Router
Hướng dẫn cấu hình router Cisco cho doanh nghiệp SMB
Checklist cấu hình router Cisco cho doanh nghiệp: WAN, LAN, VLAN, DHCP, NAT, firewall ACL, VPN, QoS, logging, SNMP, NTP và backup cấu hình.
Chia sẻ bài viết
Gửi nhanh bài viết qua Facebook, Zalo, LinkedIn hoặc email.
Chuẩn bị trước khi cấu hình
Cần có sơ đồ mạng, thông tin WAN từ ISP, dải IP LAN, VLAN, DHCP, danh sách port cần NAT, yêu cầu VPN, chính sách truy cập nội bộ và tài khoản quản trị.
Nên cấu hình trong cửa sổ bảo trì, có bản backup cấu hình cũ và có phương án rollback. Với thiết bị đang chạy production, cần kiểm tra quyền truy cập console hoặc out-of-band trước khi thay đổi lớn.
Bảo mật quản trị
Các bước cơ bản gồm đặt hostname, tạo user quản trị, enable secret, bật service password-encryption, cấu hình domain-name, tạo RSA key, bật SSH version 2 và tắt Telnet.
Ví dụ nhóm lệnh thường gặp: hostname TTD-RTR, enable secret <secret>, username admin privilege 15 secret <password>, ip domain-name tienthanhdigitech.com, crypto key generate rsa modulus 2048, ip ssh version 2, line vty 0 4, transport input ssh.
WAN, LAN và VLAN
Interface WAN thường đặt IP tĩnh hoặc DHCP từ ISP, đánh dấu ip nat outside. Interface LAN hoặc sub-interface VLAN đặt gateway cho từng mạng nội bộ và đánh dấu ip nat inside.
Ví dụ logic cấu hình: interface WAN dùng ip address dhcp hoặc IP tĩnh, interface LAN.10 dùng encapsulation dot1Q 10 và ip address 192.168.10.1 255.255.255.0, VLAN 20 dành cho guest, VLAN 30 dành cho camera.
DHCP, NAT và định tuyến
DHCP cần khai báo excluded-address cho gateway, server, printer, NVR hoặc thiết bị tĩnh. Mỗi VLAN nên có pool riêng, default-router đúng gateway và DNS phù hợp.
NAT overload thường dùng ACL cho các dải LAN rồi map ra interface WAN: ip access-list standard NAT-LAN, permit 192.168.0.0 0.0.255.255, ip nat inside source list NAT-LAN interface WAN overload. Default route thường trỏ về gateway ISP.
Firewall ACL và phân vùng mạng
ACL nên giới hạn truy cập từ VLAN guest vào LAN nội bộ, chỉ cho phép camera đi tới NVR, chỉ cho phép quản trị từ VLAN IT và chặn truy cập không cần thiết vào router.
Không nên mở port quản trị ra internet. Nếu cần truy cập từ xa, ưu tiên VPN thay vì NAT trực tiếp SSH, HTTP hoặc giao diện quản trị.
VPN, QoS và giám sát
Router Cisco có thể triển khai IPsec site-to-site, remote access tùy model/license. Cần xác định peer, proposal, pre-shared key hoặc chứng chỉ, traffic selector và route giữa hai đầu.
QoS nên ưu tiên thoại, họp trực tuyến, ERP hoặc ứng dụng quan trọng. Giám sát nên bật NTP, syslog, SNMPv3 nếu có, NetFlow hoặc telemetry tùy thiết bị và hệ thống quản trị.
Lưu cấu hình và nghiệm thu
Sau khi cấu hình, cần kiểm tra ping internet, DNS, DHCP, NAT, truy cập giữa VLAN, VPN, tốc độ, log lỗi và tải CPU/RAM. Lệnh lưu thường là copy running-config startup-config.
Hồ sơ bàn giao nên có sơ đồ IP, VLAN, port mapping, tài khoản bàn giao an toàn, file backup cấu hình, firmware version và checklist nghiệm thu.
Câu hỏi thường gặp
Có thể dùng một cấu hình Cisco cho mọi model không?
Không. Cú pháp thay đổi theo dòng thiết bị và phiên bản IOS/IOS XE. Bài viết này là khung triển khai tham khảo, cần điều chỉnh theo model, license và sơ đồ mạng thực tế.
Cấu hình quan trọng nhất trước khi public router là gì?
Đổi mật khẩu mặc định, bật SSH thay vì Telnet, giới hạn IP quản trị, cấu hình firewall, cập nhật firmware, tắt dịch vụ không dùng và sao lưu cấu hình.