Hướng dẫn cấu hình VLAN trên thiết bị Firewall Netgate

Firewall Netgate là thiết bị tường lửa bảo mật mạng mạnh mẽ chạy trên nền tảng pfSense, được nhiều doanh nghiệp lựa chọn để quản lý và phân tách hệ thống mạng một cách an toàn và hiệu quả. Một trong những tính năng quan trọng của firewall Netgate là khả năng cấu hình VLAN, giúp chia nhỏ mạng vật lý thành nhiều mạng logic độc lập nhằm tăng cường bảo mật, tối ưu quản lý và kiểm soát lưu lượng truy cập. Cùng Việt Tuấn tìm hiểu cách cấu hình VLAN trên Firewall Netgate để quản trị viên dễ dàng triển khai và quản lý hệ thống mạng doanh nghiệp.

1. Thiết lập VLAN trên Firewall

1.1. Khởi tạo VLAN

Bước 1: Bạn đăng nhập vào Firewall, chọn mục Interfaces -> Assignments để tiến hành khởi tạo VLAN.

Bước 2: Chọn sang tab VLANs và chọn Add để thêm VLAN.

Bước 3: Ở đây mình sẽ thêm VLAN10 và VLAN20 vào cổng ETH2 của Firewall (có kí hiệu là igc2).

Bước 4: Chọn về tab Interface Assignments để thêm các VLAN mới được khai báo.

1.2. Khai báo VLAN

Sau khi khởi tạo các VLAN, ta sẽ tiến hành khai báo VLAN trên Firewall.

Để thuận tiện cho việc quản trị hệ thống, mình sẽ tiến hành tạo 1 dải mạng LAN dành riêng cho các Switch trong hệ thống.

Bạn hãy thực hiện các bước sau: 

Bước 1: Bạn chọn vào mục Interfaces -> OPT1 (Cổng ETH2 mà ta khai báo VLAN).

Bước 2: Bạn cần kích hoạt cổng ETH2 cũng như đặt dải mạng LAN quản trị cho các Switch.

Bước 3: Sau đó lưu lại thiết lập.

Bước 4: Khai báo IP cho VLAN10 và VLAN20.

Bước 5: Bạn chọn mục Services -> DHCP Server để tiến hành thiết lập DHCP Server cho 2 VLAN.

Bước 6: Kích hoạt DHCP server và dải IP cho VLAN.

1.3. Tạo rule cho VLAN

Bước 1: Bạn chọn mục Firewall -> Rules để tạo Rule cho các VLAN.

Bước 2: Chọn tab VLAN10, chọn Add để tạo Rule:

• Action: Pass
• Interface: VLAN10
• Address Family: IPv4
• Protocol: Any
• Source: VLAN10 subnets
• Destination: Any

Bước 3: Chọn Save để lưu lại các thiết lập.

2. Giải mã VLAN trên Switch

2.1. Khai báo Bridge trên Switch

Ở đây mình sẽ sử dụng thiết bị Switch của Mikrotik để giải mã VLAN.

Bước 1: Bạn truy cập vào Winbox, tạo Bridge cho Switch để add các cổng LAN.

Bước 2: Thêm các cổng LAN vào Bridge, bạn truy cập vào tab Ports để thêm các cổng LAN vào Bridge.

Bước 3: Bạn chọn mục IP -> Address để đặt ip tĩnh cho Switch, điều này giúp bạn có thể quản lý các thiết bị trong hệ thống dễ dàng hơn. Đặt ip cùng với dải ip của cổng ETH2 của Firewall.

2.2. Giải mã VLAN cho Switch

Giải mã VLAN tới các cổng tương ứng. Ở đây mình sẽ giải mã VLAN10 cho cổng 2 và cổng 3, VLAN20 cho cổng số 4. 

Bước 1: Bạn chọn tab VLANs để khai báo các thông số sau:

• Bridge: BridgeLAN (Tên của Bridge)
• VLAN IDs: 10 (ID VLAN cần giải mã)
• Tagged: ether1 (Cổng mạng nhận Uplink từ Firewall)
• Untagged: ether2, ether3 (Cổng mạng được giải mã)

Bước 2: Bạn truy cập lại tab Ports, chọn vào cổng mạng cần giải mã, chọn sang tab VLAN để khai báo VLAN.

Bước 3: Sau khi khai báo VLAN, bạn về tab Bridge, lựa chọn vào phần BridgeLAN. Trong tab VLAN của BridgeLAN, bạn tích vào mục VLAN Filtering để Switch giải mã toàn bộ VLAN.

Bước 4: Bạn nên tạo thêm 1 lệnh Route để định tuyến các dải IP của VLAN có thể nhìn thấy Firewall. Bạn truy cập vào IP -> Routes để tạo Route.

Bây giờ bạn có thể cắm máy tính vào các cổng mạng đã được giải mã VLAN, khi đó máy tính của bạn sẽ được cấp IP theo dải mạng tương ứng.

Trên đây là hướng dẫn cấu hình VLAN cơ bản trên thiết bị Firewall của Netgate. Chúc các bạn cấu hình thành công.a