Hướng dẫn cấu hình chia VLAN trên Router Mikrotik

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình chia VLAN trên Router Mikrotik.

Mô hình lab

Mình sẽ sử dụng 1 mô hình gồm 1 Router Mikrotik:

• Gateway và DHCP sử dụng cho các VLAN mình sẽ cấu hình trên Mikrotik.
• Trong mô hình này thì mình sẽ có 2 VLAN là VLAN 10 với dải IP 192.168.10.0/24 và VLAN 20 với các dải IP 192.168.20.0/24.
• Trên Router Mikrotik thì cổng ether2 và cổng ether3 sẽ là cổng sẽ là các cổng trunking để nối xuống switch. Cổng ether4 access VLAN 10, và cổng ether5 access VLAN 20.

Trong thực tế thì hầu hết nhu cầu cấu hình VLAN trên mikrotik chỉ có vậy, nếu khác thì chỉ khác là các bạn sẽ có nhiều VLAN hơn, và số lượng cổng trunk, access cũng khác thôi, còn về phần cấu hình về VLAN sẽ giống như mô hình này. Các bạn chỉ cần xác định đúng cổng nào là trunking, cổng nào là cổng access là được.

Ok mình sẽ đi vào chi tiết cấu hình.

Cấu hình VLAN trên Mikrotik

Tạo Bridge và add member vào Bridge

Đầu tiên, cả 4 cổng đều sẽ là access hoặc trunking cho 2 VLAN, do vậy đầu tiên chúng ta cần phải tạo 1 bridge để add 4 cổng này vào.

Các bạn vào menu Bridge, nhấn dấu + để tạo.

• Nhập tên cho bridge, mình sẽ đặt là Bridge-LAN.
• Chuyển sang tab VLAN. Đối với các mô hình mà các bạn chỉ có cổng trunk kết nối xuống switch, ví dụ chỉ có cổng 2 và 3 như mô hình của mình, thì chúng ta có thể bỏ qua phần này. Tuy nhiên trong mô hình của mình, ngoài 2 cổng trunk này thì còn có thêm 2 cổng 4 và 5 đang là cổng access VLAN, do vậy thì các bạn sẽ cần phải enable VLAN Filtering lên. Các bạn cần phải lưu ý phần này nhé, nếu mô hình chỉ có các cổng trunking như cổng 2 và 3 thì chúng ta có thể không cần bật VLAN Filtering, còn nếu có hỗn hợp cả cổng trunk và access thì chúng ta sẽ cần phải bật lên.

Sau khi tạo xong thì các bạn chuyển sang tab Ports, chúng ta sẽ add cổng 4 cổng này vào bridge vừa tạo.

Cổng 2 và cổng 3 là các cổng trunking, nên các bạn chỉ cần add members vào như bình thường. Các bạn nhấn dấu + để tạo.

• Interface chọn cổng ether2.
• Bridge chọn Bridge-LAN.
• Nhấn Apply.
• Chọn Copy để tạo cho cổng 3.
• Interface chọn cổng ether3 và nhấn Apply.

Tiếp tục chọn Copy để tạo cho cổng 4. Cổng 4 sẽ là cổng access VLAN 10, do vậy các bạn sẽ cần phải cấu hình VLAN cho cổng này. Chuyển sang tab VLAN, nhập PVID là 10.

Tương tự cho cổng 5, cổng 5 là access VLAN 20 nên các bạn sẽ cấu hình PVID là 20.

Các bạn lưu ý phần VLAN ID nhé. Đối với cổng trunk, trong mô hình của mình sẽ cấu hình mặc định là native VLAN 1 nên các bạn để cấu hình mặc định PVID là 1. Còn với các cổng access, thì chúng ta sẽ cấu hình PVID tương ứng.

Cấu hình cổng Tagged và Untagged VLAN

Chuyển sang tab VLANs. Khi chúng ta bật VLAN filtering lên thì sẽ có thông tin cổng Tagged và Untagged ở đây. Tuy nhiên nó chỉ có các cổng untagged. Chúng ta sẽ cần phải cấu hình lại các cổng Tagged và Untagged. Các bạn nhấn dấu + để thêm, chúng ta sẽ cấu hình các cổng tagged và untagged cho VLAN10:

• Bridge: chọn Bridge-LAN.
• VLAN IDs: nhập VLAN 10.
• Tagged chọn cổng ether2 và ether3, vì 2 cổng này sẽ tương ứng với cổng trunking. Chúng ta cũng phải tag cả Bridge-LAN Interface vào VLAN 10, nếu các bạn không tag cổng bridge vào thì mạng sẽ không thông được.
• Cổng ether4 sẽ là cổng access VLAN 10, nên các bạn chọn cổng ether4 trong mục Untagged.
• Nhấn Apply.

Tương tự chúng ta sẽ cấu hình cho VLAN 20, các bạn chọn Copy:

• VLAN IDs: sẽ là 20.
• Các cổng tagged của VLAN 20 thì cũng giống như VLAN 10, bao gồm cổng ether2, ether3 và Bridge-LAN.
• Cổng Untagged sẽ là cổng ether5.

Sau khi cấu hình xong các bạn có thể kiểm tra lại các cổng tagged và untagged.

Cấu hình VLAN Interface

Tiếp theo chúng ta sẽ tạo 2 Interface VLAN 10 và 20 để cấu hình IP làm gateway cho 2 VLAN này. Các bạn vào menu Interface, chuyển sang tab VLAN, nhấn dấu + để tạo.

• Name nhập VLAN name vào, mình sẽ đặt luôn là VLAN10.
• VLAN ID nhập ID là 10.
• Interface chọn Bridge-LAN.
• Nhấn Apply.

Tương tự nhấn Copy để tạo VLAN 20

• Name mình sẽ đặt là VLAN20.
• VLAN ID là 20.

Như vậy là chúng ta đã có 2 Interface VLAN được gán vào Bridge-LAN, cấu hình này tương tự với sub-interface trên router Cisco hoặc Fortinet. Sau khi có VLAN Interface thì chúng ta sẽ cấu hình IP cho 2 Interface VLAN này.

Các bạn vào menu IP > Addresses, nhấn dấu + để tạo:

• Address nhập IP gateway cho VLAN10, trong mô hình của mình là 192.168.10.1/24.
• Interface chọn VLAN10.
• Nhấn Copy để tạo cho VLAN20.

Tương tự các bạn nhấn Copy để cấu hình IP cho interface VLAN 20.

Như vậy là chúng ta đã cấu hình xong VLAN và gán các cổng vào VLAN. Nếu có nhiều cổng hoặc VLAN hơn thì các bạn cũng chỉ cần tạo thêm VLAN và tag hoặc untag thêm các cổng thôi, cấu hình thì vẫn tương tự.

Cấu hình DNS, DHCP, Route, NAT

Để mạng LAN có thể hoạt động và ra được Internet thì các bạn sẽ cần phải cấu hình thêm các tính năng như DNS, DHCP, route và NAT. Phần này thì không có gì đặc biệt, các bạn cấu hình tương tự như với 1 mạng LAN. Các bạn có thể tham khảo thêm trong bài viết: Hướng dẫn cấu hình cơ bản Router Mikrotik.

Đầu tiên chúng ta sẽ cấu hình DNS cho các truy vấn nội bộ của router nếu có. Các bạn vào menu IP > DNS, mình sẽ cấu hình DNS của Google là 8.8.8.8.

Tiếp theo chúng ta sẽ tạo DHCP Server để cấp IP cho client thuộc 2 mạng LAN. Các bạn vào menu IP > DHCP Server, nhấn DHCP Setup.

• DHCP Server Interface chọn VLAN10 để tạo pool cấp IP cho người dùng thuộc VLAN10.
• DHCP Address Space sẽ tự động lấy theo IP thuộc Interface VLAN 10, nên các bạn nhấn Next luôn.
• Gateway for DHCP Network cũng sẽ tự động lấy theo IP Address mà các bạn đã cấu hình trên Interface VLAN 10, các bạn chỉ cần nhấn Next.
• Addresses to Give Out là dải IP sẽ cấp cho clients, các bạn muốn cấp những IP nào thì cấu hình, mặc định sẽ là từ 2 đến 254 tùy theo subnet.
• DNS Servers nhập DNS sẽ sử dụng cho client, mặc định thì sẽ lấy theo DNS mà các bạn đã cấu hình trên Mikrotik.
• Lease time cấu hình theo quy hoạch.

Tương tự tạo 1 pool cho VLAN 20.

Tiếp theo tạo 1 Default Route. Các bạn vào menu IP > Routes.

Đường WAN của mình nhận IP qua DHCP nên nó sẽ tự động có Default Route kèm theo, các đường WAN quay PPPoE mặc định cũng sẽ tự động có default route này nên các bạn sẽ không cần cấu hình. Với các đường WAN khác hoặc chưa có route nào với đích là 0.0.0.0/0 thì các bạn sẽ cần tạo thêm.

Cuối cùng chúng ta cần tạo 1 NAT rule. Các bạn vào menu IP > Firewall, chuyển sang tab NAT, nhấn dấu + để tạo:

• Chain là src nat.
• Out Interface chọn cổng WAN, trong mô hình của mình là cổng 1, mình đang đặt tên là WAN.
• Chuyển sang tab Action, chọn action là masquerade.

Như vậy là chúng ta đã cấu hình toàn bộ các tính năng cơ bản để 2 VLAN ở bên dưới có thể hoạt động và ra được Internet.

Cấu hình Switch

Trong bài lab này thì mình sử dụng 2 switch Cisco. Các switch này chỉ là switch access nên cũng không có cấu hình gì đặc biệt, ngoài các cấu hình cơ bản như username, ip address, TELNET, SSH... thì các bạn chỉ cần cấu hình đúng cổng access và trunking là mô hình mạng sẽ hoạt động.

Cấu hình trên SW2:

Cấu hình trên SW3:

Kết luận

Phần cấu hình VLAN chỉ đơn giản vậy thôi, quan trọng là chúng ta cần phải xác định được mode của các cổng, rồi cấu hình tagged và untagged theo đúng thiết kế. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!