Hệ thống mạng
Quay lại

Hệ thống mạng

Thiết kế, lắp đặt và bảo trì hệ thống mạng LAN/WiFi doanh nghiệp

Sáng thứ Hai, cả văn phòng 30 người ngồi vào máy — nhưng không ai làm được việc. Internet "có" nhưng mở Gmail mất 30 giây, gửi file báo cáo cho khách hàng bị đứt giữa chừng, phần mềm kế toán báo "không kết nối được máy chủ". Nhân viên IT gọi lên tổng đài ISP — đầu dây bên kia xác nhận "đường truyền bình thường". Rốt cuộc vấn đề nằm ở đâu? Không ai trả lời được. Đến trưa, một anh kỹ thuật quen được gọi đến, khởi động lại router, "có mạng trở lại". Nhưng đến thứ Tư, kịch bản lặp lại y hệt. Đây là câu chuyện của hàng nghìn văn phòng Việt Nam — nơi hệ thống mạng đang bị coi là thứ "cứ cắm dây là chạy", cho đến khi nó không chạy nữa. Và khi đó, doanh nghiệp mới hiểu: mạng không chỉ là internet — đó là hệ thần kinh của vận hành, và một khi hệ thần kinh chập chờn, cả doanh nghiệp nằm liệt.

Vấn đề thực tế

1. Mạng "có" nhưng không dùng được — nghẽn cổ chai không ai phát hiện

Router WiFi văn phòng phổ thông được thiết kế cho hộ gia đình 5-10 thiết bị. Khi cắm vào văn phòng 30-50 thiết bị, nó vẫn chạy — nhưng chạy trong trạng thái quá tải. Băng thông bị bóp nghẽn từng phần, gói tin bị drop ngẫu nhiên, latency tăng vọt lúc đông người. Biểu hiện bên ngoài: "mạng chậm" — nhưng gốc là thiết bị sai cấp. Doanh nghiệp không có ai kiểm tra, không có công cụ đo, chỉ biết chửi nhà mạng trong khi lỗi nằm ở thiết bị nội bộ.

2. Rớt mạng — không biết lỗi do ISP hay thiết bị nội bộ, đoán mò rồi chờ

Sự cố điển hình: Internet không vào được. Nhân viên báo IT — IT không có công cụ chẩn đoán. Cách làm phổ biến: gọi tổng đài ISP, ISP bảo "đầu dây ổn", rồi hai bên đổ qua đổ lại. Trong lúc đó, cả văn phòng ngồi chơi. Một sự cố mạng kéo dài 2 giờ ở văn phòng 30 người = 60 giờ làm việc bị mất. Chưa kể khách hàng gọi không được, email không trả lời, đơn hàng không xử lý.

3. Bảo mật mạng chỉ dừng ở mật khẩu WiFi — tài sản số nằm trần trước mã độc

Router WiFi văn phòng thông thường không có firewall, không kiểm tra nội dung gói tin, không chặn được kết nối đến máy chủ điều khiển mã độc. Mọi thiết bị trong văn phòng đều nằm chung một mạng phẳng — một máy bị nhiễm mã độc là toàn bộ các máy khác trở thành mục tiêu. Không có VLAN phân tách phòng kế toán với phòng kinh doanh, không có guest network cho khách hàng vào họp, không có log lưu truy cập. Khi sự cố xảy ra, không ai truy vết được nguồn gốc — và theo Luật An ninh mạng 2018, doanh nghiệp có trách nhiệm lưu trữ nhật ký truy cập nhưng phần lớn văn phòng nhỏ không biết hoặc không làm.

4. Hạ tầng mạng "vá víu" qua từng năm — lỗi thời mà không ai nâng cấp

Nhiều văn phòng vẫn dùng switch 100Mbps mua từ 2016, cáp mạng CAT5e ọp ẹp không đạt chuẩn, router WiFi 4 trong khi WiFi 6/6E đã là tiêu chuẩn mới. Mỗi lần mạng chậm, giải pháp là "mua thêm cái router" — rồi cắm chồng lên, tạo ra mạng lưới thiết bị không đồng bộ, xung đột DHCP, mất gói khi chuyển vùng. Kết quả là một "mớ bòng bong" mà không ai dám đụng vào vì sợ đụng đâu hỏng đó. Doanh nghiệp không có lộ trình nâng cấp, không có tài liệu sơ đồ mạng — đến chính IT cũng không biết dây nào cắm vào switch nào.

Phân tích nguyên nhân & hậu quả

Nguyên nhân

Thiết bị mạng sai cấp dùng cho văn phòng doanh nghiệp

Hậu quả

Router WiFi hộ gia đình bị thiết kế cho tối đa 15-20 kết nối đồng thời, bộ nhớ RAM giới hạn không xử lý nổi bảng NAT khi 40-50 thiết bị cùng hoạt động. Hậu quả: latency tăng đột biến vào giờ cao điểm, gói tin DNS bị drop khiến trình duyệt "quay vòng" không tải được trang dù internet vẫn có, các phiên TCP liên tục bị timeout giữa chừng. Khi không có thiết bị giám sát mạng, doanh nghiệp không thể phân biệt được nghẽn do thiết bị nội bộ hay do ISP — dẫn đến chi tiền nâng cấp gói cước internet trong khi gốc vấn đề nằm ở router 500 nghìn đồng.

Nguyên nhân

Mạng phẳng — toàn bộ thiết bị nằm chung một vùng broadcast, không phân tách

Hậu quả

Khi một máy tính nhiễm mã độc trong mạng phẳng, mã độc có thể quét toàn bộ các thiết bị khác qua giao thức SMB, RDP, NetBIOS. Một ransomware xâm nhập vào máy của nhân viên mới qua email lừa đảo — trong vòng 30 phút nó có thể mã hoá toàn bộ dữ liệu trên máy chủ file kế toán nếu máy chủ đó nằm trong cùng một mạng phẳng. Không có tường lửa nội bộ, không có VLAN phân tách phòng ban, không có danh sách kiểm soát truy cập — tài sản số của doanh nghiệp nằm trần trước mọi mối đe dọa nội bộ lẫn bên ngoài. Đây chính là nguyên nhân gốc của 80% sự cố lây lan mã độc trong doanh nghiệp nhỏ và vừa.

Nguyên nhân

Không có công cụ giám sát mạng — sự cố chỉ được phát hiện khi người dùng kêu

Hậu quả

Trong một hệ thống mạng chuyên nghiệp, đơn vị quản trị nhận được cảnh báo khi băng thông vượt 80%, khi một switch xuất hiện lỗi CRC, khi một AP WiFi có tỷ lệ retry cao bất thường. Ngược lại, trong mô hình văn phòng phổ biến, sự cố mạng chỉ được phát hiện khi nhân viên đồng loạt đứng dậy hỏi "mạng đâu rồi". Đến lúc đó, thiệt hại đã xảy ra. Không có log, không có baseline hiệu năng, không có cảnh báo chủ động — doanh nghiệp vận hành trong trạng thái "cầu trời" và đối phó khi sự cố ập đến. Trung bình thời gian phát hiện và xử lý một sự cố mạng trong mô hình không giám sát gấp 4-6 lần so với mô hình có hệ thống giám sát chuyên nghiệp.

Nguyên nhân

Tích tụ nợ kỹ thuật hạ tầng mạng — thiết bị cũ, cáp kém, cấu hình không đồng bộ

Hậu quả

Doanh nghiệp hoạt động 5-7 năm thường đã trải qua ít nhất 3-4 lần "sửa mạng" — mỗi lần do một đơn vị khác nhau thực hiện, mỗi lần thêm thiết bị mới cắm chồng lên thiết bị cũ. Không ai gỡ bỏ switch cũ 100Mbps đã hỏng 2 cổng, không ai thay đoạn cáp mạng bị chuột cắn trong trần giả, không ai cập nhật firmware cho router. Hệ thống trở thành một mớ bòng bong về mặt kỹ thuật lẫn tài liệu — không sơ đồ mạng, không danh sách thiết bị, không mật khẩu quản trị được lưu an toàn. Khi sự cố xảy ra, kỹ thuật mới mất nửa ngày chỉ để mò mẫm hiểu cái gì đang cắm vào cái gì. Mỗi lần "vá" khiến nợ kỹ thuật chồng chất thêm, cho đến một ngày hệ thống sập hoàn toàn và buộc phải làm lại từ đầu — chi phí gấp 3-5 lần so với nâng cấp có lộ trình.

Giải pháp

1

Lớp 1 — Khảo sát & thiết kế hạ tầng mạng tổng thể

Khảo sát hiện trạng: kiểm đếm toàn bộ thiết bị mạng hiện hữu, đo băng thông thực tế từng điểm truy cập, phân tích lưu lượng mạng trong 72 giờ để xác định điểm nghẽn và thiết bị lỗi. Vẽ sơ đồ mạng hoàn chỉnh: sơ đồ vật lý (thiết bị, cổng kết nối, đường cáp) và sơ đồ logic (VLAN, subnet, routing) — lưu thành tài liệu chuẩn, bàn giao cho doanh nghiệp. Đề xuất thiết kế mạng mới: phân vùng mạng theo chức năng (Management VLAN, Data VLAN, Voice VLAN, Guest VLAN), lựa chọn thiết bị phù hợp quy mô, dự phòng link uplink cho các thiết bị quan trọng. Lập lộ trình triển khai: ưu tiên thay thế thiết bị lỗi/nghẽn trước, nâng cấp theo giai đoạn để không gián đoạn vận hành, timeline cụ thể cho từng hạng mục.

2

Lớp 2 — Triển khai thiết bị chuyên nghiệp theo quy mô doanh nghiệp

Thay thế router WiFi phổ thông bằng thiết bị doanh nghiệp: UniFi/Aruba Instant On/MikroTik — hỗ trợ WiFi 6/6E, roaming liền mạch, cân bằng tải tự động, quản lý tập trung qua controller. Triển khai switch Gigabit có quản lý (managed switch): hỗ trợ VLAN tagging, QoS ưu tiên traffic VoIP/video call, STP chống loop mạng, port mirroring để giám sát và chẩn đoán. Triển khai Firewall doanh nghiệp (FortiGate/pfSense/Sophos): lọc nội dung web, chặn malware C2 server, IPS/IDS phát hiện xâm nhập, VPN site-to-site cho chi nhánh, báo cáo bảo mật định kỳ. Thi công cáp mạng chuẩn CAT6/CAT6A: đo chứng nhận từng đường cáp bằng máy Fluke/LAN tester chuyên nghiệp, dán nhãn toàn bộ cổng patch panel và faceplate, bàn giao báo cáo đo đạc.

3

Lớp 3 — Giám sát mạng 24/7 & ứng cứu sự cố

Triển khai hệ thống giám sát tập trung: theo dõi realtime băng thông, latency, packet loss, CPU/RAM thiết bị mạng, uptime — gửi cảnh báo qua Telegram/email khi vượt ngưỡng. Cấu hình syslog server tập trung: lưu toàn bộ log từ firewall, switch, AP, router về một máy chủ — đảm bảo tuân thủ Luật An ninh mạng 2018 về lưu trữ nhật ký truy cập. Quy trình ứng cứu sự cố: phản hồi dưới 30 phút qua hotline, remote chẩn đoán ngay, kỹ thuật có mặt trong 2-4 giờ sự cố nghiêm trọng, thay thế thiết bị dự phòng nóng (hot spare) cho thiết bị lõi. Báo cáo định kỳ hằng tháng: top thiết bị chiếm băng thông, danh sách mối đe dọa đã chặn, hiệu năng mạng so với tháng trước, đề xuất nâng cấp nếu cần.

4

Lớp 4 — Nâng cấp hạ tầng mạng chuẩn công nghệ mới và bảo mật nâng cao

Lộ trình nâng cấp WiFi 6/6E: tận dụng băng tần 6GHz (WiFi 6E) giảm nhiễu, tăng tốc độ truyền nội bộ lên đến 2.4Gbps, hỗ trợ mật độ thiết bị cao phù hợp văn phòng mở. Triển khai Zero Trust Network Access (ZTNA): mỗi thiết bị và người dùng phải xác thực trước khi truy cập tài nguyên mạng — ngay cả khi đã ở trong mạng nội bộ, không mặc định tin tưởng. Phân tách mạng bằng micro-segmentation: máy chủ kế toán nằm trong VLAN riêng, chỉ một nhóm IP cụ thể được phép truy cập, mọi truy cập khác bị chặn ở mức firewall. Định kỳ pentest và audit hạ tầng mạng: kiểm tra lỗ hổng bảo mật 6 tháng/lần, rà soát cấu hình firewall và ACL, cập nhật firmware toàn bộ thiết bị, diễn tập phục hồi sau sự cố mạng (network disaster recovery drill).

Trọn gói khảo sát - thiết kế - triển khai - giám sát mạng chỉ bằng một phần chi phí thuê kỹ sư mạng full-time — miễn phí khảo sát và tư vấn thiết kế trước khi ký hợp đồng.

Tình huống thực tế

Công ty thương mại 60 nhân viên, mạng chậm mỗi 10-11h sáng và 2-4h chiều — đúng lúc cao điểm nhập đơn. Nguyên nhân: dùng 1 router WiFi gia đình TP-Link WR840N (giá ~400.000đ) cho toàn bộ văn phòng. → Giải pháp: Triển khai 4 AP UniFi U6+ phủ đều 3 tầng + 1 switch UniFi 24-port PoE + pfSense firewall. Phân VLAN riêng cho WiFi nhân viên, WiFi khách, máy chủ ERP, camera. Cấu hình QoS ưu tiên traffic ERP và VoIP. → Kết quả: Sau triển khai, tốc độ mạng nội bộ tăng 8 lần (từ ~12Mbps lên ~95Mbps), không còn hiện tượng nghẽn giờ cao điểm, roaming liền mạch khi di chuyển giữa các tầng. Nhân viên tiết kiệm trung bình 15 phút/ngày do không phải chờ load đơn.

Doanh nghiệp logistics 25 nhân viên, mạng sập 2-3 lần/tháng không rõ nguyên nhân, mỗi lần sập mất 1-2 giờ điều phối xe. IT tự mò cắm rút dây để tìm lỗi — không có sơ đồ mạng, không có thiết bị dự phòng. → Giải pháp: Khảo sát phát hiện 1 switch 8-port không có STP bị loop khi nhân viên vô tình cắm 2 đầu dây vào cùng switch. Thay bằng switch managed 24-port có STP + lắp thêm firewall edge + dựng sơ đồ mạng vật lý và logic hoàn chỉnh. → Kết quả: Sau 6 tháng, 0 lần sập mạng, thời gian phát hiện và cách ly thiết bị lỗi từ 1-2 giờ xuống dưới 5 phút nhờ cảnh báo tự động. Nhân viên điều phối không còn phải gọi điện 'xe đang ở đâu' vì hệ thống hết lag.

Câu hỏi thường gặp

Mạng doanh nghiệp không phải chỗ để tiết kiệm bằng thiết bị gia đình. Một mạng được thiết kế đúng từ đầu giúp doanh nghiệp vận hành trơn tru, bảo mật dữ liệu khách hàng, và sẵn sàng mở rộng khi cần — mà không phải 'đập đi làm lại' mỗi lần thêm nhân sự.

Đặt lịch khảo sát miễn phí hệ thống mạng hiện tại của bạn.

Liên hệ ngay để được tư vấn miễn phí, không ràng buộc.