P.3, Q. Gò Vấp, HCM
Thứ hai đến thứ bảy
Cấu hình Fastrack trên RouterOS (RouterOS)
Kể từ phiên bản RouterOS v6.29 trở đi, Mikrotik đã phát hành rộng rãi tính năng Fastrack trên các thiết bị Mikrotik, đó là giải pháp để thay thế cho giảm tải CPU, cũng như cho phép các lưu lượng thoát khỏi bộ định tuyến một cách dễ dàng.
Fasttrack được gộp bởi 2 tính năng cơ bản trước đó, bao gồm Fastpath (Đường dẫn nhanh) và Connection Tracking (theo dõi kết nối). Cả 2 tính năng này có sẵn tại Menu IP – Settings và IP – Firewall và thẻ Connections.
Đối với IPv4, FastTrack được tự động sử dụng cho các kết nối đã đánh dấu kết hợp với hành động “fasttrack-connection” để đánh dấu các kết nối cho FastTrack. Hiện tại, chỉ các kết nối TCP và UDP mới có thể thực sự áp dụng cho FastTracked (mặc dù bất kỳ kết nối nào cũng có thể được đánh dấu cho FastTrack). FastTrack hỗ trợ NAT (SNAT, DNAT hoặc cả hai).
Lưu ý rằng không phải tất cả các gói trong một kết nối đều có thể là FastTracked, vì vậy chúng tôi có thể thấy một số gói đi qua các quy tắc xử lý trong tường lửa, mặc dù kết nối đó được đánh dấu FastTrack. Đây là lý do tại sao kết nối fasttrack thường được theo sau bởi quy tắc hành động = chấp nhận. Các gói FastTracked bỏ qua hoàn toàn các quy tắc đã thiết lập tường lửa, trình theo dõi kết nối, hàng đợi đơn giản, cây hàng đợi với parent=global…, vì vậy quản trị viên cần phải đảm bảo FastTrack không can thiệp vào cấu hình khác khi áp dụng;
Tóm lại, tính năng FastTrack là một quy tắc được tạo trong tường lửa Mikrotik giúp các gói tin từ các kết nối đã được biết bởi RouterOS có thể đi thẳng đến đích của chúng mà không cần thông qua các quy tắc được xác định trước khác nhau. Điều này giúp tường lửa không phải kiểm tra từng yêu cầu, giúp bộ xử lý có thêm không gian thở để xử lý các lưu lượng khác. Chỉnh vì điều này mà quy tắc FastTrack thực hiện sẽ giảm quá trình xử lý của CPU, cho phép các kết nối được đánh dấu tự động bằng hành động “ fasttrack-connection ” để có thể truyền thẳng ra internet mà không bị tường lửa phân tích. Do đó, chúng ta phải lưu ý điểm này vì khi làm như vậy, các kết nối này có thể được giải phóng khỏi một số quy tắc, chẳng hạn như kiểm soát băng thông, bộ lọc bảo mật hoặc bất kỳ tài nguyên nào khác được triển khai trong đó.
1. Yêu cầu để Fasttrack hoạt động
FastTrack hoạt động nếu đáp ứng các điều kiện sau:
[1] Không có cấu hình Mesh hoặc cấu hình trên giao diện metarouter;
[2] Trình sniffer, torch và traffic generator phải tắt;
[3] Công cụ /tool mac-scan không được hoạt động.
[4] Công cụ /tool ip-scan không được hoạt động.
[5] FastPath và Route cache phải được bật trong Menu IP – Settings.
Lưu ý: Không phải bất kỳ thiết bị nào cũng có giao diện để hỗ trợ fastpath. Để kiểm tra giao diện trên thiết bị có được hỗ trợ hay không, chúng ta có thể xem bằng Terminal bằng cách gõ lệnh ‘/interface print details’ hoặc xem danh sách các thiết bị có giao diện hỗ trợ fastpath bên dưới.
2. Nguyên tắc hoạt động của Fasttrack
Như đã trao đổi phía trên, Fastrack có thể gọi là sự kết hợp giữa Fastpath và Connection Tracking . Với fasttrack, nó có thể tăng tốc độ xử lý các gói đi qua bộ định tuyến bằng cách theo dõi kết nối đã đánh dấu trước đó. Các kết nối đã đánh dấu sẽ vượt qua CPU và chuyển thẳng đến các giao diện đích của gói tin. Và dĩ nhiên hiệu suất thậm chí có thể nhanh hơn gấp 5 lần so với theo dõi kết nối thông thường. Chúng tôi có thể tận dụng tính năng này trên menu IP – Firewall – Filter Rules , vì vậy chúng tôi có thể xác định lưu lượng truy cập nhất định nào sẽ sử dụng fasttrack.
Lưu ý: Với ý tưởng sử dụng Fasttrack, chúng tôi có thể sử dụng tính năng này để cung cấp kết nối ưu tiên cho một số người dùng nhất định. Ví dụ: đối với người dùng phổ thông, kết nối được tạo với thiết lập cài đặt giới hạn băng thông trong hàng đợi và cũng có thể truy cập thông qua các quy tắc trong bộ lọc bằng tường lửa. Và chúng tôi muốn kết nối Quản trị viên không cần xử lý bởi hàng đợi hoặc tường lửa. Vì vậy, đối với nhu cầu này, chúng ta có thể áp dụng fasttrack trở đi cho kết nối này.
Để kích hoạt fasttrack, chúng ta chỉ cần thêm một quy tắc vào tường lửa và fastrack sẽ tự động kích hoạt sau khi thêm quy tắc. Ví dụ: triển khai đơn giản của chúng tôi sẽ cho phép “đẩy” mọi lưu lượng đã theo dõi ra khỏi các giao diện ngay khi chúng được xử lý. Vì vậy, chúng tôi thêm một quy tắc như sau và đặt nó ở trên cùng.
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related
Sau đó, chúng ta có thể kiểm tra xem fasttrack có hoạt động hay không trong thẻ Filter Rules hoặc qua Menu /ip – settings . Ở phía dưới, bạn sẽ thấy tùy chọn ‘IPv4 Fasttrack Active’ có một dấu tích.
3. Áp dụng Fasttrack trong triển khai thực tế.
Như chúng tôi đã đề cập ở trên, chúng tôi sẽ cố gắng thực hiện một nghiên cứu điển hình bằng cách sử dụng tính năng fasttrack để triển khai tại một khối văn phòng. Lần này, chúng tôi sẽ cung cấp kết nối ưu tiên cho một số người dùng nhất định để có được kết nối mà không cần qua quy tắc quản lý băng thông hoặc quy tắc tường lửa.
Trong triển khai này, có một mạng có phân đoạn 10.40.0.1/22. Bên trong có một số máy khách và cả PC dành cho quản trị viên và cài đặt Hàng đợi đơn giản trên bộ định tuyến với quy tắc giới hạn băng thông 10M/10M cho tải lên và tải xuống. Đặc biệt đối với PC của quản trị viên (có IP Address 10.40.0.72) sẽ được ưu tiên kết nối với ‘full băng thông’ mà không bị ảnh hưởng bởi các quy tắc của hàng đợi đơn giản trước đó.
Bây giờ, bằng cách sử dụng tính năng fasttrack, chúng ta chỉ cần tạo một quy tắc trên tường lửa như sau.
/ip firewall filter
add action=fasttrack-connection chain=forward hw-offload=yes src-address=10.40.0.72
Sau đó, chúng tôi sẽ thực hiện kiểm tra băng thông (Tải lên và Tải xuống) bằng ứng dụng trực tuyến. Và khi thử nghiệm được thực hiện trên PC của quản trị viên, lượng băng thông thu được không bị giới hạn. Tuy nhiên, đối với các PC khách khác, băng thông bị hạn chế.
Chúc các bạn thành công.
Nguồn: Routerikvn