Страница 1 из 1
Прохождение трафика
Добавлено: 17 фев 2023, 01:40
vladimir.alekseev
Если в RB (например RB2011) два интерфейса не объединены в бридж, то как между ними пойдет трафик?
Обязательно через файервол, даже если на них заданы ip-адреса из одной подсети? Или только если адреса из разных подсетей?
Или только в бридже трафик в одной подсети ходит без firewall, типа бридж - это простой коммутатор L2? Или даже в бридже трафик пройдет через все цепочки файрвола?
По идее RB это маршрутизатор, т.е. может фильтровать трафик и по mac и по IP, а его порты изолированы друг от друга?
Re: Прохождение трафика
Добавлено: 17 фев 2023, 09:32
gmx
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
https://www.youtube.com/watch?v=hFwqnH8c7A0
https://www.youtube.com/watch?v=3QBazfSZy70
У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.
В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.
Re: Прохождение трафика
Добавлено: 17 фев 2023, 12:01
xvo
Это.
И один порт этого коммутатора подключен к CPU - т.е. к маршрутизатору.
Re: Прохождение трафика
Добавлено: 17 фев 2023, 13:41
vladimir.alekseev
gmx писал(а): ↑17 фев 2023, 09:32
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
https://www.youtube.com/watch?v=hFwqnH8c7A0
https://www.youtube.com/watch?v=3QBazfSZy70
У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.
В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.
Судя по схеме, теоретически трафик может не уйти дальше switch. Т.е. нельзя сказать что весь трафик будет проходить через фильтры?
Например есть схема " роутер на палочке": коммутатор L2 c vlan'ами. На нем несколько сетей изолированных access port'ами. Один транковый порт с компьютером на FreeBSD+Pf+vlan.
Между портами на коммутаторе связи нет (vlan же). И весь трафик маршрутизирует, роутит и фильтрует Pf.
Можно имея один RB реализовать подобное?
Например:
1) vlan on switch, для изоляции сетей на аппаратном уровне
2) затем назначить IP на ether1, 2 и т.д.. И пусть маршрутизатор работает
Можно же будет быть уверенным, что трафик между разными портами не пройдет без L3 уровня?
Просто не так много с микротиком работал
Re: Прохождение трафика
Добавлено: 18 фев 2023, 00:51
vladimir.alekseev
Посмотрел. Правильно понимаю, интерфейсы независимы, и трафик между ними пойдет выше switch'а (через правила маршрутизации и фильтрации)? Ну и широковещетельные сообщения не пойдут дальше этого интерфейса через аппаратный свитч?