การกำหนดค่าที่ไม่ถูกต้องของเลเยอร์ 2: การไหลของแพ็กเก็ตพร้อมการถ่ายฮาร์ดแวร์และการเรียนรู้ MAC

เมาโร เอสคาลานเต้
ตุลาคม 31, 2023
11: 00 น
ไม่มีความเห็น

พิจารณาสถานการณ์สมมติต่อไปนี้: บริดจ์ได้รับการกำหนดค่าด้วยตัวเลือกในการ ฮาร์ดแวร์ออฟโหลดg เปิดใช้งานเพื่อเพิ่มประสิทธิภาพเครือข่ายสูงสุดบนอุปกรณ์ RouterOS เนื่องจากการกำหนดค่านี้ อุปกรณ์จึงทำหน้าที่เป็นสวิตช์แทนที่จะเป็นบริดจ์ธรรมดาในระดับซอฟต์แวร์

สิ่งนี้ช่วยปรับปรุงประสิทธิภาพโดยอนุญาตให้ชิปสวิตช์จัดการการส่งต่อแพ็กเก็ตระหว่างพอร์ต แทนที่จะให้ CPU ของอุปกรณ์ทำ

ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้

ไปที่การทดสอบ

องค์ประกอบ

				
					/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes

ปัญหาที่เกิดขึ้น

เมื่อเครื่องมือชอบ ดมกลิ่น o ไฟฉาย ในการจับแพ็กเก็ตบนเครือข่าย จะสังเกตเห็นความผิดปกติ: มีเพียงบางแพ็กเก็ตเท่านั้นที่มองเห็นได้ โดยทั่วไปคือแพ็กเก็ตที่ออกอากาศ/มัลติคาสต์ นี่เป็นเพราะวิธีการ สลับชิป จัดการการรับส่งข้อมูลในการกำหนดค่าด้วย การขนถ่ายฮาร์ดแวร์.

การเรียนรู้ของ MAC เทียบกับตารางโฮสต์

El สลับชิป รักษาตารางที่อยู่ MAC และพอร์ตที่เกี่ยวข้องที่เรียกว่า "ตารางโฮสต์" แต่ละครั้งที่ต้องส่งต่อแพ็กเก็ต ชิปสวิตช์จะพิจารณาตารางนี้เพื่อกำหนดว่าควรใช้พอร์ตใดในการส่งต่อแพ็กเก็ต หากไม่พบที่อยู่ MAC ปลายทางในตาราง แพ็กเก็ตจะท่วมไปที่พอร์ตทั้งหมด รวมถึงพอร์ต CPU ด้วย

ดังนั้นหากทราบที่อยู่ MAC ปลายทางแล้วและอยู่ในตาราง ชิปสวิตช์สามารถส่งต่อแพ็กเก็ตได้โดยตรงโดยไม่ต้องผ่าน CPU ซึ่งหมายความว่าแพ็คเกจดังกล่าวจะไม่ปรากฏให้เห็นกับเครื่องมือเช่น ดมกลิ่น o ไฟฉายซึ่งจับแพ็กเก็ตที่ระดับ CPU

อาการ

แพ็คเกจไม่สามารถมองเห็นได้ใน Sniffer หรือ Torch
กฎการกรองอาจไม่ทำงานตามที่คาดไว้

ทางออก

เพื่อแก้ไขปัญหานี้ คุณสามารถใช้กฎของ ACL (รายการควบคุมการเข้าถึง) เพื่อคัดลอกหรือเปลี่ยนเส้นทางแพ็กเก็ตบางอย่างไปยัง CPU ตัวอย่างเช่น คุณสามารถกำหนดค่ากฎที่ส่งสำเนาของแพ็กเก็ตที่กำหนดไว้สำหรับที่อยู่ MAC เฉพาะไปยัง CPU เพื่อการวิเคราะห์

				
					/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF 
ports=ether1 switch=switch1

ควรสังเกตว่าการส่งแพ็กเก็ตไปยัง CPU เพื่อการประมวลผลจะเพิ่มภาระบน CPU ซึ่งอาจส่งผลต่อประสิทธิภาพโดยรวมของอุปกรณ์

El การขนถ่ายฮาร์ดแวร์ เป็นเทคนิคที่ทรงพลังในการปรับปรุงประสิทธิภาพของเครือข่าย แต่ก็มีข้อจำกัดบางประการในแง่ของการมองเห็นและการควบคุมในระดับ CPU สำหรับกรณีการใช้งานที่ต้องมีการวิเคราะห์หรือการกรองแพ็กเก็ต จำเป็นต้องมีการกำหนดค่าเพิ่มเติม เช่น กฎ ACL เพื่อให้แน่ใจว่า CPU จะประมวลผลแพ็กเก็ตที่จำเป็น

ข้อควรพิจารณาเพิ่มเติม

1. การจัดลำดับความสำคัญของการรับส่งข้อมูล:

ในเครือข่ายที่ซับซ้อนมากขึ้น คุณอาจต้องการใช้ QoS (คุณภาพของบริการ) เพื่อจัดลำดับความสำคัญของการรับส่งข้อมูลบางประเภท โดยทั่วไปต้องใช้แพ็กเก็ตเพื่อส่งผ่าน CPU ซึ่งอาจขัดแย้งกับการกำหนดค่าการถ่ายข้อมูลฮาร์ดแวร์

2. ความปลอดภัย:

การถ่ายฮาร์ดแวร์สามารถจำกัดความสามารถในการใช้มาตรการรักษาความปลอดภัยที่เข้มงวดมากขึ้น เช่น Deep Packet Inspection (DPI) เนื่องจากแพ็กเก็ตอาจไม่ผ่าน CPU

3. ความจุซีพียู:

เป็นสิ่งสำคัญที่จะต้องคำนึงถึงความสามารถในการประมวลผลของ CPU เมื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยัง CPU แพ็กเก็ตที่มากเกินไปที่ส่งเพื่อประมวลผลบน CPU อาจทำให้แพ็กเก็ตล้นได้ ส่งผลให้ประสิทธิภาพโดยรวมของระบบลดลง

4. ความเข้ากันได้:

อุปกรณ์และชิปสวิตช์บางตัวไม่รองรับการถ่ายฮาร์ดแวร์หรือมีความสามารถเหมือนกัน ตรวจสอบให้แน่ใจว่าฮาร์ดแวร์ของคุณรองรับคุณสมบัติที่คุณต้องการใช้

5. อัพเดตเฟิร์มแวร์/ซอฟต์แวร์:

ตรวจสอบให้แน่ใจว่าคุณใช้ RouterOS เวอร์ชันที่รองรับฟีเจอร์ทั้งหมดที่คุณต้องการใช้งาน ปัญหาและข้อจำกัดอาจแตกต่างกันไปตามเวอร์ชันต่างๆ

โซลูชั่นขั้นสูง

สำหรับสถานการณ์ที่ซับซ้อนมากขึ้น คุณสามารถใช้ API หรือสคริปต์เพื่อทำให้การเพิ่มและการลบกฎ ACL โดยอัตโนมัติตามเหตุการณ์หรือเงื่อนไขบางอย่าง ซึ่งอาจมีประโยชน์อย่างยิ่งในสภาพแวดล้อมแบบไดนามิกซึ่งที่อยู่ MAC ปลายทางอาจเปลี่ยนแปลงบ่อยครั้ง

ข้อมูลอย่างย่อ

การถ่ายฮาร์ดแวร์เป็นเทคนิคที่มีประสิทธิภาพในการปรับปรุงประสิทธิภาพของเครือข่าย แต่ก็มีความท้าทายเมื่อพูดถึงการควบคุมการรับส่งข้อมูลและการวินิจฉัยโดยละเอียด

เครื่องมืออย่าง Sniffer หรือ Torch มีประสิทธิภาพน้อยกว่าในบริบทนี้ เนื่องจากมีแพ็กเก็ตจำนวนมากส่งต่อที่ระดับชิปสวิตช์และไม่เคยไปถึง CPU

อย่างไรก็ตาม ด้วยการวางแผนอย่างรอบคอบและการใช้คุณลักษณะ เช่น ACL จึงเป็นไปได้ที่จะสร้างสมดุลระหว่างประสิทธิภาพกับความต้องการด้านการวินิจฉัยและการรักษาความปลอดภัย