Hướng dẫn thiết lập cấu hình MH 5000 (MH – 5K)

Hiện trạng hệ thống và mong muốn

Hệ thống mạng lớn bao gồm nhiều máy chủ (webserver) và máy trạm sử dụng đồng thời nhiều đường truyền trong đó có 2 đường truyền dành riêng cho việc truy cập máy chủ từ bên ngoài. Mong muốn có hệ thống cân bằng tải để cân bằng lưu lượng băng thông khi quá tải. Đồng thời thiết bị cũng phải đáp ứng các yêu cầu tối thiểu như: firewall, Nat, DMZ, VPN, DDNS…

Giải pháp

Dùng thiết bị Multi Home của PLANET như MH-2000, MH-4000, MH-5000. MH-5000 là thiết bị Firewall, một sản phẩm của PLANET mang tính bảo mật cho hệ thống mạng cấp cao, với các chức năng NAT, Proxy, quản lí và hỗ trợ tính sẵn sàng cao và cân bằng tải trong truy cập Internet. Với các sản phẩm có tính năng thấp hơn như MH-2000 hay MH-4000 không hỗ trợ một số tính năng (ví dụ như chỉ hỗ trợ 2 cổng WAN, không có tính năng High avaibility…) nên chúng tôi chỉ trình bày sản phẩm có tính năng đầy đủ nhất. Khi thiết lập các thiết bị MH-2000 hay MH-4000 nên xem kỹ các tính năng trước khi thiết lập theo các mục chỉ dẫn sau.

Hướng dẫn cấu hình

Cấu hình nhanh thiết bị

Mô hình cấu hình nhanh sau đây thiết lập cho các mô hình mạng vừa và nhỏ. Trong mô hình chia sẻ IP sau đây hỗ trợ chức năng NAT, PAT và các chức năng khác.

Các bước thực hiện cấu hình đơn giản thiết bị MH-5K

Bước 1:
Thiết lập ba đường kết nối chính bao gồm: dây nguồn, đường Internet (kết nối cổng WAN 1) và đường bên trong (kết nối cổng LAN 1)- mặc định cổng LAN 1 là 192.168.1.254/ 255.255.255.0)

Bước 2:
Cấu hình LAN cho MH, đặt địa chỉ LAN và thay đổi tham số mạng nội bộ

Bước 3:
Cấu hình WAN cho MH

Bước 4:
NAT, Kết nối hướng kết nối từ LAN ra WAN

Bước 5:
Cấu hình Server ảo – Virtual server

Cấu hình giả định:

Danh sách			Ghi chú
Password			‘admin’ - Giá trị mặc định
Cổng WAN1	IP Tĩnh Subnet mark Gate way :	222.202.1.251 255.255.255.224 203.162.0.181	Các giá trị này thiết lập khi thuê bao đường lease line và do ÍSP cấp – đây là địa chỉ ví dụ
Cổng WAN1	PPPoE	Username Password	Do ISP cung cấp
Cổng WAN2	IP Tĩnh Subnet mark Gate way :	222.252.1.221 255.255.255.224 203.162.0.181	Các giá trị này thiết lập khi thuê bao đường lease line và do ÍSP cấp – đây là địa chỉ ví dụ
Cổng WAN2	PPPoE	Username Password	Do ISP cung cấp
Cổng DMZ3	Địa chỉ IP Subnet mark	10.1.1.254 255.255.255.0	Tự thiết lập riêng
Cổng LAN1	Địa chỉ IP Subnet mark	192.168.1.254 255.255.255.0	Tự thiết lập riêng
LAN 2 cổng 5	Địa chỉ IP Subnet mark	192.168.2.254 255.255.255.0	Tự thiết lập

Hãy chắc chắn rằng PC mà bạn dùng kết nối cấu hình thiết bị MH-5000 có cùng dải địa chỉ với MH 5K

Bước 1: kết nối qua địa chỉ http://192.168.1.254 với mật khẩu “admin”
Bước 2: Chạy Setup Wizard, điền các Tên thiết bị và tên miền trong Thanh công cụ tên hệ thống.
Bước 3: Đặt chế độ hoạt động (Operation mode) cho thiết bị: Chế độ NAT/Router như một bộ định tuyến và dẫn tuyến Internet cho các máy trạm trong mạng. Chế độ Transparent: là chế độ cơ bản trong NAT và một số chức năng firewall nhưng không có nhiều tác dụng như trong chế độ trên.
Bước 4: Chọn các thông số kết nối Internet do ISP cung cấp trong đường WAN 1
Chọn “Get IP Automatically (DHCP) “ tự động cập nhật các thông số do ISP cung cấp Chọn Get DNS automatically để nhận địa chỉ kết nối của nhà thuê bao. ( Hoặc lựa chọn địa chỉ DNS cố định 203.162.0.181- do ISP cung cấp). Nếu lựa chọn chỉ định địa chỉ IP là Fixed IP Address: đưa vào các thông số địa chỉ, subnet mark, địa chỉ gateway do ISP cung cấp
Bước 5: Thiết lập quay số ADSL với username, password do ISP cung cấp
Bước 6: Kiểm tra các thông số kết nối mạng qua bảng System Status. Chọn Finish để hoàn tất cài đặt nhanh.
Bước 7: Bước này không thực hiện cũng được. Thay đổi hay cài đặt password cho thiết bị. Vào BasicSetup -> Authentication -> Authentication -> Local Một danh sách users được thiết lập được quản lí theo các cơ chế xác thực mã hoá riêng theo chọn lựa. - Local - Pop3 - Imap - Radius - LDAP
Bước 8: Nếu có nhu cầu quản trị mạng từ xa hay từ Internet. Vào SYSTEM TOOLS-> Remote Mgt -> Có 6 kiểu quản trị từ xa Telnet – SSH – WWW – HTTPS – SNMP - ICMP
Các dịch vụ xác nhận theo cổng khác nhau. Các lựa chọn theo đường truyền kết nối thiết bị. Có hai dịch vụ hay dùng: Telnet qua cổng 2323 www qua web cổng 8080

Kết nối LAN1 tới WAN1

Mục đích:
Tạo các kết nối từ các máy trạm ra ngoài Internet hay Intranet với các cơ chế biên dịch địa chỉ sử dụng thiết bị như một default Gateway.

Chọn BASIC SETUP -> LAN Setting -> LAN1 Status, thiết lập địa chỉ thiết bị và dải địa chỉ LAN 1 quản lí, Thiêt lập các IP Address Pool nếu đặt hệ thống cấp địa chỉ tự động DHCP. Các thông số DNS.. chọn Apply để chấp nhận thay đổi cấu hình.

Vào Advanced setting->NAT>Status để quan sát trạng thái NAT hoạt động

Khi thiết lập cấu hình tự động Wizard trên, NET tự động thiết lập mọi địa chỉ IP trong LAN/DMZ kết nối WAN với địa chỉ công cộng ngoài Internet.

Có thể tạo phương thức kết nối NAT qua Advanced settings-> NAT-> NAT Rules. Trong danh sách các địa chỉ IP add vào thì chỉ có 1 địa chỉ tại 1 đường WAN được Active (kích hoạt) thôi.

Kết nối WAN1 đến DMZ1

Mục đích:
Tạo các hướng kết nối qua dịch vụ DMZ, ở trong ví dụ này là một PC1 trong mạng LAN sử dụng địa chỉ IP công cộng trên Internet làm máy chủ dịch vụ FTP. Các máy tính ngoài mạng dùng địa chỉ IP công cộng ngoài Internet làm địa chỉ truy cập FTP vào máy PC1.

Bước1: Thiết lập địa chỉ thiết bị và subnet mark cho giao diện DMZ1 Vào mục BASIC SETUP-> DMZ Settings> DMZ1 Status Bước2: Nên sử dụng chức năng DHCP server cấp địa chỉ tự động cho máy trạm sử dụng chức năng DMZ 1 nếu thiết bị này dùng DHCP client Nếu không đặt địa chỉ tĩnh trong dải địa chỉ LAN1 Chọn Apply thiết lập cấu hình
Bước3: Kiểm định tình trạng NAT : Chọn Advanced settings -> NAT> Status. Mặc định NAT ở chế độ BASIC mode, NAT tự động cập nhật các phương thức cho phép tất cả các địa chỉ IP trong LAN /DMZ ra WAN được dịch ra địa chỉ Internet công cộng hay được cấp phát bởi ISP.
Bước4: Kiểm định các phương thức ( hay luật kết nối) DMZ ra WAN.
Bước5: Thiết lập thêm các luật kết nối DMZ bằng Insert và lựa chọn các tham số. Ví dụ: Đưa địa chỉ 10.1.1.5 /24 ra địa chỉ ngoài Internet 61.2.1.1 với cổng 44444 với mục đích các dịch vụ FTP ( cổng 21) Chọn Active this rule: Internal IP = 10.1.1.5 port 21 External IP = 61.2.1.1 với Dest port = 44444 trong Type = single (địa chỉ đơn trên Internet) Redirect to Internal server under DMZ 1
Bước 6: Bây giờ mọi yêu cầu địa chỉ ngoài Internet 61.2.1.1 với cổng 44444 đều kết nối dịch vụ FTP với cổng 21 tới máy trong mạng LAN có địa chỉ 10.1.1.5

Cấu hình WAN và đường back up

Mục đích:
Tạo kết nối dùng một trong 2 đường WAN làm đường kết nối chính, đường còn lại chỉ dùng khi đường WAN2 không kết nối được.

Thiết lập trong đường dẫn BASIC Setup > WAN settings > WAN back up

Trong đó các thông số:

Enable WAN Fail-Over: hệ thống sẽ ping tới địa chỉ IP server công cộng thông qua đường link hiện tại đang sử dụng.

Check public Internet Server IP1: địa chỉ Internet thứ nhất mà mạng đang kết nói tới, kiểm tra nếu không ping tới địa chỉ này đầu tiên. Vidụ : 203.162.0.181

Check public Internet Server IP2: địa chỉ Internet thứ hai mà mạng đang kết nói tới, kiểm tra nếu không ping tới địa chỉ thứ nhất không dược.

Time out : thời gian ping tới các địa chỉ trên Internet ( các mức 5, 10, 30, 60, 300, 600 giây)

Detection Interval : Kiểm tra các đường WAN trong khoảng thời gian ( các mức 5, 10, 20, 30, 60 giây)

Cấu hình WAN và cân bằng tải

Mục đích:
Thực hiện cân bằng tải cho các truy cập Internet khi hệ thống sử dụng 2 đường Internet trở nên.

Các bước thực hiện:

Thiết lập các tính năng rules trên Firewall. Các thiết lập Firewall cho các kết nối WAN phải giống nhau. Các đường LAN 1 ra WAN 1, LAN 1 ra WAN 2, LAN 2 ra WAN 1, LAN 2 ra WAN 2 phải được phép nếu không thì khi cân bằng tải các đường chặn vì không có Rules thông qua Firewall mặc định.

Thiết lập Enable cho các chức năng ngoại biên theo đường dẫn Advanced Settings > Load balancer -> Outbound

Thiết lập Apply để xác nhận thay đổi cấu hình.

Tài liệu tham khảo

Tài liệu User Manual đi kèm sẵn thiết bị hoặc đĩa CD-ROM đi kèm hướng dẫn cấu hình Multi Home hoặc có thể download từ trang www.planet.com.tw – Download- Multi Homing Security Gateway.

Lên đầu trang

» Các bài viết khác trong hướng dẫn cài đặt về An toàn mạng:

» Hướng dẫn cấu hình nhanh VRT-402N qua giao diện Web

» Hướng dẫn cấu hình nhanh XRT-401F

» Hướng dẫn cấu hình tính năng firewall trên FRT-401N

» Hướng dẫn cấu hình nhanh thiết bị MH-3400

» Kiến thức căn bản An toàn mạng:

Được tạo bởi admin
Lần sửa cuối 28/12/05