Hướng dẫn tạo, chia sẻ và cấu hình mạng VLAN chi tiết

Nguyễn Hội

2 tuần trước

Trong nội dung tiếp theo, Xanh Cloud sẽ hướng dẫn bạn từng bước xây dựng và triển khai mạng VLAN một cách bài bản, từ khâu tạo VLAN, phân chia hệ thống mạng cho đến cấu hình chi tiết trên thiết bị. Thông qua hướng dẫn này, bạn sẽ nắm được cách tổ chức mạng hiệu quả, dễ quản lý và phù hợp với nhiều mô hình sử dụng khác nhau.

Cách chia VLAN cơ bản

Chia VLAN cơ bản là bước quan trọng để tổ chức lại mạng nội bộ theo hướng khoa học, dễ quản trị và an toàn hơn. Việc phân chia thường dựa trên phòng ban, chức năng sử dụng hoặc loại lưu lượng trong hệ thống.

Xác định nhu cầu và mô hình mạng: Trước hết cần xác định mục đích chia VLAN như tách mạng theo phòng ban, tách dữ liệu và thoại (Voice VLAN) hoặc tách mạng quản trị. Việc này giúp lựa chọn số lượng VLAN và VLAN ID phù hợp.
Tạo VLAN và đặt tên rõ ràng: Trên switch, tạo các VLAN với ID riêng và đặt tên dễ nhận biết để thuận tiện cho việc quản lý và cấu hình sau này.
Gán cổng (Port) vào VLAN tương ứng: Mỗi cổng vật lý trên switch được cấu hình thuộc một VLAN cụ thể. Thiết bị cắm vào cổng nào sẽ tự động nằm trong VLAN đó, thường áp dụng với Port-based VLAN.
Thiết lập cổng Trunk giữa các thiết bị mạng: Khi cần truyền dữ liệu của nhiều VLAN giữa các switch hoặc giữa switch và router, phải cấu hình cổng trunk và sử dụng chuẩn gắn thẻ 802.1Q.
Cấu hình định tuyến giữa các VLAN (nếu cần): Để các VLAN có thể giao tiếp với nhau, cần cấu hình Inter-VLAN Routing trên router hoặc switch Layer 3.

Ngoài ra sau khi cấu hình, cần kiểm tra khả năng kết nối trong từng VLAN và giữa các VLAN để đảm bảo hệ thống hoạt động đúng thiết kế.

Chia VLAN cơ bản là bước quan trọng để tổ chức lại mạng nội bộ theo hướng khoa học, dễ quản trị và an toàn hơn.

Hướng dẫn cấu hình VLAN trên các thiết bị phổ biến

Trong quá trình triển khai hệ thống mạng, VLAN có thể được cấu hình trên Switch, Router hoặc Firewall tùy theo kiến trúc mạng. Mục này trình bày các bước cấu hình cốt lõi, sử dụng thuật ngữ kỹ thuật chuẩn, giúp người đọc nhanh chóng nắm được cách chia VLAN trên các thiết bị phổ biến hiện nay.

1. Cấu hình VLAN trên Switch Cisco

Với các dòng Switch Cisco phổ thông như Cisco Catalyst 2960, VLAN chủ yếu được triển khai ở Layer 2 nhằm tách các thiết bị trong cùng một hạ tầng mạng vật lý thành các miền broadcast độc lập.

Quy trình cấu hình cơ bản gồm:

Tạo VLAN bằng VLAN ID và đặt tên để dễ nhận diện.
Gán cổng vật lý vào VLAN tương ứng.
Xác định chế độ cổng:
- Access: kết nối trực tiếp với máy tính, máy in, thiết bị đầu cuối.
- Trunk: kết nối giữa các Switch, cho phép truyền nhiều VLAN qua chuẩn IEEE 802.1Q.

Các lệnh thường dùng trong quá trình cấu hình:

vlan [id] – tạo VLAN.
name [name] – đặt tên VLAN.
switchport mode access / switchport mode trunk – cấu hình chế độ cổng.

Đối với Switch Layer 3, ngoài các bước trên, quản trị viên có thể tạo SVI (Switch Virtual Interface) cho từng VLAN. Mỗi SVI đóng vai trò là Default Gateway, cho phép Switch thực hiện định tuyến giữa các VLAN mà không cần Router riêng, giúp tối ưu hiệu năng trong hệ thống mạng nội bộ.

2. Cấu hình VLAN trên Router và Firewall (Fortigate, MikroTik, DrayTek)

Khi VLAN được triển khai trên Router hoặc Firewall, thiết bị này sẽ đảm nhiệm vai trò định tuyến Layer 3, cấp phát IP và kiểm soát bảo mật giữa các VLAN.

Cấu hình VLAN trên Fortigate

Trên Fortigate, VLAN được tạo bằng VLAN Sub-interface gắn vào cổng vật lý:

Tạo VLAN Interface và khai báo VLAN ID.
Gán địa chỉ IP làm Default Gateway cho VLAN.
Cấu hình DHCP Server cho từng VLAN.
Tạo Firewall Policy để kiểm soát:
- Giao tiếp giữa các VLAN.
- Truy cập từ VLAN ra Internet.
Thiết lập Default Route và NAT (SNAT) cho lưu lượng đi WAN.

Cấu hình VLAN trên MikroTik (RouterOS)

MikroTik triển khai VLAN thông qua sự kết hợp giữa VLAN Interface, Bridge và VLAN Table:

Tạo VLAN Interface và gán VLAN ID.
Xác định cổng:
- Tagged cho trunk.
- Untagged cho thiết bị đầu cuối.
Gán địa chỉ IP và DHCP Server cho từng VLAN.
Cấu hình Routing và NAT (Masquerade) để các VLAN ra Internet.

Cách làm này phù hợp với các mô hình mạng linh hoạt, nhiều VLAN và yêu cầu kiểm soát chi tiết từng cổng.

Cấu hình VLAN trên DrayTek

Với các thiết bị như DrayTek 2925, VLAN được cấu hình trực tiếp trong giao diện Web:

Truy cập LAN → VLAN Configuration.
Khai báo VLAN ID và bật VLAN.
Gán các cổng LAN vào từng VLAN.
Thiết lập IP và DHCP Pool cho mỗi VLAN.
Cấu hình Firewall Rule để kiểm soát Inter-VLAN Routing.
Thiết lập NAT cho các VLAN truy cập Internet.

DrayTek đặc biệt phù hợp với văn phòng nhỏ và vừa nhờ khả năng Multi-LAN và cấu hình đơn giản.

VLAN trên Router và Switch TP-Link

Trong môi trường văn phòng nhỏ:

Switch TP-Link: tạo VLAN, gán cổng access/trunk.
Router TP-Link: định tuyến, cấp DHCP và NAT cho từng VLAN.

Mô hình này đáp ứng tốt nhu cầu tách mạng phòng ban, mạng khách và mạng nội bộ mà không cần hệ thống phức tạp.

Cấu hình VLAN trên Router và Firewall (Fortigate, MikroTik, DrayTek).

Kỹ thuật cấu hình cho phép các VLAN giao tiếp với nhau

Trong mô hình mạng sử dụng VLAN, các VLAN mặc định không thể giao tiếp trực tiếp do bị tách biệt ở Layer 2. Để các VLAN có thể “thấy nhau”, bắt buộc phải triển khai Inter-VLAN Routing, tức là thực hiện định tuyến ở Layer 3 thông qua Router, Switch Layer 3 hoặc Firewall.

Giải pháp Router-on-a-stick là phương án phổ biến trong các hệ thống vừa và nhỏ. Mô hình này sử dụng một cổng vật lý duy nhất trên Router, cấu hình ở chế độ trunk 802.1Q, sau đó tạo nhiều sub-interface, mỗi sub-interface tương ứng với một VLAN ID. Mỗi sub-interface sẽ được gán một địa chỉ IP đóng vai trò Default Gateway cho VLAN đó. Switch kết nối với Router sẽ cấu hình cổng trunk để truyền đồng thời nhiều VLAN, giúp Router định tuyến lưu lượng giữa các mạng VLAN khác nhau.

Để cấu hình hai VLAN giao tiếp với nhau, quy trình logic gồm:

Tạo hai VLAN trên Switch và gán các cổng access cho thiết bị đầu cuối.
Cấu hình cổng kết nối Router–Switch ở chế độ trunk.
Trên Router (hoặc Switch Layer 3), tạo hai interface logic (sub-interface hoặc SVI), mỗi interface gán IP thuộc subnet của từng VLAN.
Khi routing được bật, Router sẽ tự động định tuyến giữa hai VLAN thông qua các Default Gateway đã khai báo.

Tuy để việc cho phép VLAN thông nhau hoàn toàn có thể tiềm ẩn rủi ro bảo mật. Để hai VLAN vẫn giao tiếp nhưng được kiểm soát chặt chẽ, cần áp dụng ACL (Access Control List) hoặc Firewall Policy. ACL cho phép:

Chỉ định rõ VLAN nào được phép truy cập VLAN nào.
Giới hạn dịch vụ hoặc cổng (port) được phép sử dụng, ví dụ chỉ cho phép VLAN người dùng truy cập VLAN server qua HTTP/HTTPS.
Chặn hoàn toàn các luồng truy cập không cần thiết, đặc biệt là từ VLAN khách sang VLAN nội bộ.

Nhờ kết hợp Inter-VLAN Routing và ACL, hệ thống mạng vừa đảm bảo khả năng kết nối linh hoạt giữa các VLAN, vừa duy trì mức độ bảo mật cao, đáp ứng tốt yêu cầu phân tách phòng ban, bảo vệ tài nguyên và kiểm soát lưu lượng trong mạng doanh nghiệp.

Kỹ thuật cấu hình cho phép các VLAN giao tiếp với nhau.

Giải pháp cài mạng nội bộ LAN ảo qua Internet

Giải pháp cài mạng nội bộ LAN ảo qua Internet là phương án mở rộng mạng nội bộ truyền thống bằng cách sử dụng VPN hoặc SD-WAN để kết nối các địa điểm ở xa vào cùng một hệ thống logic thống nhất. Về bản chất, VLAN vẫn đảm nhiệm vai trò phân tách mạng ở tầng 2 (Layer 2) trong từng chi nhánh, còn VPN/SD-WAN tạo đường hầm bảo mật qua Internet để truyền tải lưu lượng giữa các VLAN ở các vị trí khác nhau. Nhờ đó, các máy tính và hệ thống tại nhiều địa điểm có thể hoạt động như đang nằm trong cùng một mạng LAN nội bộ, nhưng vẫn đảm bảo an toàn dữ liệu và kiểm soát truy cập.

Để kết nối các chi nhánh từ xa vào chung một hệ thống VLAN, mỗi điểm mạng sẽ triển khai VLAN cục bộ trên switch (theo phòng ban hoặc chức năng), sau đó định tuyến lưu lượng VLAN qua router hoặc firewall bằng VPN Site-to-Site hoặc SD-WAN. Router/Firewall tại mỗi chi nhánh sẽ đảm nhiệm việc gán IP, định tuyến liên VLAN và thiết lập chính sách bảo mật, trong khi đường hầm VPN/SD-WAN cho phép các subnet/VLAN ở các chi nhánh “nhìn thấy” nhau theo đúng quyền được cấp. Cách làm này giúp doanh nghiệp chia sẻ tài nguyên tập trung, quản lý mạng thống nhất, mở rộng linh hoạt mà không cần kéo đường truyền vật lý riêng giữa các địa điểm.

Lưu ý quan trọng khi cấu hình VLAN

Khi triển khai VLAN, việc cấu hình đúng kỹ thuật là chưa đủ, quản trị viên cần chú ý đến nhiều yếu tố vận hành và bảo mật để hệ thống mạng hoạt động ổn định, dễ quản lý và hạn chế rủi ro phát sinh. Dưới đây là những lưu ý quan trọng cần ghi nhớ trong quá trình cấu hình và vận hành VLAN.

Tránh xung đột VLAN ID: Mỗi VLAN phải sử dụng một VLAN ID duy nhất và được cấu hình đồng bộ trên tất cả switch/router. Cần lập sơ đồ VLAN rõ ràng, phân nhóm theo phòng ban hoặc dịch vụ, tránh dùng trùng ID hoặc thay đổi ID tùy tiện khi mở rộng hệ thống.
Quản lý bảo mật tại các cổng Trunk: Chỉ cho phép những VLAN cần thiết đi qua cổng Trunk, không để mặc định “allow all VLAN”. Cấu hình Native VLAN thống nhất, tắt cơ chế thương lượng Trunk không cần thiết và kết hợp ACL/Firewall để hạn chế truy cập trái phép giữa các VLAN.

Ngoài ra sau khi cấu hình, cần kiểm tra IP, gateway, trạng thái Access/Trunk của cổng, khả năng định tuyến giữa các VLAN và log hệ thống. Việc rà soát định kỳ giúp phát hiện sớm lỗi cấu hình, tránh gián đoạn mạng và rủi ro bảo mật.

Trên đây là toàn bộ hướng dẫn chi tiết về cách tạo, phân chia và cấu hình mạng VLAN một cách hiệu quả. Hy vọng những nội dung này sẽ giúp bạn hiểu rõ hơn về nguyên lý hoạt động, cách triển khai và các lưu ý quan trọng khi ứng dụng VLAN trong hệ thống mạng thực tế. Đừng quên theo dõi Xanh Cloud để cập nhật thêm nhiều bài viết chuyên sâu, hữu ích khác về hạ tầng mạng và công nghệ nhé.