Policy-Based Routing (PBR) – Điều Khiển Định Tuyến Theo Chính Sách


Trong các hệ thống định tuyến thông thường, router sẽ gửi gói tin dựa vào địa chỉ đích – đây là định tuyến dựa trên đích (destination-based routing). Nhưng trong nhiều trường hợp thực tế, ta cần điều khiển gói tin theo tiêu chí linh hoạt hơn như địa chỉ nguồn, chiều dài gói, lớp dịch vụ (ToS), v.v.

Đây là lúc PBR (Policy-Based Routing) phát huy sức mạnh!

Khái niệm tổng quát

• PBR cho phép ghi đè lên hành vi định tuyến mặc định của router.PBR được ưu tiên hơn so với định tuyến thông thường.

• Thay vì chỉ tra bảng định tuyến (RIB), router sẽ áp dụng chính sách tùy chỉnh cho các gói tin đầu vào tại cổng ingress.

• Cơ chế hoạt động của PBR dựa vào Route-map, gắn vào interface đầu vào bằng lệnh ip policy route-map.

Cấu trúc và nguyên tắc hoạt động của PBR


Route-map – Linh hồn của PBR

• Match: xác định điều kiện để áp dụng chính sách (theo ACL hoặc độ dài gói).

• Set: hành động sẽ thực hiện nếu match, ví dụ như đổi next-hop.

Các tiêu chí MATCH

• match ip address <ACL> – dùng ACL để lọc gói tin (Standard hoặc Extended).

• match length <MIN-BYTES> <MAX-BYTES> – lọc theo độ dài gói tin.

Các hành động SET

• set ip next-hop <ip> – định nghĩa next-hop cụ thể (không dùng default route).

• set ip default next-hop <ip> – chỉ dùng nếu không có default route trong bảng định tuyến.

• set interface <intf> – định nghĩa interface forwarding.

• set default interface <intf> – như trên nhưng fallback nếu default có sẵn.

Thay đổi trường ToS

• set ip precedence <value> – thiết lập giá trị IP Precedence (QoS).

• set ip tos <value> – thiết lập giá trị Type-of-Service bit.

Lệnh cấu hình


Gắn route-map vào interface


interface GigabitEthernet0/0
ip policy route-map PBR_POLICY

Gắn route-map cho các traffic phát sinh từ router


ip local policy route-map LOCAL_POLICY

Ví dụ thực hành cấu hình PBR


Mục tiêu:


Lưu lượng từ mạng 192.168.10.0/24 sẽ đi qua router kế tiếp là 10.0.0.2 (bỏ qua bảng định tuyến thông thường).

Cấu hình mẫu:


ip access-list standard MATCH_SOURCE permit 192.168.10.0 0.0.0.255 route-map PBR_POLICY permit 10 match ip address MATCH_SOURCE set ip next-hop 10.0.0.2 interface GigabitEthernet0/0 ip policy route-map PBR_POLICY

Kiểm tra và xác minh

• Kiểm tra route-map:

show route-map

• Kiểm tra ACL:

show access-lists MATCH_SOURCE

• Kiểm tra interface:

show ip interface GigabitEthernet0/0 | include policy

• Kiểm tra thống kê PBR:

debug ip policy

Một số lưu ý thực chiến

• Luôn kiểm tra xem next-hop có reachable không (tránh blackhole).

• Interface forwarding thường dùng trong point-to-point (như serial), không khuyến nghị cho Ethernet.

• Không nên áp dụng PBR quá rộng, tránh làm router quá tải xử lý chính sách.

• Khi sử dụng set ip default next-hop, PBR sẽ chỉ áp dụng nếu default route không có.

Tổng kết


PBR là công cụ cực kỳ mạnh trong tay kỹ sư mạng, giúp bạn:

• Định tuyến theo ứng dụng (application-aware routing)

• Phân loại traffic theo người dùng, subnet

• Hỗ trợ load balancing có điều kiện

• Tích hợp tốt trong các kiến trúc SD-WAN truyền thống

Nếu bạn từng gặp yêu cầu “route riêng lưu lượng từ nhóm VIP ra Internet qua đường riêng”, thì đó chính là bài toán lý tưởng để dùng PBR.

Bạn đã từng triển khai PBR cho mạng doanh nghiệp chưa? Hãy chia sẻ trải nghiệm và lưu ý khi áp dụng để cộng đồng cùng học hỏi!