Cyber-Deal
Switching und Bridging RouterOS v7 Buch
Lernmaterial für den MTCSWE-Zertifizierungskurs, aktualisiert auf RouterOS v7
$19,97
In den Einkaufswagen
Layer-2-Fehlkonfigurationen: Paketfluss mit Hardware-Offloading und MAC-Lernen
- Mauro Escalante
- Keine Kommentare
- Teile diesen Artikel
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Stellen Sie sich das folgende Szenario vor: Eine Bridge wurde mit der Option konfiguriert Hardware-Offloading aktiviert, um die Netzwerkleistung auf einem RouterOS-Gerät zu maximieren. Aufgrund dieser Konfiguration fungiert das Gerät auf Softwareebene als Schalter und nicht als einfache Brücke.
Dadurch wird die Leistung verbessert, da der Switch-Chip die Paketweiterleitung zwischen Ports übernehmen kann, anstatt dies der CPU des Geräts überlassen zu müssen.
Konfiguration
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
Problem
Wenn Werkzeuge mögen Schnüffler o Fackel Beim Erfassen von Paketen im Netzwerk wird eine Anomalie beobachtet: Es sind nur einige Pakete sichtbar, im Allgemeinen diejenigen, die Broadcast/Multicast sind. Dies liegt daran, wie die Schaltchip Verarbeitet den Datenverkehr in einer Konfiguration mit Hardware-Offloading.
MAC Learning vs. Host-Tabelle
El Schaltchip verwaltet eine Tabelle mit MAC-Adressen und zugehörigen Ports, die als „Host-Tabelle“ bezeichnet wird. Jedes Mal, wenn ein Paket weitergeleitet werden muss, konsultiert der Switch-Chip diese Tabelle, um zu bestimmen, welcher Port zum Weiterleiten des Pakets verwendet werden soll. Wenn die Ziel-MAC-Adresse nicht in der Tabelle gefunden wird, wird das Paket an alle Ports, einschließlich des CPU-Ports, geflutet.
Wenn die Ziel-MAC-Adresse bereits gelernt wurde und in der Tabelle enthalten ist, kann der Switch-Chip das Paket daher direkt weiterleiten, ohne die CPU zu durchlaufen. Dies bedeutet, dass das Paket für Tools wie z. B. nicht sichtbar ist Schnüffler o Fackel, die Pakete auf CPU-Ebene erfassen.
Symptome
- Pakete sind in Sniffer oder Torch nicht sichtbar.
- Filterregeln funktionieren möglicherweise nicht wie erwartet.
Lösung
Um dieses Problem zu lösen, ist es möglich, Regeln von zu verwenden ACL (Zugriffskontrollliste) um bestimmte Pakete an die CPU zu kopieren oder umzuleiten. Sie können beispielsweise eine Regel konfigurieren, die eine Kopie von Paketen, die für eine bestimmte MAC-Adresse bestimmt sind, zur Analyse an die CPU sendet.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Es ist zu beachten, dass das Senden von Paketen zur Verarbeitung an die CPU die Belastung der CPU erhöht, was sich auf die Gesamtleistung des Geräts auswirken kann.
El Hardware-Offloading Es handelt sich um eine leistungsstarke Technik zur Verbesserung der Netzwerkleistung, die jedoch mit gewissen Einschränkungen hinsichtlich der Sichtbarkeit und Kontrolle auf CPU-Ebene verbunden ist. Für Anwendungsfälle, die eine Paketanalyse oder -filterung erfordern, sind zusätzliche Konfigurationen wie ACL-Regeln erforderlich, um sicherzustellen, dass die erforderlichen Pakete von der CPU verarbeitet werden.
Weitere Überlegungen
1. Traffic-Priorisierung:
In komplexeren Netzwerken möchten Sie möglicherweise QoS (Quality of Service) implementieren, um bestimmte Arten von Datenverkehr zu priorisieren. Dies erfordert im Allgemeinen, dass Pakete die CPU passieren, was zu Konflikten mit einer Hardware-Offloading-Konfiguration führen kann.
2. Sicherheit:
Hardware-Offloading kann die Möglichkeit zur Implementierung stärkerer Sicherheitsmaßnahmen wie Deep Packet Inspection (DPI) einschränken, da Pakete möglicherweise nicht die CPU passieren.
3. CPU-Kapazität:
Es ist wichtig, die Verarbeitungskapazität der CPU zu berücksichtigen, wenn der Datenverkehr dorthin umgeleitet wird. Zu viele Pakete, die zur Verarbeitung an die CPU gesendet werden, können diese überlasten und zu einer Verschlechterung der Gesamtsystemleistung führen.
4. Kompatibilität:
Nicht alle Geräte und Switch-Chips unterstützen Hardware-Offloading oder verfügen über die gleichen Fähigkeiten. Stellen Sie sicher, dass Ihre Hardware die Funktionen unterstützt, die Sie verwenden möchten.
5. Firmware-/Software-Updates:
Stellen Sie sicher, dass Sie eine Version von RouterOS verwenden, die alle Funktionen unterstützt, die Sie implementieren möchten. Probleme und Einschränkungen können zwischen verschiedenen Versionen variieren.
Erweiterte Lösungen
Für komplexere Szenarien ist es möglich, APIs oder Skripte zu verwenden, um das Hinzufügen und Entfernen von ACL-Regeln basierend auf bestimmten Ereignissen oder Bedingungen zu automatisieren. Dies könnte besonders in dynamischen Umgebungen nützlich sein, in denen sich Ziel-MAC-Adressen häufig ändern können.
Zusammenfassung
Hardware-Offloading ist eine wirksame Technik zur Verbesserung der Netzwerkleistung, birgt jedoch ihre Herausforderungen, wenn es um detaillierte Verkehrskontrolle und -diagnose geht.
Tools wie Sniffer oder Torch sind in diesem Zusammenhang weniger effektiv, da viele Pakete auf Switch-Chip-Ebene weitergeleitet werden und nie die CPU erreichen.
Bei sorgfältiger Planung und der Verwendung von Funktionen wie ACL ist es jedoch möglich, die Leistung mit den Diagnose- und Sicherheitsanforderungen in Einklang zu bringen.
Kurzes Wissensquiz
Was halten Sie von diesem Artikel?
Trauen Sie sich, Ihr erlerntes Wissen zu bewerten?
Empfohlenes Buch für diesen Artikel
In Verbindung stehende Artikel
In Verbindung stehende Artikel
Mikrolabore
(ML-001) So verwalten Sie mehrere öffentliche oder private IPs auf dem Edge-Router ordnungsgemäß
$8,99
(ML-002) Möglichkeiten, Clients mit MikroTik öffentliche IP-Adressen zuzuweisen
$9,99
(ML-003) Leitfaden zur Konfiguration von Internet-Exit-Routen mit zwei oder mehr Anbietern (Failover und Rekursion beim PCC-Balancing)
$8,99
(ML-004) Filtern Sie Implementierungsstrategien, um den Zugriff auf Webseiten mit MikroTik einzuschränken
$7,99
Weitere Themen, die Sie interessieren könnten
Möchten Sie ein Thema vorschlagen?
Jede Woche veröffentlichen wir neue Inhalte. Möchten Sie, dass wir über etwas Bestimmtes sprechen?
