Configurarea utilizând linia de comandă este disponibilă din meniul / interfața Ethernet switch. Acest meniu conține o listă cu toate cipurile de comutare prezentate în sistem, precum și unele submeniuri. Comutatorul Ethernet meniu / interfață afișează o listă a caracteristicilor elementului care este cipul de comutare prezentat în sistem:
În funcție de tipul de comutator, pot fi disponibile unele opțiuni de configurare sau, invers, nu sunt disponibile.
oportunități
Comutare port
Comutarea permite obținerea unei viteze de transfer a datelor între porturile din același grup, ca și între porturile dintr-un switch Ethernet convențional. Această funcție poate fi configurată prin specificarea parametrului "master-port" pentru unul sau mai multe porturi din meniul / ethernet. Portul principal va fi portul prin care RouterOS va comunica cu toate celelalte porturi ale acestui grup. Interfețele pentru care este specificat portul principal devin inactive - nu iau în considerare traficul primit de la acestea și traficul nu poate fi trimis de la acestea.
De exemplu, luați în considerare un router cu cinci interfețe Ethernet:
Și configurați un switch care conține trei porturi: ether3, ether4, and ether5:
ether3 este acum portul principal al grupului. Notă: este posibil să observați că anterior conexiunea a fost fixată numai pe interfața ether5, dar acum, din moment ce interfața eter3 este atribuită valoarea "master", steagul activității (R) se extinde la portul principal.
În esență, această configurație este echivalentă cu cazul în care RouterBoard avea 3 interfețe Ethernet și interfața ether3 ar fi conectată la un switch Ethernet cu patru porturi:
O schemă generală RouterBoard cu un cip de comutare cu 5 porturi:
Aici puteți vedea că pachetul primit de unul dintre porturi este întotdeauna primul manipulat de logica comutatorului. Logica comutatorului decide care porturi să fie trimise pachetului. Transmiterea pachetului mai mare în funcție de schemă sau, cu alte cuvinte, transferul lui RouterOS se numește de asemenea trimiterea pachetului la portul cpu al cipului de comutare. Aceasta înseamnă că, în momentul în care comutatorul trimite pachetul către portul cpu-ului, acest pachet începe să fie procesat de RouterOS ca un pachet care a sosit pe oricare dintre interfețe. În timp ce pachetul nu a ajuns la portul CPU, prelucrarea sa este complet realizată de logica comutatorului, fără a necesita implicarea CPU-ului, iar această procesare are loc la viteza firului la orice dimensiune a cadrului.
Portul ether1 de pe RB450G are o caracteristică care îi permite să fie exclusă / adăugată din / în grupul dial-up (y) în mod implicit. Implicit, portul ether1 va fi inclus în grupul de comutare. Această configurație poate fi schimbată cu comanda / interfața comutatorului Ethernet set switch1 switch-all-ports = nr.
"da" înseamnă că portul ether1 este portul de switch și sprijină crearea de grupuri de comutare și toate celelalte funcții avansate ale cipului Atheros8316, inclusiv statistici extinse (/ interfață Ethernet print print).
„Nu“ înseamnă că ether1 portul nu face parte din comutatorul, de fapt, că face independent Ethernet-Port - o modalitate de a crește lățimea de bandă între ele și alte porturi din modurile de pod de rețea și de rutare, dar în același timp, elimină posibilitatea de pornire acest port.
Port oglindire
Oglindirea porturilor permite comutatorului să monitorizeze traficul de intrare și de ieșire din orice port (mirror-source) și să trimită o copie a acestor pachete către un alt port (oglindă-țintă). Această funcție poate fi utilizată pentru a crea un dispozitiv "de ascultare" care primește tot traficul de intrare / ieșire al unui anumit port. Rețineți că porturile oglindă-sursă și oglindă-țintă trebuie să aparțină aceluiași comutator (a se vedea la care comutator portul aparține prin meniul portului / switch Ethernet). De asemenea, opțiunea oglindă-țintă poate fi setată la "CPU", ceea ce înseamnă că pachetele interceptate trebuie trimise de la portul cpu al cipului de comutare. Oglindirea portului are loc indiferent dacă au fost create sau nu grupuri de comutare.
VLAN-tabel
Tabelele Vlan specifică reguli specifice pentru redirecționarea pachetelor care conțin etichete 802.1q. Aceste reguli au o prioritate mai mare decât grupurile de comutare create cu parametrul "master-port". Practic, tabela conține înregistrări care cartografiază anumiți identificatori ai etichetelor vlan într-un grup de unul sau mai multe porturi. Pachetele care conțin vlan-tag-uri părăsesc cipul de comutare prin unul sau mai multe porturi specificate în înregistrările corespunzătoare ale tabelului. logica strictă care controlează modul în care pachetele sunt procesate cu VLAN-tag-ul, este controlată prin utilizarea „VLAN-mode“, ale cărui valori pot fi schimbate pentru fiecare port de switch separat prin intermediul meniului / port de interfață switch Ethernet. Parametrul "vlan-mode" poate lua următoarele valori:
- dezactivat - ignorarea tabelului vlan, procesarea pachetelor care conțin vlan-tag-uri exact ca și cum acestea nu ar conține etichete vlan;
- backback - modul implicit - pentru a gestiona pachetele care conțin vlan-tag-uri care nu sunt reprezentate în tabelul vlan, ca și cum nu ar conține etichete vlan. Pachetele care conțin vlan-tag-uri reprezentate în tabelul vlan, dar portul de intrare nu corespunde nici unui port din înregistrările vlan-ului, nu vor fi aruncate.
- verificați - eliminați pachetele care conțin etichete vlan care nu sunt reprezentate în tabelul vlan. Pachetele care conțin vlan-tag-uri reprezentate în tabelul vlan, dar portul de intrare nu corespunde nici unui port din înregistrările tablei vlan, nu vor fi aruncate.
- sigure - eliminați pachetele care conțin etichete vlan nereprezentate în tabelul vlan. Pachetele care conțin vlan-tag-uri reprezentate în tabelul vlan, dar portul de intrare nu corespunde nici unui port din înregistrările tablei vlan, va fi, de asemenea, aruncat.
Pachetele care nu conțin VLAN-tag-ul sunt tratate la fel ca și în cazul în care conținea VLAN-tag-ul cu id VLAN = 0. Aceasta înseamnă că, dacă parametrul este „VLAN-mode“ este setat la „verifica“ sau „sigure“, apoi, în ordine astfel încât este posibilă transmiterea pachetelor fără etichete vlan, va trebui să adăugați o intrare separată în tabelul vlan, care specifică un id vlan cu o valoare "0".
Opțiunea vlan-header (disponibilă pentru configurare prin portul de interfață Ethernet / interfață) specifică modul de etichetare VLAN de pe portul de ieșire. Această opțiune funcționează numai pe cipul Atheros 8316 și poate lua următoarele valori:
- leave-as-is - pachetul nu este afectat de modificările de pe portul de ieșire;
- întotdeauna-strip - dacă este prezentă antetul VLAN, acesta va fi eliminat din pachet;
- add-if-missing - dacă antetul VLAN lipsește, acesta va fi adăugat în pachet.
Tabel de reguli
Tabelul de reguli este un instrument foarte puternic, care permite viteza firului (viteza de sârmă) producând o operație de filtrare de pachete, transmiterea și vlan etichetarea bazate pe valorile relative ale anumitor câmpuri antet de protocol L2, L3, L4-niveluri.
Fiecare regulă constă dintr-un bloc condițional și un bloc de acțiune. Următorii parametri sunt responsabili pentru blocul de acțiune:
Următorii parametri corespund blocului de condiții:
Condițiile IPv4 și IPv6 nu pot fi utilizate simultan în aceeași regulă. Tabelul conține o listă ordonată de reguli, ca în meniul de filtrare firewall / ip. Datorită faptului că tabelul cu reguli este procesat complet datorită capacităților hardware ale cipului de comutare, există o limită a numărului de reguli pe care le puteți specifica. În funcție de numărul de condiții stabilite (MAC-strat, IP-strat, IPv6, L4-nivel) utilizate în regulile, numărul de reguli active pot varia în 8-32 Atheros cip 8316 și 24-96 pentru Atheros 8327 cip. puteți rula întotdeauna comanda / interfață regulă switch Ethernet de imprimare după modificarea set de reguli pentru a verifica dacă nu există reguli etichetate cu „invalid“ la sfârșitul listei, ceea ce înseamnă că cipul de comutare nu poate procesa aceste reguli.
Exemple de personalizare
Exemplul 1. Crearea unui trunchi 802.1Q folosind Atheros 8316
Routerboard-urile bazate pe switch-ul Atheros 8316 pot fi folosite pentru a crea trunchiuri 802.1Q. În acest exemplu, interfețele ether2, ether3 și ether4 sunt porturi de acces, în timp ce ether5 este un port trunchi. VLAN-ID-uri pentru fiecare port de acces: ether2 - 200, ether3 - 300, ether4 - 400.
- Am setat parametrii vlan-mode și vlan-header la ieșirea fiecărui port. Utilizați vlan-mode = securizat pentru a vă asigura că conținutul mesei VLAN este strict compatibil. Pentru porturile de acces utilizați parametrul vlan-header = always-strip - în acest caz, antetele VLAN vor fi șterse din cadru la ieșirea cipului de comutare. Pentru un port trunchi, utilizați opțiunea vlan-header = add-if-missing, care va adăuga antetul VLAN la cadrele nestabile.
- Pentru porturile de acces și porturile de trunchi, specificați regulile de redirecționare. Pentru cadrele neclasificate care ajung la porturile de acces, VLAN-ID-ul inițial va fi modificat înainte de a fi trimise la portul trunchiului. Cadrele primite pe portul portbagaj vor fi trimise la porturile de acces corespunzătoare în funcție de valorile lor VLAN-ID.
- Adăugați intrări în tabelul VLAN pentru a permite cadrelor de pe portul de intrare cu anumite valori VLAN-ID.
Exemplul 2. Porturi de port și porturi de acces
Routerboards cu cipuri de comutare Atheros pot fi utilizate pentru trunchiul 802.1Q. Această caracteristică în RouterOS versiunea 6 este susținută de cipurile de comutare QCA8337, AR8316, AR8327, AR8227 și AR7240.
În acest exemplu, eter3, eter4 și eter5 sunt porturi de acces, în timp ce eter2 este un port trunchi. ID-urile VLAN pentru fiecare port de acces: ether3-200, ether4-300, ether5-400.
- Creați un grup de porturi comutate selectând un port master și setându-l pentru alte porturi.
- Adăugați intrări de tabelă VLAN pentru a permite cadre cu identificări VLAN specifice între porturi.
- Atribuiți modul "vlan-mode" și "vlan-header" pentru fiecare port și, de asemenea, "vlan-id-default" la intrare pentru fiecare port de acces.
Setarea "vlan-mode = secure" asigură utilizarea strictă a tabelei VLAN.
Setarea "vlan-header = always-strip" pentru porturile de acces elimină antetul VLAN din cadru atunci când părăsește comutatorul.
Setarea "vlan-header = add-if-missing" pentru portul trunchi adaugă antet VLAN la cadre fără tag.
"Default-vlan-id" specifică ce ID-ul VLAN este adăugat pentru traficul de intrare netichetat al portului de acces.
Exemplul 2. Porturi portbagaj și hibride
Porturile Hybrid VLAN care pot transmite atât traficul marcat, cât și cel neetichetat (QCA8337, AR8327)
- Creați un grup de porturi comutate.
- Adăugați intrări de tabelă VLAN pentru a permite cadre cu identificări VLAN specifice între porturi.
- În meniul portului comutator se reglează "vlan-mode" pe toate porturile și de asemenea "default-vlan-id" pe porturile hibride planificate.
"Vlan-mode = secure" va asigura utilizarea strictă a tabelei VLAN.
"Default-vlan-id" va defini VLAN pentru trafic de intrare fără taguri pe port.
În chips-urile switch-urilor Gigabit atunci când "vlan-mode = secure", ignoră opțiunile portului "vlan-header". Înregistrările tabelului VLAN se ocupă de toate marcările / etichetarea de ieșire și funcționează ca "vlan-header = leave-as-is" pe toate porturile.
Aceasta înseamnă că ceea ce vine în etichetă, ieșire etichetat, de asemenea, numai cadrele "implicit-vlan-id" sunt neclasificate la ieșirea din port.
Configurarea IP a managementului
Acest exemplu va arăta una dintre configurațiile posibile de gestionare a adreselor IP. IP-ul de management va fi accesibil numai prin portbagaj.
- Adăugați intrarea de tabelă VLAN pentru a permite traficul de administrare prin portul de comutare-cpu și portul trunchiului.
- Configurați portul care conectează cipul de comutare cu CPU, setați "vlan-header = leave-as-is", deoarece traficul de management ar trebui deja să fie etichetat.
- Adăugați VLAN 99 și atribuiți adresa IP acestuia. Deoarece portul master primește tot traficul provenind de la portul switch-cpu, VLAN trebuie să fie configurat pe port-master, în acest caz portul "ether2".
Trimiteți-le prietenilor: