transakcja cybernetyczna
Książka o przełączaniu i mostkowaniu RouterOS v7
Materiały do kursu certyfikacyjnego MTCSWE zaktualizowane do wersji RouterOS v7
$19,97
Dodaj do koszyka
Błędne konfiguracje warstwy 2: przepływ pakietów z odciążaniem sprzętu i uczeniem się adresów MAC
- Mauro Escalanta
- Brak komentarzy
- Udostępnij ten artykuł
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Rozważmy następujący scenariusz: Most został skonfigurowany z opcją rozładowywanie sprzętug włączono, aby zmaksymalizować wydajność sieci na urządzeniu RouterOS. Dzięki takiej konfiguracji urządzenie na poziomie oprogramowania pełni funkcję przełącznika, a nie prostego mostu.
Poprawia to wydajność, umożliwiając chipowi przełączającemu obsługę przekazywania pakietów między portami, zamiast zlecać to procesorowi urządzenia.
konfiguracja
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
problem
Kiedy narzędzia takie jak Sniffer o Pochodnia Podczas przechwytywania pakietów w sieci obserwuje się anomalię: widoczne są tylko niektóre pakiety, zazwyczaj te, które są rozgłoszeniowe/multicastowe. Wynika to ze sposobu, w jaki przełącznik chipa obsługuje ruch w konfiguracji z odciążanie sprzętu.
Uczenie się MAC a tabela hostów
El przełącznik chipa utrzymuje tabelę adresów MAC i powiązanych portów znaną jako „tabela hostów”. Za każdym razem, gdy pakiet wymaga przekazania, chip przełączający sprawdza tę tabelę, aby określić, który port powinien zostać użyty do przesłania pakietu. Jeśli docelowy adres MAC nie zostanie znaleziony w tabeli, pakiet jest zalewany do wszystkich portów, łącznie z portem procesora.
Dlatego też, jeśli docelowy adres MAC został już poznany i znajduje się w tablicy, chip przełączający może przesłać pakiet bezpośrednio, bez konieczności przechodzenia przez procesor. Oznacza to, że wspomniany pakiet nie będzie widoczny dla narzędzi takich jak Sniffer o Pochodnia, które przechwytują pakiety na poziomie procesora.
Objawy
- Pakiety nie są widoczne w Snifferze i Torchu.
- Reguły filtrowania mogą nie działać zgodnie z oczekiwaniami.
Rozwiązanie
Aby rozwiązać ten problem, można zastosować reguły ACL (Lista Kontroli Dostępu) do kopiowania lub przekierowywania określonych pakietów do procesora. Na przykład możesz skonfigurować regułę wysyłającą kopię pakietów przeznaczonych dla określonego adresu MAC do procesora w celu analizy.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Należy zauważyć, że wysyłanie pakietów do procesora w celu przetworzenia zwiększy obciążenie procesora, co może mieć wpływ na ogólną wydajność urządzenia.
El odciążanie sprzętu Jest to potężna technika poprawy wydajności sieci, ale wiąże się z pewnymi ograniczeniami w zakresie widoczności i kontroli na poziomie procesora. W przypadkach użycia wymagających analizy lub filtrowania pakietów wymagana jest dodatkowa konfiguracja, taka jak reguły ACL, aby zapewnić przetwarzanie niezbędnych pakietów przez procesor.
Dodatkowe uwagi
1. Priorytetyzacja ruchu:
W bardziej złożonych sieciach możesz chcieć wdrożyć QoS (Quality of Service), aby nadać priorytet określonym typom ruchu. Zwykle wymaga to przejścia pakietów przez procesor, co może powodować konflikt z konfiguracją odciążania sprzętu.
2. Bezpieczeństwo:
Odciążanie sprzętu może ograniczyć możliwość wdrożenia silniejszych środków bezpieczeństwa, takich jak głęboka inspekcja pakietów (DPI), ponieważ pakiety mogą nie przechodzić przez procesor.
3. Pojemność procesora:
Przy przekierowywaniu ruchu do niego istotne jest uwzględnienie mocy obliczeniowej procesora. Zbyt wiele pakietów wysyłanych do przetwarzania przez procesor może go przeciążyć, co prowadzi do spadku ogólnej wydajności systemu.
4. Kompatybilność:
Nie wszystkie urządzenia i chipy przełączników obsługują odciążanie sprzętu lub mają te same możliwości. Upewnij się, że Twój sprzęt obsługuje funkcje, z których chcesz korzystać.
5. Aktualizacje oprogramowania sprzętowego/oprogramowania:
Upewnij się, że używasz wersji RouterOS obsługującej wszystkie funkcje, które chcesz wdrożyć. Problemy i ograniczenia mogą się różnić w zależności od wersji.
Zaawansowane rozwiązania
W przypadku bardziej złożonych scenariuszy możliwe jest użycie interfejsów API lub skryptów w celu zautomatyzowania dodawania i usuwania reguł ACL w oparciu o określone zdarzenia lub warunki. Może to być szczególnie przydatne w środowiskach dynamicznych, w których docelowe adresy MAC mogą się często zmieniać.
streszczenie
Odciążanie sprzętu to skuteczna technika poprawiania wydajności sieci, wiąże się jednak z pewnymi wyzwaniami, jeśli chodzi o szczegółową kontrolę ruchu i diagnostykę.
Narzędzia takie jak Sniffer lub Torch są w tym kontekście mniej skuteczne, ponieważ wiele pakietów jest przekazywanych na poziomie chipa przełącznika i nigdy nie dociera do procesora.
Jednakże dzięki starannemu planowaniu i wykorzystaniu funkcji takich jak lista ACL możliwe jest zrównoważenie wydajności z potrzebami diagnostycznymi i bezpieczeństwem.
Krótki quiz wiedzy
Co sądzisz o tym artykule?
Czy odważysz się ocenić zdobytą wiedzę?
Książka polecana do tego artykułu
Powiązane artykuły
Powiązane artykuły
Mikrolaba
(ML-001) Jak prawidłowo zarządzać wieloma publicznymi lub prywatnymi adresami IP na routerze brzegowym
$8,99
(ML-002) Sposoby przydzielania publicznych adresów IP klientom za pomocą MikroTika
$9,99
(ML-003) Przewodnik konfiguracji tras wyjścia z Internetu u dwóch lub więcej dostawców (przełączanie awaryjne i rekurencja w równoważeniu PCC)
$8,99
(ML-004) Strategie wdrażania filtrów w celu ograniczenia dostępu do stron internetowych za pomocą MikroTika
$7,99
Inne tematy, które mogą Cię zainteresować
Sposoby przypisywania adresacji IPv6 (część 2)
Marzec 25, 2024
Sposoby przypisywania adresacji IPv6 (część 1)
Marzec 11, 2024
Chcesz zasugerować temat?
Co tydzień publikujemy nowe treści. Chcesz, żebyśmy porozmawiali o czymś konkretnym?
