Lịch sử tìm kiếm
  1. Trang chủ
  2. Hướng dẫn
  3. Hướng dẫn Fortinet
  4. Cấu hình LAN & DHCP trên FortiGate
admin 08/01/2026

Cấu hình LAN & DHCP trên FortiGate

Series FortiGate | Giai đoạn 1 | Bài 4

Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.

⏱️ 10–15 phút🎯 Level: Cơ bản🧰 Dành cho: IT nội bộ / Người mới
⬅️ Bài 3: Cấu hình WAN➡️ Đi tới Bài 5 (Policy LAN ra Internet)

🧭 LAN & DHCP dùng để làm gì?

LAN là mạng nội bộ nơi PC, server, switch, WiFi hoạt động. DHCP là cơ chế cấp IP tự động cho các thiết bị trong LAN. Nếu LAN/DHCP sai, bạn sẽ gặp các lỗi rất “khó chịu” như: PC không có mạng, IP trùng nhau, hoặc thiết bị nhận sai gateway.

  • ✅ LAN đúng → PC có gateway rõ ràng (FortiGate)
  • ✅ DHCP đúng → PC nhận IP tự động, giảm cấu hình thủ công
  • ✅ Chuẩn bị tốt cho Bài 5 → tạo Policy LAN ra Internet
💡 Tip thực tế: Với doanh nghiệp nhỏ/vừa, nên chọn LAN đơn giản: 192.168.10.0/24 hoặc 192.168.1.0/24, nhưng tránh trùng với dải IP modem/ONT của ISP để khỏi “đụng mạng”.

🧩 Lập kế hoạch dải IP LAN (đơn giản nhưng cực quan trọng)

📌 Ví dụ cấu hình LAN dễ triển khai

  • LAN subnet: 192.168.10.0/24
  • Gateway (FortiGate LAN IP): 192.168.10.1
  • DHCP range: 192.168.10.50 – 192.168.10.200
  • Reserved (tĩnh): .2 – .49 (server, printer, switch, AP)

⚠️ Những lỗi “đụng mạng” hay gặp

  • LAN trùng dải IP modem/ONT (thường là 192.168.1.0/24)
  • DHCP range trùng IP tĩnh của server/printer
  • Gateway/DNS cấp sai → máy có IP nhưng không ra Internet
⚠️ Nguyên tắc: Trước khi bật DHCP, hãy xác định rõ dải IP nào sẽ để tĩnh (server, printer, switch, AP) để tránh trùng IP.

1️⃣ Gán IP cho port LAN (Interface)

Bước 1

Chọn đúng port LAN bạn đang cắm PC

Vào Network → Interfaces. Xác định port LAN (hoặc interface nội bộ) mà PC đang cắm để tránh chỉnh nhầm.

💡 Nếu bạn chỉnh nhầm port, PC sẽ “rớt” khỏi GUI ngay. Khi đó chỉ cần cắm lại đúng port hoặc đổi IP PC để vào lại.
Bước 2

Đặt IP cho LAN interface

Edit interface LAN → Addressing mode: Manual → đặt IP gateway, ví dụ 192.168.10.1/24OK.

⚠️ Sau khi đổi IP LAN, bạn sẽ phải truy cập FortiGate bằng IP mới (ví dụ https://192.168.10.1).

2️⃣ Bật DHCP Server trên FortiGate

Bước 1

Vào mục DHCP Server

Vào Network → DHCP Server → Create New (hoặc Edit DHCP trên interface LAN tùy phiên bản).

Bước 2

Chọn interface LAN và khai báo dải cấp phát

Chọn interface: LAN → đặt range ví dụ 192.168.10.50 – 192.168.10.200. Gateway sẽ là 192.168.10.1 (LAN IP).

Bước 3

Đặt DNS cấp cho client

DNS có 2 cách cơ bản:

  • ✅ Dùng FortiGate làm DNS forwarder (client trỏ DNS = FortiGate LAN IP)
  • ✅ Cấp DNS public/ISP trực tiếp (ví dụ theo chính sách IT)
💡 Với triển khai cơ bản, để đơn giản, bạn có thể cấp DNS theo ISP hoặc DNS public ổn định để test nhanh.
⚠️ Lưu ý: Không đặt DHCP range chồng lên IP tĩnh của server/printer. Nếu cần, hãy dành riêng dải .2–.49 cho thiết bị tĩnh.

🔍 Test PC nhận IP & kiểm tra đường LAN

✅ Trên PC (Windows)

  • Disable/Enable card mạng hoặc rút cắm lại dây
  • Kiểm tra IP nhận được: ipconfig
  • IP phải nằm trong range DHCP đã đặt

✅ Các test tối thiểu

  • Ping gateway: ping 192.168.10.1
  • Mở GUI bằng IP mới: https://192.168.10.1
  • Chưa cần test Internet ở PC (vì Bài 5 mới mở Policy)
💡 Quan trọng: Ở bước này, PC có IP và ping được gateway là đạt. Nếu PC chưa ra Internet thì cũng bình thường, vì bạn chưa tạo Policy LAN → WAN (Bài 5).

❌ Lỗi hay gặp & cách xử lý nhanh

❌ PC không nhận IP (169.254.x.x)
  • Kiểm tra PC cắm đúng port LAN chưa
  • DHCP Server đã bật trên đúng interface LAN chưa
  • Kiểm tra dây/port/switch trung gian
  • Thử renew IP (Windows): ipconfig /release rồi ipconfig /renew
❌ PC nhận IP nhưng không ping được gateway
  • Kiểm tra gateway cấp cho client có đúng là IP LAN của FortiGate không
  • Kiểm tra subnet mask có đúng /24 không (255.255.255.0)
  • Kiểm tra VLAN/interface: PC đang ở đúng VLAN/LAN chưa
❌ Truy cập FortiGate bị “mất” sau khi đổi IP LAN
  • Đây là bình thường vì IP quản trị đã đổi
  • PC cần lấy IP mới (DHCP) hoặc đặt IP cùng lớp 192.168.10.x
  • Truy cập lại bằng IP mới: https://192.168.10.1
❌ Bị trùng IP trong mạng
  • DHCP range đang chồng lên IP tĩnh của thiết bị
  • Giải pháp: thu hẹp range DHCP và dành dải IP tĩnh riêng
  • Nên lập danh sách IP tĩnh: server, printer, switch, AP

🧩 Kết luận

Nếu PC đã nhận IP đúng dải và ping được gateway (FortiGate LAN IP), bạn đã hoàn thành LAN & DHCP. Bài tiếp theo là bước quan trọng nhất để “mở Internet”: tạo Firewall Policy LAN → WAN và bật NAT đúng cách.

➡️ Bài tiếp theo

🧱 Bài 5: Cấu hình Firewall Policy cho LAN ra Internet (kèm NAT)

Đây là bước giúp máy trong LAN truy cập Internet. Bài 5 cũng giải thích vì sao “có IP nhưng không ra mạng” thường là do policy/NAT/logging.

Chưa đọc Bài 3?Xem lại: Cấu hình WAN
Xem Bài 5
 

Bài viết liên quan

SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

08/01/2026 admin
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
Đọc thêm
VPN Remote Access trên FortiGate

VPN Remote Access trên FortiGate

08/01/2026 admin
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm
VPN Site-to-Site (IPsec) trên FortiGate

VPN Site-to-Site (IPsec) trên FortiGate

08/01/2026 admin
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Đọc thêm
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

08/01/2026 admin
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm
Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

08/01/2026 admin
Sau HA (Bài 12) để tránh “hỏng thiết bị”, bước kế tiếp để tránh “đứt Internet” là Dual-WAN Failover. Mục tiêu triển khai thực tế: WAN1 (chính) chạy bình thường, WAN2 (dự phòng) chỉ takeover khi WAN1 lỗi, và tự động chuyển lại khi WAN1 ổn định. Bài này hướng dẫn này sẽ giúp: làm đúng từ thiết kế, monitor đúng kiểu, test failover rõ ràng.
Đọc thêm
1