You are currently viewing MikroTik CRS317-1G-16S+RM

MikroTik CRS317-1G-16S+RM

VLAN Filtering

В серията 3xx на MikroTik, която включва устройства като CCR3xx и CRS3xx, функцията VLAN filtering се използва за конфигуриране и управление на виртуални локални мрежи (VLANs) на ниво Layer 2 (Ethernet). Тези устройства поддържат по-сложни функции за управление на трафика и мрежови разделения, които са особено важни за корпоративни и доставчици на услуги мрежи.

Основни аспекти на VLAN Filtering:

  1. Bridge VLAN Filtering:
    • VLANs се управляват чрез bridge интерфейса на устройството.
    • Включването на VLAN Filtering означава, че всички трафици преминават през процес на проверка на VLAN етикети и съответствие с правилата, които сте дефинирали.
    • Този режим позволява разделяне на трафика на различни VLANs и контролира кои портове са свързани с определени VLANs.
  2. Tagged и Untagged трафик:
    • Tagged трафик съдържа VLAN ID, което указва към коя VLAN принадлежи.
    • Untagged трафик не съдържа VLAN ID и може да бъде автоматично приписан към определен VLAN въз основа на настройките на порта.
Plaintext
/interface bridge
add name=bridge1

/ip address
add address=192.168.1.2/24 interface=bridge1

/interface bridge
/interface/bridge/set bridge1 vlan-filtering=yes

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=sfp-sfpplus2
add bridge=bridge1 interface=sfp-sfpplus3
add bridge=bridge1 interface=sfp-sfpplus4
add bridge=bridge1 interface=sfp-sfpplus5
add bridge=bridge1 interface=sfp-sfpplus6
add bridge=bridge1 interface=sfp-sfpplus7
add bridge=bridge1 interface=sfp-sfpplus8
add bridge=bridge1 interface=sfp-sfpplus9
add bridge=bridge1 interface=sfp-sfpplus10
add bridge=bridge1 interface=sfp-sfpplus11
add bridge=bridge1 interface=sfp-sfpplus12
add bridge=bridge1 interface=sfp-sfpplus13
add bridge=bridge1 interface=sfp-sfpplus14 pvid=10
add bridge=bridge1 interface=sfp-sfpplus15 pvid=20
add bridge=bridge1 interface=sfp-sfpplus16 pvid=30

/interface bridge vlan
add bridge=bridge1 comment=Client1 tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=10
add bridge=bridge1 comment=Client1 tagged=sfp-sfpplus3,sfp-sfpplus4 vlan-ids=20
add bridge=bridge1 comment=Client1 tagged=sfp-sfpplus5,sfp-sfpplus6 vlan-ids=30

VLAN10 e тагнат на портове sfp-sfpplus1 и sfp-sfpplus2 и разтагнат на порт sfp-sfpplus14

Traffic Storm Control

Traffic Storm Control е мрежова функция, която ограничава или предотвратява прекомерно натоварване в мрежата от специфични типове трафик. Това се постига чрез задаване на прагове, които определят колко пакети от даден тип (например broadcast, multicast или unicast трафик) могат да бъдат приети или пренасочени през даден порт на мрежовото устройство за определен период от време.

Основни характеристики на Traffic Storm Control:

  1. Контрол на broadcast трафик: Това включва ограничаване на пакети, които се изпращат до всички устройства в мрежата едновременно.
  2. Контрол на multicast трафик: Ограничаване на пакети, които се изпращат до специфични групи от устройства.
  3. Контрол на unicast трафик: Ограничаване на пакети, които са насочени към конкретен получател, но могат да предизвикат прекомерен трафик в мрежата.

Цел на Traffic Storm Control:

Основната цел е да се предотврати претоварването на мрежата или срив в производителността, като се ограничи нежелан или прекомерен трафик. Тази функция се използва предимно в корпоративни и доставчици на интернет услуги, за да осигурят стабилност на мрежата и да защитят устройства от атаки.

Plaintext
/interface ethernet switch port
set 0 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 1 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 2 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 3 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 4 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 5 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 6 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 7 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 8 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 9 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 10 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 11 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 12 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 13 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 14 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 15 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1
set 16 limit-unknown-multicasts=yes limit-unknown-unicasts=yes storm-rate=1

Port Isolation

Port isolation (изолация на портовете) е мрежова функция, която ограничава комуникацията между устройства, свързани към различни портове на едно и също мрежово устройство (обикновено суич или рутер). Целта е да се предотврати директния обмен на данни между портове, освен ако не е изрично разрешено, което повишава сигурността и производителността на мрежата.

Plaintext
/interface ethernet switch port-isolation
set 1 forwarding-override=sfp-sfpplus1
set 2 forwarding-override=sfp-sfpplus1
set 3 forwarding-override=sfp-sfpplus1

Проверка:

Plaintext
/interface/ethernet/switch/port-isolation/print  
Flags: I - invalid 
 0   name="sfp-sfpplus1" switch=switch1 
 1   name="sfp-sfpplus2" switch=switch1 forwarding-override=sfp-sfpplus1
 2   name="sfp-sfpplus3" switch=switch1 forwarding-override=sfp-sfpplus1 
 3   name="sfp-sfpplus4" switch=switch1 forwarding-override=sfp-sfpplus1 
 4   name="sfp-sfpplus5" switch=switch1 
 5   name="sfp-sfpplus6" switch=switch1 
 6   name="sfp-sfpplus7" switch=switch1 
 7   name="sfp-sfpplus8" switch=switch1 
 8   name="sfp-sfpplus9" switch=switch1 
 9   name="sfp-sfpplus10" switch=switch1 
10   name="sfp-sfpplus11" switch=switch1 
11   name="sfp-sfpplus12" switch=switch1 
12   name="sfp-sfpplus13" switch=switch1 
13   name="sfp-sfpplus14" switch=switch1 
14   name="sfp-sfpplus15" switch=switch1 
15   name="sfp-sfpplus16" switch=switch1 
16   name="ether1" switch=switch1 
17   name="switch1-cpu" switch=switch1 

sfp-sfpplus2, sfp-sfpplus3 и sfp-sfpplus4 не се виждат помежду си но виждат sfp-sfpplus1 който е Uplink.

DHCP Snooping

DHCP snooping е мрежова функция за сигурност, която предпазва от злонамерени или неправилни DHCP сървъри в мрежата и предотвратява атаките, свързани с DHCP (Dynamic Host Configuration Protocol). Тя проверява DHCP съобщенията, които преминават през мрежата, и гарантира, че само легитимни DHCP сървъри могат да раздават IP адреси на устройства.

Основни функции на DHCP Snooping:

  1. Разделение на доверени и недоверени портове:
    • Портовете на суича се категоризират като доверени (trusted) или недоверени (untrusted).
    • Доверени портове са тези, към които са свързани легитимни DHCP сървъри.
    • Недоверени портове са тези, към които са свързани клиентски устройства (например компютри, лаптопи) и други устройства, които нямат право да изпълняват ролята на DHCP сървър.
  2. Филтриране на DHCP трафик:
    • DHCP snooping следи за нелегитимни DHCP предложения (DHCP offers) и отказва съобщения от DHCP сървъри, които са свързани към недоверени портове.
    • Тази функция предотвратява атаки тип “DHCP spoofing“, при които злонамерен сървър в мрежата се опитва да раздаде неправилни IP адреси или мрежови конфигурации.
Plaintext
/interface/bridge/set dhcp-snooping=yes
/interface/bridge/port/set trusted=yes interface=sfp-sfpplus1

Loop Protect

Loop Protect е функция предназначена да предотврати мрежови лупове (цикли) в Layer 2 мрежи, като ги открива и изключва съответните портове, за да се избегне мрежов колапс. Циклите могат да възникнат, когато два или повече суича са свързани помежду си по начин, който създава безкрайна циркулация на трафик, което може да претовари мрежата и да доведе до загуба на комуникация.

Какво прави Loop Protect:

  • Открива цикли в мрежата: Loop Protect следи за циклични пакети, като изпраща специални „пингове“ (Loop Protect packets) през портовете. Ако тези пакети не се върнат правилно, това може да означава, че е възникнал цикъл.
  • Изключва портове при открит цикъл: Когато Loop Protect открие, че пакетите не циркулират правилно, функцията автоматично деактивира порта или портовете, които създават цикъла. Това предотвратява пренатоварването на мрежата.
  • Подобрява Layer 2 мрежовата стабилност: Тази функция е полезна в сценарии, където STP (Spanning Tree Protocol) може да не е наличен или не е правилно конфигуриран.

Plaintext
/interface bridge port
set [interface_name] loop-protect=yes

Можете също така да конфигурирате следните опции:

  • loop-protect-interval: Колко често да се изпращат Loop Protect пакети. По подразбиране е 5 секунди.
  • loop-protect-disable-time: Колко дълго да бъде изключен портът, ако се открие цикъл. Може да се зададе стойност в секунди.

Пример за настройка на интервалите:

Plaintext
/interface bridge port
set [interface_name] loop-protect=yes loop-protect-interval=2s loop-protect-disable-time=10m

Ползи от използването на Loop Protect:

  • Бързо откриване на лупове: Функцията ви позволява да идентифицирате проблеми с мрежови цикли много по-бързо от традиционни методи.
  • Изолация на проблемни устройства или връзки: Loop Protect автоматично изолира проблема, като деактивира порта, без да спира цялата мрежа.
  • Добавка към STP: Loop Protect може да работи заедно с STP (Spanning Tree Protocol), за да осигури още по-голяма защита от лупове.

Кога да използвате Loop Protect:

  • В мрежи, където няма STP или той не е конфигуриран правилно.
  • В по-малки мрежи или специфични сегменти, където искате допълнителна защита срещу цикли.
  • В мрежи с много физически връзки, които потенциално могат да предизвикат случайни лупове.

Тази функция е полезна за предпазване от инциденти, причинени от човешка грешка (например неправилно свързване на кабели) или случайни мрежови проблеми, които могат да създадат цикли.

IGMP Snooping

IGMP Snooping, който контролира мултикаст потоци и предотвратява мултикаст наводняване, е внедрен в RouterOS от версия 6.41. Неговите настройки се поставят в менюто на моста и работи независимо във всеки интерфейс на моста. Софтуерно управлявано внедряване работи на всички устройства с RouterOS, но суичовете от серията CRS1xx/2xx/3xx също поддържат IGMP Snooping с хардуерно разтоварване.

Plaintext
/interface bridge set bridge1 igmp-snooping=yes

проверка:

Plaintext
[admin@MikroTik] > interface bridge mdb print 
BRIDGE                   VID GROUP                                              PORTS           
bridge1                  200 229.1.1.2                                          ether3          
                                                                                ether2          
                                                                                ether1          
bridge1                  300 231.1.3.3                                          ether4          
                                                                                ether3          
                                                                                ether2          
bridge1                  400 229.10.10.4                                        ether4          
                                                                                ether3          
bridge1                  500 234.5.1.5                                          ether5          
                                                                                ether1          

Отчетите за членство в IGMP се препращат само към портове, които са свързани към мултикаст рутер или към друг мост с активиран IGMP Snooping. Ако нито един порт не е маркиран като мултикаст рутер, тогава отчетите за членство в IGMP няма да бъдат препратени към нито един порт.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.