Hướng dẫn cấu hình port trunk cho router draytek 2960 năm 2024

Giả sử công ty có 4 đối tượng cần phát wifi riêng biệt, bao gồm: server / IT, kế toán, nhân viên, khách. Mỗi đối tượng là một SSID riêng và thuộc một lớp mạng độc lập. Yêu cầu sử dụng Vigor2925 làm router chính, sử dụng chức năng Auto Provission trong APM để cấu hình nhanh và quản lý toàn bộ Access Point DrayTek. Mô hình như sau:

Vigor2925, chia 5 VLAN, trong đó:

• VLAN 10, dành cho nhân viên, cấp lớp mạng 192.168.1.1/24
• VLAN 20, dành cho nhân viên và IP, cấp lớp mạng 192.168.2.1/24
• VLAN 30, dành cho khách, cấp lớp mạng 192.168.3.1/24
• VLAN 40, dành cho kế toán, cấp lớp mạng 192.168.4.1/24
• VLAN0, chuyên dùng auto provision, quản lí AP810, cấp lớp 192.168.111.1/24

Trên VigorAP

Để Vigor2925 có thể phát hiện, quản lý và cấu hình được VigorAP cần:

• Kết nối LAN A của VigorAP vào port LAN của Vigor2925 hoặc qua hệ thống Switch
• VigorAP với firmware mới nhất (http://www.anphat.vn )
• Reset cấu hình VigorAP về mặt định

Trên Vigor2925

Bước 1. Cấu hình VLAN trên 2925

Tham khảo hướng dẫn chia VLAN 2925: https://www.anphat.vn/q-cac-bai-viet-cu-hon/cau-hinh-4-lop-mang-cho-vigor2920

Cuối cùng ta có trên Vigor2925 cần chia 5 VLAN như hình dưới

Port LAN 1 là port Trunk/Hybrid nối vào port Trunk/Hybrid của Layer2 Switch đã cấu hình Vlan

VLAN0, thuộc LAN5, gồm tất cả các port, chuyên dùng auto provision, quản lí AP810, cấp lớp 192.168.111.1/24 (trong trường hợp thiết bị chỉ có 4 LAN như Vigor2925 thì phải sử dụng 1 trong các LAN 1/2/3/4 để quản lý)

- Trong bài hướng dẫn này mình sẽ hướng dẫn cấu hình 2 lớp subnet trong Router DrayTek Vigor3900 và cấu hình các subnet này thành VLAN đi qua port 2. Một switch Planet được cắm trực tiếp với port LAN 2 của router, cổng này sẽ được cấu hình là trunk 802.1Q VLAN. Trên switch các VLAN sẽ được chia cho mỗi cổng. Để biết thêm chi tiết mình sẽ có các sơ đồ dưới đây. – Port – based VLAN là cách cấu hình VLAN đơn giản và phổ biến. Mỗi cổng của thiết bị Switch gắn với một VLAN xác định. Vì thế, bất kỳ thiết bị host nào gắn vào cổng đó, đều thuộc một VLAN nào đó.

– MAC address based VLAN là cách cấu hình ít được sử dụng trong việc quản lý. Bởi vì sự bất tiện của nó, mỗi 1 địa chỉ MAC phải được đánh dấu với 1 VLAN xác định.

– Protocol – based VLAN được xem cách là cấu hình gần giống MAC Address based. Tuy nhiên cấu hình này sử dụng 1 địa chỉ IP hay địa chỉ logic thay thế địa chỉ MAC và cấu hình này không còn thông dụng nữa vì sử dụng giao thức DHCP.

Lợi ích VLAN

– Tiết kiệm băng thông hệ thống mạng.

– Khả năng bảo mật tăng cao.

– Có thể dễ thêm hoặc bớt máy tính vào VLAN.

– Mạng có tính linh hoạt cao.

Ở bài hướng dẫn này, ta giả sử dùng Draytek Vigor2962 có 4 port LAN và mỗi VLAN sẽ có 1 lớp mạng ứng với các port LAN 1, 2, 3, 4.

Yêu cầu thực hiện

Trường hợp 1: Tất cả VLAN đều thấy nhau

Trường hợp 2: Hạn chế truy cập theo yêu cầu

– LAN1, LAN2, LAN3 thấy VLAN 4

– Các LAN1, LAN2, LAN3 không thấy nhau

Phần 1: Chia 4 VLAN

Bước 1

** Tạo 4 VLAN cho 4 cổng LAN.

Vào phần LAN > Switch > chọn VLAN 10 > nhấn Edit. Tại mục Member, nhấn bỏ tích các LAN_Port_ 2, 3, 4 > nhấn Apply.

Chú ý: Sau khi cấu hình, máy tính phải kết nối với LAN 1 thì mới vào lại được Vigor.

** Tạo VLAN 20

Vào phần LAN > Switch > chọn Add

– VLAN ID: điền số VLAN (VD: 20)

– Member: nhấn chọn LAN_Port_2

– Untag: nhấn chọn LAN_Port_2

Sau đó nhấn Apply.

** Tạo tương tự cho VLAN 30, 40

Bước 2

** Cấu hình 4 LAN tương ứng với 4 VLAN

Vào phần LAN > chọn General Setup > nhấn chọn LAN 1 > nhấn Edit để chỉnh LAN 1 > Sau đó nhấn Add để tạo LAN 2

– Profile: Lan2

– Description: Lan2

– VLAN ID: VLAN ID ứng với Lan2 (VD: 20)

– IP Address: IP lớp LAN2 (VD: 192.168.2.1)

– DHCP Start IP/ DHCP End IP: điền dãy số IP muốn cấp cho LAN 2

Sau đó nhấn Apply.

** Thực hiện như trên cho LAN3, LAN4

Phần 2: Hạn chế truy cập các LAN

Trường hợp 1: Tất cả VLAN thấy nhau

Vào phần LAN > chọn General Setup > chọn mục Inter-Vlan Route > Tích vào Enable Routing Between Internal VLANs > Sau đó nhấn Apply.

Trường hợp 2: Giới hạn truy cập VLAN theo yêu cầu

Bước 1: hãy tạo IP object cho các lớp LAN

Vào mục Objects Setting > nhấn IP Object > nhấn Add

– Profile: điền tên (VD: LAN1)

– Address Type: chọn vào Subnet

– Start IP Address: điền lớp mạng LAN 1 (VD: 192.168.1.1)

– Subnet Mask: chọn subnet LAN1

Sau đó nhấn Apply.

** Thực hiện như trên cho LAN2, LAN3, LAN4

Bước 2: Sau đó, tạo IP Group

Vào mục Objects Setting > IP Group > nhấn Add

– Group Name: đặt tên cho nhóm (VD: Nhân Viên)

– Description: ghi chú tên nhóm

– Objects: chọn các LAN thuộc nhóm nhân viên (ở TH này ta chọn LAN1, LAN2, LAN3)

Sau đó nhấn Apply.

Bước 3: Cấu hình LAN 1, LAN 2, LAN 3 thấy LAN 4

Vào phần Firewall > nhấn Filter Setup. Tại IP Filter, nhấn Add để tạo Group.

– Group: đặt tên nhóm > tích Enable

– Description: điền mô tả cho nhóm

Sau đó nhấn Apply.

Tiếp theo nhận chọn Group Filter vừa tạo > nhấn Add để tạo rule

– Profile: đặt tên rule (VD: pass_to_server) > Tích chọn Enable

– Action: chọn mục Accept

– Source IP Group: tích chọn Group tên nhân viên gồm LAN1, LAN2, LAN3

– Destination IP Object: tích chọn LAN Server (tích LAN4)

Sau đó nhấn Apply.

\>>> Xem thêm: Hướng dẫn cấu hình Loadeblancing trên Router Draytek mới nhất

Kết luận

Với những thao tác mà NetworkPro chỉ dẫn chi tiết bên trên là bạn đã có thể cấu hình VLAN trên Draytek Vigor2962 / 3910 / 3220 đơn giản và nhanh chóng rồi. Chúc các bạn thực hiện thành công nhé!