вторник, 15 декабря 2015 г.

Коммутация портов в RouterOS: отличие Bridge от Switch (Master Port).

  В RouterOS есть два способа коммутации портов. Первый - коммутация через Switch (Master Port):
Коммутация через Master Port.
  В этом случае коммутация производится через чип свитча, в обход центрального процессора маршрутизатора. Обычно в SOHO маршрутизаторах Mikrotik используется одна свитч-группа на 5 портов, если портов больше - две свитч-группы. В устройствах Cloud Router Switch чипы коммутации на больше портов и имеют больше возможностей, подробней на них мы останавливаться в этой статье не будем.
Настроить коммутацию можно в разделе General каждого порта, просто выбрав в пункте Master Port. Это главный порт, через который будет происходить коммутация. Коммутация позволяет достичь проводной скорости обмена данными между портами одной группы, как между портами в обычном Ethernet-коммутаторе. Основной (master) порт будет являться портом, через который RouterOS будет сообщаться со всеми остальными портами данной группы. Интерфейсы, для которых задан master-порт, становятся неактивны – не учитывается поступивший и отправленный трафик. Фактически, как будто мы объединили порты физическим, "тупым" коммутатором (свитчем).
   В роутерах Mikrotik применяются следующие чипы коммутации:
  • Atheros 8316 представлен в платах RB493G (ether1+ether6-ether9, ether2-ether5), RB1200 (ether1-ether5), RB450G (все порты (ether1 опционально)),RB435G (все порты (ether1 опционально)), RB750G, и в RB1100 (ether1-ether5, ether6-ether10).
  • Atheros 8327 представлен в платах серии RB2011 (ether1-ether5+sfp1), RB750GL, RB751G-2HnD, а также в RB1100AH и RB1100AHx2 (ether1-ether5, ether6-ether10).
  • Atheros8227 представлен в платах серии RB2011 (ether6-ether10).
  • Atheros 7240 представлен в RB750 (ether2-ether5), RB750UP (ether2-ether5), RB751U-2HnD (ether2-ether5) и RB951-2n.
  • ICPlus 175D представлен в более новых ревизиях RB450 (ether2-ether5) и в платах серии RB433 (ether2-ether3).
  • ICPlus 175C представлен в некоторых RB450 (ether2-ether5) и в некоторых платах серии RB433 (ether2-ether3).
  • ICPlus 178C представлен в платах серии RB493 (ether2-ether9) и в RB816.
  * Порт ether1 на RB450G имеет особенность, которая позволяет ему быть исключённым/добавленным из/в коммутируемой(ую) группы(у) по умолчанию. По умолчанию порт ether1 будет включён в группу коммутации. Данная конфигурация может быть изменена с помощью команды "/interface ethernet switch set switch1 switch-all-ports=no".
switch-all-ports=yes/no:
"yes" означает, что порт ether1 является портом коммутатора и поддерживает создание групп коммутации и все остальные расширенные возможности чипа Atheros8316, включая расширенную статистику (/interface ethernet print stats).
"no" означает, что порт ether1 не является частью коммутатора, что, фактически, делает его самостоятельным Ethernet-портом – это способ увеличения пропускной способности между ним и другими портами в режимах сетевого моста и маршрутизации, но в то же время исключает возможность коммутации 

на этом порту.
   Коммутация через Switch является самой быстрой и производительной в маршрутизаторе, в тоже время имеет наименьшее количество возможностей. 
  При этом:
  •  master Port можно назначить ТОЛЬКО внутри каждой группы;
  •  master Port может быть только ОДИН внутри switch-чипа;
  •  "Master" и "Slave" для чипа коммутации считаются равными;
  • одно различие между "master" и "slave" - ТОЛЬКО главный порт обращается к CPU напрямую, ему назначается IP, он объединяется в Bridge и т.д.
   
   Итого, можно выделить несколько особенностей такого метода:
  • каждый новый RouterBOARD с несколько Ethernet интерфейсам оснащен чипом Switch;
  • при коммутации не используются ресурсы процессора;
  • с ROS v.6 поддерживается VLAN Trunking (разруливать VLAN-ны можно без потери производительности основного ЦП).
   

Второй способ - коммутация через Bridge:
Коммутация через Bridge.
   Порты объединяются не напрямую, а программно, используя ресурсы центрального процессора маршрутизатора. К портам могут быть применены фильтры брандмауэра. Такое объединение так-же влияет на прохождение пакетов по упрощенной схеме (Fastpath). Если взять в пример 2011-серию маршрутизаторов, то ether1-ether5 объеденены в switch1 (Atheros 8327) а ether6-ether10 в switch2 (Atheros 8227), вы можете использовать только Bridge для объединения их в одно целое.
  Особенность данного метода:
  • можно маршрутизировать и фильтровать пакеты между портами;
  • возрастает нагрузка на процессор;
  • можно объединять любые порты маршрутизатора; 
  • Wi-Fi интерфейс коммутируется ТОЛЬКО через Bridge;
  • после объединения портов в Bridge IP-адрес назначается на "интерфейс Bridge", в классическом firewall правила применяем ко всем виртуальному интерфейсу. Правила применимые к портам прописываем в Bridge - NAT, Bridge - Filters;
  • VLAN проходит через ЦП устройства Mikrotik.


Используемый материал:



Подписаться на новые статьи.

5 комментариев:

  1. Добрый день. Спасибо за статью. Скажите, у меня есть несколько виртуальных интерфейсов которые надо бирджевать с локалкой (еоайпи), можно ли мастер порт добавлять в бридж? Ну и потом я так понял айпи назначать все равно бриджу.

    ОтветитьУдалить
    Ответы
    1. Все верно. Мастер-порт в бридж, айпи на бридж. Все остальные интерфейсы езернет слейвом к мастер-порту.

      Удалить
  2. CRS125 надо подключить свитчем к уже имеющийся локалке, где настроен DHCP.
    чтоб DHCP из локалки, выдавал айпишники на этом свитче CRS125.
    Подскажите какие-нибудь мысли?

    ОтветитьУдалить
    Ответы
    1. а в чем проблема? подключаете CRS125, выбираем мастер порт, остальные в слейв. на порт дшсп-клиент и вперед.

      Удалить
  3. Добрый день.
    Хотел бы узнать Ваше мнение.
    У меня ситуация такая . 2 Офиса объединяю на микротиках 2011, используя L2tp сервер. Все порты в этих роутерах мне не нужны. Wi-fi нет. Я делаю коммутацию средствами master port. Что бы не загружать процессор. Так как, читал что шифрование на этих роутерах очень его загружает.
    Что посоветуете? Использовать master port или bridge. И еще вопрос ... пробросить сетевые ресурсы можно только proxy -arp (в Bridge)?

    ОтветитьУдалить