Hãy xem xét tình huống sau: Một cây cầu đã được cấu hình với tùy chọn giảm tải phần cứngg được kích hoạt để tối đa hóa hiệu suất mạng trên thiết bị RouterOS. Do cấu hình này, thiết bị hoạt động như một công tắc thay vì một cầu nối đơn giản ở cấp độ phần mềm.
Điều này cải thiện hiệu suất bằng cách cho phép chip chuyển mạch xử lý việc chuyển tiếp gói giữa các cổng, thay vì để CPU của thiết bị làm việc đó.
Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này
cấu hình
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 hw=yes interface=ether1 learn=yes
add bridge=bridge1 hw=yes interface=ether2 learn=yes
Vấn đề
Khi các công cụ như Đánh hơi o Torch Để chụp các gói trên mạng, có một điểm bất thường: chỉ một số gói được hiển thị, thường là các gói được phát sóng/phát đa hướng. Điều này là do cách chuyển đổi chip xử lý lưu lượng truy cập trong một cấu hình với giảm tải phần cứng.
Bảng học MAC và bảng máy chủ
El chuyển đổi chip duy trì một bảng gồm các địa chỉ MAC và các cổng liên kết được gọi là “Bảng máy chủ”. Mỗi khi một gói cần được chuyển tiếp, chip chuyển mạch sẽ tham khảo bảng này để xác định cổng nào sẽ được sử dụng để chuyển tiếp gói. Nếu không tìm thấy địa chỉ MAC đích trong bảng, gói sẽ tràn tới tất cả các cổng, bao gồm cả cổng CPU.
Do đó, nếu địa chỉ MAC đích đã được học và có trong bảng, chip chuyển mạch có thể chuyển tiếp gói trực tiếp mà không cần thông qua CPU. Điều này có nghĩa là gói đã nói sẽ không hiển thị với các công cụ như Đánh hơi o Torch, thu thập các gói ở cấp độ CPU.
Triệu chứng
- Các gói không hiển thị trong Sniffer hoặc Torch.
- Quy tắc lọc có thể không hoạt động như mong đợi.
Giải pháp
Để giải quyết vấn đề này có thể sử dụng quy tắc ACL (Danh sách kiểm soát truy cập) để sao chép hoặc chuyển hướng các gói nhất định đến CPU. Ví dụ: bạn có thể định cấu hình quy tắc gửi bản sao của gói đến một địa chỉ MAC cụ thể tới CPU để phân tích.
/interface ethernet switch rule
add copy-to-cpu=yes dst-mac-address=4C:5E:0C:4D:12:4B/FF:FF:FF:FF:FF:FF
ports=ether1 switch=switch1
Cần lưu ý rằng việc gửi các gói đến CPU để xử lý sẽ làm tăng tải cho CPU, điều này có thể ảnh hưởng đến hiệu suất chung của thiết bị.
El giảm tải phần cứng Đây là một kỹ thuật mạnh mẽ để cải thiện hiệu suất mạng, nhưng nó có một số hạn chế nhất định về khả năng hiển thị và kiểm soát ở cấp độ CPU. Đối với các trường hợp sử dụng yêu cầu phân tích hoặc lọc gói, cần có cấu hình bổ sung như quy tắc ACL để đảm bảo rằng các gói cần thiết được CPU xử lý.
cân nhắc bổ sung
1. Ưu tiên giao thông:
Trong các mạng phức tạp hơn, bạn có thể muốn triển khai QoS (Chất lượng dịch vụ) để ưu tiên một số loại lưu lượng truy cập nhất định. Điều này thường yêu cầu các gói đi qua CPU, điều này có thể xung đột với cấu hình giảm tải phần cứng.
2 Bảo mật:
Việc giảm tải phần cứng có thể hạn chế khả năng thực hiện các biện pháp bảo mật mạnh hơn, chẳng hạn như Kiểm tra gói sâu (DPI), vì các gói có thể không đi qua CPU.
3. Dung lượng CPU:
Điều cần thiết là phải tính đến khả năng xử lý của CPU khi chuyển hướng lưu lượng truy cập đến nó. Quá nhiều gói được gửi để xử lý có thể khiến CPU bị quá tải, dẫn đến giảm hiệu suất tổng thể của hệ thống.
4. Khả năng tương thích:
Không phải tất cả các thiết bị và chip chuyển mạch đều hỗ trợ giảm tải phần cứng hoặc có các khả năng giống nhau. Đảm bảo phần cứng của bạn hỗ trợ các tính năng bạn muốn sử dụng.
5. Cập nhật chương trình cơ sở/phần mềm:
Đảm bảo bạn đang sử dụng phiên bản RouterOS hỗ trợ tất cả các tính năng bạn muốn triển khai. Các vấn đề và hạn chế có thể khác nhau giữa các phiên bản khác nhau.
Giải pháp nâng cao
Đối với các tình huống phức tạp hơn, có thể sử dụng API hoặc tập lệnh để tự động hóa việc thêm và xóa quy tắc ACL dựa trên các sự kiện hoặc điều kiện nhất định. Điều này có thể đặc biệt hữu ích trong môi trường năng động nơi địa chỉ MAC đích có thể thay đổi thường xuyên.
tóm lại
Giảm tải phần cứng là một kỹ thuật hiệu quả để cải thiện hiệu suất mạng, nhưng nó có những thách thức khi nói đến việc chẩn đoán và kiểm soát lưu lượng chi tiết.
Các công cụ như Sniffer hoặc Torch kém hiệu quả hơn trong bối cảnh này vì nhiều gói được chuyển tiếp ở cấp chip chuyển mạch và không bao giờ đến được CPU.
Tuy nhiên, với việc lập kế hoạch cẩn thận và sử dụng các tính năng như ACL, có thể cân bằng hiệu suất với nhu cầu chẩn đoán và bảo mật.
Bài kiểm tra kiến thức tóm tắt
Bạn nghĩ gì về bài viết này?
Bạn có dám đánh giá kiến thức đã học của mình không?
Cuốn sách được đề xuất cho bài viết này
Sách chuyển mạch và kết nối RouterOS v7
Tài liệu học tập cho Khóa học Chứng chỉ MTCSWE được cập nhật lên RouterOS v7