acordo cibernético
Livro Switching e Bridging do RouterOS v7
Material de estudo para o Curso de Certificação MTCSWE atualizado para RouterOS v7
$19,97
Comprar
Considere o seguinte cenário: Uma ponte foi configurada com a opção de descarregamento de hardwareg habilitado para maximizar o desempenho da rede em um dispositivo RouterOS. Devido a esta configuração, o dispositivo funciona como um switch em vez de uma simples ponte no nível do software.
Isso melhora o desempenho, permitindo que o chip do switch lide com o encaminhamento de pacotes entre portas, em vez de deixar que a CPU do dispositivo faça isso.
configuração
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
Problema
Quando ferramentas como Sniffer o Tocha Para capturar pacotes na rede, observa-se uma anomalia: apenas alguns pacotes ficam visíveis, geralmente aqueles que são broadcast/multicast. Isto se deve à forma como chip de comutação lida com o tráfego em uma configuração com descarregamento de hardware.
Aprendizagem MAC vs Tabela Host
El chip de comutação mantém uma tabela de endereços MAC e portas associadas conhecida como “tabela Host”. Cada vez que um pacote precisa ser encaminhado, o chip do switch consulta esta tabela para determinar qual porta deve ser usada para encaminhar o pacote. Se o endereço MAC de destino não for encontrado na tabela, o pacote será inundado em todas as portas, incluindo a porta da CPU.
Portanto, se o endereço MAC de destino já tiver sido aprendido e estiver na tabela, o chip switch poderá encaminhar o pacote diretamente, sem passar pela CPU. Isso significa que o referido pacote não será visível para ferramentas como Sniffer o Tocha, que captura pacotes no nível da CPU.
Os sintomas
- Pacotes não visíveis no Sniffer ou Torch.
- As regras de filtragem podem não funcionar conforme o esperado.
Solução
Para resolver este problema, é possível usar regras de ACL (lista de controle de acesso) para copiar ou redirecionar certos pacotes para a CPU. Por exemplo, você pode configurar uma regra que envie uma cópia dos pacotes destinados a um endereço MAC específico à CPU para análise.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Deve-se observar que o envio de pacotes à CPU para processamento aumentará a carga da CPU, o que pode afetar o desempenho geral do dispositivo.
El descarregamento de hardware É uma técnica poderosa para melhorar o desempenho da rede, mas apresenta certas limitações em termos de visibilidade e controle no nível da CPU. Para casos de uso que exigem análise ou filtragem de pacotes, é necessária configuração adicional, como regras de ACL, para garantir que os pacotes necessários sejam processados pela CPU.
Considerações adicionais
1. Priorização de tráfego:
Em redes mais complexas, você pode querer implementar QoS (Qualidade de Serviço) para priorizar determinados tipos de tráfego. Isso geralmente exige que os pacotes passem pela CPU, o que pode entrar em conflito com uma configuração de descarregamento de hardware.
2. de segurança:
O descarregamento de hardware pode limitar a capacidade de implementar medidas de segurança mais fortes, como Deep Packet Inspection (DPI), porque os pacotes podem não passar pela CPU.
3. Capacidade da CPU:
É fundamental levar em consideração a capacidade de processamento da CPU ao redirecionar o tráfego para ela. Muitos pacotes enviados para processamento na CPU podem sobrecarregá-la, levando a uma diminuição no desempenho geral do sistema.
4. Compatibilidade:
Nem todos os dispositivos e chips de switch suportam descarregamento de hardware ou têm os mesmos recursos. Certifique-se de que seu hardware seja compatível com os recursos que você deseja usar.
5. Atualizações de firmware/software:
Certifique-se de usar uma versão do RouterOS que suporte todos os recursos que você deseja implementar. Problemas e limitações podem variar entre diferentes versões.
Soluções Avançadas
Para cenários mais complexos, é possível utilizar APIs ou scripts para automatizar a adição e remoção de regras ACL com base em determinados eventos ou condições. Isto pode ser especialmente útil em ambientes dinâmicos onde os endereços MAC de destino podem mudar frequentemente.
Resumo
O descarregamento de hardware é uma técnica eficaz para melhorar o desempenho da rede, mas tem seus desafios quando se trata de controle e diagnóstico detalhado de tráfego.
Ferramentas como Sniffer ou Torch são menos eficazes neste contexto porque muitos pacotes são encaminhados no nível do chip do switch e nunca chegam à CPU.
Porém, com um planejamento cuidadoso e o uso de recursos como o ACL, é possível equilibrar o desempenho com as necessidades de diagnóstico e segurança.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Artigos relacionados
Artigos relacionados
Microlaboratórios
(ML-001) Como gerenciar adequadamente vários IPs públicos ou privados no roteador de borda
$8,99
(ML-002) Maneiras de atribuir endereços IP públicos a clientes com MikroTik
$9,99
(ML-003) Guia para configurar rotas de saída de Internet com dois ou mais provedores (failover e recursão no balanceamento PCC)
$8,99
(ML-004) Filtrar estratégias de implementação para restringir o acesso a páginas web com MikroTik
$7,99
Outros tópicos que podem lhe interessar
Maneiras de atribuir endereçamento IPv6 (Parte 2)
Março 25, 2024
Maneiras de atribuir endereçamento IPv6 (Parte 1)
Março 11, 2024
Quer sugerir um tema?
Toda semana postamos novos conteúdos. Quer que falemos sobre algo específico?
Próximos cursos on-line
MTCINE On-Line
$187,00
MTCNA Online
$187,00
MTCR Online
$187,00
Pacote de 4 livros MikroTik RouterOS
$68,47
