Hướng dẫn cấu hình Router Maipu: quay PPPoE, DHCP Server, NAT, ACL...
Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình cơ bản các tính năng cần thiết trên thiết bị Router Maipu dòng MP Series như: tạo tài khoản User, cấu hình Hostname, TELNET, SSH, quay PPPOE, cấu hình NAT overload, access-list, VLAN, DHCP Server... để người dùng trong mạng LAN có thể truy cập được ra ngoài Internet. Tất cả các dòng Router Maipu đều có chung cách cấu hình, do vậy các bạn có thể áp dụng với tất cả các mã Router, như các dòng MP1800X, MP1900X, MP2900X, MP3900X, hoặc các dòng NSR router. Mình sẽ hướng dẫn chi tiết để các bạn chưa có kinh nghiệm cũng có thể cấu hình được.
Truy cập vào Router
Tất cả các mã Router của Maipu đều sẽ không có địa chỉ IP và tài khoản mặc định, do vậy thì các bạn cần phải có dây Console thì mới có thể cấu hình được.
Dây console này thì các bạn có thể tìm mua tại các cửa hàng bán đồ về network. Có nhiều loại dây console. Nếu các bạn có sợi 1 đầu RS232, 1 đầu RJ45, thì các bạn sẽ cần mua thêm đầu chuyển từ RS232 sang USB như này, do hiện nay thì các máy tính không còn cổng RS232 này, mà chúng ta sẽ phải chuyển đổi sang USB để kết nối với máy tính. Các bạn nên tìm mua loại cable console 1 đầu USB, 1 đầu RJ45 như sợi này thì sẽ tiện hơn.
Các Router Maipu đều có cổng console RJ45 chuyên dụng, phía trên sẽ có ghi rõ chữ console. Đầu RJ45 của cable console các bạn sẽ kết nối với cổng này, còn đầu USB sẽ kết nối với máy tính.
Sau khi kết nối cable, các bạn vào Computer manager trên máy tính. Vào Device Manager và tìm phần Port (COM & LPT).
Nếu cable console kết nối OK, thì các bạn sẽ thấy có 1 cổng COM ở đây. Tuy nhiên nếu có nhiều cổng COM khác nhau, thì các bạn cần phải xác định đúng cổng COM dùng cho dây console. Các bạn có thể rút dây console ra và cắm lại để xác định, cổng nào mất đi thì chính là cổng đó, như của mình là cổng COM3.
Nếu không thấy cổng COM ở đây, thì nghĩa là máy tính chưa nhận cable console, cable bị hỏng hoặc chưa có driver. Trong trường hợp chưa có driver thì trên máy tính sẽ hiển thị 1 hardware là ? cho cổng serial, các bạn tìm xem cable của mình đang sử dụng chip sử dụng cho cable Console là gì và tìm driver tương ứng. Mình thì hay dùng 2 loại driver là CH341 hoặc PL2303, các bạn có thể tìm kiếm theo cụm từ này và download về để thử. Trong trường hợp mà không nhận cổng COM thì các bạn kiểm tra lại cable console hoặc cổng USB thôi. Vì cable console các bạn chỉ cần kết nối đầu USB với máy tính, không cần cắm đầu RJ45 vào switch là trên máy tính đã nhận cổng COM rồi, nên sẽ không liên quan tới switch.
Sau khi xác định cổng COM, thì các bạn sẽ dùng các phần mềm như Putty, Moba Xterm, secureCRT… để truy cập vào CLI của switch. Các bạn có thể download phần mềm Putty về, phần mềm này khá nhẹ và miễn phí, nên các bạn có thể dùng được luôn. Các bạn có thể search Putty trên google rồi tải về để cài đặt.
Sau khi cài đặt xong thì các bạn mở phần mềm Putty lên.
- Connection Type các bạn chọn Serial.
- Sau đó nhập cổng COM mà máy tính đã nhận cho cable console, của mình đang nhận là COM3.
- Speed của dòng Router Maipu là 9600, các bạn để mặc định.
- Sau đó nhấn Open.
Như vậy là các bạn đã truy cập được vào CLI của Router.
Mô hình Lab
Mình sẽ sử dụng 1 mô hình đơn giản mà chúng ta thường triển khai cho các hệ thống mạng để hướng dẫn.
Mô hình của mình gồm 1 Router Maipu kết nối ra Internet. Đường Internet của nhà mạng mình sẽ kết nối vào cổng G0 và quay PPPoE trên cổng này. Các bạn lưu ý để quay PPPoE được trên Router thì các bạn sẽ phải Bridge modem nhà mạng trước, và phải có tài khoản PPPoE. Mỗi dòng modem sẽ có cách bridge khác nhau, các bạn có thể tìm kiếm trên google cách bridge modem, cộng với mã modem đó là sẽ có hướng dẫn. Hoặc đơn giản nhất thì các bạn có thể gọi lên tổng đài hỗ trợ của nhà mạng để nhờ họ Bridge cho. Tài khoản PPPoE thì các bạn cũng có thể gọi lên tổng đài để nhờ họ cung cấp.
Cổng G1 sẽ kết nối xuống mạng LAN bên dưới, mạng LAN sẽ có 2 VLAN khác nhau cho người dùng nội bộ và camera. Trong mô hình này thì Router sẽ đóng vai trò làm Gateway và cấp DHCP cho mạng LAN. Khi đó thì các link kết nối từ Router xuống Switch core, và giữa các switch sẽ là link trunking.
Với mô hình này, thì trên Router Maipu chúng ta sẽ cần phải cấu hình các tính năng sau.
- Đầu tiên thì chúng ta sẽ cần cấu hình tài khoản quản trị, bật các tính năng TELNET, SSH, giao diện Web để chúng ta có thể truy cập được Router từ xa, không cần phải sử dụng dây Console nữa.
- Tiếp theo thì chúng ta sẽ cấu hình quay PPPoE trên cổng G0 để kết nối với Internet.
- Cổng G1 nối xuống LAN, bao gồm 2 VLAN nên chúng ta sẽ cấu hình 2 sub interface để làm gateway cho 2 VLAN này. Nếu có nhiều VLAN hơn thì các bạn chỉ cần tạo thêm sub Interface cho VLAN đó là được. Còn nếu chỉ có 1 VLAN thì các bạn không cần tạo subinterface, chỉ cần cấu hình IP trên cổng g1, và cấu hình cổng này là nat inside là được.
- Bước tiếp theo, chúng ta sẽ cấu hình Access-List, NAT overload và default route để mạng LAN có thể truy cập được Internet.
- Cuối cùng là cấu hình DHCP Server để cấp IP cho người dùng trong 2 VLAN.
Cách cấu hình Router Maipu tương tự như Router Cisco, nên nếu các bạn đã từng làm Cisco, hoặc đã học CCNA thì nó tương đối đơn giản. Mình sẽ đi vào chi tiết từng bước cấu hình.
Cấu hình Hostname, User, Telnet, SSH, WebUI
Trong giao diện CLI, các bạn vào mode EXEC bằng lệnh enable, vào mode config global bằng lệnh configure terminal.
Router>enable
Router#configure terminal
Router(config)# |
Hostname thì là tùy chọn thôi, các bạn có thể cấu hình để phân biệt với các Router khác. Các bạn cấu hình bằng lệnh hostname, sau đó là tên mới của Router.
Router(config)#hostname CNTTShop
CNTTShop(config)# |
Tạo tài khoản bằng lệnh local-user sau đó là tên user muốn tạo, phân loại user bằng tùy chọn class. Sẽ có 2 class, Manager là tài khoản có full quyền trên router, còn network thì chủ yếu là cho các tài khoản monitor. Các bạn cần tạo tài khoản manager trước.
Đặt password cho user bằng lệnh password 0, sau đó là mật khẩu cho user này.
Cấp full quyền cho tài khoản này bằng lệnh privilege 15.
Cho phép user truy cập vào các dịch vụ của router bằng lệnh service-type, sau đó lựa chọn các dịch vụ mà user này được phép truy cập. Nếu các bạn cấu hình service-type là SSH và TELNET, thì user này chỉ có thể truy cập vào switch qua SSH và TELNET chứ không truy cập được vào giao diện web. Các bạn cấu hình tùy phần quyền của mình.
CNTTShop(config)#local-user hieu class manager
CNTTShop(config-user-manager-hieu)#service-type telnet console ssh ftp web netconf
CNTTShop(config-user-manager-hieu)#privilege 15
CNTTShop(config-user-manager-hieu)#password 0 Admin@123
CNTTShop(config-user-manager-hieu)#exit
CNTTShop(config)# |
Để có thể truy cập qua TELNET và SSH thì các bạn cần tạo thêm enable password, các bạn cấu hình bằng lệnh enable password 0, sau đó là mật khẩu. Sau khi cấu hình xong lệnh này, thì khi các bạn gõ lệnh enable để truy cập vào mode EXEC, các bạn sẽ cần phải nhập thêm mật khẩu này.
CNTTShop(config)#enable password 0 Admin@123 |
Bật dịch vụ SSH bằng lệnh ip ssh server, sau đó tạo key cho SSH bằng lệnh crypto key generate rsa. Để sử dụng SSH version 2 thì các bạn sẽ cần tạo key với độ dài 2048.
CNTTShop(config)#ip ssh server
CNTTShop(config)#crypto key generate rsa
You already have RSA keys defined.
Do you really want to replace them(Y/N)? [N] y
- Choose the size of the key modulus in the range of 512 to 2048 for your General Purpose Keys.
- Choosing a key modulus greater than 512 may take a few minutes.
- How many bits in the modulus[512]?2048
Generating RSA key (modulous is 2048 bits)...................\
# RSA 2048 bits, Wed Jun 05 03:07:04 2024
# Key Data(0x):
30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
00dc23c3 2452ef72 e76714cd 829ce2a2 b5186955 742640f3 c12fb625 a6b3cab7
f26e388c bc0e9ba4 52c601b7 d83a99f1 2a70d701 4c00c507 7bb93e12 f2629c43
41744f9b b3c194a3 882ac896 8b9f32d5 aa8de285 b9811074 3b4e7756 169415a7
96770569 0a994bfb c6aafe83 5880c8ec 5fa5926f 677dbf7c d69010c3 1eeadcc8
1ed9099c 7b669999 6abd02f5 71256562 00c377ef b00ff70d a472647b b0123b3b
139dc3f4 92279f0d e747b556 c651aad8 1759b5a9 b0781559 96403da6 dea7e625
62fb902e 6c54b9f3 4d85130f b9d201f2 7ad3ba13 1a850def b6009384 552bf579
0ae00c7a 028b14ed b48321b6 604b2790 31682488 eb02dcfd b6bd6579 79f25795
15020301 0001
CNTTShop(config)#
|
Bật dịch vụ TELNET bằng lệnh telnet server enable và dịch vụ web bằng lệnh ip http secure-server. Khi đó thì các bạn có thể truy cập vào giao diện web của router Maipu.
CNTTShop(config)#telnet server enable
CNTTShop(config)#ip http secure-server
Are you sure to use HTTPS (Yes|No)?yes
CNTTShop(config)#
|
Để truy cập qua TELNET và SSH thì các bạn sẽ cần cấu hình thêm các cổng vty bằng lệnh line vty 0 4. Cấu hình đăng nhập qua tài khoản local vừa tạo bằng lệnh login aaa. Cho phép cả telnet và SSH bằng lệnh protocol input all.
CNTTShop(config)#line vty 0 4
CNTTShop(config-line)#login aaa
CNTTShop(config-line)#protocol input all
CNTTShop(config-line)#exit
CNTTShop(config)#
|
Quay PPPoE trên Router Maipu
Để cấu hình quay PPPoE trên router thì chúng ta sẽ cần phải tạo 1 cổng dialer và gán cổng này với cổng g0 mà chúng ta đang kết nối đến modem nhà mạng.
Thông thường thì các đường FTTH đều sử dụng giao thức pap để xác thực, nên các bạn chỉ cần câu lệnh ppp pap sent-username PPPOE-USER password 0 PPPOE-PASSWORD là đủ. Tuy nhiên nếu đường mạng sử dụng chap, thì các bạn sẽ khai báo tài khoản bằng 2 câu lệnh: ppp chap hostname PPPOE-USER và ppp chap password 0 PPPOE-PASSWORD. Các bạn cấu hình cả 3 câu lệnh cũng không sao.
Cổng này là cổng kết nối ra internet, nên các bạn sẽ cần khai báo cổng là cổng outsite.
CNTTShop(config)#interface dialer0
CNTTShop(config-if-dialer0)# encapsulation ppp
CNTTShop(config-if-dialer0)# ppp chap hostname PPPOE-USER
CNTTShop(config-if-dialer0)# ppp chap password 0 PPPOE-PASSWORD
CNTTShop(config-if-dialer0)# ppp pap sent-username PPPOE-USER password 0 PPPOE-PASSWORD
CNTTShop(config-if-dialer0)# ppp ipcp dns request
CNTTShop(config-if-dialer0)# ppp ipcp wins request
CNTTShop(config-if-dialer0)# ip address negotiated
CNTTShop(config-if-dialer0)# mtu 1492
CNTTShop(config-if-dialer0)# dialer in-band
CNTTShop(config-if-dialer0)# dialer pool 1
CNTTShop(config-if-dialer0)# dialer idle-timeout 0
CNTTShop(config-if-dialer0)# dialer-group 1
CNTTShop(config-if-dialer0)# ip tcp adjust-mss 1452
CNTTShop(config-if-dialer0)# ip nat outside
CNTTShop(config-if-dialer0)# exit
CNTTShop(config)# |
Chúng ta sẽ gán cổng dialer 0 này vào cổng g0 bằng tùy chọn dialer pool, do vậy dialer pool này trên cổng dialer 0 và g0 phải giống nhau, các bạn lưu ý nhé. Trên cổng dialer 0 mình đang sử dụng dialer pool 1, do vậy trên cổng g0 mình cũng cần gán vào pool 1 bằng lệnh pppoe-client dial-pool-number 1.
CNTTShop(config)# interface gigabitethernet0
CNTTShop(config-if-gigabitethernet0)# pppoe-client dial-pool-number 1
CNTTShop(config-if-gigabitethernet0)# pppoe-client auto-dial always
CNTTShop(config-if-gigabitethernet0)# exit
CNTTShop(config)# |
Sau khi cấu hình xong thì các bạn chờ 1 lúc, nếu có thông báo cổng virtual-access UP là các bạn đã quay PPPoE thành công.
Jun 5 2024 02:56:57 CNTTShop MPU0 %LINK-LINEPROTO_DOWN-3:Line protocol on interface virtual-access3000, changed state to up. |
Các bạn có thể sử dụng lệnh show ip interface brief để kiểm tra IP wan. Router nhận được IP WAN là OK.
Cấu hình Sub-interface
Tiếp theo mình sẽ cấu hình 2 sub interface để làm gateway cho 2 VLAN.
Các bạn tạo Subinterface cho vlan 10 bằng lệnh interface g1.10. Tag cổng này với VLAN ID 10 bằng lệnh encapsulation dot1q 10, sau đó cấu hình IP cho cổng này, IP này sẽ là IP gateway của VLAN 10.
Các cổng nối xuống LAN thì các bạn sẽ cần cấu hình cổng này là cổng inside bằng lệnh ip nat inside.
Do DHCP mình cấu hình trên Router, nên các bạn sẽ cần phải bật DHCP Server trên cổng này bằng lệnh ip dhcp server.
CNTTShop(config)#interface g1.10
Success to bind 802.1Q to gigabitethernet1
CNTTShop(config-if-gigabitethernet1.10)#encapsulation dot1q 10
CNTTShop(config-if-gigabitethernet1.10)#ip address 192.168.10.1 255.255.255.0
CNTTShop(config-if-gigabitethernet1.10)#ip nat inside
CNTTShop(config-if-gigabitethernet1.10)#ip dhcp server
CNTTShop(config-if-gigabitethernet1.10)#exit
CNTTShop(config)#
|
Tương tự với VLAN 20 sẽ là interface g1.20.
CNTTShop(config)#interface g1.20
Success to bind 802.1Q to gigabitethernet1
CNTTShop(config-if-gigabitethernet1.10)#encapsulation dot1q 20
CNTTShop(config-if-gigabitethernet1.10)#ip address 192.168.20.1 255.255.255.0
CNTTShop(config-if-gigabitethernet1.10)#ip nat inside
CNTTShop(config-if-gigabitethernet1.10)#ip dhcp server
CNTTShop(config-if-gigabitethernet1.10)#exit
CNTTShop(config)#
|
Cấu hình ACL, NAT Overload, Default Route
Để mạng LAN có thể ra được internet, thì các bạn sẽ cần tạo 1 Access-list, gán accesslist này vào NAT, và 1 Default route trỏ ra cổng dialer 0.
Access list thì mình sẽ tạo access-list 10 permit any, các bạn có thể tạo access-list extended và cấu hình chi tiết từng dải LAN cũng được. Bật NAT overload bằng lệnh ip nat inside source list 10 interface dialer 0 overload, 10 ở đây là access list mà các bạn đã tạo ở bước trước.
Cấu hình default route trỏ ra cổng đang quay PPPoE bằng lệnh ip route 0.0.0.0 0.0.0.0 dialer 0.
CNTTShop(config)#access-list 10 permit any
CNTTShop(config)#ip nat inside source list 10 interface dialer 0 overload
CNTTShop(config)#ip route 0.0.0.0 0.0.0.0 dialer 0 |
Cấu hình DHCP Server
Cuối cùng chúng ta sẽ cần cấu hình 2 DHCP Pool để cấp IP cho người dùng trong 2 VLAN.
Các bạn tạo pool bằng lệnh ip dhcp pool, sau đó là tên để phân biệt giữa các pool, mình sẽ đặt là VLAN10.
Cấu hình dải IP sẽ cấp qua DHCP bằng lệnh range, sau đó là IP bắt đầu và IP kết thúc của dải, ví dụ mình sẽ cấp từ 192.168.10.10 đến 192.168.10.254, phía sau là subnetmask của dải mạng. Các bạn có thể tạo nhiều range khác nhau nếu như có 1 range IP mà các bạn muốn sử dụng để cấu hình tĩnh ở giữa.
Cấu hình gateway bằng lệnh default-router, sau đó là IP gateway của VLAN 10, trong mô hình của mình là 192.168.10.1 trên subinterface g0.10.
Cấu hình DNS cho người dùng bằng lệnh dns-server mình sẽ sử dụng DNS của google là 8.8.8.8 và 8.8.4.4.
CNTTShop(config)#ip dhcp pool VLAN10
CNTTShop(dhcp-config)#range 192.168.10.10 192.168.10.254 255.255.255.0
CNTTShop(dhcp-config)#default-router 192.168.10.1
CNTTShop(dhcp-config)#dns-server 8.8.8.8 8.8.4.4
CNTTShop(dhcp-config)#exit
CNTTShop(config)# |
Tương tự với VLAN 20.
CNTTShop(config)#ip dhcp pool VLAN20
CNTTShop(dhcp-config)#range 192.168.20.10 192.168.20.254 255.255.255.0
CNTTShop(dhcp-config)#default-router 192.168.20.1
CNTTShop(dhcp-config)#dns-server 8.8.8.8 8.8.4.4
CNTTShop(dhcp-config)#exit
CNTTShop(config)# |
Như vậy là chúng ta đã cấu hình đầy đủ tính năng trên router để 2 VLAN bên dưới có thể hoạt động được.
Kết luận
Các dòng Router Maipu có giao diện dòng lệnh rất thân thiện với người dùng, các bạn có thể cấu hình 1 mô hình mạng với đầy đủ tính năng để người dùng trong mạng LAN có thể truy cập được Internet chỉ trong vài phút. Nếu các bạn đã quen với giao diện web, thì chúng ta cũng có thể sử dụng WebUI của Maipu để cấu hình. Trong các bài viết tiếp theo, mình sẽ hướng dẫn các bạn cấu hình các tính năng nâng cao, tùy theo nhu cầu của từng mô hình mạng. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.
Chúc các bạn thành công!
Bình luận bài viết!