MikroTik Home Zalo 0917516878 Email
HoaTranLab MikroTik
Chương 4

🔀 VLAN – Phân vùng mạng doanh nghiệp

Thiết kế và triển khai VLAN 10/20/30/99 với Trunk 802.1Q, Inter-VLAN Routing trên MikroTik + Switch.

⏱ 30 phút🔧 Thực hành🏢 Doanh nghiệp
📚

4.1 Lý thuyết VLAN 802.1Q

🔌 Access Port

Kết nối thiết bị đầu cuối (PC, IP Phone). Chỉ thuộc 1 VLAN. Frame đi qua không có tag 802.1Q.

🔗 Trunk Port

Kết nối Switch-Switch hoặc Switch-Router. Mang nhiều VLAN, frame có tag 802.1Q (4 bytes).

🔄 Inter-VLAN Routing

Router hoặc L3 Switch định tuyến traffic giữa các VLAN. MikroTik dùng Router-on-a-Stick.

🗂️

4.2 Thiết kế VLAN doanh nghiệp

VLAN IDTênSubnetGatewayMục đích
10IT-Admin192.168.10.0/24192.168.10.1IT, quản trị hệ thống
20Business192.168.20.0/24192.168.20.1Nhân viên văn phòng
30WiFi-Guest192.168.30.0/24192.168.30.1WiFi khách & di động
99Management192.168.99.0/24192.168.99.1Quản lý thiết bị, Server

ℹ️ Bảo mật: VLAN 99 Management chỉ dùng cho thiết bị quản trị, KHÔNG cấp DHCP cho người dùng thông thường.

🔧

4.3 Cấu hình VLAN trên MikroTik (Router-on-a-Stick)

MikroTik tạo sub-interface VLAN trên trunk port ether2. Mỗi VLAN là một interface độc lập với IP Gateway riêng.

# Tạo VLAN interface trên trunk port ether2 (nối switch)
/interface vlan add name=vlan10-IT    vlan-id=10  interface=ether2 comment="IT Admin"
/interface vlan add name=vlan20-BIZ   vlan-id=20  interface=ether2 comment="Business"
/interface vlan add name=vlan30-WIFI  vlan-id=30  interface=ether2 comment="WiFi Guest"
/interface vlan add name=vlan99-MGMT  vlan-id=99  interface=ether2 comment="Management"

# Gán IP cho từng VLAN interface (Gateway)
/ip address add address=192.168.10.1/24  interface=vlan10-IT   comment="GW VLAN10"
/ip address add address=192.168.20.1/24  interface=vlan20-BIZ  comment="GW VLAN20"
/ip address add address=192.168.30.1/24  interface=vlan30-WIFI comment="GW VLAN30"
/ip address add address=192.168.99.1/24  interface=vlan99-MGMT comment="GW VLAN99"

💡 Router-on-a-Stick: tất cả traffic inter-VLAN đều đi lên ether2 rồi router xử lý rồi trả về. Với lượng traffic lớn, nên dùng L3 Switch thay thế.

📡

4.4 Cấu hình DHCP cho từng VLAN

# Tạo IP Pool cho từng VLAN
/ip pool add name=pool-vlan10 ranges=192.168.10.100-192.168.10.200
/ip pool add name=pool-vlan20 ranges=192.168.20.100-192.168.20.200
/ip pool add name=pool-vlan30 ranges=192.168.30.100-192.168.30.200
/ip pool add name=pool-vlan99 ranges=192.168.99.100-192.168.99.150

# DHCP Server cho từng VLAN
/ip dhcp-server add name=dhcp-vlan10 interface=vlan10-IT   address-pool=pool-vlan10 disabled=no
/ip dhcp-server add name=dhcp-vlan20 interface=vlan20-BIZ  address-pool=pool-vlan20 disabled=no
/ip dhcp-server add name=dhcp-vlan30 interface=vlan30-WIFI address-pool=pool-vlan30 disabled=no
/ip dhcp-server add name=dhcp-vlan99 interface=vlan99-MGMT address-pool=pool-vlan99 disabled=no

# Network config cho từng DHCP
/ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=8.8.8.8,8.8.4.4
/ip dhcp-server network add address=192.168.20.0/24 gateway=192.168.20.1 dns-server=8.8.8.8,8.8.4.4
/ip dhcp-server network add address=192.168.30.0/24 gateway=192.168.30.1 dns-server=8.8.8.8,8.8.4.4
/ip dhcp-server network add address=192.168.99.0/24 gateway=192.168.99.1 dns-server=8.8.8.8,8.8.4.4
🔄

4.5 NAT cho các VLAN ra Internet

# NAT cho tất cả các VLAN ra Internet (hoặc dùng address-list)
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade comment="ALL-VLANs-to-WAN"

# NAT riêng từng VLAN (fine-grained control)
/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 out-interface=ether1 action=masquerade
/ip firewall nat add chain=srcnat src-address=192.168.20.0/24 out-interface=ether1 action=masquerade
/ip firewall nat add chain=srcnat src-address=192.168.30.0/24 out-interface=ether1 action=masquerade
🔀

4.6 Cấu hình Switch L2 (Cisco IOL)

! ══ Cisco IOL L2 Switch Config ══

! Tạo VLAN database
vlan 10
 name IT-Admin
vlan 20
 name Business
vlan 30
 name WiFi-Guest
vlan 99
 name Management

! Trunk Port nối lên MikroTik (gi0/0)
interface GigabitEthernet0/0
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20,30,99
 no shutdown

! Access Port PC-IT (gi0/1) → VLAN 10
interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10
 no shutdown

! Access Port PC-BIZ (gi0/2) → VLAN 20
interface GigabitEthernet0/2
 switchport mode access
 switchport access vlan 20
 no shutdown

! Access Port RADIUS/MGMT Server (gi0/3) → VLAN 99
interface GigabitEthernet0/3
 switchport mode access
 switchport access vlan 99
 no shutdown

! Port nối WiFi AP (gi0/4) → VLAN 30 (hoặc trunk nếu multi-SSID)
interface GigabitEthernet0/4
 switchport mode access
 switchport access vlan 30
 no shutdown

end
write memory

4.7 Verify & Troubleshoot

# Trên MikroTik – Kiểm tra VLAN interface
/interface vlan print
/ip address print

# Kiểm tra DHCP leases từng VLAN
/ip dhcp-server lease print where server=dhcp-vlan10
/ip dhcp-server lease print where server=dhcp-vlan30

# Ping test từ PC-IT (VLAN 10) đến PC-BIZ (VLAN 20)
# (Chạy trên PC-IT trong PNETLab console)
ping 192.168.20.101    ← Nếu được = Inter-VLAN routing đang hoạt động!
ping 8.8.8.8           ← Nếu được = NAT + WAN đang hoạt động!

# Trên Switch – kiểm tra VLAN
show vlan brief
show interfaces trunk
show interfaces gi0/0 switchport

⚠️ Nếu PC không nhận IP: kiểm tra show vlan brief trên switch, đảm bảo port đúng VLAN và DHCP server enabled.

Vấn đềNguyên nhân có thểCách fix
PC không nhận IPDHCP server disabled hoặc sai interfaceKiểm tra /ip dhcp-server print
Không ping được VLAN khácNAT rule hoặc route thiếuKiểm tra /ip route print
Switch không trunkThiếu encapsulation dot1q hoặc sai VLAN listshow interfaces trunk
VLAN 30 không có InternetThiếu NAT rule cho 192.168.30.0/24Thêm NAT srcnat rule
← Chương 3Chương 5: WiFi