Прохождение трафика

Обсуждение оборудования и его настройки
Ответить
vladimir.alekseev
Сообщения: 20
Зарегистрирован: 17 авг 2019, 16:34

Если в RB (например RB2011) два интерфейса не объединены в бридж, то как между ними пойдет трафик?
Обязательно через файервол, даже если на них заданы ip-адреса из одной подсети? Или только если адреса из разных подсетей?
Или только в бридже трафик в одной подсети ходит без firewall, типа бридж - это простой коммутатор L2? Или даже в бридже трафик пройдет через все цепочки файрвола?

По идее RB это маршрутизатор, т.е. может фильтровать трафик и по mac и по IP, а его порты изолированы друг от друга?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

https://www.youtube.com/watch?v=hFwqnH8c7A0

https://www.youtube.com/watch?v=3QBazfSZy70


У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.

В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

vladimir.alekseev писал(а): 17 фев 2023, 01:40 типа бридж - это простой коммутатор L2?
Это.
И один порт этого коммутатора подключен к CPU - т.е. к маршрутизатору.


Telegram: @thexvo
vladimir.alekseev
Сообщения: 20
Зарегистрирован: 17 авг 2019, 16:34

gmx писал(а): 17 фев 2023, 09:32 https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

https://www.youtube.com/watch?v=hFwqnH8c7A0

https://www.youtube.com/watch?v=3QBazfSZy70


У микротика все это очень интересно. У бриджа есть свой отдельный фаервол, он, правда, называется фильтр. Но можно включить использование IP фаерволла на уровне бриджа.

В целом, вы должны помнить, что микротик - это все же маршрутизатор и он будет все маршрутизировать по IP адреса и маршрутам. И это все работает по-умолчанию. Чтобы применять какие-то специфические функции на 2 уровне (например, блокировка по MAC между портами, изоляция портов и так далее) его нужно специально "заставлять" это делать. В некоторых случаях, если нужны блокировки на 2 уровне, удобнее и проще использовать коммутаторы, которые специально заточены под это дело.
Судя по схеме, теоретически трафик может не уйти дальше switch. Т.е. нельзя сказать что весь трафик будет проходить через фильтры?

Например есть схема " роутер на палочке": коммутатор L2 c vlan'ами. На нем несколько сетей изолированных access port'ами. Один транковый порт с компьютером на FreeBSD+Pf+vlan.
Между портами на коммутаторе связи нет (vlan же). И весь трафик маршрутизирует, роутит и фильтрует Pf.
Можно имея один RB реализовать подобное?
Например:
1) vlan on switch, для изоляции сетей на аппаратном уровне
2) затем назначить IP на ether1, 2 и т.д.. И пусть маршрутизатор работает
Можно же будет быть уверенным, что трафик между разными портами не пройдет без L3 уровня?
Просто не так много с микротиком работал


vladimir.alekseev
Сообщения: 20
Зарегистрирован: 17 авг 2019, 16:34

Посмотрел. Правильно понимаю, интерфейсы независимы, и трафик между ними пойдет выше switch'а (через правила маршрутизации и фильтрации)? Ну и широковещетельные сообщения не пойдут дальше этого интерфейса через аппаратный свитч?


Ответить