Bridge MikroTik – Proteção em Camada 2

Postado em 18/maio/2017 em Sem-Categoria

Qual a melhor forma de trabalhar com uma Bridge MikroTik?

Diversas vezes me deparei com alguns comentários sobre Bridge MikroTik não serem seguras, não permitir bloqueios, entre outros comentários. A maioria deles estão equivocados ou foram mal interpretados, pois dependendo do conhecimento de quem projeta a rede ou faz a configuração, é possível se obter bons resultados.

A MikroTik possui uma linha interessante de Cloud Router Switch, ou seja, são equipamentos que podem ser utilizados como um Switch MikroTik ou como um roteador repleto de recursos e funções.

A maioria dos modelos dispõem do recurso mais cobiçado para os racks, que é a modalidade Switch, ou seja, interfaces extras para gerência, administração, isolamento, tratamento, entre outros recursos que os profissionais de T.I buscam.

Como isolar uma rede em camada 2 ?

Uma das formas mais interessantes em isolamento, é a camada 2, fazendo uso de bloqueios de tabela ARP combinados com regras de aplicação ou chamados filtros de Bridge.

Segue um de diversos exemplos de regra para bloqueio em camada 2

/interface bridge filter add action=drop chain=forward disabled=no

Este é um exemplo bem básico e simples, para que você possa ter ideia de como é possível iniciar uma configuração em nível avançado e de forma eficiente. Mas claro, com as devidas proporções e planejamento.

Vale lembrar que recursos de Camada 2 em um roteador, consome processamento, portanto, é preciso avaliar o contexto de toda a rede antes de aplicar regras como esta.

Assim como já publicamos um comparativo no post Switch MikroTik versus Roteador, fizemos um teste mostrando a elevação de desempenho.

Este exemplo foi feito em relação a CPU (processamento) do equipamento.

Quando se utiliza o Sistema Operacional para uma Bridge MikroTik

Explicando de maneira mais técnica, um Switch MikroTik de camada 3:

Pode ser totalmente funcional, assim como os roteadores, porém, vale lembrar que existe uma diferença entre recursos, consumo e o seu desempenho.

Para isto, é necessário conhecer um pouco mais sobre as arquiteturas TCP/IP, onde tratamos de serviços e é da poderosa família RouterOS.

Todas as opções de configuração do Switch MikroTik estão disponíveis em um menu especial “Switch”.

Se necessário, as portas podem ser removidas da camada principal e utilizadas apenas para fins de encaminhamento de pacote (camada 2).

Diferentemente do Sistema Operacional que controla e gerencia os recursos de uma Bridge MikroTik, encontramos uma característica importante:

  • o aumento de processamento e a redução de velocidade baseada no Backplane.

Segue uma tabela com dados de velocidades para um modelo de CRS em modo Switch (não utilizando uma Bridge como controle)

 

CRS MikroTik

Tabela de Velocidades do modelo CRS MikroTik em modo Switch

 

Testes em Modo Bridge MikroTik

Alguns testes foram executados apenas como transporte, ou seja, em camada 2.

No momento da transição, é possível perceber a queda do consumo de processamento. A partir deste momento, começou a se utilizar recursos de CPU (Hardware) e não mais do sistema operacional, o routerOS.

Fica também uma limitação de recursos, onde, se o objetivo é apenas transportar (Switch), realmente não é necessário utilizar o lado roteador.

Portanto, o desempenho aumenta, se o quesito é apenas transportar.

O aumento significativo de velocidade que houve quando o equipamento foi devidamente configurado, aumentando a velocidade de 2 Gbps, aproximadamente, para 2.5 Gbps.

O gráfico abaixo mostra o aumento de processamento a partir do momento que a rede é gerenciada pela camada 2 do sistema operacional, ou seja, pela bridge MikroTik

Bridge MikroTik

Gráfico comparativo de consumo em modo Bridge MikroTik

É muito importante ressaltar, que também é possível em modo Switch MikroTik, isolar portas, sem mesmo usar VLAN, mas em outra camada.

Além de que, também é possível criar as LANs virtuais (VLAN) mesmo neste modo de operação.

A grande questão, é se aprofundar em conhecimento da arquitetura TCP/IP e, para isto, a ENTELCO oferece diversos cursos.

É possível entender e aprender as funções, tanto do modo roteador, quanto Switch.

Como aprender a configurar uma Bridge MikroTik em nível avançado?

Assim como este tópico, outros assuntos pertinentes ao desempenho e operação. Além de configurações, são abordados em treinamentos de MikroTik, oferecidos pela ENTELCO TELECOM.

Aos interessados em aprender sobre o sistema routerOS em níveis mais avançados. A ENTELCO Telecom, oferece Cursos Avançados para o sistema operacional MikroTik.

Os cursos podem ser acessados pelo link:

Curso Avançado EaD (ao Vivo)

MikroTik Admin Avançado

Os cursos podem ser feitos, tanto no formato presencial (com laboratórios e práticas), quanto no Telepresencial on-line.

Podendo acessar o MikroTik remotamente e fazendo as configurações de laboratórios.

Neste formato, o aluno terá as aulas ao VIVO, e as gravações de todo o treinamento para assistir durante 30 dias.

Além de ferramentas on-line, arquivos, plantão de dúvidas, tutores acadêmicos e muito mais.

Espero encontrá-los em breve!

Rogério Barion
ENTELCO TELECOM