التكوينات الخاطئة للطبقة الثانية: تدفق الحزم مع تفريغ الأجهزة وتعلم MAC

ماورو إيسكالانتي
أكتوبر 31، 2023
11: 00 صباحا
لا يوجد تعليقات

خذ بعين الاعتبار السيناريو التالي: تم تكوين جسر مع خيار تفريغ الأجهزةتم تمكين g لتعظيم أداء الشبكة على جهاز RouterOS. ونتيجة لهذا التكوين، يعمل الجهاز كمحول بدلاً من كونه جسرًا بسيطًا على مستوى البرنامج.

يؤدي ذلك إلى تحسين الأداء من خلال السماح لشريحة التبديل بمعالجة إعادة توجيه الحزم بين المنافذ، بدلاً من جعل وحدة المعالجة المركزية (CPU) بالجهاز تقوم بذلك.

في نهاية المقال ستجد صغيرا تجربه بالعربي سيسمح لك تقييم المعرفة المكتسبة في هذه القراءة

اذهب إلى الاختبار

ترتيب

				
					/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes

مشكلة

عندما تحب الأدوات الشم o شعلة لالتقاط الحزم على الشبكة، لوحظ وجود حالة شاذة: بعض الحزم فقط تكون مرئية، وبشكل عام تلك التي يتم بثها/بثها المتعدد. ويرجع ذلك إلى كيفية رقاقة التبديل يتعامل مع حركة المرور في التكوين مع تفريغ الأجهزة.

تعلم MAC مقابل جدول المضيف

El رقاقة التبديل يحتفظ بجدول عناوين MAC والمنافذ المرتبطة بها المعروفة باسم "جدول المضيف". في كل مرة يلزم فيها إعادة توجيه حزمة ما، ترجع شريحة التبديل إلى هذا الجدول لتحديد المنفذ الذي يجب استخدامه لإعادة توجيه الحزمة. إذا لم يتم العثور على عنوان MAC الوجهة في الجدول، فسيتم إرسال الحزمة إلى جميع المنافذ، بما في ذلك منفذ وحدة المعالجة المركزية (CPU).

لذلك، إذا تم بالفعل التعرف على عنوان MAC الوجهة وهو موجود في الجدول، فيمكن لشريحة التبديل إعادة توجيه الحزمة مباشرة دون المرور عبر وحدة المعالجة المركزية. هذا يعني أن الحزمة المذكورة لن تكون مرئية لأدوات مثل الشم o شعلة، والتي تلتقط الحزم على مستوى وحدة المعالجة المركزية.

الأعراض

الحزم غير مرئية في Sniffer أو Torch.
قد لا تعمل قواعد التصفية كما هو متوقع.

حل

لحل هذه المشكلة، من الممكن استخدام قواعد ACL (قائمة التحكم في الوصول) لنسخ أو إعادة توجيه حزم معينة إلى وحدة المعالجة المركزية. على سبيل المثال، يمكنك تكوين قاعدة ترسل نسخة من الحزم الموجهة لعنوان MAC محدد إلى وحدة المعالجة المركزية لتحليلها.

				
					/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF 
ports=ether1 switch=switch1

تجدر الإشارة إلى أن إرسال الحزم إلى وحدة المعالجة المركزية للمعالجة سيؤدي إلى زيادة الحمل على وحدة المعالجة المركزية، مما قد يؤثر على الأداء العام للجهاز.

El تفريغ الأجهزة إنها تقنية قوية لتحسين أداء الشبكة، ولكنها تأتي مع بعض القيود من حيث الرؤية والتحكم على مستوى وحدة المعالجة المركزية. بالنسبة لحالات الاستخدام التي تتطلب تحليل الحزم أو تصفيتها، يلزم تكوين إضافي مثل قواعد ACL لضمان معالجة الحزم الضرورية بواسطة وحدة المعالجة المركزية (CPU).

اعتبارات إضافية

1. تحديد أولويات حركة المرور:

في الشبكات الأكثر تعقيدًا، قد ترغب في تنفيذ QoS (جودة الخدمة) لتحديد أولويات أنواع معينة من حركة المرور. يتطلب هذا عمومًا مرور الحزم عبر وحدة المعالجة المركزية (CPU)، مما قد يتعارض مع تكوين تفريغ الأجهزة.

2. الأمن:

يمكن أن يحد تفريغ الأجهزة من القدرة على تنفيذ إجراءات أمان أقوى، مثل فحص الحزم العميق (DPI)، لأن الحزم قد لا تمر عبر وحدة المعالجة المركزية.

3. سعة وحدة المعالجة المركزية:

من الضروري مراعاة قدرة المعالجة لوحدة المعالجة المركزية عند إعادة توجيه حركة المرور إليها. يمكن لعدد كبير جدًا من الحزم المرسلة للمعالجة على وحدة المعالجة المركزية أن تطغى عليها، مما يؤدي إلى انخفاض في الأداء العام للنظام.

4. التوافق:

لا تدعم كافة الأجهزة وشرائح التبديل تفريغ الأجهزة أو تتمتع بنفس الإمكانيات. تأكد من أن جهازك يدعم الميزات التي تريد استخدامها.

5. تحديثات البرامج الثابتة/البرامج:

تأكد من أنك تستخدم إصدارًا من RouterOS يدعم جميع الميزات التي تريد تنفيذها. قد تختلف المشكلات والقيود بين الإصدارات المختلفة.

حلول متقدمة

بالنسبة للسيناريوهات الأكثر تعقيدًا، من الممكن استخدام واجهات برمجة التطبيقات أو البرامج النصية لأتمتة إضافة قواعد ACL وإزالتها بناءً على أحداث أو شروط معينة. قد يكون هذا مفيدًا بشكل خاص في البيئات الديناميكية حيث قد تتغير عناوين MAC الوجهة بشكل متكرر.

ملخص

يعد تفريغ الأجهزة أسلوبًا فعالاً لتحسين أداء الشبكة، ولكنه يواجه تحدياته عندما يتعلق الأمر بالتحكم التفصيلي في حركة المرور وتشخيصها.

تعتبر الأدوات مثل Sniffer أو Torch أقل فعالية في هذا السياق لأنه يتم إعادة توجيه العديد من الحزم على مستوى شريحة التبديل ولا تصل أبدًا إلى وحدة المعالجة المركزية.

ومع ذلك، من خلال التخطيط الدقيق واستخدام ميزات مثل ACL، من الممكن تحقيق التوازن بين الأداء واحتياجات التشخيص والأمان.