Tweet
Troubleshooting VLAN: Khi Switchport bị gán sai VLAN (Incorrect Port Assignment)
Trong môi trường mạng chuyển mạch, một lỗi cấu hình tưởng chừng đơn giản nhưng gây ra rất nhiều sự cố kết nối là gán sai switchport vào VLAN không phù hợp.
Đây là lỗi cực kỳ phổ biến trong thực tế vận hành mạng doanh nghiệp, đặc biệt khi triển khai nhiều VLAN để phân đoạn mạng (network segmentation). VLAN và Switchport Assignment hoạt động như thế nào?
Sau khi VLAN được tạo trên switch, bước tiếp theo là gán từng switchport vào đúng VLAN tương ứng.
Việc gán này phải dựa trên thiết kế Layer 3:
Ví dụ:
Giả sử thiết kế mạng như sau:
VLAN 100 → mạng 10.1.100.0/24
VLAN 200 → mạng 10.1.200.0/24
Điều này có nghĩa:
Nếu một máy thuộc mạng 10.1.100.0/24 nhưng cắm vào port thuộc VLAN 200:
Case thực tế
Một user báo:
Thông tin:
PC2
IP: 10.1.100.22
Mask: 255.255.255.0
GW: 10.1.100.1
Server
IP: 10.1.100.50
Mask: 255.255.255.0
GW: 10.1.100.1
Thoạt nhìn:
Nhưng ping vẫn fail.
Kiểm tra VLAN:
SW1# show vlan brief
Output:
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------
1 default active Gi0/5, Gi0/6...
99 NATIVE active
100 10.1.100.0/24 active Gi0/1, Gi0/3
200 10.1.200.0/24 active Gi0/4
Sơ đồ kết nối:
Phát hiện:
PC2 nằm VLAN 100
Nhưng Server lại cắm vào:
Gi0/4 → VLAN 200
Kết quả:
Mặc dù IP cùng subnet, nhưng về Layer 2 chúng nằm ở hai broadcast domain khác nhau.
Switch không forward frame giữa VLAN nếu không có inter-VLAN routing.
Vì sao lỗi này gây mất kết nối?
Switch hoạt động Layer 2 dựa trên VLAN membership.
Switch không quan tâm:
Switch chỉ nhìn:
Nếu frame từ VLAN 100:
802.1Q VLAN = 100
Switch sẽ không gửi frame sang VLAN 200.
=> Broadcast ARP không tới Server.
Ví dụ:
PC2 gửi:
ARP Request:
Who has 10.1.100.50?
Frame được flood trong VLAN 100.
Nhưng Server ở VLAN 200.
Server không bao giờ nhận được ARP request.
Kết quả:
ARP unresolved
Ping fail
Application timeout
Cách kiểm tra nhanh
1. show vlan brief
Lệnh quan trọng nhất:
show vlan brief
Ví dụ:
SW1# show vlan brief
Output:
100 Users active Gi0/1, Gi0/3
200 Servers active Gi0/4
Cho biết:
2. show interfaces switchport
Chi tiết hơn:
show interfaces gi0/4 switchport
Ví dụ:
Administrative Mode: static access
Operational Mode: static access
Access Mode VLAN: 200
Nếu thiết bị expected ở VLAN 100 nhưng thấy VLAN 200 → lỗi.
3. Kiểm tra IP endpoint
Windows:
ipconfig
Linux:
ip addr
Cisco IP phone:
show network
Đảm bảo endpoint nằm đúng subnet theo VLAN design.
Một lưu ý rất quan trọng
show vlan brief KHÔNG hiển thị trunk port
Ví dụ:
Gi0/2 là trunk:
switchport mode trunk
Port này sẽ không xuất hiện trong:
show vlan brief
Lý do:
Trunk không thuộc một VLAN duy nhất.
Nó mang traffic của nhiều VLAN.
Ví dụ:
Gi0/2 carries:
VLAN 100
VLAN 200
VLAN 300
Nên không thể liệt kê như access port.
Kiểm tra trunk bằng:
show interfaces trunk
Nếu VLAN không tồn tại thì sao?
Một bẫy khác:
Nếu port được assign vào VLAN chưa tồn tại:
switchport access vlan 500
nhưng VLAN 500 chưa được create:
no vlan 500
Port sẽ không hiện trong:
show vlan brief
Thay vào đó:
show interfaces switchport
sẽ báo:
Access Mode VLAN: 500 (Inactive)
Điều này nghĩa là:
=> traffic không chạy.
Best Practice thực chiến
Trong production:
Luôn chuẩn hóa mapping:
Finance → VLAN 100
HR → VLAN 110
Voice → VLAN 120
Server → VLAN 200
Guest → VLAN 300
Management → VLAN 999
Dùng description:
interface gi0/4
description SERVER-DB01
switchport mode access
switchport access vlan 200
Audit định kỳ:
show vlan brief
show interfaces status
show mac address-table
Kết
Lỗi Incorrect Port Assignment là một trong những nguyên nhân phổ biến nhất khiến:
Bài học quan trọng:
Trong troubleshooting Layer 2, luôn kiểm tra:
Switchport → VLAN → Subnet mapping
vì chỉ một port gán sai VLAN cũng đủ làm cả hệ thống “có vẻ đúng nhưng không chạy.”
Trong môi trường mạng chuyển mạch, một lỗi cấu hình tưởng chừng đơn giản nhưng gây ra rất nhiều sự cố kết nối là gán sai switchport vào VLAN không phù hợp.
Đây là lỗi cực kỳ phổ biến trong thực tế vận hành mạng doanh nghiệp, đặc biệt khi triển khai nhiều VLAN để phân đoạn mạng (network segmentation). VLAN và Switchport Assignment hoạt động như thế nào?
Sau khi VLAN được tạo trên switch, bước tiếp theo là gán từng switchport vào đúng VLAN tương ứng.
Việc gán này phải dựa trên thiết kế Layer 3:
- Thiết bị nào thuộc subnet nào
- Default gateway của subnet đó là gì
- Vai trò của thiết bị trong hệ thống
Ví dụ:
Giả sử thiết kế mạng như sau:
VLAN 100 → mạng 10.1.100.0/24
- PC1
- PC2
- PC4
- Server
VLAN 200 → mạng 10.1.200.0/24
- PC3
- PC5
Điều này có nghĩa:
- Các thiết bị trong VLAN 100 phải cùng subnet
- Các thiết bị trong VLAN 200 phải cùng subnet khác
- Switch sẽ chỉ forward frame Layer 2 trong cùng broadcast domain (cùng VLAN)
Nếu một máy thuộc mạng 10.1.100.0/24 nhưng cắm vào port thuộc VLAN 200:
- ARP sẽ không đến đúng nơi
- Broadcast bị giới hạn sai VLAN
- Máy sẽ “nhìn như bị mất mạng”
- Ping gateway thất bại
- Người dùng báo “network down”
Case thực tế
Một user báo:
"Server không ping được từ PC2 dù IP đúng."
Thông tin:
PC2
IP: 10.1.100.22
Mask: 255.255.255.0
GW: 10.1.100.1
Server
IP: 10.1.100.50
Mask: 255.255.255.0
GW: 10.1.100.1
Thoạt nhìn:
- cùng subnet
- cùng gateway
- IP đúng
Nhưng ping vẫn fail.
Kiểm tra VLAN:
SW1# show vlan brief
Output:
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------
1 default active Gi0/5, Gi0/6...
99 NATIVE active
100 10.1.100.0/24 active Gi0/1, Gi0/3
200 10.1.200.0/24 active Gi0/4
Sơ đồ kết nối:
- PC2 → Gi0/3
- Server → Gi0/4
Phát hiện:
PC2 nằm VLAN 100
Nhưng Server lại cắm vào:
Gi0/4 → VLAN 200
Kết quả:
Mặc dù IP cùng subnet, nhưng về Layer 2 chúng nằm ở hai broadcast domain khác nhau.
Switch không forward frame giữa VLAN nếu không có inter-VLAN routing.
Vì sao lỗi này gây mất kết nối?
Switch hoạt động Layer 2 dựa trên VLAN membership.
Switch không quan tâm:
- IP address
- subnet mask
- gateway
Switch chỉ nhìn:
- source MAC
- destination MAC
- VLAN ID
Nếu frame từ VLAN 100:
802.1Q VLAN = 100
Switch sẽ không gửi frame sang VLAN 200.
=> Broadcast ARP không tới Server.
Ví dụ:
PC2 gửi:
ARP Request:
Who has 10.1.100.50?
Frame được flood trong VLAN 100.
Nhưng Server ở VLAN 200.
Server không bao giờ nhận được ARP request.
Kết quả:
ARP unresolved
Ping fail
Application timeout
Cách kiểm tra nhanh
1. show vlan brief
Lệnh quan trọng nhất:
show vlan brief
Ví dụ:
SW1# show vlan brief
Output:
100 Users active Gi0/1, Gi0/3
200 Servers active Gi0/4
Cho biết:
- VLAN nào tồn tại
- Port nào thuộc VLAN nào
2. show interfaces switchport
Chi tiết hơn:
show interfaces gi0/4 switchport
Ví dụ:
Administrative Mode: static access
Operational Mode: static access
Access Mode VLAN: 200
Nếu thiết bị expected ở VLAN 100 nhưng thấy VLAN 200 → lỗi.
3. Kiểm tra IP endpoint
Windows:
ipconfig
Linux:
ip addr
Cisco IP phone:
show network
Đảm bảo endpoint nằm đúng subnet theo VLAN design.
Một lưu ý rất quan trọng
show vlan brief KHÔNG hiển thị trunk port
Ví dụ:
Gi0/2 là trunk:
switchport mode trunk
Port này sẽ không xuất hiện trong:
show vlan brief
Lý do:
Trunk không thuộc một VLAN duy nhất.
Nó mang traffic của nhiều VLAN.
Ví dụ:
Gi0/2 carries:
VLAN 100
VLAN 200
VLAN 300
Nên không thể liệt kê như access port.
Kiểm tra trunk bằng:
show interfaces trunk
Nếu VLAN không tồn tại thì sao?
Một bẫy khác:
Nếu port được assign vào VLAN chưa tồn tại:
switchport access vlan 500
nhưng VLAN 500 chưa được create:
no vlan 500
Port sẽ không hiện trong:
show vlan brief
Thay vào đó:
show interfaces switchport
sẽ báo:
Access Mode VLAN: 500 (Inactive)
Điều này nghĩa là:
- port config đúng cú pháp
- nhưng VLAN chưa active
=> traffic không chạy.
Best Practice thực chiến
Trong production:
Luôn chuẩn hóa mapping:
Finance → VLAN 100
HR → VLAN 110
Voice → VLAN 120
Server → VLAN 200
Guest → VLAN 300
Management → VLAN 999
Dùng description:
interface gi0/4
description SERVER-DB01
switchport mode access
switchport access vlan 200
Audit định kỳ:
show vlan brief
show interfaces status
show mac address-table
Kết
Lỗi Incorrect Port Assignment là một trong những nguyên nhân phổ biến nhất khiến:
- user mất mạng
- server unreachable
- DHCP fail
- VoIP không đăng ký
- printer inaccessible
Bài học quan trọng:
IP đúng chưa chắc VLAN đúng.
Trong troubleshooting Layer 2, luôn kiểm tra:
Switchport → VLAN → Subnet mapping
vì chỉ một port gán sai VLAN cũng đủ làm cả hệ thống “có vẻ đúng nhưng không chạy.”
Attached Files