Policy Route là gì? Cấu hình Policy Route trên router Mikrotik

Trong thế giới mạng hiện đại, việc quản lý lưu lượng truy cập một cách linh hoạt và hiệu quả là yếu tố then chốt để đảm bảo hiệu suất và trải nghiệm người dùng tốt nhất. Đó là lúc Policy Route phát huy vai trò quan trọng của mình. Khác với định tuyến thông thường chỉ dựa trên địa chỉ đích, Policy Route cho phép chúng ta định tuyến lưu lượng dựa trên nhiều tiêu chí khác nhau. Trong bài viết này, hãy cùng CNTTShop khám phá cách cấu hình Policy Route trên Router Mikrotik - một trong những bộ định tuyến mạnh mẽ và phổ biến nhất hiện nay, đồng thời tìm hiểu các trường hợp sử dụng thực tế để áp dụng vào hệ thống mạng của mình nhé.

Policy route là gì?

Thông thường, khi một gói tin đi qua router để đến một subnet khác, router sẽ làm nhiệm vụ kiểm tra địa chỉ IP đích từ Header của gói tin IP để xác định nơi cần gửi tiếp. Nếu so khớp IP đích này có trong bảng định tuyến, nó sẽ chuyển tiếp gói tin theo route phù hợp nhất. Nếu không, gói tin sẽ bị hủy bỏ. Tuy nhiên thực tế trước khi tra cứu bảng định tuyến thì router sẽ kiểm tra một vài thông tin như ACL, Policy, QoS,….để quyết định ưu tiên, chuyển tiếp hay drop gói tin.

Policy ở đây chính là Policy Route hay còn gọi là Policy Base-routing (PBR). Đây là một dạng định tuyến dựa trên chính sách, cho phép bạn kiểm soát lưu lượng truy cập một cách linh hoạt hơn so với định tuyến thông thường. Thay vì chỉ dựa vào địa chỉ đích để quyết định đường đi của gói tin, Policy Route cho phép bạn định tuyến dựa trên nhiều tiêu chí khác nhau, bao gồm:

• Địa chỉ nguồn (Source address): Định tuyến lưu lượng dựa trên nguồn gốc của gói tin.
• Địa chỉ đích (Destination address): Định tuyến lưu lượng dựa trên đích đến của gói tin.
• Giao thức (Protocol): Định tuyến lưu lượng dựa trên giao thức sử dụng (ví dụ: TCP, UDP).
• Cổng (Port): Định tuyến lưu lượng dựa trên cổng nguồn hoặc cổng đích.
• Các tiêu chí khác: Một số thiết bị mạng còn hỗ trợ định tuyến dựa trên các tiêu chí khác như loại dịch vụ (ToS), độ dài gói tin, v.v.

Khi các tham số như thế này được thiết lập, các gói dữ liệu sẽ được định tuyến tương ứng. Điều này sẽ cho phép bạn tăng cường độ linh hoạt của mạng.

Các trường hợp sử dụng Policy Route

Policy Route được coi là một “ngoại lệ” đối với cơ sở thông tin định tuyến (RIB) và được tra soát trước khi kiểm tra bảng định tuyến. Do đó Policy được sử dụng trong rất nhiều trường hợp thực tế như:

• Chia lưu lượng qua một đường truyền Internet cụ thể: Giả sử công ty của bạn có 2 đường truyền Internet, với cơ chế cân bằng tải thông thường, router sẽ chia tải ngẫu nhiên lưu lượng của các máy khách trên cả 2 đường Internet. Nghĩa là một số máy tính có thể đi ra bằng đường WAN 1 và 1 số đi ra đường WAN 2. Đồng nghĩa với đó là bạn sẽ không thể control được các lưu lượng đi ra bằng đường nào. Với cơ chế load balancing ECMP, dữ liệu có thể có tình trạng đi đến một đích bên ngoài Internet bằng đường WAN 1 nhưng quay về bằng đường WAN 2 gây lỗi truy cập trong một số ứng dụng như NAT port. Do đó, Policy Route sẽ là giải pháp hữu hiệu để đảm bảo thiết bị nội bộ luôn đi qua 1 WAN duy nhất.
• Định tuyến ứng dụng quan trọng qua đường truyền chuyên biệt: Bạn có thể ưu tiên các ứng dụng bằng cách chọn các liên kết băng thông cao, độ trễ thấp cho các ứng dụng quan trọng nếu có nhiều hơn 1 đường Internet. Đặc biệt là các ứng dụng giao dịch ngân hàng, thanh toán trực tuyến hoặc phần mềm kế toán.
• Phân tách lưu lượng nhằm mục đích kiểm tra hoặc phân tích: Ví dụ bạn cần kiểm tra đánh giá chi tiết về một đường Internet nhưng máy tính của bạn đang được chia tải trên 1 đường Internet khác, do vậy bạn sẽ cần tạo chính sách để dữ liệu từ máy tính của bạn đi ra Internet bằng đường WAN mong muốn mà không ảnh hưởng đến lưu lượng chung.

Cấu hình Policy Route trên router Mikrotik

Mô hình

Mô hình mình sẽ sử dụng bao gồm 1 router Mikrotik kết nối với 2 đường Internet, bên dưới là 1 switch core có chia 3 VLAN để kết nối với các máy tính. Đây cũng là mô hình phổ biến được sử dụng với nhiều đường mạng khác nhau. IP WAN lần lượt là 14.224.131.78 (VNPT) và 100.70.169.209 (FPT). 2 đường Internet này mình sẽ đều đặt route distance = 1 để load balancing theo cơ chế ECMP.

Trước hết hãy cùng kiểm tra xem các máy tính đang đẩy dữ liệu ra Internet bằng đường WAN nào nhé

Như vậy là máy PC1 và PC3 đang ra Internet bằng đường FPT, PC2 là VNPT.

Cấu hình

Bây giờ mình muốn máy PC3 sẽ đi ra Internet bằng đường VNPT, trên Mikrotik các bạn thực hiện lần lượt như sau:

Trước hết các bạn cần tạo một bảng định tuyến riêng biệt để chỉ định đường đi ra đường WAN mong muốn. Mặc định trên router Mikrotik sẽ có 1 bảng định tuyến (RIB) là main,  các route khi được thêm vào đều sẽ nằm trên bảng định tuyến này và toàn bộ traffic sẽ được router xử lý dựa theo bảng main. Do vậy, chúng ta sẽ cần tạo một bảng RIB riêng cho traffic đi ra VNPT.

Các bạn vào menu Routing ⇒ Tables sau đó click vào New để tạo bảng RIB mới nhé.

Các bạn chỉ cần đặt tên cho bảng RIB và tick vào ô FIB để active bảng định tuyến này nhé, sau đó click OK để lưu lại. Sau khi tạo bảng RIB rồi thì chúng ta cần binding nó vào các route entry cụ thể để có thể hoạt động được. Click menu IP ⇒ Routes.

Ở đây chúng ta sẽ thấy 2 default route ra 2 đường VNPT và FPT đã được tự thêm vào khi quay PPPoE. 2 default route này nằm trong bảng định tuyến main, do đó chúng ta sẽ cần tạo 1 default route mới cho đường VNPT sử dụng bảng RIB vừa tạo. Để đơn giản nhất các bạn hãy click đúp vào dòng default route của VNPT sau đó chọn Copy và đặt thông số mới.

Trong mục Check gateway các bạn nên chọn option ping để trong trường hợp đường VNPT gặp sự cố, router sẽ chuyển toàn bộ traffic sang đường FPT để giảm tối đa độ trễ nhé. Và đương nhiên rồi, trong mục Routing table chúng ta sẽ chọn bảng RIB to-VNPT.

Cuối cùng chúng ta chỉ cần đánh dấu những lưu lượng source để chỉ định lưu lượng đó sử dụng bảng RIB to-VNPT nữa thôi. Để làm được điều này các bạn click vào menu IP ⇒ Firewall ⇒ Mangle và click New để tạo 1 mangle đánh dấu lưu lượng.

Tại đây các bạn có thể chỉ định 1 IP, 1 dải IP cần áp dụng Policy trong mục Src.Address hoặc chỉ định 1 list IP cụ thể trong mục Src.Address List bên thẻ Advanced nhé. Ở đây máy PC3 của mình đang thuộc dải mạng của VLAN 30 nên mình sẽ áp dụng cho cả subnet 192.168.30.0/24 luôn, nếu các bạn chỉ cần áp dụng cho 1 máy thì nhập mỗi IP của máy đó thôi nhé.

Policy route cho phép bạn áp dụng với từng lưu lượng dịch vụ riêng, giả sử các bạn chỉ cần cho lưu lượng WEB port 80, 443 đi ra 1 đường WAN cụ thể thì có thể chọn mục Protocol là TCP và nhập Src.Port tương ứng nhé. Ở đây mình áp dụng cho toàn bộ traffic của VLAN 30 nên mình sẽ any luôn (không cài đăt thêm).

Tiếp theo các bạn chuyển qua thẻ Action và chọn mark routing cùng với chọn bảng RIB mà các bạn muốn áp dụng policy trong mục New routing mark nhé.

Kiểm tra

Sau khi cấu hình xong các bước trên, bây giờ mình sẽ thử traceroute lại trên PC3 ra internet để xem máy đang đi ra bằng đường WAN nào nhé.

Ok như vậy là PC3 của mình đã đi ra Internet bằng đường VNPT, cấu hình Policy Route trên Mikrotik chỉ đơn giản như vậy thôi. Các bạn cũng hoàn toàn có thể làm tương tự với trường hợp nhiều đường WAN khác nhau và có nhiều bảng RIB khác nhau.

Kết luận

Tóm lại, việc cấu hình Policy Route trên Router Mikrotik mang lại sự linh hoạt và kiểm soát cao trong việc định tuyến lưu lượng mạng. Bằng cách áp dụng các quy tắc định tuyến dựa trên chính sách, quản trị viên mạng có thể dễ dàng tối ưu hóa hiệu suất, đảm bảo tính ổn định và bảo mật cho hệ thống mạng. Hy vọng rằng hướng dẫn này sẽ cung cấp cho bạn những kiến thức và kỹ năng cần thiết để triển khai thành công Policy Route trên Router Mikrotik của mình. Nếu có bất cứ thắc mắc gì hãy để lại bình luận bên dưới để được đội ngũ kỹ thuật của CNTTShop giải đáp nhé!

Công ty TNHH Công nghệ Việt Thái Dương (CNTTShop) là đơn vị chuyên phân phối các dòng router Mikrotik có hỗ trợ cài đặt Policy Route. Với đội ngũ kỹ thuật chuyên nghiệp, tận tâm và thân thiện, CNTTShop cam kết mang đến giải pháp tối ưu, hỗ trợ cấu hình và triển khai hiệu quả cho khách hàng