Cloud Router Switch 317-1G-16S+RM е управляем комутатор, който може да се монтира в стелаж с функции на Layer2 и Layer3, той има 16 SFP+ порта за високопроизводителна 10GbE свързаност и 1GbE меден порт за управление. CRS317-1G-16S+RM се захранва от чип Marvell 98DX8216 поколение от серията 3XX на MikroTik, който ви осигурява скорост за всичките шестнадесет 10GbE. Нови функции като хардуерно Spanning Tree Протоколът (MSTP) и Link Aggregation (LACP) осигуряват подобрена защита с висока производителност за вашата взискателна мрежа. Устройството има двойни резервни захранвания и пасивна охлаждаща кутия, така че е напълно безшумно – за горещо среди, като външни комуникационни кутии, два резервни вентилатора автоматично ще поддържат системата охладена ако е необходимо.
VLAN Filtering
В серията 3xx на MikroTik, която включва устройства като CCR3xx и CRS3xx, функцията VLAN filtering се използва за конфигуриране и управление на виртуални локални мрежи (VLANs) на ниво Layer 2 (Ethernet). Тези устройства поддържат по-сложни функции за управление на трафика и мрежови разделения, които са особено важни за корпоративни и доставчици на услуги мрежи.
Основни аспекти на VLAN Filtering:
- Bridge VLAN Filtering:
- VLANs се управляват чрез bridge интерфейса на устройството.
- Включването на VLAN Filtering означава, че всички трафици преминават през процес на проверка на VLAN етикети и съответствие с правилата, които сте дефинирали.
- Този режим позволява разделяне на трафика на различни VLANs и контролира кои портове са свързани с определени VLANs.
- Tagged и Untagged трафик:
- Tagged трафик съдържа VLAN ID, което указва към коя VLAN принадлежи.
- Untagged трафик не съдържа VLAN ID и може да бъде автоматично приписан към определен VLAN въз основа на настройките на порта.
/interface bridge
add name=bridge1
/ip address
add address=192.168.1.2/24 interface=bridge1
/interface bridge
/interface/bridge/set bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=sfp-sfpplus2
add bridge=bridge1 interface=sfp-sfpplus3
add bridge=bridge1 interface=sfp-sfpplus4
add bridge=bridge1 interface=sfp-sfpplus5
add bridge=bridge1 interface=sfp-sfpplus6
add bridge=bridge1 interface=sfp-sfpplus7
add bridge=bridge1 interface=sfp-sfpplus8
add bridge=bridge1 interface=sfp-sfpplus9
add bridge=bridge1 interface=sfp-sfpplus10
add bridge=bridge1 interface=sfp-sfpplus11
add bridge=bridge1 interface=sfp-sfpplus12
add bridge=bridge1 interface=sfp-sfpplus13
add bridge=bridge1 interface=sfp-sfpplus14 pvid=10
add bridge=bridge1 interface=sfp-sfpplus15 pvid=20
add bridge=bridge1 interface=sfp-sfpplus16 pvid=30
/interface bridge vlan
add bridge=bridge1 comment=Client1 tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=10
add bridge=bridge1 comment=Client1 tagged=sfp-sfpplus3,sfp-sfpplus4 vlan-ids=20
add bridge=bridge1 comment=Client1 tagged=sfp-sfpplus5,sfp-sfpplus6 vlan-ids=30
VLAN10 e тагнат на портове sfp-sfpplus1 и sfp-sfpplus2 и разтагнат на порт sfp-sfpplus14
Traffic Storm Control
Traffic Storm Control е мрежова функция, която ограничава или предотвратява прекомерно натоварване в мрежата от специфични типове трафик. Това се постига чрез задаване на прагове, които определят колко пакети от даден тип (например broadcast, multicast или unicast трафик) могат да бъдат приети или пренасочени през даден порт на мрежовото устройство за определен период от време.
Основни характеристики на Traffic Storm Control:
- Контрол на broadcast трафик: Това включва ограничаване на пакети, които се изпращат до всички устройства в мрежата едновременно.
- Контрол на multicast трафик: Ограничаване на пакети, които се изпращат до специфични групи от устройства.
- Контрол на unicast трафик: Ограничаване на пакети, които са насочени към конкретен получател, но могат да предизвикат прекомерен трафик в мрежата.
Цел на Traffic Storm Control:
Основната цел е да се предотврати претоварването на мрежата или срив в производителността, като се ограничи нежелан или прекомерен трафик. Тази функция се използва предимно в корпоративни и доставчици на интернет услуги, за да осигурят стабилност на мрежата и да защитят устройства от атаки.
/interface ethernet switch port
set 0 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 1 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 2 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 3 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 4 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 5 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 6 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 7 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 8 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 9 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 10 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 11 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 12 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 13 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 14 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 15 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 16 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
Port Isolation
Port isolation (изолация на портовете) е мрежова функция, която ограничава комуникацията между устройства, свързани към различни портове на едно и също мрежово устройство (обикновено суич или рутер). Целта е да се предотврати директния обмен на данни между портове, освен ако не е изрично разрешено, което повишава сигурността и производителността на мрежата.
/interface ethernet switch port-isolation
set 1 forwarding-override=sfp-sfpplus1
set 2 forwarding-override=sfp-sfpplus1
set 3 forwarding-override=sfp-sfpplus1
Проверка:
/interface/ethernet/switch/port-isolation/print
Flags: I - invalid
0 name="sfp-sfpplus1" switch=switch1
1 name="sfp-sfpplus2" switch=switch1 forwarding-override=sfp-sfpplus1
2 name="sfp-sfpplus3" switch=switch1 forwarding-override=sfp-sfpplus1
3 name="sfp-sfpplus4" switch=switch1 forwarding-override=sfp-sfpplus1
4 name="sfp-sfpplus5" switch=switch1
5 name="sfp-sfpplus6" switch=switch1
6 name="sfp-sfpplus7" switch=switch1
7 name="sfp-sfpplus8" switch=switch1
8 name="sfp-sfpplus9" switch=switch1
9 name="sfp-sfpplus10" switch=switch1
10 name="sfp-sfpplus11" switch=switch1
11 name="sfp-sfpplus12" switch=switch1
12 name="sfp-sfpplus13" switch=switch1
13 name="sfp-sfpplus14" switch=switch1
14 name="sfp-sfpplus15" switch=switch1
15 name="sfp-sfpplus16" switch=switch1
16 name="ether1" switch=switch1
17 name="switch1-cpu" switch=switch1
sfp-sfpplus2, sfp-sfpplus3 и sfp-sfpplus4 не се виждат помежду си но виждат sfp-sfpplus1 който е Uplink.
DHCP Snooping
DHCP snooping е мрежова функция за сигурност, която предпазва от злонамерени или неправилни DHCP сървъри в мрежата и предотвратява атаките, свързани с DHCP (Dynamic Host Configuration Protocol). Тя проверява DHCP съобщенията, които преминават през мрежата, и гарантира, че само легитимни DHCP сървъри могат да раздават IP адреси на устройства.
Основни функции на DHCP Snooping:
- Разделение на доверени и недоверени портове:
- Портовете на суича се категоризират като доверени (trusted) или недоверени (untrusted).
- Доверени портове са тези, към които са свързани легитимни DHCP сървъри.
- Недоверени портове са тези, към които са свързани клиентски устройства (например компютри, лаптопи) и други устройства, които нямат право да изпълняват ролята на DHCP сървър.
- Филтриране на DHCP трафик:
- DHCP snooping следи за нелегитимни DHCP предложения (DHCP offers) и отказва съобщения от DHCP сървъри, които са свързани към недоверени портове.
- Тази функция предотвратява атаки тип “DHCP spoofing“, при които злонамерен сървър в мрежата се опитва да раздаде неправилни IP адреси или мрежови конфигурации.
/interface/bridge/set dhcp-snooping=yes
/interface/bridge/port/set trusted=yes interface=sfp-sfpplus1
Loop Protect
Loop Protect е функция предназначена да предотврати мрежови лупове (цикли) в Layer 2 мрежи, като ги открива и изключва съответните портове, за да се избегне мрежов колапс. Циклите могат да възникнат, когато два или повече суича са свързани помежду си по начин, който създава безкрайна циркулация на трафик, което може да претовари мрежата и да доведе до загуба на комуникация.
Какво прави Loop Protect:
- Открива цикли в мрежата: Loop Protect следи за циклични пакети, като изпраща специални „пингове“ (Loop Protect packets) през портовете. Ако тези пакети не се върнат правилно, това може да означава, че е възникнал цикъл.
- Изключва портове при открит цикъл: Когато Loop Protect открие, че пакетите не циркулират правилно, функцията автоматично деактивира порта или портовете, които създават цикъла. Това предотвратява пренатоварването на мрежата.
- Подобрява Layer 2 мрежовата стабилност: Тази функция е полезна в сценарии, където STP (Spanning Tree Protocol) може да не е наличен или не е правилно конфигуриран.
/interface bridge port
set [interface_name] loop-protect=yes
Можете също така да конфигурирате следните опции:
loop-protect-interval
: Колко често да се изпращат Loop Protect пакети. По подразбиране е 5 секунди.loop-protect-disable-time
: Колко дълго да бъде изключен портът, ако се открие цикъл. Може да се зададе стойност в секунди.
Пример за настройка на интервалите:
/interface bridge port
set [interface_name] loop-protect=yes loop-protect-interval=2s loop-protect-disable-time=10m
Ползи от използването на Loop Protect:
- Бързо откриване на лупове: Функцията ви позволява да идентифицирате проблеми с мрежови цикли много по-бързо от традиционни методи.
- Изолация на проблемни устройства или връзки: Loop Protect автоматично изолира проблема, като деактивира порта, без да спира цялата мрежа.
- Добавка към STP: Loop Protect може да работи заедно с STP (Spanning Tree Protocol), за да осигури още по-голяма защита от лупове.
Кога да използвате Loop Protect:
- В мрежи, където няма STP или той не е конфигуриран правилно.
- В по-малки мрежи или специфични сегменти, където искате допълнителна защита срещу цикли.
- В мрежи с много физически връзки, които потенциално могат да предизвикат случайни лупове.
Тази функция е полезна за предпазване от инциденти, причинени от човешка грешка (например неправилно свързване на кабели) или случайни мрежови проблеми, които могат да създадат цикли.
IGMP Snooping
IGMP Snooping, който контролира мултикаст потоци и предотвратява мултикаст наводняване, е внедрен в RouterOS от версия 6.41. Неговите настройки се поставят в менюто на моста и работи независимо във всеки интерфейс на моста. Софтуерно управлявано внедряване работи на всички устройства с RouterOS, но суичовете от серията CRS1xx/2xx/3xx също поддържат IGMP Snooping с хардуерно разтоварване.
/interface bridge set bridge1 igmp-snooping=yes
проверка:
[admin@MikroTik] > interface bridge mdb print
BRIDGE VID GROUP PORTS
bridge1 200 229.1.1.2 ether3
ether2
ether1
bridge1 300 231.1.3.3 ether4
ether3
ether2
bridge1 400 229.10.10.4 ether4
ether3
bridge1 500 234.5.1.5 ether5
ether1
Отчетите за членство в IGMP се препращат само към портове, които са свързани към мултикаст рутер или към друг мост с активиран IGMP Snooping. Ако нито един порт не е маркиран като мултикаст рутер, тогава отчетите за членство в IGMP няма да бъдат препратени към нито един порт.