Sophos – P7 Cấu Hình VLAN Với UniFi Trên Sophos Firewall (Step-by-Step)

Việc Cấu Hình VLAN Trên Sophos là bước quan trọng để phân tách hệ thống mạng một cách an toàn và chuyên nghiệp. Khi triển khai đúng cách, VLAN giúp tách biệt người dùng, phòng ban hoặc khách truy cập mà không cần thêm hạ tầng vật lý.

Trong bài hướng dẫn này, bạn sẽ học cách cấu hình VLAN giữa Sophos Firewall và UniFi Access Point theo từng bước chi tiết.

Bài viết bao gồm:

• Tạo VLAN Interface trên Sophos

• Cấu hình Zone

• Bật DHCP cho VLAN

• Tạo Firewall Rule cho VLAN

• Cấu hình VLAN trên UniFi

• Gán VLAN cho Wi-Fi Guest

Mô hình này thường được triển khai trong:

• Doanh nghiệp vừa và nhỏ

• Quán cafe

• Văn phòng chi nhánh

• Môi trường lab IT

Triển khai đúng Cấu Hình VLAN Trên Sophos sẽ giúp:

🔐 Tăng cường bảo mật
📊 Quản lý lưu lượng hiệu quả
🌐 Kiểm soát truy cập Internet
🏢 Tách biệt phòng ban
📶 Phân chia mạng khách (Guest)

🔎 Yêu Cầu Hệ Thống

Chia hệ thống mạng thành các VLAN để:

• Tách mạng Guest

• Tách theo phòng ban

• Kiểm soát truy cập Internet

• Hạn chế truy cập SMB

• Phân đoạn tài nguyên nội bộ

🧪 Mô Hình Lab

Topology demo:

AP → Switch → Sophos Firewall

Access Point kết nối vào Switch.
Switch kết nối vào Sophos Firewall.

Switch thường vẫn có thể sử dụng được.

Mô hình này phù hợp cho công ty nhỏ, vừa hoặc quán cafe.

1️⃣ Cấu Hình Trên Firewall (Sophos)

Bắt đầu từ phía Firewall.

Step 1: Create a Zone

Trước khi tạo VLAN Interface, cần tạo Zone riêng.

Ví dụ:

GUEST

Zone giúp quản lý policy và rule dễ dàng hơn.

Việc sử dụng zone riêng là best practice khi Cấu Hình VLAN Trên Sophos trong môi trường thực tế.

Step 2: Add Interface-VLAN

Ví dụ sử dụng:

VLAN 10 (192.168.10.0/24)

Truy cập:

Configure → Network

Thêm VLAN Interface mới với cấu hình:

• Parent interface: cổng kết nối xuống switch

• VLAN ID: 10

• IP address: 192.168.10.1/24

• Zone: GUEST (đã tạo ở trên)

Đảm bảo VLAN ID được cấu hình đúng.

Bước này cho phép phân đoạn logic trên cùng một cổng vật lý.

Step 3: Enable DHCP

Bật DHCP cho VLAN 10.

Cấu hình dải IP trong mạng:

192.168.10.0/24

Ví dụ:

192.168.10.100 – 192.168.10.200

Nếu không bật DHCP, thiết bị trong VLAN sẽ không nhận IP.

Step 4: Create a Rule for the VLAN to Use the Internet

Tạo Firewall Rule:

Source Zone: GUEST
Destination Zone: WAN
Services: Any
Action: Allow

Rule này cho phép VLAN 10 truy cập Internet.

Nếu cần có thể hạn chế:

• Không cho truy cập LAN

• Chặn SMB

• Chặn server nội bộ

Đây là sức mạnh thật sự khi Cấu Hình VLAN Trên Sophos: kiểm soát lưu lượng rõ ràng và tách biệt hoàn toàn.

2️⃣ Cấu Hình Trên AP (UniFi)

Sau khi hoàn tất phía Firewall, chuyển sang UniFi.

Step 1: Create a Guest Network

Trong UniFi Controller:

Tạo Network mới.

Cấu hình:

• VLAN ID: 10

• Purpose: Corporate hoặc VLAN-only

• Gateway/Subnet do Sophos quản lý

Quan trọng:

VLAN ID trên UniFi phải trùng VLAN ID trên Sophos.

Sai VLAN ID sẽ gây lỗi kết nối.

Step 2: Create a Guest Wi-Fi Network

Tạo SSID mới.

Ví dụ:

SSID: Guest-WiFi

Gán SSID này vào:

Guest Network (VLAN 10)

Lưu lượng Wi-Fi này sẽ được tag VLAN 10.

Step 3: Assign the Guest Network to the Guest Wi-Fi Network

Mapping:

Guest Wi-Fi → Guest Network (VLAN 10)

Sau khi áp dụng:

Thiết bị kết nối vào Guest-WiFi
Sẽ nhận IP từ dải 192.168.10.0/24
Chịu sự kiểm soát bởi rule trong zone GUEST

Hoàn tất phân đoạn VLAN giữa Sophos và UniFi.

✅ Kiểm Tra Hoạt Động

Sau khi cấu hình xong:

1. Kết nối vào Guest Wi-Fi

2. Kiểm tra IP được cấp

Kết quả mong đợi:

192.168.10.x

3. Kiểm tra truy cập Internet

4. Xác nhận không truy cập được LAN (nếu đã chặn)

Nếu hoạt động đúng, VLAN đã được triển khai thành công.

⚠️ Lỗi Thường Gặp Khi Cấu Hình VLAN

❌ VLAN ID không khớp
❌ Gán sai Zone
❌ Thiếu Firewall Rule
❌ Quên bật DHCP
❌ Switch port không cấu hình trunk
❌ Port không tag VLAN

Luôn kiểm tra:

• Switch port mode (Trunk / Access)

• VLAN tagging

Lỗi phổ biến nhất là cấu hình tagging sai.

🏗 Tại Sao Nên Thiết Kế VLAN Chuẩn?

Khi Cấu Hình VLAN Trên Sophos đúng cách:

✔ Giảm broadcast domain
✔ Tăng bảo mật
✔ Chính sách rõ ràng
✔ Dễ mở rộng
✔ Kiểm soát truy cập chính xác

Bạn có thể mở rộng thêm:

• VLAN cho HR

• VLAN cho Camera

• VLAN cho VoIP

• VLAN cho Server

Hệ thống sẽ linh hoạt và dễ quản lý hơn.

🔐 Best Practices

• Mỗi VLAN nên có Zone riêng

• Không cho phép VLAN truy cập LAN nếu không cần

• Đặt VLAN ID có logic

• Document topology rõ ràng

• Test kỹ trước khi đưa vào production

Phân đoạn mạng là tiêu chuẩn bắt buộc trong hệ thống hiện đại.

🎯 Kết Luận

Trong bài viết này, bạn đã hoàn thành:

• Tạo Zone GUEST

• Thêm VLAN Interface (VLAN 10 – 192.168.10.0/24)

• Bật DHCP

• Tạo rule cho Internet

• Cấu hình UniFi VLAN

• Gán VLAN cho Wi-Fi Guest

Bạn đã nắm vững cách Cấu Hình VLAN Trên Sophos kết hợp UniFi một cách chuyên nghiệp.

Giải pháp này mang lại:

🔒 Bảo mật cao
📶 Phân tách Wi-Fi rõ ràng
🌍 Kiểm soát Internet
📈 Kiến trúc mở rộng

Trong bài tiếp theo, bạn có thể triển khai:

• Inter-VLAN Routing

• Bandwidth Control

• VLAN theo phòng ban

• Policy nâng cao

Một hệ thống mạng chuyên nghiệp luôn bắt đầu từ phân đoạn VLAN chuẩn chỉnh — và bạn vừa hoàn thành điều đó. 🚀