2. slāņa nepareizas konfigurācijas: pakešu plūsma ar aparatūras izkraušanu un MAC apmācību

Mauro Eskalante
31. gada 2023. oktobris
11: 00 am
Komentāru nav

Apsveriet šādu situāciju: Tilts ir konfigurēts ar iespēju aparatūras izlādēšanag iespējots, lai maksimāli palielinātu tīkla veiktspēju RouterOS ierīcē. Pateicoties šai konfigurācijai, ierīce programmatūras līmenī darbojas kā slēdzis, nevis vienkāršs tilts.

Tas uzlabo veiktspēju, ļaujot slēdža mikroshēmai apstrādāt pakešu pārsūtīšanu starp portiem, nevis ierīces centrālajam procesoram.

Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas

Dodieties uz Test

konfigurācija

				
					/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes

problēma

Kad instrumenti patīk Snifferis o Lāpa Lai uztvertu paketes tīklā, tiek novērota anomālija: ir redzamas tikai dažas paketes, parasti tās, kuras tiek pārraidītas/multiraides. Tas ir saistīts ar to, kā slēdža mikroshēma apstrādā trafiku konfigurācijā ar aparatūras izkraušana.

MAC mācīšanās vs resursdatora tabula

El slēdža mikroshēma uztur MAC adrešu un saistīto portu tabulu, kas pazīstama kā “resursdatora tabula”. Katru reizi, kad pakete ir jāpārsūta, slēdža mikroshēma aplūko šo tabulu, lai noteiktu, kurš ports jāizmanto paketes pārsūtīšanai. Ja mērķa MAC adrese tabulā nav atrasta, pakete tiek pārpludināta uz visiem portiem, ieskaitot CPU portu.

Tāpēc, ja mērķa MAC adrese jau ir apgūta un atrodas tabulā, slēdža mikroshēma var pārsūtīt paketi tieši, neizejot cauri centrālajam procesoram. Tas nozīmē, ka minētā pakotne nebūs redzama tādiem rīkiem kā Snifferis o Lāpa, kas uztver paketes CPU līmenī.

Simptomi

Iepakojumi nav redzami Sniffer vai Torch.
Filtrēšanas kārtulas var nedarboties, kā paredzēts.

Šķīdums

Lai atrisinātu šo problēmu, ir iespējams izmantot noteikumus ACL (piekļuves kontroles saraksts) lai kopētu vai novirzītu noteiktas paketes uz centrālo procesoru. Piemēram, varat konfigurēt noteikumu, kas nosūta CPU analīzei to pakešu kopijas, kas paredzētas noteiktai MAC adresei.

				
					/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF 
ports=ether1 switch=switch1

Jāpiebilst, ka pakešu nosūtīšana uz centrālo procesoru apstrādei palielinās CPU slodzi, kas var ietekmēt kopējo ierīces veiktspēju.

El aparatūras izkraušana Tas ir spēcīgs paņēmiens tīkla veiktspējas uzlabošanai, taču tam ir noteikti ierobežojumi attiecībā uz redzamību un kontroli CPU līmenī. Lietošanas gadījumos, kad nepieciešama pakešu analīze vai filtrēšana, ir nepieciešama papildu konfigurācija, piemēram, ACL noteikumi, lai nodrošinātu, ka CPU apstrādā nepieciešamās paketes.

Papildu apsvērumi

1. Satiksmes prioritāšu noteikšana:

Sarežģītākos tīklos, iespējams, vēlēsities ieviest pakalpojumu QoS (Quality of Service), lai noteiktu prioritāti noteiktu trafika veidiem. Tas parasti prasa, lai paketes iziet cauri centrālajam procesoram, kas var būt pretrunā ar aparatūras izkraušanas konfigurāciju.

2. Drošība:

Aparatūras izkraušana var ierobežot iespēju ieviest stingrākus drošības pasākumus, piemēram, dziļo pakešu pārbaudi (DPI), jo paketes var neiziet cauri centrālajam procesoram.

3. CPU ietilpība:

Pārvirzot datplūsmu uz to, ir svarīgi ņemt vērā CPU apstrādes jaudu. Pārāk daudz pakešu, kas nosūtītas apstrādei CPU, var to pārslogot, izraisot sistēmas vispārējās veiktspējas samazināšanos.

4. Saderība:

Ne visas ierīces un slēdžu mikroshēmas atbalsta aparatūras izkraušanu vai tām ir vienādas iespējas. Pārliecinieties, vai jūsu aparatūra atbalsta funkcijas, kuras vēlaties izmantot.

5. Programmaparatūras/programmatūras atjauninājumi:

Pārliecinieties, vai izmantojat RouterOS versiju, kas atbalsta visas funkcijas, kuras vēlaties ieviest. Problēmas un ierobežojumi dažādās versijās var atšķirties.

Uzlaboti risinājumi

Sarežģītākos scenārijos ir iespējams izmantot API vai skriptus, lai automatizētu ACL kārtulu pievienošanu un noņemšanu, pamatojoties uz noteiktiem notikumiem vai nosacījumiem. Tas varētu būt īpaši noderīgi dinamiskā vidē, kur galamērķa MAC adreses var bieži mainīties.

Kopsavilkums

Aparatūras izkraušana ir efektīvs paņēmiens tīkla veiktspējas uzlabošanai, taču tai ir problēmas, kad runa ir par detalizētu satiksmes kontroli un diagnostiku.

Rīki, piemēram, Sniffer vai Torch, šajā kontekstā ir mazāk efektīvi, jo daudzas paketes tiek pārsūtītas slēdža mikroshēmas līmenī un nekad nesasniedz centrālo procesoru.

Tomēr, rūpīgi plānojot un izmantojot tādas funkcijas kā ACL, ir iespējams līdzsvarot veiktspēju ar diagnostikas un drošības vajadzībām.