Hướng dẫn cấu hình và quản trị Switch Ruijie từ A đến Z

Switch Ruijie dòng RG-S sử dụng hệ điều hành RGOS đang trở thành lựa chọn phổ biến trong các hệ thống mạng doanh nghiệp, trường học và khách sạn nhờ hiệu năng ổn định, nhiều tính năng Layer 2/Layer 3 cùng mức chi phí đầu tư hợp lý. Mặc dù RGOS có nhiều điểm tương đồng với Cisco IOS, nhưng vẫn tồn tại không ít khác biệt về cú pháp và cách cấu hình, khiến quản trị viên dễ gặp khó khăn khi chuyển đổi giữa hai nền tảng.

Hướng dẫn cấu hình và quản trị Switch Ruijie từ A đến Z

Trong bài viết này, HATECHNO sẽ hướng dẫn chi tiết cách cấu hình và quản trị Switch Ruijie RGOS theo quy trình triển khai thực tế, từ cấu hình ban đầu, VLAN, Trunk, Link Aggregation, STP, RLDP, bảo mật cổng đến sao lưu cấu hình và xử lý các sự cố thường gặp.

1. Tổng quan về RGOS và các chế độ làm việc trên CLI

RGOS (Ruijie Generic Operating System) tổ chức các lệnh theo từng chế độ (mode), tương tự triết lý của Cisco IOS nhưng có một số khác biệt quan trọng:

  • User EXEC mode (Ruijie>): chế độ mặc định sau khi đăng nhập, chỉ dùng được số lệnh giới hạn (chủ yếu là show).
  • Privileged EXEC mode (Ruijie#): vào bằng lệnh enable, cho phép xem toàn bộ trạng thái hệ thống và thực hiện các thao tác quản trị (reload, copy, debug).
  • Global Configuration mode (Ruijie(config)#): vào bằng configure terminal, nơi thực hiện các thay đổi cấu hình toàn hệ thống.
  • Interface/VLAN/Line configuration mode: các chế độ con, ví dụ Ruijie(config-if)#, Ruijie(config-vlan)#, Ruijie(config-line)#.

Một điểm khác biệt cần lưu ý: RGOS mặc định không bật sẵn dịch vụ Telnet/SSH và HTTP trên nhiều dòng switch quản lý được (managed switch), người quản trị phải chủ động bật:

Ruijie(config)# enable service telnet-server
Ruijie(config)# enable service ssh-server
Ruijie(config)# enable service web-server

Ngoài ra, để tra cứu lệnh, RGOS hỗ trợ dấu ? để liệt kê từ khóa tiếp theo và phím Tab để tự động hoàn thành lệnh, giống Cisco IOS – đây là điểm quen thuộc giúp việc chuyển đổi giữa hai hệ điều hành đỡ mất công.

2. Truy cập switch lần đầu và cấu hình cơ bản

2.1. Kết nối console và đặt tên thiết bị

Kết nối cáp console (RJ45-to-DB9 hoặc USB-to-Serial) vào cổng Console, dùng phần mềm terminal (PuTTY, SecureCRT) với thông số 9600-8-N-1. Sau khi vào Privileged mode:

Ruijie> enable
Ruijie# configure terminal
Ruijie(config)# hostname SW-CORE-01

2.2. Đặt địa chỉ IP quản lý qua VLAN interface

Switch Layer 2 của Ruijie không có địa chỉ IP riêng cho từng cổng vật lý, mà quản lý qua một VLAN interface (thường là VLAN 1 mặc định, nhưng nên đổi sang VLAN quản trị riêng vì lý do bảo mật):

SW-CORE-01(config)# interface VLAN 1
SW-CORE-01(config-VLAN 1)# ip address 192.168.1.2 255.255.255.0
SW-CORE-01(config-VLAN 1)# no shutdown
SW-CORE-01(config-VLAN 1)# exit
SW-CORE-01(config)# ip default-gateway 192.168.1.1

2.3. Đặt mật khẩu và tài khoản quản trị

Không nên để switch chạy không mật khẩu, kể cả trong LAB. Cấu hình tối thiểu:

SW-CORE-01(config)# username admin privilege 15 secret Hatechno@2026
SW-CORE-01(config)# enable secret Hatechno@2026
SW-CORE-01(config)# line vty 0 4
SW-CORE-01(config-line)# login local
SW-CORE-01(config-line)# exit

Lưu ý dùng secret (đã băm/mã hóa) thay vì password (lưu dạng gần như plaintext trong file cấu hình) – đây là lỗi phổ biến mình thấy ở nhiều switch đang vận hành thực tế, kể cả trong các hệ thống đã audit bảo mật.

3. Cấu hình VLAN và Trunk

3.1. Tạo VLAN

SW-CORE-01(config)# vlan 10
SW-CORE-01(config-vlan)# name VLAN_KETOAN
SW-CORE-01(config-vlan)# exit
SW-CORE-01(config)# vlan 20
SW-CORE-01(config-vlan)# name VLAN_KYTHUAT
SW-CORE-01(config-vlan)# exit

3.2. Gán cổng Access

SW-CORE-01(config)# interface gigabitEthernet 0/1
SW-CORE-01(config-if)# switchport mode access
SW-CORE-01(config-if)# switchport access vlan 10
SW-CORE-01(config-if)# exit

Với dải nhiều cổng cùng cấu hình, dùng interface range để tránh lặp lại lệnh:

SW-CORE-01(config)# interface range gigabitEthernet 0/1-12
SW-CORE-01(config-if-range)# switchport mode access
SW-CORE-01(config-if-range)# switchport access vlan 10
SW-CORE-01(config-if-range)# exit

3.3. Cấu hình Trunk

Trunk dùng cho các liên kết giữa switch với switch, hoặc switch với firewall/router cần mang nhiều VLAN:

SW-CORE-01(config)# interface gigabitEthernet 0/24
SW-CORE-01(config-if)# switchport mode trunk
SW-CORE-01(config-if)# switchport trunk allowed vlan add 10,20
SW-CORE-01(config-if)# switchport trunk native vlan 99
SW-CORE-01(config-if)# exit

Một điểm cần thẳng thắn cảnh báo: nếu không khai báo switchport trunk allowed vlan, mặc định trunk sẽ cho phép toàn bộ VLAN đi qua – đây là lỗ hổng bảo mật rất hay gặp trong các hệ thống triển khai vội. Luôn giới hạn rõ VLAN được phép trên từng trunk, và đổi native VLAN sang một VLAN không dùng để tránh tấn công VLAN hopping.

4. Link Aggregation (EtherChannel / Aggregate Port)

Ruijie gọi link aggregation là Aggregate Port (AP), tương đương EtherChannel của Cisco. Cấu hình dùng LACP (khuyến nghị hơn static vì có cơ chế thương lượng và phát hiện lỗi):

SW-CORE-01(config)# interface range gigabitEthernet 0/23-24
SW-CORE-01(config-if-range)# port-group 1 mode lacp
SW-CORE-01(config-if-range)# exit
SW-CORE-01(config)# interface aggregateport 1
SW-CORE-01(config-if)# switchport mode trunk
SW-CORE-01(config-if)# switchport trunk allowed vlan add 10,20
SW-CORE-01(config-if)# exit

Kiểm tra trạng thái:

SW-CORE-01# show aggregateport 1 summary

5. Chống loop mạng: STP và RLDP

5.1. Spanning Tree Protocol

RGOS hỗ trợ STP, RSTP, MSTP. Với hệ thống nhỏ, RSTP là lựa chọn hợp lý vì hội tụ nhanh hơn STP truyền thống:

SW-CORE-01(config)# spanning-tree
SW-CORE-01(config)# spanning-tree mode rstp
SW-CORE-01(config)# spanning-tree priority 4096

Switch core nên được đặt priority thấp nhất (bội số của 4096) để luôn được bầu làm Root Bridge, tránh tình trạng root bridge bị bầu ngẫu nhiên ở một switch access nào đó gây ra đường đi traffic bất hợp lý.

5.2. RLDP – tính năng đặc trưng của Ruijie

RLDP (Rapid Link Detection Protocol) là cơ chế phát hiện loop riêng của Ruijie, phản ứng nhanh hơn STP trong nhiều trường hợp thực tế, đặc biệt hữu ích với các loop do người dùng tự đấu cáp sai ở tầng access:

SW-CORE-01(config)# rldp enable
SW-CORE-01(config)# interface range gigabitEthernet 0/1-20
SW-CORE-01(config-if-range)# rldp port loop-detect shutdown-port
SW-CORE-01(config-if-range)# exit
SW-CORE-01(config)# errdisable recovery interval 300

Cấu hình trên: khi phát hiện loop ở cổng access, switch tự động shutdown cổng đó và tự phục hồi sau 300 giây (5 phút) nếu loop đã được khắc phục. Trong môi trường đào tạo hoặc văn phòng có nhiều người dùng cắm switch mini tùy tiện, đây là tính năng nên bật mặc định trên toàn bộ cổng access.

6. Bảo mật lớp truy cập (Access Layer Security)

6.1. Port Security

Giới hạn số MAC được học trên một cổng, chống tấn công MAC flooding và cắm thiết bị lạ:

SW-CORE-01(config)# interface gigabitEthernet 0/5
SW-CORE-01(config-if)# switchport port-security
SW-CORE-01(config-if)# switchport port-security maximum 2
SW-CORE-01(config-if)# switchport port-security violation shutdown
SW-CORE-01(config-if)# exit

6.2. DHCP Snooping

Chống DHCP giả mạo (rogue DHCP server) – một trong những sự cố mạng phổ biến nhất khi người dùng tự mang router Wi-Fi cắm vào mạng công ty:

SW-CORE-01(config)# ip dhcp snooping
SW-CORE-01(config)# ip dhcp snooping vlan 10,20
SW-CORE-01(config)# interface gigabitEthernet 0/24
SW-CORE-01(config-if)# ip dhcp snooping trust
SW-CORE-01(config-if)# exit

Chỉ cổng uplink hướng về DHCP server hợp lệ mới được đánh dấu trust; toàn bộ cổng access còn lại mặc định là untrusted và sẽ bị chặn nếu phát ra gói DHCP Offer.

6.3. Storm Control

Chặn broadcast/multicast storm gây nghẽn băng thông toàn mạng:

SW-CORE-01(config)# interface range gigabitEthernet 0/1-20
SW-CORE-01(config-if-range)# storm-control broadcast level 20
SW-CORE-01(config-if-range)# exit

7. Quản lý và giám sát từ xa

7.1. SSH thay vì Telnet

Telnet truyền dữ liệu (bao gồm mật khẩu) dạng plaintext, chỉ nên dùng trong LAB cô lập. Cấu hình SSH cho môi trường thật:

SW-CORE-01(config)# hostname SW-CORE-01
SW-CORE-01(config)# ip domain-name hatechno.local
SW-CORE-01(config)# crypto key generate rsa
SW-CORE-01(config)# enable service ssh-server
SW-CORE-01(config)# disable service telnet-server

7.2. SNMP giám sát

SW-CORE-01(config)# snmp-server community HatechnoRO ro
SW-CORE-01(config)# snmp-server enable traps
SW-CORE-01(config)# snmp-server host 192.168.1.100 version 2c HatechnoRO

Nên dùng community string riêng, không dùng “public” mặc định, và giới hạn quyền chỉ đọc (ro) trừ khi hệ thống giám sát cần ghi cấu hình.

7.3. NTP đồng bộ thời gian

Log hệ thống chỉ có giá trị điều tra sự cố khi thời gian chính xác:

SW-CORE-01(config)# ntp server 1.vn.pool.ntp.org
SW-CORE-01(config)# clock timezone Hanoi 7

8. Sao lưu và phục hồi cấu hình

Đây là bước rất nhiều nơi bỏ qua cho đến khi switch die và mất trắng cấu hình. Sao lưu qua TFTP hoặc FTP:

SW-CORE-01# copy running-config tftp
Address or name of remote host: 192.168.1.50
Destination filename: sw-core-01-2026-07-04.cfg

Khôi phục lại khi thay thiết bị mới:

SW-CORE-01# copy tftp running-config

Lưu cấu hình đang chạy vào bộ nhớ khởi động sau mỗi lần thay đổi quan trọng (một lỗi cơ bản nhưng cực kỳ phổ biến là quên bước này rồi mất cấu hình sau khi mất điện):

SW-CORE-01# write memory

hoặc

SW-CORE-01# copy running-config startup-config

9. Các lệnh show quan trọng khi khắc phục sự cố

Mục đích Lệnh
Xem trạng thái các cổng show interface status
Xem bảng MAC show mac-address-table
Xem VLAN đã tạo show vlan
Xem trạng thái STP show spanning-tree
Xem trạng thái Aggregate Port show aggregateport summary
Xem log hệ thống show logging
Xem cấu hình đang chạy show running-config
Kiểm tra CPU/bộ nhớ show cpu / show memory

Khi xử lý sự cố mất kết nối trên một cổng cụ thể, quy trình hợp lý là: kiểm tra show interface status xem cổng có up/down, kiểm tra VLAN gán đúng chưa, kiểm tra show mac-address-table xem MAC thiết bị có học được không, rồi mới đi sâu vào STP hoặc port security nếu cổng bị err-disable.

10. Một vài lưu ý thực chiến khi triển khai Ruijie

  • Không trộn lẫn firmware giữa các switch cùng dòng khác đời: RGOS có nhiều nhánh version (11.0, 11.4, 11.9…), lệnh có thể khác nhau giữa các bản. Luôn kiểm tra đúng tài liệu Configuration Guide theo model và version đang chạy trước khi áp dụng lệnh từ tài liệu khác dòng.
  • RLDP không thay thế STP: hai cơ chế này nên chạy song song, RLDP xử lý loop cục bộ nhanh ở tầng access, STP đảm bảo topology tổng thể không loop khi có nhiều switch nối vòng.
  • Native VLAN trên trunk phải khớp hai đầu: đây là lỗi rất hay gặp khi đấu nối switch Ruijie với switch hãng khác (Cisco, HPE) qua trunk – nếu native VLAN không khớp, switch sẽ log cảnh báo mismatch và có thể gây rò rỉ traffic giữa các VLAN.
  • Luôn thoát Telnet, chỉ dùng SSH ở môi trường sản xuất: đây không phải khuyến nghị chung chung, mà là yêu cầu bắt buộc nếu hệ thống có yêu cầu audit bảo mật hoặc tuân thủ (ví dụ theo tiêu chuẩn nội bộ ngân hàng, tài chính).

Kết luận

RGOS của Ruijie có cú pháp gần với Cisco IOS đủ để người có nền tảng CCNA tiếp cận nhanh, nhưng vẫn có những khác biệt quan trọng – đặc biệt là RLDP, cách đặt IP qua VLAN interface, và việc phải chủ động bật các dịch vụ quản lý. Việc nắm vững quy trình từ cấu hình cơ bản, VLAN/trunk, chống loop, bảo mật cổng, đến giám sát và sao lưu là nền tảng bắt buộc để vận hành ổn định một hệ thống mạng dùng thiết bị Ruijie, dù là mạng trường học, văn phòng hay trung tâm dữ liệu quy mô vừa.