Hợp lý hóa băng thông và tăng độ bảo mật bằng cách phân chia hệ thống mạng thành nhiều phân đoạn

Mỗi một hệ thống mạng thường có nhiều tài nguyên và có sự phân cấp trong việc truy cập các tài nguyên đó, Việc phân chia hệ thống thành nhiều subnet sẽ đem lại nhiều lợi ích

Tránh hiện tượng nghẽn đường truyền do có quá nhiều host dẫn đến broadcast

Giảm nguy cơ lây lan Virus và bị tấn công.

Dễ dàng tạo rule trong firewall để chặn và cho phép truy cập tài nguyên.

Tiết kiệm chi phí tối đa, bạn không cần phải đầu tư server với nhiều card mạng để routing, không cần các router đắt tiền như của cisco v.v... Bạn gần như chỉ cần 1 thiết bị Vigor2920 series là đủ.

Lên kế hoạch:

Hệ thống sẽ gồm 4 subnets khác nhau :

Lan1: dành cho hệ thống camera quan sát, Server, Camera wireless.

Lan2: dành cho nhân viên trao đổi dữ liệu và truy cập internet, bao gồm cả máy PC và laptop sử dụng mạng wireless

Lan3: dành cho ban quản lý, trưởng phòng, giám đốc sử dụng, nhân viên và khách không thể truy cập vào network này.

Lan4: dành cho khách viếng thăm, chủ yếu phát wifi cho khách viếng thăm. Các client khi kết nối vào mạng này sẽ không truy cập được lẫn nhau và không truy cập được vào mạng của công ty. Nhưng vẫn có thể truy cập internet.

Thiết bị cần có: Vigor2920 Series và 4 switch thường, không cần hỗ trợ VLAN 802.1Q

*** Lưu ý : các sản phẩm Vigor2920F, Vigor2920Fv, Vigor2920 không có tính năng wifi tích hợp nên bạn có thể bỏ qua phần cấu hình wireless trong bài viết này.

Ta có sơ đồ mạng sau :

Địa chỉ IP và phân quyền

Các bước triển khai

1.1 Cấu hình cáp quang để kết nối internet :

Vào mục wan => internet access => Access mode của wan1 chọn PPPoE. Chọn Enable và khai báo user name và mật khẩu của đường truyền cáp quang

K 2. Kích hoạt chế độ VLAN trên LAN của Vigor2920:

Vào LAN => VLAN chọn Enable và đánh các dấu chọn như hình dưới.

Sau đó OK cho router reboot lại.

3. Kích hoạt và khai báo địa chỉ IP cho 4 subnets
Vào LAN => general setup đánh dấu chọn như hình dưới để kích hoạt cả 4 subnet.

Lần lượt làm tương tự với LAN 2, LAN 3 và LAN 4.

4. Phân quyền truy cập giữa các VLAN.
Như yêu cầu đã đặt ra ban đầu, ta cần cấu hình để VLAN 3 ( VLAN của ban quản lý) được phép truy cập vào VLAN1. Ngoài ra VLAN 2 (nhân viên) có thể trao đổi dữ liệu với VLAN3(quản lý). Ta đánh dấu chọn như hình sau:

Dễ thấy, muốn cho LAN 1 thấy LAN 3 ta chỉ việc tick vào điểm giao nhau giữa 2 LAN. Các LAN khác không được chọn sẽ không trao đổi dữ liệu với nhau được nhưng vẫn có thể truy cập internet bình thường. Như hình trên thì LAN 1 sẽ không thấy LAN 2, LAN 1 sẽ không thấy LAN 4, LAN 2 cũng không thấy LAN 4.

Đến đây coi như xong phần cấu hình dành cho mạng có dây. Ta chỉ việc cắm dây từ switch vào port LAN tương ứng và hệ thống đã có thể chạy được.

5. Phần cấu hình wireless (dành cho những sản phẩm có tích hợp tính năng wireless)
a. Vào Wireless LAN => general setup. Khai báo 4 SSID như hình sau:

Riêng SSID 4 : Khach chọn thêm mục Isolate Member và Isolate LAN để cấm truy cập lẫn nhau và cấm truy cập vào các máy tính đang VPN về mạng của công ty. Mục đích nhằm làm tăng thêm tính bảo mật cho khách viếng thăm và cho công ty.

b. Khai báo mật khẩu cho từng SSID
Vào Wireless LAN => Security => Chọn SSID 1 => Chọn kiểu mã hóa và đặt mật khẩu cho SSID này theo ý muốn như hình sau:

Làm tương tự với SSID 2 và SSID 3. Mỗi SSID bạn nên đặt mật khẩu khác nhau để tăng thêm tính bảo mật. Riêng SSID 4 dành cho Khách không cần đặt mật khẩu. Ta để mặc định Mode Disable.

Sau khi hoàn tất việc đặt mật khẩu cho mạng Wireless => click OK để lưu cấu hình.
Kết quả thu được khi dùng 1 máy laptop dò mạng Wireless. Kết nối với SSID nào thì sẽ nhận được địa chỉ IP LAN tương ứng với LAN đó.