Việc cấu hình vlan switch cisco là một trong những kỹ năng nền tảng và quan trọng nhất đối với bất kỳ quản trị viên mạng nào. VLAN (Virtual Local Area Network) không chỉ đơn thuần là chia nhỏ mạng vật lý thành các phân đoạn logic, mà còn là yếu tố then chốt để tối ưu hóa hiệu năng, quản lý luồng dữ liệu (traffic management) và tăng cường bảo mật cho hệ thống doanh nghiệp theo chuẩn IEEE 802.1Q.
Trong bài viết chuyên sâu này, chúng tôi sẽ hướng dẫn bạn cách triển khai VLAN trên các dòng Switch Cisco Catalyst 1200 và 1300 Series thông qua cả giao diện Web (GUI) và dòng lệnh (CLI), đồng thời chia sẻ các kỹ thuật cấu hình an toàn từ kinh nghiệm quản trị hệ thống thực tế.
Nguyên lý hoạt động của VLAN trên thiết bị Cisco
Trước khi đi sâu vào các bước cấu hình vlan switch cisco, chúng ta cần hiểu rõ bản chất của giao thức. Theo RFC 2674, VLAN cho phép chúng ta tách một broadcast domain duy nhất thành nhiều domain nhỏ hơn. Điều này ngăn chặn tình trạng “broadcast storm” và cô lập các rủi ro bảo mật giữa các phòng ban.
Khi một frame Ethernet đi từ một thiết bị vào Switch qua một access port, nó sẽ được gắn thêm một thông tin định danh gọi là VLAN ID (Tag) theo chuẩn 802.1Q. Khi truyền qua các trunk port nối giữa các thiết bị mạng, Tag này giúp Switch nhận diện frame đó thuộc về mạng logic nào. Đối với các dòng Cisco Catalyst 1200/1300 (chạy hệ điều hành chuẩn Smart Network), cấu trúc quản lý VLAN được thiết kế để đơn giản hóa nhưng vẫn đảm bảo đầy đủ các tính năng Layer 2 phức tạp.
⚠️ Cảnh báo bảo mật: Theo tiêu chuẩn NIST, bạn không nên sử dụng VLAN 1 (VLAN mặc định) cho các dữ liệu quan trọng hoặc quản lý. Việc để nguyên VLAN 1 mặc định khiến hệ thống dễ bị tấn công VLAN Hopping.
Mô hình Lab cấu hình thực tế
Để việc cấu hình vlan switch cisco đạt hiệu quả cao nhất, chúng ta sẽ thực hiện trên một Topology thực tế thường gặp trong các doanh nghiệp vừa và nhỏ:
mô hình lab VLAN trên cisco C1200 C1300
Phân hoạch Network:
- VLAN 10 (Office): Dành cho máy tính, laptop nhân viên. Dải IP: 192.168.10.0/24.
- VLAN 20 (Camera): Dành cho hệ thống giám sát IP. Dải IP: 192.168.20.0/24.
- VLAN 30 (Voice): Dành cho điện thoại IP Phone. Dải IP: 192.168.30.0/24.
Quy hoạch cổng kết nối:
- Port 1 – 7: Thuộc VLAN 10 (access port).
- Port 8 – 15: Thuộc VLAN 20 (access port).
- Port 16 – 22: Thuộc VLAN 30 (access port).
- Port 24: Kết nối lên Router/Firewall (đường Uplink), cấu hình là trunk port cho phép VLAN 10, 20, 30 đi qua.
Hướng dẫn cấu hình VLAN Switch Cisco qua giao diện Web (GUI)
Với các dòng Cisco Business (Catalyst 1200/1300), giao diện Web được tối ưu rất tốt giúp giảm tỉ lệ sai sót khi gõ lệnh.
Bước 1: Khởi tạo cơ sở dữ liệu VLAN
Đầu tiên, bạn cần khai báo sự tồn tại của các VLAN trong cơ sở dữ liệu của Switch.
- Truy cập menu VLAN Management > VLAN Settings.
- Nhấn dấu + (Add) để tạo mới.
truy cập vào menu VLAN Settings
Nếu bạn cần tạo nhiều VLAN liên tiếp (ví dụ từ 10 đến 19), hãy chọn tính năng VLAN Range. Tuy nhiên, để quản lý tốt hơn, bạn nên tạo từng VLAN và đặt tên (Name) gợi nhớ:
- VLAN ID: 10 | Name: OFFICE
- VLAN ID: 20 | Name: CAMERA
- VLAN ID: 30 | Name: IP_PHONE
nhập VLAN ID và VLAN Name
Bước 2: Thiết lập IP quản lý (Management IP)
Để có thể truy cập và cấu hình vlan switch cisco từ xa sau này, bạn nên đặt địa chỉ IP cho một Interface VLAN quản lý.
- Vào IPv4 Configuration > IPv4 Interface.
- Chọn Interface VLAN 10.
- Thiết lập Static IP Address (ví dụ: 192.168.10.2).
- Network Mask: 255.255.255.0 (hoặc Prefix Length: 24).
cấu hình IP cho interface VLAN 10
Bước 3: Cấu hình cổng Trunking (Uplink)
Cổng Trunk là cổng cho phép truyền tải dữ liệu của nhiều VLAN khác nhau trên cùng một sợi cáp vật lý.
- Vào VLAN Management > Interface Settings.
- Chọn Port 24, nhấn Edit.
- Chuyển Interface VLAN Mode sang Trunk. Nhấn Apply.
chuyển sang mode Trunk và nhấn Apply
Để thắt chặt bảo mật trong quá trình cấu hình vlan switch cisco, bạn nên giới hạn các VLAN được phép đi qua đường trunk thay vì để mặc định “All VLANs”. Chuyển sang menu Port VLAN Membership, chọn Port 24, nhấn Join VLAN và nhập 10, 20, 30 vào mục User Defined.
nhập các vlan sẽ cho phép trên đường trunk
Bước 4: Gán các cổng Access vào VLAN
Bước cuối cùng là xác định thiết bị đầu cuối ở cổng nào sẽ thuộc VLAN đó.
- Vào menu Port to VLAN.
- Chọn VLAN ID cần cấu hình (ví dụ VLAN 10), nhấn Go.
- Tại danh sách các cổng từ 1 đến 7, chuyển trạng thái sang Untagged. Việc chọn “Untagged” có nghĩa là Switch sẽ tháo thẻ Tag VLAN khi gửi dữ liệu đến PC và gắn Tag khi nhận dữ liệu từ PC.
access các ports từ 1 đến 7 vào VLAN 10
Thực hiện tương tự với các VLAN 20 (Port 8-15) và VLAN 30 (Port 16-22). Sau khi hoàn tất, đừng quên nhấn biểu tượng Save (hình đĩa mềm) ở góc trên để lưu cấu hình vào Running-config. Nếu không lưu, mọi thiết lập sẽ mất khi Switch khởi động lại.
Cách cấu hình VLAN Switch Cisco bằng dòng lệnh (CLI)
Là một chuyên gia quản trị mạng, việc thành thạo CLI giúp bạn triển khai hệ thống nhanh gấp 5 lần so với GUI. Dưới đây là bộ các câu lệnh chuẩn áp dụng cho hầu hết các dòng Catalyst.
1. Khai báo VLAN và đặt tên
configure terminal
vlan 10
name OFFICE
vlan 20
name CAMERA
vlan 30
name IP_PHONE
exit2. Cấu hình Range Access Port
Thay vì gõ từng cổng, ta sử dụng lệnh interface range để tối ưu hóa thời gian cấu hình vlan switch cisco.
interface range gigabitethernet 1/0/1 - 7
switchport mode access
switchport access vlan 10
spanning-tree portfast
exitLưu ý: Lệnh spanning-tree portfast giúp cổng chuyển sang trạng thái Forwarding ngay lập tức, rất hữu ích cho các cổng nối trực tiếp với máy tính.
3. Cấu hình đường Trunk
interface gigabitethernet 1/0/24
description UPLINK_TO_FIREWALL
switchport mode trunk
switchport trunk allowed vlan 10,20,30
exit4. Kiểm tra cấu hình (Verify)
Sau khi thực hiện xong, hãy sử dụng các lệnh kiểm tra sau để đảm bảo traffic đi đúng hướng:
show vlan brief: Xem danh sách VLAN và các cổng tương ứng.show interfaces trunk: Kiểm tra trạng thái đường Trunk và danh sách VLAN được phép (allowed).
Các lỗ hổng bảo mật và sai sót thường gặp
Trong quá trình cấu hình vlan switch cisco, các kỹ sư kinh nghiệm thường lưu ý những vấn đề sau để tránh “Down-time” hệ thống:
- Native VLAN Mismatch: Khi hai đầu của đường trunk có Native VLAN khác nhau (mặc định là VLAN 1), Switch sẽ báo lỗi liên tục và traffic của VLAN đó có thể bị rò rỉ sang VLAN khác. Hãy đảm bảo lệnh
switchport trunk native vlan [id]đồng nhất ở cả hai phía. - VTP Pruning không mong muốn: Nếu sử dụng giao thức VTP, một sai sót nhỏ trên thiết bị Switch trung tâm có thể xóa vĩnh viễn cơ sở dữ liệu VLAN trên toàn bộ các Switch nhánh. Khuyến nghị: Sử dụng chế độ
vtp mode transparentnếu bạn không quản lý quá nhiều thiết bị. - Quên cấu hình Inter-VLAN Routing: VLAN chia cắt Layer 2. Để các VLAN có thể nhìn thấy nhau (ví dụ máy tính in được ảnh từ Camera), bạn buộc phải cấu hình định tuyến trên Router (Router-on-a-stick) hoặc trên Switch Layer 3 (SVI – Switch Virtual Interface).
- Security Unused Ports: Các cổng không sử dụng nên được gán vào một “Black-hole VLAN” (VLAN không có kết nối internet/mạng nội bộ) và thực hiện lệnh
shutdown.
Kiểm tra và xử lý sự cố (Troubleshooting)
Nếu sau khi cấu hình vlan switch cisco mà thiết bị đầu cuối không nhận được IP hoặc không ping thấy Gateway, bạn hãy thực hiện quy trình kiểm tra 3 bước:
- Kiểm tra vật lý: Kiểm tra đèn tín hiệu trên Switch. Đèn xanh đứng yên hoặc nhấp nháy là ổn định. Đèn màu cam (Amber) có thể do lỗi Loop hoặc Spanning-Tree đang chặn cổng.
- Kiểm tra lớp 2 (MAC Table): Chạy lệnh
show mac address-table vlan 10. Nếu không thấy MAC của PC xuất hiện, có thể do dây cáp lỗi hoặc cổng chưa được gán đúng VLAN. - Kiểm tra Trunking: Sử dụng lệnh
show interfaces [tên_cổng] switchportđể xem thông tin chi tiết về Mode (Access hay Trunk) và trạng thái encapsulation.
Việc nắm vững kỹ thuật cấu hình vlan switch cisco giúp bạn xây dựng một hạ tầng mạng không chỉ mạnh mẽ mà còn có khả năng mở rộng linh hoạt. Hãy luôn tuân thủ nguyên tắc: Phân hoạch rõ ràng – Tài liệu hóa đầy đủ – Lưu cấu hình sau mỗi bước thực hiện. Sau khi nắm vững VLAN, bạn có thể tìm hiểu thêm về kỹ thuật EtherChannel để tăng băng thông cho các đường Trunk giữa các Switch.
Cập nhật lần cuối 05/03/2026 by Hiếu IT
