TTDTiến Thành DigitechCông nghệ số • Hạ tầng • An ninh • Tự động hóa

Router

Hướng dẫn cấu hình router MikroTik cho doanh nghiệp

Hướng dẫn cấu hình MikroTik RouterOS: bridge, VLAN, DHCP, NAT, firewall, VPN, WireGuard, QoS, policy routing, monitoring và backup.

Tiến Thành Digitech8 phút đọc
Router MikroTik trong hệ thống mạng doanh nghiệp

Chia sẻ bài viết

Gửi nhanh bài viết qua Facebook, Zalo, LinkedIn hoặc email.

Chuẩn bị và reset cấu hình

Trước khi cấu hình, cần biết model, phiên bản RouterOS, sơ đồ port, WAN, LAN, VLAN, DHCP, VPN và chính sách truy cập. Nếu thiết bị cũ, nên export cấu hình trước khi reset hoặc thay đổi lớn.

Sau khi đăng nhập, đặt identity, user quản trị, timezone, NTP, cập nhật firmware và tắt các service không cần thiết như telnet, ftp, api nếu không dùng.

WAN, LAN và bridge

Thiết kế phổ biến là ether1 làm WAN, các port còn lại vào bridge LAN. WAN có thể nhận DHCP, PPPoE hoặc IP tĩnh. LAN đặt IP gateway như 192.168.10.1/24.

Các lệnh logic thường gặp gồm /system identity set name=TTD-RTR, /ip dhcp-client add interface=ether1 disabled=no, /interface bridge add name=bridge-lan, /ip address add address=192.168.10.1/24 interface=bridge-lan.

DHCP, DNS và NAT

Tạo IP pool, DHCP server, network và DNS cho từng LAN hoặc VLAN. Cần chừa địa chỉ tĩnh cho server, NAS, printer, NVR, AP controller và thiết bị quản trị.

NAT internet thường dùng /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade. Nếu có nhiều WAN, cần cấu hình interface list, route và policy routing rõ ràng.

Firewall input và forward

Firewall input bảo vệ chính router; forward kiểm soát lưu lượng đi qua router. Rule cơ bản nên allow established/related, drop invalid, allow quản trị từ VLAN IT, allow ICMP cần thiết và drop truy cập từ WAN vào router.

Không nên để router public Winbox, SSH hoặc WebFig ra internet. Nếu cần quản trị từ xa, dùng VPN như WireGuard hoặc IPsec và giới hạn subnet quản trị.

VLAN và tách mạng

VLAN trên MikroTik có thể triển khai qua bridge VLAN filtering. Cần xác định port trunk, port access, VLAN ID, IP gateway và DHCP tương ứng.

Ví dụ thiết kế: VLAN 10 nhân viên, VLAN 20 guest, VLAN 30 camera, VLAN 99 management. Guest bị chặn vào LAN, camera chỉ được tới NVR và DNS/NTP nếu cần.

VPN, QoS và monitoring

MikroTik hỗ trợ WireGuard, IPsec, L2TP, SSTP, OpenVPN tùy phiên bản. WireGuard thường gọn và hiệu quả cho remote access hiện đại, nhưng cần quản lý key và route cẩn thận.

QoS có thể dùng simple queue hoặc queue tree để giới hạn guest, ưu tiên voice/video hoặc kiểm soát user. Monitoring nên dùng log, graphing, SNMP, Netwatch và backup định kỳ bằng export hoặc backup binary.

Câu hỏi thường gặp

MikroTik có phù hợp doanh nghiệp SMB không?

Có, nếu được cấu hình đúng. MikroTik mạnh về routing, firewall, VPN, VLAN và QoS với chi phí tốt, nhưng cần người triển khai hiểu RouterOS.

Bước bảo mật đầu tiên trên MikroTik là gì?

Đổi mật khẩu, tạo user riêng, tắt admin mặc định nếu phù hợp, giới hạn dịch vụ quản trị, cập nhật RouterOS, cấu hình firewall input và không mở Winbox/SSH ra internet.