DrayOS 5 - IAM - giới hạn quyền truy cập Server | Tường lửa - quản lý người dùng - Firewall - Vlan Tag | DrayOS 5 (V1100-V2136-V2928)

: Viết bởi Hà Đặng; Chuyên mục: Tường lửa - quản lý người dùng - Firewall - Vlan Tag; 14 - 05 - 2026; 29 lượt xem

Mô tả

Hệ thống gồm 2 lớp mạng , LAN1 dành cho server và LAN2 dành cho nhân viên
LAN1 gồm các đối tượng BoD, Server, camera, được phép truy cập Internet toàn phần, không cần xác thực
LAN2 dành cho nhân viên, được phép truy cập Internet toàn phần, nhưng khi truy cập Server cần xác thực username/password và OTP

Nhu cầu: có thêm VLAN dành cho Nhân viên

Thực hiện chia vlan riêng cho Nhân viên và cấu hình Inter_lan routing cho các vlan thấy nhau.

Configuration >> LAN>> LANs, tạo thêm lớp mạng Nhân Viên (192.168.2.x/24)

Configuration >> LAN>> VLAN List, quy định VLANID cho lớp mạng nhân viên (VLANID = 20)

Configuration >> LAN> Inter-LAN Routing, quy định 2 VLAN thấy nhau

Configuration >> LAN> Interface VLAN, quy định port 3,4 dùng cho Nhân Viên với Mode ACCESS VLANID 20

Tham khảo hướng dẫn cụ thể

Gồm sơ đồ các bước như sau:

Truy cập IAM / Users & Groups / Users, nhấn nút “Add” để tạo hồ sơ người dùng IAM như sau:

Dùng ứng dụng ứng dụng Authenticator (ví dụ Google Authenticator) quét mã QR. Lưu lại mã QR gửi cho nhân viên sử dụng tài khoảng
Điền mã xác thực mã TOTP còn hiệu lực

Tạo chính xác Access Policies quy định chính sách cần xác thực Username/ Password

Truy cập IAM / IAM Policies / Access Policies, nhấn nút “Add” để tạo cấu hình Access Policy như sau:

Name: Đặt tên cho profile chính sách.
Access Control Mode: Chọn Login with built-in User (xác thực user bằng tài khoản local trên router DrayTek)
Authentication Mode: Chọn Multi-Factor (bật xác thực nhiều lớp MFA/ 2FA)
User/ User Groups: chọn All Users/ All Groups hoặc cố định cho từng user/ Group
Nhấn “Apply” để lưu cấu hình.

Truy cập IAM / Resources, nhấn nút “Add” để tạo Resource như sau:

Truy cập IAM / IAM Policies / Conditional Access Policy, nhấn nút “Add” để tạo cấu hình Conditional Access Policy như sau:

Name: đặt tên cho profile chính sách
Bật điều kiện MFA để yêu cầu xác thực bổ sung khi truy cập tài nguyên. (ví dụ EveryTime: xác thực khi truy cập tài nguyên)
Source IP: Đối tượng được phép truy cập ( OFF, không áp dụng, toàn bộ đối tượng đều được phép)
Time Schedule: Thời gian được phép truy cập( OFF, không áp dụng, được phép truy cập toàn bộ thời gian)
Nhấn Apply

Truy cập IAM / IAM Policies / Group Policies, nhấn nút “Add” để tạo cấu hình Group Policy như sau:

Name: Đặt tên cho profile chính sách.
Schedule: chọn Always On áp dụng toàn bộ thời gian hoặc bật Schedule ON và chọn áp dụng trong thời gian làm việc (Profile Schedule đã được tạo riêng trong Configuration > Objects > Schedule )
Allowed Resource: chọn profile Resource và Conditional Access Policy áp dụng ( đã tạo ở bước 3,4)
Firewall: Chọn Use Network Default áp dụng chính sách/ rule firewall chung của router
Nhấn Apply

Truy cập IAM / IAM Policies / Apply Policies to LAN,

Tại lớp LAN áp dụng ( ví dụ LAN2 đã tạo riêng dành cho nhân viên, tham khảo hướng dẫn chia nhiều VLAN: https://www.anphat.vn/internet-iptv-wan-lan-nat-port-co-ban/drayos-5-huong-dan-cau-hinh-nhieu-ssid-nhieu-lop-mang )

Người dùng có quyền (privileged) truy cập server, giờ đây phải đăng nhập với 2FA để truy cập vào máy chủ nội bộ.

Máy tính kết nối lớp mạng LAN2 sẽ truy cập internet bình thường,
khi truy cập Server sẽ phải đăng nhập với username/ password được cấp và xác thực với mã TOTP (xem trên ứng dụng Authenticator đã quét QR trước đó). Sau khi kết nối, client có thể truy cập dịch vụ

Để truy cập giữa những LAN/ VLAN khác nhau, cần cấu hình inter-LAN routing giữa các lớp mạng
Kiểm tra thời gian thiết bị, Vào System Maintenance >> Devices Settings, System Zone chọn auto và kiểm tra System time đúng với thời gian hiện tại hoặc System Zone chọn GMT+7

MENU