Давние пользователи продуктов Микротик могут заметить, что им долгое время не были доступны варианты эффективных механизмов по профилактике защиты от образования петель (Loop Protect) на интерфейсах роутера MikroTik. В настоящее время в MikroTik встроена аппаратная обработка протокола Rapid Spanning Tree для коммутируемых портов. А также новая функция защиты от петель (Loop Protect), которая по видимому выполняет ту же функцию, что и Loop Guard Cisco, но не использует Spanning Tree для обнаружения петли.

Версия MikroTik сравнивает исходный MAC-адрес кадра с защитой от петли с MAC-адресом интерфейса, с которого он был получен, и если они совпадают, то порт выключается до тех пор, пока не истечет таймер, после чего производится повторная проверка.

Защита от петель (Loop Protect) – новая функция, доступная начиная с 6.37rc24

Эта функция была представлена 31 августа 2016 года в версии 6.37rc24 .

http://wiki.mikrotik.com/wiki/Manual:Loop_Protect

Сценарии использования функции защиты от петель (Loop Protect)

На мой взгляд функционал Защиты от Петли (Loop Protect) был спроектирован как протокол граничного порта (edge port) , поскольку он физически отключает порт при обнаружении петли, в то время как STP оставляет порт активным, и логически блокирует трафик через него. Приведу некоторые возможные случаи использования данной функции:

  • Пограничный порт (edge port) на устройстве MikroTik, обращенный к конечному абонентскому оборудованию – этот вариант мог бы отключить петли (и избежать приостановку сервиса), которые образовываются между оборудованием провайдера и абонентскими устройствами “глупыми” коммутаторами, концентраторами или мостами.
  • Edge port для предприятия или пользователя SMB устройства для предотвращения петель, вызывающих долгую приостановку сервиса от несанкционированных коммутаторов / концентраторов, которые подключаются к граничному порту.
  • Граничный порт в Центре обработки данных для серверов, маршрутизаторов или других устройств, которые не должны создавать петли, но которые все еще имеют возможность это сделать. Примером может быть неправильно настроен vSwitch в гипервизор.
  • Коммутатор более низкого уровня подключен к маршрутизатору или коммутатору. Который не имеет функции определения физической топологии. Позволяет функционировать петле в рабочем режиме. Однако, кабель подключен к двум портам на одном коммутаторе или к коммутатору более низкого уровня. Может все еще посылать широковещательные запросы, которые приводят к шторму, направленному к граничному порту.

Защита от петель (Loop Protect) в испытательной лаборатории

Ниже приведен пример лаборатории, которую мы построили для тестирования функции защиты от петель. Идея состояла в том, чтобы намеренно создать цикл между двумя Cisco 3750, которые бы транслировали петельные кадры в направлении порта локальных сетей на MikroTik CRS125 с включенной функцией защиты от петель (Loop Protect).

Loop Protect схема подключения Mikrotik

Включение функции Защиты от Петель (Loop Protect) в WinBox

По умолчанию эта функция отключена. Для того, чтобы включить ее, необходимо выбрать интерфейс и перейти на вкладку “Loop Protect” -> выбрать первый выпадающий список и включите данную настройку (в некоторых версиях ветки 6.37 есть ошибка, которая показывает более трех доступных настроек). Вы также можете выбрать Интервал отправки (Send Interval), который контролирует, как часто кадры Защиты от петель будут посылаются из интерфейса. Также вы можете настроить Интервал обратного отсчета (Disable time) с момента обнаружения Петли. После истечения которого происходит включение интерфейса обратно в оперативный режим с проверкой существования Петли. Этот интерфейс будет циклически проверять наличие петли через заданный интервал времени через отключение интерфейса и сброса таймера, пока присутствует петля.

ether1 loop protect

Определение петли с включенной функцией  Обнаружения петли (Loop Protect)

Выше в нашей лаборатории, мы подключили второй кабель между двумя Cisco 3750 с отключенным проколом Spanning Tree. Функция защиты Loop Protect практически сразу же обнаружила данное событие. Красный цвет в нижней части интерфейса Winbox на рисунке указывает на это. Статус не изменится, пока не пройдет цикл и не истечет таймера.

Обнаружена петля на интерфейсе ether1

Отображение служебной информации функции Защиты от петель (Loop Protect) в логах

Защита от образования петли (Loop Protect) выводит сообщения о состоянии в журнал об обнаружении петли. Также при ее пропадании вы увидете сообщение в логах. Если вы посылаете сообщения журнала на внешний сервер, то вы можете создать оповещения. Чтобы знать, когда порт отключается из-за обнаружения петли.

  • 11:17:08 – Петля обнаружена
  • 11:17:08 – Интерфейс ether1 переходит в неактивное состояние
  • 11:22:11 – Статус обнаружения Петли обнуляется по истечению таймера (после отключения лишнего кабеля между коммутаторами)

loop detected console

В своей заметке я написал о новой функции Защиты от петель (Loop Protect). Которая стала доступна на Микротиках начиная с версии 6.37rc24. Описал несколько сценариев использования и параметры, которые можно настроить. Если у вас есть дополнения или замечания, то буду рад их увидеть в комментариях.

Читать далее

Loop Protect — защиты от петель на Микротике
Метки:
Adblock detector