• Hướng Dẫn Cấu Hình

    Hỗ trợ khách hàng với chuyên trang hướng dẫn cấu hình về các dòng sản phẩm thiết bị mà chúng tôi cung cấp!

EdgeMax - Tạo một nhóm bridge và gán các interface ethernet vào bridge?

* Tạo nhóm bridge port

Trong mode configure của Terminal, gỏ lệnh như sau:

ubnt@ubnt:~$ set interfaces bridge br0 
ubnt@ubnt:~$ set interfaces ethernet eth1 bridge-group bridge br0 
ubnt@ubnt:~$ set interfaces ethernet eth2 bridge-group bridge br0 
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Để xem thông tin bridge vừa được tạo, gỏ show interface bridge,

ubnt@ubnt:~$ show interfaces bridge 
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
br0          -                                 u/u

Và xem chi tiết:

ubnt@ubnt:~$ show interfaces bridge detail 
br0:  mtu 1500 qdisc noqueue state UNKNOWN 
   link/ether dc:9f:db:17:0d:5c brd ff:ff:ff:ff:ff:ff
   inet6 fe80::4ca0:8aff:fed7:5cf6/64 scope link 
      valid_lft forever preferred_lft forever

   RX:  bytes    packets     errors    dropped    overrun      mcast
           92          2          0          0          0          2
   TX:  bytes    packets     errors    dropped    carrier collisions
          414          5          0          0          0          0

* Xóa nhóm bridge
Để xóa nhóm bridge sử dụng lệnh delete,

ubnt@ubnt:~$ delete interfaces bridge br0 
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Lưu ý: Tốt nhất nên gỡ nhóm các interface ethernet ra khỏi bridge trước sau đó xóa bỏ bridge; và trường hợp nếu bridge đã được gán địa chỉ IP, bạn cũng nên xóa bỏ địa chỉ IP cho bridge trước khi xóa nó

EdgeMax - Bridge các ethernet port (không thuộc switch) với các ethernet port trong một Switch khác?

Vào mode configure trong Terminal thực hiện như sau:
Hướng dẫn này thực hiện nhóm bridge port eth1 với các port eth2, eth3 và eth4 trong switch switch0,
Trước tiên đảm bảo chắc rằng các ethernet eth2, eth3, eth4 đã được add trong switch0

ubnt@ubnt:~$ set interfaces switch switch0 switch-port interface eth2
ubnt@ubnt:~$ set interfaces switch switch0 switch-port interface eth3
ubnt@ubnt:~$ set interfaces switch switch0 switch-port interface eth4
ubnt@ubnt:~$ commit

Tiếp theo, khai báo một bridge và nhóm eth1 với switch0,

ubnt@ubnt:~$ set interfaces bridge br0
ubnt@ubnt:~$ set interfaces switch switch0 bridge-group bridge br0
ubnt@ubnt:~$ set interfaces ethernet eth1 bridge-group bridge br0
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Sau khi nhóm có thể gán địa chỉ IP cho cụ thể cho bridge, chẳng hạn,

ubnt@ubnt:~$ set interfaces bridge br0 address 192.168.2.1/24

EdgeMax - Tạo và xóa bỏ VLAN trên một interface Switch/ Bridge/ Ethernet port?

* Tạo Vlan trên một interface

Vào mode configure trong Terminal thực hiện như sau:

Hướng dẫn này thực hiện tạo Vlan 1001 trên một switch là switch0 đã được khai báo sẵn,

ubnt@ubnt:~$ set interfaces switch switch0 vif 1001
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Trong trường hợp khai báo cho một bridge,

ubnt@ubnt:~$ set interfaces bridge br0 vif 1001

Hoặc một interface cụ thể chẳng hạn eth2,

ubnt@ubnt:~$ set interfaces ethernet eth2 vif 1001

Gỏ lệnh show interface ethernet để xem vlan được tạo:

ubnt@ubnt:~$ show interfaces ethernet 
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         10.1.0.124/23                     u/u                              
eth1         172.16.2.5/24                     u/u                              
eth2         172.16.3.5/24                     u/u
switch0      -                                 u/u
switch0.1001 172.16.4.1/24                     u/u

* Xóa bỏ Vlan

Để xóa bỏ Vlan thực hiện với hàm delete,

ubnt@ubnt:~$ delete interfaces switch sw0 vif 1001
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Lưu ý: Trong trường hợp đã đặt địa chỉ IP cho Vlan, nên xóa địa chỉ IP trên Vlan trước khi xóa bỏ Vlan đó

EdgeMax - Cấu hình DHCP server cho một Interface?

* Cấu hình tạo một DHCP server cho một interface
Vào mode configure trong Terminal thực hiện như sau: Đầu tiên, cấu hình IP cho interface được lựa chọn làm IP gateway, ở đây lựa chọn cấu hình cho một bridge ethernet port br0

ubnt@ubnt:~$ set interfaces bridge br0 address 100.0.0.1/24
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Tạo DHCP Server cho bridge br0, chỉ cần khai báo lớp mạng DHCP ứng với gateway đã được khai báo, cần chuẩn bị 3 yêu cầu

  • Tên của Dhcp server
  • Lớp mạng (subnet)
  • Dải địa chỉ IP sẽ cấp tới client
ubnt@ubnt:~$ set service dhcp-server shared-network-name Localnetwork subnet 100.0.0.0/24 start 100.0.0.10 stop 100.0.0.100
ubnt@ubnt:~$ set service dhcp-server shared-network-name Localnetwork subnet 100.0.0.0/24 default-router 100.0.0.1
ubnt@ubnt:~$ set service dhcp-server shared-network-name Localnetwork subnet 100.0.0.0/24 dns-server 8.8.8.8
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Để xem thông tin DHCP server được cấu hình, gõ lệnh show dhcp server,

ubnt@ubnt:~$ show dhcp server
dhcp-server {
 shared-network-name LABNET {
 subnet 100.0.0.0/24 {
 default-router 100.0.0.1
 dns-server 8.8.8.8
 start 100.0.0.10 {
 stop 100.0.0.100
 }
 }
 }
}

Để xem tất cả các thông tin về IP đã được cấp, gõ các lệnh sau

ubnt@ubnt:~$ show dhcp leases
IP address Hardware Address Lease expiration Pool Client Name
---------- ---------------- ---------------- ---- -----------
100.0.0.10 00:24:e8:f7:68:80 2011/12/02 14:41:32 ETH1 Test4-PC
ubnt@ubnt:~$ show dhcp statistics
pool pool size # leased # avail
---- --------- -------- -------
ETH1 91 1 90

Để xóa bỏ các địa chỉ IP đã được cấp hoặc toàn bộ IP, thực hiện các câu lệnh như sau:

ubnt@ubnt:~$ clear dhcp lease ip 172.16.0.10
ubnt@ubnt:~$ clear dhcp leases

EdgeMax - Cấu hình WAN DHCP client?

* Cấu hình Wan DHCP client cho một port interface ethernet
Vào mode configure trong Terminal thực hiện như sau:
Đầu tiên, xác định port ethernet sẽ cắm WAN và nhận IP, ở đây lựa chọn cấu hình cho ethernet eth0:

ubnt@ubnt:~$ set interfaces ethernet eth0 address dhcp

Để xem chi tiết thông tin, gõ show dhcp client leases :

ubnt@ubnt:~$ show dhcp client leases
interface  : eth0
ip address : 192.168.0.27 [Active]
subnet mask: 255.255.254.0
router  : 192.168.0.1
name server: 192.168.0.1
dhcp server: 192.168.0.1
lease time : 600
last update: Fri Dec 9 20:04:13 GMT 2011
expiry  : Fri Dec 09 20:14:10 GMT 2011
reason  : BOUND

EdgeMax - Cấu hình WAN PPPoE Client?

* Cấu hình Wan PPPoE client cho một port interface ethernet
Vào mode configure trong Terminal thực hiện như sau:
Đầu tiên, xác định port ethernet sẽ cắm WAN và khai báo tài khoảng PPPoE client, ở đây lựa chọn cấu hình cho ethernet eth0:

ubnt@ubnt:~$ set interfaces ethernet eth0 description ISP
ubnt@ubnt:~$ set interfaces ethernet eth0 pppoe 0 default-route auto
ubnt@ubnt:~$ set interfaces ethernet eth0 pppoe 0 mtu 1492
ubnt@ubnt:~$ set interfaces ethernet eth0 pppoe 0 name-server auto
ubnt@ubnt:~$ set interfaces ethernet eth0 pppoe 0 user-id [user_duong_truyen]
ubnt@ubnt:~$ set interfaces ethernet eth0 pppoe 0 password [password_duong_truyen]
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save
Saving configuration to '/config/config.boot'...
Done
exit

Để xem chi tiết thông tin, gõ show interfaces ethernet eth0 pppoe 0 :

ubnt@ubnt:~$ show interfaces ethernet eth0 pppoe 0 
 default-route auto
 firewall {
     in {
         name pppoe-in
     }
     local {
         name pppoe-local
     }
     out {
         modify pppoe-out
     }
 }
 mtu 1492
 name-server auto
 password secret
 user-id joe

EdgeMax - Cấu hình Bonding các port interface ethernet giữa 2 router?

Thực hiện cấu hình một số port interface ethernet trên 2 router như sau:
Vào mode configure trong Terminal:
Trên Router 1:
Tạo bonding group và gán các port ethernet ( ở đây chọn eth1 và eth2) vào group bonding:

ubnt@ubnt:~$ set interfaces bonding bond0 mac 00:00:00:00:02:02
ubnt@ubnt:~$ set interfaces bonding bond0 address 5.0.0.2/24
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ set interfaces ethernet eth1 bond-group bond0
ubnt@ubnt:~$ set interfaces ethernet eth2 bond-group bond0
ubnt@ubnt:~$ commit

Tương tự trên Router 2 cung tạo bonding group cho 2 port kết nối tới:

ubnt@ubnt:~$ set interfaces bonding bond0 mac 00:00:00:00:01:01
ubnt@ubnt:~$ set interfaces bonding bond0 address 5.0.0.1/24
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ set interfaces ethernet eth1 bond-group bond0
ubnt@ubnt:~$ set interfaces ethernet eth2 bond-group bond0
ubnt@ubnt:~$ commit

Để xem thạng thái của liên kết bonding, gõ lệnh show interfaces bonding:

To display status information for the bond group, use the following commands:

ubnt@ubnt:~$ show interfaces bonding 
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
bond0        5.0.0.1/24                        u/u   

Hoặc xem chi tiết,

ubnt@ubnt:~$ show interfaces bonding detail  
bond0:  mtu 1500 qdisc noqueue state UP 
    link/ether 00:00:00:00:01:01 brd ff:ff:ff:ff:ff:ff
    inet 5.0.0.1/24 brd 5.0.0.255 scope global bond0
    inet6 fe80::200:ff:fe00:101/64 scope link 
       valid_lft forever preferred_lft forever

    RX:  bytes    packets     errors    dropped    overrun      mcast
        177813       1296          0          0          0        362
    TX:  bytes    packets     errors    dropped    carrier collisions
        113698       1413          0          0          0          0

EdgeMax - Cấu hình Dest NAT?

Để thực hiện cấu hình một số Dest NAT IP cần xác định một số thông tin cấu hình như sau:

  • ID của rule NAT
  • Interface ngỏ vào (Inbound Interface)
  • Địa chỉ IP và/hoặc port biên dịch
  • Loại NAT là Dest NAT

Vào mode configure trong Terminal và gõ các lệnh như sau, ở đây ví dụ mẫu với IP 172.16.130.32 là IP local được biên dịch, port 8080, protocol TCP và IP 192.168.130.32 là Dest IP WAN router, port 80 trên interface tham chiếu vào là pppoe0:

ubnt@ubnt:~$ set nat destination rule 33 destination address 172.16.130.32
ubnt@ubnt:~$ set nat destination rule 33 destination port 8080
ubnt@ubnt:~$ set nat destination rule 33 inbound-interface pppoe0
ubnt@ubnt:~$ set nat destination rule 33 protocol tcp
ubnt@ubnt:~$ set nat destination rule 33 translation port 80
ubnt@ubnt:~$ set nat destination rule 33 translation address 192.168.130.32
ubnt@ubnt:~$ commit

Lưu ý: Không nhất thiết bắt buộc phải cấu hình IP WAN trong rule NAT

EdgeMax - Cấu hình Dynamic DNS?

EdgeOS hỗ trợ cấu hình với nhiều nhà cung cấp dịch vụ Dynamic DNS sau:

  • Dnspark
  • Dyndns
  • Namecheap
  • Zoneedit
  • Dslreports
  • Easydns
  • Sitelutions
  • Afraid (as of OS Version 1.3)

Để cấu hình một Dynamic DNS vào mode configure trong Terminal:

ubnt@ubnt:~$ set service dns dynamic interface eth0 service noip host-name [your_dyndns_domain]
ubnt@ubnt:~$ set service dns dynamic interface eth0 service noip login [your_username] 
ubnt@ubnt:~$ set service dns dynamic interface eth0 service noip password [your_password] 
ubnt@ubnt:~$ commit

Sau khi cấu hình có thể dùng lệnh show dns dynamic để xem trạng thái:

ubnt@ubnt:~$ show dns dynamic status 
interface    : eth0
ip address   : 10.1.0.124
host-name    : mydyndns.ddns.net
last update  : Wed Dec 31 16:00:00 1969
update-status: good

EdgeMax - Cấu hình SNMP?

Vào configure trong Terminal :

ubnt@ubnt:~$ set service snmp community public authorization ro

Lưu ý:  – Từ ro là viết tắt đại diện cho quyền “read-only”.
          – ‘public’ là chuỗi trao đổi snmp, hoàn toàn có thể thay đổi bằng một chuỗi trao đổi khác phù hợp cho thiết lập của bạn.
Một số tùy chọn cấu hình kèm theo trong SNMP như sau:

  • Giới hạn trao đổi snmp tới một client/network
set service snmp community public client
  • Thiết lập mô tả cho dịch vụ snmp
set service snmp description
  • Khai báo location
set service snmp location ""
  • Khai báo thông tin liên hệ
set service snmp contact
  • Khai báo trap-target
set service snmp trap-target
  • Khai báo địa chỉ sẽ lắng nghe (listen-address)
set service snmp listen-address

EdgeMax - Cấu hình IP address cho một Interface?

Để cấu hình một địa chỉ IP address cho một Interface cần xác định:

  • IP version, IPv4/IPv6
  • Địa chỉ IP sẽ gán
  • Interface sẽ cấu hình, ethernet, switch, bridge

Vào mode configure trong Terminal và gõ các lệnh như sau, ở đây ví dụ mẫu với IP 172.16.0.1/24 trên Interface ethernet eth1:

ubnt@ubnt:~$ set interfaces ethernet eth1 address 172.16.0.1/24
ubnt@ubnt:~$ $set interfaces ethernet eth1 description "Lan-local"
ubnt@ubnt:~$ commit
ubnt@ubnt:~$ save

Để xem thông tin interface gõ show interface;

ubnt@ubnt:~$ show interfaces                                                    
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down                    
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------
eth0         -                                 u/D
eth1         172.16.0.1/24                     u/u  Lan-local
eth2         -                                 u/D

EdgeMax - Cấu hình Load Balancing 2 WAN Static IP + 1 LAN?

Hướng dẫn cấu hình EdgeRouter Loadbalancing 2 WAN Static IP + 1 LAN với:
+ WAN1 IP Address: 172.16.100.20/24 Gateway: 172.16.100.1/24
+ WAN2 IP Address: 172.16.200.20/24 Gateway: 172.16.200.1/24
+ LAN IP Address: 192.168.1.1/24
Bước đầu tiên trước khi cấu hình, cần xác định được các port interface sẽ làm WAN, LAN và cấu hình địa chỉ IP cho các giao tiếp Interface đó. Ở đây sử dụng EdgeRouter Lite, chúng ta quy định port eth0 và eth1 sẽ làm WAN, eth2 làm LAN.

ubnt@ubnt:~$ set interfaces ethernet eth0 description WAN1
ubnt@ubnt:~$ set interfaces ethernet eth0 address 172.16.100.20/24
ubnt@ubnt:~$ set interfaces ethernet eth1 description WAN2
ubnt@ubnt:~$ set interfaces ethernet eth1 address 172.16.200.20/24
ubnt@ubnt:~$ set interfaces ethernet eth2 description LAN
ubnt@ubnt:~$ set interfaces ethernet eth2 address 192.168.1.1/24
ubnt@ubnt:~$ commit

Bước thứ 2, tiếp theo NAT Internet Masquerade cho mạng Local thông qua 2 WAN Internet:
Trước tiên vào Firewall, tạo một Group Network là mạng LAN Local, khai báo như sau:

ubnt@ubnt:~$ set firewall group network-group LAN_Network description "LAN Address Network"
ubnt@ubnt:~$ set firewall group network-group LAN_Network network 192.168.1.0/24
ubnt@ubnt:~$ commit

Sau đó NAT Internet cho group đó

ubnt@ubnt:~$ set service nat rule 6001 description "MASQ LAN_Network to WAN1"
ubnt@ubnt:~$ set service nat rule 6001 log disabled
ubnt@ubnt:~$ set service nat rule 6001 outbound-interface eth0
ubnt@ubnt:~$ set service nat rule 6001 protocol all
ubnt@ubnt:~$ set service nat rule 6001 source group network-group LAN_Network
ubnt@ubnt:~$ set service nat rule 6001 type masquerade
ubnt@ubnt:~$ set service nat rule 6002 description "MASQ LAN_Network to WAN2"
ubnt@ubnt:~$ set service nat rule 6002 log disabled
ubnt@ubnt:~$ set service nat rule 6002 outbound-interface eth1
ubnt@ubnt:~$ set service nat rule 6002 protocol all
ubnt@ubnt:~$ set service nat rule 6002 source group network-group LAN_Network
ubnt@ubnt:~$ set service nat rule 6002 type masquerade
ubnt@ubnt:~$ commit

Bước 3, thực hiện xây dựng 2 bảng table routing để định tuyến ra 2 WAN

ubnt@ubnt:~$ set protocols static table 1 route 0.0.0.0/0 next-hop 172.16.100.1
ubnt@ubnt:~$ set protocols static table 1 route 0.0.0.0/0 next-hop 172.16.200.1
ubnt@ubnt:~$ commit

Bước 4, cấu hình load balancing routing dựa trên 2 bảng routing table:

ubnt@ubnt:~$ set load-balance group G interface eth0 route table 1
ubnt@ubnt:~$ set load-balance group G interface eth0 route-test count failure 3
ubnt@ubnt:~$ set load-balance group G interface eth0 route-test count success 3
ubnt@ubnt:~$ set load-balance group G interface eth0 route-test initial-delay 60
ubnt@ubnt:~$ set load-balance group G interface eth0 route-test interval 5
ubnt@ubnt:~$ set load-balance group G interface eth0 route-test type ping 8.8.8.8
ubnt@ubnt:~$ set load-balance group G interface eth0 weight 50
ubnt@ubnt:~$ set load-balance group G interface eth1 route table 2
ubnt@ubnt:~$ set load-balance group G interface eth1 route-test count failure 3
ubnt@ubnt:~$ set load-balance group G interface eth1 route-test count success 3
ubnt@ubnt:~$ set load-balance group G interface eth1 route-test initial-delay 60
ubnt@ubnt:~$ set load-balance group G interface eth1 route-test interval 5
ubnt@ubnt:~$ set load-balance group G interface eth1 route-test type ping 8.8.8.8
ubnt@ubnt:~$ set load-balance group G interface eth1 weight 50
ubnt@ubnt:~$ commit

Lưu ý, tùy theo băng thông mỗi WAN Internet để set tỷ lệ “weight”. Tổng tỷ lệ là 100 (%).
Bước 5, cấu hình các Firewall rule để quy định cho các traffic vào/ ra từ các Interface WAN/ LAN.
* Cấu hình Firewall quy định cho traffic mạng Local:

ubnt@ubnt:~$ set firewall modify balance rule 3001 action modify
ubnt@ubnt:~$ set firewall modify balance rule 3001 description "Do not load-balancing lan to lan"
ubnt@ubnt:~$ set firewall modify balance rule 3001 destination group network-group LAN_Network
ubnt@ubnt:~$ set firewall modify balance rule 3001 modify table main
ubnt@ubnt:~$ set firewall modify balance rule 3002 action modify
ubnt@ubnt:~$ set firewall modify balance rule 3002 description "Do not load-balancing destination public address WAN1"
ubnt@ubnt:~$ set firewall modify balance rule 3002 destination address 172.16.100.0/24
ubnt@ubnt:~$ set firewall modify balance rule 3002 modify table main
ubnt@ubnt:~$ set firewall modify balance rule 3003 action modify
ubnt@ubnt:~$ set firewall modify balance rule 3003 description "Do not load-balancing destination public address WAN2"
ubnt@ubnt:~$ set firewall modify balance rule 3003 destination address 172.16.200.0/24
ubnt@ubnt:~$ set firewall modify balance rule 3003 modify table main
ubnt@ubnt:~$ set firewall modify balance rule 3100 action modify
ubnt@ubnt:~$ set firewall modify balance rule 3100 modify lb-group G
ubnt@ubnt:~$ commit

* Cấu hình Firewall quy định cho traffic từ WAN-> LAN:

ubnt@ubnt:~$ set firewall name WAN_IN default-action drop
ubnt@ubnt:~$ set firewall name WAN_IN description "Packets from Internet to Intranet"
ubnt@ubnt:~$ set firewall name WAN_IN rule 3001 action accept
ubnt@ubnt:~$ set firewall name WAN_IN rule 3001 description "Allow established/ related sesions"
ubnt@ubnt:~$ set firewall name WAN_IN rule 3001 state established enable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3001 state invalid disable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3001 state new disable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3001 state related enable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3002 action drop
ubnt@ubnt:~$ set firewall name WAN_IN rule 3002 description "Drop invalid state"
ubnt@ubnt:~$ set firewall name WAN_IN rule 3002 state established disable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3002 state invalid enable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3002 state new disable
ubnt@ubnt:~$ set firewall name WAN_IN rule 3002 state related disable
ubnt@ubnt:~$ commit

* Cấu hình Firewall quy định cho traffic từ WAN-> Router:

ubnt@ubnt:~$ set firewall name WAN_LOCAL default-action drop
ubnt@ubnt:~$ set firewall name WAN_LOCAL description "Packets from Internet to Gateway"
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3001 action accept
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3001 description "Allow established/ related sesions"
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3001 state established enable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3001 state invalid disable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3001 state new disable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3001 state related enable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3002 action drop
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3002 description "Drop invalid state"
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3002 state established disable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3002 state invalid enable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3002 state new disable
ubnt@ubnt:~$ set firewall name WAN_LOCAL rule 3002 state related disable
ubnt@ubnt:~$ commit

* Cấu hình Firewall quy định cho traffic đi ra WAN:

ubnt@ubnt:~$ set firewall name WAN_OUT default-action accept
ubnt@ubnt:~$ set firewall name WAN_OUT description "Packets to Internet"
ubnt@ubnt:~$ commit

Bước cuối cùng, thực hiện gán các rule Firewall vào Interface WAN/ LAN tương ứng.

ubnt@ubnt:~$ set interfaces ethernet eth0 firewall in name WAN_IN
ubnt@ubnt:~$ set interfaces ethernet eth0 firewall local name WAN_LOCAL
ubnt@ubnt:~$ set interfaces ethernet eth1 firewall in name WAN_IN
ubnt@ubnt:~$ set interfaces ethernet eth1 firewall local name WAN_LOCAL
ubnt@ubnt:~$ set interfaces ethernet eth2 firewall in modify balance
ubnt@ubnt:~$ commit; save

Khi này router đã hoàn thành cấu hình, có thể test để kiểm tra việc load balancing.

ubnt@ubnt:~$ show interfaces ethernet detail
eth0:  mtu 1500 qdisc noqueue state UP
    link/ether f0:9f:c2:1e:c6:f0 brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.20/24 brd 172.16.100.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::f29f:c2ff:fe1e:c6f0/64 scope link
       valid_lft forever preferred_lft forever
    Description: wan1

    RX:  bytes    packets     errors    dropped    overrun      mcast
      80798644      83860          0          0          0          0
    TX:  bytes    packets     errors    dropped    carrier collisions
      10150640      70595          0          0          0          0
eth1:  mtu 1500 qdisc noqueue state UP
    link/ether f0:9f:c2:1e:c6:f2 brd ff:ff:ff:ff:ff:ff
    inet 172.16.200.20/24 brd 172.16.200.255 scope global eth2
       valid_lft forever preferred_lft forever
    inet6 fe80::f29f:c2ff:fe1e:c6f2/64 scope link
       valid_lft forever preferred_lft forever
    Description: wan2

    RX:  bytes    packets     errors    dropped    overrun      mcast
      78837555      81044          0          0          0         10
    TX:  bytes    packets     errors    dropped    carrier collisions
       9966249      75839          0          0          0          0 
eth2:  mtu 1500 qdisc noqueue state UP
    link/ether f0:9f:c2:1e:c6:f1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::f29f:c2ff:fe1e:c6f1/64 scope link
       valid_lft forever preferred_lft forever

    RX:  bytes    packets     errors    dropped    overrun      mcast
      19844754     123396          0          0          0          3
    TX:  bytes    packets     errors    dropped    carrier collisions
     131044959     142535          0          0          0          0

EdgeMax - Enable/ Disable Wan PPPoE?

Trong trường hợp muốn restart lại đường truyền Internet PPPoE, thực hiện lệnh sau trong mode cli
– Ngắt kết nối PPPoE

ubnt@ubnt:~$ disconnect interface pppoe0 
Bringing interface pppoe0 down...

– Start lại kết nối PPPoE

ubnt@ubnt:~$ connect interface pppoe0 
Bringing interface pppoe0 up...

Xem lại trạng thái Interface PPPoE

ubnt@ubnt:~$ show interfaces pppoe pppoe0 log 
Thu Jan 1 09:26:34 PST 2015: PPP interface pppoe0 created
Thu Jan 1 09:26:35 PST 2015: Stopping PPP daemon for pppoe0
Thu Jan 1 09:26:35 PST 2015: Starting PPP daemon for pppoe0
Connected to dc:9f:db:80:f3:00 via interface eth7
using channel 1
Using interface ppp0
Connect: ppp0 <--> eth7
sent [LCP ConfReq id=0x1  ]
rcvd [LCP ConfReq id=0x1   ]
lcp_reqci: returning CONFACK.
sent [LCP ConfAck id=0x1   ]
sent [LCP ConfReq id=0x1  ]
rcvd [LCP ConfAck id=0x1  ]
sent [LCP EchoReq id=0x0 magic=0xc6f35760]
rcvd [LCP EchoReq id=0x0 magic=0x7dfcb0a6]
sent [LCP EchoRep id=0x0 magic=0xc6f35760]
rcvd [CHAP Challenge id=0xc1 , name = "pppoe-server"]
sent [CHAP Response id=0xc1 <6abb0642b4d80195fcf43a28b282f1ac0000000000000000c1c6650e3d823e8735d635440d414d9b4fd23ca77516ba1200>, name = "joe"]
rcvd [LCP EchoRep id=0x0 magic=0x7dfcb0a6]
rcvd [CHAP Success id=0xc1 "S=D07170E0177B1DB84E603FA9F3C41F7F1254022C M=Access granted"]
CHAP authentication succeeded
peer from calling number DC:9F:DB:80:F3:00 authorized
sent [IPCP ConfReq id=0x1   ]
rcvd [IPCP ConfReq id=0x1 ]
ipcp: returning Configure-ACK
sent [IPCP ConfAck id=0x1 ]
rcvd [IPCP ConfRej id=0x1  ]
sent [IPCP ConfReq id=0x2 ]
rcvd [IPCP ConfNak id=0x2 ]
sent [IPCP ConfReq id=0x3 ]
rcvd [IPCP ConfAck id=0x3 ]
ipcp: up
Script /etc/ppp/ip-pre-up started (pid 21751)
Script /etc/ppp/ip-pre-up finished (pid 21751), status = 0x0
local IP address 3.0.0.1
remote IP address 10.255.253.0
Script /etc/ppp/ip-up started (pid 21809)
Script /etc/ppp/ip-up finished (pid 21809), status = 0x0
Thu Aug 11 11:14:15 PDT 2016: User ubnt stopping PPP daemon for pppoe0 by disconnect command
Terminating on signal 15
ipcp: down
Connect time 846767.6 minutes.
Sent 4876 bytes, received 1292 bytes.
Script /etc/ppp/ip-down started (pid 22003)
sent [LCP TermReq id=0x2 "User request"]
rcvd [LCP TermAck id=0x2]
Connection terminated: no multilink.
Waiting for 1 child processes...
 script /etc/ppp/ip-down, pid 22003
Script /etc/ppp/ip-down finished (pid 22003), status = 0x0
Thu Aug 11 11:14:24 PDT 2016: User ubnt starting PPP daemon for pppoe0 by connect command
Connected to dc:9f:db:80:f3:00 via interface eth7
using channel 2
Using interface ppp0
Connect: ppp0 <--> eth7
sent [LCP ConfReq id=0x1  ]
rcvd [LCP ConfReq id=0x1   ]
lcp_reqci: returning CONFACK.
sent [LCP ConfAck id=0x1   ]
sent [LCP ConfReq id=0x1  ]
rcvd [LCP ConfAck id=0x1  ]
sent [LCP EchoReq id=0x0 magic=0xf496d0e6]
rcvd [LCP EchoReq id=0x0 magic=0x3e371a9d]
sent [LCP EchoRep id=0x0 magic=0xf496d0e6]
rcvd [CHAP Challenge id=0xf7 <67e33de5d6222600119c184785dfd47c>, name = "pppoe-server"]
sent [CHAP Response id=0xf7 , name = "joe"]
rcvd [LCP EchoRep id=0x0 magic=0x3e371a9d]
rcvd [CHAP Success id=0xf7 "S=C0C756F56368144523B3EEA54A84A4460CEECD00 M=Access granted"]
CHAP authentication succeeded
peer from calling number DC:9F:DB:80:F3:00 authorized
sent [IPCP ConfReq id=0x1   ]
rcvd [IPCP ConfReq id=0x1 ]
ipcp: returning Configure-ACK
sent [IPCP ConfAck id=0x1 ]
rcvd [IPCP ConfRej id=0x1  ]
sent [IPCP ConfReq id=0x2 ]
rcvd [IPCP ConfNak id=0x2 ]
sent [IPCP ConfReq id=0x3 ]
rcvd [IPCP ConfAck id=0x3 ]
ipcp: up
Script /etc/ppp/ip-pre-up started (pid 22162)
Script /etc/ppp/ip-pre-up finished (pid 22162), status = 0x0
local IP address 3.0.0.2
remote IP address 10.255.253.0
Script /etc/ppp/ip-up started (pid 22213)
Script /etc/ppp/ip-up finished (pid 22213), status = 0x0

MikroTik - Cấu hình WAN DHCP client?

Vào terminal trên Winbox hoặc Web config gõ lện như sau:

[admin@MikroTik] > /ip dhcp-client add interface=ether1 disabled=no

Lưu ý: Interface được chọn cấu hình làm Wan phải là một port interface độc lập, nghĩa là không thuộc bất kỳ một bridge hay một master port interface khác
Để xem thông tin của DHCP client, gõ lệnh print detail như sau:

[admin@MikroTik] > /ip dhcp-client print detail
Flags: X - disabled, I - invalid 
 0   interface=ether1 add-default-route=yes use-peer-dns=yes use-peer-ntp=yes
     status=bound address=192.168.0.65/24 gateway=192.168.0.1
     dhcp-server=192.168.0.1 primary-dns=192.168.0.1 primary-ntp=192.168.0.1
     expires-after=9m44s

MikroTik - Bật IP host cloud cho router ?

Tính năng IP host cloud làm việc đúng khi Router được cấu hình làm gateway internet, trong trường hợp Mikrotik router chỉ đóng vai trò là một subrouter trong mạng nội bộ, tính năng này có thể không hoạt động đúng.
Vào terminal trên Winbox hoặc Web config gõ lện như sau:

[admin@MikroTik] > /ip cloud set ddns-enabled=yes

Để xem thông tin của Dynamic DNS host cloud, gõ lệnh ip cloud print như sau:

[admin@MikroTik] /ip cloud print
         ddns-enabled: yes
     update-time: yes
  public-address: 159.148.172.205
        dns-name: 529c0491d41c.sn.mynetname.net
          status: updated

MikroTik - Tạo Bridge và gán các interface ethernet vào bridge?

Vào terminal trên Winbox hoặc Web config gõ lện như sau:
* Tạo một nhóm Bridge

[admin@MikroTik] > /interface bridge add name=bridge-local

Để xem thông tin của bridge, gõ lệnh interface bridge print như sau:

[admin@MikroTik] > /interface bridge print
Flags: X - disabled, R - running 
 0  R name="bridge-local" mtu=1500 l2mtu=65535 arp=enabled 
      mac-address=00:00:00:00:00:00 protocol-mode=none priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m

*Gán các port interface vào bridge

[admin@MikroTik] > /interface bridge port add bridge=bridge-local interface=ether1
[admin@MikroTik] > /interface bridge port add bridge=bridge-local interface=ether2

Và xem thông tin các port trong bridge

[admin@MikroTik] > /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic 
 #    INTERFACE              BRIDGE              PRIORITY PATH-COST  HORIZON   
 0    ether1                 bridge-local        0x80     10         none      
 1    ether2                 bridge-local        0x80     10         none

MikroTik - Ngăn chặn tấn công DDoS và đăng nhập trái phép thông qua SSH/ FTP từ IP lạ?

Cách 1: Thay đổi port truy cập SSH/ FTP trên Mikrotik Router

[admin@MikroTik] > /ip service edit ssh value-name=port

Cách 2: Sử dụng Firewall Filters
* Cấu hình giới hạn số lần đăng nhập FTP không đúng mỗi phút

[admin@MikroTik] > /add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
[admin@MikroTik] > /add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
[admin@MikroTik] > /add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h

* Cấu hình cấm đăng nhập SSH 10 ngày nếu việc đăng nhập tái diễn liên tục

[admin@MikroTik] > /add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

* If you want to block downstream access as well, you need to block the with the forward chain:

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no

To view the contents of your Blacklist, go to “/ip firewall address-list” and type “print” to see the contents.

* Cấu hình chặn truy cập SSH với các IP  trong danh mục chặn “ssh_blacklist”.

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="Drop SSH connection from IP addresses in ssh_blacklist address list" disabled=no

* Cấu hình chặn truy cập SSH với các IP  trong danh mục chặn “ssh_blacklist” mà kết nối SSH 4 lần (cho dù thành công hoặc không) trong thời gian quy định.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_attempt_3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=2w comment="Blocked IP address that attempted multiple SSH connections" disabled=no

* Cấu hình chặn truy cập SSH với các IP  trong danh mục chặn “ssh_blacklist” mà kết nối SSH 3 lần (cho dù thành công hoặc không) trong thời gian quy định.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_attempt_2 action=add-src-to-address-list \
address-list=ssh_attempt_3 address-list-timeout=1m comment="IP address that attempted to create 3 SSH connections" disabled=no

* Cấu hình chặn truy cập SSH với các IP  trong danh mục chặn “ssh_blacklist” mà kết nối SSH 2 lần (cho dù thành công hoặc không) trong thời gian quy định.

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_attempt_1 action=add-src-to-address-list address-list=ssh_attempt_2 address-list-timeout=1m comment="IP address that attempted to create 2 SSH connections" disabled=no

* Cấu hình chặn truy cập SSH với các IP  trong danh mục chặn “ssh_blacklist” mà kết nối SSH 2 lần (cho dù thành công hoặc không) trong thời gian quy định.

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_attempt_1 address-list-timeout=1m comment="IP address that attempted to create an SSH connections" disabled=no

MikroTik - Cấu hình Load Balancing Fail-Over 2 WAN Static IP + 1 LAN ?

Hướng dẫn thực hiện Load Balancing Fail-Over 2 WAN Static IP + 1 LAN, với:
+ WAN1 IP Address: 192.168.1.19/24 Gateway: 192.168.1.253/24
+ WAN2 IP Address: 192.168.2.19/24 Gateway: 192.168.2.253/24
+ LAN IP Address: 172.16.0.1/24 Network: 172.16.0.0/24
Với cấu hình này, mặc định mạng LAN local sẽ chỉ ra Internet trên WAN1, trong trường hợp WAN1 bị disconnect, mạng sẽ tự up chạy trên WAN2.
Đầu tiên khai báo các địa chỉ mạng LAN, WAN, sau đó Nat Internet cho các Interface WAN. Vào terminal trên Winbox hoặc Web config gõ lệnh như sau:

[admin@MikroTik] > /ip address 
[admin@MikroTik] /ip address> add address=172.16.0.1/24 interface=LAN 
[admin@MikroTik] /ip address> add address=192.168.1.19/24 interface=WAN1
[admin@MikroTik] /ip address> add address=192.168.2.19/24 interface=WAN2 
[admin@MikroTik] > /ip firewall nat 
[admin@MikroTik] /ip firewall nat > add action=masquerade chain=srcnat out-interface=WAN1 
[admin@MikroTik] /ip firewall nat > add action=masquerade chain=srcnat out-interface=WAN2

Để xem thông tin cấu hình IP, gõ lệnh print detail như sau:

[admin@MikroTik] > /ip address print detail 
Flags: X - disabled, I - invalid, D - dynamic 
 0   address=172.16.0.1/24 network=172.16.0.0 interface=LAN 
     actual-interface=LAN 
 1   address=192.168.1.19/24 network=192.168.1.0 interface=WAN1 
     actual-interface=WAN1 
 2   address=192.168.2.19/24 network=192.168.2.0 interface=WAN2 
     actual-interface=WAN2

Khai báo bảng định tuyến Load balancing:

[admin@MikroTik] > /ip route
[admin@MikroTik] /ip route> add gateway=192.168.1.253 distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 distance=2 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.1.253 routing-mark=WAN1_Route distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 routing-mark=WAN2_Route distance=1 dst-address=0.0.0/0

Bước tiếp theo, cấu hình các Firewall Mangle khai báo các các traffic không cần load balancing, các traffic này sẽ thực thi trên main routing table
+ Khai báo các Address list

[admin@MikroTik] > /ip firewall address-list
[admin@MikroTik] /ip firewall address-list> add address=192.168.1.0/24 list=WAN-Addresslist
[admin@MikroTik] /ip firewall address-list> add address=192.168.2.0/24 list=WAN-Addresslist
[admin@MikroTik] /ip firewall address-list> add address=172.16.0.0/24 list=LAN-Addresslist

+ Accept các lưu lượng traffic không Load balancing, các traffic này sẽ routing theo main routing table

[admin@MikroTik] > /ip firewall mangle 
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address-list=LAN-Addresslist dst-address-list=LAN-Addresslist action=accept
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address-list=LAN-Addresslist dst-address-list=WAN-Addresslist action=accept
[admin@MikroTik] /ip firewall mangle> add chain=prerouting in-interface=LAN dst-address-list=WAN-Addresslist action=accept

Tiếp theo, cấu hình các luồng traffic cần load balancing, ở đây có 4 luồng: WAN->Router, Router->WAN, WAN->LAN, LAN->WAN .
+ Cấu hình đánh dấu nhãn định tuyến luồng WAN-> Router:
Trước tiên, bắt các connection từ Internet vào router và đánh dấu nhãn cho chúng:

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=input connection-mark=no-mark in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_to_ROS
[admin@MikroTik] /ip firewall mangle> add chain=input connection-mark=no-mark in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_to_ROS

Sau đó, đặt các connection này vào đúng bảng định tuyến:

[admin@MikroTik] /ip firewall mangle> add chain=output connection-mark=WAN1_to_ROS action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=output connection-mark=WAN2_to_ROS action=mark-routing new-routing-mark=WAN2_Route

+ Cấu hình đánh dấu nhãn định tuyến luồng WAN->LAN:
Tương tự với LAN, các connection khởi tạo từ Internet vào mạng LAN thông qua WAN nào sẽ được phản hồi trả lại theo đúng đường WAN đó.

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=forward connection-mark=no-mark in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_to_LAN
[admin@MikroTik] /ip firewall mangle> add chain=forward connection-mark=no-mark in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_to_LAN
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=WAN1_to_LAN src-address-list=LAN-Addresslist action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=WAN2_to_LAN src-address-list=LAN-Addresslist action=mark-routing new-routing-mark=WAN2_Route

+ Cấu hình đánh dấu nhãn định tuyến luồng LAN-> WAN:

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark src-address-list=LAN-Addresslist dst-addresslist=!LAN-Addresslist dst-address-type=!local action=mark-connection new-connection-mark=LAN_to_WAN
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=LAN_to_WAN src-address-list=LAN-Addresslist action=mark-routing new-routing-mark=WAN1_Route comment="Load-Balancing here"

Với cấu hình này, chúng ta đang khai báo bảng định tuyến nào sẽ kết nối mạng LAN đến Internet.
Tiếp theo ghim kết nối để đảm bảo rằng một khi một kết nối được định tuyến thông qua một WAN, nó sẽ thực thi trên đường đó không có vấn đề gì

[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=LAN_to_WAN routing-mark=WAN1_Route action=mark-connection new-connection-mark=Sticky_WAN1
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=LAN_to_WAN routing-mark=WAN2_Route action=mark-connection new-connection-mark=Sticky_WAN2
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=Sticky_WAN1 src-address-list=LAN-Addresslist action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=Sticky_WAN2 src-address-list=LAN-Addresslist action=mark-routing new-routing-mark=WAN2_Route

Cuối cùng check Fail-Over ta cấu hình lệnh ping để kiểm tra gateway đã khai báo bảng định tuyến cho mạng LAN ra Internet, ở đây là WAN1.

[admin@MikroTik] > /ip route set numbers=0 check-gateway=ping

Xem dòng điều chỉnh route number trong /ip route print detail để lựa chọn.

[admin@MikroTik] > /ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 AS  dst-address=0.0.0.0/0 gateway=192.168.1.253
      gateway-status=192.168.1.253 reachable via WAN1 distance=1
      scope=30 target-scope=10 routing-mark=WAN1_Route
1 AS  dst-address=0.0.0.0/0 gateway=192.168.2.253
      gateway-status=192.168.2.253 reachable via WAN2 distance=1
      scope=30 target-scope=10 routing-mark=WAN2_Route
2 AS  dst-address=0.0.0.0/0 gateway=192.168.1.253
      gateway-status=192.168.1.253 reachable via WAN1 distance=1
      scope=30 target-scope=10
3 S   dst-address=0.0.0.0/0 gateway=192.168.2.253
      gateway-status=192.168.2.253 reachable via WAN2 distance=2
      scope=30 target-scope=10
4 ADC dst-address=172.16.0.0/24 pref-src=172.16.0.1 gateway=LAN
      gateway-status=LAN reachable distance=0 scope=10
5 ADC dst-address=192.168.1.0/24 pref-src=192.168.1.19 gateway=WAN1

Bây giờ chúng ta có thể test để xem kết quả.

MikroTik - Cấu hình Load Balancing PCC thông thường 2 WAN Static IP + 1 LAN ?

Hướng dẫn thực hiện Load Balancing PCC 2 WAN Static IP + 1 LAN, với:
+ WAN1 IP Address: 192.168.1.19/24 Gateway: 192.168.1.253
+ WAN2 IP Address: 192.168.2.19/24 Gateway: 192.168.2.253
+ LAN IP Address: 172.16.0.1/24 Network: 172.16.0.0/24
Đầu tiên khai báo các địa chỉ mạng LAN, WAN, sau đó Nat Internet cho các Interface WAN. Vào terminal trên Winbox hoặc Web config gõ lệnh như sau:

[admin@MikroTik] > /ip address 
[admin@MikroTik] /ip address> add address=172.16.0.1/24 interface=LAN 
[admin@MikroTik] /ip address> add address=192.168.1.19/24 interface=WAN1
[admin@MikroTik] /ip address> add address=192.168.2.19/24 interface=WAN2 
[admin@MikroTik] > /ip firewall nat 
[admin@MikroTik] /ip firewall nat > add action=masquerade chain=srcnat out-interface=WAN1 
[admin@MikroTik] /ip firewall nat > add action=masquerade chain=srcnat out-interface=WAN2

Để xem thông tin cấu hình IP, gõ lệnh print detail như sau:

[admin@MikroTik] > /ip address print detail 
Flags: X - disabled, I - invalid, D - dynamic 
 0   address=172.16.0.1/24 network=172.16.0.0 interface=LAN 
     actual-interface=LAN 
 1   address=192.168.1.19/24 network=192.168.1.0 interface=WAN1 
     actual-interface=WAN1 
 2   address=192.168.2.19/24 network=192.168.2.0 interface=WAN2 
     actual-interface=WAN2

Khai báo bảng định tuyến Load balancing:

[admin@MikroTik] > /ip route
[admin@MikroTik] /ip route> add gateway=192.168.1.253 routing-mark=WAN1_Route distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 routing-mark=WAN2_Route distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.1.253 distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 distance=2 dst-address=0.0.0/0

Bước tiếp theo, cấu hình các Firewall Mangle khai báo các các traffic không cần load balancing, các traffic này sẽ thực thi trên main routing table
+ Khai báo các Address list

[admin@MikroTik] > /ip firewall address-list
[admin@MikroTik] /ip firewall address-list> add address=192.168.1.0/24 list=WAN-Addresslist
[admin@MikroTik] /ip firewall address-list> add address=192.168.2.0/24 list=WAN-Addresslist
[admin@MikroTik] /ip firewall address-list> add address=172.16.0.0/24 list=LAN-Addresslist

+ Accept các lưu lượng traffic không cần Load balancing, các traffic này sẽ routing theo main routing table

[admin@MikroTik] > /ip firewall mangle 
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address-list=LAN-Addresslist dst-address-list=LAN-Addresslist action=accept
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address-list=LAN-Addresslist dst-address-list=WAN-Addresslist action=accept
[admin@MikroTik] /ip firewall mangle> add chain=prerouting in-interface=LAN dst-address-list=WAN-Addresslist action=accept

Tiếp theo, thực hiện cấu hình các luồng traffic cần load balancing:
+ Cấu hình đánh dấu nhãn định tuyến các luồng Outside:
Trước tiên, bắt các connection từ Internet vào router và đánh dấu nhãn cho chúng:

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_Mark
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_Mark

Sau đó, đặt các connection này vào đúng bảng routing:

[admin@MikroTik] /ip firewall mangle> add chain=output connection-mark=WAN1_Mark action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=output connection-mark=WAN2_Mark action=mark-routing new-routing-mark=WAN2_Route

Tương tự với traffic phía Local side, các connection khởi tạo từ mạng LAN qua Router ra Internet sẽ được bắt lại để phân chia traffic và đánh nhãn trước khi đặt vào bảng định tuyến. Lưu ý, để tránh bắt các traffic đi trong local, khai báo thêm phần dst-address-type=!local để loại bỏ.

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=LAN1 per-connection-classifier=both-addresses:2/0 dst-address-type=!local action=mark-connection new-connection-mark=WAN1_Mark
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=LAN1 per-connection-classifier=both-addresses:2/1 dst-address-type=!local action=mark-connection new-connection-mark=WAN2_Mark

Đặt các connection đã được phân chia đánh nhãn vào đúng bảng định tuyến:

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=WAN1_Mark in-interface=LAN action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=WAN2_Mark in-interface=LAN action=mark-routing new-routing-mark=WAN2_Route

Với cấu hình này, chúng ta đang khai báo traffic từ mạng LAN đã được phân chia sẽ định tuyến ra 2 WAN tương ứng trong các bảng định tuyến để ra Internet.

MikroTik - Cấu hình Load Balancing PCC cộng dồn 2 WAN Static IP + 1 LAN?

Hướng dẫn thực hiện Load Balancing PCC cộng dồn 2 WAN Static IP + 1 LAN, với:
+ WAN1 IP Address: 192.168.1.19/24 Gateway: 192.168.1.253
+ WAN2 IP Address: 192.168.2.19/24 Gateway: 192.168.2.253
+ LAN IP Address: 172.16.0.1/24 Network: 172.16.0.0/24
Đầu tiên khai báo các địa chỉ mạng LAN, WAN, sau đó Nat Internet cho các Interface WAN. Vào terminal trên Winbox hoặc Web config gõ lệnh như sau:

[admin@MikroTik] > /ip address 
[admin@MikroTik] /ip address> add address=172.16.0.1/24 interface=LAN 
[admin@MikroTik] /ip address> add address=192.168.1.19/24 interface=WAN1
[admin@MikroTik] /ip address> add address=192.168.2.19/24 interface=WAN2 
[admin@MikroTik] > /ip firewall nat 
[admin@MikroTik] /ip firewall nat > add action=masquerade chain=srcnat out-interface=WAN1 
[admin@MikroTik] /ip firewall nat > add action=masquerade chain=srcnat out-interface=WAN2

Để xem thông tin cấu hình IP, gõ lệnh print detail như sau:

[admin@MikroTik] > /ip address print detail 
Flags: X - disabled, I - invalid, D - dynamic 
 0   address=172.16.0.1/24 network=172.16.0.0 interface=LAN 
     actual-interface=LAN 
 1   address=192.168.1.19/24 network=192.168.1.0 interface=WAN1 
     actual-interface=WAN1 
 2   address=192.168.2.19/24 network=192.168.2.0 interface=WAN2 
     actual-interface=WAN2

Khai báo bảng định tuyến Load balancing:

[admin@MikroTik] > /ip route
[admin@MikroTik] /ip route> add gateway=192.168.1.253 routing-mark=WAN1_Route distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.1.253 routing-mark=WAN2_Route distance=2 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 routing-mark=WAN2_Route distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 routing-mark=WAN1_Route distance=2 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.1.253 distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 distance=2 dst-address=0.0.0/0

Bước tiếp theo, cấu hình các Firewall Mangle khai báo các các traffic không cần load balancing, các traffic này sẽ thực thi trên main routing table
+ Khai báo các Address list

[admin@MikroTik] > /ip firewall address-list
[admin@MikroTik] /ip firewall address-list> add address=192.168.1.0/24 list=WAN-Addresslist
[admin@MikroTik] /ip firewall address-list> add address=192.168.2.0/24 list=WAN-Addresslist
[admin@MikroTik] /ip firewall address-list> add address=172.16.0.0/24 list=LAN-Addresslist

+ Accept các lưu lượng traffic không cần Load balancing, các traffic này sẽ routing theo main routing table

[admin@MikroTik] > /ip firewall mangle 
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address-list=LAN-Addresslist dst-address-list=LAN-Addresslist action=accept
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address-list=LAN-Addresslist dst-address-list=WAN-Addresslist action=accept
[admin@MikroTik] /ip firewall mangle> add chain=prerouting in-interface=LAN dst-address-list=WAN-Addresslist action=accept

Tiếp theo, thực hiện cấu hình các luồng traffic cần load balancing:
+ Cấu hình đánh dấu nhãn định tuyến các luồng Outside:
Trước tiên, bắt các connection từ Internet vào router và đánh dấu nhãn cho chúng:

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_Mark
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_Mark

Sau đó, đặt các connection này vào đúng bảng routing:

[admin@MikroTik] /ip firewall mangle> add chain=output connection-mark=WAN1_Mark action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=output connection-mark=WAN2_Mark action=mark-routing new-routing-mark=WAN2_Route

Tương tự, với traffic phía Local side, các connection khởi tạo từ mạng LAN có địa chỉ trong mạng nội bộ LAN-Addresslist sẽ được bắt lại để đưa vào rule thực thi phân chia traffic và đánh nhãn trước khi đặt vào bảng định tuyến. Lưu ý, để tránh bắt các traffic đi trong local, khai báo thêm phần dst-address-type=!local để loại bỏ.

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=no-mark in-interface=LAN1 src-address-list="LAN-Addresslist" dst-address-type=!local action=jump jump-target=loadbalancing 
[admin@MikroTik] /ip firewall mangle> add chain=loadbalancing per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=WAN1_Mark
[admin@MikroTik] /ip firewall mangle> add chain=loadbalancing per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=WAN2_Mark

Đặt các connection đã được phân chia đánh nhãn vào đúng bảng định tuyến:

[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=WAN1_Mark src-address-list="LAN-Addresslist" action=mark-routing new-routing-mark=WAN1_Route
[admin@MikroTik] /ip firewall mangle> add chain=prerouting connection-mark=WAN2_Mark src-address-list="LAN-Addresslist" action=mark-routing new-routing-mark=WAN2_Route

Với cấu hình này, chúng ta đang khai báo traffic từ mạng LAN đã được phân chia sẽ định tuyến ra 2 WAN tương ứng trong các bảng định tuyến để ra Internet.

MikroTik - Cấu hình Nat Hairpin?

Cấu hình Nat Hairpin để truy cập Wan Address xem dịch vụ trong mạng local, ví dụ mẫu với IP local cần Nat là 192.168.1.5, port 8888, lớp mạng local 192.168.1.0/24 và Wan Interface pppoe-out1
Vào terminal trên Winbox hoặc Web config gõ lện như sau:

[admin@MikroTik] > /ip firewall nat
[admin@MikroTik] /ip firewall nat> add action=masquerade chain=srcnat comment="default configuration" out-interface=pppoe-out1 to-addresses=0.0.0.0
[admin@MikroTik] /ip firewall nat> add action=masquerade chain=srcnat comment="hairpin nat" dst-address-list=lan_address src-address-list=lan_address out-interface=bridge_local
[admin@MikroTik] /ip firewall nat> add action=dst-nat chain=dstnat dst-address=!192.168.1.1 dst-address-type=local dst-port=8888 log-prefix="" protocol=tcp to-addresses=192.168.1.5 to-ports=8888

Để xem thông tin của Firewall Hairpin Nat, gõ lệnh print detail như sau:

[admin@MikroTik] > /ip firewall nat print detail
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; default configuration
      chain=srcnat action=masquerade out-interface=pppoe-out1 log=no 
      log-prefix="" to-addresses=0.0.0.0

 1    ;;; hairpin nat
      chain=srcnat action=masquerade src-address=192.168.1.0/24 
      protocol=tcp dst-address=!192.168.1.1 dst-port=8888 log=no log-prefix="" 

 2    chain=dstnat action=dst-nat to-addresses=192.168.1.5 to-ports=8888 
      protocol=tcp dst-address=!192.168.1.1 dst-address-type=local 
      dst-port=8888 log=no log-prefix=""

Mikrotik - Cấu hình NAT Harpin 2 ứng dụng cùng port ứng với mỗi WAN trong load balancing 2 WAN?

Hướng dẫn thực hiện cấu hình NAT Harpin 2 ứng dụng cùng port ứng với mỗi WAN trong load balancing 2 WAN:
Trong hướng dẫn này thực hiện với hệ thống đã được cấu hình load-balancing sẵn sử dụng PPPoE Client trên cả 2 WAN; Nat Hairpin 2 ứng dụng web cùng chạy trên port 80 (lưu ý rằng port router phải được thay đổi khác port 80)
+ WAN1 IP Address: 192.168.1.19/24 Gateway: 192.168.1.253
+ WAN2 IP Address: 192.168.2.19/24 Gateway: 192.168.2.253
+ LAN IP Address: 172.16.0.1/24 Network: 172.16.0.0/24
+ IP Local Web Server 1: 172.16.0.20 port 80
+ IP Local Web Server 1: 172.16.0.5 port 80
Đầu tiên trong cần phải tách bỏ loadbalancing cho mỗi IP Web Server Local này, mỗi Web Server sẽ đi ra ngoài bằng 1 WAN duy nhất. Ở đây cấu hình Web Server 1 đi WAN 1; Web Server 2 đi WAN 2. Khai báo như sau:
Trong IP->Firewall -> Mangle :

[admin@MikroTik] > /ip firewall mangle 
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address=172.16.0.20/24 action=mark-routing new-routing-mark=route_wan1 comment="web1_mark_to_route_wan1"
[admin@MikroTik] /ip firewall mangle> add chain=prerouting src-address=172.16.0.5/24 action=mark-routing new-routing-mark=route_wan2 comment="web2_mark_to_route_wan2"

Lưu ý, 2 rule này cần được kéo lên đặt sau các rule None Load-balancing (rule Accept) và phải đặt trước các rule Load-balancing.

Trong IP->Routes cấu hình như sau:

[admin@MikroTik] > /ip route 
[admin@MikroTik] /ip route> add gateway=192.168.1.253 routing-mark=route_wan1 distance=1 dst-address=0.0.0/0
[admin@MikroTik] /ip route> add gateway=192.168.2.253 routing-mark=route_wan2 distance=1 dst-address=0.0.0/0

Như vậy mỗi Web Server đã được định tuyến ra Internet tương ứng với một WAN duy nhất.
Tiếp theo, thực hiện cấu hình NAT Hairpin 2 Web Server để đều có thể dùng domain (được khai báo với IP WAN tương ứng trên mỗi đường) để truy cập Web Server.

[admin@MikroTik] > /ip firewall nat
[admin@MikroTik] /ip firewall nat> add action=masquerade chain=srcnat comment="web1_hairpin_nat" dst-address=172.16.0.20/24 out-interface=bridge-local src-address-list=lan_address
[admin@MikroTik] /ip firewall nat> add action=masquerade chain=srcnat comment="web2_hairpin_nat" dst-address=172.16.0.5/24 out-interface=bridge-local src-address-list=lan_address
[admin@MikroTik] /ip firewall nat> add action=dst-nat chain=dstnat comment="web1_nat_local" dst-address=172.16.0.20/24 dst-address-type=local dst-port=80 log-prefix="" protocol=tcp to-addresses=172.16.0.20 to-ports=80
[admin@MikroTik] /ip firewall nat> add action=dst-nat chain=dstnat comment="web1_nat_wan1" dst-address=192.168.1.19 dst-port=80 log-prefix="" protocol=tcp to-addresses=172.16.0.20 to-ports=80
[admin@MikroTik] /ip firewall nat> add action=dst-nat chain=dstnat comment="web2_nat_local" dst-address=172.16.0.5/24 dst-address-type=local dst-port=80 log-prefix="" protocol=tcp to-addresses=172.16.0.5 to-ports=80
[admin@MikroTik] /ip firewall nat> add action=dst-nat chain=dstnat comment="web2_nat_wan2" dst-address=192.168.2.19 dst-port=80 log-prefix="" protocol=tcp to-addresses=172.16.0.5 to-ports=80

Với cấu hình này, chúng ta đã khai báo xong Nat Hairpin 2 ứng dụng web (sử dụng domain) cùng chạy trên port 80 ứng với từng WAN, và NAT Local ứng với mỗi IP local.
Lưu ý: Trong cấu hình sử dụng lan_address là khai báo trong Firewall -> Address List cho lớp mạng local

MikroTik - Cấu hình VPN PPTP Server?

Trong hướng dẫn này cấu hình VPN PPTP Server trên Mikrotik.
Đầu tiên cần lưu ý một số thông tin Mikrotik Router site. Ở đây bao gồm:

  • LAN Network local: 172.16.0.0/24
  • IP Address gateway: 172.16.0.1/24
  • Pool DHCP server: 172.16.0.40 – 172.16.0.254
  • LAN Interface: ether2

Thiết lập VPN PPTP Pool

[admin@MikroTik] > /ip pool add name=pptp-pool ranges=172.16.10.0.30-172.16.0.39

Lưu ý: Pool VPN nên đặt thuộc cùng lớp mạng local (nhưng không chồng lắp) để giúp kết nối thông suốt với các địa chỉ trong mạng local.
Bật cấu hình PPTP Server

[admin@MikroTik] > /interface pptp-server server set authentication=mschap2,mschap1,chap,pap default-profile=default-encryption enabled=yes

Cấu hình VPN Profile cho PPTP Server

[admin@MikroTik] > /ppp profile add name=pptp-profile local-address=172.16.0.1 remote-address=pptp-pool dns-server=8.8.8.8,208.67.222.220 change-tcp-mss=yes use-encryption=yes

Lưu ý, trong VPN Profile có thể dùng gateway LAN local để làm Local Address VPN.
Tạo các Secret user cho remote VPN

[admin@MikroTik] > /ppp secret add name=inetsen.pptp password=123456 service=any profile=pptp-profile disabled=no

Mở Firewall port remote PPTP 1723 và GRE

[admin@MikroTik] > /ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723   
[admin@MikroTik] > /ip firewall filter add chain=input action=accept protocol=gre

Lưu ý, kéo các rule này lên trên cùng để tránh bị chặn bởi các rule firewall khác.

Bật arp-proxy trong LAN Interface để cho phép kết nối thông IP Address LAN local

[admin@MikroTik] > /interface ethernet set ether2 arp=proxy-arp

Hoàn tất bước này chúng ta có thể remote VPN từ xa tới Mikrotik PPTP Server thông qua account secret được tạo ở trên. Có thể dùng máy tính hoặc một router khác để cấu hình PPTP Clients trỏ tới Server.

UniFiGateway - Cấu hình trỏ UniFi Security Gateway vào Controller?

Hướng dẫn thực hiện cấu hình trỏ USG vào UniFi Controller/ UniFi Cloud Key:
Trước khi thực hiện cấu hình thiết bị UniFi Gateway, cần reset thiết bị về cấu hình mặc định, (khi này đèn biểu tượng Ubiquity sẽ hiển thị màu trắng, thỉnh thoảng chớp chậm):
Thông tin truy cập mặc định:

IP Address: 192.168.1.1/24
Login: ubnt / ubnt

Cắm máy tính vào cổng LAN trên router UniFi Gateway, kiểm tra card mạng máy tính có nhận được IP cấp từ router hay không, hoặc bạn cũng có thể đặt IP tĩnh trên card mạng kết nối để truy cập tới thiết bị.

+ Đối với UniFi Controller là controller local được cài đặt trực tiếp trên máy của bạn hoặc trên một máy local, hoặc Cloud key local có cùng chung Switch network (cùng chung lớp mạng), khi này UniFi Gateway sẽ tự động được detect trên controller và chúng ta chỉ cần nhấn chấp thuận “Adopt” cho phép thiết bị vào dưới quản lý của controller:

Sau khi “Adopt” xong, thiết bị sẽ báo trạng thái “connected” trên controller đồng thời đèn biểu tượng “Ubiquity” hiển thị sáng xanh.

+ Đối với UniFi Controller là cloud controller hoặc controller trên một lớp network khác, khi này truy cập trực tiếp vào địa chỉ IP Gateway bằng trình duyệt và cấu hình tùy chọn routing WAN DHCP Client/ Static IP/ PPPoE Client để đảm bảo USG có thể “thông” Internet (đối với Cloud Controller) hoặc lớp mạng Controller


Tại bước này, tùy chọn cấu hình WAN để routing Internet (tùy theo Controller Server và thông tin truy cập WAN được cung cấp). Ở đây cấu hình WAN Static IP với IP static: 172.16.100.20; IP gateway: 172.16.100.1, subnet: 255.255.255.0


Sau khi cấu hình thành công, thiết bị đã thông routing WAN, chúng ta có thể trỏ về Controller quản lý, trong trường hợp này là một Cloud Controller:

Khi này, tương tự ở Local, chúng ta vào controller chọn và “Adopt” cho thiết bị vào controller.


Sau khi USG đã “connected” trên controller, kết nối đã thành công, chúng ta có thể tiến hành các bước cấu hình cho router unifi Gateway dựa trên giao diện Controller.

Zabbix - Cài đặt Zabbix trên Ubuntu Server 16.04 LTS?

Hướng dẫn cài đặt phần mềm giám sát hệ thống Zabbix Server 3.4 trên Ubuntu Server 16.04 LTS.
Truy cập vào trang Documentation tùy chọn phiên bản hỗ trợ từ Zabbix: https://www.zabbix.com/manuals
Tiến hành cài đặt:
Bước 1: Cài đặt Zabbix Server
Đầu tiên, chúng ta cần cài đặt một số module PHP được yêu cầu cho Zabbix:

# apt-get install php7.0-bcmath php7.0-xml php7.0-mbstring

Tiếp theo, download và cài đặt gói Zabbix, lưu ý lựa chọn gói cài với bản chính thức mới nhất từ link dẫn package. Cài đặt thư mục chứa package và download gói bằng các câu lệnh sau đây:

# wget http://repo.zabbix.com/zabbix/3.4/ubuntu/pool/main/z/zabbix-release/zabbix-release_3.4-1+xenial_all.deb
# dpkg -i zabbix-release_3.4-1+xenial_all.deb
# apt-get update

Bước 2: Cài đặt Server/ Proxy MySQL (tùy chọn)
+ Cài đặt Server đối với MySQL

# apt-get install zabbix-server-mysql zabbix-frontend-php

+ Cài đặt Proxy đối với MySQL

# apt-get install zabbix-proxy-mysql

Trong trường hợp sử dụng PostgreSQL cho Zabbix, ta cài đặt như sau:
+ Cài đặt Server đối với PostgreSQL

# apt-get install zabbix-server-pgsql zabbix-frontend-php

+ Cài đặt Proxy đối với PostgreSQL

# apt-get install zabbix-proxy-pgsql

Bước 3: Cấu hình MySQL Server cho Zabbix
Đầu tiên, chúng ta cần tạo một database MySQL mới, để lưu trữ các dữ liệu thu thập từ Zabbix. Vào MySQL:

$ mysql -uroot -p

Tiếp theo gõ:

mysql> CREATE DATABASE zabbix CHARACTER SET utf8 COLLATE utf8_bin;
Query OK, 1 row affected (0.00 sec)

mysql> GRANT ALL PRIVILEGES ON zabbix.* TO zabbix@localhost IDENTIFIED BY '[your_password]';
Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> EXIT;
Bye

Tiếp theo, nhập lược đồ và dữ liệu ban đầu:

# zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | mysql -uzabbix -p zabbix

Khi này, bạn sẽ được nhắc nhở để nhập mật khẩu cơ sở dữ liệu vừa được tạo ra
Đối với proxy, import dữ liệu lược đồ ban đầu

# zcat /usr/share/doc/zabbix-proxy-mysql/schema.sql.gz | mysql -uzabbix -p zabbix

Tương tự trong PostgreSQL
Nhập lược đồ và dữ liệu ban đầu:

# zcat /usr/share/doc/zabbix-server-pgsql/create.sql.gz | psql -U [username] zabbix

cho proxy với PostgreSQL (hoặc SQLite):

# zcat /usr/share/doc/zabbix-proxy-pgsql/schema.sql.gz | psql -U  zabbix
# zcat /usr/share/doc/zabbix-proxy-sqlite/schema.sql.gz | sqlite3 zabbix.db

Tiếp theo chúng ta cần chỉnh sửa lại file cấu hình Zabbix Server trong /etc/zabbix/zabbix_server.conf
Lần lượt tìm kiếm với “DBPassword”, “DBHost”, “DBName”, “DBUser” và cấu hình như sau:

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=[your_pasword]

Lưu ý: DBPassword phải đặt giống với password khai báo với MySQL.
Sau khi chỉnh sửa, nhớ lưu lại file.
Bước 4: Cấu hình PHP
File cấu hình Apache cho truy cập Zabbix front-end của PHP được tạo ra trong quá trình cài đặt, một số thiết lập cho PHP đã được cấu hình sẵn tuy nhiên cũng cần cài đặt thêm phần “date.timezone” để đảm bảo hệ thống hoạt động đồng bộ thời gian theo khu vực địa lý (tham khảo timezone tại đây). Mở và chỉnh sửa file trong /etc/zabbix/apache.conf:

php_value max_execution_time 300
php_value memory_limit 128M
php_value post_max_size 16M
php_value upload_max_filesize 2M
php_value max_input_time 300
php_value always_populate_raw_post_data -1
php_value date.timezone Europe/Riga

Lưu lại cấu hình. Khi này khởi động lại Apache và dịch vụ Zabbix server, đồng thời bật tính năng cho phép dịch vụ tự động khởi động lúc server khởi động.

# systemctl restart apache2
# systemctl start zabbix-server
# systemctl enable zabbix-server

Kiểm tra trạng thái hoạt động của Zabbix server:

# systemctl status zabbix-server
â zabbix-server.service - Zabbix Server
 Loaded: loaded (/lib/systemd/system/zabbix-server.service; enabled; vendor pr
 Active: active (running) ...

Lúc này, Zabbix đã được cài đặt và hoạt động đúng.
Bước 5: Cài đặt Zabbix Agent
Để cài đặt Zabbix Agent thực hiện lệnh:

# apt-get install zabbix-agent

và khởi động

# service zabbix-agent start

Bước 6: Cấu hính Zabbix web Front-end
Giao diện web người dùng được sử dụng để làm việc và hiển thị dữ liệu thu thập trên Zabbix. Tuy nhiên, giao diện này phải được cấu hình ban đầu:
Truy cập vào trình duyệt gõ http://localhost/zabbix nếu đối với trên cùng server hoặc gõ http://ip_zabbix_server/zabbix nếu truy cập từ một máy tính khác (lưu ý khi này chắc chắn rằng port http cho zabbix đã được mở trong firewall server).

Bấm Next step

Kiểm tra các giá trị đã cài đặt đúng chưa và bấm Next step

Nhập vào password của user zabbix và nhấn Next step

Điền tên Server Zabbix và nhấn Next step

Cuối cùng kiểm tra các thông tin cài đặt đã đúng hết chưa và nhấn Next step để hoàn thành tiến trình cấu hình.

Sau khi click Finished, thực hiện đăng nhập để truy cập vào web Front-end Zabbix. Username và pasword mặc định là Admin/ zabbix

UniFi - Cài đặt UniFi Controller trên Ubuntu Server 16.04 LTS ?

Hướng dẫn cài đặt UniFi Controller quản lý các thiết bị UniFi AP, UniFi Gateway, UniFi Switch… trên Ubuntu Server 16.04 LTS.
Bước đầu tiên, gán đường dẫn kho chứa file cài Unifi Controller của Ubiquiti vào danh mục source apt trong server Ubuntu trong /etc/apt/sources.list.d/100-ubnt.list (hoặc /etc/apt/sources.list ) .

$ echo 'deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti' | sudo tee -a /etc/apt/sources.list.d/100-ubnt.list

Tiếp theo, gán các key GPG (GNU Privacy Guard) cho UniFi và MongoDB để lưu trữ các dữ liệu User và các thống kê về WiFi trong UniFi Controller. Các khóa GPG xác minh tính chân thực của các nguồn tải xuống trong quá trình cài đặt. Bao gồm Ubiquiti trước và sau đó là MongoDB)

$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 06E85760C0A52C50

Bây giờ thực hiện update để chắc chắn Ubuntu nhận diện được kho thư mục chứa repository và cập nhật thông tin các gói mới nhất.

$ sudo apt-get update

Cuối cùng thực hiện cài đặt UniFi Controller

$ sudo apt-get install unifi -y

Bước này ngoài UniFi, nó cũng sẽ thực hiện cài đặt kèm các gói Java 6, MongoDB, Tomcat và chứng chỉ Java SSL.
Để kiểm tra các vấn đề của UniFi Controller có thể xem từ file log tại:

/usr/lib/unifi/logs/server.log
/usr/lib/unifi/logs/mongod.log

Một số lệnh để thực thi với UniFi trong Ubuntu Server:

# to stop the controller
$ sudo service unifi stop

# to start the controller
$ sudo service unifi start

# to restart the controller
$ sudo service unifi restart

# to view the controller's current status
$ sudo service unifi status

Lưu ý đối với các vấn đề về Java:
Đối với vấn đề không tìm thấy Java, UniFi Controller không thể truy cập Java để khởi chạy Tomcat (Web saerver của nó). Để kiểm tra Java gõ lệnh:

$ java -version

Trong trường hợp không có thông tin java được cài đặt, điều đó có thể do Ubiquiti không còn hỗ trợ arm64 nên nó không còn giá trị thông qua repo, vì vậy cần phải cài đặt thủ công. Gói cài kèm snappy-java từ phiên bản 5.5.x không còn hỗ trợ arm64. Từ phiên bản không chính thức 5.6.1 (sẽ được quy chuẩn trong 5.6.2) đã được thay đổi và cập nhật gói snappy-java. Để thực hiện cập nhật các gói kèm gõ lênh.

$ rm /usr/lib/unifi/lib/snappy-java-1.0.5.jar
$ wget -O /usr/lib/unifi/lib http://central.maven.org/maven2/org/xerial/snappy/snappy-java/1.1.4-M3/snappy-java-1.1.4-M3.jar

Nếu hệ thống tiếp tục báo lỗi snapy-java, bạn có thể thay đổi tên file jar “snappy-java-1.1.4-M3.jar” thành “snappy-java-1.0.5.jar”, hoặc cung cấp một liên kết tượng trưng:

$ cd /usr/lib/unifi/lib
$ rm snappy-java-1.0.5.jar
$ wget http://central.maven.org/maven2/org/xerial/snappy/snappy-java/1.1.4-M3/snappy-java-1.1.4-M3.jar
$ ln -s snappy-java-1.1.4-M3.jar snappy-java-1.0.5.jar

Lưu ý đối với các vấn đề cài đặt MongoDB:
Trong trường hợp cài đặt không bao gồm MongoDB trong repo, có thể cài đặt thủ công:

$ echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list
$ sudo apt-get update
$ sudo apt-get install -y mongodb-org

Các file dữ liệu và file log MongoDB có thể xem tại /var/lib/mongodb/var/log/mongodb
Một số lệnh để thực thi với MongoDB:

# to stop MongoDB
$ sudo service mongod stop

# to start MongoDB
$ sudo service mongod start

# to restart MongoDB
$ sudo service mongod restart

Lưu ý đối với vấn đề cài đặt UniFi trên VPS:
Thông thường khi cài đặt UniFi trên các hệ thống VPS như Digitalocean hoặc AWS… có thê việc khởi chạy UniFi load trên port 8443 diễn ra rất lấu (có thể lên tới 20 phút). Khi đó thực hiện thêm lệnh cài đặt:

$ sudo apt-get install haveged

Lưu ý đối với vấn đề mở port cho UniFi Controller:
Thực hiện mở các port sau:

unifi.http.port=8080 (TCP port for UAP to inform controller)
unifi.https.port=8443 (TCP port for controller GUI / API, as seen in web browser)
portal.http.port=8880 (TCP port for HTTP portal redirect)
portal.https.port=8843 (TCP port for HTTPS portal redirect)
unifi.throughput.port=6789 (TCP port used for throughput measurement, including UniFi mobile speedtest)
unifi.db.port=27117 (local-bound TCP port for DB server)
unifi.stun.port=3478 (# UDP port used for STUN. v4.5.2+)
TCP port 8881 for redirector port for wireless clients (reserved for for device redirector. No need to open firewall on controller, but avoid using these ports (v3.2.9+ and v4.6.0+))
TCP port 8882 for redirector port for wired clients (reserved for for device redirector. No need to open firewall on controller, but avoid using these ports (v3.2.9+ and v4.6.0+))
UDP ports 5656-5699 (for AP-EDU Broadcasts)
UDP port 10001 (for AP discovery)

Tham khảo : Hướng dẫn cài đặt tại Wiki Ubiquiti

Ligowave - Cài đặt External Infinity Controller Ligowave trên Ubuntu Server 16.04?

Hướng dẫn cài đặt Infinity Controller quản lý các thiết bị Ligowave Infinity trên Ubuntu Server 16.04
Đầu tiên cài đặt Docker cho Ubuntu Server:

$ sudo apt-get install curl
$ curl -fsSL https://get.docker.com/ | sh



Tiếp theo, download gói cài đặt External Infinity Controller từ website Ligowave:

$ wget https://www.ligowave.com/public/downloads/nftcontroller.latest.tar.gz


và giải nén (lưu ý tên file có thể khác cho mỗi phiên bản) :

$ tar -xvzf nftcontroller.latest.tar.gz


trong trường hợp giải nén báo lỗi dưới gzip: stdin: not in gzip format, đổi tên file thành nftcontroller.latest.tarvà giải nén:

$ sudo mv nftcontroller.latest.tar.gz nftcontroller.latest.tar
$ tar xvf nftcontroller.latest.tar

Tiến hành cài đặt:

sudo ./install.sh install


Trong tiến trình cài đặt sẽ yêu cầu bạn lựa chọn mode bảo mật HTTPS:

1) HTTP only, No SSL/TLS certificates: insecure, unencrypted connection. For private networks only.
2) HTTPS with self-signed SSL/TLS certificates: insecure, encrypted connection. Web browsers will display certificate error.
3) HTTPS with free certificates from Letsencrypt service: secure, requires a valid domain and open default TCP ports (80,443) (by using this option you agree to Letsencrypt terms and conditions).

với mặc định bỏ trống sẽ chọn mode #2
Tiếp theo nhập port number cho truy cập giao diện web và điền domain hoặc IP address của server (lưu ý, chỉ domain này có thể được sử dụng bởi AP device để kết nối tới Controller)
Cuối cùng, khởi chạy Infinity Controller:

sudo nftcontroller start


Truy cập External Infinity Controller thông qua giao diện web: https://ip_address_server:7443/

Lưu ý mở port cho Controller:

TCP ports—1883 and 8883— for the device to connect server
TCP ports—7443— for access web interface

Ligowave - Backup và Restore database Ligowave Infinity Controller?

Hướng dẫn Backup và Restore database Ligowave Infinity Controller.
Đầu tiên sử dụng lệnh sudo nftcontroller help để kiểm tra các thiết lập lệnh được hỗ trợ trong Infinity Controller

$ sudo nftcontroller help


Ở đây có 2 tùy chọn backup là backup Database hoặc backup toàn bộ Controller.
Backup Database không yêu cầu stop controller, ta thực hiện lệnh sau:

$ sudo nftcontroller backup


Để restore Database thực hiện lệnh sau:

$ sudo nftcontroller restore db_backup_2017_04_11_15_17_10.tar.gz

Backup toàn bộ hệ thống Controller yêu cầu stop controller, ta thực hiện lệnh sau:

$ sudo nftcontroller stop
$ sudo nftcontroller export system_backup


Để import file backup hệ thống cho một controller, bạn cũng phải stop dịch vụ trước khi backup

$ sudo nftcontroller stop
$ sudo nftcontroller import system_backup

Window Server - Cấu hình remote workgroup quản lý Hyper-V server thông qua Hyper-V manager trên Window 10?

Hướng dẫn cấu hình remote workgroup quản lý Hyper-V server thông qua Hyper-V manager trên Window 10.
Trong hướng dẫn này thực hiện quản lý từ xa Hyper-V server 2016 trong mạng Workgroup thông qua Hyper-V manager được cài đặt trong Window 10.

+ Máy Window 10 Client với Hyper-V Manager có tên “DESKTOP-SE248K1”
+ Hyper-V Server có tên “MS-HYPERVSERV”, IP Address “192.168.1.245”
+ Cả máy tính và server hoạt động cùng WORKGROUP.

1. Cấu hình Hyper-V Server 2016
Thực hiện trong Windows PowerShell.
Bật Firewall cho Private Zone của Server

Enable-PSRemoting


Bật firewall rule đối với CredSSP và WinRM để cho phép truy cập vào Public Zone của Server

Enable-WSManCredSSP -Role server
winrm quickconfig



Mở port ICMPv4 cho phép ping server

Set-NetFirewallRule -DisplayName “File and Printer Sharing (Echo Request – ICMPv4-In)” -Enabled True -PassThru


2. Cấu hình Window 10 Client
Đầu tiên kiểm tra chắc chắn ràng đã ping thông địa chỉ IP của Hyper-V Server

Bật tính năng cho phép phát hiện device network trong mạng


Bật tính năng Hyper-V trên Windown 10
Lưu ý tất cả command đều thực hiện trên Window Powershell với quyền Administrator.

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V –All


Cấu hình máy tính, chỉnh sửa TrustedHosts list cho remote và bật xác thực CredSSP

Enable-PSRemoting
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "Hostname của Hyper-V Server"
Enable-WSManCredSSP -Role client -DelegateComputer "Hostname của Hyper-V Server"


Cài đặt chứng chỉ cấp quyền trong Window 10 Client để cho phép xác thực none-domain NTLM
Click vào Start Menu, gõ gpedit.msc để mở Local Group Policy Editor

vào Computer Configuration -> Administrative Templates -> System -> Credential Delegation và chọn Edit dòng “Allow delegating fresh credentials with…” như sau:

Chọn Enable và click vào nút Show

gõ vào wsman/[Hostname của Hyper-V Server]

3. Kết nối Hyper-V Manager trên Window 10 tới Hyper-V Server
Mở Hyper-V

Click chọn Connect to Server

Nhập thông tin Hostname Hyper-V server và click chọn Connect as another user để nhập user/pass Hyper-V server.


Juniper - Truy cập Web Configuration và khai báo cấu hình lần đầu tiên?

Hướng dẫn cấu hình khai báo lần truy cập lần đầu tiên Router Firewall Juniper SRX Series sử dụng Webconfig.
Trước khi thực hiện cấu hình thiết bị Router Juniper SRX, cần reset thiết bị về cấu hình mặc định, (Nhấn giữ nút RESET CONFIG khoảng 15s, khi này đèn STATUS sẽ chuyển sáng màu cam, khi đó bỏ nhấn để router reset về mặc định):
Sử dụng kết nối LAN từ máy tính vào các port từ port ethernet 2 trở đi.
Thông tin truy cập mặc định:

IP Address: 192.168.1.1/24
Login: root / [none]



Tiếp theo khai báo Hostname router và đặt password cho user root

Cấu hình Network Setting, tại đây bạn có thể cấu hình route gateway, dns-nameserver (trong trường hợp cấu hình WAN Static IP) hoặc bỏ qua để cấu hình sau trong giao diện chính

trong phần tùy chọn cấu hình VLAN, mặc định router sẻ tự tạo một VLAN với VLAN ID 3 thuộc zone “trust”
(tin cậy) cho LAN ethertnet từ port 2 đến 15. Bạn có thể tùy chỉnh hoăc để mặc định và thiết lập sau trong giao diện chính.

Phần cấu hình Interfaces sẽ gán IP và lớp mạng DHCP. Mặc định với Interface ethernet 0 sẽ được đặt ở chế độ nhận DHCP tương ứng WAN Interfaces, lớp VLAN cho toàn bộ Interfaces LAN được cấu hình IP Address mặc định là 192.168.1.1/24 ứng với DHCP Server được cấu hình sẵn. Bước này chúng ta có thể để mặc định và chỉnh sửa trong cấu hình trong giao diện chính.

Tiếp theo khai báo time_zone và động bộ NTP,

Sau khi hoàn thành các khai báo cấu hình cơ bản, lưu và xác nhận cấu hình.


Login với username và pass đã được thiết lập trước đó,

Juniper - Cấu hình một user management cho router?

Hướng dẫn tạo một user mới trong router Juniper SRX240.
Vào mode cli -> configure trong terminal.

root@host% cli
root@host> configure
Entering configuration mode
Users currently editing the configuration:
  root terminal p0 (pid 1629) on since 2017-10-25 16:19:51 ICT, idle 00:53:38
      [edit]

[edit]
root@host#

Có thể dùng command “?” trong configure mode để xem các action cấu hình trong Juniper router CLI,

root@host# ?
possible completions:
  <[Enter]>            Execute this command
  activate             Remove the inactive tag from a statement
  annotate             Annotate the statement with a comment
  commit               Commit current set of changes
  copy                 Copy a statement
  deactivate           Add the inactive tag to a statement
  delete               Delete a data element
  edit                 Edit a sub-element
  exit                 Exit from this level
  help                 Provide help information
  insert               Insert a new ordered data element
  load                 Load configuration from ASCII file
  quit                 Quit from this level
  rename               Rename a statement
  replace              Replace character string in configuration
  rollback             Roll back to previous committed configuration
  run                  Run an operational-mode command
  save                 Save configuration to ASCII file
  set                  Set a parameter
  show                 Show a parameter
  status               Show users currently editing configuration
  top                  Exit to top level of configuration
  up                   Exit one level of configuration
  wildcard             Wildcard operations
[edit]
root@host#

Thay đổi password user Root trong JunOS
Thực hiện như sau:

root@host# set system root-authentication plain-text-password
New password:
Retype new password:

[edit]
root@host# commit

Định nghĩa một user mới dựa trên các Login Classes (User Roles)
Đầu tiên cần kiểm tra có những quyên user nào, gõ lệnh sau:

user@host# set system login user labuser class ?
Possible completions:
 Login class
operator permissions [ clear network reset trace view ]
read-only permissions [ view ]
super-user permissions [ all ]
unauthorized permissions [ none ]

Tiếp theo khai báo user và gán vào class

user@host# set system login user [your_user] class super-user authentication plain-text-password
New password:
Retype new password:

[edit]
root@host# commit

Để xem các user được khai báo, dùng lệnh sau
Xem thông tin user “Root”

user@host# show system root-authentication
encrypted-password "$1$q5WcB7zc$vOapLqVfMW2Ol2FGDEBQT."; ## SECRET-DATA

Xem thông tin các account user khác:

user@host# show system login
user inetsen {
    uid 2001;
    class super-user;
    authentication {
        encrypted-password "$1$t4bXb8QN$.9IAxGMSOw9d/FiMXJPNm0"; ## SECRET-DATA
    }
}

Juniper - Mở remote dịch vụ SSH inbound của zone Untrusted?

Hướng dẫn cấu hình mở truy cập SSH từ một Interface thuộc zone “untrusted”.
Thông thường interface WAN trên router firewall Juniper luôn được set ở chế độ “Untrusted”, do đó để remote ssh tới router thông qua cổng WAN cần phải thực hiện cấu hình mở dịch vụ SSH.

root@host# show security zones security-zone untrust
screen untrust-screen;
interfaces {
    ge-0/0/0.0 {
        host-inbound-traffic {
            system-services {
                dhcp;
                tftp;
            }
        }
    }
}

[edit]

Cấu hình mở dịch vụ SSH interface WAN ge-0/0/0.0

root@host# set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
root@host# commit

kiểm tra thiết lập

root@host# show security zones security-zone untrust
screen untrust-screen;
interfaces {
    ge-0/0/0.0 {
        host-inbound-traffic {
            system-services {
                dhcp;
                tftp;
                ssh;
            }
        }
    }
}

[edit]

Juniper - Cấu hình switching các port trong router?

Hướng dẫn thực hiện cấu hình switching các port trong router vào cùng một switch.
Lưu ý, trên router có thể có một hoặc nhiều switch cứng vầ các switch cứng chỉ có thể nhóm với nhau qua cấu hình bridge.
Trên đây hướng dẫn switching port từ port ge-0.0.1 đến ge-0.0.15 đối với router SRX240, gõ lệnh như sau

root@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching
root@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching
.....
root@host# set interfaces ge-0/0/15 unit 0 family ethernet-switching
root@host# commit

Để kiểm tra thông tin switching các port gõ lệnh show interfaces

root@host# show interfaces
ge-0/0/0 {
    unit 0 {
        family inet {
            dhcp;
        }
    }
}
ge-0/0/1 {
    unit 0 {
        family ethernet-switching;
    }
}
ge-0/0/2 {
    unit 0 {
        family ethernet-switching;
    }
}
ge-0/0/3 {
    unit 0 {
        family ethernet-switching;
    }
}
ge-0/0/4 {
    unit 0 {
        family ethernet-switching;
    }
}
ge-0/0/5 {
    unit 0 {
        family ethernet-switching;
    }
}
...............................

Để xóa một port interface ra khỏi switch gõ lệnh như sau:

root@host# delete interfaces ge-0/0/15 unit 0 family ethernet-switching
root@host# commit

Juniper - Cấu hình IP Address cho một Interface ?

Để cấu hình một địa chỉ IP address cho một Interface cần xác định:

  • IP version, IPv4/IPv6
  • Địa chỉ IP sẽ gán
  • Interface sẽ cấu hình: ethernet, switch, bridge

Vào mode cli->configure trong Terminal và gõ các lệnh như sau, ở đây ví dụ mẫu với IP 10.0.0.250/24 trên Interface ge-0/0/0:
Đầu tiên, cần xác định port phải là port độc lập, nghĩa là không thuộc switch/ bridge/ slave trong master port.

root@host# show interfaces ge-0/0/0
unit 0;
root@host#

Cấu hình IP address cho interface

root@host# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.250/24
root@host# commit
commit complete

root@host#

Để xem thông tin IP Address của Interface, gõ lệnh như sau

root@host# show interface ge-0/0/0
unit 0 {
    family inet {
        address 10.0.0.250/24;
    }
}

root@host#

Juniper - Cấu hình Static Route cho kết nối ra WAN Internet?

Trong bài này hướng dẫn cách cấu hình Static Route cho kết nối ra WAN Internet với phương thức WAN Static IP, với:

WAN Remote Gateway: 192.168.1.253/24
WAN IP Address: 192.168.1.250/24

Gõ lệnh cấu hình như sau:

root@host# set routing-options static route 0.0.0.0/0 next-hop 192.168.1.253
root@host# commit

Để kiểm tra thông tin cấu hình route gõ lệnh show routing-options

root@host# show routing-options
static {
    route 0.0.0.0/0 next-hop 192.168.1.253;
}

Để xem toàn bộ bảng định tuyến gõ lệnh show route trong mode cli

root@host> show route

inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0          *[Static/5] 02:35:03
                    > to 192.168.1.253 via ge-0/0/0.0
10.0.0.1/32        *[Local/0] 02:36:09
                      Reject
10.0.10.1/32       *[Local/0] 02:35:58
                      Reject
192.168.1.0/24     *[Direct/0] 02:35:03
                    > via ge-0/0/0.0
192.168.1.250/32   *[Local/0] 02:36:00
                      Local via ge-0/0/0.0

Juniper - Khai báo các Zone Security và Nat Internet cho mạng LAN Local ra ngoài?

Hướng dẫn cấu hình Zone Security và Nat Internet cho mạng LAN Local ra ngoài
Ở đây thực hiện với:

WAN Interface: Ge-0/0/0.0
LAN Interface: Ge-0/0/15.0

Khai báo các Zone Security cho LAN site và WAN site
Với phía mạng LAN

root@host# set security zones security-zone lan
root@host# set security zones security-zone lan host-inbound-traffic system-services all
root@host# set security zones security-zone lan host-inbound-traffic protocols all
root@host# set security zones security-zone lan interfaces ge-0/0/15.0
root@host# commit

Với phía mạng WAN

root@host# set security zones security-zone internet
root@host# set security zones security-zone internet interfaces ge-0/0/0.0
root@host# set security zones security-zone internet interfaces ge-0/0/0.0 host-inbound-traffic system-services tftp
root@host# set security zones security-zone internet interfaces ge-0/0/0.0 host-inbound-traffic system-services ssh
root@host# commit

Để kiểm tra các Zone vừa được khai báo dùng lệnh show security zones

root@host# set security zones
security-zone lan {
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        ge-0/0/15.0;
    }
}
security-zone internet {
    interfaces {
        ge-0/0/0.0 {
            host-inbound-traffic {
                system-services {
                    tftp;
                    ssh;
                }
            }
        }
    }
}

Cấu hình NAT Internet cho mạng LAN ra WAN

root@host# set security nat source rule-set lan-to-internet from zone lan
root@host# set security nat source rule-set lan-to-internet to zone internet
root@host# set security nat source rule-set lan-to-internet rule internet-nat-rule match source-address 0.0.0.0/0
root@host# set security nat source rule-set lan-to-internet rule internet-nat-rule then source-nat interface
root@host# commit

Để xem thông tin cấu hình nat internet dùng lệnh show security nat source

root@host# show security nat source
rule-set lan-to-internet {
    from zone lan;
    to zone internet;
    rule internet-nat-rule {
        match {
            source-address 0.0.0.0/0;
        }
        then {
            source-nat {
                interface;
            }
        }
    }
}

Cấu hình các chính sách mở firewall dịch vụ cho truy cập mạng LAN ra Internet

root@host# set security policies from-zone lan to-zone internet policy lan-to-internet match source-address any
root@host# set security policies from-zone lan to-zone internet policy lan-to-internet match destination-address any
root@host# set security policies from-zone lan to-zone internet policy lan-to-internet match application any
root@host# set security policies from-zone lan to-zone internet policy lan-to-internet then permit
root@host# commit

Để xem thông tin cấu hình policy dùng lệnh show security policies

root@host# show security policies
from-zone lan to-zone internet {
    policy lan-to-internet {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}

Juniper - Cấu hình VLAN Untag/ Access Port cho một port interface?

Hướng dẫn cấu hình và gán VLAN Untag/ Access Port cho một port Interface.
Khai báo vlan

root@host# set vlans vlan10 vlan-id 10

Định danh một interface Layer 3 cho VLAN vừa tạo

root@host# set vlans vlan10 l3-interface vlan.10

Cấu hình một IP Address (subnet domain) cho VLAN

root@host# set interfaces vlan unit 10 family inet address 10.0.10.10/24

Gán Interface tới VLAN

root@host# set interfaces ge-0/0/15 unit 0 family ethernet-switching vlan members vlan10
root@host# commit

Để kiểm tra thông tin cấu hình gõ lệnh show vlan

root@host# show vlans
vlan10 {
    vlan-id 10;
    l3-interface vlan.10;
}

show interfaces

root@host# show interfaces
........
ge-0/0/15 {
    unit 0 {
        family ethernet-switching {
            vlan {
                members vlan10;
            }
        }
    }
}
vlan {
    unit 10 {
        family inet {
            address 10.0.10.10/24;
        }
    }
}

Juniper - Cấu hình VLAN Trunk & VLAN Native ?

Trong dòng SRX, mỗi interface có thể được cấu hình hoặt động ở Layer 2 và Layer 3 bao gồm:

  • Routed Ports – Layer 3 (inet)
  • Bridge – Layer 2 (only used for transparent mode)
  • Ethernet-switching – Layer 2 (switchport)

Trong bài viết này sẽ hướng dẫn thực hiện cấu hình một Trunk port VLAN và Native VLAN.
1. Cấu hình VLAN Trunk
Ví dụ thực hiện cấu hình các vlan 10, 20 và 30 trên interface ge-0/0/14 và network Layer 3 được gán cho các vlan này.
Khai báo, định danh và cấu hình IP cho các vlan

root@host# set vlans vlan10 vlan-id 10
root@host# set vlans vlan10 l3-interface vlan.10
root@host# set interfaces vlan unit 10 family inet address 172.16.10.1/24
root@host# set vlans vlan20 vlan-id 20
root@host# set vlans vlan20 l3-interface vlan.20
root@host# set interfaces vlan unit 20 family inet address 172.16.20.1/24
root@host# set vlans vlan30 vlan-id 30
root@host# set vlans vlan30 l3-interface vlan.30
root@host# set interfaces vlan unit 30 family inet address 172.16.30.1/24
root@host# commit

Gõ lệnh show vlans để xem thông tin cấu hình VLAN

root@host# show vlans
vlan10 {
    vlan-id 10;
    l3-interface vlan.10;
}
vlan20 {
    vlan-id 20;
    l3-interface vlan.20;
}
vlan30 {
    vlan-id 30;
    l3-interface vlan.30;
}

Gán Interface tới VLAN

root@host# set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode trunk
root@host# set interfaces ge-0/0/14 unit 0 family ethernet-switching vlan members [ vlan10 vlan20 vlan30 ]
root@host# commit

show interfaces

root@host# show interfaces
........
ge-0/0/14 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ vlan10 vlan20 vlan30 ];
                }
            }
        }
    }
}

2. Cấu hình VLAN Native
Ví dụ này lựa chọn vlan10 được khai báo ở trên để cấu hình làm VLAN Native cho Interface ge-0/0/14. Thực hiện như sau

root@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching native-vlan-id 10
root@host# commit

Kiểm tra thông tin cấu hình

root@host# show interfaces
........
ge-0/0/14 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ vlan10 vlan20 vlan30 ];
                }
                native-vlan-id 10;
            }
        }
    }
}

Lưu ý: Native VLAN phải là một VLAN nằm trong VLAN Trunk.

EdgeMax - Cấu hình giới hạn băng thông?

1. Hướng dẫn cấu hình giới hạn băng thông trên mỗi IP trong một subnet.
Trong ví dụ này cấu hình với thông tin như sau:
+ WAN Interface: eth0
+ WAN Speed : 140mbps (up)/ 140mbps (down)
+ LAN Interface: br0 (bridge port từ eth2 đến eth10)
+ LAN IP Address: 172.16.0.0/22
Vào mode configure trong Terminal:
B1: Khai báo traffic toàn bộ cho rule Queue cao nhất “root”

ubnt@ubnt:~$ set traffic-control advanced-queue root queue 1000 attach-to global
ubnt@ubnt:~$ set traffic-control advanced-queue root queue 1000 bandwidth 240mbit 
ubnt@ubnt:~$ set traffic-control advanced-queue root queue 1000 description 'Khai bao tong traffic'
ubnt@ubnt:~$ commit

B2: Tạo các rule Filter cho Queue “root” để lọc các traffic download và upload

ubnt@ubnt:~$ set traffic-control advanced-queue filters match 1 attach-to 1000
ubnt@ubnt:~$ set traffic-control advanced-queue filters match 100 ip source address 192.168.1.0/24
ubnt@ubnt:~$ set traffic-control advanced-queue root queue 1000 description 'Khai bao tong traffic'
ubnt@ubnt:~$ commit

Lưu ý: Không nhất thiết bắt buộc phải cấu hình IP WAN trong rule NAT

Power by Inetsen.com