npm - @xdev-asia/xdev-knowledge-mcp - Versions diffs - 1.0.54 → 1.0.56 - Mend

@xdev-asia/xdev-knowledge-mcp 1.0.54 → 1.0.56

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (17) hide show

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/05-bai-5-zone-based-firewall.md ADDED Viewed

@@ -0,0 +1,451 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e3347cefe91
+title: 'Bài 5: Zone-based Firewall'
+slug: bai-5-zone-based-firewall
+description: >-
+  Tìm hiểu zone-based firewall trên VyOS: thiết kế zones LAN/WAN/DMZ/GUEST,
+  inter-zone rules, so sánh với interface-based firewall và lab thực hành 3 zones.
+duration_minutes: 160
+is_free: true
+video_url: null
+sort_order: 5
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-05-zone-firewall.png" alt="Zone-based Firewall" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+<h2>Zone-based Firewall là gì?</h2>
+<p>Trong bài trước, chúng ta cấu hình firewall theo <strong>interface-based</strong> — gán rules trực tiếp vào từng interface với inbound/outbound direction. Phương pháp này hoạt động tốt nhưng trở nên phức tạp khi mạng có nhiều interfaces.</p>
+<p><strong>Zone-based firewall</strong> là phương pháp tổ chức firewall theo <em>vùng mạng</em> (zones). Thay vì nghĩ về interfaces, bạn nghĩ về <strong>traffic flow giữa các zones</strong>. Đây là mô hình được Cisco, Juniper và nhiều enterprise firewall sử dụng.</p>
+<h3>Nguyên tắc cơ bản</h3>
+<ul>
+  <li>Mỗi interface thuộc về <strong>đúng một zone</strong></li>
+  <li>Traffic giữa các zones bị <strong>deny by default</strong> — phải tạo rule cho phép rõ ràng</li>
+  <li>Traffic trong cùng zone (same-zone) mặc định được allow</li>
+  <li>VyOS router bản thân là zone đặc biệt: <strong>local zone</strong></li>
+</ul>
+<h2>Zone-based vs Interface-based Firewall</h2>
+<pre><code class="language-bash"># Interface-based: phải xác định direction trên mỗi interface
+# → Phức tạp khi có 4-5 interfaces
+#
+# set firewall ipv4 forward filter rule X inbound-interface eth0
+# set firewall ipv4 forward filter rule X outbound-interface eth1
+# set firewall ipv4 forward filter rule Y inbound-interface eth0
+# set firewall ipv4 forward filter rule Y outbound-interface eth2
+# ... rất nhiều rules
+# Zone-based: nhóm interfaces vào zones, viết policy giữa zones
+# → Rõ ràng, dễ quản lý
+#
+# zone WAN:  eth0
+# zone LAN:  eth1
+# zone DMZ:  eth2
+# policy: WAN→LAN: drop, LAN→WAN: accept, WAN→DMZ: allow HTTP only</code></pre>
+<p>Ưu điểm của zone-based:</p>
+<ul>
+  <li><strong>Dễ hiểu</strong>: Mỗi policy mô tả rõ "traffic từ zone A đến zone B"</li>
+  <li><strong>Scalable</strong>: Thêm interface mới chỉ cần gán vào zone có sẵn</li>
+  <li><strong>Audit dễ</strong>: Xem nhanh ai được phép giao tiếp với ai</li>
+  <li><strong>Best practice</strong>: Phù hợp với mô hình bảo mật enterprise</li>
+</ul>
+<h2>Thiết kế Zones</h2>
+<p>Một mạng home/office điển hình có thể chia thành các zones sau:</p>
+<pre><code class="language-bash">                        INTERNET
+                           │
+                    ┌──────┴──────┐
+                    │  ZONE: WAN  │
+                    │    eth0     │
+                    └──────┬──────┘
+                           │
+                    ┌──────┴──────┐
+                    │ VyOS Router │ ← ZONE: LOCAL (router itself)
+                    └──┬────┬──┬──┘
+                       │    │  │
+              ┌────────┘    │  └────────┐
+              │             │           │
+       ┌──────┴──────┐ ┌───┴────┐ ┌────┴─────┐
+       │  ZONE: LAN  │ │  DMZ   │ │  GUEST   │
+       │    eth1     │ │  eth2  │ │   eth3   │
+       └─────────────┘ └────────┘ └──────────┘
+       Trusted          Servers    Untrusted
+       192.168.1.0/24   10.0.1.0/24  192.168.10.0/24</code></pre>
+<h3>Các zone phổ biến</h3>
+<ul>
+  <li><strong>WAN</strong>: Kết nối Internet — untrusted, tất cả inbound bị block trừ khi cho phép</li>
+  <li><strong>LAN</strong>: Mạng nội bộ — trusted, được phép ra Internet và truy cập DMZ</li>
+  <li><strong>DMZ</strong>: Vùng chứa servers public (web, mail) — semi-trusted</li>
+  <li><strong>GUEST</strong>: WiFi khách — chỉ được ra Internet, không truy cập LAN/DMZ</li>
+  <li><strong>LOCAL</strong>: VyOS router chính nó — quản lý SSH, DNS, DHCP services</li>
+</ul>
+<h2>Cấu hình Zone-based Firewall trên VyOS</h2>
+<h3>Bước 1: Tạo firewall rule sets (ipv4 name)</h3>
+<p>Trước tiên, tạo các bộ rules cho mỗi cặp zone. VyOS 1.4+ sử dụng <code>firewall ipv4 name</code> để định nghĩa named rule sets:</p>
+<pre><code class="language-bash">configure
+# === WAN → LAN: Block tất cả (chỉ allow established) ===
+set firewall ipv4 name WAN-TO-LAN default-action 'drop'
+set firewall ipv4 name WAN-TO-LAN rule 10 action 'accept'
+set firewall ipv4 name WAN-TO-LAN rule 10 state 'established'
+set firewall ipv4 name WAN-TO-LAN rule 10 state 'related'
+set firewall ipv4 name WAN-TO-LAN rule 20 action 'drop'
+set firewall ipv4 name WAN-TO-LAN rule 20 state 'invalid'
+# === LAN → WAN: Allow tất cả ===
+set firewall ipv4 name LAN-TO-WAN default-action 'accept'
+# === WAN → DMZ: Chỉ allow HTTP/HTTPS ===
+set firewall ipv4 name WAN-TO-DMZ default-action 'drop'
+set firewall ipv4 name WAN-TO-DMZ rule 10 action 'accept'
+set firewall ipv4 name WAN-TO-DMZ rule 10 state 'established'
+set firewall ipv4 name WAN-TO-DMZ rule 10 state 'related'
+set firewall ipv4 name WAN-TO-DMZ rule 20 action 'drop'
+set firewall ipv4 name WAN-TO-DMZ rule 20 state 'invalid'
+set firewall ipv4 name WAN-TO-DMZ rule 100 action 'accept'
+set firewall ipv4 name WAN-TO-DMZ rule 100 protocol 'tcp'
+set firewall ipv4 name WAN-TO-DMZ rule 100 destination port '80,443'
+# === LAN → DMZ: Allow tất cả ===
+set firewall ipv4 name LAN-TO-DMZ default-action 'accept'
+# === DMZ → LAN: Block (servers không được truy cập LAN) ===
+set firewall ipv4 name DMZ-TO-LAN default-action 'drop'
+set firewall ipv4 name DMZ-TO-LAN rule 10 action 'accept'
+set firewall ipv4 name DMZ-TO-LAN rule 10 state 'established'
+set firewall ipv4 name DMZ-TO-LAN rule 10 state 'related'
+# === DMZ → WAN: Allow (servers cần update, fetch data) ===
+set firewall ipv4 name DMZ-TO-WAN default-action 'accept'
+commit</code></pre>
+<h3>Bước 2: Tạo zone-policy và gán interfaces</h3>
+<pre><code class="language-bash"># Tạo zone WAN
+set zone-policy zone WAN interface 'eth0'
+set zone-policy zone WAN description 'Internet / Untrusted'
+# Tạo zone LAN
+set zone-policy zone LAN interface 'eth1'
+set zone-policy zone LAN description 'Internal / Trusted'
+# Tạo zone DMZ
+set zone-policy zone DMZ interface 'eth2'
+set zone-policy zone DMZ description 'DMZ / Servers'
+# LOCAL zone (VyOS router)
+set zone-policy zone LOCAL local-zone
+set zone-policy zone LOCAL description 'VyOS Router'
+commit</code></pre>
+<h3>Bước 3: Gán firewall policies cho inter-zone traffic</h3>
+<pre><code class="language-bash"># WAN → LAN
+set zone-policy zone LAN from WAN firewall name 'WAN-TO-LAN'
+# LAN → WAN
+set zone-policy zone WAN from LAN firewall name 'LAN-TO-WAN'
+# WAN → DMZ
+set zone-policy zone DMZ from WAN firewall name 'WAN-TO-DMZ'
+# LAN → DMZ
+set zone-policy zone DMZ from LAN firewall name 'LAN-TO-DMZ'
+# DMZ → LAN
+set zone-policy zone LAN from DMZ firewall name 'DMZ-TO-LAN'
+# DMZ → WAN
+set zone-policy zone WAN from DMZ firewall name 'DMZ-TO-WAN'
+commit
+save</code></pre>
+<h2>LOCAL Zone — Bảo vệ Router</h2>
+<p>LOCAL zone kiểm soát traffic đến/từ chính VyOS router (SSH, DNS, DHCP, NTP...):</p>
+<pre><code class="language-bash"># === WAN → LOCAL: Rất hạn chế ===
+set firewall ipv4 name WAN-TO-LOCAL default-action 'drop'
+set firewall ipv4 name WAN-TO-LOCAL rule 10 action 'accept'
+set firewall ipv4 name WAN-TO-LOCAL rule 10 state 'established'
+set firewall ipv4 name WAN-TO-LOCAL rule 10 state 'related'
+set firewall ipv4 name WAN-TO-LOCAL rule 20 action 'drop'
+set firewall ipv4 name WAN-TO-LOCAL rule 20 state 'invalid'
+# === LAN → LOCAL: Cho phép SSH, DNS, DHCP ===
+set firewall ipv4 name LAN-TO-LOCAL default-action 'drop'
+set firewall ipv4 name LAN-TO-LOCAL rule 10 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 10 state 'established'
+set firewall ipv4 name LAN-TO-LOCAL rule 10 state 'related'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 protocol 'tcp'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 destination port '22'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 description 'Allow SSH'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 protocol 'udp'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 destination port '53'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 description 'Allow DNS'
+set firewall ipv4 name LAN-TO-LOCAL rule 120 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 120 protocol 'udp'
+set firewall ipv4 name LAN-TO-LOCAL rule 120 destination port '67,68'
+set firewall ipv4 name LAN-TO-LOCAL rule 120 description 'Allow DHCP'
+set firewall ipv4 name LAN-TO-LOCAL rule 130 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 130 protocol 'icmp'
+set firewall ipv4 name LAN-TO-LOCAL rule 130 description 'Allow Ping'
+# === LOCAL → WAN: Cho phép (router cần NTP, DNS, updates) ===
+set firewall ipv4 name LOCAL-TO-WAN default-action 'accept'
+# === LOCAL → LAN: Cho phép ===
+set firewall ipv4 name LOCAL-TO-LAN default-action 'accept'
+# Gán vào zone-policy
+set zone-policy zone LOCAL from WAN firewall name 'WAN-TO-LOCAL'
+set zone-policy zone LOCAL from LAN firewall name 'LAN-TO-LOCAL'
+set zone-policy zone WAN from LOCAL firewall name 'LOCAL-TO-WAN'
+set zone-policy zone LAN from LOCAL firewall name 'LOCAL-TO-LAN'
+commit
+save</code></pre>
+<h2>Best Practices cho Zone-based Firewall</h2>
+<ul>
+  <li><strong>Nguyên tắc least privilege</strong>: Default-action luôn là <code>drop</code>, chỉ mở những gì cần thiết</li>
+  <li><strong>State policy trước tiên</strong>: Rule 10 luôn là accept established/related</li>
+  <li><strong>Đánh số rule cách nhau</strong>: 10, 20, 100, 110... để dễ chèn thêm</li>
+  <li><strong>Sử dụng groups</strong>: Dùng address-group, port-group cho dễ quản lý</li>
+  <li><strong>Đặt tên rõ ràng</strong>: Rule set name theo format <code>SRC-TO-DST</code></li>
+  <li><strong>Dùng commit-confirm</strong>: Đặc biệt khi cấu hình qua SSH</li>
+  <li><strong>Document</strong>: Thêm description cho mỗi rule và zone</li>
+  <li><strong>Log dropped traffic</strong>: Bật default-log cho các chain drop để monitoring</li>
+</ul>
+<h2>Thêm GUEST Zone</h2>
+<p>GUEST zone cho WiFi khách — chỉ cho ra Internet, không cho truy cập LAN/DMZ/router:</p>
+<pre><code class="language-bash">configure
+# GUEST → WAN: Allow (khách vào Internet)
+set firewall ipv4 name GUEST-TO-WAN default-action 'accept'
+# GUEST → LAN: Block completely
+set firewall ipv4 name GUEST-TO-LAN default-action 'drop'
+# GUEST → DMZ: Block
+set firewall ipv4 name GUEST-TO-DMZ default-action 'drop'
+# GUEST → LOCAL: Chỉ DHCP và DNS
+set firewall ipv4 name GUEST-TO-LOCAL default-action 'drop'
+set firewall ipv4 name GUEST-TO-LOCAL rule 10 action 'accept'
+set firewall ipv4 name GUEST-TO-LOCAL rule 10 state 'established'
+set firewall ipv4 name GUEST-TO-LOCAL rule 10 state 'related'
+set firewall ipv4 name GUEST-TO-LOCAL rule 100 action 'accept'
+set firewall ipv4 name GUEST-TO-LOCAL rule 100 protocol 'udp'
+set firewall ipv4 name GUEST-TO-LOCAL rule 100 destination port '53,67,68'
+set firewall ipv4 name GUEST-TO-LOCAL rule 100 description 'Allow DNS and DHCP'
+# Tạo zone và gán interface
+set zone-policy zone GUEST interface 'eth3'
+set zone-policy zone GUEST description 'Guest WiFi / Untrusted'
+# Gán policies
+set zone-policy zone WAN from GUEST firewall name 'GUEST-TO-WAN'
+set zone-policy zone LAN from GUEST firewall name 'GUEST-TO-LAN'
+set zone-policy zone DMZ from GUEST firewall name 'GUEST-TO-DMZ'
+set zone-policy zone LOCAL from GUEST firewall name 'GUEST-TO-LOCAL'
+commit
+save</code></pre>
+<h2>Lab thực hành: Zone-policy 3 Zones cho Home Network</h2>
+<p>Xây dựng mạng 3 zones hoàn chỉnh từ đầu:</p>
+<pre><code class="language-bash">                   Internet
+                      │
+               ┌──────┴──────┐
+               │  WAN (eth0) │
+               │    DHCP     │
+               └──────┬──────┘
+                      │
+               ┌──────┴──────┐
+               │ VyOS Router │ LOCAL zone
+               └──┬───────┬──┘
+                  │       │
+        ┌─────────┘       └─────────┐
+        │                           │
+  ┌─────┴─────┐              ┌─────┴─────┐
+  │ LAN (eth1)│              │ DMZ (eth2)│
+  │ 10.0.1.0  │              │ 10.0.2.0  │
+  └───────────┘              └───────────┘
+  Trusted                    Web Server
+                             10.0.2.100</code></pre>
+<h3>Bước 1: Interfaces</h3>
+<pre><code class="language-bash">configure
+set interfaces ethernet eth0 address dhcp
+set interfaces ethernet eth0 description 'WAN'
+set interfaces ethernet eth1 address '10.0.1.1/24'
+set interfaces ethernet eth1 description 'LAN'
+set interfaces ethernet eth2 address '10.0.2.1/24'
+set interfaces ethernet eth2 description 'DMZ'
+commit</code></pre>
+<h3>Bước 2: NAT</h3>
+<pre><code class="language-bash"># Masquerade cho cả LAN và DMZ ra Internet
+set nat source rule 100 outbound-interface name 'eth0'
+set nat source rule 100 source address '10.0.0.0/8'
+set nat source rule 100 translation address masquerade
+# Port forward HTTP/HTTPS vào DMZ web server
+set nat destination rule 10 inbound-interface name 'eth0'
+set nat destination rule 10 protocol 'tcp'
+set nat destination rule 10 destination port '80,443'
+set nat destination rule 10 translation address '10.0.2.100'
+commit</code></pre>
+<h3>Bước 3: Firewall rule sets</h3>
+<pre><code class="language-bash"># WAN-TO-LAN
+set firewall ipv4 name WAN-TO-LAN default-action 'drop'
+set firewall ipv4 name WAN-TO-LAN rule 10 action 'accept'
+set firewall ipv4 name WAN-TO-LAN rule 10 state 'established'
+set firewall ipv4 name WAN-TO-LAN rule 10 state 'related'
+# LAN-TO-WAN
+set firewall ipv4 name LAN-TO-WAN default-action 'accept'
+# WAN-TO-DMZ
+set firewall ipv4 name WAN-TO-DMZ default-action 'drop'
+set firewall ipv4 name WAN-TO-DMZ rule 10 action 'accept'
+set firewall ipv4 name WAN-TO-DMZ rule 10 state 'established'
+set firewall ipv4 name WAN-TO-DMZ rule 10 state 'related'
+set firewall ipv4 name WAN-TO-DMZ rule 100 action 'accept'
+set firewall ipv4 name WAN-TO-DMZ rule 100 protocol 'tcp'
+set firewall ipv4 name WAN-TO-DMZ rule 100 destination port '80,443'
+set firewall ipv4 name WAN-TO-DMZ rule 100 description 'Allow HTTP/HTTPS to DMZ'
+# DMZ-TO-WAN
+set firewall ipv4 name DMZ-TO-WAN default-action 'accept'
+# LAN-TO-DMZ
+set firewall ipv4 name LAN-TO-DMZ default-action 'accept'
+# DMZ-TO-LAN
+set firewall ipv4 name DMZ-TO-LAN default-action 'drop'
+set firewall ipv4 name DMZ-TO-LAN rule 10 action 'accept'
+set firewall ipv4 name DMZ-TO-LAN rule 10 state 'established'
+set firewall ipv4 name DMZ-TO-LAN rule 10 state 'related'
+# WAN-TO-LOCAL
+set firewall ipv4 name WAN-TO-LOCAL default-action 'drop'
+set firewall ipv4 name WAN-TO-LOCAL rule 10 action 'accept'
+set firewall ipv4 name WAN-TO-LOCAL rule 10 state 'established'
+set firewall ipv4 name WAN-TO-LOCAL rule 10 state 'related'
+# LAN-TO-LOCAL
+set firewall ipv4 name LAN-TO-LOCAL default-action 'drop'
+set firewall ipv4 name LAN-TO-LOCAL rule 10 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 10 state 'established'
+set firewall ipv4 name LAN-TO-LOCAL rule 10 state 'related'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 protocol 'tcp'
+set firewall ipv4 name LAN-TO-LOCAL rule 100 destination port '22'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 protocol 'udp'
+set firewall ipv4 name LAN-TO-LOCAL rule 110 destination port '53,67,68'
+set firewall ipv4 name LAN-TO-LOCAL rule 120 action 'accept'
+set firewall ipv4 name LAN-TO-LOCAL rule 120 protocol 'icmp'
+# LOCAL-TO-WAN, LOCAL-TO-LAN, LOCAL-TO-DMZ
+set firewall ipv4 name LOCAL-TO-WAN default-action 'accept'
+set firewall ipv4 name LOCAL-TO-LAN default-action 'accept'
+set firewall ipv4 name LOCAL-TO-DMZ default-action 'accept'
+commit</code></pre>
+<h3>Bước 4: Zone-policy</h3>
+<pre><code class="language-bash"># Zones
+set zone-policy zone WAN interface 'eth0'
+set zone-policy zone LAN interface 'eth1'
+set zone-policy zone DMZ interface 'eth2'
+set zone-policy zone LOCAL local-zone
+# Inter-zone policies
+set zone-policy zone LAN from WAN firewall name 'WAN-TO-LAN'
+set zone-policy zone WAN from LAN firewall name 'LAN-TO-WAN'
+set zone-policy zone DMZ from WAN firewall name 'WAN-TO-DMZ'
+set zone-policy zone WAN from DMZ firewall name 'DMZ-TO-WAN'
+set zone-policy zone DMZ from LAN firewall name 'LAN-TO-DMZ'
+set zone-policy zone LAN from DMZ firewall name 'DMZ-TO-LAN'
+set zone-policy zone LOCAL from WAN firewall name 'WAN-TO-LOCAL'
+set zone-policy zone LOCAL from LAN firewall name 'LAN-TO-LOCAL'
+set zone-policy zone WAN from LOCAL firewall name 'LOCAL-TO-WAN'
+set zone-policy zone LAN from LOCAL firewall name 'LOCAL-TO-LAN'
+set zone-policy zone DMZ from LOCAL firewall name 'LOCAL-TO-DMZ'
+commit
+save</code></pre>
+<h3>Bước 5: Kiểm tra</h3>
+<pre><code class="language-bash">exit
+# Xem zone-policy
+show zone-policy
+# Xem firewall
+show firewall ipv4 name WAN-TO-DMZ
+show firewall ipv4 name LAN-TO-WAN
+# Test cases:
+# 1. LAN client ping 8.8.8.8            → OK (LAN→WAN: accept)
+# 2. LAN client SSH vào router           → OK (LAN→LOCAL: port 22 accept)
+# 3. Internet truy cập web server :80    → OK (WAN→DMZ: port 80 accept)
+# 4. Internet SSH vào router             → BLOCKED (WAN→LOCAL: drop)
+# 5. DMZ server truy cập LAN             → BLOCKED (DMZ→LAN: drop)
+# 6. DMZ server cập nhật từ Internet     → OK (DMZ→WAN: accept)</code></pre>
+<h2>Tổng kết</h2>
+<p>Trong bài này, bạn đã nắm được:</p>
+<ul>
+  <li><strong>Zone-based firewall</strong>: Tổ chức firewall theo vùng mạng thay vì theo interface — rõ ràng, scalable</li>
+  <li>Các zone phổ biến: WAN, LAN, DMZ, GUEST, LOCAL và vai trò của từng zone</li>
+  <li>Cách tạo <strong>named firewall rule sets</strong> với format SRC-TO-DST</li>
+  <li>Cấu hình <code>zone-policy</code> để gán interfaces vào zones và áp dụng inter-zone policies</li>
+  <li><strong>LOCAL zone</strong>: Bảo vệ chính VyOS router khỏi truy cập trái phép</li>
+  <li>Best practices: least privilege, state policy, commit-confirm, logging</li>
+  <li>Lab thực hành: Xây dựng hệ thống 3 zones (WAN/LAN/DMZ) hoàn chỉnh</li>
+</ul>
+<p>Đến đây bạn đã có nền tảng vững chắc về VyOS: từ cài đặt, cấu hình interface, NAT, firewall cơ bản đến zone-based firewall. Các bài tiếp theo sẽ đi vào các chủ đề nâng cao hơn như DHCP/DNS services, VPN (IPsec, WireGuard), routing protocols (OSPF, BGP) và High Availability.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/06-bai-6-dhcp-server-dns-forwarding-va-ntp.md ADDED Viewed

@@ -0,0 +1,108 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e34d7b36e63
+title: 'Bài 6: DHCP Server, DNS Forwarding và NTP'
+slug: bai-6-dhcp-server-dns-forwarding-va-ntp
+description: >-
+  Cấu hình DHCP Server, DNS Forwarding và NTP trên VyOS, bao gồm các ví dụ thực tế, lab thực hành và tổng kết kiến thức.
+duration_minutes: 130
+is_free: true
+video_url: null
+sort_order: 6
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-06-dhcp-dns.png" alt="DHCP Server, DNS Forwarding và NTP" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+<h2>Giới thiệu về DHCP Server, DNS Forwarding và NTP trên VyOS</h2>
+<p>Trong bài học này, bạn sẽ tìm hiểu cách cấu hình <strong>DHCP Server</strong>, <strong>DNS Forwarding</strong> và <strong>NTP</strong> trên VyOS phiên bản 1.4.x/1.5 rolling release. Đây là các dịch vụ nền tảng giúp tự động cấp phát địa chỉ IP, chuyển tiếp truy vấn DNS và đồng bộ thời gian cho hệ thống mạng.</p>
+<h3>1. Cấu hình DHCP Server trên VyOS</h3>
+<p>DHCP Server giúp tự động cấp phát địa chỉ IP, gateway, DNS cho các thiết bị trong mạng LAN.</p>
+<ul>
+  <li><strong>Khởi tạo DHCP Server cho mạng LAN:</strong></li>
+</ul>
+<pre><code class="language-bash">set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 default-router 192.168.10.1
+set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 dns-server 8.8.8.8
+set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 range 0 start 192.168.10.100
+set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 range 0 stop 192.168.10.200
+</code></pre>
+<ul>
+  <li><strong>Gán IP tĩnh cho thiết bị dựa trên MAC:</strong></li>
+</ul>
+<pre><code class="language-bash">set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 static-mapping PC1 ip-address 192.168.10.50
+set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 static-mapping PC1 mac-address 00:11:22:33:44:55
+</code></pre>
+<ul>
+  <li><strong>Cấu hình DHCPv6 (IPv6):</strong></li>
+</ul>
+<pre><code class="language-bash">set service dhcpv6-server shared-network-name LAN6 subnet 2001:db8:1::/64 range 0 start 2001:db8:1::100
+set service dhcpv6-server shared-network-name LAN6 subnet 2001:db8:1::/64 range 0 stop 2001:db8:1::200
+set service dhcpv6-server shared-network-name LAN6 subnet 2001:db8:1::/64 name-server 2001:4860:4860::8888
+</code></pre>
+<ul>
+  <li><strong>DHCP Relay:</strong> Chuyển tiếp yêu cầu DHCP tới server khác.</li>
+</ul>
+<pre><code class="language-bash">set service dhcp-relay interface eth1
+set service dhcp-relay server 192.168.20.10
+</code></pre>
+<h3>2. Cấu hình DNS Forwarding</h3>
+<p>DNS Forwarding giúp các thiết bị trong mạng LAN truy vấn DNS thông qua VyOS.</p>
+<pre><code class="language-bash">set service dns forwarding listen-address 192.168.10.1
+set service dns forwarding allow-from 192.168.10.0/24
+set service dns forwarding cache-size 1000
+set service dns forwarding name-server 8.8.8.8
+set service dns forwarding static-host-mapping host-name server1.intra inet 192.168.10.10
+</code></pre>
+<ul>
+  <li><strong>Kiểm tra trạng thái DNS Forwarding:</strong></li>
+</ul>
+<pre><code class="language-bash">show service dns forwarding
+</code></pre>
+<h3>3. Cấu hình NTP (Network Time Protocol)</h3>
+<p>NTP giúp đồng bộ thời gian hệ thống với các máy chủ chuẩn.</p>
+<pre><code class="language-bash">set service ntp server 0.pool.ntp.org
+set service ntp server 1.pool.ntp.org
+set service ntp listen-address 192.168.10.1
+</code></pre>
+<ul>
+  <li><strong>Kiểm tra trạng thái NTP:</strong></li>
+</ul>
+<pre><code class="language-bash">show ntp
+</code></pre>
+<h3>4. Ví dụ thực tế & sơ đồ mạng</h3>
+<p>Giả sử bạn có sơ đồ mạng như sau:</p>
+<pre><code>+-------------------+      +-------------------+
+|   VyOS Router     |------|   Switch LAN      |
+| 192.168.10.1/24   |      |                   |
++-------------------+      +-------------------+
+           |                        |
+      DHCP, DNS, NTP           Các PC, IoT
+</code></pre>
+<h3>5. Lab thực hành: Cấu hình DHCP, DNS, NTP</h3>
+<ol>
+  <li>Đăng nhập vào VyOS qua SSH hoặc console.</li>
+  <li>Thực hiện các lệnh cấu hình DHCP, DNS, NTP như trên.</li>
+  <li>Commit và save cấu hình:</li>
+</ol>
+<pre><code class="language-bash">commit
+save
+</code></pre>
+<ol start="4">
+  <li>Kết nối một PC vào mạng LAN, kiểm tra nhận IP, DNS, NTP tự động.</li>
+  <li>Kiểm tra trạng thái dịch vụ:</li>
+</ol>
+<pre><code class="language-bash">show dhcp server leases
+show service dns forwarding
+show ntp
+</code></pre>
+<h3>6. Tổng kết</h3>
+<p>Bạn đã nắm được cách cấu hình DHCP Server, DNS Forwarding và NTP trên VyOS, giúp tự động hóa cấp phát IP, truy vấn DNS và đồng bộ thời gian cho hệ thống mạng.</p>

package/content/series/devsecops/vyos-tu-co-ban-den-nang-cao/chapters/01-vyos-tu-co-ban-den-nang-cao/lessons/07-bai-7-vlans-bonding-va-bridge.md ADDED Viewed

@@ -0,0 +1,96 @@
+---
+id: 019d65ef-d36f-773e-bf0a-9e354f8246f3
+title: 'Bài 7: VLANs, Bonding và Bridge'
+slug: bai-7-vlans-bonding-va-bridge
+description: >-
+  Cấu hình VLANs, Bonding và Bridge trên VyOS, thực hành phân đoạn mạng, lab và tổng kết kiến thức.
+duration_minutes: 150
+is_free: true
+video_url: null
+sort_order: 7
+section_title: "VyOS từ Cơ bản đến Nâng cao"
+course:
+  id: 019d65ef-d36f-773e-bf0a-9e2efc5e19df
+  title: VyOS từ Cơ bản đến Nâng cao
+  slug: vyos-tu-co-ban-den-nang-cao
+---
+<img src="/storage/uploads/2026/04/vyos-07-vlans.png" alt="VLANs, Bonding và Bridge" style="display:block;margin:24px auto 32px auto;max-width:700px;width:100%;border-radius:18px;box-shadow:0 4px 32px #0002" loading="lazy" />
+<h2>Giới thiệu về VLANs, Bonding và Bridge trên VyOS</h2>
+<p>Bài học này hướng dẫn cấu hình <strong>VLANs (802.1Q)</strong>, <strong>Bonding</strong> (gộp nhiều interface vật lý) và <strong>Bridge</strong> (cầu nối mạng) trên VyOS 1.4.x/1.5 rolling release. Đây là các kỹ thuật quan trọng để phân đoạn, tối ưu và mở rộng mạng LAN.</p>
+<h3>1. Cấu hình VLANs (802.1Q)</h3>
+<p>VLAN giúp phân chia mạng vật lý thành nhiều mạng logic, tăng bảo mật và hiệu quả quản lý.</p>
+<pre><code class="language-bash">set interfaces ethernet eth0 vif 10 address 192.168.10.1/24
+set interfaces ethernet eth0 vif 20 address 192.168.20.1/24
+</code></pre>
+<ul>
+  <li><strong>Router-on-a-stick (Inter-VLAN Routing):</strong></li>
+</ul>
+<pre><code class="language-bash">set interfaces ethernet eth0 vif 30 address 192.168.30.1/24
+</code></pre>
+<p>Trên switch, cấu hình trunk port cho eth0, access port cho các VLAN.</p>
+<h3>2. Cấu hình Bonding (Gộp nhiều interface)</h3>
+<p>Bonding giúp tăng băng thông và dự phòng bằng cách gộp nhiều interface vật lý.</p>
+<pre><code class="language-bash">set interfaces bonding bond0 mode 802.3ad
+set interfaces bonding bond0 member interface eth1
+set interfaces bonding bond0 member interface eth2
+set interfaces bonding bond0 address 10.10.10.1/24
+</code></pre>
+<p>Chế độ <strong>802.3ad (LACP)</strong> yêu cầu switch hỗ trợ LACP.</p>
+<h3>3. Cấu hình Bridge Interface</h3>
+<p>Bridge giúp kết nối nhiều interface vật lý hoặc VLAN thành một mạng logic.</p>
+<pre><code class="language-bash">set interfaces bridge br0 member interface eth3
+set interfaces bridge br0 member interface eth4
+set interfaces bridge br0 address 192.168.50.1/24
+</code></pre>
+<h3>4. Kết hợp VLANs với Bridge và Firewall Zones</h3>
+<p>Có thể kết hợp bridge với các VLAN để phân vùng mạng, ví dụ:</p>
+<pre><code class="language-bash">set interfaces bridge br1 member interface eth0.10
+set interfaces bridge br1 member interface eth5
+set interfaces bridge br1 address 192.168.60.1/24
+</code></pre>
+<p>Kết hợp với firewall zone để kiểm soát truy cập giữa các phân đoạn.</p>
+<h3>5. Thực hành: Phân đoạn LAN/GUEST/IoT</h3>
+<pre><code>+-------------------+
+|   VyOS Router     |
+|                   |
+|  eth0 (trunk)     |
++--------+----------+
+         |
+   +-----+-----+
+   |   Switch  |
+   +-----+-----+
+         |
+   +-----+-----+
+   |   PC LAN  | (VLAN 10)
+   +-----------+
+   |   PC Guest| (VLAN 20)
+   +-----------+
+   |   IoT Dev | (VLAN 30)
+   +-----------+
+</code></pre>
+<h3>6. Lab thực hành: Cấu hình VLAN, Bonding, Bridge</h3>
+<ol>
+  <li>Đăng nhập VyOS, xác định các interface vật lý.</li>
+  <li>Cấu hình VLANs, bonding, bridge như trên.</li>
+  <li>Commit và save cấu hình:</li>
+</ol>
+<pre><code class="language-bash">commit
+save
+</code></pre>
+<ol start="4">
+  <li>Cấu hình switch trunk/access phù hợp.</li>
+  <li>Kiểm tra kết nối giữa các VLAN, bridge.</li>
+</ol>
+<pre><code class="language-bash">show interfaces
+show bridge br0
+</code></pre>
+<h3>7. Tổng kết</h3>
+<p>Bạn đã biết cách cấu hình VLANs, bonding và bridge trên VyOS, ứng dụng vào phân đoạn mạng, tăng dự phòng và tối ưu hệ thống.</p>