Considere o seguinte cenário: Uma ponte foi configurada com a opção de descarregamento de hardwareg habilitado para maximizar o desempenho da rede em um dispositivo RouterOS. Devido a esta configuração, o dispositivo funciona como um switch em vez de uma simples ponte no nível do software.
Isso melhora o desempenho, permitindo que o chip do switch lide com o encaminhamento de pacotes entre portas, em vez de deixar que a CPU do dispositivo faça isso.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
configuração
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
Problema
Quando ferramentas como Sniffer o Tocha Para capturar pacotes na rede, observa-se uma anomalia: apenas alguns pacotes ficam visíveis, geralmente aqueles que são broadcast/multicast. Isto se deve à forma como chip de comutação lida com o tráfego em uma configuração com descarregamento de hardware.
Aprendizagem MAC vs Tabela Host
El chip de comutação mantém uma tabela de endereços MAC e portas associadas conhecida como “tabela Host”. Cada vez que um pacote precisa ser encaminhado, o chip do switch consulta esta tabela para determinar qual porta deve ser usada para encaminhar o pacote. Se o endereço MAC de destino não for encontrado na tabela, o pacote será inundado em todas as portas, incluindo a porta da CPU.
Portanto, se o endereço MAC de destino já tiver sido aprendido e estiver na tabela, o chip switch poderá encaminhar o pacote diretamente, sem passar pela CPU. Isso significa que o referido pacote não será visível para ferramentas como Sniffer o Tocha, que captura pacotes no nível da CPU.
Os sintomas
- Pacotes não visíveis no Sniffer ou Torch.
- As regras de filtragem podem não funcionar conforme o esperado.
Solução
Para resolver este problema, é possível usar regras de ACL (lista de controle de acesso) para copiar ou redirecionar certos pacotes para a CPU. Por exemplo, você pode configurar uma regra que envie uma cópia dos pacotes destinados a um endereço MAC específico à CPU para análise.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Deve-se observar que o envio de pacotes à CPU para processamento aumentará a carga da CPU, o que pode afetar o desempenho geral do dispositivo.
El descarregamento de hardware É uma técnica poderosa para melhorar o desempenho da rede, mas apresenta certas limitações em termos de visibilidade e controle no nível da CPU. Para casos de uso que exigem análise ou filtragem de pacotes, é necessária configuração adicional, como regras de ACL, para garantir que os pacotes necessários sejam processados pela CPU.
Considerações adicionais
1. Priorização de tráfego:
Em redes mais complexas, você pode querer implementar QoS (Qualidade de Serviço) para priorizar determinados tipos de tráfego. Isso geralmente exige que os pacotes passem pela CPU, o que pode entrar em conflito com uma configuração de descarregamento de hardware.
2. de segurança:
O descarregamento de hardware pode limitar a capacidade de implementar medidas de segurança mais fortes, como Deep Packet Inspection (DPI), porque os pacotes podem não passar pela CPU.
3. Capacidade da CPU:
É fundamental levar em consideração a capacidade de processamento da CPU ao redirecionar o tráfego para ela. Muitos pacotes enviados para processamento na CPU podem sobrecarregá-la, levando a uma diminuição no desempenho geral do sistema.
4. Compatibilidade:
Nem todos os dispositivos e chips de switch suportam descarregamento de hardware ou têm os mesmos recursos. Certifique-se de que seu hardware seja compatível com os recursos que você deseja usar.
5. Atualizações de firmware/software:
Certifique-se de usar uma versão do RouterOS que suporte todos os recursos que você deseja implementar. Problemas e limitações podem variar entre diferentes versões.
Soluções Avançadas
Para cenários mais complexos, é possível utilizar APIs ou scripts para automatizar a adição e remoção de regras ACL com base em determinados eventos ou condições. Isto pode ser especialmente útil em ambientes dinâmicos onde os endereços MAC de destino podem mudar frequentemente.
Resumo
O descarregamento de hardware é uma técnica eficaz para melhorar o desempenho da rede, mas tem seus desafios quando se trata de controle e diagnóstico detalhado de tráfego.
Ferramentas como Sniffer ou Torch são menos eficazes neste contexto porque muitos pacotes são encaminhados no nível do chip do switch e nunca chegam à CPU.
Porém, com um planejamento cuidadoso e o uso de recursos como o ACL, é possível equilibrar o desempenho com as necessidades de diagnóstico e segurança.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro Switching e Bridging do RouterOS v7
Material de estudo para o Curso de Certificação MTCSWE atualizado para RouterOS v7
Artigos relacionados
- Configurações incorretas da camada 2: limitações de descarregamento de hardware em múltiplas pontes
- Configurações incorretas da camada 2: interfaces LAG e balanceamento de carga
- Compreendendo o conceito de MTU nas camadas 2 e 3: impactos e considerações
- Vinculando XOR (balance-xor) no MikroTik
- Transmissão de ligação no MikroTik