Настройка коммутатора mikrotik crs354
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Trunk and hybrid port
Выкладываем здесь готовые конфигурации под определенные типовые задачиДобрый день, коллеги.
Дано.
CRS354-48G-4S+2Q+RM
Cisco L2 Switch
Необходимо:
1) На CRS354-48G-4S+2Q+RM получить Trunk от Cisco L2 Switch (реализованно и нормально работает)
2) Некоторые ethernet порты CRS354-48G-4S+2Q+RM перевести в режим гибридных и обеспечить на них трафик от нескольих Vlan.
Исходные данные:
Vlan ID 1 (пользовательский)
10.120.84.0/24
DG для сети 10.120.84.0/24 10.120.84.254 - Cisco router живёт за Cisco L2 Switch
Vlan ID 200 (ip телефония)
172.30.6.0/24
DG для сети 172.30.6.0/24 172.30.6.254 - Cisco router живёт за Cisco L2 Switch
На Cisco L2 Switch hybrid port настроены и прекрасно работают.
То есть в порт подключен IP телефон, который получает адрес по DHCP от своего DHCP сервера на Cisco - 172.30.6.254 , в ethernet Swirch port телефона подключена рабочее место пользователя,на котором в статике прописана IP адресация.
Для Vlan ID 1 есть доступ в сеть интернет.
Для Vlan ID 200 нет доступа в сеть интернет.
Результат.
На ethernet порту ether24 прописан PVID 200,что соответствует Vlan ID 200.
Vlan ID 200 - прекрасно работает.
Но на порту ether24 Vlan ID 1 не работает от слова совсем.
ping 10.120.84.56
SEQ HOST SIZE TTL TIME STATUS
0 10.120.84.56 timeout
1 10.120.84.56 timeout
2 10.120.84.2 84 64 983ms host unreachable
sent=3 received=0 packet-loss=100%
[hiden@MikroTik] > ping 172.30.6.66
SEQ HOST SIZE TTL TIME STATUS
0 172.30.6.66 56 64 1ms
1 172.30.6.66 56 64 0ms
sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=1ms
Видно, что устройство определяет, что IP address 10.120.84.56 находится в Vlan ID 1, но не видит его mac address.
Примечание:
Если в настройках порта ether24 на привязке bridge установить PVID 1 и сделать соответствующие настройки target\untarget, то тогда на порту ether24 будет прекрасно работать Vlan ID1, но не будет работать Vlan ID200.
Вопрос.
Что и как необходимо сделать,чтобы нормально заработал функционал Hybrid port?
Коммутатор MikroTik RS354-48G-4S+2Q+RM относится к 300-й серии высокопроизводительных коммутаторов Cloud Router Switch (CRS). На нем есть 48 гигабитных ethernet-интерфейсов, четыре 10-гигабитных интерфейса SFP+ и два 40-гигабитных интерфейса QSFP+. Все интерфейсы объединены через один свитч-чип с поддержкой неблокирующей коммутации. На устройстве отсутствует USB-интерфейс, разъем под карту памяти и поддержка Wi-Fi.
По сравнению с любыми другими устройствами MikroTik, которые не являются коммутаторами, но могут выполнять такую функцию, основными (но не единственными) преимуществами устройств серии CRS3xx являются:
Проводные интерфейсы
| Тип | Разновидность и скорость | Количество |
|---|---|---|
| Ethernet | 100 Мбит/с | 1 |
| 1 Гбит/с | 48 | |
| 10 Гбит/с | – | |
| SFP 1 | SFP 1 Гбит/с | – |
| SFP+ 10 Гбит/с | 4 | |
| SFP28 25 Гбит/с | – | |
| QSFP+ 40 Гбит/с | 2 | |
| Комбо | Ethernet или SFP по 1 Гбит/с | – |
| Ethernet или SFP+ по 10 Гбит/с | – | |
| Серийный | RJ45 | 1 |
| RS232 | – | |
| USB | A-тип 2.0 | – |
| A-тип 3.0 | – | |
| MicroUSB AB-тип 2.0 | – | |
| Карта памяти | MicroSD | – |
| M.2 | – |
1 Поддерживаемые SFP-модули приведены в конце страницы.
Возможности свитч-чипа
На MikroTik CRS354-48G-4S+2Q+RM используется один отдельно стоящий свитч-чип Marvell 98DX3257. Свитч-чип поддерживает неблокирующую коммутацию и объединяет интерфейсы ether1 – ether48, sfp1 – sfp4 (SFP+) и sfp5 – sfp6 (QSFP+).
| Параметр | Значение |
|---|---|
| Поддержка неблокирующей коммутации | Да |
| Порты | ether1 – ether48, sfp1 – sfp4 (SFP+) и sfp5 – sfp6 (QSFP+) |
| Зеркалирование трафика | Да |
| Ограничение скорости на передачу (Tx) | Да |
| Ограничение скорости на прием (Rx) | Да |
| Количество записей в таблице коммутации | 32 000 |
| Количество записей в таблице VLAN | – |
| Количество записей в таблице правил коммутации | 170 |
Как и на любых других устройствах, которые являются коммутаторами CRS3xx, на коммутаторе MikroTik CRS354-48G-4S+2Q+RM аппаратная коммутация не отключается при активации функционала, который зачастую отключает аппаратную коммутацию на коммутаторах отличных от CRS3xx.
| Технология | Совместимость |
|---|---|
| RSTP | Да |
| MSTP | Да |
| IGMP Snooping | Да |
| DHCP Snooping | Да |
| Bridge VLAN Filtering | Да |
| Агрегация каналов Bonding | Да |
Поддержка VLAN
Как и на любых других устройствах, которые являются коммутаторами CRS3xx, на коммутаторе MikroTik CRS354-48G-4S+2Q+RM возможно выполнение Bridge VLAN Filtering с помощью свитч-чипа.
| Способ | Значение |
|---|---|
| Bridge VLAN Filtering с помощью процессора | Да |
| Bridge VLAN Filtering с помощью свитч-чипа | Да |
| Interface VLAN | Да |
| Switch VLAN | Нет |
Беспроводные интерфейсы
На MikroTik CRS354-48G-4S+2Q+RM беспроводные интерфейсы отсутствуют.
Производительность
Распространенная ошибка при выборе коммутатора
Распространенной ошибкой при выборе коммутатора является подбор устройства по принципу возможности работы коммутатора с заданным количеством компьютеров. Такой подход является в корне неверным, т.к. ключевую роль играет не количество техники, а нагрузка, которую эта техника создает. В реальной жизни легко получить ситуацию, в которой 5 компьютеров будут нагружать коммутатор в разы сильнее, чем 50 компьютеров.
Правильный способ оценки производительности коммутатора
Производительность коммутаторов принято оценивать в битах в секунду или в пакетах в секунду. Оценка в пакетах в секунду с технической точки зрения является более правильным способом, но не всегда самым удобным, особенно для начинающих специалистов.
Таблица производительности коммутаторов MikroTik
Для коммутаторов компания MikroTik приводит данные в виде двух таблиц:
- в столбцах указаны кадры размером 1518, 512 и 64 байта, а в строках – данные для аппаратной коммутации (switching);
- в столбцах указаны кадры размером 1518, 512 и 64 байта, а в строках – данные для программной коммутации (bridging) и маршрутизации при использовании FastPath либо правил в Bridge Filter, Simple Queue или IP Firewall Filter.
Ошибки при оценке потенциальной пропускной способности коммутаторов MikroTik
Распространенными ошибками при оценке потенциальной пропускной способности на MikroTik CRS354-48G-4S+2Q+RM являются:
Результаты тестирования
| Режим | Конфигурация | 1518 байт | 512 байт | 64 байт | |||
|---|---|---|---|---|---|---|---|
| Кп/с | Мбит/с | Кп/с | Мбит/с | Кп/с | Мбит/с | ||
| Аппаратная коммутация (switching) | Неблокирующая коммутация L2 в одном направлении (Tx или Rx) | 13 662,2 | 165 914,0 | 39 497,2 | 161 780,5 | 250 148,8 | 128 076,2 |
| Аппаратная коммутация (switching) | Неблокирующая коммутация L2 в двух направлениях (Tx + Rx) | 13 662,2 | 331 828,1 | 39 497,2 | 323 560,9 | 250 148,8 | 256 152,4 |
| Аппаратная коммутация (switching) | Неблокирующая коммутация L1 в одном направлении (Tx или Rx) | 13 662,2 | 168 100,0 | 39 497,2 | 168 100,0 | 250 148,8 | 168 100,0 |
| Аппаратная коммутация (switching) | Неблокирующая коммутация L1 в двух направлениях (Tx + Rx) | 13 662,2 | 336 200,0 | 39 497,2 | 336 200,0 | 250 148,8 | 336 200,0 |
Кп/с = kpps = 1000 пакетов в секунду.
| Режим | Конфигурация | 1518 байт | 512 байт | 64 байт | |||
|---|---|---|---|---|---|---|---|
| Кп/с | Мбит/с | Кп/с | Мбит/с | Кп/с | Мбит/с | ||
| Программная коммутация (bridging) | FastPath | 37,4 | 454,2 | 82,8 | 339,1 | 162,5 | 83,2 |
| Программная коммутация (bridging) | 25 правил в Bridge Filter | 33,8 | 410,5 | 47,8 | 195,8 | 75,6 | 38,7 |
| Маршрутизация (routing) | FastPath | 37,2 | 451,8 | 73,3 | 300,2 | 144,9 | 74,2 |
| Маршрутизация (routing) | 25 правил в Simple Queue | 36,4 | 442,0 | 52,4 | 214,6 | 54,4 | 27,9 |
| Маршрутизация (routing) | 25 правил в IP Firewall Filter | 33,8 | 410,5 | 41,4 | 169,6 | 41,7 | 21,4 |
Кп/с = kpps = 1000 пакетов в секунду.
Блок-схема
Для коммутатора CRS354-48G-4S+2Q+RM компания MikroTik приводит один вариант блок-схемы, который можно увидеть ниже. Свитч-чип 98DX3257 и процессор QCA9531L объединены с помощью гигабитной шины и не входят в состав однокристального микроконтроллера (SoC – System-on-a-Chip), как это сделано на многих других устройствах CRS3xx. Свитч-чип поддерживает неблокирующую коммутацию и объединяет интерфейсы ether1 – ether48, sfp1 – sfp 4 (SFP+) и sfp5 – sfp6 (QSFP+). Ethernet-интерфейсы объединены в 6 групп по 8 портов (ether1 – ether8, ether9 – ether16, ether17 – ether24, ether25 – ethet32, ether33 – ether40 и ether41 – ether48). Каждая из групп подключена к свитч-чипу с помощью восьми отдельных гигабитных шин. Интерфейсы SFP+ и QSFP+ подключены к свитч-чипу через шины, чьи характеристики не указываются, но пропускная способность каждой шины должна быть не менее 10 Гбит/с для SFP+ и не менее 40 Гбит/с для QSFP+ для обеспечения неблокирующего режима коммутации. Такая схема подключения интерфейсов совместно с возможностями свитч-чипа позволяет поддерживать неблокирующий режим работы коммутации. 100-мегабитный ethernet-интерфейс подключен к процессору напрямую миную свитч-чип.
Электропитание
Операционная система и обновления
Устройство поставляется с предустановленными и активированными операционными системами:
- RouterOS 6 с лицензией 5-го уровня;
- SwOS.
Выбор операционной системы происходит автоматически при запуске устройства. Операционную систему, которая будет загружаться можно изменить в настройках устройства.
Правила лицензирования для коммутатора MikroTik CRS354-48G-4S+2Q+RM аналогичны правилам лицензирования для любых других устройств MikroTik:
- срок действия лицензии не ограничен;
- лицензия не может быть перенесена на другое устройство;
- неограниченный доступ к обновлениям (в том числе в случае выхода RouterOS 7) в течение срока жизни продукта, но не менее пяти лет с момента приобретения устройства.
Комплект поставки
В комплект поставки MikroTik CRS354-48G-4S+2Q+RM входят:
- коммутатор;
- электрический кабель с разъемом C13 х2 шт;
- комплект дюбелей для крепления маршрутизатора MikroTik;
- монтажный комплект для крепления в стойку;
- кронштейн для кабелей.
Прочее
Поддерживаемые SFP-модули и кабельные сборки
Коммутатор MikroTik CRS354-48G-4S+2Q+RM не имеет ограничений для работы с SFP-модулями других производителей. Но при использовании сторонних SFP-модулей надо учитывать, что ограничения могут быть на стороне таких сторонних модулей.
| Тип SFP | Модель | Поддержка |
|---|---|---|
| SFP 1 Гбит/с 1 | S-RJ01 | Да |
| S-85DLC05D | Да | |
| S-31DLC20D | Да | |
| S-3553LC20D | Да | |
| S-55DLC80D | Да | |
| S-4554LC80D | Да | |
| SFP+ 10 Гбит/с | S+RJ10 | Да |
| S+85DLC03D | Да | |
| S+31DLC10D | Да | |
| S+2332LC10D | Да | |
| SFP/SFP+ с поддержкой CWDM | Все модели | Да |
| SFP28 25 Гбит/с | Модули не выпущены | – |
| Кабельные сборки SFP+/SFP28/QSFP | S+DA0001 | Да |
| S+DA0003 | Да | |
| S+AO0005 | Да | |
| XS+DA0001 | Да | |
| XS+DA0003 | Да | |
| Q+DA0001 | Да | |
| Q+BC0003-S+ break-out-кабель 2 | Да |
1 На устройстве используется интерфейс стандарта SFP+, и поэтому при установке в него модуля с меньшей пропускной способностью скорость будет ограничена возможностями стандарта SFP.
2 Подключение возможно только к тому концу кабеля на котором есть разъем SFP+.
Типичное распределение кадров по размерам для ethernet-интерфейса
Информация по принятым и отправленным кадрам разного размера на интерфейсе, который подключен к интернет-провайдеру. Информация, отображаемая на вкладке Overall Stats, зависит от модели устройства и версии RouterOS. Приведенный ниже скриншот сделан с устройства компании MikroTik, отличного от CRS354-48G-4S+2Q+RM.
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
- CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
- CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
- HomeAP [dual] — Режим домашней точки доступа, тут количество настроек уменьшено, а их названия приближены к сленгу «домашних пользователей»
- PTP Bridge AP\CPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
- WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
- Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Дальше мы будем в основном настраивать HomeAP\WISP AP, но советы пригодятся и в других конфигурациях.
Безопасность
Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:
Доступность на внешних интерфейсах
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.
Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:
В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:
Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:
SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:
В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes
Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.
UPD 2019.01.18: Добавлен синтаксис настройки VLAN с учетом изменений RouterOS 6.41+.
Имеется:
!interface Port-channel1
switchport trunk allowed vlan 1,10
switchport mode trunk
!
interface GigabitEthernet0/1
switchport access vlan 10
!
interface GigabitEthernet0/2
switchport access vlan 10
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
switchport trunk allowed vlan 1,10
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/8
switchport trunk allowed vlan 1,10
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
Требуется:
Настройка.
— Задействуем чип коммутации.
Для RouterOS 6.41+
Создаем бриджевый интерфейс BR_MAIN на который CPU будет принимать трафик.
Добавляем интерфейсы в данный бридж.
Проверяем, что чип коммутации задействован.
Для RouterOS pre-6.41
Для упрощения настройки выведем номера интерфейсов:
Проверяем произведенные настройки:
Далее для RouterOS ВСЕХ версий
Укажем порты принадлежащие VLAN10:
Укажем порты принадлежащие VLAN1:
Видим, что агрегируемые порты ether13 и ether15 не отображаются, вместо них указан ETHCH-PORT.
Заметим, что в этом выводе конфигурации порты ether13 и ether15 указываются вместе с транком ETHCH-PORT.
VID 10 тегируется исходящий трафик на портах ether13, ether15 в составе транка ETHCH-PORT и switch1-cpu:
VID 1 тегируется исходящий трафик на порту switch1-cpu чипа коммутации:
На портах ether13 и ether 15 в составе транка ETHCH-PORT исходящий трафик принадлежащий VLAN1 передается без тега, поэтому эти порты не указываем.
Здесь же порты ether13 и ether15 не указываются, только транк ETHCH-PORT.
Для RouterOS 6.41+
Для RouterOS pre-6.41
В процессе настройки лабораторной работы я столкнулся с фичей/особенностью/багом.
После настройки правил обработки тегов VLAN чипом коммутации терялось управление по MAC адресу, хотя подключение по IP происходило успешно. Данное поведение наблюдалось только на версиях RouterOS 6.41+. На более ранних версиях проблем с подключением не наблюдалось.
Читайте также: