Mikrotik Viet Nam - MVN

Mikrotik Viet Nam - MVN Fanpage chính thức của Mikrotik Việt Nam do MVN trực tiếp điều hành. Từ đó đem lại sự trải nghiệm vượt hơn cả sự mong đợi.
(1)

Công ty Công nghệ MVN Việt Nam đã có những chặng đường phát triển với khách hàng là yếu tố nền tảng để MVN tập trung phục vụ và phát triển. Sản phẩm và các hoạt động của công ty luôn hướng đến mục tiêu: "Phục vụ tận tâm khách hàng". ​
Song hành cùng phương châm đó, MVN Roadshow (Techshow) là 1 trong các dịch vụ cung cấp trực tiếp trên 63 Tỉnh Thành Phố, mang trong mình sứ mệnh trực tiếp truyền tải

những giá trị ấy từ MVN tới khách hàng. Mục tiêu của chúng tôi là luôn đem tới cho khách hàng những sản phẩm tốt nhất và trải nghiệm hài lòng khi sử dụng sản phẩm của MVN.​
Chúng tôi sẽ nỗ lực để thoả mãn tối đa sự mong đợi của khách hàng về cả chất lượng và các dịch vụ sau bán hàng.

🟠 [Độ tải] - trong mạng Wi-Fi tàn phá sóng như thế nào?Tải các tệp tin trên là một nhu cầu tất yếu trong mạng văn ph...
04/06/2026

🟠 [Độ tải] - trong mạng Wi-Fi tàn phá sóng như thế nào?
Tải các tệp tin trên là một nhu cầu tất yếu trong mạng văn phòng hiện nay. Tuy nhiên, việc tải quá nhiều file trong cùng một thời điểm, hoặc quá nhiều máy cùng tải tệp là một vấn đề đáng phải suy ngẫm. Trong bài viết này, chúng tôi thảo luận trên mạng Wi-Fi 6 (802.11ax).
Câu hỏi đặt ra, làm sao để phân bổ tài nguyên sóng cho phù hợp, trong khi đó việc truy cập của người dùng không bị ảnh hưởng.
1) Càng nhiều dữ liệu tải về trên mạng Wi-Fi càng tốt nhiều ("THỜI GIAN BAY" - THỜI GIAN CHỜ).
- Sự khác nhau rõ ràng của Wi-Fi 5 và Wi-Fi 6 là công nghệ được trang bị thêm, cho phép phân thành nhiều luồng, mỗi luồng cho mỗi client có thể truyền tải độc lập.
- Bên cạnh đó là MU-MIMO, cho phép AP có thể cùng truyền xuống, cùng nhận lên dữ liệu đồng thời của nhiều client.
Đấy là lợi thế, nhưng hãy xem xét lại rằng, các công nghệ trên phù hợp với các gói tin nhỏ, nhẹ và cần ổn định cao, chẳng hạn gói tin của trò chơi trực tuyến, thoại hoặc tin nhắn văn bản tức thì.
- Khi một số client thực hiện tải file, mỗi luôn cấp rất nhiều tài nguyên sóng cho client và các client xảy ra tranh chấp. Các client cùng sử dụng trên một tần số và chia sẻ ra đều nhau. Phía AP, luôn gửi frame, chờ ACK, gửi frame, chờ , việc này sẽ tăng cao .
- Ghi nhớ: Tất cả các AP đều dùng cơ chế CSMA/CA, nghĩa là AP luôn làm nhiệm vụ lắng nghe trên sóng - Nếu rảnh thì phát ra -> Nếu bận thì chờ đợi. Vậy sẽ ra sao nếu kênh cứ bận/chờ/phát/chờ/chờ/chờ/chờ........., tức mọi client sẽ bị dừng lại việc truyền. Hậu quả: Việc truy cập sẽ lag, Teams giật và mất khung hình nghiêm trọng; truy cập các trở nên chậm
Ping tăng cao và bắt đầu rớt gói.

2) Cách hiệu quả để cải thiện tình trạng tải File trong mạng Wi-Fi.
Đó là gì?
- Sử dụng AP có 3 tần số hoặc nhiều hơn, trong đó buộc sử dụng Dual Band (2x5Ghz) kết hợp. Những AP này thường được đặt tên với mã High Density ( ).
- Tiếp đó, bổ sung thêm AP. Một Tầng có thể gắn lên tới 4-6 thậm chí là 10 AP, chỉ để phục vụ việc tải .,
- Tải File có thể tốn khá nhiều băng thông, hãy giảm tải bằng cáp dùng cáp sợi và chọn gói cước đủ lớn băng thông.
➜ Kiểm tra:
- Đây là một mẫu ví dụ về việc tải file quá mức so với số lượng AP lắp đặt thực tế.
- Cuối cùng, có lẽ bạn sẽ không còn bối rối về việc tải, với việc phân tách mỗi AP cho mỗi một số lượng cụ thể Client.
- Quá đơn giản đúng không nào! Hãy nâng ly 🙂
➜ Bài viết này không sử dụng Ai!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.
Ẩn bớt

🟠 [Độ tải]- Tải trên mạng WiFi 5 - 802.11ac (Tuần này).Đáp lại những phàn nàn về việc hỗ trợ cho các thiết bị WiFi kém t...
03/06/2026

🟠 [Độ tải]- Tải trên mạng WiFi 5 - 802.11ac (Tuần này).
Đáp lại những phàn nàn về việc hỗ trợ cho các thiết bị WiFi kém trên nền tảng mạng WiFi5 (802.11ac) với các phiên bản AP phổ biến đang phát hành trên thị trường trước đó, lần này chúng tôi thảo luận lại các dự án trước đó để thấy rõ độ tải cơ bản trong việc chọn lựa AP, cũng như lập kế hoạch tính toán số lượng cho phù hợp. Xin lưu ý rằng người dùng cần tham vấn rất cẩn thận với bộ phận kỹ thuật nhà cung cấp thiết bị mạng trước khi thiết kế hệ thống và lên số lượng, cụ thể là số lượng bộ phát sóng trong một mặt sàn và cả dự án.
Một lần nữa, chúng tôi nhắc lại về độ tải trên mạng 802.11ac trong các dự án để triển khai thành công gần nhất.
- Thực ra, việc tải trên mạng 802.11ac thường khiêm tốn so với mạng Wi-Fi 6 (802.11ax) và Wi-Fi 7 (802.11be) và cải thiện gấp nhiều lần so với mạng Wi-Fi4 (802.11n) truyền thống, tuy nhiên nếu chúng ta nắm rõ, có thể thiết lập một mạng ổn định, mạnh mẽ nhưng chi phí tiết kiệm nhất.
1) Ngưỡng tối đa client ở tần số 5Ghz, khuyến nghị dưới 60 thiết bị thông thường (có nghĩa là hỗn hợp có thiết bị sử dụng băng thông, có thiết bị nghỉ) là ỔN ĐỊNH & TIN CẬY.
- Đây không phải là số liệu ảo, số liệu này từ các mẫu triển khai thực tế tại phía khách hàng và đạt hiệu quả mong đợi.
- Trong một số trường hợp, quản trị viên mạng có thể kèm giới hạn băng thông truy cập cho mỗi thiết bị, trung bình từ 30Mb/s, để duy trì kênh sóng chất lượng.
2) Ép buộc sử dụng TẦN SỐ với VÔ HIỆU TỐC ĐỘ THẤP.
- Là một lợi thế để giảm tải tần số 5Ghz, cũng như mong muốn một kết nối ổn định, tin cậy.
3) Lọc các lưu lượng "TẠP NHAM" Multicast/Broadcast trong mạng, và tắt các dịch vụ phát trực tuyến, chẳng hạn , , googlecast... đối với các kết nối Wi-Fi.
Dĩ nhiên, nếu một khách (ngoại trừ người dùng nội bộ) kết nối vào mạng, họ không thể chiếu các nội dung tới các màn hình hội nghị hoặc phát lên các thiết bị không dây có tính năng ...
➜ Kiểm tra:
- Chúng tôi đã tiến hành các thí nghiệm để kiểm tra các gói tin truyền tải trong mạng Wi-Fi trong giờ cao điểm. Quá trình thử nghiệm cho thấy, chỉ các lưu lượng truy cập mạng được phép AP xử lý & chuyển sang hệ chuyển mạch, định tuyến ra Internet. Tất nhiên, kết quả kiểm tra băng thông sẽ khác nhau tùy thuộc vào điều kiện thực tế, vì lượng người dùng thay đổi sẽ thay đổi băng thông thực tế của đường truyền đáp ứng.
- Cuối cùng, có lẽ bạn sẽ không còn bối rối về việc tải, với việc phân tách mỗi AP cho mỗi một số lượng cụ thể Client.
- Quá đơn giản đúng không nào! Hãy nâng ly :)
➜ Bài viết này không sử dụng Ai!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.

02/06/2026

[For a University Campus]
Thực hiện bởi Phòng Dự án MVN - Nhánh Hà Nội
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.

🟠 [Độ tải]- Bộ phát sóng tải 1.000 thiết bị đã "xuất bán" trên Internet."Gần như chưa có một AP nào đạt được tới ngưỡn...
01/06/2026

🟠 [Độ tải]- Bộ phát sóng tải 1.000 thiết bị đã "xuất bán" trên Internet.
"Gần như chưa có một AP nào đạt được tới ngưỡng này - trừ khi AP đó nằm trên giấy" - Ks. Trần Trung Đức.
"Đang có một số shorts video mô tả về tải hàng nghìn thiết bị bởi sản phẩm Cambium " - Bài viết này làm rõ về yêu cầu từ các đánh giá từ người xem gửi về Fanpage của chúng tôi.
, , hay cả cũng đã từng "làm mưa làm gió" trên thị trường với các dòng sản phẩm AP chủ lực của họ với độ tải cao, cho tới rất cao.
Trước đây, nét đặc trưng của các bộ phát sóng WiFi tải cao, là việc trang bị rất nhiều radio bên trong bộ phát sóng (tương tự như một trạm BTS truyền thống). Chúng ta có thể dễ dàng nhận thấy, có 4 Radio; 8 Radio; 12 Radio; 16 Radio; 24 Radio trên cùng một AP Xirrus, khác biệt hoàn toàn với thế giới AP còn lại - nơi các chỉ trang bị 2 radio hoặc tối đa là 3 (tri-band). Song song, các AP này phân bổ bức xạ của mỗi antenna tương ứng theo một góc hẹp hơn, từ 60° hoặc thấp hơn 30°, tạo ra một vùng phủ 360°, trong đó mỗi góc sẽ cung cấp vùng phủ như một AP độc lập.
Chính vì điều này, kênh sóng phát ra đã giảm nhiễu đồng kênh, tăng chất lượng , mật độ thiết bị trong vùng được nâng cao hơn, việc roaming tốt hơn và đồng thời đó, kênh tín hiệu được sử dụng triệt để.
- Thế nhưng, ngày nay khi công nghệ mạng đã phát triển tới "chuẩn 7, chuẩn 8", việc tải của một AP cũng trở nên tốt hơn nhưng vẫn "hữu hạn". Ngay trong bài viết này, các kỹ sư của chúng tôi vẫn đang tìm kiếm còn lại các AP có hơn 3 radio đồng thời.
➜ Trong thực tế:
Hãy luôn ghi nhớ rằng các AP có thể cho phép kết nối cả nghìn thiết bị, nhưng không thể phục vụ cả nghìn thiết bị hoạt động mạnh cùng lúc trên một AP duy nhất. Đó là mấu chốt chúng ta phải hiểu rõ & nắm vững.
* Bán cái gì đó có thể PR thật đẹp, nhưng riêng với thiết bị liên quan kỹ thuật hoặc đòi hỏi có chuyên môn, việc PR "quá đà" có thể đi "quá trớn".
🔹 Trong mạng WiFi 6, về lý thuyết số lượng thiết bị có thể kết nối (gọi là Associate) lên tới 1024, nhưng đây không phải 1024 thiết bị hoạt động đồng thời. Thực tế Airtime mới là giới hạn.
- Một mẫu ví dụ có thể dễ dàng nhận thấy rằng nếu chúng tôi có 990 máy điện thoại đang để túi và chỉ có 10 máy đang dùng , thì chắc chắn rằng AP xử lý hoàn toàn dễ dàng.
- Nhưng nếu 1000 người cùng cùng lúc lướt TikTok, Facebook Reels
hoặc tải YouTube AP sẽ "nghẽn" ngay lập tức . Đây không phải CPU nghẽn. Airtime đang nghẽn trầm trọng. Biểu hiện rõ ràng nhất của Airtime thể hiện trên cột Ultilization của mỗi tần số.
* Lấy một mẫu thực tế:
- Một AP HPE/Aruba 335, một AP HPE/Aruba 535 và một AP HPE/Aruba 635. Trong thực tế, xét trong môi trường truy cập thông thường (tức có máy có truy cập, có máy không truy cập nhưng giữ kết nối), ngưỡng 80-150 thiết bị đã chiếm dụng hơn 60% radio (với tần số 5Ghz).
- Chúng tôi có thể liệt kê theo một danh sách có thể tiện theo dõi cho người dùng cuối lựa chọn. Cũng nên ghi nhớ rằng, đây là mẫu số liệu thu thập thực tế, được chọn lọc qua hàng loạt các dự án với số lượng kết nối rất lớn.
👉 Suy cho cùng, việc không nắm vững nguyên tắc kỹ thuật của sóng có thể khiến chúng ta lầm tưởng về các thông tin thiếu cơ sở trên Internet. Tất nhiên, một khi thất bại trong triển khai thực tế, bạn sẽ nhận lấy phần hậu quả, chứ không phải ai khác. Vì "giá như đời làm gì có giá như". Hãy lưu ý và lựa chọn AP cho phù hợp trong nhu cầu của bạn.
➜ Bài viết này không sử dụng Ai!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.

👏[MLAG/Stack] Tính năng MLAG và việc bổ sung/thay thế công nghệ Stack trên hệ thống mạng LỚN.MLAG (Multi-chassis Link Ag...
01/06/2026

👏[MLAG/Stack] Tính năng MLAG và việc bổ sung/thay thế công nghệ Stack trên hệ thống mạng LỚN.
MLAG (Multi-chassis Link Aggregation Group), hay Nhóm Tổng Hợp Liên Kết Đa Khung, là một công nghệ được sử dụng trong mạng để tăng tính dự phòng. Đó là một phương pháp trong đó nhiều thiết bị mạng (thường là bộ chuyển mạch hoặc bộ định tuyến) được kết nối song song với một số thiết bị đích khác.
Nó cũng dễ hiểu rằng, về mặt kết nối các thiết bị cuối chỉ nhìn thấy được kết nối tới duy nhất tới một bộ chuyển mạch hoặc một bộ định tuyến, trong khi đó thực ra là 2 bộ chuyển mạch hoặc 2 bộ định tuyến đang hoạt động đồng thời. Điều này cung cấp khả năng dự phòng vật lý trong trường hợp xảy ra lỗi ở bộ chuyển mạch/bộ định tuyến.
Trong thực tế, ngay khi chúng tôi cấu hình /bonding thông thường, nó chỉ cung cấp một kết nối đa liên kết (nhiều cáp sợi) tới duy nhất một thiết bị đích, điều này có thể tạo ra sự tổng hợp liên kết/liên kết dự phòng hoặc tăng băng thông. Tuy nhiên, với MLAG, nếu một trong các thiết bị đích bị lỗi, các thiết bị mạng khác vẫn có thể hoạt động bình thường, điều này chắc chắn có thể giảm thời gian ngừng hoạt động.
👉Hãy lưu ý rằng: Để sử dụng MLAG, bạn cần hệ điều hành Router OS phiên bản 7, và tính năng này chỉ khả dụng trên các thiết bị 2116, CCR 2216, CRS 5XX và tất cả các thiết bị dòng 3XX.
*********** Phần hạ tầng Trung tâm - 2 CCR2216 ***********
Lưu ý:
* Sơ đồ trong bài viết này thực chất là một kiến trúc xây dựng Campus Core có tính HA trong thực tế, sử dụng tính năng MLAG + thay thế Stack truyền thống, và tương tự như các mô hình của các nhà sản xuất mạng bên thứ ba mà chúng ta hay gặp phải.
🔹1. Cung cấp cho sức mạnh định tuyến và chuyển mạch cỡ lớn, chúng tôi trang bị dòng sản phẩm MikroTik , 12 cổng quang 25Gb/s và 2 cổng quang 100Gb/s.
* Xin lưu ý rằng, hệ thống này đang hoạt động trong thực tế, cho chuyển mạch lên tới 100Gb mỗi giây và định tuyến tới mỗi 10Gb mỗi giây, sử dụng tới 4 liên kết Internet 2.5Gb/s kết hợp.
➜ Mô tả rõ ràng:
đóng vai trò cung cấp lớp Layer 3 chính cho toàn bộ hệ thống mạng này, trong đó các tính năng thực hiện:
- Được cấu hình để định tuyến toàn bộ lưu lượng trong Khối học viện, trong đó luôn sử dụng LACP cho các liên kết để tăng thông lượng.
- Dự phòng kết nối Internet khi một bộ định tuyến hỏng (VRRP).
- Định tuyến động .
Lưu ý:
- Giữa 2 bộ định tuyến sử dụng Peer-link, được sử dụng để đồng bộ địa chỉ MAC, cũng như theo dõi trạng thái (bao gồm các thuộc tính rất quan trọng như Port Dow, LACP State, FDB).
🔹2. Liên kết lên hạ tầng Trung tâm (Core) sử dụng LACP, để dự phòng cáp, đồng thời x2 tốc độ.
Lưu ý:
- Đối với tòa A, chúng tôi sử dụng Single Cable (tức cáp đơn) mà không sử dụng thay thế,. cũng là một điểm nhấn để người xem có thể đánh giá sự khác biệt giữa tòa B sử dụng LACP và Tòa A.
- LACP cũng không mất quá nhiều chi phí cho việc đầu tư.
🔹3. Tại mỗi Toà.
- Trong số chúng ta điều có "nghi vấn" rằng, tại sao phải dùng tới x2 CCR2216 mà không phải chỉ dùng CRS520.
* Ý tưởng rất hay trong bài toán này là việc xem xét mỗi mỗi tòa A/B không xem như một hệ thống chuyển mạch thông thường (hay gọi Access Switch) bình thường nữa.
Chúng tôi xem xét mỗi tòa nhà đóng vai trò ngang hàng với cấp Trung tâm. Đây là "chủ ý" trong thiết kế hệ thống mạng với lưu lượng tách biệt rõ ràng.
👉 Mẹo vặt
Để tận dụng tối đa tài nguyên của bộ định tuyến hiện hữu, chúng tôi có thể sử dụng tính năng load sharing trong , trong đó:
- Bộ định tuyến CCR1 hoạt động chính (master) cho một số VLAN
- Ngược lại bộ định tuyến CCR2 hoạt động chính (master) cho một số VLAN khác để chia tải cho .
→ 𝗟𝘂̛𝘂 𝘆́:
👉 Việc lựa chọn thiết bị cho hiệu suất cao, cần "hiểu rõ" từng mã, từng mã để chọn lựa mã thiết bị phù hợp nhất, cũng như loại tính năng triển khai có yêu cầu CPU/Swtich Chip hay không., Đa số các thất bại trong thiết kế mạng là việc tìm hiểu "lướt" sẽ là nguyên nhân làm chậm toàn bộ lưu lượng mạng khi giờ cao điểm.
- Đối với , chúng tôi khuyến nghị sử dụng Layer3 roaming.
Hãy nâng ly!!!
➜ Bài viết này không sử dụng Ai.!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.

☘️ [Case Studies] Cấu trúc mạng thiết kế tải 10.000 người dùng sử dụng trong môi trường của Học viện Phía Nam.Khi bắt đầ...
31/05/2026

☘️ [Case Studies] Cấu trúc mạng thiết kế tải 10.000 người dùng sử dụng trong môi trường của Học viện Phía Nam.
Khi bắt đầu thiết kế hệ thống cho ngưỡng người dùng lớn và rất lớn, một trong số các lí do mà nhà quản trị mạng cần phải xem xét các tác động trong quá trình xây dựng hệ thống với yếu tố thực tế có thể xảy ra và các tình huống xấu nhất. Hệ thống dự phòng trong mạng được xem là một bước quan trọng để duy trì tính bảo mật và khả năng hoạt động của hệ thống trong việc xảy ra sự cố, ngăn ngừa gián đoạn truy cập mạng do sự cố hệ thống hoặc lỗi cấu hình. Việc xây dựng hệ thống có tính sẵn sàng về cơ bản cũng không quá khó khăn đối với , có thể được thực hiện thông qua việc lựa chọn các bộ định tuyến, bộ chuyển mạch hiệu suất cao kèm các tính năng sắp triển khai.
Nếu bạn đã từng xem một số các bài viết trên Internet nói về thiết kế hệ thống mạng cho vài nghìn người dùng, bạn sẽ nhận thấy một số các hướng dẫn rất chúng chung, các thiết lập rất lộn xộn, cũng như không rõ ràng.
Điều đó có nghĩa là gì? Trong bài viết này, chúng tôi thảo luận về hệ thống thiết kế cho một học viện đã hoạt động với 100% thiết bị MikroTik, đóng vai trò là điểm truy cập mạng cho hàng nghìn lượt truy cập mỗi ngày, theo cách mô tả cụ thể và chi tiết.
Lưu ý: Đây là một hệ thống thuần MikroTik.
*********** Phần hạ tầng Trung tâm - HA ***********
🔹1. Dựa theo đặc thù 2 cơ sở đặt cách nhau khoảng 5km, đây là một bất lợi trong việc tổ chức dự phòng kết nối giữa 2 điểm với kết nối . Đối với thiết bị để kết nối ra Internet, dòng CCR2116-12G-4S+ được lựa chọn.
➜ Mô tả rõ ràng:
đóng vai trò cung cấp lớp Layer 3 chính cho toàn bộ hệ thống mạng này, trong đó các tính năng thực hiện:
- Đây là Gateway VLAN cho mạng WiFi / Student
- Cung cấp DHCP Server cho VLAN WiFi / Student
- Thực hiện VRRP giữa 2 CCR để dự phòng thiết bị khi gặp phải sự cố.
- Định tuyến động với FortiGate và CCR giữa 2 cơ sở.
- PBR chia tải Internet giữa 2 ISP
- Định tuyến giữa các cơ sở với nhau.
- Trong tình huống xấu nhất, chúng tôi có thể cấu hình NAT (masquerade) cho các VLAN đi Internet nếu thiết kế yêu cầu từ phía Học viện.

🔹2. Tường lửa FortiGate. Đối với nhu cầu phía Học viện, tường lửa cung cấp việc lọc dữ liệu rất quan trọng trong toàn bộ các lớp mạng cục bộ, đặc biệt khu vực đặt máy chủ phần mềm quản lý Thi, Phần mềm Khối Đào tạo...
➜ Mô tả rõ ràng:
200G đảm nhiệm các chức năng chính trong cấu trúc mạng này bao gồm:
- Lọc các lưu lượng truy cập giữa các mạng cục bộ với nhau & Internet bằng cách thiết lập các chính sách.
- Thiết lập các quy tắc bảo mật, các lỗ hỏng bảo mật.
- NAT để truy cập ra Internet.
- VPN đối với các điểm ngoài trường - đặc biệt các kỳ tuyển sinh từ xa, nơi cần kết nối toàn bộ các điểm tuyển sinh về hệ thống phần mềm tại Học viện
- Gateway cho các quản trị / nhân sự, máy chủ và Quản lý.
- Cấu hình OSPF với CCR để quảng bá các lớp mạng.

➜ Hãy lưu ý rằng: mạng người dùng WiFi/Student đi qua CCR, còn mạng quan trọng đi qua để kiểm soát bảo mật tốt hơn. Đây là "chủ ý" trong thiết kế và phân lọc rõ ràng để giảm thiểu tiêu thụ tài nguyên trên hệ thống, cũng như phân loại đúng các lưu lượng cần thiết.

🔹3 CRS326-24S+. Đây là bộ chuyển mạch trung tâm có 24 cổng quang 10Gb. Rõ ràng trong cấu trúc này, chúng tôi phải mở rộng tối đa các cổng SFP+ để kết nối tới các phân khu trong học viện, cũng như việc đấu nối về hệ thống Trung tâm thông qua LACP/MLAG.
➜ Mô tả rõ ràng:
được tổ chức để thực viện các nhiệm vụ quan trọng, bao gồm:
- Switching Layer 2.
- VLAN trunk/access.
- MLAG giữa 2 CRS.
- Cấu hình LACP xuống access switch và lên cả CCR.
- Không được cấu hình routing, DHCP, NAT, firewall phức tạp, vì đây là dòng có CPU rất yếu!!!
➜ Một ưu điểm có thể nhìn thấy, khi cho phép CRS326-24S+ chỉ xử lý phần Layer2 (Gọi ngắn gọn là Core Layer 2 / Aggregation Layer).
- CRS326-24S+ sẽ làm tăng thông lượng chuyển mạch giữa các lớp mạng hoặc trong một lớp mạng trong hệ thống bằng cách sử dụng Switch Chip hiệu suất rất cao (98DX8332), tối đa có thể đạt tới 240Gb mỗi giây.
- Dễ kiểm soát loop từ phía dưới mạng.
- Phải kết hợp với để xây dựng kết nối dự phòng.

--
🔹1.1. MLAG - Điểm mấu chốt trong việc xây dựng dự phòng cấu trúc hệ thống giữa Router/Switch.
* Mô tả tính năng với CRS326-CCR2116.
Trong thiết kế này, chúng tôi đặt giữa CRS326_1 và CRS326_2 có đường MLAG peer link.
Về cơ bản, cả hai bộ chuyển mạch này hoạt động như một logical switch (gọi là một switch ảo) đối với thiết bị phía dưới. Tất nhiên các Access switch có thể uplink đồng thời lên cả 2 CRS bằng LACP (kết nối cả 2 sợi cáp cùng hoạt động).
- Nếu một CRS lỗi, access switch vẫn hoạt động
- Nếu một uplink lỗi, traffic chuyển sang uplink còn lại
➜ Lưu ý quan trọng cần làm rõ:
- MLAG peer link nên dùng 2 port 10G bonding là tối thiểu. Đây chính là kênh trục để kết nối toàn bộ các Access Switch các phân khu về hạ tầng trung tâm.
- Việc cấu hình VLAN Trunking phải được cấu hình đồng nhất trên cả 2 CRS326-24S+.
- Bridge VLAN Filtering phải cấu hình đúng.
- Không chạy Server trên Switch CRS326-24S+.

🔹2.1. VRRP - Cấu hình dự phòng khi một trong số hai bộ định tuyến CCR2116 bị hỏng.
* Đối với cấu trúc mạng của học viện này, có thể thấy rằng quản trị viên mạng yêu cầu các nhà thiết kế mạng phải tách lưu lượng để xử lý.
- Theo ghi chú trong sơ đồ: WiFi / Student gateway + DHCP chạy trên CCR VRRP.
- Có nghĩa là mỗi VLAN sẽ có:
+ CCR1 VLAN IP : 10.10.10.2/24
+ CCR2 VLAN IP: 10.10.10.3/24
+ Và cả 2 Router có chung VRRP Gateway: 10.10.10.1/24
+ Các lớp mạng sẽ trỏ về VRRP Gateway - Đây chính xác là bản chất dự phòng của VRRP. Khá đơn giản phải không!
➜ Phân tích ưu điểm:
- Nếu Router CCR1 lỗi thì CCR2 sẽ tự động chuyển thành gateway chính. Trong trường hợp đường Internet ở Router lỗi, sẽ cũng tự động chuyển thành gateway chính.
- Trong lúc này, người dùng cuối không cần phải đổi gateway trên máy tính của họ.
- DHCP phải cấu hình active/backup hoặc chia pool một cách rất cẩn thận
👉 Mẹo vặt
Để tận dụng tối đa tài nguyên của bộ định tuyến CCR hiện hữu, chúng tôi có thể sử dụng tính năng load sharing trong VRRP, trong đó:
- Bộ định tuyến CCR1 hoạt động chính (master) cho một số VLAN
- Ngược lại bộ định tuyến CCR2 hoạt động chính (master) cho một số VLAN khác để chia tải cho CCR1.
→ 𝗟𝘂̛𝘂 𝘆́:
👉 Cuối cùng, bài viết này đề cập một cách ngắn gọn về mô tả chi tiết trong việc lựa chọn thiết bị, đồng thời các tính năng triển khai trên các thiết bị đó,. Trong các bài viết tiếp theo, chúng tôi tập trung thảo luận về việc tổ chức các tính năng nâng cao trong mạng, mục đích để xây dựng một hệ thống có thể tải cao trong mọi trường hợp. Có một số trường hợp trong thực tế, quản trị viên mạng vô tình bổ sung một tính năng và nó yêu cầu tài nguyên CPU. Rõ ràng rằng, hệ thống sẽ chập chờn nếu không hiểu rõ, những tính năng nào dành cho CPU, những tính năng nào dành cho Switch Chip.
Hãy nâng ly!!!
➜ Bài viết này không sử dụng Ai.!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.

🟠 - Phương pháp CHẶN truy cập vào mạng LAN thông qua mở cổng ( ).Trước khi cấu hình bộ định tuyến của bạn để kết nố...
12/05/2026

🟠 - Phương pháp CHẶN truy cập vào mạng LAN thông qua mở cổng ( ).
Trước khi cấu hình bộ định tuyến của bạn để kết nối internet, tốt nhất là bạn nên bảo mật nó trước. Bạn có thể bắt đầu với các bước đơn giản như thay đổi tên người dùng và mật khẩu của bộ định tuyến, tắt các dịch vụ không sử dụng và vô hiệu hóa tính năng Khám phá láng giềng (Neighbor Discovery). Những bước đầu tiên để duy trì bảo mật bộ định tuyến là quan trọng để bắt đầu tiếp tục.
Trong bài viết này, chúng tôi sẽ chia sẻ một vài mẹo để bảo vệ máy chủ bên trong mạng của bạn bằng bộ định tuyến .

Có phải khi chúng ta mở cổng (Port Forwarding), điều đó có thể dễ dàng truy cập vào mạng cục bộ một cách dễ dàng từ bên ngoài Internet. Trên MikroTik, yêu cầu này có thể được giải quyết bằng cách chuyển tiếp cổng sử dụng tính năng NAT. Để quản lý băng thông và triển khai mở cổng, chúng ta phải đặt các máy chủ bên dưới bộ định tuyến MikroTik.
Tất nhiên rằng, một khi đã mở cổng thì bạn truy cập được, mọi người khác trên cũng có thể có các hành động như bạn.
Việc có quá nhiều các lưu lượng truy cập trên mạng có thể gây ra các rủi ro, ban đầu là làm quá tải mạng, gây áp lực lên tài nguyên của thiết bị, sau đó họ có thể lấy các thông tin về máy chủ bên trong, phiên bản hệ điều hành và các lỗi bảo mật.
Đây cũng chính là vấn đề mà chúng tôi đã thảo luận trong các buổi của MVN tại Miền Trung & Tây Nguyên.

➜ Để giải quyết vấn đề này, chúng ta có thể sử dụng tính năng tường lửa.
Bản chất của Tường lửa trong trường hợp này làm gì?
+ Thu thập các địa chỉ IP công cộng được phép truy cập vào mạng nội bộ (có thể truy cập Port Forwarding), bằng cách tạo một danh sách các địa chỉ (ALLOW-WAN chẳng hạn) | Sử dụng Lists).
+ Thiết lập quy tắc mở cổng với danh sách được chọn (Thẻ NAT).
+ Thiết lập bổ sung để chặn các địa chỉ IP công cộng còn lại.
+ Thiết lập bảo vệ bổ sung để chặn quét cổng (Port Scan / Brute Force).
➜ Trong thực tế:
Một ví dụ rất quan trọng trong thực tế, mà khách hàng của chúng tôi đã vấp phải trong khối khách sạn tại Hải Phòng, đó là mở cổng trong dịch vụ Trunk (thoại qua đường thông thường), gồm cổng 5060, 10000-20000.
Làm sao lưu lượng thoại chỉ được phép trao đổi giữa phía SIP Server với tổng đài bên trong mạng của bạn.
Bước 1) Thu thập toàn bộ địa chỉ SIP Trunk SBC/Softswitch của FPT và gán chúng vào một danh sách có tên "SIP-FPT" chẳng hạn
/ip firewall address-list
add list=SIP-FPT address=118.69.10.10
add list=SIP-FPT address=118.69.10.11
add list=SIP-FPT address=210.245.1.1
Bước 2) Thiết lập quy tắc mở cổng cho tổng đài trên (Tổng đài nội bộ có địa chỉ 192.168.1.254), trong đó những địa chỉ IP trong danh sách SIP-FPT được phép truy cập.
/ip firewall nat
add chain=dstnat protocol=udp dst-port=5060 src-address-list=SIP-FPT action=dst-nat to-addresses=192.168.1.254 to-ports=5060
add chain=dstnat protocol=tcp dst-port=5060 src-address-list=SIP-FPT action=dst-nat to-addresses=192.168.1.254 to-ports=5060
add chain=dstnat protocol=udp dst-port=10000-20000 src-address-list=SIP-FPT action=dst-nat to-addresses=192.168.1.254 to-ports=10000-20000
Bước 3) Bảo vệ bằng cách lọc mọi lưu lượng truy cập vào mạng cục bộ
* Lọc lưu lượng
/ip firewall filter
add chain=forward src-address-list=SIP-FPT dst-address=192.168.1.254 protocol=udp dst-port=5060 connection-state=new action=accept
add chain=forward src-address-list=SIP-FPT dst-address=192.168.1.254 protocol=tcp dst-port=5060 connection-state=new action=accept
add chain=forward src-address-list=SIP-FPT dst-address=192.168.1.254 protocol=udp dst-port=10000-20000 action=accept
* Chặn lưu lượng từ các địa chỉ IP Công cộng khác.
add chain=forward protocol=udp dst-port=5060 action=drop
add chain=forward protocol=tcp dst-port=5060 action=drop
add chain=forward protocol=udp dst-port=10000-20000 action=drop

* Ý tưởng trong trường hợp này là gì.
🔹 Với quy tắc ở trên, khi phát hiện địa chỉ ngoài địa chỉ đã gán trong danh sách, ví dụ: 111.123.1.2 là địa chỉ không tồn tại trong danh sách, tường lửa sẽ đánh dấu địa chỉ nguồn và đích bằng cách sử dụng quy tắc lọc. Sau đó lưu lượng sẽ không thể truy cập.
Lưu ý:
- Chúng tôi có thể bổ sung thêm các quy tắc nâng cao để bảo mật hệ thống,chẳng hạn chặn việc quét cổng...
➜ Bài viết này không sử dụng Ai!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.
Ẩn bớt

👏 Giám sát đường truyền Internet và tự động chuyển đổi qua lại các kết nối Internet?Một trong số các vấn đề hay vấp phải...
06/05/2026

👏 Giám sát đường truyền Internet và tự động chuyển đổi qua lại các kết nối Internet?
Một trong số các vấn đề hay vấp phải trong quá trình chuyển đổi giữa các đường Internet trong mạng là sự cố cước Internet.
Trong số các doanh nghiệp ngày ngay, ít nhất 2 kết nối thường được trang bị và cấu hình sẵn trên các bộ định tuyến ở chế độ cân bằng tải lưu lượng hoặc chế độ active/stand-by.
Tất nhiên, ở điều kiện bình thường, các kết nối có thể hoạt động song song (tải lưu lượng) hoạt động cả 2 kết nối Internet hoặc tải chính (một kết nối chính và một kết nối dự phòng).
Vậy bạn đã bao giờ gặp trường hợp chế độ tự động chuyển đổi sang kết nối dự phòng khi kết nối chính không hoạt động vì phiên kết nối vẫn khởi tạo, mặc dù kết nối đã hỏng.
Thực sự, có thể mô tả rằng, các nhà viễn thông có thể khóa lưu lượng mạng của bạn, nhưng chắc chắn rằng kết nối Internet vẫn khởi tạo, nhưng không hoạt động được. Cũng giống như bạn "hết tiền" trong tài khoản, nhưng khi bật dữ liệu di động trên điện thoại, vẫn có kết nối LTE.
Ví dụ lần này, thảo luận việc kết nối Internet chính của bạn chưa thanh toán cước định kỳ.

➜ Để giải quyết vấn đề này, chúng ta có thể sử dụng tính năng đệ quy (Recursive Gateway) hoặc trong phiên bản 7. Như đã nói trong số các bài viết trước về Netwatch, lần này chúng tôi thảo luận một cách dễ hiểu về đệ quy, hay gọi cụ thể Gateway.
Bản chất của Recursive Gateway là gì?
- Recursive Gateway hay đệ quy thực hiện theo ý tưởng cốt lõi:
- Thay vì luôn luôn kiểm tra (ISP) để xác định rằng kết nối mạng có thực sự bị hỏng, lúc này bộ định tuyến sẽ kiểm tra một IP ngoài Internet (ví dụ: 8.8.8.8). Ví dụ, bộ định tuyến luôn kiểm tra 8.8.8.8 thông qua kết nối pppoe-out1 và nếu chúng không thể kết nối, đây là tuyến đường hỏng.

* Trong thực tế:
Mặc định cơ chế gán distance cho mỗi kết nối mạng trên bộ định tuyến thường đơn giản, trong đó distance=1 cho kết nối chính - pppoe-out1 và =2 cho kết nối dự phòng - pppoe-out2. Khi kết nối pppoe-out1 thực sự hỏng, có nghĩa rằng nó phải mất kết nối (không có cờ R), thì thực sự kết nối này đã hỏng. Lúc này, thực sự chuyển đổi sang kết nối pppoe-out2. Kết nối Internet dự phòng sẽ hoạt động.
Nhưng "đời có nào mơi" ! Nhà cung cấp ISP không hủy phiên pppoe-out1, thay vào đó, họ khóa lưu lượng phía đài. Và tất nhiên rằng, bộ định tuyến của chúng tôi luôn đẩy lưu lượng ra kết nối pppoe-out1, mặc dù nó đã hỏng.

➜ Để giải quyết vấn đề này, chúng ta có thể sử dụng tính năng đệ quy (Recursive Gateway).
* Ý tưởng của đệ quy.
🔹Tuyến đường ra Internet 0.0.0.0/0 sẽ đẩy sang đích 8.8.8.8; Sau đó tuyến đích 8.8.8.8 sẽ đẩy sang kết nối pppoe-out1 (0.0.0.0/0 → 8.8.8.8; 8.8.8.8 → gateway ISP (pppoe-out1)).
🔹RouterOS làm việc theo cơ chế: Nếu có bất kỳ lưu lượng nào muốn ra Internet, nó sẽ đẩy tới 8.8.8.8 .,
- Sau đó, RouterOS lại thấy 8.8.8.8 trong bảng định tuyến, nên nó sẽ đẩy thẳng 8.8.8.8 ra pppoe-out1 ( 8.8.8.8 → pppoe-out1).
→ Đạt, lưu lượng đã được ra Internet thành công → Đây là tuyến đường hợp lệ (kích hoạt để chạy).

➜ Điểm mấu chốt trong chuyển đổi tự động trong đệ quy (Recursive Gateway).
🔹 Một khi nhà cung cấp ISP khóa dữ liệu truy cập (do nợ cước hoặc vấn đề định tuyến lỗi phía đài), xảy ra.
🔹 Router không ping được địa chỉ 8.8.8.8
🔹 Sau đó tuyến đường tới tới 8.8.8.8 bị xem là không hợp lệ (invalid).
🔹 Ngay sau đó, tuyến đường 0.0.0.0/0 ra Internet (Default route) cũng bị đánh dấu không hợp lệ ( ). Lúc này, tuyến đường qua pppoe-out1 chính thức hỏng, bộ định tuyến hủy toàn bộ lưu lượng qua liên kết này, kích hoạt liên kết dự phòng hoạt động.
* Với nguyên tắc hoạt động:
Tuyến đường cha hỏng → tuyến đường con cũng hỏng theo.

➜ Cấu hình chi tiết.
** WAN chính (pppoe-out1).
/ip route
add dst-address=8.8.8.8 gateway=pppoe-out1 scope=10 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 target-scope=11

** WAN phụ (pppoe-out2)

/ip route
add dst-address=1.1.1.1 gateway=pppoe-out2 scope=10 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=1.1.1.1 distance=2 target-scope=11

Lưu ý:
- Thuộc tính scope (mục tiêu) & target-scope (nhánh mục tiêu).
- Route có target-scope = CHA; Route có scope = CON.
- Bỏ thuộc tính (hủy tích) Route Distance trong mỗi kết nối PPPoE. Trong trường hợp giữ lại, tính năng Recursive Gateway không hoạt động.

➜ Bài viết này không sử dụng Ai!
-
6 năm, một hành trình dài mang công hiến đến xã hội, lan tỏa MikroTik cho vùng cao, hải đảo, cơ sở giáo dục và y tế bằng cách cung cấp hệ thống các thiết bị , các giải pháp hoàn toàn MIỄN PHÍ cùng các kỹ sư đạt chứng chỉ đầu ngành dành trọn tâm huyết vận hành, vượt qua hơn 100.000km xuyên Việt.
--------------
> Ghé thăm chúng tôi tại: www.routertik.vn
> Ghé thăm các khách hàng của chúng tôi tại: https://routertik.vn/projects.html
> Ghé thăm các kênh truyền thông trực tuyến khác.

Address

Tòa Nhà River Bank, 3C Tôn Đức Thắng, Phường Sài Gòn
Ho Chi Minh City
80000

Opening Hours

Monday 09:00 - 17:00
Tuesday 09:00 - 16:00
Wednesday 09:00 - 17:00
Thursday 09:00 - 17:00
Friday 09:00 - 17:00

Telephone

+84896626042

Website

,

Alerts

Be the first to know and let us send you an email when Mikrotik Viet Nam - MVN posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Business

Send a message to Mikrotik Viet Nam - MVN:

Shortcuts

Share

Category