siber anlaşma
Anahtarlama ve Köprüleme RouterOS v7 Kitabı
RouterOS v7'ye güncellenen MTCSWE Sertifikasyon Kursu için çalışma materyali
$19,97
Alışveriş sepetine ekle
Katman 2 Yanlış Yapılandırmaları: Donanım Boşaltma ve MAC Öğrenme ile Paket Akışı
- Mauro Escalante
- Yorum yok
- Bu makaleyi paylaş
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Aşağıdaki senaryoyu düşünün: Seçeneği olan bir köprü yapılandırılmıştır. donanım boşaltmaRouterOS cihazında ağ performansını en üst düzeye çıkarmak için etkinleştirildi. Bu konfigürasyon nedeniyle cihaz, yazılım seviyesinde basit bir köprü yerine bir anahtar görevi görmektedir.
Bu, cihazın CPU'sunun yapması yerine, anahtar çipinin bağlantı noktaları arasında paket iletmeyi yönetmesine izin vererek performansı artırır.
yapılandırma
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
Problema
Ne zaman gibi araçlar Sniffer o Meşale Ağdaki paketleri yakalamak için bir anormallik gözlemlenir: yalnızca bazı paketler görünür, genellikle yayın/çok noktaya yayın olan paketler. Bunun nedeni, anahtar çipi trafiği bir yapılandırmada yönetir donanım boşaltma.
MAC Öğrenme ve Ana Bilgisayar Tablosu
El anahtar çipi "Ana Bilgisayar tablosu" olarak bilinen MAC adresleri ve ilgili bağlantı noktalarından oluşan bir tablo tutar. Bir paketin iletilmesi gerektiğinde, anahtar çipi, paketi iletmek için hangi bağlantı noktasının kullanılması gerektiğini belirlemek için bu tabloya başvurur. Hedef MAC adresi tabloda bulunamazsa paket, CPU bağlantı noktası dahil tüm bağlantı noktalarına akın eder.
Bu nedenle, hedef MAC adresi zaten öğrenilmişse ve tabloda yer alıyorsa, anahtar çipi, CPU'dan geçmeden paketi doğrudan iletebilir. Bu, söz konusu paketin aşağıdaki gibi araçlar tarafından görülmeyeceği anlamına gelir: Sniffer o Meşale, paketleri CPU düzeyinde yakalar.
Belirtileri
- Paketler Sniffer veya Torch'ta görünmüyor.
- Filtreleme kuralları beklendiği gibi çalışmayabilir.
Çözüm
Bu sorunu çözmek için kuralları kullanmak mümkündür. ACL (Erişim Kontrol Listesi) belirli paketleri CPU'ya kopyalamak veya yönlendirmek için. Örneğin, belirli bir MAC adresine yönelik paketlerin bir kopyasını analiz için CPU'ya gönderen bir kural yapılandırabilirsiniz.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Paketlerin işlenmek üzere CPU'ya gönderilmesinin CPU üzerindeki yükü artıracağı ve bunun da cihazın genel performansını etkileyebileceği unutulmamalıdır.
El donanım boşaltma Ağ performansını artırmak için güçlü bir tekniktir ancak CPU düzeyinde görünürlük ve kontrol açısından belirli sınırlamalarla birlikte gelir. Paket analizi veya filtreleme gerektiren kullanım durumlarında, gerekli paketlerin CPU tarafından işlenmesini sağlamak için ACL kuralları gibi ek yapılandırmalar gerekir.
Ek hususlar
1. Trafik Önceliklendirmesi:
Daha karmaşık ağlarda, belirli trafik türlerine öncelik vermek için QoS (Hizmet Kalitesi) uygulamak isteyebilirsiniz. Bu genellikle paketlerin CPU'dan geçmesini gerektirir; bu da donanım boşaltma yapılandırmasıyla çakışabilir.
2. Güvenlik:
Donanım boşaltma, paketlerin CPU'dan geçemeyebileceğinden Derin Paket Denetimi (DPI) gibi daha güçlü güvenlik önlemlerini uygulama yeteneğini sınırlayabilir.
3. CPU kapasitesi:
Trafiği ona yönlendirirken CPU'nun işlem kapasitesini dikkate almak önemlidir. CPU'da işlenmek üzere gönderilen çok fazla paket onu bunaltabilir ve bu da genel sistem performansının düşmesine neden olabilir.
4. Uyumluluk:
Tüm aygıtlar ve anahtar yongaları donanım boşaltmayı desteklemez veya aynı yeteneklere sahip değildir. Donanımınızın kullanmak istediğiniz özellikleri desteklediğinden emin olun.
5. Firmware/Yazılım Güncellemeleri:
Uygulamak istediğiniz tüm özellikleri destekleyen bir RouterOS sürümü kullandığınızdan emin olun. Sorunlar ve sınırlamalar farklı sürümler arasında değişiklik gösterebilir.
Gelişmiş Çözümler
Daha karmaşık senaryolarda, belirli olaylara veya koşullara göre ACL kurallarının eklenmesini ve kaldırılmasını otomatikleştirmek için API'leri veya komut dosyalarını kullanmak mümkündür. Bu, özellikle hedef MAC adreslerinin sık sık değişebildiği dinamik ortamlarda faydalı olabilir.
Resumen
Donanım boşaltma, ağ performansını artırmak için etkili bir tekniktir ancak ayrıntılı trafik kontrolü ve teşhisi söz konusu olduğunda bazı zorlukları vardır.
Sniffer veya Torch gibi araçlar bu bağlamda daha az etkilidir çünkü birçok paket anahtar çipi seviyesinde iletilir ve asla CPU'ya ulaşmaz.
Ancak dikkatli planlama ve ACL gibi özelliklerin kullanılmasıyla performansı tanılama ve güvenlik ihtiyaçları ile dengelemek mümkündür.
Kısa bilgi yarışması
Bu makale hakkında ne düşünüyorsun?
Öğrendiğiniz bilgileri değerlendirmeye cesaretiniz var mı?
Bu makale için önerilen kitap
İlgili Makaleler
İlgili Makaleler
Mikro laboratuvarlar
(ML-001) Edge yönlendiricide birden fazla genel veya özel IP nasıl düzgün şekilde yönetilir?
$8,99
(ML-002) MikroTik ile istemcilere genel IP adresleri atamanın yolları
$9,99
(ML-003) İki veya daha fazla sağlayıcıyla İnternet çıkış rotalarını yapılandırma kılavuzu (PCC dengelemede yük devretme ve özyineleme)
$8,99
(ML-004) MikroTik ile web sayfalarına erişimi kısıtlamak için uygulama stratejilerini filtreleyin
$7,99
İlginizi çekebilecek diğer konular
IPv6 Adreslemesi Atama Yolları (Bölüm 2)
Mart 25, 2024
IPv6 Adreslemesi Atama Yolları (Bölüm 1)
Mart 11, 2024
Bir konu önermek ister misiniz?
Her hafta yeni içerik yayınlıyoruz. Belirli bir konu hakkında konuşmamızı ister misin?
