cyber deal
Llibre Switching i Brindging RouterOS v7
Material d'estudi per al Curs de Certificació MTCSWE actualitzat a RouterOS v7
$19,97
Afegeix a la cistella
Males configuracions a Capa 2: Flux de paquets amb Hardware Offloading i aprenentatge de MAC
- Mauro Escalant
- Cap comentari
- Comparteix aquest article
Facebook
Twitter
LinkedIn
WhatsApp
telegram
Considereu el següent escenari: S'ha configurat un bridge amb l'opció de maquinari offloading habilitada per maximitzar el rendiment de la xarxa en un dispositiu amb RouterOS. A causa d'aquesta configuració, el dispositiu funciona com un switch en lloc d'un simple pont a nivell de programari.
Això millora el rendiment en permetre que el xip del switch manegi el reenviament de paquets entre ports, en lloc de fer que la CPU del dispositiu ho faci.
Configuració
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
problema
Quan s'activen eines com Sniffer o Torxa per capturar paquets a la xarxa, s'observa una anomalia: només alguns paquets són visibles, generalment aquells que són de broadcast/multicast. Això és degut a com el xip del switch maneja el trànsit en una configuració amb maquinari offloading.
MAC Learning i Host Table
El xip del switch manté una taula d'adreces MAC i ports associats coneguda com a “Host table”. Cada vegada que un paquet necessita ser reenviat, el xip del switch consulta aquesta taula per determinar quin port ha de ser utilitzat per reenviar el paquet. Si no trobeu l'adreça MAC destinació a la taula, el paquet s'inunda cap a tots els ports, inclòs el port de la CPU.
Per tant, si l'adreça MAC de destinació ja s'ha après i és a la taula, el xip del switch pot reenviar el paquet directament sense passar per la CPU. Això significa que aquest paquet no serà visible per a eines com Sniffer o Torxa, que capturen paquets a nivell de CPU.
Símptomes
- Paquets no visibles a Sniffer o Torch.
- Les regles de filtratge poden no funcionar com s'esperava.
Solució
Per solucionar aquest problema, és possible utilitzar regles de ACL (Access Control List) per copiar o redirigir certs paquets cap a la CPU. Per exemple, podeu configurar una regla que enviï una còpia dels paquets destinats a una adreça MAC específica a la CPU per a la seva anàlisi.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Cal tenir en compte que enviar paquets a la CPU per al seu processament augmentarà la càrrega de la CPU, cosa que podria afectar el rendiment general del dispositiu.
El maquinari offloading és una tècnica poderosa per millorar el rendiment de la xarxa, però ve amb certes limitacions en termes de visibilitat i control a nivell de CPU. Per a casos d'ús que requereixin anàlisi de paquets o filtratge, cal realitzar configuracions addicionals com les regles d'ACL per assegurar-se que els paquets necessaris siguin processats per la CPU.
Consideracions Addicionals
1. Priorització de Trànsit:
A les xarxes més complexes, podries voler implementar QoS (Quality of Service) per prioritzar certs tipus de trànsit. Això generalment requereix que els paquets passin per la CPU, cosa que podria entrar en conflicte amb una configuració de maquinari offloading.
2. seguretat:
El maquinari offloading pot limitar la capacitat dimplementar mesures de seguretat més estrictes, com lanàlisi profund de paquets (DPI, Deep Packet Inspection), ja que els paquets podrien no passar per la CPU.
3. Capacitat de la CPU:
És fonamental tenir en compte la capacitat de processament de la CPU en redirigir trànsit a ella. Massa paquets enviats per a processament a la CPU poden saturar-la, portant a una disminució del rendiment general del sistema.
4. Compatibilitat:
No tots els dispositius i xips de switch suporten maquinari offloading o tenen les mateixes capacitats. Assegureu-vos que el maquinari sigui compatible amb les característiques que voleu utilitzar.
5. Actualitzacions de Firmware/Software:
Assegureu-vos que utilitzeu una versió de RouterOS que sigui compatible amb totes les característiques que voleu implementar. Els problemes i les limitacions poden variar entre diferents versions.
Solucions Avançades
Per a escenaris més complexos, és possible utilitzar API o scripts per automatitzar l'addició i l'eliminació de regles d'ACL en funció de certs esdeveniments o condicions. Això podria ser especialment útil en entorns dinàmics on les adreces MAC de destinació poden canviar sovint.
Resum
El maquinari offloading és una tècnica eficaç per millorar el rendiment duna xarxa, però té els seus desafiaments quan es tracta de diagnòstic i control detallat del trànsit.
Les eines com Sniffer o Torch són menys efectives en aquest context perquè molts paquets es reenvien a nivell de xip de switch i mai no arriben a la CPU.
Tot i això, amb una planificació acurada i l'ús de característiques com ACL, és possible equilibrar el rendiment amb les necessitats de diagnòstic i seguretat.
Breu qüestionari de coneixements
Què et va semblar aquest article?
T'atreveixes a avaluar els teus coneixements apresos?
Llibre recomanat per a aquest article
articles Relacionats
articles Relacionats
MikroLABs
(ML-001) Com gestionar adequadament diverses IPs públiques o privades al router de vora
$8,99
(ML-002) Formes d'assignar adreces IP públiques als clients amb MikroTik
$9,99
(ML-003) Guia per configurar les rutes de sortida a internet amb dos o més proveïdors (failover i recursivitat en balanceig PCC)
$8,99
(ML-004) Estratègies dimplementació de filtres per restringir laccés a pàgines web amb MikroTik
$7,99
Altres temes que et poden interessar
Formes d'Assignar Direccionament IPv6 (Part 2)
març 25, 2024
Formes d'Assignar Direccionament IPv6 (Part 1)
març 11, 2024
Voleu suggerir un tema?
Totes les setmanes postejem nou contingut. Vols que tractem sobre alguna cosa específica?
