Switch Ruijie dòng RG-S sử dụng hệ điều hành RGOS đang trở thành lựa chọn phổ biến trong các hệ thống mạng doanh nghiệp, trường học và khách sạn nhờ hiệu năng ổn định, nhiều tính năng Layer 2/Layer 3 cùng mức chi phí đầu tư hợp lý. Mặc dù RGOS có nhiều điểm tương đồng với Cisco IOS, nhưng vẫn tồn tại không ít khác biệt về cú pháp và cách cấu hình, khiến quản trị viên dễ gặp khó khăn khi chuyển đổi giữa hai nền tảng.

Trong bài viết này, HATECHNO sẽ hướng dẫn chi tiết cách cấu hình và quản trị Switch Ruijie RGOS theo quy trình triển khai thực tế, từ cấu hình ban đầu, VLAN, Trunk, Link Aggregation, STP, RLDP, bảo mật cổng đến sao lưu cấu hình và xử lý các sự cố thường gặp.
1. Tổng quan về RGOS và các chế độ làm việc trên CLI
RGOS (Ruijie Generic Operating System) tổ chức các lệnh theo từng chế độ (mode), tương tự triết lý của Cisco IOS nhưng có một số khác biệt quan trọng:
- User EXEC mode (Ruijie>): chế độ mặc định sau khi đăng nhập, chỉ dùng được số lệnh giới hạn (chủ yếu là show).
- Privileged EXEC mode (Ruijie#): vào bằng lệnh enable, cho phép xem toàn bộ trạng thái hệ thống và thực hiện các thao tác quản trị (reload, copy, debug).
- Global Configuration mode (Ruijie(config)#): vào bằng configure terminal, nơi thực hiện các thay đổi cấu hình toàn hệ thống.
- Interface/VLAN/Line configuration mode: các chế độ con, ví dụ Ruijie(config-if)#, Ruijie(config-vlan)#, Ruijie(config-line)#.
Một điểm khác biệt cần lưu ý: RGOS mặc định không bật sẵn dịch vụ Telnet/SSH và HTTP trên nhiều dòng switch quản lý được (managed switch), người quản trị phải chủ động bật:
Ruijie(config)# enable service telnet-server Ruijie(config)# enable service ssh-server Ruijie(config)# enable service web-server
Ngoài ra, để tra cứu lệnh, RGOS hỗ trợ dấu ? để liệt kê từ khóa tiếp theo và phím Tab để tự động hoàn thành lệnh, giống Cisco IOS – đây là điểm quen thuộc giúp việc chuyển đổi giữa hai hệ điều hành đỡ mất công.
2. Truy cập switch lần đầu và cấu hình cơ bản
2.1. Kết nối console và đặt tên thiết bị
Kết nối cáp console (RJ45-to-DB9 hoặc USB-to-Serial) vào cổng Console, dùng phần mềm terminal (PuTTY, SecureCRT) với thông số 9600-8-N-1. Sau khi vào Privileged mode:
Ruijie> enable Ruijie# configure terminal Ruijie(config)# hostname SW-CORE-01
2.2. Đặt địa chỉ IP quản lý qua VLAN interface
Switch Layer 2 của Ruijie không có địa chỉ IP riêng cho từng cổng vật lý, mà quản lý qua một VLAN interface (thường là VLAN 1 mặc định, nhưng nên đổi sang VLAN quản trị riêng vì lý do bảo mật):
SW-CORE-01(config)# interface VLAN 1 SW-CORE-01(config-VLAN 1)# ip address 192.168.1.2 255.255.255.0 SW-CORE-01(config-VLAN 1)# no shutdown SW-CORE-01(config-VLAN 1)# exit SW-CORE-01(config)# ip default-gateway 192.168.1.1
2.3. Đặt mật khẩu và tài khoản quản trị
Không nên để switch chạy không mật khẩu, kể cả trong LAB. Cấu hình tối thiểu:
SW-CORE-01(config)# username admin privilege 15 secret Hatechno@2026 SW-CORE-01(config)# enable secret Hatechno@2026 SW-CORE-01(config)# line vty 0 4 SW-CORE-01(config-line)# login local SW-CORE-01(config-line)# exit
Lưu ý dùng secret (đã băm/mã hóa) thay vì password (lưu dạng gần như plaintext trong file cấu hình) – đây là lỗi phổ biến mình thấy ở nhiều switch đang vận hành thực tế, kể cả trong các hệ thống đã audit bảo mật.
3. Cấu hình VLAN và Trunk
3.1. Tạo VLAN
SW-CORE-01(config)# vlan 10 SW-CORE-01(config-vlan)# name VLAN_KETOAN SW-CORE-01(config-vlan)# exit SW-CORE-01(config)# vlan 20 SW-CORE-01(config-vlan)# name VLAN_KYTHUAT SW-CORE-01(config-vlan)# exit
3.2. Gán cổng Access
SW-CORE-01(config)# interface gigabitEthernet 0/1 SW-CORE-01(config-if)# switchport mode access SW-CORE-01(config-if)# switchport access vlan 10 SW-CORE-01(config-if)# exit
Với dải nhiều cổng cùng cấu hình, dùng interface range để tránh lặp lại lệnh:
SW-CORE-01(config)# interface range gigabitEthernet 0/1-12 SW-CORE-01(config-if-range)# switchport mode access SW-CORE-01(config-if-range)# switchport access vlan 10 SW-CORE-01(config-if-range)# exit
3.3. Cấu hình Trunk
Trunk dùng cho các liên kết giữa switch với switch, hoặc switch với firewall/router cần mang nhiều VLAN:
SW-CORE-01(config)# interface gigabitEthernet 0/24 SW-CORE-01(config-if)# switchport mode trunk SW-CORE-01(config-if)# switchport trunk allowed vlan add 10,20 SW-CORE-01(config-if)# switchport trunk native vlan 99 SW-CORE-01(config-if)# exit
Một điểm cần thẳng thắn cảnh báo: nếu không khai báo switchport trunk allowed vlan, mặc định trunk sẽ cho phép toàn bộ VLAN đi qua – đây là lỗ hổng bảo mật rất hay gặp trong các hệ thống triển khai vội. Luôn giới hạn rõ VLAN được phép trên từng trunk, và đổi native VLAN sang một VLAN không dùng để tránh tấn công VLAN hopping.
4. Link Aggregation (EtherChannel / Aggregate Port)
Ruijie gọi link aggregation là Aggregate Port (AP), tương đương EtherChannel của Cisco. Cấu hình dùng LACP (khuyến nghị hơn static vì có cơ chế thương lượng và phát hiện lỗi):
SW-CORE-01(config)# interface range gigabitEthernet 0/23-24 SW-CORE-01(config-if-range)# port-group 1 mode lacp SW-CORE-01(config-if-range)# exit SW-CORE-01(config)# interface aggregateport 1 SW-CORE-01(config-if)# switchport mode trunk SW-CORE-01(config-if)# switchport trunk allowed vlan add 10,20 SW-CORE-01(config-if)# exit
Kiểm tra trạng thái:
SW-CORE-01# show aggregateport 1 summary
5. Chống loop mạng: STP và RLDP
5.1. Spanning Tree Protocol
RGOS hỗ trợ STP, RSTP, MSTP. Với hệ thống nhỏ, RSTP là lựa chọn hợp lý vì hội tụ nhanh hơn STP truyền thống:
SW-CORE-01(config)# spanning-tree SW-CORE-01(config)# spanning-tree mode rstp SW-CORE-01(config)# spanning-tree priority 4096
Switch core nên được đặt priority thấp nhất (bội số của 4096) để luôn được bầu làm Root Bridge, tránh tình trạng root bridge bị bầu ngẫu nhiên ở một switch access nào đó gây ra đường đi traffic bất hợp lý.
5.2. RLDP – tính năng đặc trưng của Ruijie
RLDP (Rapid Link Detection Protocol) là cơ chế phát hiện loop riêng của Ruijie, phản ứng nhanh hơn STP trong nhiều trường hợp thực tế, đặc biệt hữu ích với các loop do người dùng tự đấu cáp sai ở tầng access:
SW-CORE-01(config)# rldp enable SW-CORE-01(config)# interface range gigabitEthernet 0/1-20 SW-CORE-01(config-if-range)# rldp port loop-detect shutdown-port SW-CORE-01(config-if-range)# exit SW-CORE-01(config)# errdisable recovery interval 300
Cấu hình trên: khi phát hiện loop ở cổng access, switch tự động shutdown cổng đó và tự phục hồi sau 300 giây (5 phút) nếu loop đã được khắc phục. Trong môi trường đào tạo hoặc văn phòng có nhiều người dùng cắm switch mini tùy tiện, đây là tính năng nên bật mặc định trên toàn bộ cổng access.
6. Bảo mật lớp truy cập (Access Layer Security)
6.1. Port Security
Giới hạn số MAC được học trên một cổng, chống tấn công MAC flooding và cắm thiết bị lạ:
SW-CORE-01(config)# interface gigabitEthernet 0/5 SW-CORE-01(config-if)# switchport port-security SW-CORE-01(config-if)# switchport port-security maximum 2 SW-CORE-01(config-if)# switchport port-security violation shutdown SW-CORE-01(config-if)# exit
6.2. DHCP Snooping
Chống DHCP giả mạo (rogue DHCP server) – một trong những sự cố mạng phổ biến nhất khi người dùng tự mang router Wi-Fi cắm vào mạng công ty:
SW-CORE-01(config)# ip dhcp snooping SW-CORE-01(config)# ip dhcp snooping vlan 10,20 SW-CORE-01(config)# interface gigabitEthernet 0/24 SW-CORE-01(config-if)# ip dhcp snooping trust SW-CORE-01(config-if)# exit
Chỉ cổng uplink hướng về DHCP server hợp lệ mới được đánh dấu trust; toàn bộ cổng access còn lại mặc định là untrusted và sẽ bị chặn nếu phát ra gói DHCP Offer.
6.3. Storm Control
Chặn broadcast/multicast storm gây nghẽn băng thông toàn mạng:
SW-CORE-01(config)# interface range gigabitEthernet 0/1-20 SW-CORE-01(config-if-range)# storm-control broadcast level 20 SW-CORE-01(config-if-range)# exit
7. Quản lý và giám sát từ xa
7.1. SSH thay vì Telnet
Telnet truyền dữ liệu (bao gồm mật khẩu) dạng plaintext, chỉ nên dùng trong LAB cô lập. Cấu hình SSH cho môi trường thật:
SW-CORE-01(config)# hostname SW-CORE-01 SW-CORE-01(config)# ip domain-name hatechno.local SW-CORE-01(config)# crypto key generate rsa SW-CORE-01(config)# enable service ssh-server SW-CORE-01(config)# disable service telnet-server
7.2. SNMP giám sát
SW-CORE-01(config)# snmp-server community HatechnoRO ro SW-CORE-01(config)# snmp-server enable traps SW-CORE-01(config)# snmp-server host 192.168.1.100 version 2c HatechnoRO
Nên dùng community string riêng, không dùng “public” mặc định, và giới hạn quyền chỉ đọc (ro) trừ khi hệ thống giám sát cần ghi cấu hình.
7.3. NTP đồng bộ thời gian
Log hệ thống chỉ có giá trị điều tra sự cố khi thời gian chính xác:
SW-CORE-01(config)# ntp server 1.vn.pool.ntp.org SW-CORE-01(config)# clock timezone Hanoi 7
8. Sao lưu và phục hồi cấu hình
Đây là bước rất nhiều nơi bỏ qua cho đến khi switch die và mất trắng cấu hình. Sao lưu qua TFTP hoặc FTP:
SW-CORE-01# copy running-config tftp Address or name of remote host: 192.168.1.50 Destination filename: sw-core-01-2026-07-04.cfg
Khôi phục lại khi thay thiết bị mới:
SW-CORE-01# copy tftp running-config
Lưu cấu hình đang chạy vào bộ nhớ khởi động sau mỗi lần thay đổi quan trọng (một lỗi cơ bản nhưng cực kỳ phổ biến là quên bước này rồi mất cấu hình sau khi mất điện):
SW-CORE-01# write memory hoặc SW-CORE-01# copy running-config startup-config
9. Các lệnh show quan trọng khi khắc phục sự cố
| Mục đích | Lệnh |
| Xem trạng thái các cổng | show interface status |
| Xem bảng MAC | show mac-address-table |
| Xem VLAN đã tạo | show vlan |
| Xem trạng thái STP | show spanning-tree |
| Xem trạng thái Aggregate Port | show aggregateport summary |
| Xem log hệ thống | show logging |
| Xem cấu hình đang chạy | show running-config |
| Kiểm tra CPU/bộ nhớ | show cpu / show memory |
Khi xử lý sự cố mất kết nối trên một cổng cụ thể, quy trình hợp lý là: kiểm tra show interface status xem cổng có up/down, kiểm tra VLAN gán đúng chưa, kiểm tra show mac-address-table xem MAC thiết bị có học được không, rồi mới đi sâu vào STP hoặc port security nếu cổng bị err-disable.
10. Một vài lưu ý thực chiến khi triển khai Ruijie
- Không trộn lẫn firmware giữa các switch cùng dòng khác đời: RGOS có nhiều nhánh version (11.0, 11.4, 11.9…), lệnh có thể khác nhau giữa các bản. Luôn kiểm tra đúng tài liệu Configuration Guide theo model và version đang chạy trước khi áp dụng lệnh từ tài liệu khác dòng.
- RLDP không thay thế STP: hai cơ chế này nên chạy song song, RLDP xử lý loop cục bộ nhanh ở tầng access, STP đảm bảo topology tổng thể không loop khi có nhiều switch nối vòng.
- Native VLAN trên trunk phải khớp hai đầu: đây là lỗi rất hay gặp khi đấu nối switch Ruijie với switch hãng khác (Cisco, HPE) qua trunk – nếu native VLAN không khớp, switch sẽ log cảnh báo mismatch và có thể gây rò rỉ traffic giữa các VLAN.
- Luôn thoát Telnet, chỉ dùng SSH ở môi trường sản xuất: đây không phải khuyến nghị chung chung, mà là yêu cầu bắt buộc nếu hệ thống có yêu cầu audit bảo mật hoặc tuân thủ (ví dụ theo tiêu chuẩn nội bộ ngân hàng, tài chính).
Kết luận
RGOS của Ruijie có cú pháp gần với Cisco IOS đủ để người có nền tảng CCNA tiếp cận nhanh, nhưng vẫn có những khác biệt quan trọng – đặc biệt là RLDP, cách đặt IP qua VLAN interface, và việc phải chủ động bật các dịch vụ quản lý. Việc nắm vững quy trình từ cấu hình cơ bản, VLAN/trunk, chống loop, bảo mật cổng, đến giám sát và sao lưu là nền tảng bắt buộc để vận hành ổn định một hệ thống mạng dùng thiết bị Ruijie, dù là mạng trường học, văn phòng hay trung tâm dữ liệu quy mô vừa.
