Tweet
1️⃣ PBR là gì?
Thông thường, khi một gói tin đi qua router hoặc switch Layer 3, thiết bị sẽ dựa vào bảng định tuyến (routing table) để quyết định nó đi ra cổng nào.
Tức là: “đường nào ngắn nhất thì đi.”
👉 Tuy nhiên, đôi khi ta lại không muốn theo đường mặc định đó.
Ví dụ:
- Mạng nội bộ có 2 đường Internet (ISP1 và ISP2).
- Bạn muốn phòng kế toán đi ISP1, còn phòng kỹ thuật đi ISP2.
- Hoặc bạn muốn một server đi ra bằng firewall A, còn các máy khác đi firewall B.
Khi đó, Policy-Based Routing (PBR) chính là công cụ giúp ta điều khiển đường đi dựa trên chính sách (policy), thay vì chỉ dựa trên bảng định tuyến.
2️⃣ Cách PBR hoạt động (hiểu đơn giản)
Bình thường router xem destination IP (địa chỉ đích) để chọn đường.
Còn với PBR, router có thể xem thêm ai gửi (source IP), ứng dụng gì (port, protocol)…
và ra quyết định khác.
Cụ thể:
- Gói tin đến router.
- Router kiểm tra xem gói này có khớp chính sách PBR nào không.
- Nếu có, router bỏ qua bảng định tuyến thông thường và ép gói tin đi theo “đường riêng” mà ta chỉ định (next-hop, interface, v.v.).
3️⃣ Ví dụ minh họa dễ hiểu
Mô hình:
- Tất cả máy trong VLAN 2 chỉ đi ra qua Firewall 1 (192.168.5.1).
- VLAN 3 thì đi qua Firewall 2.
4️⃣ Cấu hình ví dụ (Cisco IOS)
Bước 1: Tạo ACL để chọn nguồn (source)
ip access-list standard VLAN2 permit 192.168.2.0 0.0.0.255
Bước 2: Tạo route-map cho VLAN 2
route-map VLAN2-TO-FW1 permit 10
match ip address VLAN2
set next-hop 192.168.5.1
Nghĩa là: nếu gói tin đến từ mạng 192.168.2.0/24 → ép nó đi qua next-hop 192.168.5.1
Bước 3: Gán route-map vào interface VLAN 2
interface vlan 2
ip policy route-map VLAN2-TO-FW1
Tương tự, nếu VLAN 3 đi firewall 2:
ip access-list standard VLAN3
permit 192.168.3.0 0.0.0.255
route-map VLAN3-TO-FW2 permit 10
match ip address VLAN3
set next-hop 192.168.5.3
interface vlan 3
ip policy route-map VLAN3-TO-FW2
5️⃣ Kiểm tra hoạt động
Dùng lệnh:
show route-map
show ip policy
show ip access-list
Hoặc đơn giản hơn, ping/tracert từ các máy trong VLAN 2, VLAN 3 để xem chúng đi ra ISP nào.
6️⃣ Ưu điểm của PBR
✅ Linh hoạt hơn static route.
✅ Dễ kiểm soát lưu lượng theo nhóm người dùng hoặc ứng dụng.
✅ Hữu ích khi có nhiều đường ra Internet hoặc nhiều firewall.
✅ Có thể dùng để chia tải (load balancing) hoặc chia theo dịch vụ (service-based routing).
7️⃣ Một vài lưu ý
⚠️ PBR được xử lý trước khi tra bảng định tuyến, nên nếu cấu hình sai, gói tin có thể bị “đi lạc” hoặc “mất đường”.
⚠️ Khi dùng PBR, phải đảm bảo next-hop reachable (có đường đến IP đó).
⚠️ Không nên lạm dụng PBR trong hệ thống lớn vì dễ phức tạp và khó bảo trì — chỉ nên dùng cho nhóm hoặc mục tiêu cụ thể.
8️⃣ Tổng kết
| PBR là gì | Điều hướng gói tin dựa theo chính sách, không theo route thông thường |
| Dùng khi nào | Khi có nhiều đường ra hoặc muốn chia hướng lưu lượng đặc biệt |
| Thực hiện bằng | ACL + Route-map + Policy gán vào interface |
| Thiết bị hỗ trợ | Cisco, Huawei, Mikrotik, Fortigate (dưới dạng policy route) |
🔚 Kết luận
Policy-Based Routing là một công cụ cực kỳ mạnh mẽ trong tay người quản trị mạng.
Nó cho phép bạn toàn quyền điều khiển hướng đi của dữ liệu, giúp tối ưu băng thông, chia tải, hoặc đáp ứng yêu cầu đặc biệt của từng bộ phận.
Nếu bạn đang có hệ thống nhiều firewall, nhiều ISP, thì PBR chính là “vũ khí” bạn nên học và thử nghiệm ngay hôm nay! 🚀