🚀 Cấu Hình VLANs trên pfSense cho UniFi (Hướng Dẫn Cho Người Mới)

Việc chia mạng bằng VLAN là một kỹ thuật quan trọng trong hệ thống IT hiện đại. Nó giúp tăng cường bảo mật, tối ưu hiệu năng và dễ dàng quản lý hệ thống mạng—đặc biệt khi triển khai Wi-Fi với UniFi.

Trong bài viết này, bạn sẽ được hướng dẫn cách cấu hình VLANs trên pfSense và tích hợp với UniFi để tạo một mạng Guest riêng biệt. Đây là mô hình cơ bản nhưng rất thực tế, phù hợp cho cả lab và môi trường doanh nghiệp nhỏ.

🧪 Lab Overview

Trong mô hình này:

• Không sử dụng Layer 3 switch

• Tạo một VLAN riêng cho mạng khách (Guest)

• UniFi và pfSense đều kết nối vào một switch Layer 2

• UniFi đang broadcast Wi-Fi với subnet: 192.168.16.0/24

• Tạo thêm VLAN Guest với subnet: 10.10.10.0/24

💡 Nếu bạn có:

• Switch Layer 3, hoặc

• Nhiều card mạng

➡️ Có thể mở rộng thành nhiều VLAN cho các phòng ban như HR, IT, Guest,…

📡 1. Cấu hình trên UniFi Controller

🔹 Step 1: Tạo Network VLAN

Trên UniFi Controller:

• Tạo network mới

• VLAN ID: có thể đặt tùy ý (ví dụ: 10)

• Name: đặt tên network phù hợp

VLAN ID này phải trùng với cấu hình trên pfSense.

🔹 Step 2: Tạo Wi-Fi cho VLAN

• Tạo SSID (tên Wi-Fi)

• Gán vào VLAN vừa tạo

➡️ Thiết bị kết nối Wi-Fi sẽ được đưa vào đúng VLAN.

🔥 2. Cấu hình VLAN trên pfSense

🔹 Step 1: Tạo VLAN

Trên pfSense:

• Tạo VLAN mới

• VLAN Tag: trùng với VLAN ID trên UniFi (10)

➡️ Đảm bảo việc tagging giữa UniFi và pfSense chính xác.

🔹 Step 2: Gán VLAN vào Interface

• Assign VLAN vừa tạo vào một interface

➡️ Tạo interface logic để xử lý traffic VLAN.

🔹 Step 3: Cấu hình DHCP Server

• Enable DHCP trên interface VLAN

• Cấu hình dải IP cấp phát

Ví dụ:

• Network: 10.10.10.0/24

➡️ Client kết nối Wi-Fi Guest sẽ nhận IP từ dải này.

🔹 Step 4: Cấu hình Firewall Rule cho Internet

• Tạo rule cho phép VLAN truy cập internet

👉 Kiểm tra:

• Kết nối vào Wi-Fi Guest

• Xem IP nhận được có thuộc 10.10.10.0/24 hay không

🔹 Step 5: Chặn truy cập nội bộ (Optional)

Nếu VLAN này dùng cho khách:

• Chặn truy cập vào mạng LAN nội bộ

• Chỉ cho phép ra internet

💡 Có thể kết hợp thêm limit băng thông để tối ưu.

⚠️ Lưu ý Rule

• Rule 1: Block local

• Rule 2: Allow internet any

➡️ Thứ tự rule rất quan trọng để đảm bảo hoạt động đúng.

🎯 Best Practices khi triển khai VLAN

Khi cấu hình VLAN trên pfSense, bạn nên:

• Đảm bảo VLAN ID giống nhau giữa UniFi và pfSense

• Mỗi VLAN dùng một subnet riêng

• Thiết lập firewall rule rõ ràng

• Không cho Guest truy cập mạng nội bộ

• Kiểm tra từng bước sau khi cấu hình

🔍 Checklist kiểm tra

Sau khi hoàn tất:

✔ Client kết nối đúng SSID
✔ Nhận IP thuộc dải 10.10.10.0/24
✔ Truy cập được internet
✔ Không truy cập được LAN (nếu đã block)

🎯 Tổng kết

Việc cấu hình VLAN trên pfSense với UniFi là nền tảng quan trọng để xây dựng hệ thống mạng chuyên nghiệp. Ngay cả khi chỉ dùng switch Layer 2, bạn vẫn có thể triển khai một mô hình tách mạng hiệu quả.

Thông qua hướng dẫn này, bạn có thể:

• Tách mạng Guest độc lập

• Tăng cường bảo mật hệ thống

• Xây dựng nền tảng cho các mô hình VLAN nâng cao

Đây là bước khởi đầu vững chắc để bạn tiến tới các giải pháp nâng cao như inter-VLAN routing, firewall policy phức tạp hoặc triển khai mạng doanh nghiệp quy mô lớn.