CÁCH CẤU HÌNH VLAN TRÊN DRAYTEK ĐỂ CHIA MẠNG LAN

Dưới đây là bài viết hướng dẫn chi tiết cách cấu hình VLAN trên router DrayTek Vigor để chia mạng LAN (LAN segmentation). Nội dung dựa trên các mẫu cấu hình phổ biến của DrayTek (dòng Vigor 29xx, 39xx, 296x, v.v.), vì giao diện hơi khác nhau tùy firmware và model nhưng nguyên tắc gần giống.

Bài viết này giả sử bạn muốn chia mạng LAN thành 3 phần riêng biệt:

• VLAN 10: Mạng văn phòng (192.168.10.0/24)
• VLAN 20: Mạng khách / WiFi khách (192.168.20.0/24)
• VLAN 1 (default): Mạng chính (192.168.1.0/24)

Mình sẽ mô tả từng bước kèm mô tả hình ảnh minh họa (bạn có thể chèn ảnh chụp màn hình thực tế khi làm). Vì mình không thể tạo file Word trực tiếp ở đây, bạn chỉ cần copy toàn bộ nội dung dưới đây dán vào Microsoft Word (hoặc Google Docs), rồi chèn ảnh minh họa vào vị trí mình đánh dấu. Ảnh bạn có thể chụp từ router thật hoặc tìm trên Google với từ khóa như "DrayTek VLAN interface screenshot".

Hướng dẫn chi tiết: Cấu hình VLAN trên Router DrayTek để chia mạng LAN

Mục đích: VLAN giúp chia mạng LAN vật lý thành nhiều mạng logic riêng biệt, tăng bảo mật (máy tính phòng sale không thấy máy tính phòng kế toán), quản lý băng thông tốt hơn, và dễ phân quyền.

Chuẩn bị:

• Router DrayTek Vigor (ví dụ: 2926, 2927, 2962, 3910, 2960, v.v.)
• Máy tính nối vào cổng LAN của router
• Địa chỉ mặc định: 192.168.1.1 (user: admin, pass: admin hoặc pass bạn đã đặt)

Bước 1: Truy cập giao diện quản lý router

1. Mở trình duyệt (Chrome/Firefox), gõ địa chỉ: http://192.168.1.1

2. Đăng nhập bằng tài khoản admin (mật khẩu mặc định thường là admin hoặc để trống, nên đổi ngay sau khi vào).

Bước 2: Kích hoạt nhiều subnet LAN (Multiple Subnet)

Trước khi làm VLAN, phải bật các dải IP phụ.

1. Vào menu LAN >> General Setup
2. Bạn sẽ thấy các tab LAN1, LAN2, LAN3, LAN4,...
3. Tick chọn Enable cho LAN1 và LAN2 (hoặc nhiều hơn nếu cần)
4. Cấu hình chi tiết:
• LAN1: IP 192.168.1.1 , Subnet Mask 255.255.255.0
• LAN2: IP 192.168.10.1, Subnet Mask 255.255.255.0, DHCP Server Enable
5. Nhấn OK → router có thể yêu cầu reboot.

Bước 3: Tạo và gán VLAN (phần quan trọng nhất)

1. Vào menu LAN >> VLAN
2. Tick chọn Enable VLAN Configuration
3. Nhấn Add hoặc chỉnh sửa từng VLAN:
   • Chọn các cổng LAN vật lý bạn muốn gán (ví dụ: P3, P4,P6)
   • Chọn LAN Subnet: LAN1 (192.168.1.x)
   • Tick VLAN Tag nếu dùng trunk (thường không tick nếu cổng access đơn thuần)
   • VLAN ID: 0
   • Chọn cổng: P4 (hoặc cổng nối AP WiFi khách)
   • LAN Subnet: LAN2 (192.168.10.x)
   • VLAN ID: 1
• VLAN cho mạng văn phòng (VLAN 0):
• VLAN cho mạng khách (VLAN 1):
• VLAN default (VLAN 1): Giữ nguyên các cổng còn lại (P1, P5 nếu có), liên kết với LAN1.

Lưu ý: Nếu bạn nối switch hỗ trợ VLAN xuống router, cổng nối switch phải là trunk → tick VLAN Tag và gán nhiều VLAN vào cổng đó.

4. Nhấn OK → Apply. Router có thể reboot lại.

Bước 4: Cấu hình Inter-VLAN Routing (nếu muốn các VLAN giao tiếp với nhau)

Mặc định các VLAN không nói chuyện được với nhau (tốt cho bảo mật). Nếu muốn cho phép (ví dụ: máy chủ ở VLAN 0 cần truy cập máy ở VLAN 1):

1. Vào LAN >> General Setup
2. Chọn tab Inter-VLAN Route (hoặc VLAN Routing tùy model)
3. Tick Enable Routing Between Internal VLANs
4. Chọn các VLAN nào được route qua nhau (hoặc Allow All)
5. Nhấn Apply

Bước 5: Kiểm tra và test

1. Cắm máy tính vào cổng LAN tương ứng:
• Cổng P3/P4/P6 → nhận IP 192.168.1.x (VLAN 0)
• Cổng P4 → nhận IP 192.168.10.x (VLAN 1)
2. Ping thử:
• Máy ở VLAN 0 ping được gateway 192.168.1.1 nhưng không ping được máy ở VLAN 1 (nếu không bật Inter-VLAN)
• Ping internet đều được (nếu WAN đã config)
3. Nếu dùng WiFi: Vào Wireless LAN >> General Setup, gán SSID khách vào VLAN 20 (chọn VLAN Tag hoặc VLAN ID tương ứng).

Lưu ý quan trọng

• Nếu dùng switch quản lý (như VigorSwitch): Cần cấu hình trunk port trên switch nối với router (tagged VLAN 0,1,...), access port thì untagged.
• Firmware mới (DrayOS 4.x trở lên): Giao diện có phần LAN Networks, VLAN List, Interface VLAN – nguyên tắc tương tự nhưng menu hơi khác.
• Backup config trước khi làm (System Maintenance >> Configuration Backup).
• Nếu gặp lỗi: Kiểm tra cổng nào bị gán trùng VLAN, hoặc disable rồi enable lại VLAN.