Если в RB (например RB2011) два интерфейса не объединены в бридж, то как между ними пойдет трафик?
Обязательно через файервол, даже если на них заданы ip-адреса из одной подсети? Или только если адреса из разных подсетей?
Или только в бридже трафик в одной подсети ходит без firewall, типа бридж - это простой коммутатор L2? Или даже в бридже трафик пройдет через все цепочки файрвола?
По идее RB это маршрутизатор, т.е. может фильтровать трафик и по mac и по IP, а его порты изолированы друг от друга?
Прохождение трафика
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
https://www.youtube.com/watch?v=hFwqnH8c7A0
https://www.youtube.com/watch?v=3QBazfSZy70
У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.
В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.
https://www.youtube.com/watch?v=hFwqnH8c7A0
https://www.youtube.com/watch?v=3QBazfSZy70
У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.
В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Это.
И один порт этого коммутатора подключен к CPU - т.е. к маршрутизатору.
Telegram: @thexvo
-
vladimir.alekseev
- Сообщения: 20
- Зарегистрирован: 17 авг 2019, 16:34
Судя по схеме, теоретически трафик может не уйти дальше switch. Т.е. нельзя сказать что весь трафик будет проходить через фильтры?gmx писал(а): ↑17 фев 2023, 09:32 https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
https://www.youtube.com/watch?v=hFwqnH8c7A0
https://www.youtube.com/watch?v=3QBazfSZy70
У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.
В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.
Например есть схема " роутер на палочке": коммутатор L2 c vlan'ами. На нем несколько сетей изолированных access port'ами. Один транковый порт с компьютером на FreeBSD+Pf+vlan.
Между портами на коммутаторе связи нет (vlan же). И весь трафик маршрутизирует, роутит и фильтрует Pf.
Можно имея один RB реализовать подобное?
Например:
1) vlan on switch, для изоляции сетей на аппаратном уровне
2) затем назначить IP на ether1, 2 и т.д.. И пусть маршрутизатор работает
Можно же будет быть уверенным, что трафик между разными портами не пройдет без L3 уровня?
Просто не так много с микротиком работал
-
vladimir.alekseev
- Сообщения: 20
- Зарегистрирован: 17 авг 2019, 16:34
Посмотрел. Правильно понимаю, интерфейсы независимы, и трафик между ними пойдет выше switch'а (через правила маршрутизации и фильтрации)? Ну и широковещетельные сообщения не пойдут дальше этого интерфейса через аппаратный свитч?