BỘ GIAO THÔNG VẬN TẢI

HỌC VIỆN HÀNG KHÔNG VIỆT NAM

KHOA ĐIỆN - ĐIỆN TỬ

THỰC TẬP TỐT NGHIỆP

“Sử dụng tường lửa 7 lớp chặn Youtube ,
Facebook trên Router Mikrotik”

GIÁO VIÊN HƯỚNG DẪN: ThS.Phan Tròn

SINH VIÊN: Võ Minh Thư
MÃ SỐ SV : 1853020023
LỚP: 18DHDT01

TP. Hồ Chí Minh, tháng 04 năm 2022

 BỘ GIAO THÔNG VẬN TẢI
HỌC VIỆN HÀNG KHÔNG VIỆT NAM
KHOA ĐIỆN - ĐIỆN TỬ

“Sử dụng tường lửa 7 lớp chặn Youtube ,

Facebook trên Router Mikrotik”

GIÁO VIÊN HƯỚNG DẪN: ThS.Phan Tròn

SINH VIÊN: Võ Minh Thư
MÃ SỐ SV : 1853020023
LỚP: 18DHDT01

TP. Hồ Chí Minh, tháng 04 năm 2022

HỌC VIỆN HÀNG KHÔNG VIỆT NAM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA ĐIỆN - ĐIỆN TỬ Độc lập - Tự do - Hạnh phúc

TP.Hồ Chí Minh, ngày tháng năm

NHIỆM VỤ THỰC TẬP TỐT NGHIỆP

HỌ VÀ TÊN:…VÕ MINH THƯ… MSSV:…1853020023………………

LỚP:…………18DHDT01………… NGÀNH:…Điện Tử - Viễn Thông…

1. Tên đề tài thực tập tốt nghiệp:

“Sử dụng tường lửa 7 lớp chặn Youtube , Facebook trên Router Mikrotik”
2. Nhiệm vụ thực tập tốt nghiệp:
Nghiên cứu về cấu hình Router Mikrotik , Wifi và Camera cũng như cách
lắp đặt trong thực tế
3. Ngày giao đề tài thực tập tốt nghiệp: 08/03/2022
4. Ngày nộp báo cáo thực tập tốt nghiệp: 29/04/2022
5. Họ tên giáo viên hướng dẫn (ghi rõ: Học hàm, học vị):
ThS.PHAN TRÒN

TRƯỞNG KHOA GIÁO VIÊN HƯỚNG DẪN

(Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên)
 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN
(ĐƠN VỊ NƠI SINH VIÊN THỰC TẬP)

TÊN DOANH NGHIỆP: CTY CP ĐẦU TƯ DỊCH VỤ VIỄN THÔNG LONG VIỆT
ĐỀ TÀI : SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE, FACBOOK TRÊN
MIKROTIK ROUTER
GIÁM ĐỐC DOANH NGHIỆP : TRẦN MỸ THẨM
SVTT: VÕ MIHH THƯ
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
TpHCM, ngày ….. tháng …… năm…..
Cán bộ hướng dẫn
(Ký tên và ghi rõ họ tên)
 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
TpHCM, ngày ….. tháng …… năm ……
Giáo viên hướng dẫn
(Ký tên và ghi rõ họ tên)
 NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN

.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
.......................................................................................................................
TpHCM, ngày ….. tháng …… năm ……
Giáo viên phản biện
(Ký tên và ghi rõ họ tên)
 LỜI CAM ĐOAN

Tôi xin cam đoan đề tài thực tập tốt nghiệp này là công trình nghiên cứu
của bản thân, được đúc kết từ quá trình học tập và nghiên cứu thực tiễn trong
thời gian qua. Các thông tin và số liệu được sử dụng trong đề tài thực tập tốt
nghiệp này là hoàn toàn trung thực.

Thành phố Hồ Chí Minh năm 2022

Người cam đoan

Võ Minh Thư
 LỜI CẢM ƠN

Lời đầu tiên, tôi xin bày tỏ lòng biết ơn đến toàn thể quý thầy, cô Khoa
Điện-Điện Tử, trường Học Viện Hàng Không Việt Nam đã tạo nhiều điều kiện
thuận lợi đề tôi hoàn thành tốt kì thực tập, đặc biệt là tạo cơ hội đề tôi tiếp cận
với môi trường thực tế thông qua đợt thực tập đây ý nghĩa thiết thực này.
Tôi xin chân thành cảm ơn Ban Giám đốc, cán bộ - nhân viên Công ty CP
Đầu Tư Dịch Vụ Viễn Thông Long Việt, đặt biệt là thầy Trần Mỹ Thẩm đã tạo
nhiều điều kiện thuận lợi trong suốt thời gian tôi thực tập. Tôi đã tiếp thu được
những kiến thức bổ ích từ thực tế và góp phần to lớn trong việc từng bước hoàn
thiện kỹ năng, kiến thức chuyên môn và đạo đức nghề nghiệp khi bước vào
nghề.
Đặc biệt, tôi xin trân trọng cảm ơn giáo viên hướng dẫn – Thầy Phan Tròn
đã hết lòng giúp đỡ, hướng đẫn để tôi hoàn thành báo cáo thực tập đúng thời
gian quy định.
Trong quá trình thực hiện báo cáo, tôi còn nhận được rất nhiều sự giúp đỡ,
hỗ trợ và động viên của quý thầy cô, bạn bè và gia đình. Tôi xin bày tỏ lòng
biết ơn sâu sắc.
Trân trọng cảm ơn.
TP HCM, ngày tháng năm 2022
Sinh viên thực hiện

Võ Minh Thư
 MỤC LỤC
PHẦN I : TỔNG QUAN ĐỀ TÀI .................................................................................. 1
CHƯƠNG 1 : GIỚI THIỆU ................................................................................ 1
Lý do chọn đề tài ............................................................................................. 1
Mục tiêu nghiên cứu ........................................................................................ 1
Đối tượng và phạm vi nghiên cứu .................................................................... 2
Phương pháp nghiên cứu ................................................................................. 2
Kết cấu của đề tài............................................................................................. 2
Giới thiệu về đơn vị thực tập............................................................................ 3
Thành tựu ........................................................................................................ 4
Cơ cấu nhân sự ................................................................................................ 4
PHẦN II : NỘI DUNG .................................................................................................. 1
CHƯƠNG 2 : SƠ LƯỢC VỀ MIKROTIK ............................................................ 1
Giới thiệu Mikrotik Routes .............................................................................. 1
Khái niệm Mikrotik Routes .................................................................. 1
Mikrotik RouterOS là gì? ..................................................................... 1
Tính năng Mikrotik RouterOS là gì? ..................................................... 2
Ưu điểm chọn Mikrotik RouterOS là gì? .............................................. 3
Cấu hình Router Mikrotik ................................................................................ 3
Cấu hình cơ bản theo CODE................................................................. 4
Cấu hình Router Mikrotik theo các phương pháp .................................. 7
CHƯƠNG 3 : SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE, FACEBOOK
TRÊN ROUTER MIKROTIK ........................................................................... 26
MikroTik Firewall là gì ?............................................................................... 26
Quy tắc tường lửa MikroTik là gì? .................................................... 26
Thuộc tính chuỗi ................................................................................ 27
Tại sao giao thức Layer7 .................................................................... 28
Chức năng của Layer 7 Firewall ........................................................ 28
Sơ lược về các phương pháp chặn Web của Router Mikrotik ......................... 29
Web proxy .......................................................................................... 29
Route policy ....................................................................................... 30
Content Filter ..................................................................................... 31
 Layer 7 Firewall ................................................................................. 33
Chặn Facebook, YouTube với Quy tắc lọc MikroTik .................................... 34
Bước 1: Chặn trang web `Facebook` cho tất cả những ai kết nối với
mạng cục bộ .................................................................................................. 34
Bước 2: Tạo giao thức Layer7 để chọn trang web mong muốn ........... 35
Bước 3: Tạo Quy tắc Bộ lọc để Chặn Trang web đã Chọn với Giao
thức Layer7 ................................................................................................... 37
Tóm tắt cách chặn Facebook và Youtube sử dụng “7 layer Firewall” ............. 40
PHẦN III. KẾT LUẬN VÀ KIẾN NGHỊ .................................................................... 43
CHƯƠNG 4 : KẾT LUẬN VÀ KIẾN NGHỊ ...................................................... 43
Kết luận ......................................................................................................... 43
Kết quả nghiên cứu so với mục tiêu đề ra ........................................ 43
Ưu điểm của phương pháp chặn Web sử dụng Layer 7 Firewall ...... 43
Nhược điểm của phương pháp chặn Web sử dụng Layer 7 Firewall 43
Kiến nghị ....................................................................................................... 43
Hướng ứng dụng của đề tài .............................................................. 43
Hướng phát triển của đề tài (khắc phục nhược điểm) ....................... 44
 MỤC LỤC HÌNH ẢNH
Hình 1: Logo công ty........................................................................................... 3
Hình 3: Mikrotik Routers .................................................................................... 1
Hình 4 : Cấu hình Router Mikrotik ...................................................................... 3
Hình 5 : Cân bằng tải 2 WAN.............................................................................. 5
Hình 6 : Login ..................................................................................................... 8
Hình 7 : Cửa sổ hiển thị sau khi winbox tải plugin .............................................. 9
Hình 8 : Danh sách các cổng kết nối .................................................................... 9
Hình 9 : Cấu hình LAN – DHCP server ............................................................. 10
Hình 10 : Cấu hình LAN ................................................................................... 10
Hình 11 : Cài đặt DNS ...................................................................................... 12
Hình 12 : Giao diện Webfig............................................................................... 13
Hình 13 : Thanh menu WebFig ......................................................................... 14
Hình 14 : Cấu hình Interface ............................................................................. 15
Hình 15 : Tải tệp không cần sử dụng FTP.......................................................... 16
Hình 16 : Tải tệp xuống bằng bộ định tuyến ...................................................... 16
Hình 17 : Bổ sung các trường ............................................................................ 17
Hình 18 : Sắp xếp trường thành 2 cột ................................................................ 18
Hình 19 : CLI .................................................................................................... 18
Hình 20 : Truy cập Mikrotik Router .................................................................. 21
Hình 21: Interface Bridge .................................................................................. 21
Hình 22 : Thêm Bridge LAN ............................................................................. 22
Hình 23 : Tạo DHCP ......................................................................................... 22
Hình 24 : Khai báo DNS Serve đến hệ thống mạng ........................................... 23
Hình 25 : DHCP Setup ...................................................................................... 23
Hình 26 : Hiển thị thành công cung cấp DHCP.................................................. 24
Hình 27 : Lựa chọn PPPoE Client ..................................................................... 24
Hình 28 : Sơ đồ luồng gói Mikrotik ................................................................... 28
Hình 29 : Web Proxy ......................................................................................... 29
Hình 30 : Block Website ................................................................................... 30
Hình 31: Kết quả chặn thành công ..................................................................... 30
Hình 32 : Block website bằng cách block IP ...................................................... 31
Hình 33 :Tạo một chuỗi ..................................................................................... 31
Hình 34 : Dùng Firewall để block tất cả trang Web vnexpress ........................... 32
Hình 35 : Firewall Rule ..................................................................................... 33
Hình 36 :Tạo một chuỗi ..................................................................................... 33
Hình 37 : Kiểm tra website được yêu cầu chặn .................................................. 34
Hình 38 : Kiểm trra IP ....................................................................................... 35
Hình 39 : Tab giao thức lớp 7 ............................................................................ 35
Hình 40 : Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện. ............................. 36
Hình 41: Nhập văn bản Regex ........................................................................... 36
Hình 42 : Giao thức lớp 7 Regex để chặn các trang Web ................................... 37
Hình 43 : chọn chuyển tiếp từ menu thả xuống Chuỗi. ...................................... 37
Hình 44 : Đặt khối IP vào Src ............................................................................ 38
Hình 45 : Thao tác trên tab Action ..................................................................... 38
Hình 46 : Tương tự cho trang web khác ............................................................. 39
Hình 47 : Kiểm tra lại ........................................................................................ 39
Hình 48 : Truy cập kiểm tra ............................................................................... 39
Hình 49 : Kiểm tra các web khoog block ........................................................... 40
Hình 50 : Thao tác vào Firewall ........................................................................ 41
Hình 51 : Cửa sổ Firewall xuất hiện .................................................................. 41
Hình 52 : Nhập Name và Regexp cần chặn ........................................................ 41
Hình 53 : Thao tác tiếp theo .............................................................................. 42
Hình 54 :Thao tác trên tab Advanced ................................................................ 42
Hình 55 : Thao tác trên tab Action ..................................................................... 42
 LỜI NÓI ĐẦU

Cuộc cách mạng trong ngành viễn thông không dây bắt đầu vào thập niên
1900 với những phát triển tiên phong trong lĩnh vực vô tuyến và thông tin liên
lạc không dây nhờ Nikola Tesla và Guglielmo Marconi. Với tốc độ hiện đại
hóa hệ thống viễn thông của thế giới ngày càng nhanh như giai đoạn hiện nay,
đòi hỏi ngành Viễn Thông ở Việt Nam đã đáp ứng phần lớn nhu cầu cao của
xã hội, thiết thực phục vụ nhu cầu đời sống vật chất là tinh thần của con người.
Cùng với sự phát triển của công nghệ thông tin Viễn Thông tin học trên
thế giới , Mạng Viễn Thông Việt Nam nói chung và Viễn Thông Long Việt
nói riêng đã được số hóa nhiều trang thiết bị hiện đại . Vì vậy đòi hỏi công
nhân kỹ thuật hiện đang phục vụ trên mạng lưới Viễn Thông phải không ngừng
nâng cao trình độ tay nghề , cập nhật kiến thức
Với những nhân định và đánh giá trên, trong chừng mực của bài báo cáo
thực tập tốt nghiệp tôi đã chọn đề “Sử dụng tường lửa 7 lớp chặn Youtube ,
Facebook trên Router Mikrotik” làm nội dung báo cáo và xem đây là bước
khởi đầu cho những nghiên cứu chuyên sâu trong giai đoạn kế tiếp của tôi về
đề tài này.
Với thời gian thực tập ngắn, cơ hội tiếp cận thực tế và hoàn thiện bài viết
tuy có cố găng, nhưng sẽ còn có nhiều thiếu sót nhất định. Trên cơ sở của
những vấn đề đã được giải quyết, tôi sẽ tiếp tục quá trình tìm hiểu, nghiên cứu
và hoàn thiện kỹ năng nghề nghiệp, góp phần vào sự phát triển chung của
ngành Bưu chính - Viễn thông trong thời gian sắp tới.
 PHẦN I : TỔNG QUAN ĐỀ TÀI
CHƯƠNG 1 : GIỚI THIỆU
Lý do chọn đề tài
Với sự phát triển mạnh mẽ của công nghệ thông tin toàn cầu thì các
phương thức truyền tải thông tin cũng phải thay đổi theo. Đầu những năm 90,
khi mạng Internet thâm nhập vào Việt Nam, mạng cáp điện thoại, cáp đồng,
ADSL và sau đó là mạng cáp quang đã chiếm lĩnh phần lớn thị trường hạ tầng
truyền tải của những nhà cung cấp dịch vụ Internet (ISP). Tuy nhiên nhìn vào
thực trạng hạ tầng mạng hiện nay ngành công nghiệp không dây ngày càng
trở nên phổ biến và phát triển với một tốc độ nhanh chóng. Tương lai của kết
nối không dây còn có thể mở ra một viễn cảnh cao xa hơn thế. Bên cạnh đó,
Router WiFi là những thiết bị có, máy tính bảng, laptop dễ dàng hơn. Với sự
phần cứng thể biến mạng có dây, thành mạng không dây một cách nhanh
chóng. Từ đó giúp bạn kết nối mạng trên điện thoại tối ưu, linh hoạt và mạnh
mẽ, sử dụng hệ điều hành RouterOS thông minh thân thiện cho người dùng,
cùng với tích hợp các công nghệ và giải pháp định tuyến hiện đại, giúp thiết
bị có khả năng chịu tải cao đảm bảo quá trình hoạt động của Internet an toàn,
nhanh hơn, mạnh hơn. Có thể kể đến MikroTik Router được cung cấp ra thị
trường các sản phẩm đáp ứng được nhiều phân khúc sử dụng cho cá nhân,
công ty, các doanh nghiệp vừa và lớn, các nhà cung cấp dịnh vụ CNTT với
giá cả cực kỳ phải chăng. Đặt biệt ở Việt Nam Mikrotik Routers đang dần trở
nên phổ biến.
Với sự hiểu biết về Mikrotik Routers trong quá trình thực tập cùng với quá
trình đúc kết kiến thức cho bản thân. Tôi chọn đề tài “Sử dụng tường lửa 7
lớp chặn Youtube , Facebook trên Router Mikrotik” làm báo cáo thực tập là
tiền đề để nghiên cứu chuyên sâu cho sau này.
Mục tiêu nghiên cứu
 Giữa thực tế và lý thuyết luôn tồn tại những điều rất khác nhau, nhờ thực
tập giúp tôi nhận ra những sự khác biệt, cách áp dụng lý thuyết trường học
1
 vào thực tiễn như thế nào. Hơn nữa, tôi càng nhận thấy vai trò quan trọng
của giai đoạn thực tập. Giai đoạn này cần vận dụng các kiến thức đã được
trang bị để điều tra, quan sát, phân tích trên cơ sở quan sát được, đối chiếu,
so sánh lý luận với thực tiễn. Để từ đó bổ sung, hoàn thiện kiến thức đã
được cung cấp trong trường học.
Đối tượng và phạm vi nghiên cứu
 Đối tượng nghiên cứu : Mikrotik Routers
 Phạm vi nghiên cứu : Khái quát Mikrotik Routers và “Sử dụng tường
lửa 7 lớp chặn Youtube, Facebook trên router Mikrotik”
Phương pháp nghiên cứu
 Từ những cơ sở lý luận thực tiễn đã quan sát được đưa ra những thu hoạch
của cá nhân qua giai đoạn thực tập tại công ty. Để có được số liệu chính
xác và đánh giá khách quan, tôi đã kết hợp các phương pháp nghiên cứu
khác nhau, từ nghiên cứu lý thuyết đến nghiên cứu thực tiễn, cụ thể như:
 Phương pháp phân tích và tổng hợp lý thuyết
 Phương pháp phân loại và hệ thống hóa kiến thức.
 Phương pháp mô hình hóa, phương pháp quan sát.
 Phương pháp tham khảo ý kiến của người có chuyên môn
 Phương pháp phân tích tổng kết kinh nghiệm.
 Bằng những phương pháp này, báo cáo của tôi được hoàn thiện với những
dữ liệu và thông tin tương đối đầy đủ, có mức độ chính xác cao và được
cập nhật liên tục để đảm bảo về tính xác thực của thông tin.
Kết cấu của đề tài
 Báo cáo đề tài tốt nghiệp gồm 3 phần và 3 chương :
 Phần I : Tổng quan đề tài
 Chương 1 : Giới thiệu
 Phần II : Nội dung
 Chương 2 : Sơ lược về Mikrotik Routers

2
  Chương 3 : Sử dụng tường lửa 7 lớp chặn Youtube , Facebook trên
Router Mikrotik
 Phần III : Kết luận và kiến nghị
Giới thiệu về đơn vị thực tập
 Long Việt Telecom một trong những công ty viễn thông có đội ngũ nhân
viên năng động, tâm huyết và đầy tinh thần sáng tạo, được đào tạo sâu về
chuyên môn. Với những kinh nghiệm được tích lũy từ thực tế trong quá
trình tư vấn, triển khai lắp đặt nhiều dự án cho các doanh nghiệp, cơ quan
đơn vị trong nhiều lĩnh vực. Công ty Long Việt Telecom tự hào là nhà
cung cấp dịch vụ, giải pháp và sản phẩm công nghệ trong các lĩnh vực
(tổng đài điện thoại, hệ thống mạng - wifi, camera giám sát…)

Hình 1: Logo công ty

 Long Việt Telecom được thành lập với sứ mệnh mang khoa học kỹ thuật
công nghệ phục vụ đời sống và công việc. Lấy sự an tâm và hài lòng của
khách hàng là kim chỉ nam hoạt động. Công ty CP Đầu tư Dịch vụ Viễn
thông Long Việt cam kết mang đến cho khách hàng những sản phẩm, dịch
vụ và giải pháp công nghệ với chất lượng tốt nhất và tối ưu nhất.
 Nhà cung cấp dịch vụ, giải pháp và sản phẩm công nghệ cho các dự án
trên khắp cả nước đặc biệt là khu vực phía Nam với các công trình như lắp
đặt camera cho quán cafe, nhà xưởng xí nghiệp,... lắp đặt hệ thống chuông
cửa cho công ty bất động sản, lắp tổng đài điện thoại và nhiều công trình
khác,...

3
 Hiện nay, Long Việt Telecom đang liên kết với nhiều đại lý phân phối lớn
trên toàn quốc như phân phối độc quyền camera Viettel SPM tại khu vực
phía Nam, đại lý của camera Hikvision, camera Dahua,...
 Long Việt Telecom không những chuyên môn về kỹ thuật mà còn được
đào tạo về đạo đức nghề nghiệp, chuyên tâm khi làm nghề, các dịch vụ
phụ như bảo trì bảo dưỡng và sữa chữa camera được công ty hỗ trợ nhiệt
tình.
Thành tựu
 Một Số Công Trình Dự Án Tiêu Biểu Long Việt Telecom lắp đặt và thi
công
 Công ty cổ phần JUMP ARENA
 Công ty TNHH Thương mại – Dịch vụ Kid City
 Công ty cổ phần đầu tư kinh doanh BDS Evoreal
 Công ty cổ phần Truyền Thông và Công Nghệ MV
 Công ty TNHH Thương Mại và Dịch Vụ SUNWON
 Công ty CP Thực phẩm Thiên Hương
 Công ty TNHH SX & TM TÂN QUANG MINH – BIDRICO
 Công ty TNHH Sản Xuất Hàng Tiêu Dùng Binh Tiên (BITI’s)
 Công ty TNHH Xây Dựng Đại Thắng
 Tổng Công Ty Xây Dựng Số 1
 Công ty CP Sài Gòn Viễn Đông
Cơ cấu nhân sự

4
 PHẦN II : NỘI DUNG
CHƯƠNG 2 : SƠ LƯỢC VỀ MIKROTIK ROUTERS
Giới thiệu Mikrotik Routes
Khái niệm Mikrotik Routes
 Mikrotik là tên của một nhà sản xuất thiết bị mạng máy tính ở Latvian.
Công ty thành lập năm 1995. Sản phẩm chính của công ty là một hệ điều
hành dựa trên Linux có tên là Mikrotik RouterOS, được cài đặt trên phần
cứng độc quyền của công ty (routerboard) hoặc trên các máy PC bình
thường, biến PC đó thành router (nhưng cần mua liscene nếu muốn sử dụng
full chức năng) và thực hiện các tính năng của router như firewall,
bandwidth, VPN và đầy đủ các tính năng khác của router.

Hình 2: Mikrotik Routers

Mikrotik RouterOS là gì?

 Mikrotik RouterOS là hệ điều hành Router. Nó được xây dựng dựa trên
phần cứng RouterBoard của Mikrotik. RouterOS có thể được cài trên máy
tính dễ dàng hoạt động như một Router.
 Mikrotik RouterOS được tích hợp với nhiều tính năng như: firewall, định
tuyến, quản lý băng thông, thiết lập VPN, truy cập mạng không dây và đầy
đủ các tính năng khác của Router mạng.
 Hệ điều hành RouterOS chuẩn dựa trên nền Linux v2.6. Với khả năng cài
đặt đơn giản, nhanh chóng và giao diện dễ dàng sử dụng, cung cấp những
tính năng của Router chất lượng.

1
 Tính năng Mikrotik RouterOS là gì?
 Hệ điều hành RouterOS hỗ trợ nhiều giao thức cấu hình giúp cho việc cấu
hình trở nên linh động và dễ dàng hơn. Như là:
 Giao diện Web.
 Winbox GUI.
 CLI với Telnet, SSH.
 Tính năng Firewall
 Tường lửa tích hợp với các tính năng như: UPnP, NAT, QoS,..
 Cùng với lọc qua địa chỉ IP, giao thức IP, lớp mạng, các cổng, các
thông tin phù hợp lớp 7.
 Hỗ trợ Tunnel
 Tunnel với nhiều chức năng như: PPTP, PPPoE, Ipsec, L2TP, MPLS,
EoIP, VLAN IEEE802.1q,…
 Hỗ trợ định tuyến
 IPv4 là RIP v1/v2, BGP v4, OSPF v2.
 IPv6 như OSPFv3, Ripng và BGP.

 Chức năng HotSpot Gateway

 Chức năng HotSpot Gateway giúp quản lý việc truy cập mạng. Từ đó
tùy chọn hình thức quảng cáo, truy cập.
 Các tính năng khác
 Web Proxy: Transparent, HTTP, SOCKs,…
 QoS: Kiểm soát băng thông, cấu hình lưu lượng, thiết lập cơ chế
kiểm soát tốc độ.
 Công cụ hỗ trợ: Ping, RADIUS client and server, SSH, Traceroute,
Telnet,…
 MPLS: RSVP Traffic Engineering tunnels, Static Label binding cho
IPv, MP-BGP dựa trên MPLS IP VPN, tự động phát hiện và báo hiệu
dựa trên VPLS MP-BGP.

2
 Ưu điểm chọn Mikrotik RouterOS là gì?
– Hệ điều hành RouterOS bạn có thể: Firewall mạnh, chia Vlan, phân quyền
user, Wifi Marketing, nhiều cổng LAN/WAN.
– Gộp băng thông lại với nhau nếu có nhiều đường Internet sử dụng Load
Balancing.
– Price/Performance cực kì tốt đối với khả năng chịu tải cực kì khá, nhu cầu
đơn giản.
– VPN Throughput Mikrotik cao tạo tiền đề setup VPN.
– VPN mang lại hệ thống Home Network bảo mật tốt và tốc độ ổn hơn.
– Wifi Marketing Mikrotik RouterOS mạnh nhờ các công cụ có sẵn trên
Internet như Mikhmon.
– Phù hợp với các doanh nghiệp nhỏ (SMB).
Cấu hình Router Mikrotik

Hình 3 : Cấu hình Router Mikrotik

3
 Cấu hình cơ bản theo CODE
– Cấu hình PPPoE-Client với 2 đường truyền Internet với thông tin
Username/Password đường truyền như mô hình trên.
– Thiết lập DNS của Google: 8.8.8.8, 8.8.4.4.
– Tạo Bridge cho LAN, thêm cổng vào Bridge, đặt địa chỉ IP cho Bridge.
– Tạo Pool( dãy địa chỉ IP)
– Cấu hình DHCP-Server phân phát địa chỉ IP cho người dùng từ Pool đã
được định nghĩa ở trên.
– Cấu hình NAT với 2 đường truyền Internet.
– Cấu hình Default-route và Failover với Distance.
/interface pppoe-client
1 add interface=ether1 name=pppoe-ether1 password=pppoe-01

3 user=pppoe-01 comment=ViettelTelecom
add interface=ether2 name=pppoe-ether2 password=pppoe-02
4
user=pppoe-02 comment=FPTTelecom
5 /ip dns set servers=8.8.8.8,8.8.4.4
6 /interface bridge add name=bridge-LAN01
7 /interface bridge port
add bridge=bridge-LAN01 interface=ether9
8
add bridge=bridge-LAN01 interface=ether10
9
/ip address
10 add address=192.168.88.1/24 interface=bridge-LAN01
11 network=192.168.88.0
12 /ip pool add name=LAN01 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
13
add address-pool=LAN01 interface=bridge-LAN01 name=dhcp-LAN01
14 disabled=no
15 /ip dhcp-server network
16 add address=192.168.88.0/24 gateway=192.168.88.1
17 /ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-ether1
18
add action=masquerade chain=srcnat out-interface=pppoe-ether2
19 /ip route
20 add dst-address=0.0.0.0/0 gateway=pppoe-ether1 distance=1
21 add dst-address=0.0.0.0/0 gateway=pppoe-ether2 distance=2
2. Cân bằng tải 2 WAN với phương thức PCC( Per Connection Classifier).

4
 Hình 4 : Cân bằng tải 2 WAN

– Ở phần mạng nội bộ, chúng ta có tạo Bridge. Bridge thuộc Layer 2 trong
mô hình OSI. Bridge thiết kế để làm nhiệm vụ vận chuyển traffic giữa các
cổng nằm trong bridge. Chính vì thế traffic này không được xử lý ở các
Rule ở Firewall( hoạt động ở Layer 3 trong OSI Model). Để bắt buộc
traffic trên brigde được xử lý bởi các Rule ở Firewall, chúng ta cần kích
hoạt thuộc tính use-ip-firewall.
1/interface bridge settings set use-ip-firewall=yes
– Các kết nối đường truyền Internet từ Router đến ISP được đóng gói bởi
giao thức PPPoE. Chính vì thế chúng ta cũng cần kích hoạt thuộc tính use-
ip-firewall-for-pppoe để cho phép traffic đi qua các Rule ở Firewall.
1/interface bridge settings set use-ip-firewall-for-pppoe=yes
– Bước 1: Các traffic của mạng nội bộ qua Router không cần xử lý bởi các
Rule ở Firewall.
/ip firewall mangle
1
add chain=prerouting dst-address=192.168.88.0/24 in-
2 interface=bridge-LAN01 action=accept

– Bước 2: Đánh dấu các kết nối từ Internet đi vào Router. Các kết nối đi vào
Router với chain=input và cổng tiếp nhận các kết nối này là pppoe-
ether1 và pppoe-ether2 sẽ được đánh dấu kết nối( mark-
connection) tương ứng với pppoe-ether1 là conn-ether1 và pppoe-ether2
là conn-ether2.
1
/ip firewall mangle
2

5
 3 add chain=input in-interface=pppoe-ether1 connection-mark=no-mark
action=mark-connection new-connection-mark=conn-ether1
passthrough=no
add chain=input in-interface=pppoe-ether2 connection-mark=no-mark
action=mark-connection new-connection-mark=conn-ether2
passthrough=no

– Bước 3: Các kết nối đi vào WAN nào thì cần đi ra đúng WAN đó. Các kết
nối đi ra thực hiện ở chain=output và các kết nối được đánh dấu bên trên(
conn-ether1 và conn-ether2) được khai báo( connection-mark) để tạo
bảng định tuyến mới( route-ether1 và route-ether2). Các bảng định tuyến
mới này dùng để điều hướng các kết nối đi ra đúng WAN.
/ip firewall mangle
add chain=output out-interface=pppoe-ether1 connection-
1 mark=conn-ether1 action=mark-routing new-routing-mark=route-
2 ether1 passthrough=no
3 add chain=output out-interface=pppoe-ether2 connection-
mark=conn-ether2 action=mark-routing new-routing-mark=route-
ether2 passthrough=no

– Bước 4: Cân bằng tải với phương thức PCC, đánh dấu các kết nối từ mạng
nội bộ đi đến cổng tiếp nhận là bridge-LAN01 trên Router và đi ra
Internet( dst-address-type=!local). Với sự trợ giúp của PCC, các kết nối
được phân chia thành hai nhóm khác nhau dựa trên src-address, dst-
address, src-port và dst-port( both-addresses-and-ports). Các kết nối được
đánh dấu rồi sẽ không được xử lý tiếp ở Rule tiếp theo passthrough=yes.
/ip firewall mangle
add chain=prerouting connection-mark=no-mark dst-address-
type=!local in-interface=bridge-LAN01 per-connection-
1 classifier=both-addresses-and-ports:2/0 action=mark-connection
2 new-connection-mark=conn-ether1
3 add chain=prerouting connection-mark=no-mark dst-address-
type=!local in-interface=bridge-LAN01 per-connection-
classifier=both-addresses-and-ports:2/1 action=mark-connection
new-connection-mark=conn-ether2

– Bước 5: Các kết nối từ mạng nội bộ đi ra Internet được đánh dấu với conn-
ether1 và conn-ether2 được khai báo để tạo bảng định tuyến mới route-

6
 ether1 và route-ether2. Các bảng định tuyến mới này được dùng để điều
hướng các kết nối đi ra đúng WAN.
/ip firewall mangle
add chain=prerouting connection-mark=conn-ether1 in-
1 interface=bridge-LAN01 action=mark-routing new-routing-mark=route-
2 ether1 passthrough=no

3 add chain=prerouting connection-mark=conn-ether2 in-

interface=bridge-LAN01 action=mark-routing new-routing-mark=route-
ether2 passthrough=no

– Bước 6: Định tuyến các kết nối đi ra các WAN tương ứng với route-ether1
sẽ đi ra cổng pppoe-ether1 và route-ether2 đi ra cổng pppoe-ether2.
/ip route
1 add dst-address=0.0.0.0/0 gateway=pppoe-ether1 routing-
2 mark=route-ether1

3 add dst-address=0.0.0.0/0 gateway=pppoe-ether2 routing-

mark=route-ether2

Cấu hình Router Mikrotik theo các phương pháp

 Sau khi cài đặt xong hệ điều hành RouterOS lên máy tính hoặc mở nguồn
Bộ định tuyến (router) lần đầu tiên, chúng ta có nhiều cách để kết nối với
nó: Để cấu hình Router Mikrotik chúng ta tất cả 03 cách: Winbox,
WebFig, CLI
 Kết nối bằng Giao diện Dòng lệnh (CLI) - CLI là một cách tiếp cận
dựa trên thiết bị đầu cuối có thể được thực hiện thông qua Telnet,
SSH hoặc cáp nối tiếp.
 Kết nối bằng cách sử dụng WebFig - WebFig là một GUI dựa trên
web hoạt động như một công cụ cấu hình, giám sát và khắc phục sự
cố MikroTik RouterOS.
 Kết nối bằng WinBox - WinBox là một tiện ích cấu hình được thiết
kế cho Windows, nhưng cũng có thể được sử dụng trên các máy
chạy Linux và MacOS
Winbox
 Kết nối với một thiết bị

7
1. Chạy tiện ích Winbox
2. Điều hướng đến "Neighbor"
3. Xem liệu Winbox có tìm thấy Bộ định tuyến của bạn và đó là địa chỉ
MAC hay không
4. Thông tin: Khám phá Neighbor của Winbox sẽ khám phá tất cả các bộ
định tuyến trên mạng quảng bá.
5. Nếu bạn thấy bộ định tuyến của mình trong danh sách, hãy kết nối với
bộ định tuyến đó bằng cách nhấp vào địa chỉ IP / MAC và nhấn nút Kết
nối

Hình 5 : Login

6. Winbox sẽ thử tải xuống các plugin từ bộ định tuyến, nếu nó đang kết
nối lần đầu tiên với bộ định tuyến với phiên bản hiện tại.
7. Lưu ý rằng có thể mất đến một phút để tải xuống tất cả các plugin nếu
winbox được kết nối với giao thức MAC
8. Sau khi winbox tải plugin và xác thực thành công, cửa sổ chính sẽ hiển
thị:

8
 Hình 6 : Cửa sổ hiển thị sau khi winbox tải plugin

 Nếu winbox không thể tìm thấy bất kỳ bộ định tuyến nào, hãy đảm bảo
rằng:
 Máy tính Windows của bạn được kết nối trực tiếp với bộ định tuyến
bằng cáp Ethernet hoặc chúng ở trong cùng một miền phát sóng
 Vì kết nối MAC hoạt động trên Layer2, có thể kết nối với bộ định
tuyến ngay cả khi không có cấu hình địa chỉ IP thích hợp, nhưng có
thể được yêu cầu do hầu hết trình điều khiển không bật ngăn xếp IP
nếu không có cấu hình IPv4.

Hình 7 : Danh sách các cổng kết nối

9
  Winbox là tiện ích dùng để cấu hình, có thể kết nối với router thông qua
địa chỉ MAC hoặc địa chỉ IP.
2.2.2.1.1 Cấu hình LAN-DHCP server
 Bước 1: Đổi tên Port để phân biệt cổng cho dễ sử dụng
 Bước 2: Vào Interface > nhấp chuột đôi vào port cần sửa đổi
 Bước 3: Thay đổi phần Name > Hoàn thành

Hình 8 : Cấu hình LAN – DHCP server

2.2.2.1.2 Cấu hình LAN

 Bước 1: Vào IP-Address > chọn Add

Hình 9 : Cấu hình LAN

10
  Address: IP Address GateWay và Network Mask
 Network: Lớp mạng
 Interface: Port Ethernet cấu hình LAN
 Bước 2: Tương tự với các cổng LAN còn lại
2.2.2.1.3 Cấu hình DHCP

11
  Làm tương tự với những cổng còn lại
2.2.2.1.4 Cấu hình Load Balancing nhiều WAN
 Bước 1: Vào Interface- interface > chọn Add new-PPPoE Client
 Name: đặt tên cho cổng WAN1
 Interfaces: Chọn cổng WAN tương ứng
 User + Password: tài khoản đường truyền ISP Wan 1
 Bước 2: Tương tự cấu hình với các cổng WAN còn lại
2.2.2.1.5 Cấu hình DNS
 Vào IP-DNS > cấu hình DNS như hình sau:

Hình 10 : Cài đặt DNS

2.2.2.1.6 Cấu hình NAT PORT

 Vào IP-Firewall-Nat chọn Add
 Chain: dstnat
 Protocol: chọn giao thức
 Dst. Port: 456
 In. Interface: cổng WAN mạng Internet
 Action: chọn dst-nat tương ứng trong Chain
 To Addresses: Chon IP

12
  To port: 465
WebFig
 WebFig có thể được khởi chạy từ trang chủ của bộ định tuyến, trang này
có thể truy cập được bằng cách nhập địa chỉ IP của bộ định tuyến vào trình
duyệt. Khi trang chủ được tải thành công, hãy chọn webfig từ danh sách
các biểu tượng có sẵn như được minh họa trong ảnh chụp màn hình.
 Sau khi nhấp vào biểu tượng webfig, lời nhắc đăng nhập sẽ yêu cầu bạn
nhập tên người dùng và mật khẩu. Nhập thông tin đăng nhập và bấm kết
nối.
 Bây giờ bạn sẽ có thể thấy webfig đang hoạt động.
 Kết nối IPv6
 Bật HTTPS
2.2.2.2.1 Giao diện
 Giao diện WebFig được thiết kế rất trực quan đặc biệt cho người dùng
WinBox. Nó có bố cục rất giống nhau: thanh menu ở bên trái, hoàn tác /
làm lại ở trên cùng và công việc ở phần còn lại của không gian khả dụng.

Hình 11 : Giao diện Webfig

13
 Thanh menu có thiết kế gần giống thanh menu WinBox. Mũi tên nhỏ ở bên
phải của mục menu cho biết menu này có một số menu phụ.

Hình 12 : Thanh menu WebFig

 Khi nhấp vào mục menu như vậy, các menu phụ sẽ được liệt kê và mũi tên sẽ
trỏ xuống, cho biết rằng các menu phụ được liệt kê.
 Ở trên cùng, có thể thấy ba nút phổ biến nút Undo / Redo tương tự như winbox
và một nút bổ sung Log out. Ở góc trên cùng bên phải, có thể thấy logo
WebFig và tên kiểu RouterBOARDS.
 Khu vực làm việc có thiết kế tab, nơi có thể chuyển đổi giữa một số tab cấu
hình.
 Bên dưới các tab là các nút được liệt kê cho tất cả các lệnh cụ thể của menu,
ví dụ: Thêm Mới và Cài đặt .
 Phần cuối cùng là bảng của tất cả các mục menu. Cột đầu tiên của một mục
có các nút lệnh cụ thể cho từng mục:
 - kích hoạt mục hiện tại
 - vô hiệu hóa mục hiện tại
 - loại bỏ mục hiện tại
2.2.2.2.2 Cấu hình Interface
 Khi nhấp vào một trong các mục được liệt kê, webfig sẽ mở ra trang mới hiển
thị tất cả các thông số có thể cấu hình, lệnh và trạng thái cụ thể của mục.

14
 Hình 13 : Cấu hình Interface

 Ở trên cùng, có thể thấy Name và Type.

 Ngoài ra còn có các nút lệnh cụ thể cho từng mục (Ok, Cancel, Apply, Remove
và Torch). Chúng có thể khác nhau giữa items khác nhau. Ví dụ: Torch chỉ có
sẵn cho các giao diện.
 Các nút mục chung:
 Ok - áp dụng các thay đổi cho các tham số và thoát;
 Cancel - thoát và không áp dụng các thay đổi;
 Apply - áp dụng các thay đổi và ở lại trang hiện tại;
 Remove - loại bỏ mục hiện tại.
 Thanh trạng thái tương tự như winbox hiển thị trạng thái hiện tại của các
“flags” cụ thể (ví dụ: “flag” đang chạy).
 Danh sách các thuộc tính được chia thành nhiều phần, ví dụ "General", "STP",
"Status ", "Traffic". Trong winbox, các phần này nằm trong các tab riêng biệt,
nhưng webfig liệt kê tất cả chúng trong một trang chỉ định tên phần. Trong
màn hình bạn có thể thấy phần "General”. Thuộc tính viền xám có nghĩa là
chúng ở chế độ chỉ đọc và không thể cấu hình.

15
2.2.2.2.3 Làm việc với Tệp
 Webfig cho phép tải tệp trực tiếp lên bộ định tuyến mà không cần sử dụng
dịch vụ FTP. Để tải tệp lên, mở menu Files , nhấp vào nút Choose File, chọn
tệp và đợi cho đến khi tệp được tải lên.

Hình 14 : Tải tệp không cần sử dụng FTP

 Bạn cũng có thể dễ dàng tải xuống tệp từ bộ định tuyến, bằng cách nhấp vào
nút Download ở phía bên phải của mục nhập tệp.

Hình 15 : Tải tệp xuống bằng bộ định tuyến

2.2.2.2.4 Định cấu hình giao diện không dây

Trang trạng thái
 Trang Satus có thể được tạo bởi người dùng (có đủ quyền) và các trường
trên trang có thể được sắp xếp lại.

16
 Khi trang trạng thái được tạo, nó là trang mặc định sẽ mở ra khi đăng nhập
vào bộ định tuyến thông qua giao diện webfig.
Bổ sung các trường
 Để thêm trường vào trang trạng thái, người dùng phải vào chế độ "Thiết kế
giao diện" và từ menu thả xuống tại trường chọn tùy chọn - "Thêm vào trang
trạng thái"
 Do kết quả của hành động này, trường mong muốn ở chế độ chỉ đọc sẽ được
thêm vào trang trạng thái. Nếu tại thời điểm đó, trang Trạng thái không có mặt
tại thời điểm đó, nó sẽ được tạo tự động cho người dùng.

Hình 16 : Bổ sung các trường

Hai cột
 Các trường trong trang Trạng thái có thể được sắp xếp thành hai cột. Các cột
được điền từ trên xuống dưới.
 Khi bạn chỉ có một cột thì mục đầu tiên dành cho mục thứ hai sẽ được kéo lên
đầu mục đầu tiên khi dòng màu đen xuất hiện trên đầu mục đầu tiên, sau đó
kéo chuột sang trái cho đến khi dòng màu đen ngắn hơn được hiển thị như
trong ảnh chụp màn hình. Nhả nút chuột sẽ tạo cột thứ hai. Phần còn lại của
các trường sau đó có thể được kéo và thả theo cách tương tự như với thiết kế
một cột.

17
 Hình 17 : Sắp xếp trường thành 2 cột

CLI

Hình 18 : CLI

 Giao diện dòng lệnh (CLI) cho phép cấu hình router sử dụng dòng lệnh. Có
rất nhiều lệnh có sẵn, vì thế họ chia chúng thành những nhóm tổ chức bằng
cách phân cấp đơn cấp. Sau khi giao diện dòng lệnh hiện lên, bạn sẽ thấy
phần đăng nhập. Điền tên đăng nhập là admin và mật khẩu đăng nhập để
rỗng.
 Giao diện dòng lệnh (CLI) cho phép cấu hình cài đặt của bộ định tuyến
bằng các lệnh văn bản. Vì có rất nhiều lệnh có sẵn, chúng được chia thành
các nhóm được tổ chức theo cách phân cấp trình đơn. Làm theo hướng dẫn
sử dụng bảng điều khiển để biết cú pháp và lệnh CLI.
 Có một số cách để truy cập CLI:
 Menu thiết bị đầu cuối Winbox
 Telnet
18
  SSH
 Cáp nối tiếp, v.v.
2.2.2.3.1 Cáp nối tiếp
 Nếu thiết bị của bạn có cổng Nối tiếp, bạn có thể sử dụng cáp bảng điều
khiển (hoặc cáp modem Null )
 Cắm một đầu của cáp nối tiếp vào cổng bảng điều khiển (còn được gọi là
cổng nối tiếp hoặc cổng nối tiếp không đồng bộ DB9 RS232C) của
RouterBOARD và đầu kia vào PC của bạn (hy vọng chạy Windows hoặc
Linux). Bạn cũng có thể sử dụng bộ điều hợp USB-Serial. Chạy chương
trình đầu cuối (HyperTerminal hoặc Putty trên Windows) với các thông số
sau cho Tất cả các kiểu RouterBOARD ngoại trừ 230:

115200bit/s, 8 data bits, 1 stop bit, no parity, flow control =

none by default.

 Các thông số của RouterBOARD 230 là:

9600bit/s, 8 data bits, 1 stop bit, no parity, hardware flow

control (RTS/CTS) by default.

 Nếu các thông số được đặt chính xác, bạn sẽ có thể thấy lời nhắc đăng
nhập. Bây giờ bạn có thể truy cập bộ định tuyến bằng cách nhập tên người
dùng và mật khẩu:

MikroTik 4.15
Login to MikroTik:

MMM MMM KKK TTTTTTTTTTT KKK

MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 4.15 (c) 1999-2010 http://www.mikrotik.com/

[admin @ MikroTik]

19
2.2.2.3.2 Màn hình và bàn phím
 Nếu thiết bị của bạn có card đồ họa (tức là PC thông thường), chỉ cần gắn
màn hình vào đầu nối card màn hình của máy tính (lưu ý: Các sản phẩm
RouterBOARD không có card này, vì vậy hãy sử dụng Phương pháp 1 hoặc
2) và xem điều gì xảy ra trên màn hình . Bạn sẽ thấy một quảng cáo đăng
nhập như thế này:

MikroTik v3.16
Login

 Nhập admin làm tên đăng nhập và nhấn enter hai lần (vì chưa có mật
khẩu), bạn sẽ thấy màn hình này:

MMM MMM KKK TTTTTTTTTTT KKK

MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 3.16 (c) 2008 http://www.mikrotik.com/

Terminal ansi detected, using single line input mode

[admin@router] >

 Bây giờ bạn có thể bắt đầu định cấu hình bộ định tuyến bằng cách đưa ra
lệnh thiết lập .
 Phương pháp này hoạt động với bất kỳ thiết bị nào có đầu nối thẻ video và
bàn phím
2.2.2.3.3 SSH vào Router với áp dụng lệnh CLI.

 Bước 1. Kết nối máy tính xách tay cùng với Router Mikrotik
 Đầu tiên, chúng ta download về Winbox trên trang chủ trong phòng
sản xuất: https://mikrotik.com/download
 Hãy kết nối dây mạng trường của máy tính xách tay cho tới Router
Mikrotik và chạy WinBox nhằm cùng truy vấn vào Router. Tài
khoản mang định truy cập vào Router Mikrotik là user admin /
password White.

20
 Hình 19 : Truy cập Mikrotik Router

 Bước 2. Tạo Interface Bridge đến mạng nội bộ

 Interface Bridge tất cả tác dụng nhóm các port chúng ta thực hiện
đến cùng một mục tiêu , lúc này các port trong thuộc 01 Bridge sẽ sở
hữu cấu hình tương tự nhau dựa vào thông số kỹ thuật của Bridge.
 Ở trên đây đã tạo ra 01 Bridge đặt tên là LAN đại diện cho những
port sẽ cần sử dụng cho vấn đề cấp cho biểu đạt Internet mang lại
mạng của mình.

Hình 20: Interface Bridge

21
  Tiếp tục thêm các port hoặc vlan vào Bridge LAN.

Hình 21 : Thêm Bridge LAN

 Bước 3. Tạo DHCP. Server cung cấp IP cho các thiết bị vào LAN
 Trong Winbox chúng ta chọn IP – Addresses để đặt IP.

Hình 22 : Tạo DHCP

 Lưu ý Interface chính là Bridge.

 Tiếp đó bấm chọn IP – DNS nhằm khai báo DNS Server đến hệ
thống mạng.

22
 Hình 23 : Khai báo DNS Serve đến hệ thống mạng

 Cuối cùng tạo thành DHCP Server đến mạng nội của người sử
dụng bằng cách chọn IP– DHCPServer – DHCP Setup

Hình 24 : DHCP Setup

 Nếu các bước trước đó chúng ta đã khai báo đúng đắn thì công đoạn
này bạn chỉ việc bấm Next cho tới lúc hoàn toàn là kết thúc việc tạo
DHCP Server.
 Chuyển qua tab Leases bạn sẽ thấy laptop của công ty được cấp cho
IP từ DHCP. Server mới tạo nên.

23
 Hình 25 : Hiển thị thành công cung cấp DHCP

 Bước 4. Khai báo PPPoE Client hoặc DHCP. Client

 Trường TH1: Nếu chúng ta áp dụng đường truyền Internet trong
phòng hỗ trợ ISP để ra mạng thì bước tiếp theo sau bạn cấu hình
PPPoE Client.
 Vào mục Interface – nhấp chuột (+) và lựa chọn PPPoE Client:

Hình 26 : Lựa chọn PPPoE Client

 Tại Tab General chúng ta viết tên mang đến PPPoE Client và port đã
thêm con đường truyền Internet. Lưu ý: Nếu mặt đường truyền
Internet GPON của khách hàng điều khiển xe trên VLAN thì trên hành
lang cửa số Interface chúng ta chọn Tab VLAN để tạo thành VLAN
khớp ứng của port đó với Lúc đính thêm Interface VLAN kia vào để
chạy PPPoE.
 Tại Tab Dial Out chúng ta điền User cùng Pass cho đường truyền
Internet.
24
 Trường TH 2: Nếu áp dụng DHCPhường Client thì tiện lợi hơn, bạn
chỉ việc khai báo port cấp cho mối cung cấp Internet đến Router tại IP
– DHCP Client.

 Bước 5. Cài đặt NAT ra Internet cho Router

 Quý Khách vào IP – Firewall – NAT – New NAT Rule.
o Tab General: Chain: srcnat – Out Interface: port ra internet.
o Tab Action: Action: masquerade

 Cuối cùng hãy demo truy vấn Internet nhằm khám nghiệm kết
quả nhé.

25
 CHƯƠNG 3 : SỬ DỤNG TƯỜNG LỬA 7 LỚP CHẶN YOUTUBE,
FACEBOOK TRÊN ROUTER MIKROTIK
MikroTik Firewall là gì ?
 Một công cụ bảo mật mạnh mẽ có thể được sử dụng để chặn các trang web
không mong muốn. Nếu là quản trị viên mạng, đôi khi chúng ta có thể yêu
cầu chặn bất kỳ trang web nào như Facebook, YouTube, trang đồi trụy, v.v.
 Để chặn các loại trang web này, chỉ cần tạo Quy tắc tường lửa sẽ loại bỏ
bất kỳ kết nối nào đến các trang web này thông qua Bộ định tuyến MikroTik
.
 Trên thực tế, nhiệm vụ chính của quản trị viên MikroTik là duy trì Tường
lửa đúng cách cùng với quản lý băng thông sau khi hoàn thành cấu hình cơ
bản Bộ định tuyến MikroTik . Vì vậy, một quản trị viên MikroTik nên có
đủ kiến thức về MikroTik Firewall
 MikroTik Firewall chủ yếu lọc lưu lượng truy cập tốt hoặc lưu lượng truy
cập xấu và theo định nghĩa của tường lửa, tường lửa sẽ cho phép lưu lượng
truy cập tốt và từ chối lưu lượng truy cập xấu. Lưu lượng truy cập tốt và
xấu này đang thực hiện một sự kiện trong số ba sự kiện sau trong Bộ định
tuyến MikroTik.
 Lưu lượng truy cập vào Bộ định tuyến MikroTik,
 Lưu lượng đang rời khỏi Bộ định tuyến MikroTik hoặc
 Lưu lượng đang đi qua Bộ định tuyến MikroTik.
Quy tắc tường lửa MikroTik là gì?
 Quy tắc tường lửa MikroTik không gì khác ngoài một câu nói có ý nghĩa
được sử dụng để cho phép lưu lượng truy cập tốt hoặc chặn lưu lượng truy
cập xấu. Trên thực tế, MikroTik Firewall hoạt động dựa trên quy tắc tường
lửa. Vậy, quy tắc tường lửa là gì? Có hai phần trong quy tắc Tường lửa:
 Bộ so khớp hoặc bộ phận có điều kiện kiểm tra luồng lưu lượng truy cập
dựa trên bất kỳ điều kiện nhất định nào và

26
 Phần hành động đưa ra quyết định thực hiện bất kỳ hoạt động nào với
điều kiện phù hợp.
 Chúng ta phải luôn chiến đấu chống lại những lưu lượng truy cập xấu. Khi
một mạng cục bộ được kết nối với các mạng công cộng, luôn có mối đe dọa
rằng ai đó từ bên ngoài mạng cục bộ của bạn sẽ đột nhập vào mạng cục bộ
của bạn. Lỗi bảo mật này có thể khiến dữ liệu cá nhân bị đánh cắp và phân
phối, dữ liệu có giá trị bị thay đổi hoặc phá hủy hoặc toàn bộ ổ cứng bị
xóa. MikroTik Firewall được sử dụng để ngăn chặn hoặc giảm thiểu các
loại rủi ro bảo mật này. MikroTik Firewall có rất nhiều tính năng tường lửa
cũng như khả năng giả mạo giúp che giấu mạng riêng tư của bạn khỏi lưu
lượng xấu bên ngoài.
Thuộc tính chuỗi
 Có ba chuỗi được xác định trước trong quy tắc Tường lửa MikroTik.
 Đầu vào xử lý các gói đăng nhập vào Bộ định tuyến MikroTik của
bạn. Các gói này có thể đi qua bất kỳ giao diện nào của bộ định tuyến
của bạn. Vì vậy, bất kỳ gói nào đến Bộ định tuyến MikroTik của bạn và
chứa địa chỉ IP giao diện MikroTik làm địa chỉ IP đích đều được xử lý
bởi chuỗi đầu vào. Nói tóm lại, khi MikroTik Router là đích thì nó được
coi là hoạt động của chuỗi đầu vào. .
 Đầu ra xử lý các gói đó được bắt nguồn từ Bộ định tuyến MikroTik
của bạn và chuyển nó qua một trong các giao diện MikroTik. Vì vậy,
gói tin đang rời khỏi bộ định tuyến của bạn có chứa bất kỳ địa chỉ IP
giao diện nào làm địa chỉ IP nguồn sẽ được xử lý bởi chuỗi đầu ra. Nói
tóm lại, khi địa chỉ Bộ định tuyến MikroTik là địa chỉ nguồn gói thì nó
được coi là hoạt động của chuỗi đầu ra.
 Chuyển tiếp xử lý các gói đang đi qua Bộ định tuyến MikroTik của
bạn. Trong trường hợp này, Bộ định tuyến MikroTik không phải là
nguồn cũng không phải là đích. Tóm lại, khi gói tin đi qua Bộ định tuyến
MikroTik thì nó được coi là hoạt động của chuỗi chuyển tiếp.

27
  Sơ đồ sau đây sẽ cho thấy cách các gói được xử lý trong Bộ định tuyến
MikroTik của bạn bao gồm đầu vào, đầu ra và chuỗi chuyển tiếp.

Hình 27 : Sơ đồ luồng gói Mikrotik

Tại sao giao thức Layer7

 MikroTik Firewall có khả năng chặn bất kỳ trang web nào không chỉ có địa
chỉ nguồn hoặc địa chỉ đích mà còn cả Giao thức Layer7. Giao thức Layer7
sử dụng Perl Regex (Biểu thức chính quy) để đối sánh với bất kỳ từ khóa
nào trong URL. Nếu đã khớp, thì Quy tắc bộ lọc sử dụng Giao thức Layer7
này sẽ thực hiện hành động. Vì chúng tôi muốn chặn bất kỳ trang web nào
cung cấp từ khóa như Facebook, YouTube, v.v., chúng tôi sẽ tạo Giao thức
Layer7 với Regex và sau đó sẽ sử dụng Giao thức Layer7 này trong Quy
tắc lọc.
Chức năng của Layer 7 Firewall
 Lớp 7 cung cấp các tính năng và dịch vụ có thể được sử dụng bởi các
chương trình phần mềm ứng dụng người dùng để truyền dữ liệu.
 Đó là giao diện người dùng và không tự cung cấp các ứng dụng có giao
diện người dùng đồ họa.
 Các lệnh gọi và câu trả lời API được bao gồm trong lớp này và HTTP
và SMTP là các giao thức chính được sử dụng.

28
Sơ lược về các phương pháp chặn Web của Router Mikrotik
 Đối với các nhà quản trị mạng, quản trị hệ thống của một công ty thì việc
block website đem lại rất nhiều lợi ích như hạn chế một số trang theo yêu
cầu của ban giám đốc thì còn hạn chế “traffic” cho các trang web ko cần
thiết trong công việc như xem phim, nghe nhạc v.v…
Web proxy
 Đầu tiên ta enable web proxy ở trong mục ip – web proxy

Hình 28 : Web Proxy

 Như đã nói ở mục 1 về các loại proxy thì thông thường các công ty hay sử
dụng Transparent web proxy để các user không biết đang dùng 1 proxy và
bị kiểm soát, và không cần phải thiết lập các thông số proxy trong các trình
duyệt web.
 Ta config thêm vào Firewall – Nat
ip firewall nat /add chain=dstnat action=redirect to-ports=8080
protocol=tcp dst-port=80
 Sau đó để block website chúng ta vào phần IP – Web proxy chọn access

29
 Hình 29 : Block Website

 Kết quả

Hình 30: Kết quả chặn thành công

Route policy
 Chúng ta sẽ sử dụng tính năng route của router để block website đó
30
 Nhược điểm của cách này là ko hỗ trợ domain, và sẽ block tất cả “traffic”
tới IP đó
 Ở đây mình thử block website vnexpress.net bằng cách block ip của trang
web đó, ta sử dụng nslookup để coi ip của trang web

Hình 31 : Block website bằng cách block IP

 Ta vào IP – Route tạo 1 chain như sau

Hình 32 :Tạo một chuỗi

 Dst add: ip trang web muốn block

 Gateway: cổng đi ra internet
 Type: blackhole
Content Filter
 Ở đây ta sử dụng Firewall để block tất cả traffic sử dụng port 80,443 có
nội dung là “vnexpress”
 Chúng ta vào ip – firewall – filter

31
Hình 33 : Dùng Firewall để block tất cả trang Web vnexpress

32
 Hình 34 : Firewall Rule

 src add: địa chỉ ip mạng Lan mà ta muốn bị chặn bởi content vnexpress
Layer 7 Firewall
 Ta sẽ chặn website ở layer 7 application
 Đầu tiên ta phải tạo 1 chain, vào ip – firewall – layer 7 protocols

Hình 35 :Tạo một chuỗi

 Điền vài Regexp: .*(vnexpress)+.*

 Như vậy là ta đã chặn đc vnexpress
33
 Nhược điểm của chặn kiểu layer 7 này là router phải hoạt động công suất
cao để tìm kiếm những “packet” có chứa dữ liệu mà ta đã nhập trong
Regexp.
Chặn Facebook, YouTube với Quy tắc lọc MikroTik
 Bây giờ chúng ta sẽ tạo Quy tắc lọc sẽ chặn các trang web như Facebook,
YouTube hoặc bất kỳ trang web nào khác mà bạn muốn. Quá trình hoàn
chỉnh để tạo Quy tắc bộ lọc có thể được chia thành hai bước.
 Bước 1: Chặn trang web Facebook cho tất cả những ai kết nối với mạng
cục bộ.
 Bước 2: Tạo giao thức layer7 để chọn trang web mong muốn và
 Bước 3: Tạo quy tắc tường lửa để chặn trang web đã chọn đó
Bước 1: Chặn trang web Facebook cho tất cả những ai kết nối với
mạng cục bộ
 Đầu tiên, trước tiên chúng ta kiểm tra xem trang Facebook có thể mở
được hay không.

Hình 36 : Kiểm tra website được yêu cầu chặn

 Kiểm tra địa chỉ IP của ứng dụng không thể mở Facebook

34
 Hình 37 : Kiểm trra IP

Bước 2: Tạo giao thức Layer7 để chọn trang web mong muốn
 Trước khi tạo Quy tắc lọc, chúng ta cần tạo Giao thức Layer7 với Regex vì
Giao thức Layer7 này sẽ được Quy tắc lọc sử dụng để khớp với bất kỳ từ
khóa nào trong URL. Quá trình sau đây sẽ chỉ ra cách tạo Giao thức Layer7
với Regex.
 Mở winbox và đăng nhập bằng thông tin đăng nhập của bạn.
 Đi tới IP> Tường lửa và sau đó nhấp vào tab Giao thức lớp7.

Hình 38 : Tab giao thức lớp 7

 Nhấp vào PLUS SIGN (+) để tạo Giao thức Layer7 mới với
Regex. Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện.

35
 Hình 39 : Cửa sổ Giao thức Tường lửa L7 mới sẽ xuất hiện.

 Đặt một cái tên có ý nghĩa như Facebook trong hộp nhập Tên.
 Bây giờ hãy đặt ^. + (Facebook.com). * $ Regex vào trường nhập
văn bản Regex nếu bạn muốn chặn Facebook.

Hình 40: Nhập văn bản Regex

 Bây giờ hãy nhấp vào nút Apply và OK.

 Tương tự, nếu bạn muốn chặn YouTube, hãy thực hiện bước 4, 5 và 6
nhưng đổi facebook.com bằng youtube.com như ^. + (Youtube.com).
* $. Bạn có thể đặt bất kỳ từ khóa nào, , v.v. mà bạn muốn chặn trong
ngoặc đơn trong Regex này.

36
 Hình 41 : Giao thức lớp 7 Regex để chặn các trang Web

 Chúng tôi đã tạo các Giao thức Layer7 sẽ được sử dụng trong Quy tắc Bộ
lọc để chặn các trang web mong muốn của chúng tôi. Bây giờ chúng ta sẽ
tạo Quy tắc lọc tường lửa của chúng ta.
Bước 3: Tạo Quy tắc Bộ lọc để Chặn Trang web đã Chọn với Giao
thức Layer7
 Sau khi tạo Giao thức Layer7, bây giờ chúng ta sẽ tạo Quy tắc lọc sẽ chặn
trang web mong muốn của chúng ta. Các bước sau đây sẽ hướng dẫn cách
tạo Quy tắc bộ lọc để chặn bất kỳ trang web nào.
 Bây giờ hãy nhấp vào tab Quy tắc Bộ lọc và sau đó nhấp vào Dấu hiệu
CỘNG (+) để tạo Quy tắc Bộ lọc mới. Cửa sổ Quy tắc tường lửa mới sẽ
xuất hiện ngay bây giờ.
 Trong tab Chung, chọn chuyển tiếp từ menu thả xuống Chuỗi.

Hình 42 : chọn chuyển tiếp từ menu thả xuống Chuỗi.

37
 Chúng tôi đang giữ nguyên Src. Địa chỉ và Dst. Địa chỉ vì chúng tôi muốn
chặn tất cả người dùng. Nếu bạn muốn chặn một người dùng cụ thể, hãy
đặt địa chỉ IP của họ vào Src. Hộp nhập địa chỉ hoặc nếu bạn muốn chặn
cho một khối IP, hãy đặt khối IP đó vào Src. Hộp nhập địa chỉ.

Hình 43 : Đặt khối IP vào Src

 Nhấp vào menu thả xuống Giao thức và chọn tcp từ menu thả xuống Giao
thức.
 Đặt cổng 80,443 trong Dst. Hộp nhập cổng. Giá trị phải được phân tách
bằng dấu phẩy.
 Nhấp vào tab Advanced và sau đó chọn Giao thức Layer7 mà bạn đã tạo
trước đó từ menu thả xuống Giao thức Layer7.
 Bây giờ hãy nhấp vào tab Action và chọn thả từ trình đơn thả xuống Action

Hình 44 : Thao tác trên tab Action

38
 Nhấp vào nút Apply và OK.
 Tương tự, bạn có thể tạo Quy tắc lọc khác để chặn bất kỳ trang web nào
khác.

Hình 45 : Tương tự cho trang web khác

 Bây giờ hãy thử cài đặt kiểm tra thành công những gì không.

Hình 46 : Kiểm tra lại

Hình 47 : Truy cập kiểm tra

39
 Ngoài ra, hãy kiểm tra xem các trang web khác có hoạt động tốt không
ngoài Facebook

Hình 48 : Kiểm tra các web khoog block

 Chặn Facebook trong MikrotikQuy tắc lọc để chặn trang web

Bộ lọc Quy tắc để chặn trang web đã được tạo. Quy tắc trên sẽ chặn tất cả
người dùng truy cập trang web mong muốn của chúng tôi. Nhưng đôi khi
bạn có thể cần truy cập trang web này cho một người dùng cụ thể. Trong
trường hợp này, bạn phải tạo Quy tắc bộ lọc khác trong đó địa chỉ IP của
người dùng phải cung cấp trong địa chỉ nguồn và hành động Bộ lọc sẽ được
chấp nhận.
Tóm tắt cách chặn Facebook và Youtube sử dụng “7 layer Firewall”
1. Mở Winbox và kết nối với bộ định tuyến của bạn.
1.1 Trên menu bên trái, chọn IP-> Tường lửa

40
 Hình 49 : Thao tác vào Firewall

2. Trên Firewall Windows, nhấp vào tab "Giao thức lớp 7"

Hình 50 : Cửa sổ Firewall xuất hiện

3. Nhấp vào nút Add

3.1 Trong trường "Name", nhập "block"
3.2 Trong trường Regex, đặt văn bản bên dưới. Bạn có thể thêm các
trang web khác bằng cách nhập Tên miền và phân tách chúng bằng dấu
"|" Biểu tượng.

Hình 51 : Nhập Name và Regexp cần chặn

41
 4. Nhấp vào tab "Quy tắc Bộ lọc" trong cửa sổ "Tường lửa".
4.1 Trên tab "General", đảm bảo rằng chuỗi "forward" được chọn.

Hình 52 : Thao tác tiếp theo

5. Trên tab "Advanced", trong "Giao thức Lớp 7", chọn mục "Block" mà
chúng ta đã tạo trước đó.

Hình 53 :Thao tác trên tab Advanced

6. Trên tab "Action", chọn từ chối làm hành động, sau đó nhấp vào
"OK" để hoàn tất.

Hình 54 : Thao tác trên tab Action

Một cách khác để thiết lập tính năng chặn là nhập (hoặc dán) thông tin
sau vào cửa sổ dòng lệnh:

42
 PHẦN III. KẾT LUẬN VÀ KIẾN NGHỊ
CHƯƠNG 4 : KẾT LUẬN VÀ KIẾN NGHỊ
Kết luận
Kết quả nghiên cứu so với mục tiêu đề ra
Thử lại các trang không truy cập được, đã thành công.
Ưu điểm của phương pháp chặn Web sử dụng Layer 7 Firewall
 Bảo vệ cá nhân thông tin: Xác định mọi mạng người dùng và thông tin
mà mỗi người trong số họ sẽ được nhận.
 Tối ưu hóa quyền truy cập: Trực tiếp xác định các giao thức sẽ được sử
dụng
 Bảo vệ chống xâm nhập: Bảo vệ chống lại những kẻ xâm nhập bên ngoài
bằng cách giới hạn quyền truy cập vào mạng.
Nhược điểm của phương pháp chặn Web sử dụng Layer 7 Firewall
 Nó không bảo vệ các cuộc tấn công mà không vượt qua tường lửa.
 Nó không bảo vệ các đe dọa và tấn công mạng từ những người có chức
năng bảo mật.
 Nó không bảo vệ chống sao chép quan trọng dữ liệu nếu nó đã được truy
cập.
 Nó không bảo vệ chống lại các tấn công kỹ thuật xã hội (tấn công thông
qua các phương pháp.
Kiến nghị
Hướng ứng dụng của đề tài
NGFW là một bản nâng cấp cho tường lửa truyền thống. Nói một cách dễ
hiểu, Tường lửa thế hệ tiếp theo (NGFW) có thể được mô tả là tường lửa bổ
sung các lớp bảo vệ như kiểm tra cấp ứng dụng, cấp nâng cao của hệ thống bảo
vệ chống xâm nhập và cũng bổ sung thông minh cho ranh giới của tường lửa
truyền thống cùng với bảo vệ cổng / giao thức tiêu chuẩn

43
 Một NGFW đã bổ sung cấp độ các chức năng bảo mật của ứng dụng như
hệ thống phát hiện xâm nhập hay còn gọi là IDS và hệ thống ngăn chặn xâm
nhập hay còn gọi là IPS.
Các ứng dụng này giúp bạn cải thiện tính năng lọc nội dung gói. Các tính
năng này cũng có thể xác định, phân tích và hành động chống lại các sai lệch
bất thường so với tập hợp tiêu chuẩn của các hoạt động, các dấu hiệu đe dọa
và các cuộc tấn công thông minh dựa trên hành vi của người dùng.
Quyền truy cập một bảng điều khiển
 Bảo vệ nhiều lớp
 Cơ sở hạ tầng đơn giản hóa
 Sử dụng tối ưu tốc độ mạng
 Bảo vệ chống vi-rút, mã độc tống tiền và thư rác & Bảo mật điểm cuối
 Khả năng triển khai quyền truy cập dựa trên vai trò
Hướng phát triển của đề tài (khắc phục nhược điểm)
Như đã được đề cập ở phần trên , Một phần chính của việc có một mạng
an toàn là cài đặt tường lửa thế hệ tiếp theo. Tường lửa thế hệ tiếp theo (NGFW)
là bản nâng cấp cho tường lửa truyền thống và cung cấp khả năng bảo vệ tốt
hơn cho mạng của bạn. Nếu bạn đang tự hỏi NGFW có thể làm gì cho doanh
nghiệp của mình, hãy đọc để tìm hiểu:

44
[Tài liệu tham khảo]
[1]. Martins Strods (April 2017), Basic guidelines on RouterOS configuration
and debugging – MikroTik, Latvia.
[2]. MikroTik RouterOS™ v3.0 Reference Manual
[3]. MikroTik (2010), MikroTik RouterOS - Feature catalog. Q1-Q2 2010
[4]. Wikipedia, https://vozfen.com/thao-luan-cong-dong-nguoi-dung-mikrotik-
router.1396/ , ngày 13 tháng 04 năm 2022
[5]. Wikipedia,https://wiki.mikrotik.com/wiki/Manual:Initial_Configuration,
ngày 14 tháng 04 năm 2022
[6]. Wikipedia ,https://wiki.mikrotik.com/wiki/Manual:First_time_startup, ngày
15 tháng 04 năm 2022