Router Cisco 851W là một thiết bị đa năng tương đối rẻ (giá thấp nhất là 292$) có thể hỗ trợ nhiều mạng LAN không dây ảo được phân tách bởi tường lửa.
Mặc dù router Cisco 871W có thể thực hiện nhiều tác vụ hơn nhưng nó có giá từ 500$ - 700$ tuỳ thuộc vào bộ phần mềm đi kèm, hơi đắt đối với một router cho gia đình hoặc văn phòng nhỏ.
Tuy nhiên bản 871W giá 500$ không hơn 851W là mấy, ngoại trừ việc nó có bộ kết nối anten gắn ngoài cho phép bạn kết nối những anten lớn hơn. Bản 871W giá 700$ mới thực sự đem lại cho bạn những tính năng vượt trội như định tuyến BGP, hỗ trợ VLAN, ưu tiên traffic nhờ QoS.
Kiến trúc mạng kép SOHO nâng cao
Sau đây là cách thiết lập router Cisco 851W hoặc 871W theo chuẩn “bảo mật nâng cao” IOS trong SOHO (văn phòng nhỏ/hộ gia đình) với:
• Tường lửa giám sát trạng thái (SPI)
• 2 mạng LAN không dây ảo (tối đa 10)
• 1 mạng LAN ảo kết nối với 1 mạng LAN không dây
• Cả 2 mạng LAN được cấu hình theo giao thức bảo mật WPA-PSK
• 1 mạng LAN không dây đóng vai trò là mạng khách với quyền truy cập hạn chế
• DSL PPPoE client
• DHCP server
Hình A là một biểu đồ logic. Vòng màu cam là mạng khách, vòng màu xanh lá cây là mạng nội bộ. Toàn bộ switch được cấu hình cho VLAN1 vì chuẩn “bảo mật nâng cao” IOS của 851W và 871 không hỗ trợ nhiều VLAN. Chỉ có bản 871W chạy “IP nâng cao” IOS là hỗ trợ nhiều VLAN. Có nghĩa là chỉ có mạng không dây “InternalWLAN” có thể làm cầu nối tới switch nhờ sử dụng BVI 1.
Cổng F4 là giao diện WAN được cấu hình để quay số PPPoE tới modem ADSL. Mạng không dây màu cam “GuestWLAN” sẽ có toàn quyền truy cập Internet, nhưng không truy cập được vào mạng nội bộ màu xanh lá cây. Mạng nội bộ xanh lá cây sẽ có toàn quyền truy cập vào mạng khách màu da cam và mạng Internet. Mạng LAN không dây khách sẽ có SSID của GuestWLAN, còn mạng LAN không dây nội bộ sẽ có SSID của InternalWLAN. Hiện tại Cisco 851W và 871W chỉ có khả năng truyền tải 1 SSID nên GuestWLAN sẽ là SSID duy nhất được truyền phát. Những firmware tương lai sẽ khắc phục thiếu sót này.
Dành cho những bạn đang thắc mắc liệu ẩn SSID có tốt cho bảo mật: Ẩn SSID là một tính năng bảo mật vô ích, giống như lọc MAC và vài tính năng khác.
Thiết lập phần cứng ban đầu
Sau khi đã lấy 851W hoặc 871W ra khỏi hộp và cắm adapter, gắn cáp nguồn vào cổng nối tiếp thích hợp trên máy tính của bạn. Nếu laptop bạn không có cổng nối tiếp, bạn sẽ cần tới thiết bị chuyển đổi từ cổng USB - cổng nối tiếp. Tốt nhất là bạn chuẩn bị 1 laptop có khả năng kết nối không dây và 1 máy tính để bàn. Cắm máy bàn vào cổng F1 (Fast Ethernet 1) (cổng thứ 2 từ trái sang, hình B, do cổng thứ 1 là F0). Hầu hết máy tính để bàn đều có ít nhất 1 cổng COM1, vì vậy bạn có thể dùng cổng này như máy tính điều khiển cấu hình. Cắm một đầu giắc RJ45 của cổng điều khiển vào cổng RJ45 tận cùng bên phải có chữ “console”. Nếu tất cả những gì bạn có là 1 cái laptop, bạn có thể dùng nó để kiểm tra chức năng có dây và không dây.
Xoá sạch cấu hình mặc định
Điều đầu tiên cần làm với tất cả router Cisco mới đó là xoá sạch cấu hình mặc định. Những router đời cũ không được gán username và password, còn các thiết bị mới thì khác. Bạn phải đăng nhập lần đầu với username và password là “cisco”. Chữ “c” trong “cisco” có thể phải viết hoa, tuỳ từng router. Sau khi đã đăng nhập thành công, hãy nhập những lệnh sau:
• enable
• write erase
• reload (confirm reboot)
Sau khi router được khởi động lại, bạn sẽ thấy dòng thông báo “router>” và không cần nhập password nữa. Bây giờ bạn hãy nhập lệnh “config t” để vào chế độ cấu hình toàn phần.
Mẫu cấu hình CLI cho Cisco 851W và 871W
Tôi luôn nghĩ rằng phần hướng dẫn cấu hình của Cisco không dễ sử dụng chút nào. Bởi vậy tôi đã tự tạo bản mẫu cấu hình hệ thống riêng trong Excel.
Mẫu đầu tiên dành cho DSL PPPoE. Mẫu thứ 2 để cấu hình DHCP hoặc kết nối Internet qua modem mạng cáp. Mẫu 3 dành cho IP WAN tĩnh.
Cách dùng mẫu CLI
Sau khi tải về những bảng mẫu cho bài hướng dẫn này, bạn chỉ cần điền thông tin vào các ô màu vàng như hình C.
Hình D thể hiện bảng tham chiếu, với các biến thay thế màu đỏ trong ngoặc. Nút Replace sẽ copy nội dung bảng tham chiếu tới một bảng mới tên 871W (hoặc tên khác tuỳ ý).
Thiết lập cấu hình 851W hoặc 871W
Sau khi tạo xong, bạn có thể copy cột Command với những tuỳ biến riêng và paste vào trình điều khiển của bạn. Lưu ý rằng đây là lệnh paste không định dạng, ngoài ra một số lệnh sẽ mất thời gian thực thi hơn những lệnh khác. Bạn sẽ phải xác nhận bằng lệnh “show run” và hãy nhớ nhập lệnh “write mem” để lưu lại các thay đổi nhằm giữ nguyên các thiết lập sau khi khởi động lại router.
Kiểm tra router đa mạng VLAN, WLAN của bạn
Máy tính để bàn của bạn phải kết nối tốt với các cổng từ F0 đến F3. Bạn phải có khả năng lấy được địa chỉ mạng nội bộ. Địa chỉ IP mặc định sẽ là 192.168.1.100. Nếu mọi thứ đều ổn, bạn sẽ ping được địa chỉ 192.168.1.1 và 192.168.2.1.
Nếu không ping được cả router, hãy dùng lệnh “show ip int brief” để kiểm tra lại như hình E.
Nếu bạn không ping được 1 trang web bất kỳ mà bạn biết chắc rằng trang này vẫn hoạt động bình thường, hãy thử ping địa chỉ DNS server. Nếu bạn có thể ping được toàn bộ những địa chỉ kể trên, hãy kiểm tra laptop của bạn bằng cách kết nối vào cả 2 mạng LAN không dây. Mạng GuestWLAN sẽ là SSID duy nhất hiển thị. Từ mạng khách, thử ping 192.168.1.1, nếu thất bại thì có thể chắc chắn rằng GuestACL hoạt động tốt. Muốn kết nối vào mạng InternalWLAN, bạn cần thêm thông tin SSID thủ công rồi đưa nó lên đầu danh sách. Sau đó ngắt kết nối khỏi mạng GuestWLAN rồi refresh cửa sổ dò mạng không dây. Đợi một lúc, bạn sẽ có thể kết nối vào mạng InternalWLAN. Đó là lý do tôi không thích tính năng ẩn SSID. Nó không đem lại bất cứ lợi ích gì đối với việc bảo mật.