Forum DrayTek VN


Go Back   AN PHAT FORUM - Dien dan DrayTek VN > Hỗ trợ kỹ thuật > Security - Firewall
Hỏi/Đáp Thành viên Lịch Tìm kiếm Bài trong ngày Ðánh dấu đã đọc

Security - Firewall An toàn, bảo mật & tường lửa

Trả lời
Lần đọc: 8744 - Trả lời: 7  
Ðiều Chỉnh Xếp bài
Old 12-10-2011, 09:07 AM   #1
kiemca
DrayTek Supporter
 
kiemca's Avatar
 
Tham gia ngày: Jul 2009
Bài gởi: 1,435
Số lần cám ơn: 735
Được cảm ơn 1,452 lần trong 695 bài
Gửi tin nhắn qua Yahoo chát tới kiemca Gửi tin nhắn qua Skype™ tới kiemca
Default Vigor2920 - bảo mật hệ thống với 4 subnets

Hợp lý hóa băng thông và tăng độ bảo mật
bằng cách phân chia hệ thống mạng thành nhiều phân đoạn


Hiện nay các doanh nghiệp đều sử dụng máy tính và các ứng dụng trên máy tính như một công cụ làm việc thiết yếu. Điều đó cũng đồng nghĩa với việc xây dựng, quản trị và phát triển hệ thống mạng máy tính là một công tác có ảnh hưởng quan trọng đến hoạt động sản xuất kinh doanh. Doanh nghiệp ngày càng phát triển do đó quy mô mạng càng mở rộng dẫn đến nhu cầu tách hệ thống mạng thành nhiều phân đoạn để có thể hợp lí hóa băng thông, kiểm soát truy cập. Bài LAB sau đây sẽ giúp các bạn tìm hiểu thêm về cách thiết lập 1 hệ thống mạng nhiều Network, đồng thời có thể tự thiết lập 1 hệ thống đa Network, linh động, bảo mật cao và hiệu quả chỉ với 1 thiết bị Vigor2920n của hãng DrayTek.
Mỗi một hệ thống mạng thường có nhiều tài nguyên và có sự phân cấp trong việc truy cập các tài nguyên đó, Việc phân chia hệ thống thành nhiều subnet sẽ đem lại nhiều lợi ích
Tránh hiện tượng nghẽn đường truyền do có quá nhiều host dẫn đến broadcast
Giảm nguy cơ lây lan Virus và bị tấn công.
Dễ dàng tạo rule trong firewall để chặn và cho phép truy cập tài nguyên.
Tiết kiệm chi phí tối đa, bạn không cần phải đầu tư server với nhiều card mạng để routing, không cần các router đắt tiền như của cisco v.v... Bạn gần như chỉ cần 1 thiết bị Vigor2920 series là đủ.

Lên kế hoạch:
Hệ thống sẽ gồm 4 subnets khác nhau :
Lan1 : dành cho hệ thống camera quan sát, Server, Camera wireless.
Lan2 : dành cho nhân viên trao đổi dữ liệu và truy cập internet, bao gồm cả máy PC và laptop sử dụng mạng wireless
Lan3 : dành cho ban quản lý, trưởng phòng, giám đốc sử dụng, nhân viên và khách không thể truy cập vào network này.
Lan4 : dành cho khách viếng thăm, chủ yếu phát wifi cho khách viếng thăm. Các client khi kết nối vào mạng này sẽ không truy cập được lẫn nhau và không truy cập được vào mạng của công ty. Nhưng vẫn có thể truy cập internet.
Thiết bị cần có: Vigor2920 Series và 4 switch thường, không cần hỗ trợ VLAN 802.1Q
*** Lưu ý : các sản phẩm Vigor2920F, Vigor2920Fv, Vigor2920 không có tính năng wifi tích hợp nên bạn có thể bỏ qua phần cấu hình wireless trong bài viết này.
Ta có sơ đồ mạng sau :


Địa chỉ IP và phân quyền

Các bước triển khai
1. Cấu hình cáp quang để kết nối internet :
Vào mục wan => internet access => Access mode của wan1 chọn PPPoE. Chọn Enable và khai báo user name và mật khẩu của đường truyền cáp quang

2. Kích hoạt chế độ VLAN trên LAN của Vigor2920
Vào LAN => VLAN chọn Enable và đánh các dấu chọn như hình dưới .

Sau đó OK cho router reboot lại.
3. Kích hoạt và khai báo địa chỉ IP cho 4 subnets
Vào LAN => general setup đánh dấu chọn như hình dưới để kích hoạt cả 4 subnet.
Sau đó lần lượt click vào Detail page của LAN1 để khai báo địa chỉ ip và DHCP server cho LAN 1 như hình sau:

4. Phân quyền truy cập giữa các VLAN.
Như yêu cầu đã đặt ra ban đầu, ta cần cấu hình để VLAN 3 ( VLAN của ban quản lý) được phép truy cập vào VLAN1. Ngoài ra VLAN 2 (nhân viên) có thể trao đổi dữ liệu với VLAN3(quản lý). Ta đánh dấu chọn như hình sau:

Dễ thấy, muốn cho LAN 1 thấy LAN 3 ta chỉ việc tick vào điểm giao nhau giữa 2 LAN .
Các LAN khác không được chọn sẽ không trao đổi dữ liệu với nhau được nhưng vẫn có thể truy cập internet bình thường.
Như hình trên thì LAN 1 sẽ không thấy LAN 2, LAN 1 sẽ không thấy LAN 4, LAN 2 cũng không thấy LAN 4.

Đến đây coi như xong phần cấu hình dành cho mạng có dây. Ta chỉ việc cắm dây từ switch vào port LAN tương ứng và hệ thống đã có thể chạy được.

5. Phần cấu hình wireless (dành cho những sản phẩm có tích hợp tính năng wireless)
a. Vào Wireless LAN => general setup. Khai báo 4 SSID như hình sau:
Riêng SSID 4 : Khach chọn thêm mục Isolate MemberIsolate LAN để cấm truy cập lẫn nhau và cấm truy cập vào các máy tính đang VPN về mạng của công ty. Mục đích nhằm làm tăng thêm tính bảo mật cho khách viếng thăm và cho công ty.
b. Khai báo mật khẩu cho từng SSID
Vào Wireless LAN => Security => Chọn SSID 1 => Chọn kiểu mã hóa và đặt mật khẩu cho SSID này theo ý muốn như hình sau:
Làm tương tự với SSID 2 và SSID 3. Mỗi SSID bạn nên đặt mật khẩu khác nhau để tăng thêm tính bảo mật. Riêng SSID 4 dành cho Khách không cần đặt mật khẩu. Ta để mặc định Mode Disable.
Sau khi hoàn tất việc đặt mật khẩu cho mạng Wireless => click OK để lưu cấu hình.
Kết quả thu được khi dùng 1 máy laptop dò mạng Wireless. Kết nối với SSID nào thì sẽ nhận được địa chỉ IP LAN tương ứng với LAN đó.

Ta được 4 mạng wifi chỉ với 1 thiết bị và có đầy đủ tính năng như 4 Access Point.

Mọi vướng mắc xin vui lòng liên hệ :

Email: support@draytek.com.vn
ĐT: 08 3925 3789
Hoặc truy cập website
http://www.draytek.com.vn
Và trao đổi với các nick chat online.
__________________
============================================
CTY TNHH KT TH VT AN PHÁT
Nhà Phân Phối Thiết Bị Mạng DrayTek Tại VIỆT NAM

ĐC: 3C Trần Phú, P4, Q5, TP.HCM
Điện thoại: (08) 39253789-Fax: (08) 39256597

Kỹ thuật: support@draytek.com.vn
Kinh doanh: sales@draytek.com.vn

Hướng dẫn sử dụng bằng Video
Youtube - Hướng dẫn sử dụng thiết bị DrayTek bằng Video
==============================================

thay đổi nội dung bởi: kiemca, 12-10-2011 lúc 09:15 AM.
kiemca is offline   Trả Lời Với Trích Dẫn
Có 3 người đã cám ơn kiemca cho bài viết này:
dong (12-10-2011), ruanyuyongdvc (10-02-2014), tnine (26-01-2013)
Old 04-09-2012, 09:54 PM   #2
nhoc_zero
Thành viên mới
 
nhoc_zero's Avatar
 
Tham gia ngày: Jul 2012
Bài gởi: 7
Số lần cám ơn: 1
Được cảm ơn 1 lần trong 1 bài
Default

Xin hỏi là tôi đang có Draytek 2920.
Công ty tôi chặn web tất cả máy nhân viên bằng firewall và wifi khách hàng không bị chặn firewall.

Máy nhân viên công ty sử dụng các port LAN 1 , 2 và 3. Mình cấu hình cấp DHCP cho LAN 1,2 và 3 192.168.1.100 -> 200 , vì firewall mình chặn dãy IP 100 -> 200.


Mình muốn dùng Port 4 để gắn router Wifi cấp DHCP 192.168.7.1 -> 192.168.7.100
LAN 4: Cấu hình DHCP 192.168.7.1 -> 192.168.7.100 (Hình số 3)

* Tôi gắn LAN4 của Moderm Draytek vào WAN của router Wifi

Cấu hình router Wifi :
- LAN Interface : IP 192.168.1.2
- DHCP : Tắt DHCP, dùng DHCP do moderm draytek cấp
- Default Gateway : 192.168.1.1







Tuy nhiên, thiết bị di động kết nối wifi vẫn ko được. Xin được giúp đỡ, cấu hình trên đúng hay sai ?
nhoc_zero is offline   Trả Lời Với Trích Dẫn
Old 05-09-2012, 07:28 AM   #3
hunter
Thành viên tích cực
 
hunter's Avatar
 
Tham gia ngày: May 2008
Bài gởi: 399
Số lần cám ơn: 38
Được cảm ơn 984 lần trong 361 bài
Default

anh cấu hình đúng rồi, có điều gắn dây sai.
anh hãy gắn LAN4 của Router Draytek vào port LAN của Router Wifi.

nếu anh gắn vào Port WAN của Router Wifi, anh nên làm các bước sau:
* đảm bảo IP LAN của Router Wifi và IP LAN4 của Router Draytek phải khác lớp mạng nhau.
* trên Port WAN của Router wifi, gán IP tĩnh hoặc cho nhận IP động từ LAN4 của Router Draytek.
* Enable DHCP trên Router Wifi
hunter is offline   Trả Lời Với Trích Dẫn
Có 2 người đã cám ơn hunter cho bài viết này:
dong (05-09-2012), nc1402 (06-09-2012)
Old 19-01-2013, 03:42 PM   #4
vuthao27
Thành viên mới
 
vuthao27's Avatar
 
Tham gia ngày: Jan 2013
Bài gởi: 1
Số lần cám ơn: 0
Được cảm ơn 0 lần trong 0 bài
Default

Mình đã cấu hình Vigor2920FvN theo đúng mô hình mà kiemca đưa ra, vấn đề phát sinh như sau:

Lan2 : dành cho nhân viên trao đổi dữ liệu và truy cập internet, bao gồm cả máy PC và laptop sử dụng mạng wireless

Xin hỏi muốn cấu hình Lan2 này chỉ các máy tính được gán Mac mới vào được, thì cần phải cấu hình như thế nào. Hoặc phải sử dụng mô hình như thế nào.
vuthao27 is offline   Trả Lời Với Trích Dẫn
Old 30-01-2013, 01:40 PM   #5
vinhhuy
Thành viên mới
 
vinhhuy's Avatar
 
Tham gia ngày: Jan 2013
Bài gởi: 8
Số lần cám ơn: 0
Được cảm ơn 0 lần trong 0 bài
Default

Tôi mới mua modem loadbalancing 2920FVn ! Các anh An phát làm ơn chỉ dùm cách cấu hình nhanh để gộp 2 đường truyền cáp quang . Tôi có 2 đường cáp quang : 1 đường của Viettel 30Mbps và 1 đường VNPT34Mbps . Vậy khi sử dụng Vigor 2920FVn có nâng lên được 64Mbps không ? Làm ơn hướng dẫn chi tiết dùm ! CÁm ơn các anh nhiều @@@@@@
vinhhuy is offline   Trả Lời Với Trích Dẫn
Old 30-01-2013, 02:46 PM   #6
AnPhat07
DrayTek Support Team
 
AnPhat07's Avatar
 
Tham gia ngày: Oct 2012
Bài gởi: 16
Số lần cám ơn: 6
Được cảm ơn 26 lần trong 10 bài
Default

nếu anh download nhiều file thì hoàn toàn có thể lên được 64Mb, hướng dẫn chi tiếp anh tham khảo link này http://forum.draytek.com.vn/showthread.php?p=70297
AnPhat07 is offline   Trả Lời Với Trích Dẫn
Có 3 người đã cám ơn AnPhat07 cho bài viết này:
AnPhat09 (30-01-2013), dong (31-01-2013), MaTric (30-01-2013)
Old 22-05-2013, 11:48 AM   #7
bansachdao
Thành viên mới
 
bansachdao's Avatar
 
Tham gia ngày: Apr 2013
Bài gởi: 0
Số lần cám ơn: 2
Được cảm ơn 5 lần trong 4 bài
Default

Tôi mới mua draytek V2960 có thể cấu hình như trên được không? Xin hướng dẫn.
bansachdao is offline   Trả Lời Với Trích Dẫn
Old 22-05-2013, 01:52 PM   #8
Linh
DrayTek Support Team
 
Linh's Avatar
 
Tham gia ngày: Mar 2012
Bài gởi: 240
Số lần cám ơn: 59
Được cảm ơn 214 lần trong 85 bài
Default

Anh muốn hướng dẫn cấu hình chia Vlan và load balance trên 2960 thì a tham khảo link sau:
Chia Vlan: http://draytek.com.vn/documentdetails.aspx?id=172
Load balance: http://draytek.com.vn/documentdetails.aspx?id=192
Nếu a muốn cấu hình gì thêm thì a có thể liên hệ chat với các nick kỹ thuật trong link sau:
http://draytek.com.vn/support.aspx
__________________
============================================
CTY TNHH KT TH VT AN PHÁT
Nhà Phân Phối Thiết Bị Mạng DrayTek Tại VIỆT NAM
ĐC: 3C, Trần Phú, P.4, Q.5 TP.HCM
Điện thoại: (08) 39253789-Fax: (08) 39256597

Kỹ thuật : support@draytek.com.vn
Kinh doanh : sales@draytek.com.vn
Nick YM : anphat01
============================================
Linh is offline   Trả Lời Với Trích Dẫn
Có 3 người đã cám ơn Linh cho bài viết này:
AnPhat09 (22-05-2013), dong (23-05-2013), NhuHa (23-05-2013)
Trả lời


Ðiều Chỉnh
Xếp bài

Quyền hạn của bạn
Bạn không có quyền gởi bài viết mới
Bạn không có quyền gởi bài trả lời
Bạn không có quyền gởi file đính kèm
Bạn không có quyền sửa chửa bài viết

vB code đang Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt
Chuyển đến


Múi giờ GMT +6. Hiện tại là 04:31 AM.


Powered by: vBulletin v3.6.8 Copyright ©2000-2017, Jelsoft Enterprises Ltd.
Copyright © by An Phat Co., Ltd - 2007 All rights reserved