Cấu hình VLAN Switch Cisco: Hướng dẫn từ A-Z cho SysAdmin

Hệ thống mạng công ty bạn đang hoạt động, bỗng nhiên tốc độ truy cập file server chậm như rùa bò? Các phòng ban Kế toán và Kinh doanh nhìn thấy dữ liệu của nhau trong Network Neighborhood, gây ra rủi ro bảo mật nghiêm trọng? Hay tệ hơn, hệ thống Camera IP vừa lắp đặt đang làm nghẽn toàn bộ băng thông Wifi văn phòng vì hiện tượng Broadcast Storm (Bão quảng bá)?

Nếu bạn chỉ đơn thuần mua Switch về và cắm dây vào chạy mặc định (tất cả đều thuộc VLAN 1), bạn đang để hệ thống vận hành trong trạng thái “trần trụi”. Rủi ro cực cao. Chỉ cần một nhân viên cắm nhầm dây mạng tạo loop, cả công ty có thể “sập nguồn” Internet ngay lập tức. Bạn có tin không? Đó là cơn ác mộng của mọi SysAdmin.

Giải pháp cốt lõi ở đây chính là quy hoạch hạ tầng bằng VLAN (Virtual LAN). Nhưng làm thế nào để triển khai nó chuẩn chỉ, không gây gián đoạn mạng? Trong bài viết này, Nettek sẽ không nói lý thuyết suông. Chúng tôi sẽ đưa bạn vào “phòng Lab” thực chiến, hướng dẫn từng dòng lệnh cấu hình VLAN Switch trên thiết bị thực tế (Case study: Cisco IOS), từ việc chia cổng, xử lý Voice VLAN cho đến định tuyến nâng cao. Hãy bật CLI lên và bắt đầu nào!

Những điểm chính

• Thực chiến CLI: Hướng dẫn lệnh (Command Line) trên Cisco IOS, áp dụng được cho Ruijie và HPE.
• Voice VLAN: Kỹ thuật “Pass-through” cho PC và IP Phone dùng chung một dây mạng.
• Inter-VLAN Routing: Kết nối các phòng ban bằng SVI hoặc Router-on-a-Stick.
• Cảnh báo VTP: Tránh thảm họa “bay màu” cấu hình với chế độ VTP Transparent.
• Troubleshooting: Xử lý lỗi “Native VLAN Mismatch” kinh điển.

Thiết lập mô hình Lab & Tư duy quy hoạch (Topology)

Trước khi gõ bất kỳ dòng lệnh nào, bạn bắt buộc phải vẽ sơ đồ tư duy quy hoạch subnet và gán cổng cụ thể để đảm bảo tính logic và tránh xung đột IP.

Để bạn dễ hình dung, chúng ta sẽ xây dựng một mô hình Lab giả định phổ biến nhất trong doanh nghiệp SMB:

• Thiết bị: 1 Switch Layer 2 (Cisco 2960/9200), 1 Router (Cisco ISR) hoặc Switch Layer 3 (Core).
• Yêu cầu: Tách biệt mạng Data, Voice và Camera để tối ưu hóa Broadcast Domain.
  • Phòng Kế toán (VLAN 10): Dải mạng 192.168.10.0/24.
  • Phòng Kinh doanh (VLAN 20): Dải mạng 192.168.20.0/24.
  • Voice IP (VLAN 40): Dành riêng cho điện thoại bàn.

Phân biệt Access Port và Trunk Port (Góc nhìn kỹ thuật)

Hai khái niệm “sống còn” khi cấu hình VLAN Switch mà bạn không được phép nhầm lẫn:

1. Access Port (Cổng truy cập):
   • Dành cho thiết bị đầu cuối (End-devices) như PC, Laptop.
   • Đặc điểm: Frame đi ra khỏi cổng này là Untagged (Không gắn thẻ). Máy tính không biết mình ở VLAN nào.
2. Trunk Port (Cổng trung kế):
   • Dành cho kết nối Switch-với-Switch hoặc Switch-với-Router.
   • Đặc điểm: Frame đi qua cổng này bắt buộc phải được đóng gói (Encapsulation) theo chuẩn IEEE 802.1Q (Dot1q). Switch sẽ chèn thêm 4 byte vào header của frame để định danh VLAN.

Tham khảo thêm về các loại module quang dùng cho cổng Trunk tại: Giải pháp kết nối quang SFP.

Bảng quy hoạch VLAN (VLAN Database)

Một SysAdmin chuyên nghiệp luôn làm việc với bảng dữ liệu trước:

VLAN ID	Tên (Name)	Subnet	Cổng gán (Interface)	Ghi chú
1	DEFAULT	N/A	Không dùng	Disable để bảo mật
10	KETOAN	192.168.10.0/24	Fa0/1 – Fa0/10	Data PC
20	KINHDOANH	192.168.20.0/24	Fa0/11 – Fa0/20	Data PC
40	VOICE	192.168.40.0/24	Hybrid Port	IP Phone
99	MGT_VLAN	192.168.99.0/24	Vlan Interface	Quản lý thiết bị

Hướng dẫn cấu hình VLAN trên Switch (Step-by-Step)

Quy trình chuẩn bao gồm 3 bước: Khởi tạo VLAN Database, gán cổng Access/Voice và cấu hình đường Trunk Uplink thông qua giao diện dòng lệnh (CLI).

Dưới đây là các lệnh thực hiện trên Cisco IOS.

Bước 1: Khởi tạo VLAN Database

Đầu tiên, chúng ta cần “khai sinh” các VLAN trên Switch.

Switch> enable

Switch# configure terminal

Switch(config)# vlan 10

Switch(config-vlan)# name KETOAN

Switch(config-vlan)# exit

Switch(config)# vlan 20

Switch(config-vlan)# name KINHDOANH

Switch(config-vlan)# exit

Switch(config)# vlan 40

Switch(config-vlan)# name VOICE_IP

Switch(config-vlan)# exit

 

Lưu ý: Luôn đặt tên (Name) gợi nhớ. Đừng lười biếng.

Bước 2: Gán cổng Access & Voice VLAN (Quan trọng)

Đây là phần nhiều người hay thiếu sót. Trong thực tế, PC thường cắm vào cổng LAN phía sau điện thoại IP (IP Phone). Chúng ta cần cấu hình cổng vừa chạy Data (cho PC) vừa chạy Voice (cho điện thoại).

! Cấu hình Hybrid Port cho PC cắm sau IP Phone (Mô hình phổ biến nhất)

Switch(config)# interface range fastEthernet 0/1 – 10

Switch(config-if-range)# description PC_AND_IP_PHONE

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 10      <– (Data VLAN cho PC)

Switch(config-if-range)# switchport voice vlan 40       <– (Voice VLAN cho IP Phone)

Switch(config-if-range)# trusting cos                   <– (Bật QoS ưu tiên thoại)

Switch(config-if-range)# no shutdown

Switch(config-if-range)# exit

Giải thích: Lệnh switchport voice vlan 40 báo cho Switch biết traffic thoại sẽ đi vào VLAN 40, tách biệt hoàn toàn với dữ liệu máy tính ở VLAN 10. Điều này đảm bảo cuộc gọi không bị giật lag khi mạng tải nặng.

Bước 3: Cấu hình cổng Trunk (Đường trục)

Giả sử cổng GigabitEthernet 0/1 là cổng Uplink nối lên Router.

Switch(config)# interface gigabitEthernet 0/1

Switch(config-if)# description UPLINK_TO_ROUTER

Switch(config-if)# switchport trunk encapsulation dot1q  <– (Bắt buộc với Switch L3 cũ)

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk allowed vlan 10,20,40,99

Mẹo bảo mật: Lệnh allowed vlan chỉ cho phép các VLAN định danh đi qua, chặn đứng rác (traffic) từ các VLAN lạ.

⚠️ CẢNH BÁO XƯƠNG MÁU VỀ VTP (VLAN Trunking Protocol):
Rất nhiều SysAdmin mới đã làm “sập” cả hệ thống mạng chỉ vì cắm một Switch cũ vào mạng. Nếu Switch đó có số Revision Number cao hơn, nó sẽ GHI ĐÈ toàn bộ VLAN Database của hệ thống hiện tại.
Lời khuyên: Hãy luôn chuyển VTP mode sang Transparent nếu bạn không thực sự hiểu về nó.
Switch(config)# vtp mode transparent

Cấu hình Inter-VLAN Routing (Để các VLAN thấy nhau)

Mặc định, các VLAN là những “hòn đảo” cô lập ở Layer 2; để giao tiếp, bắt buộc phải có thiết bị Layer 3 định tuyến thông qua SVI hoặc Router-on-a-Stick.

Nếu chỉ dừng lại ở bước trên, máy Kế toán sẽ không thể gửi file cho máy Kinh doanh. Chúng ta cần một “cây cầu” Layer 3.

Cách 1: Router-on-a-Stick (Dùng cho mạng nhỏ, ngân sách thấp)

Mô hình này sử dụng một Router, chia nhỏ cổng vật lý thành các cổng con (Subinterface).

• Ưu điểm: Tận dụng Router có sẵn.
• Nhược điểm: Nghẽn cổ chai (Bottleneck) tại cổng Router.

! Cấu hình trên Router Cisco

Router(config)# interface g0/0.10

Router(config-subif)# encapsulation dot1q 10

Router(config-subif)# ip address 192.168.10.1 255.255.255.0

Router(config-subif)# exit

Router(config)# interface g0/0.40

Router(config-subif)# encapsulation dot1q 40

Router(config-subif)# ip address 192.168.40.1 255.255.255.0

 

Cách 2: Sử dụng Switch Layer 3 (SVI – Khuyên dùng)

Đây là xu hướng hiện đại, sử dụng chính Switch Core (như Cisco 9200, 9300) để định tuyến với tốc độ phần cứng cực nhanh.

! Cấu hình trên Switch Layer 3

Switch(config)# ip routing   <– (BẮT BUỘC: Lệnh bật tính năng định tuyến)

Switch(config)# interface vlan 10

Switch(config-if)# ip address 192.168.10.1 255.255.255.0

Switch(config-if)# no shutdown

Switch(config)# interface vlan 20

Switch(config-if)# ip address 192.168.20.1 255.255.255.0

Switch(config-if)# no shutdown

Lúc này, Switch đóng vai trò như Gateway.

Nếu bạn chưa có Switch L3, hãy xem ngay hướng dẫn chọn thiết bị tại: Thiết bị chuyển mạch là gì?.

Các lệnh kiểm tra (Verify) & Xử lý lỗi thường gặp (Troubleshoot)

Quá trình xử lý sự cố dựa trên bộ lệnh “show” để xác minh trạng thái cổng và sửa lỗi Native VLAN Mismatch nhằm đảm bảo tính ổn định.

Cấu hình xong chưa phải là hết. Một chuyên gia thực thụ phải biết cách debug.

Bộ lệnh “Show” thần thánh

1. show vlan brief: Kiểm tra xem Port Fa0/1 đã thực sự nằm trong VLAN 10 chưa, hay vẫn đang “lang thang” ở VLAN 1.
2. show interfaces trunk: Kiểm tra xem đường Trunk có hoạt động (Status: trunking) hay không.
3. show ip route: Kiểm tra bảng định tuyến Inter-VLAN.

Lỗi Native VLAN Mismatch (Cực kỳ quan trọng)

Đây là lỗi kinh điển mà Nettek gặp trong 80% các dự án đi fix lỗi.

• Hiện tượng: Switch báo log: “%CDP-4-NATIVE_VLAN_MISMATCH”.
• Nguyên nhân: Một đầu Trunk cấu hình Native VLAN là 1 (mặc định), đầu kia cấu hình Native VLAN là 99.
• Hậu quả: Gói tin thuộc Native VLAN sẽ bị rớt (drop) hoặc “lọt” sang VLAN khác (VLAN Hopping).
• Cách fix: Đảm bảo lệnh switchport trunk native vlan [ID] giống hệt nhau ở hai đầu.

Lỗi quên lưu cấu hình

Nghe buồn cười, nhưng rất nhiều kỹ sư cấu hình miệt mài, xong… cúp điện và mất trắng.

• Hãy luôn nhớ gõ: write memory hoặc copy running-config startup-config.

Dự án thực tế: Nhà máy Bao bì T.P

Trong môi trường công nghiệp phức tạp, việc tách biệt Voice VLAN và Camera VLAN kèm theo QoS là bắt buộc để tránh nghẽn mạng điều hành.

Bối cảnh:
Năm ngoái, Nettek tiếp nhận ca khó từ Nhà máy Bao bì T.P (Bình Dương). Hệ thống mạng liên tục bị “treo” vào giờ trưa. Nhân viên văn phòng không thể gửi mail, phần mềm kế toán báo lỗi kết nối server.

Vấn đề:
Sau khi dùng Wireshark phân tích, chúng tôi phát hiện thủ phạm: Hệ thống 50 Camera IP và 30 Điện thoại IP đang chạy chung dải mạng (VLAN 1) với máy tính. Lưu lượng Broadcast từ Camera khi xem lại (playback) đã chiếm dụng toàn bộ băng thông.

Giải pháp thực chiến:

1. Quy hoạch lại: Áp dụng mô hình VLAN 10 (Data), VLAN 30 (Camera), VLAN 40 (Voice).
2. Cấu hình VLAN Switch: Sử dụng lệnh switchport voice vlan 40 như hướng dẫn ở Bước 2 cho các cổng có điện thoại.
3. QoS: Cấu hình ưu tiên độ trễ thấp nhất cho VLAN 40 trên đường Trunk.

Kết quả:
Hệ thống hoạt động trơn tru. Băng thông văn phòng được giải phóng. Khách hàng không tốn tiền mua thêm Switch mới mà chỉ cần cấu hình lại đúng chuẩn.

Câu hỏi thường gặp (FAQ)

1. Switch Unmanaged có cấu hình được VLAN không?

Không. Switch Unmanaged (không quản lý) không hỗ trợ chuẩn 802.1Q. Nó coi tất cả traffic là như nhau. Để cấu hình VLAN Switch, bạn bắt buộc phải dùng Managed Switch hoặc Smart Switch.

2. Tại sao không nên dùng VLAN 1?

VLAN 1 là Default VLAN. Mọi cổng chưa cấu hình đều nằm ở đây. Hacker thường nhắm vào VLAN 1 để tấn công. Best practice là tạo một VLAN khác (ví dụ VLAN 99) làm Management VLAN và tắt VLAN 1 đi (Admin Shut).

3. Một Switch tạo tối đa được bao nhiêu VLAN?

Theo chuẩn 12-bit của 802.1Q, bạn có thể tạo tối đa 4094 VLAN. Tuy nhiên, giới hạn thực tế phụ thuộc vào phần cứng (thường là 256 hoặc 1000 active VLANs).

Kết luận

Việc cấu hình VLAN Switch không chỉ là gõ vài dòng lệnh vô hồn, mà là nghệ thuật quy hoạch hệ thống. Một hệ thống được chia VLAN bài bản sẽ mang lại hiệu năng cao, bảo mật tốt và dễ dàng mở rộng. Đừng để mạng của bạn trở thành một “nồi lẩu thập cẩm” với VLAN 1.

Hãy nhớ luôn kiểm tra lại cấu hình bằng lệnh show và lưu lại (write mem) trước khi rời đi. Nếu bạn đang gặp khó khăn trong việc quy hoạch mạng doanh nghiệp phức tạp, hoặc cần tư vấn các dòng Switch Layer 3 hỗ trợ Inter-VLAN Routing mạnh mẽ, đừng ngần ngại liên hệ với đội ngũ kỹ thuật của Nettek qua số 0979.300.098. Chúng tôi luôn sẵn sàng hỗ trợ bạn xây dựng một hạ tầng mạng vững chắc nhất.