HECTORCHIMAL
03/11/2022, 13:27
En muchas ocasiones lo que tendremos en nuestras manos será un Router genérico con algún chip switch incluido.
Estos pueden ser un hAP Lite, hAP Mini, RB1100, RB2011 y un largo etcétera.
Es importante entender bien los conceptos de switching y tener claro que todos los modelos RouterBoard tienen diferentes chips y que internamente no están conectados de la misma manera.
Eso significa que no podemos copiar y pegar simplemente ya que es muy probable que al hacer esto nuestros equipos no funcionen de manera correcta.
Para este ejemplo usaremos un Router modelo RB941-2nD, sus funciones serán principalmente ser un switch de capa 3.
TOPOLOGÍA
2247
1 Añadimos comentarios a nuestras interfaces
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK
set [ find default-name=ether2 ] comment=Contabilidad
set [ find default-name=ether3 ] comment=Sistemas
set [ find default-name=ether4 ] comment="Administracion del Equipo"
2 Crear un Bridge
/interface bridge
add admin-mac=48:8F:5A:7E:F3:B4 auto-mac=no name=bridge1
3 Añadir puertos al Bridge
Simplemente añadimos los puertos sin ninguna configuración adicional ya que esas configuraciones las haremos en el chip switch
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
2249
4 Crear VLANs en el Chip Switch
/interface ethernet switch vlan
add ports=ether1,ether2 switch=switch1 vlan-id=200
add ports=ether1,ether3 switch=switch1 vlan-id=300
2248
5 Asignar VLANs a los puertos Ethernet
/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 default-vlan-id=200 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=300 vlan-header=always-strip vlan-mode=secure
2250
Tenemos un bridge entre los puertos Ether-1 al Ether-3 y hemos dejado el Ether-4 fuera de ese bridge a propósito. Como buena práctica debemos reservarnos al menos un puerto para administrador los equipos.
Recordemos que en este momento el tráfico se está moviendo por medio del chip switch, no del chip CPU. Port tanto no tendremos comunicación directa al equipo. Es ahí donde entra el puerto de administración, ya que al no participar en el bridge el tráfico que enviemos en ese puerto será directamente procesado por el CPU.
6 Resultados
En el router RB2011 he creado 2 Switch Virtual Interfaces (SVI) y les he asignado una IP. Además he puesto servidores DHCP en esas SVI.
Recordemos que hemos dejado asignado el puerto Ether-1 del Switch como troncal. En el Router 2011 lo único que hice fue crear esas 2 interfaces VLAN sobre el puerto que conecta con el Switch RB941-2nD.
Por tanto al conectar una laptop a los puertos del Switch RB941-2nD debe tomar la IP del segmento que le corresponde.
Es decir que si he conectado la laptop al puerto Ether-2 debo recibir una IP de la VLAN 200.
Si conecto la laptop al puerto Ether-3 debo recibir una IP de la VLAN 300.
Haciendo pruebas de uso y velocidad podemos ver que el equipo al tener que procesar casi todo el tráfico usando el chip switch hemos podido alcanzar velocidad wire-speed. O sea que hemos usado toda o casi toda la capacidad del puerto que es de 100 megas.
2251
7 VLANs de Gestión
Hasta este momento nuestro switch se está comportando como un simple switch de capa 2.
No podemos controlar este switch, dado que en ninguna parte de este manual se le ha asignado una IP a ninguna interface. Eso es justo lo que haremos ahora, vamos a crear una VLAN para gestionar nuestro switch.
7.1 Crear una SVI
Si queremos que una VLAN tenga una IP configurada tenemos que crear una SVI.
/interface vlan
add comment="VLAN de Gestion" interface=bridge1 name=vlan-400 vlan-id=400
7.2 Crear un DCHP-CLIENT
Para este ejemplo de laboratorio vamos a crear un DHCP-CLIENT en nuestra VLAN de gestión ya que esperamos que el router 2011 nos asigne una IP dinámicamente. De esta manera tendremos comunicación en capa 3.
/ip dhcp-client
add disabled=no interface=vlan-400
7.3 Asignar VLAN de Gestion al puerto CPU
Una vez que hemos creado esta SVI tenemos que decirle al chip switch que esta VLAN en específico va a tener acceso al puerto CPU.
Claro que también tenemos que permitir el acceso a esa VLAN a través de nuestro puerto troncal con el router, que como sabes es el puerto Ether-1.
/interface ethernet switch vlan
add ports=ether1,switch1-cpu switch=switch1 vlan-id=400
2254
Al hacer esto de inmediato debemos obtener un IP asignada por el servidor DHCP del Router 2011.
2255
RESULTADOS
Haciendo pruebas de velocidad entre los equipos usando TCP y limitando el tráfico a 15 Mbps simétricos tenemos los siguientes resultados:
2256
Como podemos apreciar en este caso sí que estamos usando el CPU del hAP Lite.
Cuando solo estamos pasando tráfico sin enrutar alcanzamos velocidades wire-speed y vemos el rendimiento del Chip Switch.
Cuando tenemos que enrutar empezamos a ver el rendimiento que nos ofrecen los 650 MHz del Chip CPU.
Es importante resaltar que no estamos aplicando ninguna configuración en el firewall. Si lo hiciéramos el rendimiento sería todavía más bajo.
Podría colapsar el equipo.
Esta es la forma correcta de configurar los Router genéricos con chip switch que nos ofrece MikroTik.
Estos pueden ser un hAP Lite, hAP Mini, RB1100, RB2011 y un largo etcétera.
Es importante entender bien los conceptos de switching y tener claro que todos los modelos RouterBoard tienen diferentes chips y que internamente no están conectados de la misma manera.
Eso significa que no podemos copiar y pegar simplemente ya que es muy probable que al hacer esto nuestros equipos no funcionen de manera correcta.
Para este ejemplo usaremos un Router modelo RB941-2nD, sus funciones serán principalmente ser un switch de capa 3.
TOPOLOGÍA
2247
1 Añadimos comentarios a nuestras interfaces
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK
set [ find default-name=ether2 ] comment=Contabilidad
set [ find default-name=ether3 ] comment=Sistemas
set [ find default-name=ether4 ] comment="Administracion del Equipo"
2 Crear un Bridge
/interface bridge
add admin-mac=48:8F:5A:7E:F3:B4 auto-mac=no name=bridge1
3 Añadir puertos al Bridge
Simplemente añadimos los puertos sin ninguna configuración adicional ya que esas configuraciones las haremos en el chip switch
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
2249
4 Crear VLANs en el Chip Switch
/interface ethernet switch vlan
add ports=ether1,ether2 switch=switch1 vlan-id=200
add ports=ether1,ether3 switch=switch1 vlan-id=300
2248
5 Asignar VLANs a los puertos Ethernet
/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 default-vlan-id=200 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=300 vlan-header=always-strip vlan-mode=secure
2250
Tenemos un bridge entre los puertos Ether-1 al Ether-3 y hemos dejado el Ether-4 fuera de ese bridge a propósito. Como buena práctica debemos reservarnos al menos un puerto para administrador los equipos.
Recordemos que en este momento el tráfico se está moviendo por medio del chip switch, no del chip CPU. Port tanto no tendremos comunicación directa al equipo. Es ahí donde entra el puerto de administración, ya que al no participar en el bridge el tráfico que enviemos en ese puerto será directamente procesado por el CPU.
6 Resultados
En el router RB2011 he creado 2 Switch Virtual Interfaces (SVI) y les he asignado una IP. Además he puesto servidores DHCP en esas SVI.
Recordemos que hemos dejado asignado el puerto Ether-1 del Switch como troncal. En el Router 2011 lo único que hice fue crear esas 2 interfaces VLAN sobre el puerto que conecta con el Switch RB941-2nD.
Por tanto al conectar una laptop a los puertos del Switch RB941-2nD debe tomar la IP del segmento que le corresponde.
Es decir que si he conectado la laptop al puerto Ether-2 debo recibir una IP de la VLAN 200.
Si conecto la laptop al puerto Ether-3 debo recibir una IP de la VLAN 300.
Haciendo pruebas de uso y velocidad podemos ver que el equipo al tener que procesar casi todo el tráfico usando el chip switch hemos podido alcanzar velocidad wire-speed. O sea que hemos usado toda o casi toda la capacidad del puerto que es de 100 megas.
2251
7 VLANs de Gestión
Hasta este momento nuestro switch se está comportando como un simple switch de capa 2.
No podemos controlar este switch, dado que en ninguna parte de este manual se le ha asignado una IP a ninguna interface. Eso es justo lo que haremos ahora, vamos a crear una VLAN para gestionar nuestro switch.
7.1 Crear una SVI
Si queremos que una VLAN tenga una IP configurada tenemos que crear una SVI.
/interface vlan
add comment="VLAN de Gestion" interface=bridge1 name=vlan-400 vlan-id=400
7.2 Crear un DCHP-CLIENT
Para este ejemplo de laboratorio vamos a crear un DHCP-CLIENT en nuestra VLAN de gestión ya que esperamos que el router 2011 nos asigne una IP dinámicamente. De esta manera tendremos comunicación en capa 3.
/ip dhcp-client
add disabled=no interface=vlan-400
7.3 Asignar VLAN de Gestion al puerto CPU
Una vez que hemos creado esta SVI tenemos que decirle al chip switch que esta VLAN en específico va a tener acceso al puerto CPU.
Claro que también tenemos que permitir el acceso a esa VLAN a través de nuestro puerto troncal con el router, que como sabes es el puerto Ether-1.
/interface ethernet switch vlan
add ports=ether1,switch1-cpu switch=switch1 vlan-id=400
2254
Al hacer esto de inmediato debemos obtener un IP asignada por el servidor DHCP del Router 2011.
2255
RESULTADOS
Haciendo pruebas de velocidad entre los equipos usando TCP y limitando el tráfico a 15 Mbps simétricos tenemos los siguientes resultados:
2256
Como podemos apreciar en este caso sí que estamos usando el CPU del hAP Lite.
Cuando solo estamos pasando tráfico sin enrutar alcanzamos velocidades wire-speed y vemos el rendimiento del Chip Switch.
Cuando tenemos que enrutar empezamos a ver el rendimiento que nos ofrecen los 650 MHz del Chip CPU.
Es importante resaltar que no estamos aplicando ninguna configuración en el firewall. Si lo hiciéramos el rendimiento sería todavía más bajo.
Podría colapsar el equipo.
Esta es la forma correcta de configurar los Router genéricos con chip switch que nos ofrece MikroTik.