Bỏ qua nội dung
Blog

MikroTik hEX với Quản Lý Đám Mây MKController

Tóm tắt
Tìm hiểu cách MikroTik hEX (RB750Gr3) phù hợp với mạng SOHO và SMB, những giới hạn thực tế và cách quản lý đám mây của MKController giúp bạn triển khai, bảo mật và vận hành các bộ định tuyến này an toàn, ít thao tác thủ công.

MikroTik hEX với Quản Lý Đám Mây MKController

Topology with MikroTik hEX routers managed centrally by MKController cloud

Giới thiệu MikroTik hEX RB750Gr3

MikroTik hEX (RB750Gr3) là bộ định tuyến Gigabit Ethernet 5 cổng nhỏ gọn với CPU dual-core 880 MHz, RAM 256 MB và làm mát thụ động không tiếng ồn. Thiết bị chạy đầy đủ các tính năng RouterOS, gồm định tuyến nâng cao, tường lửa, VPN, QoS và cả một phiên bản nhỏ của Dude Server để giám sát cơ bản.

Bạn có 5 cổng Ethernet 10/100/1000 Mbps, cổng USB 2.0 và khe microSD để lưu trữ và ghi nhật ký bổ sung. Công suất tiêu thụ chỉ vài watt và có thể cấp nguồn qua adapter DC tiêu chuẩn hoặc PoE thụ động trên Ether1, rất tiện cho các bố trí chật hẹp hoặc ở xa.

Khác với dòng hAP, hEX không tích hợp Wi-Fi. Nó là bộ định tuyến hoặc firewall có dây tại biên, thường kết hợp với các điểm truy cập riêng biệt. Bên trong, chip switch tích hợp cho phép chuyển mạch tốc độ dây giữa các cổng khi dùng bridge, trong khi định tuyến và xử lý nặng phụ thuộc CPU.

Lưu ý: Tính linh hoạt này mạnh mẽ nhưng nghĩa là cấu hình không dễ cho người mới. RouterOS có nhiều tùy chỉnh, nên cần kỹ thuật viên hoặc người dùng nâng cao xử lý chứ không phải kiểu cắm là chạy.

Để biết chi tiết phần cứng, bạn có thể xem trang chính thức MikroTik hEX.

Hiệu năng trong mạng thực tế

Trong các trường hợp định tuyến đơn giản và NAT, hEX có thể đạt gần băng thông Gigabit trên một cặp cổng khi dùng FastPath và FastTrack cho các luồng đã được tạo sẵn. Trong điều kiện tối ưu, thử nghiệm với các gói dữ liệu lớn cho thấy thông lượng trên 900 Mbps với nhiều dư địa CPU cho các lưu lượng SOHO và SMB thông thường.

Khi tăng tải xử lý trên mỗi gói, hiệu suất giảm. Thêm hàng chục quy tắc tường lửa, hàng đợi phức tạp hoặc chính sách QoS nâng cao sẽ nhanh chóng làm giảm giới hạn tốc độ tối đa. Với nhiều quy tắc lọc, hiệu suất gói nhỏ 64 byte sụt giảm nghiêm trọng, điều này là dễ hiểu vì CPU nhỏ phải xử lý từng gói qua đường chậm.

Tin vui là với bộ quy tắc cân đối và dùng FastTrack cho lưu lượng tin cậy, hEX đủ sức xử lý các liên kết băng thông rộng phổ biến (100–500 Mbps) và nhiều kết nối Gigabit cho công việc văn phòng, VoIP và truy cập từ xa.

Về VPN, phần cứng hỗ trợ IPsec giúp RB750Gr3 xử lý các tunnel mã hóa rất tốt trong tầm giá. Với AES-128 và gói lớn, bạn có thể đạt vài trăm Mbps băng thông mã hóa, đủ cho các văn phòng chi nhánh, cửa hàng bán lẻ và người dùng từ xa khi đường WAN không phải Gigabit.

Rủi ro bảo mật không thể bỏ qua

RouterOS mạnh và linh hoạt, nhưng cũng từng có nhiều lỗ hổng và lỗi cấu hình. Trước đây thiết bị thường có tài khoản admin mặc định và mở dịch vụ quản lý, dễ bị tấn công nếu không cập nhật firmware hoặc để mở cổng WinBox hay WebFig.

Ngày nay, RouterOS yêu cầu tạo mật khẩu ở lần khởi động đầu tiên và mặc định tường lửa an toàn hơn. Tuy nhiên, nguy cơ vẫn là firmware cũ, mật khẩu yếu và các giao diện quản lý mở trên WAN.

Giữ an toàn cho hEX gồm các bước sau:

  1. Luôn duy trì RouterOS phiên bản ổn định hoặc dài hạn, đồng thời theo dõi cảnh báo bảo mật MikroTik.
  2. Đóng WinBox, WebFig và API trên cổng WAN; ưu tiên SSH qua VPN hoặc cloud controller để truy cập.
  3. Dùng mật khẩu mạnh, duy nhất hoặc khóa SSH, bật xác thực hai yếu tố nếu có thể.
  4. Ghi lại hoạt động bất thường và gửi nhật ký đến hệ thống trung tâm để phát hiện nhanh các cố gắng tấn công hoặc hành vi khác thường.

Cảnh báo: Router biên bị chiếm quyền không chỉ là “thêm một thiết bị.” Nó có thể trở thành cửa ngõ xâm nhập LAN, thành phần botnet hoặc máy chủ trung gian bí mật cho lưu lượng người dùng.

Tại sao nên thêm bộ điều khiển đám mây như MKController

Quản lý một hEX trên bàn dễ dàng. Nhưng quản lý hàng chục thiết bị rải rác tại nhiều khách hàng, chi nhánh và văn phòng làm việc tại nhà thì khác hẳn. Đó là lúc bộ điều khiển đám mây như MKController phát huy.

Thay vì mở cổng WinBox hay WebFig trên Internet, mỗi hEX thiết lập tunnel mã hóa đầu ra tới MKController. Từ đó, bạn mở phiên WinBox hoặc WebFig qua trình duyệt, theo dõi trạng thái, biết khi thiết bị offline và lấy bản sao cấu hình tự động mà không cần chỉnh port forwarding hay IP công cộng.

MKController hỗ trợ: MKController giữ cho đội MikroTik của bạn kết nối bằng tunnel an toàn, tập trung giám sát và tự động sao lưu. Từ đó giảm các cổng mở rủi ro, giảm đăng nhập thủ công và tăng tốc triển khai thay đổi trên nhiều bộ định tuyến nhỏ.

Một quy trình điển hình như sau:

  1. Triển khai hEX với mẫu cấu hình cơ bản an toàn: RouterOS cập nhật, tường lửa khóa chặt, VPN hoặc tunnel MKController kích hoạt.
  2. Chạy script nhận dạng MKController trên router để thiết bị gọi ra và đăng ký với đám mây.
  3. Dùng giao diện MKController để mở WebFig hoặc WinBox, theo dõi CPU, bộ nhớ, các cổng và nhận cảnh báo khi thiết bị offline hoặc vượt ngưỡng.
  4. MKController lấy định kỳ bản sao cấu hình và sao lưu để dễ dàng phục hồi hoặc nhân bản cài đặt cho thiết bị dự phòng.

Đưa việc truy cập và giám sát hàng ngày vào controller giúp giảm nhu cầu IP tĩnh, DNS động hay VPN riêng cho từng site chỉ để quản lý thiết bị.

Khi nào hEX là lựa chọn phù hợp (và khi nào không)

RB750Gr3 rất phù hợp với các trường hợp:

  • Văn phòng nhỏ và tại nhà cần bộ định tuyến có dây tin cậy, kết hợp điểm truy cập Wi-Fi riêng.
  • Chi nhánh và cửa hàng cần kết nối VPN an toàn về mạng trung tâm, với nhu cầu băng thông vừa phải.
  • Nhà cung cấp dịch vụ quản lý muốn phần cứng CPE giá thấp, có thể script và quản lý tập trung.
  • Phòng lab, khóa đào tạo và phòng lab gia đình để kỹ thuật viên thực hành tính năng RouterOS mà không cần phần cứng đắt tiền.

Tuy nhiên, có những tình huống nên chọn thiết bị lớn hơn:

  • Môi trường cần lưu lượng Gigabit liên tục với tường lửa nặng, nhiều VPN hoặc QoS phức tạp.
  • Mạng cần Wi-Fi tích hợp, uplink 10G hoặc tính năng bảo mật nâng cao như IDS hoặc lọc nội dung.
  • Vùng định tuyến lớn với bảng BGP đầy đủ hoặc cơ sở dữ liệu định tuyến động rất lớn, không phù hợp với RAM 256 MB.

Mẹo: Hãy xem hEX như dao quân dụng đa năng cho định tuyến biên. Nó tuyệt vời trong giới hạn nhưng không thay thế được firewall đầy đủ hay router trung tâm dữ liệu.

Với nhiều tổ chức, điểm cân bằng rõ ràng: dùng hEX cho định tuyến biên và VPN tiết kiệm tại những site nhỏ, rồi dùng MKController để quản lý toàn đội an toàn, đơn giản theo thời gian. Khi nhu cầu phát triển, bạn có thể chuyển sang các model MikroTik lớn hơn mà không đổi cách quản lý đám mây.

Về MKController

Hy vọng những chia sẻ trên giúp bạn hiểu rõ hơn về thế giới MikroTik và Internet của mình! 🚀
Dù bạn điều chỉnh cấu hình hay chỉ muốn mạng gọn gàng hơn, MKController luôn đồng hành làm bạn đơn giản công việc.

Với quản lý đám mây tập trung, cập nhật bảo mật tự động và bảng điều khiển dễ dùng, chúng tôi có giải pháp nâng cấp vận hành mạng hiệu quả.

👉 Bắt đầu dùng thử miễn phí 3 ngày ngay tại mkcontroller.com — và trải nghiệm cách quản lý mạng dễ dàng thực sự.