​(Áp dụng cho các model DrayTek Vigor2912 / 2133n / 2925 / 2926 / 2952 / 3220 / 3910 sử dụng HĐH DrayOS)

Tình huống:

- Nhằm nâng cao tính bảo mật và thuận tiện trong làm việc trong môi trường internet. Đơn vị triển khai kết hợp kênh TSLCD (L3VPN) và internet

- Các máy tính trong mạng LAN chỉ sử dụng 1 card mạng duy nhất nhưng vừa có thể sử dụng Internet vừa có thể lấy dữ liệu lẫn nhau giữa các nơi; Có thể linh động phân quyền truy xuất dử liệu dựa trên IP / MAC

Tóm tắt hướng dẫn

1 - Cấu hình mạng Internet cho WAN1

2- Cấu hình mạng Lan kết nối kênh thuê riêng

3- Cấu hình Policy Route để định tuyến

Bước 1: Cấu hình mạng internet (PPPoE)

    + Vào WAN >> Internet Access

    + Access Mode của WAN 1: chọn PPPoE

    + Nhấn Details Page

    + PPPoE Client mode: chọn Enable

    + Nhập user và password của đường truyền

    + Nhấn OK

Bước 2: Cấu hình LAN

2.1 Cấu hình chia VLAN

- Vào LAN >> VLAN Configuration

+ VLAN 0: Chọn P1,2,3

+ VLAN 0: Subnet chọn LAN1

+ VLAN 1: Chọn P4

+ VLAN 0: Subnet chọn LAN2 (Port 4 kết nối đường lease line)

+ Nhấn OK

- Sẽ thấy thông báo Reboot System:  NHẤN OK khởi động lại thiết bị

2.2 Cấu hình lớp LAN1

- Đăng nhập lại thiết bị>> vào LAN>> General Setup, LAN1 chọn Details Page

- Network Configuration: chọn Enable

- Điền IP Address & Subnet Mask (192.168.100.1/24)

- Cấu hình DHCP Server cấp IP động cho LAN internet (Từ 10 ~ 100 == > IP Pool Counts là 90)

- Nhấn OK >> Nhấn OK lần nữa để Reboot

2.3 Cấu hình lớp LAN2

- Đăng nhập lại thiết bị>> vào LAN>> General Setup, LAN1 chọn Details Page

- Network Configuration: chọn Enable

- Điền IP Address & Subnet Mask điền IP/ lớp mạng đấu nối kênh thuê riêng (172.17.17.100/24)

- DHCP Server Configuration: chọn Disable

- Nhấn OK >> Nhấn OK lần nữa để Reboot

Bước 3: Cấu định tuyến

Chúng ta sẽ tạo 2 profile:

+ Profile 1: Định tuyến cho kênh thuê riêng

+ Profile 2: Định tuyến internet

 Profile 1:

-  Vào Routing >> Load-Balance/Route Policy: chọn Advance Mode

-  Nhấn OK

- Vào Routing >> Load-Balance/Route Policy, chọn Index , Rule này sẽ định tuyến cho các máy tính truy cập Server nội bộ (10.10.10.0/24)

- Check Enable

- Comment : Đặt tên rule

- Destination: Chọn IP subnet, và điền Network/ subnet Mask: của server: 10.10.10.0/24

- Interace: chọn WAN/ LAN và chọn LAN2 đã cấu hình cho đường Lease Line trước đó

- Gatway: Specify IP, điền IP gateway đấu nối của đường lease line

- Packet Forwarding to WAN/ LAN Via: chọn Force NAT

- Nhấn OK

LƯU Ý:

- Máy tính bên trong chỉ có thể truy cập được server, không ping được IP gateway đấu nối đầu xa.

- Load-Balance/Route Policy xét ưu tiên từ trên xuống, khi 1 rule (Index) thỏa mãn thì thực thi (chạy) ngay mà không xét tiếp các rule (index) bên dưới nữa

- Thứ tự ưu tiên định tuyến trên Vigor trong trường hợp này như sao: Firewall Rules > Inter-LAN Routing > Load-Balance/Route Policy > Static Route