Bảo mật và QoS trên switch GTWave: ACL, AAA, 802.1x, MAC Security và ưu tiên lưu lượng

09/07/2026

Switch quản lý không chỉ chuyển gói tin mà còn là điểm thực thi chính sách: ai được truy cập, lưu lượng nào được ưu tiên, thiết bị nào được phép cắm vào cổng. Cấu hình sai ở lớp này dẫn đến hai hậu quả đối lập nhau – hoặc quá lỏng (bất kỳ thiết bị nào cũng vào được mạng camera) hoặc quá chặt (chặn nhầm lưu lượng hợp lệ làm gián đoạn giám sát). Bài này đi qua ba nhóm tính năng thường dùng phối hợp: ACL kiểm soát truy cập, xác thực và bảo mật cổng (AAA, 802.1x, MAC Security), và QoS ưu tiên lưu lượng.

ACL – Kiểm soát truy cập

GTWave hỗ trợ bốn loại ACL: Standard IP (1–99, khớp IP nguồn), Extended IP (100–199, khớp IP nguồn/đích, giao thức, cổng), MAC ACL (700–799, khớp MAC nguồn và VID) và ARP ACL. ACL được duyệt từ trên xuống và có một deny any ngầm ở cuối nếu không khai báo permit any.

Tình huống 1 — Chỉ cho subnet IT truy cập quản trị switch

Switch(config)# access-list 10 permit 10.10.100.0 0.0.0.255

Switch(config)# access-list 10 deny any

Switch(config)# ip http access-class 10

Switch(config)# telnet-server access-class 10

Switch(config)# snmp-server community public RO 10

Tình huống 2 — Cấm subnet IoT chạm vào subnet server

Switch(config)# access-list 110 deny ip 10.10.200.0 0.0.0.255 10.10.10.0 0.0.0.255

Switch(config)# access-list 110 permit ip any any

Switch(config)# interface vlan 200

Switch(config-vlan200)# ip access-group 110 in

Cú pháp tham khảo

  • ACL standard: access-list <1-99> {permit|deny} <src-ip> <wildcard>
  • ACL extended: access-list <100-199> {permit|deny} <proto> <src> <wildcard> [eq <port>] <dst> <wildcard>

Trên Web UI, đường dẫn là ACL Configuration với các mục Standard IP, Extended IP, MAC IP và ACL Reference để gán vào cổng.

Nguyên tắc quan trọng: áp ACL ở chiều ingress để chặn sớm, tiết kiệm tài nguyên switch. ACL nên kết thúc bằng permit any rõ ràng nếu không muốn chặn hết lưu lượng.

AAA với RADIUS và TACACS+

Thay vì quản lý mật khẩu cục bộ trên từng switch, tập trung hóa xác thực đăng nhập qua RADIUS hoặc TACACS+. Khi hệ thống có nhiều switch, cách này giúp kiểm soát quyền truy cập từ một điểm duy nhất.

Switch(config)# aaa new-model

Switch(config)# radius-server host 10.10.100.30 auth-port 1812 acct-port 1813 key MyR@diusKey

Switch(config)# aaa authentication login default group radius local

Switch(config)# aaa authentication enable default group radius enable

TACACS+ cấu hình tương tự với tacacs-server host … port 49.

Thực hành bắt buộc: luôn để local ở cuối làm fallback. Nếu RADIUS hoặc TACACS+ chết, bạn vẫn vào được switch bằng user cục bộ – không có fallback là tự khóa mình ra ngoài khi server xác thực gặp sự cố.

Giao thức Mã hóa Ưu điểm Khi nào dùng
RADIUS Chỉ mã hóa password Phổ biến, tương thích rộng Xác thực user, 802.1x
TACACS+ Mã hóa toàn bộ payload Kiểm soát lệnh CLI chi tiết Quản trị thiết bị enterprise

802.1x — Xác thực dựa trên cổng

802.1x bắt thiết bị phải xác thực với RADIUS trước khi được truyền dữ liệu. Switch đóng vai trò Authenticator (relay) giữa thiết bị (Supplicant) và RADIUS server (Authentication Server).

Switch(config)# aaa new-model

Switch(config)# radius-server host 10.10.100.30 key MyR@diusKey

Switch(config)# aaa authentication dot1x default group radius

Switch(config)# dot1x system-auth-control

Switch(config)# interface ge1/15

Switch(config-ge1/15)# switchport mode access

Switch(config-ge1/15)# switchport access vlan 30

Switch(config-ge1/15)# dot1x port-control auto

Switch(config-ge1/15)# dot1x reauthentication

Switch(config-ge1/15)# dot1x timeout reauth-period 3600

Các phương thức xác thực:

  • eap-md5: mật khẩu đơn giản, yếu – không khuyến nghị cho production
  • eap-tls: chứng thư số, mạnh nhất nhưng cần CA infrastructure
  • peap: tunneled MSCHAPv2, phổ biến với Windows Active Directory

Guest VLAN và auth-fail VLAN:

Switch(config-ge1/15)# dot1x guest-vlan 99

Switch(config-ge1/15)# dot1x auth-fail-vlan 98

Guest VLAN cho thiết bị không hỗ trợ 802.1x (máy in cũ, camera IP không có supplicant). Auth-fail VLAN cho thiết bị xác thực thất bại – cách ly khỏi mạng chính nhưng vẫn có thể truy cập một số dịch vụ giới hạn.

MAC Security — Khóa cổng theo thiết bị

MAC Binding chỉ cho một MAC cụ thể dùng cổng — phù hợp thiết bị tĩnh như camera, server, máy in:

Switch(config-ge1/5)# switchport-security mac-bind 0011.2233.4455 vlan 30 qosprofile qp4

Learn Limit chống tấn công MAC flooding — hacker giả nhiều MAC để làm tràn bảng MAC, ép switch chuyển sang flooding toàn bộ lưu lượng:

Switch(config-ge1/5)# switchport port-security learn-limit 5

Protection Port (Port Isolation) khiến các cổng được đánh dấu protect không giao tiếp với nhau dù cùng VLAN, nhưng vẫn giao tiếp được với cổng không protect:

Switch(config-ge1/5)# switchport port-security protect

Switch(config-ge1/6)# switchport port-security protect

Ứng dụng điển hình: mạng khách sạn (các phòng không thấy nhau, chỉ thấy router), server farm (server không giao tiếp trực tiếp với nhau), hoặc VLAN camera (camera không giao tiếp trực tiếp với nhau, chỉ về NVR).

Khi cần chặn nhanh một thiết bị:

  • Biết MAC → dùng MAC Filter
  • Biết IP → dùng ACL standard
  • Biết cổng → shutdown cổng đó

QoS — Ưu tiên lưu lượng

GTWave hỗ trợ bốn chế độ lập lịch hàng đợi với 8 queue:

Chế độ Đặc điểm Khi nào dùng
SP (Strict Priority) Queue cao luôn ưu tiên, queue thấp có thể bị đói Thoại realtime cần độ trễ cực thấp
RR (Round Robin) Quay vòng đều các queue Lưu lượng đồng đều, không có ưu tiên
WRR (Weighted Round Robin) Queue cao nhiều trọng số hơn, không bỏ đói queue thấp Mặc định, phù hợp đa dịch vụ
WDRR WRR có bù deficit, công bằng hơn khi kích thước gói khác nhau Hỗn hợp gói nhỏ và gói lớn

Tình huống — Ưu tiên thoại VoIP:

Switch(config)# interface ge1/10

Switch(config-ge1/10)# qos dscp-based

Switch(config-ge1/10)# qos dscp-map-qp 46 qosprofile qp6

Switch(config-ge1/10)# qos sched wrr

Switch(config-ge1/10)# qos qosprofile qp6 weight 8

Switch(config-ge1/10)# qos qosprofile qp0 weight 1

Switch(config-ge1/10)# bandwidth ingress 50000

DSCP 46 (Expedited Forwarding) là mã chuẩn cho thoại realtime, ánh xạ vào queue 6 với trọng số cao. CoS 0 là best-effort, CoS 7 là network control.

Lưu ý quan trọng: QoS phải nhất quán đầu cuối – chỉ gắn tag ở switch access là chưa đủ, core switch và router cũng phải tôn trọng (honor) các mức ưu tiên đó. QoS một điểm không có tác dụng thực sự khi điểm nghẽn nằm ở chỗ khác.

[H2] 6. Bản đồ Web UI

Tính năng Đường dẫn Web L2
ACL các loại ACL Configuration → Standard/Extended/MAC IP
AAA và RADIUS AAA Configuration → AAA Authentication / Radius Configuration
TACACS+ AAA Configuration → Tacacs+ Configuration
802.1x AAA Configuration → 802.1x Configuration / Port
MAC Bind/Filter MAC Configuration → MAC Binding / MAC Filter
QoS Apply/Schedule Qos Configuration → Qos Apply / Qos Schedule

Xử lý sự cố

Triệu chứng Hướng kiểm tra
Không vào được Web/SSH sau khi gán ACL ACL có permit subnet quản lý chưa, kiểm tra access-class gán đúng chưa
802.1x xác thực thất bại liên tục RADIUS server có nhận request không, key có khớp không, show dot1x
Thiết bị không hỗ trợ 802.1x bị chặn Cấu hình Guest VLAN cho cổng đó
QoS không có tác dụng Điểm nghẽn có nằm ở switch này không, core có honor DSCP không
MAC binding không hoạt động Đúng format MAC chưa (xxxx.xxxx.xxxx), đúng VLAN chưa
Learn limit quá thấp gây mất kết nối Tăng limit hoặc kiểm tra có bao nhiêu MAC thật trên cổng đó

Lưu ý khi cấu hình bảo mật và QoS cho hệ thống camera Ikegawa

Switch GTWave tương thích với mọi hệ thống camera chuẩn Ethernet. Phần dưới là lưu ý riêng khi kết hợp với camera Ikegawa — nếu bạn đang dùng hãng camera khác, các bước cấu hình phía trên vẫn áp dụng hoàn toàn.

Dùng MAC Binding cho toàn bộ cổng camera Ikegawa

Camera là thiết bị tĩnh, MAC address không đổi — MAC Binding đảm bảo chỉ đúng camera đó mới dùng được cổng, ngăn thiết bị lạ cắm vào vị trí camera và truy cập VLAN giám sát. Kết hợp với bpduguard (bài B-GTW05) tạo ra hai lớp bảo vệ cổng camera.

Dùng ACL cô lập VLAN camera khỏi VLAN văn phòng

Camera Ikegawa chỉ cần giao tiếp với NVR và CMS – không cần truy cập subnet văn phòng hay internet trực tiếp. ACL ingress trên interface VLAN camera chặn mọi traffic ra ngoài VLAN camera ngoại trừ về NVR và CMS, giảm attack surface đáng kể.

Learn Limit 1-2 trên cổng camera

Mỗi cổng camera chỉ cần học đúng 1 MAC (của camera). Đặt learn-limit 1 hoặc 2 (dự phòng cho camera có 2 port hoặc MAC thay đổi sau factory reset) để chống MAC flooding từ cổng camera bị xâm phạm vật lý.

QoS cho lưu lượng camera trên uplink

Trên uplink từ access switch lên core, ưu tiên lưu lượng camera (DSCP 34 — AF41, Video Conferencing) cao hơn traffic văn phòng (DSCP 0 – Best Effort). Điều này đảm bảo khi uplink bão hòa, lưu lượng camera không bị ảnh hưởng trước.

Tám thực hành tốt

☐ ACL kết thúc bằng permit any rõ ràng nếu không muốn chặn hết, áp ở chiều ingress

☐ AAA luôn có fallback local để không tự khóa khi RADIUS chết

☐ 802.1x triển khai cho mọi access port trong môi trường enterprise

☐ MAC Binding cho thiết bị tĩnh, không dùng cho laptop di động

☐ Learn limit 5-10 trên access port là hợp lý cho một PC cộng một IP phone

☐ Protection Port cho VLAN camera để camera không giao tiếp trực tiếp với nhau

☐ QoS phải nhất quán đầu cuối – access, core và router đều phải honor priority

☐ Khi cần chặn nhanh: biết MAC dùng MAC Filter, biết IP dùng ACL, biết cổng thì shutdown

Câu hỏi thường gặp

ACL standard và ACL extended khác nhau thế nào?

ACL standard (1-99) chỉ khớp theo IP nguồn. ACL extended (100-199) khớp theo IP nguồn, IP đích, giao thức và cổng – linh hoạt hơn nhiều nhưng cấu hình phức tạp hơn. Với bài toán đơn giản như giới hạn subnet quản trị, ACL standard là đủ.

Tại sao AAA phải có fallback local?

Nếu RADIUS hoặc TACACS+ server chết mà không có fallback local, không ai vào được switch để xử lý sự cố. Luôn để local ở cuối danh sách xác thực làm phương án dự phòng.

802.1x có áp dụng được cho camera IP không?

Phụ thuộc vào model camera. Camera IP thông thường không có 802.1x supplicant — cần cấu hình Guest VLAN cho cổng camera để camera vào được mạng mà không cần xác thực. Với môi trường yêu cầu bảo mật cao, dùng MAC Binding thay thế.

MAC Binding và Learn Limit khác nhau thế nào?

MAC Binding chỉ cho phép đúng một MAC cụ thể dùng cổng – thiết bị khác MAC bị chặn hoàn toàn. Learn Limit giới hạn số MAC tối đa được học trên cổng – phù hợp khi không biết trước MAC nhưng muốn chống flooding.

QoS trên switch access có tác dụng không khi core không cấu hình QoS?

Hạn chế. QoS tag lưu lượng tại access switch, nhưng nếu core không honor các tag đó thì ưu tiên chỉ có tác dụng trong đoạn access. Điểm nghẽn thường nằm ở uplink – cần cấu hình QoS nhất quán từ access đến core mới có tác dụng thực sự.

Protection Port có chặn camera giao tiếp với NVR không?

Không, nếu NVR nằm trên cổng không protect. Protection Port chỉ chặn giao tiếp giữa các cổng protect với nhau: camera-camera bị chặn, nhưng camera vẫn giao tiếp được với NVR trên cổng uplink không protect.

Bài viết cấu hình liên quan:

Trường Sơn Solutions là nhà phân phối ủy quyền GTWave tại Việt Nam, cung cấp switch GTWave kèm hỗ trợ tư vấn thiết kế bảo mật mạng và hồ sơ CO/CQ cho dự án đầu tư công. Liên hệ để được hỗ trợ.

Chia sẻ:

Liên Hệ Tư Vấn & Báo Giá

    CÔNG TY TNHH GIẢI PHÁP VÀ XÂY LẮP TRƯỜNG SƠN

    Để lại thông tin liên hệ ngay với chúng tôi để được tư vấn sớm nhất

    Tin tức khác