Hướng dẫn cấu hình PPPoE server trên router MikroTik

PPPoE – Point-to-Point Protocol over Ethernet, giao thức điểm-điểm qua Ethernet trong mạng viễn thông. Các nhà cung cấp Internet chỉ định cho mỗi thuê bao của họ một tên người dùng và mật khẩu PPPoE duy nhất. Họ sử dụng giao thức mạng này để quản lý phân bổ địa chỉ IP và theo dõi việc sử dụng dữ liệu của mỗi khách hàng. Router MikroTik có thể đóng vai trò là một PPPoE server với nhiều tùy biến và sự ổn định tuyệt vời.

Tình huống

Công ty A có 2 đường FTTH 100Mbps, được nhân đôi tốc độ. Sau khi cấu hình load balancing cộng băng thông trên MikroTik, tổng băng thông lên tới 400Mbps. Công ty A muốn chia sẻ Internet cho công ty B ở phòng bên cạnh, nhưng cần phải giới hạn băng thông cho công ty B là 50Mbps.

Quản trị mạng công ty A sẽ cấu hình PPPoE server trên router MikroTik để cấp Internet cho công ty B. Với mô hình này, công ty A chính là một ISP.

Cấu hình PPPoE server trên router MikroTik

Thêm PPPoE server

Đầu tiên cần tạo một PPPoE server ở PPP →  PPPoE Servers. Với Service Name đặt tên tùy ý, Interface chọn cổng (hoặc cổng thuộc bridge) sang router ở công ty B:

 

Thêm PPPoE server.

 

Tạo pool

Ta tạo dải IP để cấp cho router công ty B từ IP → Pool. Với các ISP như VNPT, Viettel,… dải IP này sẽ là IP public:

 

Tạo pool.

 

Cấu hình profile

Trong tab Profiles thêm profile mới, điền Local Address (hoặc chọn pool đã tạo trước đó, giống như Remote Address):

 

Cấu hình profile.

 

Tạo user

Tiếp theo trong tab Secrets, ta tạo user (tài khoản, mật khẩu quay số PPPoE). Với Name và Password đặt tùy ý, Service chọn pppoe, Profile chọn profile tương ứng đã tạo trước đó:

 

Tạo tài khoản.

 

Giới hạn băng thông

Để giới hạn băng thông ta vào Queues → Simple Queues và tạo một queue mới như hình. Với target là dải IP đã tạo pool trước đó để cấp cho các user PPPoE:

 

Giới hạn băng thông.

 

Kiểm tra

Ta vào speedtest để kiểm tra lại tốc độ, thấy đã đúng như giới hạn 50Mbps:

 

Speedtest.

 

Kiểm tra trạng thái WAN trong router TP-Link thấy đã kết nối PPPoE (trạng thái connected) và đã nhận được IP từ pool đã tạo:

 

Kiểm tra trên router.

Hướng dẫn cấu hình Zabbix 5.0

Ở phần trước, Viettelco đã hướng dẫn cách cài Zabbix 5.0 trên CentOS 7. Tiếp theo sẽ lã phần cấu hình Zabbix 5.0 bao gồm một số bước cơ bản như thêm host, trỏ domain từ IP/zabbix thành domain và cài Let’s Encrypt, theo dõi graph,…

Hướng dẫn cài đặt Zabbix 5.0 trên CentOS 7

Thêm host

Trong Zabbix, host là đối tượng ta cần thêm vào để theo dõi. Để thêm host mới, ta vào Configuration à Hosts và nhấn chọn Create host. Ví dụ cụ thể ở đây sẽ là thêm host router Mikrotik ở văn phòng khách hàng của Viettelco:

  • Host name: Tên đặt dễ nhớ, ví dụ Cisco_IDC_Viettelco.
  • Groups: Nhóm các host có đặc điểm chung, ví dụ router, switch,…. Group có thể tự tạo hoặc chọn trong phần select.
  • Interfaces: Thường chọn Agent (máy tính, server cài Zabbix Agent) hoặc SNMP (các thiết bị mạng hỗ trợ giao thưc SNMP). Địa chỉ IP thường là IP tĩnh public.

Tạo host mới.

Ví dụ host SNMP.

Chuyến sang tab Templates, ta chọn template phù hợp với thiết bị. Templates là nhóm nhiều thành phần (item, trigger,…) được tạo ra sẵn để  không cần phải lặp đi lặp lại khi gặp đúng 1 trường hợp.

Chọn Templates.

Thêm macro nếu cần thiết:

Thêm Macros.

Sau đó chờ cho đến khi trạng thái SNMP xanh là được:

Thêm host thành công.

Trỏ domain và cài SSL Let’s Encrypt

Ta cần trỏ domain cho IP/zabbix để tiện cho việc quản lý. Điều kiện: server có IP tĩnh và đã trỏ bản ghi A cho IP đó trong phần quản lý domain. Để cấu hình, ta sửa file zabbix.conf trong thư mục /etc/httpd/conf.d:

vi /etc/httpd/conf.d/zabbix.conf

Comment dòng Alias và thêm block VirtualHost vào. Với server name là domain cần trỏ, sau đó restart lại Apache server:

systemctl restart httpd

Cài đặt thêm SSL Let’s Encrypt:

yum -y install httpd

yum -y install mod_ssl

yum -y install certbot-apache

certbot –apache

Trỏ domain.

Kiểm tra thấy domain đã được trỏ thành công và đã có SSL Let’s Encrypt:

Trỏ domain.

Theo dõi graph

Để theo dõi các thông số theo biểu đồ, ta vào Monitoring à Latest data sau đó chọn đối tượng cần xem biểu đồ và trỏ Graphs hoặc Screens. Với Graphs, các biểu đồ sẽ hiển thị trên một cột. Với Screens, biểu đồ sẽ hiển thị trên nhiều cột (khác nhau ở cách hiển thị).

Theo dõi graph.

Chọn Screens.

Hướng dẫn cấu hình cộng băng thông router MikroTik

MikroTik là thương hiệu router đến từ Latvia. Sản phẩm được tin dùng trong nhiều doanh nghiệp tại Việt Nam, trên toàn thế giới và thậm chí ở các data center. Ngoài phần cấu hình khá khó khi mới làm quen, router MikroTik là sự lựa chọn tuyệt vời với nhiều tính năng cao cấp, tùy chỉnh phong phú, giá cả phải chăng,… “Cộng băng thông” là một trong số đó, ta có thể cộng không giới hạn các đường WAN miễn sao đủ cổng (interface).

Cân bằng tải và dự phòng trong MikroTik

MikroTik hỗ trợ cân bằng tải nhiều đường WAN dựa trên tính năng gọi là “PCC – Per Connection Classifier”. Tức là khi gói tin đi từ bên trong Local ra Internet thì nó sẽ được NAT ra toàn bộ các IP WAN, đồng thời chia đều các gói tin ra theo các đường WAN để cùng lúc đi ra ngoài.

Cân bằng tải MikroTik.

Khi chia ra như vậy thì sẽ phải thực hiện việc “mark” (đánh dấu) kết nối và đường đi gói tin hợp lý để gói tin nào đi ra ngoài đường WAN nào với IP Local nào thì khi quay lại nó sẽ phải đi vào đúng nơi nó đi ra. Song song là việc kết hợp thêm “PCC”, sau đó chỉnh lại Routes để đặt đường đi và cài đặt độ ưu tiên khi Failover.

Thực hiện việc cấu hình Firewall / Mangle để đánh dấu gói tin và “PCC” trước. Đánh dấu kết nối đi từ bên trong Local ra ngoài qua WAN, đồng thời mở “PCC” đi ra ngoài theo nhiều đường. Công thức của PCC rất đơn giản, sử dụng thuật toán băm theo tỷ lệ. Ví dụ 2 đường WAN thì sẽ là:

  • WAN1: 2/0
  • WAN2: 2/1

Với 3 Đường WAN:

  • WAN1: 3/0
  • WAN2: 3/1
  • WAN3: 3/2

Cấu hình cộng băng thông

Cấu hình

Giả sử cần cấu hình cân bằng tải kiểu “cộng băng thông” và dự phòng (failover) 2 đường WAN. Khi đó ta sẽ cấu hình 4 nhóm sau trong terminal:

/ ip firewall mangle

add chain=prerouting dst-address=192.168.88.0/24  action=accept in-interface=BridgeLAN

Nhóm 1:

add chain=prerouting in-interface=pppoe-out1 connection-mark=no-mark action=mark-connection  new-connection-mark=danhdauVNPT1

add chain=prerouting in-interface=pppoe-out2 connection-mark=no-mark action=mark-connection new-connection-mark=danhdauVNPT2

Nhóm 2:

add chain=prerouting in-interface=BridgeLAN connection-mark=no-mark dst-address-type=!local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=danhdauVNPT1

add chain=prerouting in-interface=BridgeLAN connection-mark=no-mark dst-address-type=!local  per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=danhdauVNPT2

Nhóm 3:

add chain=prerouting connection-mark=danhdauVNPT1 in-interface=BridgeLAN action=mark-routing new-routing-mark=diraVNPT1

add chain=prerouting connection-mark=danhdauVNPT2 in-interface=BridgeLAN action=mark-routing new-routing-mark=diraVNPT2

Nhóm 4:

add chain=output connection-mark=danhdauVNPT1 action=mark-routing new-routing-mark=diraVNPT1

add chain=output connection-mark=danhdauVNPT2 action=mark-routing new-routing-mark=diraVNPT2

Với nhóm 1 và 2 sẽ thực hiện đánh dấu gói tin đi vào/ra cổng WAN và interface LAN để thực hiện định tuyến phù hợp trong các nhóm 3 và 4. Phần tô đậm sẽ là tùy chỉnh phù hợp với từng cấu hình và cách đặt tên ở mỗi router MikroTik khác nhau.

Cấu hình bằng giao diện.

Ta cũng có thể cấu hình thông qua giao diện, tuy nhiên không nhanh và dễ kiểm soát bằng cấu hình thông qua dòng lệnh.

Sau đó tùy chỉnh định tuyến với việc đầu tiên là bỏ Add Default Route ở các WAN và thêm vào bảng định tuyến. Cấu hình thêm failover để dự phòng khi một trong hai đường WAN down:

/ ip route

add check-gateway=ping distance=1 gateway=pppoe-out1 routing-mark=diraVNPT1
add check-gateway=ping distance=1 gateway=pppoe-out2 routing-mark=diraVNPT2
add check-gateway=ping distance=1 gateway=pppoe-out1
add check-gateway=ping distance=2 gateway=pppoe-out2

Lưu ý

Lưu ý, khi cấu hình cân bằng tải kiểu “cộng băng thông” với MikroTik, một số trang thanh toán trực tuyến sẽ không cho phép thao tác trên đó vì chúng chỉ chấp nhận 1 IP WAN trong suốt quá trình giao dịch. Để sửa lỗi này, ta có thể định tuyến các máy tính cần sử dụng dịch vụ trên theo đường WAN cụ thể, hoặc đơn giản là loại bỏ các máy này ra khỏi cân bằng tải.

Đầu tiên trong IP → Firewall → Address Lists ta thêm IP các máy tính cần loại ra khỏi cân bằng tải và đặt tên, ví dụ “IP Ke Toan”. Sau đó trong Mangle Rule, ta thêm vào rule như hình sau và kéo lên vị trí trên cùng:

Loại ra khỏi cân bằng tải.

Hướng dẫn cấu hình DHCP failover trên Windows Server 2016

1. Tài nguyên cần chuẩn bị

2. Cài đặt và cấu hình Faiover

Bước 1: Cài đặt dịch vụ Failover Clustering trên 2 máy chủ

Bước 2: Cài đặt DHCP Server trên cả 2 máy 

Bước 3: Cấu hình Failover

Click chuột phải vào Ipv4 Chọn Configure Failover

Chọn Server dự phòng vào ô Partner Server

Chọn add server và tìm tên máy tính ở ô This server sau đó tìm

Chọn như hình dưới và nhập shared secret là chuỗi bảo mật để xác thực với Server chính

Check DHCP Server Standby sẽ có bản scope giống với DHCP chính

=>> Làm như các bước trên là đã hoàn thành cài đặt cấu hình Failover DHCP.

Chúc các bạn thành công!

 

Hướng dẫn cấu hình NICTeaming

NIC Teaming cho phép 2 hoặc nhiều NIC vật lý (Network Interface Card) liên kết với nhau, tạo thành 1 NIC logic có khả năng LoadBalancing và tăng HA (High Availability) cho hệ thống.

Dưới đây Viettelco hướng dẫn cấu hình NICTeaming chi tiết theo từng bước để các bạn có thể thực hiện thao tác trên máy của mình.

  1. Tài nguyên cần chuẩn bị

1 máy chủ cài đặt Windows Server 2016, máy chủ có tối thiểu 2 card mạng

  1. Cài đặt, cấu hình NicTeaming

Bước 1: Vào Local Server chọn Enable NIC Teaming

Bước 2: Tạo tên NIC Teaming để gom 2 card vật lý thành 1 card logic

Bước 3: Đặt tên và Check tickbox 2 card mạng, chọn Teaming mode LACP

Bước 4: Kiểm tra Card mạng sau khi đã cấu hình xong NICTeaming

Vào Control Panel -> Network and Sharing Center để kiểm tra cấu hình NICTeaming

Chúc các bạn thành công!

Hướng dẫn cấu hình modem Huawei VNPT

HG8045A và HG8245A là các dòng modem Huawei mà VNPT trang bị cho khách hàng dùng dịch vụ Internet FTTH, song song với iGate. Việc cấu hình sẽ được tự động đồng bộ từ OMC của VNPT xuống, ta chỉ cần nhập mã MEN (mã kênh truyền) là được. Tuy vậy để tùy chỉnh thêm một số thông số, ta cần nắm cơ bản các bước cấu hình Viettelco giới thiệu sau đây.

Cấu hình cơ bản modem Huawei

Đăng nhập

Để đăng nhập cấu hình modem Huawei, ta nhập vào trình duyệt địa chỉ 192.168.100.1 với điều kiện máy tính đã nhận IP từ modem hoặc đặt IP tĩnh với gateway 192.168.100.1:

Giao diện khi đăng nhập.

Ta nhập tên tài khoản, mật khẩu mặc định là root admin hoặc root adminHW để đăng nhập:

Đăng nhập thành công.

Điền mã MEN

Tiếp theo ta nhập mã kênh truyền (mã MEN) vào ô Password trong System Tools → ONT Authentication để xác thực modem với hệ thống VNPT. Mã MEN thường có 9 chữ số, trong trường hợp mã MEN bắt đầu bởi 000, ta bỏ 000 đi và thay bằng MEN ở cuối. Ví dụ 000123123 sẽ thay bằng 123123MEN.

Nhập mã MEN.

Cấu hình WAN

Dòng modem Huawei VNPT sẽ được đổ cấu hình từ trên tổng đài xuống, không cần phải làm gì thêm. Sẽ có 2 chế độ để lựa chọn đó là route và bridge.

Ở chế độ route, modem sẽ có chức năng là router, có nhiệm vụ cấp địa chỉ IP cho các thiết bị, phát wifi,… Ở chế độ bridge, modem chỉ như một converter quang, có tác dụng chuyển đổi tín hiệu quang thành tín hiệu điện  và xác thực kênh với VNPT.

Cấu hình route mode

Ở phần WAN → WAN Configuration ta tích chọn Enable WAN, Enable VLAN:

  • Encapsulation Mode là PPPoE.
  • WAN Mode: Route WAN.
  • VLAN ID: 11.
  • Username, Password: Tài khoản, mật khẩu PPPoE VNPT cung cấp. Ta có thể hỏi thông qua 18001166, 800126 hoặc các kỹ thuật VNPT.

Cấu hình route mode.

Cấu hình bridge mode

Ở phần WAN → WAN Configuration ta tích chọn Enable WAN, Enable VLAN:

  • Encapsulation Mode là PPPoE.
  • WAN Mode: Bridge WAN.
  • VLAN ID: 11.

Cấu hình bridge mode.

Ngoài ra, nếu cấu hình bridge mode cho router, ta cần tắt tính năng phát wifi của modem. Vì nếu có bắt được wifi thì cũng không thể truy cập được Internet.

Cấu hình wifi

Để cấu hình wifi, ta vào WLAN → WLAN Basic Configuration, tích chọn Enable WLAN, Enable SSID, Broadcast SSID:

  • SSID Name: tên wifi.
  • Authentication mode: chọn Open (không có mật khẩu) hoặc WPA/WPA2 PresharedKey để đặt mật khẩu cho wifi.
  • WPA PresharedKey: mật khẩu wifi.

Cấu hình wifi modem Huawei.

Cấu hình DHCP

Cấu hình DHCP cấp địa chỉ IP cho các thiết bị trong mạng LAN ở LAN → DHCP Server Configuration:

  • Start IP Address: địa chỉ bắt đầu để cấp IP.
  • End IP Address: Địa chỉ cuối để cấp IP.

Thông thường các giá trị start và end IP để mặc định. Với các hệ thống có camera, máy in, máy chấm công, server,… cần đặt IP tĩnh để quản lý thì cần tùy chỉnh cho phù hợp.

Cấu hình DHCP.

Hướng dẫn cấu hình modem iGate VNPT

Khi lắp đặt kênh truyền Internet FTTH mới của VNPT, khách hàng sẽ được trang bị các dòng modem như iGate GW040, GW040-H, GW020, Huawei HG8045A, 8245A,… Cấu hình các thiết bị này không khó, thường sẽ được kỹ thuật VNPT xử lý luôn. Sau đây Viettelco sẽ hướng dẫn các bước cấu hình cơ bản của thiết bị modem iGate GW040.

Cấu hình modem iGate GW040

Cấu hình cơ bản

Nhập địa chỉ IP 192.168.1.1 vào trình duyệt để vào trang cấu hình modem iGate GW040. Tài khoản, mật khẩu mặc định là admin admin:

 

Truy cập trang cấu hình iGate GW040.

 

Lần đầu đăng nhập cần thay đổi mật khẩu của tài khoản admin, với Username và Old Password là admin admin, New Password và Confirm Password là mật khẩu mới cần thay đổi. Mật khẩu bắt buộc phải có chữ hoa, thường, số và ký tự đặc biệt. Thông thường các đài VNPT khác nhau sẽ có cách đặt mật khẩu khác nhau, có thể là Passwd2@, Admin@1234,…

 

Thay đổi mật khẩu lần đầu đăng nhập.

 

Đăng nhập thành công với giao diện như sau:

 

Giao diện khi đăng nhập.

 

Cấu hình mã MEN (mã kênh truyền)

Mỗi một kênh truyền VNPT thường có một mã kênh gồm 9 chữ số (gọi là mã MEN), ta cần điền chính xác 9 chữ số này vào phần Management → SLID Config phần New SLID. Với những kênh có 3 số 0 ở đầu (ví dụ 000123123MEN) thì ta điền 123123MEN vào ô New SLID:

 

Điền mã kênh truyền.

 

Cấu hình WAN

Để modem ra được Internet, ta cần phải cấu hình WAN trong Network Settings → WAN (phần này kỹ thuật VNPT sẽ tự cấu hình). Modem sẽ có 2 chế độ là route (chế độ router) và bridge (chế độ cầu nối):

 

Cấu hình WAN iGate.

 

Với chế độ route, modem sẽ là router cấp DHCP, phát wifi. Ta nhấn Add để thêm cấu hình, chọn PPP over Ethernet (PPPoE), điền VLAN vào ô 802.1Q VLAN. VLAN ở các tỉnh thành khác nhau sẽ khác nhau, ví dụ ở Hà Nội sẽ là 11. Sau đó nhập tài khoản và mật khẩu PPPoE của kênh truyền vào mục PPP Username and Password (tài khoản này có thể hỏi tổng đài VNPT 18001166, 800126 hoặc hỏi kỹ thuật VNPT):

 

Cấu hình WAN iGate.

 

Có thể tùy chỉnh DNS về DNS Google hoặc CloudFlare nếu không muốn dùng DNS của VNPT:

 

Chỉnh DNS theo ý muốn.

 

Với chế độ bridge, modem sẽ là cầu nối, chỉ có nhiệm vụ chuyển đổi tín hiệu quang thành tín hiệu điện và xác thực kênh truyền với VNPT. Sau đó sẽ có một router cân bằng tải khác “khỏe” hơn quay số PPPoE. Các router cân bằng tải hay dùng như Draytek, Mikrotik, Cisco hay router mềm mã nguồn mở như pfSense,…

Cấu hình bridge ta chỉ cần chọn Bridging trong Select WAN service type và điền VLAN. Với dòng iGate GW040-H, phần cấu hình bridge cần thêm một bước nhóm port nữa, sẽ đề cập ở phần cuối:

 

Cấu hình bridge modem iGate.

 

Cấu hình wifi

Để chỉnh sửa tên, mật khẩu wifi ta vào Network Settings → Wireless. Trong mục basic ta tích chọn Enable Wireless để modem phát wifi, điền tên wifi ở SSID:

 

Đặt tên wifi.

 

Đặt mật khẩu cho wifi ở Security, phần WPA/WAPI passphare:

 

Đặt mật khẩu cho wifi.

 

Để cấu hình dải IP cấp phát cho máy tính trong mạng LAN ta vào Network Settings → LAN → IPv4 Setup. IP Address là địa chỉ của router (dùng để truy cập cấu hình):

 

Cấu hình DHCP.

 

Cấu hình bridge modem iGate GW040-H

Phần cấu hình bridge modem iGate GW040-H sẽ thêm một bước nhóm port so với dòng GW040. Sau khi cấu hình bridge như bình thường, ta vào Advanced Setup → Interface Grouping:

 

Thêm bridge.

 

Cấu hình trong Interface Grouping. Với WANs Port chọn interface bridge đã tạo, Ethernet Port chọn cổng LAN tùy ý. Lưu ý khi chọn cổng LAN, ta sẽ không thể cấu hình tiếp mà cần cắm dây mạng sang cổng khác để tiếp tục tùy chỉnh:

 

Nhóm port iGate GW040-H.

 

Dòng modem mới GW040-H có gao diện khác với các dòng GW040, GW020. Tuy nhiên phần cấu hình gần như tương tự với các dòng cũ, chỉ khác phần bridge như đã đề cập ở trên.

Chúc các bạn thành công!