Beschouw het volgende scenario: Er is een brug geconfigureerd met de optie om hardware ontladeng ingeschakeld om de netwerkprestaties op een RouterOS-apparaat te maximaliseren. Door deze configuratie functioneert het apparaat als een schakelaar in plaats van een eenvoudige brug op softwareniveau.
Dit verbetert de prestaties doordat de switch-chip het doorsturen van pakketten tussen poorten kan afhandelen, in plaats van dat de CPU van het apparaat dit doet.
Aan het einde van het artikel vindt u een kleine proef dat zal je toestaan schatten de kennis die tijdens deze lezing is verworven
configuratie
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
het probleem
Wanneer hulpmiddelen zoals sniffer o Fakkel Bij het vastleggen van pakketten op het netwerk wordt een anomalie waargenomen: slechts enkele pakketten zijn zichtbaar, meestal pakketten die worden uitgezonden/multicast. Dit komt door de manier waarop de schakelchip verwerkt verkeer in een configuratie met hardware-offloading.
MAC Learning versus hosttabel
El schakelchip houdt een tabel bij met MAC-adressen en bijbehorende poorten, bekend als de "Host-tabel". Elke keer dat een pakket moet worden doorgestuurd, raadpleegt de switchchip deze tabel om te bepalen welke poort moet worden gebruikt om het pakket door te sturen. Als het doel-MAC-adres niet in de tabel wordt gevonden, wordt het pakket naar alle poorten gestuurd, inclusief de CPU-poort.
Als het bestemmings-MAC-adres al is geleerd en in de tabel staat, kan de switch-chip het pakket daarom rechtstreeks doorsturen zonder via de CPU te gaan. Dit betekent dat genoemd pakket niet zichtbaar zal zijn voor tools zoals sniffer o Fakkel, die pakketten op CPU-niveau vastleggen.
Symptomen
- Pakketten niet zichtbaar in Sniffer of Torch.
- Filterregels werken mogelijk niet zoals verwacht.
Oplossing
Om dit probleem op te lossen, is het mogelijk om regels van te gebruiken ACL (Toegangscontrolelijst) om bepaalde pakketten naar de CPU te kopiëren of om te leiden. U kunt bijvoorbeeld een regel configureren die een kopie van pakketten die bestemd zijn voor een specifiek MAC-adres naar de CPU verzendt voor analyse.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Opgemerkt moet worden dat het verzenden van pakketten naar de CPU voor verwerking de belasting van de CPU zal verhogen, wat de algehele prestaties van het apparaat kan beïnvloeden.
El hardware-offloading Het is een krachtige techniek om de netwerkprestaties te verbeteren, maar kent bepaalde beperkingen op het gebied van zichtbaarheid en controle op CPU-niveau. Voor gebruiksscenario's waarbij pakketanalyse of filtering vereist is, is aanvullende configuratie zoals ACL-regels vereist om ervoor te zorgen dat de benodigde pakketten door de CPU worden verwerkt.
Aanvullende overwegingen
1. Verkeersprioriteit:
In complexere netwerken wilt u wellicht QoS (Quality of Service) implementeren om bepaalde soorten verkeer prioriteit te geven. Dit vereist doorgaans dat pakketten door de CPU gaan, wat in conflict zou kunnen komen met een hardware-offloading-configuratie.
2. Beveiliging:
Hardware-offloading kan de mogelijkheid beperken om sterkere beveiligingsmaatregelen te implementeren, zoals Deep Packet Inspection (DPI), omdat pakketten mogelijk niet door de CPU gaan.
3. CPU-capaciteit:
Het is essentieel om rekening te houden met de verwerkingscapaciteit van de CPU bij het omleiden van verkeer ernaartoe. Te veel pakketten die voor verwerking op de CPU worden verzonden, kunnen deze overbelasten, wat leidt tot een afname van de algehele systeemprestaties.
4. Compatibiliteit:
Niet alle apparaten en switchchips ondersteunen hardware-offloading of hebben dezelfde mogelijkheden. Zorg ervoor dat uw hardware de functies ondersteunt die u wilt gebruiken.
5. Firmware-/software-updates:
Zorg ervoor dat u een versie van RouterOS gebruikt die alle functies ondersteunt die u wilt implementeren. Problemen en beperkingen kunnen variëren tussen verschillende versies.
Geavanceerde oplossingen
Voor complexere scenario's is het mogelijk om API's of scripts te gebruiken om het toevoegen en verwijderen van ACL-regels te automatiseren op basis van bepaalde gebeurtenissen of voorwaarden. Dit kan vooral handig zijn in dynamische omgevingen waar de MAC-adressen van de bestemming regelmatig kunnen veranderen.
Overzicht
Hardware-offloading is een effectieve techniek om de netwerkprestaties te verbeteren, maar kent zijn uitdagingen als het gaat om gedetailleerde verkeerscontrole en diagnose.
Tools als Sniffer of Torch zijn in deze context minder effectief omdat veel pakketten op switchchipniveau worden doorgestuurd en nooit de CPU bereiken.
Met zorgvuldige planning en het gebruik van functies zoals ACL is het echter mogelijk om de prestaties in evenwicht te brengen met diagnostische en beveiligingsbehoeften.
Korte kennisquiz
Wat vind je van dit artikel?
Durf jij je geleerde kennis te evalueren?
Aanbevolen boek voor dit artikel
Switching en Bridging RouterOS v7 Boek
Studiemateriaal voor de MTCSWE-certificeringscursus bijgewerkt naar RouterOS v7