Lab#1 Cấu hình bằng lệnh trunk access nat internet trên Mikrotik

by HaiNguyen -IT | 25/09/2024 | Lượt xem: 938

Mô hình:

 

Trên router MIKROTIK:

Tạo 2 sub interface vlan 100 và 200, đặt IP cho chúng;

/interface vlan
add interface=ether2 name=ether2-vlan100 vlan-id=100


add interface=ether2 name=ether2-vlan200 vlan-id=200

/ip address
add address=192.168.100.1/24 interface=ether2-vlan100


add address=192.168.200.1/24 interface=ether2-vlan200
 

Trên switch MIKROTIK:

Tạo 1 switch tên là bridge1 => gán các port vào switch => tạo vlan và cho các port vào vlan

/interface bridge
add name=bridge1 vlan-filtering=yes


/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3

/interface bridge vlan
add bridge=bridge1 tagged=ether1 vlan-ids=100           ##Cho cổng ether1 vào mode trunk, allow vlan 100
add bridge=bridge1 tagged=ether1,ether3 vlan-ids=200  ##Cho cổng ether1 và ether3 vào mode trunk, allow vlan 200


/interface bridge vlan print


/interface bridge vlan set 1 tagged=ether1 vlan-ids=100 untagged=ether2  ##Cho cổng ether2 vào mode untag(access), của vlan 100

/interface bridge port set [find interface=ether2] pvid=100  ##khai PVID cho cổng ether2 là 100 (Ko có là ko chạy dc, trên cisco sw ko có bước này)

 

Trên Cisco switch: đã quá quen thuộc

 

Trên router MIKROTIK: cấu hình NAT overload

/ip address add address=192.168.199.100/24 interface=ether1
 

/ip route add dst-address=0.0.0.0/0 gateway=192.168.199.2


/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

 

Một số lệnh:

/ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes  ##Đặt DNS

/interface monitor-traffic interface=ether1  ## Giám sát lưu lượng trực tiếp của ether1

/interface ethernet print detail  ##Xem thông số cổng

 

/ip firewall layer7-protocol add name=block_24h regexp="^.*(24h.com.vn).*\$" ##Chặn theo domain

/ip firewall filter add chain=forward protocol=tcp dst-port=443 layer7-protocol=block_sni_24h action=drop log=yes log-prefix="Blocked SNI 24h.com.vn" ##Apply policy 

/log print where message~"Blocked SNI 24h.com.vn"  ##Xem log

Verify lại:

 

MIK:

/ip firewall connection print

Hoặc vào winbox

Vào mục IP => Firewall => Connection (giống thứ tự của lệnh trên)

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất