kiến thức Tạo VLAN trên Mikrotik và chia mạng Wifi với Aruba

kim___long

Senior Member
Mình ít khi làm hướng dẫn lắm, nên câu cú lủng củng mọi người thông cảm.
Những bạn nào biết rồi thì thôi, ai chưa biết thì xem, chứ đừng nói lời cay đắng nha

Cái này là theo như nhu cầu của nhà mình mà mình tìm hiểu và làm theo mô hình mạng nhà mình.
(mình không phải dân chuyên làm mạng network đâu cũng không có học qua trường lớp nào hướng dẫn, nên có nhiều chỗ dùng từ không đúng mong các bạn bỏ qua)
Nhà mình thì có 1 con Mikrotik nối với switch ngu tp-link 16port từ cái switch đó chia ra nối lên lầu và xuống bếp tầng trệt là 3 con Aruba 225

Sự việc là vầy: (mình nói để các bạn hình dung tại sau mình cần chia ra nhiều mạng wifi)
Mình có xài mấy thiết bị thông minh như công tắt, đèn yeelight, camera, ổ nas chứa phim..v.v.v...
lúc trước xài 1 mạng wifi
tất cả thiết bị đều kết nối chung vào 1 mạng wifi đó vừa 2.4Ghz và 5Ghz
Bạn bè, khách, bà con tới chơi đều xin pass wifi => ok cho thôi
và một ngày thằng bạn tới chơi nó không cần xin pass wifi nó vẫn vào được mạng, mình hỏi nó thì ra nó cài cái wifi key gì đó.
cái phần mềm đó nó cài vào máy nó sẽ lấy hết thông tin pass wifi đã lưu trong máy đưa lên máy chủ sau đó nó share hết cho tất cả mọi người cài phần mềm đó.
vậy => có ai tới nhà mình đã cài phần mềm dạng này, và giờ wifi nhà mình đã bị share lên
=> lập tức đổi pass wifi vì mạng nhà mình có camera, có ổ nass lưu tùm lum thứ => thật không ổn phải đổi pass
nhưng ngặc nổi quá nhiều thiết bị xài chung cái wifi
giờ đổi pass cái là phải đi update pass cho từng công tắc, đèn ...các thứ.

Nhu cầu nảy sinh:
Cần 3 mạng wifi và 1 mạng có dây:
+ 1 mạng wifi chính mình xài mạng này:
chạy 2 băng tầng 2.4Ghz và 5Ghz
ẩn SSID full băng thông, và IP mạng này cũng khác không trùng với IP mạng có dây
+ 1 mạng 2.4Ghz dành riêng cho các thiết bị IOT:
cũng ẩn SSID
cũng giới hạn băng thông vì mấy thiết bị công tắt, đèn, camera thì không cần nhiều băng thông lắm đâu. PASS này đặt khó tí, VÀ TUYỆT ĐỐI KHÔNG SHARE PASS này ra, hạn chế đổi pass)
+ Và 1 mạng dành cho khách chỉ 2.4Ghz:
không ẩn SSID để khách bà con, bạn bè vào thấy khỏi hỏi mạng wifi là gì.
mạng này bóp giới hạn băng thông lại, pass này lâu lâu đổi một lần, và đổi thường xuyên.
đặt thời gian tắt mở cho mạng khách này luôn: 8g sáng tới 22g đêm (nếu có bà con lên chơi ngủ qua đêm thì khi đó sẽ edit chỉnh lại sau)

Sau này con nhỏ, lớn tí cũng tạo một mạng riêng dành cho KID cũng giới hạn băng thông, chặn các trang web XXX, bạo lực đồi trụy, và chặn các trang Game, Facebook theo thời gian.
Theo mình tìm hiểu Rule FireWall của Mikrotik nó có thể chặn theo thời gian, với cách đó mình có thể đặt Rule Firewall mở chặn game cho con vào ngày cuối tuần, các ngày trong tuần thì chặn hết chỉ mở cho con vào những trang phục vụ học tập vui vẻ thôi.

Và đặt Wifi cho con chỉ mở từ 17g - 21g, ban ngày nó đi học, cuối tuần thì mở từ 8g30 tới 21g

Từ nhu cầu này mình cần 3 VLAN, mình làm như sau
đầu tiên cần tạo 3 VLAN trên mikrotik như sau
Screenshot 2021-07-08 124458.png

Đặt tên cho VLAN, VLAN ID (chú ý cái ID cái này sẽ đánh vào VLAN trên con ARUBA)
và chọn đúng interface có port nối với swich và switch này nối với con Aruba
Screenshot 2021-07-08 125218.png


Sau đó vào mục IP Address bấm đấu + tạo new address đánh dải IP mình muốn tạo vào ví dụ: 192.168.10.1/24 Rồi chọn VLAN tương ứng
Screenshot 2021-07-08 124553.png

Sau đó thì vào IP DHCP Server chạy DHCP setup
Screenshot 2021-07-08 124634.png

chọn đúng VLAN rồi nhấn next next thôi, chỗ DNS thì có thể thay bằng 8.8.8.8 / 8.8.4.4
Screenshot 2021-07-08 124659.png


Vậy là xong phần tạo VLAN rồi
Qua con Aruba tạo Wifi
Screenshot 2021-07-08 124948.png


nhấn vào advanced options để chỉnh, mục Band có thể chọn all nếu muốn nó phát cả 2 băng tần, nhưng mình muốn nó phát cho khách chỉ 1 băng tần 2.4Ghz thôi, và giới hạn băng thông là 10Mbps thôi
Screenshot 2021-07-08 124911.png

bấm next mục VLAN thì mình đánh cái VLAN ID tương ứng mình đã tạo vào
Screenshot 2021-07-08 125029.png

rồi nhấn next đặt pass là xong

các VLAN tương ứng khác cũng làm như vậy, các bạn cứ tạo VLAN rồi qua Aruba đánh ID của VLAN trong phần tạo mạng wifi là xong
 

Attachments

  • Screenshot 2021-07-08 124553.png
    Screenshot 2021-07-08 124553.png
    9.8 KB · Views: 205
  • Screenshot 2021-07-08 124458.png
    Screenshot 2021-07-08 124458.png
    14.7 KB · Views: 200
Last edited:
Phần bảo mật vào IP Firewall nhấn dấu +
Screenshot 2021-07-08 163654.png

Mình không muốn VLAN 10 có dải IP 192.168.10.0/24 truy cập vào tài nguyên mạng chính là 192.168.1.1 thì đánh như sau:
Screenshot 2021-07-08 163734.png

Mục Action chọn drop
Screenshot 2021-07-08 163750.png


Vậy là xong với các mạng VLAN Khác cũng làm tương tự

Và giờ chặn luôn port 4343 để khách khỏi vào https://instant.arubanetworks.com:4343/ táy máy (có nhiều đứa thấy nhà xài Aruba là tới nhà nhấn vào, mặc dù có pass admin khoá rồi nhưng mình không thích táy máy như thế, con cháu trong nhà la nó thì ngại)
cũng vào fire wall nhấn dấu +
Screenshot 2021-07-08 163654.png

ví dụ mình không muốn VLAN20 các thiết bị kết nối wifi có IP 192.168.20.xxx vào trang https://instant.arubanetworks.com:4343/ thì mình chặn luôn port 4343 đi
đánh như sau:
Screenshot 2021-07-08 163823.png


phần Action chọn drop

Screenshot 2021-07-08 163750.png
 

Attachments

  • Screenshot 2021-07-08 163750.png
    Screenshot 2021-07-08 163750.png
    12.3 KB · Views: 152
Vậy là xong, còn bảo mật Mikrotik thì mình tắt hết các dịch vụ chỉ để kết nối bằng winbox
và trong mục system => user mình chỉ cho mạng có dây dải ip 192.168.1.0/24 là được kết nối vào mikrotik qua winbox thôi
tất cả các VLAN10, 20,30 đều không có kết nối được kể cả có dùng winbox, biết pass cũng không vào được
Tất cả các VLAN mình đều chặn port 4343 hết

Vậy là muốn tinh chỉnh gì chỉ có thể dùng mạng có dây để chỉnh, kể cả tinh chỉ Aruba cũng phải vào bằng mạng có dây
 
Last edited:
Cách này có thể áp dụng cho nhà có con nhỏ

Sau này con nhỏ, lớn tí cũng tạo một mạng riêng dành cho KID cũng giới hạn băng thông, chặn các trang web XXX, bạo lực đồi trụy, và chặn các trang Game, Facebook theo thời gian.
Theo mình tìm hiểu Rule FireWall của Mikrotik nó có thể chặn theo thời gian, với cách đó mình có thể đặt Rule Firewall mở chặn game cho con vào ngày cuối tuần, các ngày trong tuần thì chặn hết chỉ mở cho con vào những trang phục vụ học tập vui vẻ thôi.

Và đặt Wifi KID cho con chỉ mở từ 17g - 21g, ban ngày nó đi học, cuối tuần thì mở từ 8g30 tới 21g
 
Cách này có thể áp dụng cho nhà có con nhỏ

Sau này con nhỏ, lớn tí cũng tạo một mạng riêng dành cho KID cũng giới hạn băng thông, chặn các trang web XXX, bạo lực đồi trụy, và chặn các trang Game, Facebook theo thời gian.
Theo mình tìm hiểu Rule FireWall của Mikrotik nó có thể chặn theo thời gian, với cách đó mình có thể đặt Rule Firewall mở chặn game cho con vào ngày cuối tuần, các ngày trong tuần thì chặn hết chỉ mở cho con vào những trang phục vụ học tập vui vẻ thôi.

Và đặt Wifi KID cho con chỉ mở từ 17g - 21g, ban ngày nó đi học, cuối tuần thì mở từ 8g30 tới 21g

Tùy đứa nhỏ.

Đứa nào chịu mày mò, lên google gõ phát , đầy cách né.
 
Tùy đứa nhỏ.

Đứa nào chịu mày mò, lên google gõ phát , đầy cách né.
khi đó con hơn cha nhà có phúc :)
chỉ chặn khi nó còn nhỏ nhỏ thôi, chứ nó cấp 2 - 3 nó tìm tòi mò mò phát là xong.
như mình ngày xưa cấp 2 lớp 7-8 đã mò tìm tòi tháo máy PC, cài đặt các thứ. cái cảm giác lần đầu mày mò cài lại windows thành công nó sướng lắm.
Từ Win 9x, rồi sau này là XP, chỉ có từ Win 9X lên Win XP là có cảm giác bất ngờ, vui vui. Sau này với Vista, Win 7, 8, 8.1, rồi Win 10, sắp tới là 11, mình không còn cảm xúc như xưa có lẽ càng về sau càng lớn tuổi, và cuộc sống công việc nó cuốn mình, không có thời gian vô tư, vô lo, lấy tìm hiểu công nghệ làm niềm vui như hồi nhỏ
nhớ khi còn nhỏ đó còn mua echip, làm bạn máy tính, PC Game...PC World tập sang dày cộm thì mắc quá ... nên chỉ có pc world là ít mua , mày mò suốt, đọc báo có gì hay là thử ngay.
Con Mikrotik, Aruba này mình cũng mày mò, xem youtube, google .... tự làm, tự cấu hình thôi.
mà giờ có tuổi rồi cũng ít tìm tòi như xưa
 
Last edited:
khi đó con hơn cha nhà có phúc :)
chỉ chặn khi nó còn nhỏ nhỏ thôi, chứ nó cấp 2 - 3 nó tìm tòi mò mò phát là xong.
như mình ngày xưa cấp 2 lớp 7-8 đã mò tìm tòi tháo máy PC, cài đặt các thứ. cái cảm giác lần đầu mày mò cài lại windows thành công nó sướng lắm.
Từ Win 9x, rồi sau này là XP, chỉ có từ Win 9X lên Win XP là có cảm giác bất ngờ, vui vui. Sau này với Vista, Win 7, 8, 8.1, rồi Win 10, sắp tới là 11, mình không còn cảm xúc như xưa có lẽ càng về sau càng lớn tuổi, và cuộc sống công việc nó cuốn mình, không có thời gian vô tư, vô lo, lấy tìm hiểu công nghệ làm niềm vui như hồi nhỏ
nhớ khi còn nhỏ đó còn mua echip, làm bạn máy tính, PC Game...PC World tập sang dày cộm thì mắc quá ... nên chỉ có pc world là ít mua , mày mò suốt, đọc báo có gì hay là thử ngay.
Con Mikrotik, Aruba này mình cũng mày mò, xem youtube, google .... tự làm, tự cấu hình thôi.
mà giờ có tuổi rồi cũng ít tìm tòi như xưa
Ù, pc world luôn. Trong voz này, mình biết được mấy người u50 rồi
 
Hướng dẫn nốt tạo hostpot với Vlan chạy cùng AP Aruba

# Bảo mật Bridge Lan không cho Vlan truy cập lớp này, cấm truy cập winbox (Chú ý: Thay 10.0.0.0/24 bằng lớp Bridge Lan)
/ip firewall filter
add action=drop chain=input dst-port=8291 protocol=tcp src-address=\
!10.0.0.0/24
add action=drop chain=forward dst-address=10.0.0.0/24 src-address=\
192.168.222.0/24


Mình làm theo mà vẫn truy cập đc vô nhỉ, lạ thật :( ko biết sai ở đâu luôn

1630244556189.png


còn chặn port 4343 của Aruba thì làm sao vậy bạn ?
 
Last edited:
khi đó con hơn cha nhà có phúc :)
chỉ chặn khi nó còn nhỏ nhỏ thôi, chứ nó cấp 2 - 3 nó tìm tòi mò mò phát là xong.
như mình ngày xưa cấp 2 lớp 7-8 đã mò tìm tòi tháo máy PC, cài đặt các thứ. cái cảm giác lần đầu mày mò cài lại windows thành công nó sướng lắm.
Từ Win 9x, rồi sau này là XP, chỉ có từ Win 9X lên Win XP là có cảm giác bất ngờ, vui vui. Sau này với Vista, Win 7, 8, 8.1, rồi Win 10, sắp tới là 11, mình không còn cảm xúc như xưa có lẽ càng về sau càng lớn tuổi, và cuộc sống công việc nó cuốn mình, không có thời gian vô tư, vô lo, lấy tìm hiểu công nghệ làm niềm vui như hồi nhỏ
nhớ khi còn nhỏ đó còn mua echip, làm bạn máy tính, PC Game...PC World tập sang dày cộm thì mắc quá ... nên chỉ có pc world là ít mua , mày mò suốt, đọc báo có gì hay là thử ngay.
Con Mikrotik, Aruba này mình cũng mày mò, xem youtube, google .... tự làm, tự cấu hình thôi.
mà giờ có tuổi rồi cũng ít tìm tòi như xưa
em thấy bác setup và quy hoạch như này thì khác gì chuyên gia ngành mạng đâu. :D bác làm thêm cái hotpot là quá chuyên nghiệp luôn.
 
Bổ sung thêm nữa là cài app mikrotik lên điện thoại, nó không khác gì cái winbox thu nhỏ lại có thể kiểm soát từ xa.
Nhà xài mikrotik + hệ thống wifi, mở kênh cho khách xài thoải mái, máy tính trẻ nhỏ, tv thì chặn lại không cho trẻ con xem nên đi làm vứt khiển TV nó không xem được. Học bài xong tốt kiểm tra trên camera thì thưởng bằng cách tạm thời disalbe cái rule khóa internet TV chúng nó xem được còn không thì nghỉ đi. Tối về vợ chồng con cái xem được TV khi chúng nó đi ngủ.
Đây là cái rule chặn theo thời gian từ 8h sáng đến 11h30 sáng :tầm chúng nó ở nhà
Chặn tiếp từ 1h30 đến 21h30 chiều trẻ con đi học về và ăn cơm học bài không xem gì hết.
Thời gian buổi trưa hay tối bố mẹ xem TV thoải mái.
Cần thay đổi bất thường thì chỉ cần disble tạm cái filter rule đi là được.
Nhiều khi đi làm chúng nó học xong bài hoặc kiểm tra trên camera thấy học chăm chỉ thì ngoại lệ thưởng cho chúng nó giải trí xem một tý.
1634895696785.png

1634895731184.png

1634895765769.png

1634895788875.png

1634895888594.png
 
Back
Top