Pertimbangkan skenario berikut: Sebuah jembatan telah dikonfigurasi dengan opsi untuk pembongkaran perangkat kerasg diaktifkan untuk memaksimalkan kinerja jaringan pada perangkat RouterOS. Karena konfigurasi ini, perangkat berfungsi sebagai saklar dan bukan jembatan sederhana di tingkat perangkat lunak.
Hal ini meningkatkan kinerja dengan membiarkan chip switch menangani penerusan paket antar port, daripada meminta CPU perangkat melakukannya.
Di akhir artikel Anda akan menemukan sedikit uji itu akan memungkinkan Anda menilai pengetahuan yang diperoleh dalam bacaan ini
konfigurasi
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
Masalah
Ketika alat suka Sapu tangan o Obor Untuk menangkap paket di jaringan, terjadi anomali: hanya beberapa paket yang terlihat, umumnya paket yang disiarkan/multicast. Hal ini disebabkan oleh cara beralih chip menangani lalu lintas dalam konfigurasi dengan pembongkaran perangkat keras.
Pembelajaran MAC vs Tabel Host
El beralih chip memelihara tabel alamat MAC dan port terkait yang dikenal sebagai "tabel Host". Setiap kali sebuah paket perlu diteruskan, chip switch berkonsultasi dengan tabel ini untuk menentukan port mana yang harus digunakan untuk meneruskan paket tersebut. Jika alamat MAC tujuan tidak ditemukan dalam tabel, paket akan dibanjiri ke semua port, termasuk port CPU.
Oleh karena itu, jika alamat MAC tujuan sudah diketahui dan ada di tabel, maka chip switch dapat meneruskan paket secara langsung tanpa melalui CPU. Artinya paket tersebut tidak akan terlihat oleh alat sejenisnya Sapu tangan o Obor, yang menangkap paket di tingkat CPU.
Gejala
- Paket tidak terlihat di Sniffer atau Torch.
- Aturan pemfilteran mungkin tidak berfungsi seperti yang diharapkan.
Larutan
Untuk mengatasi permasalahan ini dapat digunakan aturan ACL (Daftar Kontrol Akses) untuk menyalin atau mengarahkan paket tertentu ke CPU. Misalnya, Anda dapat mengonfigurasi aturan yang mengirimkan salinan paket yang ditujukan untuk alamat MAC tertentu ke CPU untuk dianalisis.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Perlu dicatat bahwa mengirimkan paket ke CPU untuk diproses akan meningkatkan beban pada CPU, yang dapat mempengaruhi kinerja perangkat secara keseluruhan.
El pembongkaran perangkat keras Ini adalah teknik yang ampuh untuk meningkatkan kinerja jaringan, namun memiliki keterbatasan tertentu dalam hal visibilitas dan kontrol pada tingkat CPU. Untuk kasus penggunaan yang memerlukan analisis atau pemfilteran paket, konfigurasi tambahan seperti aturan ACL diperlukan untuk memastikan bahwa paket yang diperlukan diproses oleh CPU.
Pertimbangan tambahan
1. Prioritas Lalu Lintas:
Di jaringan yang lebih kompleks, Anda mungkin ingin menerapkan QoS (Quality of Service) untuk memprioritaskan jenis lalu lintas tertentu. Hal ini biasanya memerlukan paket untuk melewati CPU, yang dapat menimbulkan konflik dengan konfigurasi pembongkaran perangkat keras.
2. Keamanan:
Pembongkaran perangkat keras dapat membatasi kemampuan untuk menerapkan langkah-langkah keamanan yang lebih kuat, seperti Deep Packet Inspection (DPI), karena paket mungkin tidak melewati CPU.
3. Kapasitas CPU:
Penting untuk memperhitungkan kapasitas pemrosesan CPU saat mengarahkan lalu lintas ke sana. Terlalu banyak paket yang dikirim untuk diproses pada CPU dapat membebani CPU, sehingga menyebabkan penurunan kinerja sistem secara keseluruhan.
4. Kompatibilitas:
Tidak semua perangkat dan chip switch mendukung pembongkaran perangkat keras atau memiliki kemampuan yang sama. Pastikan perangkat keras Anda mendukung fitur yang ingin Anda gunakan.
5. Pembaruan Firmware/Perangkat Lunak:
Pastikan Anda menggunakan versi RouterOS yang mendukung semua fitur yang ingin Anda terapkan. Masalah dan batasan mungkin berbeda antar versi.
Solusi Lanjutan
Untuk skenario yang lebih kompleks, dimungkinkan untuk menggunakan API atau skrip untuk mengotomatiskan penambahan dan penghapusan aturan ACL berdasarkan peristiwa atau kondisi tertentu. Ini bisa sangat berguna dalam lingkungan dinamis di mana alamat MAC tujuan sering berubah.
ringkasan
Pembongkaran perangkat keras adalah teknik yang efektif untuk meningkatkan kinerja jaringan, namun memiliki tantangan tersendiri dalam hal kontrol dan diagnosis lalu lintas yang terperinci.
Alat seperti Sniffer atau Torch kurang efektif dalam konteks ini karena banyak paket diteruskan pada tingkat chip switch dan tidak pernah mencapai CPU.
Namun, dengan perencanaan yang matang dan penggunaan fitur seperti ACL, kinerja dengan kebutuhan diagnostik dan keamanan dapat diseimbangkan.
Kuis pengetahuan singkat
Apa pendapat Anda tentang artikel ini?
Apakah Anda berani mengevaluasi pengetahuan yang Anda pelajari?
Buku yang direkomendasikan untuk artikel ini
Buku Switching dan Bridging RouterOS v7
Materi pembelajaran Kursus Sertifikasi MTCSWE diperbarui ke RouterOS v7