Trong môi trường mạng, Load Balancing và Failover là hai tính năng quan trọng để tăng cường tính sẵn sàng cho mạng. Load Balancing là kỹ thuật phân phối tải trên nhiều đường truyền để tối ưu hóa tài nguyên mạng, đồng thời giảm thiểu tình trạng quá tải trên một đường truyền duy nhất. Failover là tính năng dự phòng, khi một đường truyền xảy ra sự cố hoặc mất kết nối, thông tin sẽ tự động chuyển sang đường truyền dự phòng để đảm bảo mạng luôn hoạt động ổn định.
Router Mikrotik là một trong những thiết bị mạng thông dụng hiện nay, được sử dụng rộng rãi để cung cấp các dịch vụ mạng như Internet, VPN, Firewall, Load Balancing và Failover. Router Mikrotik cung cấp nhiều tính năng hỗ trợ Load Balancing và Failover, giúp quản trị viên mạng dễ dàng cấu hình và quản lý hệ thống mạng của mình.
Trong bài viết này, chúng ta sẽ tìm hiểu cách cấu hình Load Balancing và Failover trên Router Mikrotik, giúp tăng cường tính sẵn sàng và hiệu suất cho mạng của bạn.
Cấu hình Load Balancing và Failover trên Router Mikrotik
Thiết bị router Mikrotik RB1100AHx2 là một trong những thiết bị router cao cấp, chịu tải lớn, có tính năng load balancing và failover trên nhiều kết nối WAN – Internet, thích hợp cho doanh nghiệp, trường học, điểm truy cập wifi công cộng với yêu cầu Internet tốc độ cao cho người dùng. Bài viết cũng sẽ trình bày về hiện trạng và yêu cầu của khách hàng, đồng thời đề xuất trang bị thiết bị wifi chuyên dụng để đảm bảo kết nối wifi ổn định và tốc độ cao cho người dùng. Với thiết bị router Mikrotik RB1100AHx2, có khả năng chịu tải lên đến 500 kết nối Internet đồng thời và có thể load balancing và failover lên đến 12 đường WAN – Internet, khách hàng có thể yên tâm sử dụng dịch vụ Internet tốc độ cao một cách ổn định và tin cậy.
|| ĐỌC THÊM: Hướng Dẫn Cấu Hình VPN Site To Site Sử Dụng IPSEC Giữa 2 Router Mikrotik
Với thiết bị router Mikrotik, chúng ta có nhiều phương án để load balancing và failover cho kết nối WAN, ở đây, chúng tôi triển khai theo phương thức gọi là PCC (Per Connection Classifier). Với phương thức này, balancing trên các kết nối WAN theo các kết nối (connection).
Đầu tiên chúng ta cần chú ý rằng, interface bridge trên router Mikrotik được thiết kế để làm cấu nối cho traffic ở Layer 2, do đó, giao tiếp bridge này là kết nối logic để vận chuyển traffic Layer 2 giữa các cổng của thiết bị router Mikrotik. Mặc định traffic này giao tiếp bridge sẽ không được xử lý bởi các rule của firewall hoạt động ở Layer 3. Để bắt buộc Layer traffic trên bridge được xử lý bởi các rule của firewall ở Layer 3, chúng ta phải tường mình khai báo với lệnh sau:
Code:
/interface bridge settings
set use-ip-firewall=yes
Trong trường hợp của ta traffic trên các cổng khai báo là WAN được đóng gói với giao thức PPPoE, cũng cần tường minh cho phép đi qua các rule của firewall ở Layer 3.
Code:
/interface bridge settings
set use-ip-firewall-for-pppoe=yes
Các traffic của nội bộ mạng LAN qua router Mikrotik không cần phải xử lý bởi các rule của firewall. Do đó, chúng ta cần khai báo rule đầu tiên cho tất cả traffic của nội bộ mạng LAN bypass các rule của firewall.
Code:
/ip firewall mangle
add chain=prerouting dst-address=192.168.100.0/24 in-interface=bridge action=accept
Lệnh trên thực hiện ở chain pre-routing, do đó, traffic được xử lý trước khi mọi quyết định định tuyến gói tín xảy ra đối với các traffic đến router Mikrotik và traffic đang được forward bởi router Mikrotik. Rule trên kiểm tra mọi traffic có đích đến là mạng LAN (192.168.100.0/24) và interface tiếp nhận traffic trong trường hợp này là bridge – giao tiếp cầu nối cho traffic các cổng LAN của router Mikrotik. Action “accept” với mục đích dừng không xử lý traffic này với các rule kế tiếp sau. Để bắt traffic đi qua các rule bên dưới tiếp theo, cần khai báo trường “passthrough=yes”.
Với mỗi interface WAN, các traffic từ Internet vào WAN nào cần phải đi ra WAN đó, nếu không, kết nối sẽ bị gián đoạn – treo. Đặc biệt chú ý khi cần publish các dịch vụ từ mạng LAN ra Internet như Web service, FTP, Email service… hoặc các traffic khởi tạo từ Internet vào LAN như: SSH, VPN, ….
Các traffic vào router Mikrotik sẽ qua chain input và traffic rời router Mikrotik sẽ qua chain output. Chúng ta sẽ sử dụng 2 bộ rule, một cho chain input và một cho chain output cho mỗi interface WAN mà ta muốn load balancing và failover. Trong tường hợp này, chúng ta cần load balancing và failover trên 3 kết nối WAN.
Bên dưới là các mangle rule để xác định traffic khởi tạo từ Internet vào các interface WAN và đánh dấu (new-connection-mark) các traffic này với interface WAN mà nó vào
Code:
/ip firewall mangle
add chain=input in-interface=pppoe-out1 connection-mark=no-mark action=mark-connection new-connection-mark=WAN1 passthrough=no
add chain=input in-interface=pppoe-out2 connection-mark=no-mark action=mark-connection new-connection-mark=WAN2 passthrough=no
add chain=input in-interface=pppoe-out3 connection-mark=no-mark action=mark-connection new-connection-mark=WAN3 passthrough=no
Như vậy, các kết nối khởi tạo từ Internet (new-connection) được đánh dấu với WAN1, WAN2, hoặc WAN3 tương ứng interface WAN mà traffic đi vào. Tiếp theo, chúng ta cần đảm bảo các kết nối này sẽ ra đúng interface WAN mà nó đã khởi tạo vào. Chúng ta thực hiện điều này ở chain output và dùng routing-mark để định tuyến gói tin theo đúng bảng định tuyến mà ta sẽ khai báo sau.
Code:
/ip firewall mangle
add chain=output out-interface=pppoe-out1 connection-mark=WAN1 action=mark-routing new-routing-mark=WAN1 passthrough=no
add chain=output out-interface=pppoe-out2 connection-mark=WAN2 action=mark-routing new-routing-mark=WAN2 passthrough=no
add chain=output out-interface=pppoe-out3 connection-mark=WAN3 action=mark-routing new-routing-mark=WAN3 passthrough=no
Tiếp theo, chúng ta sẽ thực hiện load balancing bằng phương thức PCC để cân bằng tải kết nối từ mạng nội bộ LAN ra 3 interface WAN mà ta có bằng các rule mangle sau:
Code:
/ip firewall mangle
add chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=bridge per-connection-classifier=both-addresses:3/0 action=mark-connection new-connection-mark=WAN1
add chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=bridge per-connection-classifier=both-addresses:3/1 action=mark-connection new-connection-mark=WAN2
add chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=bridge per-connection-classifier=both-addresses:3/2 action=mark-connection new-connection-mark=WAN3
Với các rule trên, chỉ đánh dấu (mark) các traffic được chuyển tiếp từ mạng nội bộ LAN ra Internet, các traffic từ mạng nội bộ LAN đến chính router Mikrotik sẽ không bị các rule tác động (dst-address-type=!local). Các kết nối (connection) sẽ được chia điều trên 3 kết nối WAN (load balancing) và được đánh dấu (new-connection-mark) với kết nối WAN tương ứng mà connection sẽ đi ra Internet.
Các giá trị của trường per-connection-classifier=both-addresses liên quan đến biểu thức modular trong toán học, các bạn có thể tìm hiểu thêm ở các link cuối bài này.
Chú ý, mặc định thì passthrough=yes được bật cho các rule mangle ở trên. Tiếp theo, với các kết nối đã được đánh dấu ở trên, chúng ta cần đánh dấu routing mark kết nối được định tuyến theo đúng bảng định tuyến mà ta khai bao sau.
Code:
/ip firewall mangle
add chain=prerouting connection-mark=WAN1 in-interface=bridge action=mark-routing new-routing-mark=WAN1 passthrough=no
add chain=prerouting connection-mark=WAN2 in-interface=bridge action=mark-routing new-routing-mark=WAN2 passthrough=no
add chain=prerouting connection-mark=WAN3 in-interface=bridge action=mark-routing new-routing-mark=WAN3 passthrough=no
Vậy traffic ở đây sẽ được balancing trên 3 kết nối WAN, với mỗi kết nối xuất phát từ mạng nội bộ LAN sẽ lần lượt được điều hướng đến 3 bảng định tuyến WAN1, WAN2, WAN3 được khai báo bên dưới:
Code:
/ip route
add dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=WAN1
add dst-address=0.0.0.0/0 gateway=pppoe-out2 routing-mark=WAN2
add dst-address=0.0.0.0/0 gateway=pppoe-out3 routing-mark=WAN3
Tiếp theo, chúng ta cần khai báo các route cho bảng định tuyến chính (main) để các traffic xuất phát từ chính router có thể định tuyến ra ngoài Internet.
Code:
/ip route
add dst-address=0.0.0.0/0 gateway=pppoe-out1 distance=1
add dst-address=0.0.0.0/0 gateway=pppoe-out2 distance=2
add dst-address=0.0.0.0/0 gateway=pppoe-out3 distance=2
Đến đây, chúng ta đã hoàn thành việc cấu hình load balancing và failover trên 3 kết nối WAN cho thiết bị router Mikrotik RB1100AHx2
|| ĐỌC THÊM: Hướng Dẫn Cấu Hình Giới Hạn Băng Thông Trên Router Mikrotik
Lưu ý khi cấu hình Load Balancing và Failover trên Router Mikrotik
- Đảm bảo các thiết bị được cấu hình chính xác: Để đảm bảo hiệu quả và tính ổn định của hệ thống Load Balancing và Failover, cần cấu hình đúng các thông số kỹ thuật như băng thông, địa chỉ IP, subnet mask, gateway, DNS, NAT, port forwarding, firewall, etc.
- Đánh giá hiệu suất: Sau khi cấu hình xong, cần kiểm tra và đánh giá hiệu suất của hệ thống, để phát hiện và giải quyết các vấn đề kịp thời.
- Sử dụng các giao thức Load Balancing và Failover phù hợp: Có nhiều giao thức Load Balancing và Failover khác nhau, và sử dụng một trong số chúng tùy thuộc vào yêu cầu của hệ thống.
- Cài đặt và cấu hình Backup: Cần cài đặt và cấu hình hệ thống backup để đảm bảo tính ổn định và độ tin cậy của hệ thống.
- Cập nhật Firmware: Để đảm bảo tính bảo mật và hiệu suất của hệ thống, cần cập nhật firmware thường xuyên cho router Mikrotik.
- Kiểm tra định kỳ: Để đảm bảo tính ổn định của hệ thống, cần kiểm tra định kỳ các thông số kỹ thuật của hệ thống, và giải quyết các vấn đề nhanh chóng khi cần thiết.
- Lưu trữ tài liệu: Cần lưu trữ các tài liệu liên quan đến cấu hình Load Balancing và Failover, để dễ dàng tham khảo và giải quyết các vấn đề khi cần thiết.
- Bảo mật: Cần đảm bảo tính bảo mật của hệ thống bằng cách sử dụng các phương pháp bảo mật như mật khẩu mạnh, kiểm soát truy cập, mã hóa dữ liệu, etc.
- Đào tạo và cập nhật kiến thức cho nhân viên: Đào tạo và cập nhật kiến thức cho nhân viên liên quan đến cấu hình Load Balancing và Failover, để nâng cao năng lực và chuyên môn của họ trong lĩnh vực này.
- Hỗ trợ kỹ thuật: Khi gặp vấn đề, cần có sự hỗ trợ kỹ thuật từ nhà sản xuất hoặc các chuyên gia kỹ thuật để giải quyết vấn đề.
|| ĐỌC THÊM: Các Bước Cơ Bản Để Cấu Hình Cổng WAN Router Mikrotik
Tổng kết:
Trong bài viết này, chúng ta đã tìm hiểu cách cấu hình Load Balancing và Failover trên Router Mikrotik. Bằng cách sử dụng các tính năng của Router Mikrotik, chúng ta có thể đảm bảo rằng mạng của chúng ta luôn hoạt động ổn định và hiệu quả. Tuy nhiên, để đạt được hiệu quả cao nhất, chúng ta cần hiểu rõ các tính năng và cách thiết lập chúng. Hy vọng bài viết này sẽ giúp bạn có thêm kiến thức về cấu hình Load Balancing và Failover trên Router Mikrotik.