Εσφαλμένες διαμορφώσεις επιπέδου 2: Ροή πακέτων με εκφόρτωση υλικού και εκμάθηση MAC

Μάουρο Εσκαλάντε
Οκτώβριος 31, 2023
11: 00 π.μ.
Δεν υπάρχουν σχόλια

Εξετάστε το ακόλουθο σενάριο: Έχει διαμορφωθεί μια γέφυρα με την επιλογή να εκφόρτωση υλικούg ενεργοποιημένο για μεγιστοποίηση της απόδοσης του δικτύου σε μια συσκευή RouterOS. Λόγω αυτής της διαμόρφωσης, η συσκευή λειτουργεί ως διακόπτης αντί για απλή γέφυρα σε επίπεδο λογισμικού.

Αυτό βελτιώνει την απόδοση επιτρέποντας στο τσιπ μεταγωγής να χειρίζεται την προώθηση πακέτων μεταξύ των θυρών, αντί να το κάνει η CPU της συσκευής.

Στο τέλος του άρθρου θα βρείτε ένα μικρό δοκιμή που θα σας επιτρέψει αξιολογήσει τις γνώσεις που αποκτήθηκαν σε αυτή την ανάγνωση

Μεταβείτε στο Test

διαμόρφωση

				
					/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes

Πρόβλημα

Όταν τα εργαλεία όπως sniffer o Δάδα Για τη σύλληψη πακέτων στο δίκτυο, παρατηρείται μια ανωμαλία: μόνο ορισμένα πακέτα είναι ορατά, γενικά αυτά που μεταδίδονται/πολλαπλασιάζονται. Αυτό οφείλεται στο πώς το τσιπ διακόπτη χειρίζεται την κυκλοφορία σε μια διαμόρφωση με εκφόρτωση υλικού.

MAC Learning vs Host Table

El τσιπ διακόπτη διατηρεί έναν πίνακα με διευθύνσεις MAC και συσχετιζόμενες θύρες γνωστές ως "Πίνακας κεντρικού υπολογιστή". Κάθε φορά που χρειάζεται να προωθηθεί ένα πακέτο, το τσιπ μεταγωγέα συμβουλεύεται αυτόν τον πίνακα για να καθορίσει ποια θύρα θα χρησιμοποιηθεί για την προώθηση του πακέτου. Εάν η διεύθυνση MAC προορισμού δεν βρεθεί στον πίνακα, το πακέτο κατακλύζεται σε όλες τις θύρες, συμπεριλαμβανομένης της θύρας της CPU.

Επομένως, εάν η διεύθυνση MAC προορισμού έχει ήδη μάθει και βρίσκεται στον πίνακα, το τσιπ μεταγωγής μπορεί να προωθήσει το πακέτο απευθείας χωρίς να περάσει από την CPU. Αυτό σημαίνει ότι το εν λόγω πακέτο δεν θα είναι ορατό σε εργαλεία όπως sniffer o Δάδα, τα οποία καταγράφουν πακέτα σε επίπεδο CPU.

Συμπτώματα

Τα πακέτα δεν είναι ορατά στο Sniffer ή στο Torch.
Οι κανόνες φιλτραρίσματος ενδέχεται να μην λειτουργούν όπως αναμένεται.

Λύση

Για την επίλυση αυτού του προβλήματος, είναι δυνατή η χρήση κανόνων του ACL (Λίστα ελέγχου πρόσβασης) για να αντιγράψετε ή να ανακατευθύνετε ορισμένα πακέτα στην CPU. Για παράδειγμα, μπορείτε να διαμορφώσετε έναν κανόνα που στέλνει ένα αντίγραφο πακέτων που προορίζονται για μια συγκεκριμένη διεύθυνση MAC στην CPU για ανάλυση.

				
					/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF 
ports=ether1 switch=switch1

Θα πρέπει να σημειωθεί ότι η αποστολή πακέτων στην CPU για επεξεργασία θα αυξήσει το φορτίο στη CPU, κάτι που θα μπορούσε να επηρεάσει τη συνολική απόδοση της συσκευής.

El εκφόρτωση υλικού Είναι μια ισχυρή τεχνική για τη βελτίωση της απόδοσης του δικτύου, αλλά συνοδεύεται από ορισμένους περιορισμούς όσον αφορά την ορατότητα και τον έλεγχο σε επίπεδο CPU. Για περιπτώσεις χρήσης που απαιτούν ανάλυση ή φιλτράρισμα πακέτων, απαιτείται πρόσθετη διαμόρφωση, όπως κανόνες ACL, για να διασφαλιστεί ότι τα απαραίτητα πακέτα επεξεργάζονται από την CPU.

Πρόσθετες εκτιμήσεις

1. Προτεραιότητα κυκλοφορίας:

Σε πιο σύνθετα δίκτυα, μπορεί να θέλετε να εφαρμόσετε QoS (Quality of Service) για να δώσετε προτεραιότητα σε συγκεκριμένους τύπους κίνησης. Αυτό γενικά απαιτεί τα πακέτα να περνούν μέσω της CPU, κάτι που θα μπορούσε να έρχεται σε σύγκρουση με μια διαμόρφωση εκφόρτωσης υλικού.

2. Ασφάλεια:

Η εκφόρτωση υλικού μπορεί να περιορίσει τη δυνατότητα εφαρμογής ισχυρότερων μέτρων ασφαλείας, όπως η επιθεώρηση πακέτων σε βάθος (DPI), επειδή τα πακέτα ενδέχεται να μην περνούν μέσω της CPU.

3. Χωρητικότητα CPU:

Είναι σημαντικό να λαμβάνεται υπόψη η ικανότητα επεξεργασίας της CPU κατά την ανακατεύθυνση της κίνησης σε αυτήν. Πάρα πολλά πακέτα που αποστέλλονται για επεξεργασία στην CPU μπορεί να την κατακλύσουν, οδηγώντας σε μείωση της συνολικής απόδοσης του συστήματος.

4. Συμβατότητα:

Δεν υποστηρίζουν όλες οι συσκευές και τα τσιπ μεταγωγέων την εκφόρτωση υλικού ή δεν έχουν τις ίδιες δυνατότητες. Βεβαιωθείτε ότι το υλικό σας υποστηρίζει τις δυνατότητες που θέλετε να χρησιμοποιήσετε.

5. Ενημερώσεις υλικολογισμικού/λογισμικού:

Βεβαιωθείτε ότι χρησιμοποιείτε μια έκδοση του RouterOS που υποστηρίζει όλες τις δυνατότητες που θέλετε να εφαρμόσετε. Τα ζητήματα και οι περιορισμοί ενδέχεται να διαφέρουν μεταξύ διαφορετικών εκδόσεων.

Προηγμένες Λύσεις

Για πιο σύνθετα σενάρια, είναι δυνατή η χρήση API ή σεναρίων για την αυτοματοποίηση της προσθήκης και αφαίρεσης κανόνων ACL βάσει συγκεκριμένων συμβάντων ή συνθηκών. Αυτό θα μπορούσε να είναι ιδιαίτερα χρήσιμο σε δυναμικά περιβάλλοντα όπου οι διευθύνσεις MAC προορισμού ενδέχεται να αλλάζουν συχνά.

περίληψη

Η εκφόρτωση υλικού είναι μια αποτελεσματική τεχνική για τη βελτίωση της απόδοσης του δικτύου, αλλά έχει τις προκλήσεις της όσον αφορά τον λεπτομερή έλεγχο και τη διάγνωση της κυκλοφορίας.

Εργαλεία όπως το Sniffer ή το Torch είναι λιγότερο αποτελεσματικά σε αυτό το πλαίσιο, επειδή πολλά πακέτα προωθούνται στο επίπεδο του τσιπ μεταγωγέα και δεν φτάνουν ποτέ στην CPU.

Ωστόσο, με προσεκτικό σχεδιασμό και χρήση λειτουργιών όπως το ACL, είναι δυνατό να εξισορροπηθεί η απόδοση με τις ανάγκες διάγνωσης και ασφάλειας.