng hoạt động

ở các dải tần khác nhau Điểm yếu của chuẩn này là dải phủ sóng hẹp và dễ bị che khuất (tần số càng cao thì dải truyền tín hiệu càng ngắn)

1.3.3 Chuẩn 802.11g

Chuẩn này hoạt động trên cùng tần số với 802.11b Tuy nhiên chúng hỗ trợ tốc

độ truyền dữ liệu nhanh gấp 5 lần so với chuẩn 802.11b với cùng một phạm vi phủ sóng Tốc độ truyền dữ liệu tối đa có thể lên tới 54Mbps Các thiết bị thuộc chuẩn 802.11b và 802.11g hoàn toàn tương thích với nhau tuy nhiên khi trộn lẫn các thiết bị của 2 chuẩn đó với nhau thì các thiết bị sẽ hoạt động theo chuẩn nào có tốc độ thấp hơn

1.3.4 C uẩn 802.11n

Đây là chuẩn được thiết kế để cải thiện cho 802.11g trong tổng số băng thông được hỗ trợ bằng cách tận dụng nhiều tín hiệu không dây và các anten (công nghệ

MIMO) Khi chuẩn này được đưa ra, các kết nối 802.11n hỗ trợ tốc độ dữ liệu từ 54

đến 600 Mbps 802.11n cũng cung cấp phạm vi bao phủ tốt hơn so với các chuẩn

Wi-Fi trước nó nhờ cường độ tín hiệu mạnh của nó Thiết bị 802.11n có thể tương thích với các thiết bị 802.11g

Chuẩn này có thể hoạt động trên cả hai băng tần 2,4GHz lẫn 5GHz và nếu router

hỗ trợ thì hai băng tần này có thể cùng được phát sóng song song với nhau

1.3.5 C uẩn 802.11ac

Tốc độ tối đa hiện là 1730Mbps (sẽ còn tăng tiếp) và chỉ chạy ở băng tần 5GHz Một số mức tốc độ thấp hơn (ứng với số luồng truyền dữ liệu thấp hơn) bao gồm 450Mbps và 900Mbps

Về mặt lý thuyết, Wi-Fi 802.11ac sẽ cho tốc độ cao gấp ba lần so với Wi-Fi 802.11n ở cùng số luồng (stream) truyền, ví dụ khi dùng ăng-ten 1x1 thì Wi-Fi ac cho tốc độ 450Mbps, trong khi Wi-Fi n chỉ là 150Mbps Còn nếu tăng lên ăng-ten 3x3 với

ba luồng, Wi-Fi ac có thể cung cấp 1300Mb/s, trong khi Wi-Fi n chỉ là 450Mb/s Tuy nhiên, những con số nói trên chỉ là tốc độ tối đa trên lý thuyết, còn trong đời thực thì tốc độ này sẽ giảm xuống tùy theo thiết bị thu phát, môi trường, vật cản, nhiễu tín hiệu

* u điểm chu n ac

- Băng thông kênh truyền rộng hơn: ăng thông rộng hơn giúp việc truyền dữ

liệu giữa hai thiết bị được nhanh hơn Trên băng tần 5GHz, Wi-Fi 802.11ac hỗ trợ các kênh với độ rộng băng thông 20MHz, 40MHz, 80MHz và tùy chọn 160MHz Trong khi đó, 802.11n chỉ hỗ trợ kênh 20MHz và 40MHz mà thôi

- Nhiều luồng dữ liệu hơn: Spatial stream là một luồng dữ liệu được truyền đi

bằng công nghệ đa ăng-ten MIMO Nó cho phép một thiết bị có thể phát đi cùng lúc nhiều tín hiệu bằng cách sử dụng nhiều hơn 1 ăng-ten 802.11n có thể đảm đương tối

đa 4 spatial stream, còn với Wi-Fi 802.11ac thì con số này được đẩy lên đến 8 luồng Tương ứng với đó sẽ là 8 ăng-ten, còn gắn trong hay ngoài thì tùy nhà sản xuất nhưng thường họ sẽ chọn giải pháp gắn trong để đảm bảo tính thẩm mỹ

- Hỗ trợ Multi user-MIMO: ở Wi-Fi 802.11n, một thiết bị có thể truyền nhiều

spatial stream nhưng chỉ nhắm đến 1 địa chỉ duy nhất Điều này có nghĩa là chỉ một thiết bị (hoặc một người dùng) có thể nhận dữ liệu ở một thời điểm Người ta gọi đây

là single-user MIMO (SU-MIMO) Còn với chuẩn 802.11ac, một kĩ thuật mới được bổ sung vào với tên gọi multi-user MIMO Nó cho phép một access point sử dụng nhiều ăng-ten để truyền tín hiệu đến nhiều thiết bị (hoặc nhiều người dùng) cùng lúc và trên cùng một băng tần Các thiết bị nhận sẽ không phải chờ đợi đến lượt mình như SU-MIMO, từ đó độ trễ sẽ được giảm xuống đáng kể

- Beamforimg: Wi-Fi là một mạng đa hướng, tức tín hiệu từ router phát ra sẽ tỏa

ra khắp mọi hướng Tuy nhiên, các thiết bị 802.11ac có thể sử dụng một công nghệ dùng để định hướng tín hiệu truyền nhận gọi là beamforming Router sẽ có khả năng xác định vị trí của thiết bị nhận, ví dụ như laptop, smartphone, tablet, để rồi tập trung đẩy năng lượng tín hiệu lên mức mạnh hơn hướng về phía thiết bị đó Mục đích của beamforming đó là giảm nhiễu Mặc dù sóng Wi-Fi vẫn tỏa ra khắp mọi hướng, tuy nhiên với công nghệ beamforming thì chùm tín hiệu có thể được định hướng tốt hơn đến một thiết bị xác định trong vùng phủ sóng

- Tầm phủ sóng rộng hơn: chúng ta có thể thấy rằng với cùng 3 ăng-ten, router

dùng chuẩn 802.11ac sẽ cho tầm phủ sóng rộng đến 90 mét, trong khi router xài mạng 802.11n có tầm phủ sóng chỉ khoảng 80 mét là tối đa Tốc độ của mạng 802.11ac ở từng mức khoảng cách cũng nhanh hơn 802.11n Với những nhà, văn phòng rộng, chúng ta có thể giảm số lượng repeater cần dùng để khuếch đại và lặp tín hiệu, tiết kiệm được kha khá chi phí

- Router Wi-Fi ac tương thích ngược với các chu n cũ: hiện nay, hầu hết

các router Wi-Fi trên thị trường có hỗ trợ chuẩn 802.11ac sẽ hỗ trợ thêm các chuẩn cũ, bao gồm b/g/n Chúng cũng sẽ có hai băng tần 2,4GHz lẫn 5GHz Đối với những router có khả năng chạy hai băng tần cùng lúc, băng tần 2,4GHz sẽ được sử dụng để

phát Wi-Fi n, còn 5GHz sẽ dùng để phát Wi-Fi ac

CHƯƠNG 2: TÌM HIỂU VỀ GIAO THỨC RADIUS

2.1 Giới thiệu về giao thức RADIUS

RADIUS (Remote Authentication Dial In User Service) là một giao thức có khả ngăn cung cấp xác thực tập trung, cấp phép và kiểm toán (Authentication, Authorization và Accounting-AAA)

Với những hệ thống lớn, nhiều người dùng thì việc quản trị là rất quan trọng việc bảo mật, xác thực và kiểm toán Điều này có thể đạt được bằng cách xây dựng cơ

sở dữ liệu người dùng để cho phép xác thực (xác minh username và password), cũng như các thông tin cấu hình cụ thể của các dịch vụ mà người dùng được quyền sử dụng như S IP, PPP, Telnet

Giao thức RADIUS được sử dụng rộng rãi vì một số lý do sau:

- Một số hệ thống đơn không thể đáp ứng được nhu cầu chứng thực khi lượng người sử dụng tăng cao

- RADIUS tạo điều kiện cho người sử dụng quản lý tập trung Nhiều ISP có hàng chục ngàn, hàng trăm ngàn hay thậm chí hàng triệu người dùng Người dùng được thêm vào và xoá liên tục trong ngày và xác thực người dùng thay đổi liên tục trong ngày do đó quản trị tập trung là yêu cầu quan trọng

- RADIUS cung cấp một số cấp độ bảo mật và chống tấn công và gần như được

hỗ trợ ở khắp nơi Các giao thức khác không được hỗ trợ nhiều về phần cứng còn RADIUS thì ngược lại

2.2 Hoạt độn

RADIUS hoạt động theo mô hình client/ server

- Client: được chạy trên NAS (network access server) nằm trên toàn mạng Nó

chuyển các thông tin người dùng lên server bằng các phương thức được định nghĩa sẵn

- Server: chạy trên máy tính hoặc máy trạm tại trung tâm mạng và duy trì các

thông tin liên quan đến việc xác thực người dùng và các dịch vụ truy cập mạng Nó

xác thực một người dùng sau khi nhận được một yêu cầu kết nối và xử lý sau đó trả về kết quả (ví dụ như từ chối truy cập, chấp nhận yêu cầu của người dùng) cho client Nói chung RADIUS server duy trì ba cơ sở dữ liệu gồm người dùng (Users), khách (Clients), từ điển (Dictionary) như hình bên dưới

H nh 2-1: Radius server hoat động theo mô hình Client/server

- Users: lưu trữ thông tin về người dùng như tài khoản, mật khẩu, các giao thức ứng

dụng và địa chỉ IP

- Clients:lưu trữ các thông tin về RADIUS client như khóa chia sẻ, địa chỉ IP

- Dictionary: lưu trữ các thông tin mô tả các thuộc tính và giá trị của giao thức

RADIUS

Hình bên dưới thể hiện sự tương tác giữa host, client và radius server

H nh 2-2: Sự tương tác giữa host, client và radius server

Sau đây là cách radius hoạt động:

- Bước 1: Các host khởi tạo và gửi các yêu cầu kết nối đến radius client (chứa tài

khoản và mật khẩu người dùng)

- Bước 2: Sau khi nhận được tên người dùng và mật khẩu , RADIUS client sẽ gửi một

yêu cầu chứng thực ( Access-Request ) đến máy chủ RADIUS , mật khẩu người dùng được mã hóa bởi các Message-Digest 5 (MD5) thuật toán với khóa chia sẻ trước khi được gửi đi

- Bước 3: Các máy chủ RADIUS xác nhận tên người dùng và mật khẩu Nếu xác thực

thành công, nó sẽ gửi lại một thông báo Access-Accept có chứa các thông tin về quyền của người sử dụng Nếu xác thực thất bại, nó sẽ trả về một thông báo Access-Reject

- Bước 4: Các RADIUS Client chấp nhận hoặc từ chối người sử dụng theo kết quả xác

thực nhận được từ server Nếu nó chấp nhận người sử dụng, nó sẽ gửi một yêu cầu bắt đầu – kiểm toán (Accounting-Request) đến máy chủ RADIUS

- Bước 5: Các RADIUS Server trả về một thông điệp khởi động kế toán ( Accounting-

Response) và bắt đầu kế toán (start-Accounting)

- Bước 6: Các host có thể truy cập các tài nguyên trong mạng theo quyền đã được quy

định sẵn

- Bước 7: Để kết thúc phiên làm việc host gửi một yêu cầu ngắt kết nối tới RADIUS

client và RADIUS client gửi một yêu cầu ngắt kết nối đến RADIUS server

- Bước 8: RADIUS server trả về thông điệp ngắt kết nối (stop-accounting) và dừng

kiểm toán

- Bước 9: Host ngừng truy cập tài nguyên mạng

2.3 Gi o thức tru ền tin

RADIUS dùng UTP thay cho TCP vì một số đặc điểm sau:

- Thời gian yêu cầu của 2 giao thức này khác nhau khá đáng kể: một bên RADIUS không yêu cầu xác thực dữ liệu bị mất Người dùng sẵn sàng chờ một vài giây để xác thực hoàn thành do đó việc truyền lại của TCP là không cần thiết Mặt khác người dùng không cần mất nhiều thời gian để xác thực Nếu dùng TCP người dùng sẽ mất thời gian xác thực lãng phí

- Tính phi trạng thái của UDP giúp đơn giản hoá khi sử dụng: client và server có thể vào hoặc ra Hệ thống khởi động lại hoặc gặp trục trặc sẽ không gây ra vấn đề về thời gian chờ kết nối

- UDP giúp đơn giản hoá việc triển khai máy chủ: trước đây máy chủ chỉ xử lý đơn luồng, có nghĩa là từng yêu cầu một được nhận, xử lý và trả lại Điều này sẽ làm mất tính thời gian thực Giải pháp là làm máy chủ chạy đa nhiệm Điều này có thể làm

dc đơn giản với UDP

2.4 Cơ chế bảo mật xác thực

Thông tin trao đổi giữa client và server được xác thực bởi một khóa chia sẻ khóa này không bao giờ được truyền đi qua mạng do đó nâng cao tính bảo mật của thông tin Để ngăn chặn mật khẩu người dùng bị bắt trong các mạng không an toàn các mật khẩu được mã hóa trong quá trình truyền

2.5 Cơ chế ủy quyền

H nh 2-3: Cơ chế ủy quyền

RADIUS server có thể gửi gói tin Access-request của NAS tới một RADIUS server khác (Remote Server) Remote Server này sẽ trả lời (Access-Accept, Access-Reject, Access-Challenge ) cho server đã gửi yêu cầu cho nó Sau đó server này sẽ gửi lại cho NAS

úc này, máy chủ RADIUS server có chức năng như một máy chủ chuyển tiếp Chúng ta có thể xây dựng một chuỗi các máy chủ u quyền trước khi đến Remote Server nhưng cần chú ý để tránh lặp vòng Dưới đây là mô tả một phiên làm việc của RADIUS server proxy, NAS và Remote RADIUS server:

- Bước 1: NAS sẽ gửi một yêu câu truy cập (Access-request) tới máy chủ

RADIUS chuyển tiếp (forwarding server)

- Bước 2: Máy chủ chuyển tiếp (forwarding server) sẽ chuyển tiếp yêu cầu tới

Remote RADIUS server

- Bước 3: Remote server sẽ gửi một Accept, Reject,

Access-Challenge tới máy chủ chuyển tiếp.(ở đây ta chọn Access-Accept)

- Bước 4: Máy chủ chuyển tiếp sẽ gửi Access-Accept tới NAS

2.6 Cấu trúc gói tin RADIUS

Hình dưới cho thấy cấu trúc gói tin RADIUS

H nh 2-4: Cấu trúc gói tin Radius

2.6.1 Trường code

Dài 1 byte Mô tả loại gói tin RADIUS Bảng dưới mô tả các giá trị phổ biến và ý nghĩa của chúng

Bảng 2-1: Các giá trị phổ biến của trường code trong gói tin Radius

1 Access-Request Được gửi từ Client tới Server Chứa thông tin xác

thực người dùng

2 Access-Accept Từ server tới client Nếu tất cả các thuộc tính xác

thực chính xác thì server gửi trả gói tin Accept

Access-3 Access-Reject Gửi từ Server tới Client Nếu xác thực thất bại server

sẽ gửi gói tin này để trả lời cho người dùng

4

Accounting-Request

Gửi từ clien tới server Gói tin loại này chứa thông tin người dùng để yêu cầu bắt đầu hay kết thúc kiểm toán

20-4096 byte yte vượt quá chiều dài được coi là đệm và bị bỏ sau khi nhận được Nếu chiều dài của một gói tin nhận được là ít hơn so với chiều dài chỉ định trong trường length thì các gói tin đó sẽ bị loại bỏ

H nh 2-5: Trường Attribute trong gói tin Radius

Trong đó:

- Type: Một byte, giá trị trong khoảng 1 đến 255 Nó chỉ ra loại thuộc tính

Những thuộc tính thường được sử dụng để xác thực RADIUS và ủy quyền được liệt kê trong Bảng dưới

- Length: Một byte cho biết chiều dài của Attribute bao gồm cả các trường type,

length, và value

- Value: Giá trị của trường Attribute, lên đến 253 byte Định dạng và nội dung

của nó phụ thuộc vào các trường Length và type Định dạng của trường Value là một trong năm loại dữ liệu sau:

Bảng 2-2: Định dạng của trường Value

Text Dài 1-253 byte chứa UTF-8 encoded

String Dài 1-253 byte chứa dữ liệu nhị phân (giá trị từ 0-255 trong hệ

Bảng 2-3: Các thuộc tính của trường Attribute

* Chú ý: Các loại thuộc tính trên đƣợc định nghĩa trong RFC 2865, RFC 2866,

RFC 2867, and RFC 2568

2.7 Các loại gói tin

2.7.1 Access-Request

Các gói tin Access-Request được dùng để gửi tới RADIUS server để yêu cầu truy cập tài nguyên mạng Sau khi nhận được một Access-Requet hợp lệ từ client, một trả lời thích hợp sẽ được truyền đi từ server Một Access-Request bắt buộc phải có NAS-

IP Address hoặc NAS-ID hoặc cả hai

Một Access-Request phải chứa thuộc tính User-password, hoặc CHAP-password hoặc CHAP-State Một Access-Request không thể chứa cả 2 user-password và CHAP-password

Một Access-Request nên chứa một NAS-Port hoặc NAS-Port-Type hoặc cả 2 Một Access-Request có thể chứa các thuộc tính bổ sung như một gợi ý cho máy chủ (máy chủ không yêu cầu các thuộc tính này.) Nếu trong Access-Request có thuộc tính User-password thì nó sẽ được ẩn đi theo thuật toán MD5

ên dưới là định dạng gói tin Access-Request Các trường được truyền đi theo thứ tự từ trái qua phải

H nh 2-6: Định dạng gói tin Access-Request

- Trường Code: có giá trị 1 cho loại gói tin Access-Request

- Trường Identifier: trường này sẽ thay đổi giá trị khi giá trị của các thuộc tính

khác thay đổi hoặc bất cứ khi nào có một sự phản hồi hợp lệ từ một yêu cầu trước đó ngược lại trường này không thay đổi giá trị

- Trường Request Authenticator: trường này phải được thay đổi mỗi khi trường

ID thay đổi

- Trường Attributes: trường này có thể thay đổi độ dài và danh sách các thuộc

tính được yêu cầu cho các loại dịch vụ khác nhau

2.7.2 Access-Accept

Gói tin này được gửi từ máy chủ RADIUS tới Client, và cung cấp các thông tin cấu hình cụ thể cần thiết để người dùng bắt đầu sử dụng dịch vụ.Code sẽ có giá trị 2 để xác định loại gói tín Access-Accept Khi nhận một Access-accept trường Identifier của Access-Request sẽ phải đúng với trường Identifier Access-Accept Các gói tin không hợp lệ sẽ bị bỏ

Định dạng gói tin Access-Request Các trường được truyền đi theo thứ tự từ trái qua phải

H nh 2-7: Định dạng gói tin ccess-Request

- Trường Code: có giá trị là 2 cho loại gói tin Access-Accept

- Trường Identifier: được lấy từ Identifier trong gói tin Access-Request

- Trường Response Authenticator: Trường này chứa: Code, Identifier, Length và trường Request Authenticator có được từ gói tin Accounting-Request, thuộc tính Response (nếu có) Tất cả được mã hóa bằng thuật toán MD5 (mã hóa một chiều) và lưu vào trường Authenticator của gói tin Accounting-Response

- Trường Attributes: có thể thay đổi chiều dài, và có chứa một danh sách các thuộc tính

2.7.3 Access-Reject

Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-

Accept Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject

và NAS sẽ ngắt kết nối với user

Cấu trúc gói tin Access-Reject:

H nh 2-8:Cấu trúc gói tin Access-Reject

- Trường Code: có giá trị 3 cho loại gói tin Access-Reject

- Trường Identifier: copy từ Identifier của gói tin Access-Request

- Trường Response Authenticator: Trường này chứa: Code, Identifier, Length và trường Request Authenticator có được từ gói tin Accounting-Request, thuộc tính Response (nếu có) Tất cả được mã hóa bằng thuật toán MD5(mã hóa một chiều)

và lưu vào trường Authenticator của gói tin Accounting-Response

- Trường Attributes: có thế có hoặc không các thuộc tính

2.7.4 Access-Chanllenge

Nếu máy chủ RADIUS muốn người dùng cung cấp thêm thông tin xác thực nó

sẽ gửi một gói tin Access-Challenge để trải lời cho gói tin Access-Request

Các trường có thể có một hoặc nhiều Reply-Message và có thể có 1 thuộc tính State duy nhất hoặc không Vendor-Specific, Idle-Timeout, Session-Timeout and Proxy-State là những thuộc tính cũng có thể được thêm vào trong gói tin này Những gói tin nào có Identifier khác so với Identifier của gói Access-Request sẽ bị xoá bỏ Nếu NAS không hỗ trợ challenge/response thì nó sẽ xử lý Access-chanllenge giống như xử lý Access-Reject Nếu NAS hỗ trợ challenge/response khi đó NAS sẽ hiển thị các tin nhắn (nếu có) cho người dùng từ server và yêu cầu người dùng trả lời.NAS sẽ gửi một Access-Request với ID mới với User-Password được thay thế

bằng User s response (mã hoá) Và có thể thêm vào thuộc tính State từ gói tin Challenge nếu có

Access-Cấu trúc gói tin Access-Chanllenge:

H nh 2-9:Cấu trúc gói tin Access-Chanllenge

- Trường Code:có giá trị 11 cho loại gói tin Access-Challenge

- Trường Identifier: được sao chép từ Identifier của Access-Request

- Trường Response Authenticator: Trường này chứa: Code, Identifier, Length và trường Request Authenticator có được từ gói tin Access-Request, thuộc tính Response (nếu có) Tất cả được mã hóa bằng thuật toán MD5(mã hóa một chiều)

- Trường Attributes: có thế có hoặc không các thuộc tính

CHƯƠNG 3: GIỚI THIỆU VỀ MIKROTIK ROUTER

3.1 Giới thiệu

Mikrotik là tên của một nhà sản xuất thiết bị mạng máy tính ở Latvian (một nước

thuộc vùng Baltic – bắc Âu) Công ty thành lập năm 1995

Sản phẩm chính của Mikrotik là

một hệ điều hành dựa trên Linux có

tên là Mikrotik RouterOS Được cài đặt trên phần cứng độc quyền của công ty

(RouterBOARD) hoặc trên máy tính bình thường, biến máy tính đó thành router và thực hiện các tính năng như firewall, bandwidth management, wireless access point, virtual private network (VPN), hotspot gateway và một số tính năng khác

- Truy cập vào Command Line Interface (CLI – giao diện dòng lệnh) thông qua

Telnet, ssh, serial cable hoặc thậm chí là bàn phím và màn hình nếu router có card màn hình

- Truy cập vào Web dựa trên Graphical User Interface (GUI – giao diện đồ họa

3.2.1.2 Winbox

H nh 3-1: Router BOARD

Winbox là tiện ích dùng để cấu hình, có thể kết nối với router thông qua địa chỉ MAC hoặc địa chỉ IP

Winbox sẽ cố tải các plugins từ router, nếu nó kết nối lần đầu tiên tới router với phiên bản hiện tại Chú ý rằng nó có thể mất khoảng 1 phút để tải hết tất cả các plugins nếu như winbox được kết nối bằng địa chỉ MAC

Phương pháp này có thể chạy với bất kỳ thiết bị nào chạy RouterOS Máy tính của bạn cần có MTU là 1500

Sau khi winbox đã hoàn tất việc tải các plugins và đã xác thực, cửa số chính sẽ hiện ra

H nh 3-2: Cửa sổ chính của winbox

Nếu winbox không thể tìm thấy bất kỳ router nào, hãy chắc chắn rằng máy tính của bạn đã kết nối với router bằng cáp Ethernet hoặc ít nhất là chúng kết nối đến cùng

1 Bộ chuyển đổi (switch) Winbox kết nối đến router ngay cả khi địa chỉ IP chưa được

cấu hình Do việc kết nối bằng địa chỉ MAC không đủ ổn định để sử dụng liên tục, do

đó, điều đó là không khôn ngoan khi sử dụng thật sự trong sản xuất Kết nối bằng địa chỉ MAC chỉ nên sử dụng để cấu hình lúc ban đầu

3.2.1.3 WebFig

Nếu bạn có một router với cấu hình mặc định, khi đó chúng ta có thể kết nối với router bằng giao diện web thông qua địa chỉ IP của router WebFig gần nhƣ có các chức năng cấu hình giống nhƣ Winbox

H nh 3-3: Cửa sổ chính của webfig 3.2.1.4 CLI

Giao diện dòng lệnh (CLI) cho phép cấu hình router sử dụng dòng lệnh Có rất nhiều lệnh có sẵn, vì thế họ chia chúng thành những nhóm tổ chức bằng cách phân cấp đơn cấp Có rất nhiều cách để truy cập vào CLI:

Sau khi giao diện dòng lệnh hiện lên, bạn sẽ thấy phần đăng nhập Điền tên đăng

nhập là admin và mật khẩu đăng nhập để rỗng Sau đó bạn sẽ thấy màn hình:

H nh 3-4: Giao diện dòng lệnh

3.2.2 Quá trìn đăng n ập bằng giao diện điều khiển

Có nhiều cách khác nhau để đăng nhập vào giao diện điều khiển:

- Cổng nối tiếp (serial port)

Xác nhận tên và mật khẩu để tiến hành quá trình đăng nhập Quá trình đăng nhập

có thể hiện những thông tin khác nhau trên màn hình (license – giấy phép, giới thiệu bản cập nhật, thông tin về khóa của phần mềm, cấu hình mặc định)

Khi đăng nhập thành công thì trình tự cuối cùng là in biểu ngữ và đƣa trình điều khiển đến giao điện điều khiển

Giao diện điều khiển hiển thị ghi chú của hệ thống, lịch sử đăng nhập cuối cùng,

tự động nhận diện kích cở, khả năng của thiết bị đầu cuối (terminal) và hiển thị dấu nhắc lệnh Sau đó bạn có thể bắt đầu viết câu lệnh

Sử dụng mũi tên đi lên [↑] để gọi lại các dòng lệnh từ lịch sử dòng lệnh, phím

TA để tự động hoàn tất 1 từ trong lệnh mà bạn đang gõ, phím ENTER để thực hiện dòng lệnh, tổ hợp phím Ctrl + C để ngắt lệnh đang chạy và đƣa về đấu nhắc

Cách dễ nhất để thoát khỏi giao diện điều khiển là nhấn tổ hợp phím Ctrl + D tại dấu nhắc lệnh khi chưa viết lệnh (bạn có thể hủy bỏ lệnh hiện hành và có được dòng lệnh trống với Ctrl + C, vì vậy nhấn Ctrl + C sau đó Ctrl + D sẽ đăng xuất bạn ra ngoài trong nhiều trường hợp

CHƯƠNG 4: CẤU HÌNH MIKROTIK THÔNG

QUA DÒNG LỆNH

4.1 Cấu hình địa chỉ IP

- Cấu hình IP cho Nic sẽ kết nối với adsl (Nic Wan hay interface Wan) hay với

router trung gian trên đường ra internet (ADSL, LEASELINE) Ở đây IP của Nic này

là 172.32.0.20/16 và Nic này sẽ được gán cho interface ether3

* Chú ý: Ở đây cấu trúc lệnh sẽ được gõ từ đường dẫn gốc là [Admin@Mikrotik]

Để trở về đường dẫn gốc này từ đường dẫn bất kỳ chỉ cần gõ /(enter)

[Admin@Mikrotik]> ip address add address=172.32.0.20/16 interface=ether2

- Cấu hình IP cho Nic kết nối với các AP hay mạng an của các máy con Ở đây

IP sẽ là 192.168.0.1/24 , Nic này sẽ được gán cho ether1

[Admin@Mikrotik]> ip address add address=192.168.0.1/24 interface=ether1

* Chú ý: để tiện quản lý sau khi cấu hình xong nên đổi tên 2 interface ether1 và ether2 thành an và Wan hay ocal và Public cho dễ nhớ

- Cấu hình IP default gateway (là địa chỉ adsl modem-router hay router kết nối vào interface Wan trên đường đi ra internet Trong ví dụ ở đây là 172.32.0.20

[Admin@Mikrotik]> ip route add gateway 172.32.0.20

Sau đó dùng máy tính kết nối với Máy Hotspot chạy Mikrotik qua Nic Wan rồi dùng Winbox để cấu hình các thành phần tiếp theo

4.2 Cấu hình DHCP Server

Thêm các thông tin DNS cho máy chủ Nếu trong mạng có máy chủ DNS thì ta thêm địa chỉ máy chủ này vào

[admin@MikroTik] /ip dns set servers=172.32.0.4,172.32.0.5

Gõ lệnh sau để hiển thị các dòng yêu cầu nhập thông tin dhcp-server:

[admin@MikroTik] > ip dhcp-server setup

dhcp server interface: ether2

dhcp address space: 192.168.1.0/24

gateway for dhcp network: 192.168.1.1

addresses to give out: 192.168.1.2-192.168.1.254 (Đây là dải IP mà dịch vụ dhcp sẽ

cấp cho các máy con khi kết nối)

dns servers: 203.162.0.182,8.8.8.8 (Ở đây nhập địa chỉ IP của máy chủ DNS server,

nếu trong mạng có máy chủ DNS thì nhập IP của máy chủ đó Nếu không thì nhập ip primary và second dns server cách nhau bởi dấu phẩy)

lease time: 3d (Thời gian cho thuê mặc định là 03 ngày)

4.3 Cấu hình Hotspot

Việc cấu hình Hotspot sẽ bao gồm cấu hình dịch vụ DHCP server, các thông tin DNS… Gõ lệnh sau:

[Admin@Mikrotik] ip hotspot setup (sau ghi gõ lệnh này sẽ xuất hiện các hàng yêu

cầu nhập thông tin nhƣ sau)

Hotspot interface: ether1

Local address of network: 192.168.0.1/24

Masquerade network: yes

Address pool of network: 192.168.0.2-192.168.0.254 (có thể chỉnh lại theo ý muốn,

đây cũng là dãy địa chỉ ip mà dịch vụ dhcp sẽ cấp cho các máy con khi kết nối)

Select certificate: none (chú ý: mặc định xuất hiện dòng import-other-certificate,

chúng ta xóa dòng đó và nhập vào none)

Ip address of smtp server: 0.0.0.0 (nếu trong mạng có máy chủ smtp thì gõ địa chỉ ip

vào, còn không thì để mặc định 0.0.0.0)

Dns server: 172.32.0.4, 172.32.0.5 (ở đây sẽ nhập địa chỉ máy chủ dns server, nếu

trong mạng có máy chủ này thì nhập vào ip máy chủ đó, còn không nhập vào ip primary và secondary dns server của ISP cách nhau bởi dấu phẩy)

Dns name: điền vào tên của máy Hotspot này được khai báo trên Dns server của

mạng, nếu không có thì để trống chứ không khai tùy ý

Name of local hotspot user: Admin (tạo một account cho hệ thống để test đăng nhập

Việc cấu hình các thành phần khác như tạo user, tinh chỉnh hay thay đổi các thống số dùng giao diện gui qua Winbox sẽ tiện hơn nên sẽ được giới thiệu ở phần sau

* Chú ý: Nếu trong cấu hình bị lỗi thì có thể dùng lệnh >System/reset để xóa cấu

hình rồi cài đặt lại

4.5 Một số lệnh trên má Hotspot chạ Mikrotik

Khi đăng nhập vào máy Hospot, tại dấu nhắc lệnh [Admin@Mikrotik] chỉ cần gõ

dấu ? (enter) chúng ta sẽ thấy hiển thị các đầu mục vào như hình dưới

H nh 4-1: Các đầu mục cơ bản

Các đầu mục vào cũng gần giống với giao diện của Winbox Muốn vào phần IP chúng

ta chỉ cần gõ IP (enter), sau đó gõ ? (enter) sẽ thấy các mục con xuất hiện

H nh 4-2: Các đầu mục con

Muốn cấu hình thành phần nào chúng ta cứ gõ lệnh theo đường dẫn hoặc vào từng

mục rồi gõ tiếp Ví dụ muốn cấu hình IP thì gõ IP address ;

Muốn xem thông tin địa chỉ IP của các Nic thì Ip address print;

Muốn cấu hình Route thì: IP route ;

Muốn cấu hình hotspot thì: Ip hotspot setup ;

Muốn cấu hình firewall, nat thì Ip firewall

Muốn tắt máy thì System shutdown;

Khởi động lại máy: System reboot;

Muốn xóa tất cả các thông tin cấu hình đã cài đặt: System reset

Cũng giống như lệnh Dos, nếu từ đường dẫn phụ muốn gõ lệnh đến đường dẫn khác

thì chúng ta dùng dấu / trước lệnh đó; Muốn về đường dẫn gốc thì / (enter), muốn dời lui đường dẫn một cấp gõ (enter)

Muốn xem thông tin về các Nic đang có trong máy thì từ đường dẫn gốc gõ Interface print hay di chuyển vào mục Interface rồi chỉ gõ Print (enter)

Tại các mục vào muốn xem thông tin thành phần nào chỉ cần gõ Print (enter)

Muốn backup thông tin một thành phần nào đó thì gõ: Export file=(tên file) (enter)

Ví dụ tại đầu mục vào IP hotspot> muốn backup thông tin phần user thành file user

(mặc định phần mở rộng là rsc) chỉ cần gõ: IP HOTSPOT>user export file =user

(file user.rsc sẽ được tạo ra, muốn lưu lại file này thì từ máy khác kết nối ftp vào Hotspot trên inerface Wan sẽ thấy tên file này xuất hiện)

Muốn backup thông tin các user trong phần IP-binding gõ lệnh: IP

HOTSPOT>ip-binding export file=ip_HOTSPOT>ip-binding (file ip_HOTSPOT>ip-binding.rsv sẽ được tạo ra)

Sau này muốn import lại file nào thì dùng ftp để copy file đó vào máy Hotspot rồi từ dấu nhắc lệnh gốc gõ lệnh:

[Admin@Mikrotik]> import filename.rsc

Muốn import file user.rsc thì gõ:

[Admin@Mikrotik]> import user.rsc