พิจารณาสถานการณ์สมมติต่อไปนี้: บริดจ์ได้รับการกำหนดค่าด้วยตัวเลือกในการ ฮาร์ดแวร์ออฟโหลดg เปิดใช้งานเพื่อเพิ่มประสิทธิภาพเครือข่ายสูงสุดบนอุปกรณ์ RouterOS เนื่องจากการกำหนดค่านี้ อุปกรณ์จึงทำหน้าที่เป็นสวิตช์แทนที่จะเป็นบริดจ์ธรรมดาในระดับซอฟต์แวร์
สิ่งนี้ช่วยปรับปรุงประสิทธิภาพโดยอนุญาตให้ชิปสวิตช์จัดการการส่งต่อแพ็กเก็ตระหว่างพอร์ต แทนที่จะให้ CPU ของอุปกรณ์ทำ
ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้
องค์ประกอบ
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
ปัญหาที่เกิดขึ้น
เมื่อเครื่องมือชอบ ดมกลิ่น o ไฟฉาย ในการจับแพ็กเก็ตบนเครือข่าย จะสังเกตเห็นความผิดปกติ: มีเพียงบางแพ็กเก็ตเท่านั้นที่มองเห็นได้ โดยทั่วไปคือแพ็กเก็ตที่ออกอากาศ/มัลติคาสต์ นี่เป็นเพราะวิธีการ สลับชิป จัดการการรับส่งข้อมูลในการกำหนดค่าด้วย การขนถ่ายฮาร์ดแวร์.
การเรียนรู้ของ MAC เทียบกับตารางโฮสต์
El สลับชิป รักษาตารางที่อยู่ MAC และพอร์ตที่เกี่ยวข้องที่เรียกว่า "ตารางโฮสต์" แต่ละครั้งที่ต้องส่งต่อแพ็กเก็ต ชิปสวิตช์จะพิจารณาตารางนี้เพื่อกำหนดว่าควรใช้พอร์ตใดในการส่งต่อแพ็กเก็ต หากไม่พบที่อยู่ MAC ปลายทางในตาราง แพ็กเก็ตจะท่วมไปที่พอร์ตทั้งหมด รวมถึงพอร์ต CPU ด้วย
ดังนั้นหากทราบที่อยู่ MAC ปลายทางแล้วและอยู่ในตาราง ชิปสวิตช์สามารถส่งต่อแพ็กเก็ตได้โดยตรงโดยไม่ต้องผ่าน CPU ซึ่งหมายความว่าแพ็คเกจดังกล่าวจะไม่ปรากฏให้เห็นกับเครื่องมือเช่น ดมกลิ่น o ไฟฉายซึ่งจับแพ็กเก็ตที่ระดับ CPU
อาการ
- แพ็คเกจไม่สามารถมองเห็นได้ใน Sniffer หรือ Torch
- กฎการกรองอาจไม่ทำงานตามที่คาดไว้
ทางออก
เพื่อแก้ไขปัญหานี้ คุณสามารถใช้กฎของ ACL (รายการควบคุมการเข้าถึง) เพื่อคัดลอกหรือเปลี่ยนเส้นทางแพ็กเก็ตบางอย่างไปยัง CPU ตัวอย่างเช่น คุณสามารถกำหนดค่ากฎที่ส่งสำเนาของแพ็กเก็ตที่กำหนดไว้สำหรับที่อยู่ MAC เฉพาะไปยัง CPU เพื่อการวิเคราะห์
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
ควรสังเกตว่าการส่งแพ็กเก็ตไปยัง CPU เพื่อการประมวลผลจะเพิ่มภาระบน CPU ซึ่งอาจส่งผลต่อประสิทธิภาพโดยรวมของอุปกรณ์
El การขนถ่ายฮาร์ดแวร์ เป็นเทคนิคที่ทรงพลังในการปรับปรุงประสิทธิภาพของเครือข่าย แต่ก็มีข้อจำกัดบางประการในแง่ของการมองเห็นและการควบคุมในระดับ CPU สำหรับกรณีการใช้งานที่ต้องมีการวิเคราะห์หรือการกรองแพ็กเก็ต จำเป็นต้องมีการกำหนดค่าเพิ่มเติม เช่น กฎ ACL เพื่อให้แน่ใจว่า CPU จะประมวลผลแพ็กเก็ตที่จำเป็น
ข้อควรพิจารณาเพิ่มเติม
1. การจัดลำดับความสำคัญของการรับส่งข้อมูล:
ในเครือข่ายที่ซับซ้อนมากขึ้น คุณอาจต้องการใช้ QoS (คุณภาพของบริการ) เพื่อจัดลำดับความสำคัญของการรับส่งข้อมูลบางประเภท โดยทั่วไปต้องใช้แพ็กเก็ตเพื่อส่งผ่าน CPU ซึ่งอาจขัดแย้งกับการกำหนดค่าการถ่ายข้อมูลฮาร์ดแวร์
2. ความปลอดภัย:
การถ่ายฮาร์ดแวร์สามารถจำกัดความสามารถในการใช้มาตรการรักษาความปลอดภัยที่เข้มงวดมากขึ้น เช่น Deep Packet Inspection (DPI) เนื่องจากแพ็กเก็ตอาจไม่ผ่าน CPU
3. ความจุซีพียู:
เป็นสิ่งสำคัญที่จะต้องคำนึงถึงความสามารถในการประมวลผลของ CPU เมื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยัง CPU แพ็กเก็ตที่มากเกินไปที่ส่งเพื่อประมวลผลบน CPU อาจทำให้แพ็กเก็ตล้นได้ ส่งผลให้ประสิทธิภาพโดยรวมของระบบลดลง
4. ความเข้ากันได้:
อุปกรณ์และชิปสวิตช์บางตัวไม่รองรับการถ่ายฮาร์ดแวร์หรือมีความสามารถเหมือนกัน ตรวจสอบให้แน่ใจว่าฮาร์ดแวร์ของคุณรองรับคุณสมบัติที่คุณต้องการใช้
5. อัพเดตเฟิร์มแวร์/ซอฟต์แวร์:
ตรวจสอบให้แน่ใจว่าคุณใช้ RouterOS เวอร์ชันที่รองรับฟีเจอร์ทั้งหมดที่คุณต้องการใช้งาน ปัญหาและข้อจำกัดอาจแตกต่างกันไปตามเวอร์ชันต่างๆ
โซลูชั่นขั้นสูง
สำหรับสถานการณ์ที่ซับซ้อนมากขึ้น คุณสามารถใช้ API หรือสคริปต์เพื่อทำให้การเพิ่มและการลบกฎ ACL โดยอัตโนมัติตามเหตุการณ์หรือเงื่อนไขบางอย่าง ซึ่งอาจมีประโยชน์อย่างยิ่งในสภาพแวดล้อมแบบไดนามิกซึ่งที่อยู่ MAC ปลายทางอาจเปลี่ยนแปลงบ่อยครั้ง
ข้อมูลอย่างย่อ
การถ่ายฮาร์ดแวร์เป็นเทคนิคที่มีประสิทธิภาพในการปรับปรุงประสิทธิภาพของเครือข่าย แต่ก็มีความท้าทายเมื่อพูดถึงการควบคุมการรับส่งข้อมูลและการวินิจฉัยโดยละเอียด
เครื่องมืออย่าง Sniffer หรือ Torch มีประสิทธิภาพน้อยกว่าในบริบทนี้ เนื่องจากมีแพ็กเก็ตจำนวนมากส่งต่อที่ระดับชิปสวิตช์และไม่เคยไปถึง CPU
อย่างไรก็ตาม ด้วยการวางแผนอย่างรอบคอบและการใช้คุณลักษณะ เช่น ACL จึงเป็นไปได้ที่จะสร้างสมดุลระหว่างประสิทธิภาพกับความต้องการด้านการวินิจฉัยและการรักษาความปลอดภัย
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
การสลับและการเชื่อมโยง RouterOS v7 Book
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCSWE อัปเดตเป็น RouterOS v7
บทความที่เกี่ยวข้อง
- การกำหนดค่าที่ไม่ถูกต้องของเลเยอร์ 2: ข้อ จำกัด ในการถ่ายโอนฮาร์ดแวร์บนหลายบริดจ์
- การกำหนดค่าที่ไม่ถูกต้องของเลเยอร์ 2: อินเทอร์เฟซ LAG และการปรับสมดุลโหลด
- ทำความเข้าใจแนวคิดของ MTU ที่เลเยอร์ 2 และเลเยอร์ 3: ผลกระทบและข้อควรพิจารณา
- การเชื่อม XOR (balance-xor) ใน MikroTik
- การเชื่อมโยงการออกอากาศใน MikroTik