Hướng dẫn cấu hình, quản lý IP nội bộ và bảo mật DHCP Mikrotik

Trong một hệ thống mạng nội bộ (LAN), việc quản lý cấp phát IP lỏng lẻo rất dễ dẫn đến tình trạng xung đột IP do người dùng tự ý đặt IP bằng tay hoặc hạ tầng mạng bị quá tải. Sau đây, Việt Tuấn sẽ hướng dẫn bạn từng bước cấu hình, quản lý IP nội bộ và bảo mật DHCP Server trên Router MikroTik để quản lý thiết bị và kích hoạt tính năng bảo mật nâng cao giúp khóa chặt các hành vi tự ý can thiệp IP. 

Khởi tạo địa chỉ LAN và setup DHCP SERVER

Trước khi cấp phát IP, chúng ta cần định danh địa chỉ IP cho chính Router MikroTik (đóng vai trò là Gateway) trên giao diện mạng nội bộ.

Bước 1: Đặt địa chỉ IP LAN cho Bridge

Trên thanh công cụ WinBox, truy cập vào mục IP chọn Addresses.

Click vào biểu tượng dấu cộng (+) màu xanh để thêm mới.

Điền các tham số cấu hình như sau:

• Address: Nhập dải mạng kèm Subnet Mask (Ví dụ: 192.168.1.1/24).
• Interface: Lựa chọn đúng Giao diện Bridge nội bộ của bạn (Ví dụ: bridge-LAN).

Bấm Apply và OK để lưu lại.

Bước 2: Khởi tạo DHCP Server bằng tính năng tự động (DHCP Setup)

• Điều hướng tới mục IP chọn DHCP Server.
• Tại tab DHCP, bấm vào nút DHCP Setup để kích hoạt trình thuật sĩ hướng dẫn.
• DHCP Server Interface: Chọn interface bridge-LAN. Nhấn Next.
• DHCP Address Space & Gateway: Hệ thống sẽ tự động bắt thông tin từ Bước 1. Nhấn Next liên tục.
• Addresses to Give Out (Phân dải IP cấp phát): Mặc định hệ thống cấp từ .2 đến .254.
• Mẹo quy hoạch mạng: Bạn nên bóp dải động lại, ví dụ chỉnh thành: 192.168.1.21-192.168.1.254. Khoảng trống từ .2 đến .20 sẽ dùng để gán cứng cho Server, máy in hoặc Camera sau này mà không sợ bị trùng.
• DNS Servers: Điền IP DNS mong muốn (Ví dụ: 8.8.8.8 hoặc 1.1.1.1). Nhấn Next.
• Lease Time (Thời gian cho thuê IP): Mặc định là 30 phút (00:30:00). Nhấn Next để hoàn tất tiến trình.

Quản lý thiết bị Client và gán IP tĩnh (Make Static)

Khi thiết bị trong mạng kết nối vào, bạn có thể dễ dàng kiểm soát chúng tại tab Leases (IP DHCP Server\Leases). 

Các thiết bị nhận IP tự động sẽ hiển thị chữ D (Dynamic).

Các bước giữ cố định IP từ xa cho thiết bị:

• Tại danh sách Leases, tìm thiết bị dựa trên địa chỉ MAC hoặc tên máy.
• Click chuột phải vào thiết bị đó. Chọn Make Static. Lúc này chữ D biến mất, IP đã được khóa cứng với MAC của máy đó.
• Thay đổi IP theo ý muốn: Kích đúp vào dòng thiết bị đó, tại ô Address, chỉnh sửa thành số IP bạn muốn gán (Ví dụ: 192.168.1.10). Bấm Apply.
• Ghi chú phân loại (Comment): Nhấn tổ hợp phím Ctrl + M (hoặc bấm nút tờ giấy vàng) để viết ghi chú (Ví dụ: PC-GiamDoc, MayIn-Tang1...) để việc quản lý trực quan hơn.

Bảo mật nâng cao - khóa chặt mạng bằng "Reply-Only" 

Trong một cơ quan, nếu một nhân viên tự ý thay đổi cài đặt mạng để đặt một IP tĩnh trùng với IP của Server, toàn bộ hệ thống sẽ bị hiện tượng Conflict IP khiến các thiết bị tranh chấp đường truyền và mất mạng.

Để ngăn chặn tuyệt đối kịch bản này, MikroTik cung cấp cơ chế bảo vệ: Chỉ cho phép những IP được cấp phát chính thống từ DHCP hoặc được Admin phê duyệt mới có quyền giao tiếp.

Bước 1: Bạn vào IP -> DHCP Server nhấp đúp vào tên DHCP Server bạn đang chạy.

Tìm tùy chọn Add ARP For Leases và tích chọn nó, sau đó nhấn Apply.

Tính năng này ra lệnh cho Router tự động tạo một bản ghi ARP tĩnh tương ứng mỗi khi có một IP được cấp phát qua DHCP.

Bước 2 (Giao diện Bridge): Vào mục Bridge, chọn tab Bridge và nhấp đúp vào bridge-LAN của bạn.

Tại tab General, tìm dòng ARP và chuyển từ chế độ mặc định (enabled) sang chế độ reply-only.

Nhấn OK.  

Khi chuyển chế độ ARP sang reply-only, Router MikroTik sẽ ngưng tự động học các địa chỉ MAC và IP tự phát trong mạng. Nó chỉ trả lời và giao tiếp với những cặp IP/MAC nào đã có sẵn trong bảng dữ liệu của nó (các cặp do Admin cấu hình cố định hoặc do DHCP Server sinh ra thông qua tính năng Add ARP for Leases).

• Nếu người dùng nhận IP tự động: DHCP cấp IP -> Router ghi nhận vào bảng ARP -> Thiết bị ra mạng bình thường.
• Nếu người dùng tự ý điền IP tĩnh trên máy tính: Thiết bị cố tình gửi gói tin lên mạng -> Router đối chiếu bảng ARP không thấy bản ghi hợp lệ -> Router lập tức từ chối dịch vụ (Drop gói tin), xuất hiện tình trạng Request time out khi ping gateway. Người dùng đó sẽ bị cô lập hoàn toàn khỏi mạng nội bộ và Internet, không thể gây ảnh hưởng hay làm gián đoạn đến bất kỳ ai khác.

Kết luận

Hy vọng những hướng dẫn trong bài viết sẽ giúp bạn triển khai và quản lý dịch vụ DHCP trên MikroTik một cách hiệu quả, đáp ứng tốt nhu cầu của doanh nghiệp và tổ chức. Nếu cần tư vấn triển khai Router MikroTik, Switch MikroTik hoặc các giải pháp hạ tầng mạng chuyên nghiệp, hãy liên hệ Việt Tuấn để được hỗ trợ nhanh nhất nhé!