TOPOLOGÍA
Hola hoy les voy a hablar sobre los CRS serie 300.
Por las características de Hardware que tienen estos equipos podemos configurarlos usando el Bridge VLAN Filtering y todo eso se hará usando Hardware lo que se traduce en que el CPU estará dedicado únicamente a tareas de Layer 3.
Nota
SOLO ESTOS SWITCHES PUEDEN HACER ESTO. CRS serie 300.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading
Es importante recordar los conceptos básicos de Bridge en Mikrotik.
Aquí haré uso de 2 bridge, uno para la gestión de mis equipos que se hará usando software (CPU) usando los puertos 1 al 8
El otro Bridge usará Hardware Offload y tiene los puertos 9-24.
En este ejemplo tengo un servidor Proxmox que tiene 2 interfaces de red. En este servidor levanto máquinas virtuales que necesitan salida a Internet y compartir recursos y servicios como IPTV con máquinas físicas.
Por necesito un switch con capacidad wire speed que me permita mover tráfico en capa 2 entre mis máquinas.
Pero también necesito gestionar el servidor y quiero que eso sea una comunicación cerrada, asilada del tráfico compartido con otras máquinas y servicios.
Así que la interface de gestión del servidor Proxmox estará en el bridge-Administración y la interface que usarán las máquinas virtuales estará en el bridge-Laboratorio.
1 CREAR EL BRIDGE QUE USARÁ HARDWARE OFFLOAD
2 ASIGNAR PUERTOS AL BRIDGE
3 RELACIONAR VLANs CON PUERTOS ETHERNET Y EL MODO DE PUERTO
Para mi ejemplo pondré la VLAN 2 como tagged en todos los puertos,
¿Y por qué haré eso? Bueno es que yo espero conectar equipos que entiendan, que hablen, que procesen el uso de VLANs, que usen el 802.Q. No planeo conectar mi laptop ni televisiones ni impresoras, ni equipos "tontos".
Planeo conectar switches, routers, servidores, teléfonos IP etc etc. Por tanto esa VLAN 2 solo será accesible para equipos que puedan usar VLANs
Por supuesto, habrá VLANs que vas a necesitar que en algunos puertos este tagged y en otros unttaged. Para mi ejemplo usaré la VLAN 30.
En los puertos 20 y 19 espero conectar laptops genéricas que no entienden VLANs. Para este punto ya debes ver una VLAN creada de manera dinámica que tiene el ID 1. Esta VLAN se asigna automáticamente a todos los puertos que estan siendo taggeados.
Un paso más. En TODOS los puertos donde vaya a pasar tráfico untagged necesito cambiar el PVID del mismo.
4 HABILITAR EL BRIDGE VLAN FILTERING
Nota
IMPORTANTE
En el paso anterior relacionaste los puertos con una VLAN en específico. Vamos a recordar conceptos básicos de redes.
Como seguramente habrás visto en el paso anterior el PVID por defecto en todos los puertos de todos los equipos de red es el 1. No importa si es un router o un switch, una laptop o una Alexa. Así vienen por defecto en todo el mundo.
Cuando habilitamos el Bridge VLAN Filtering vamos a aplicar cambios sobre los PVID de los puertos.
Por tanto, si estas conectado en alguno de los puertos 9-24 y cambiaste el PVID de tu puerto serás desconectado apenas actives el Bridge VLAN Filtering. Cuidado con ese detalle.
Con esto finalizamos la configuración del Bridge VLAN Filtering. Ahora puedes conectar tus equipos y se comunicarán si están en la misma VLAN.
Lo que sigue es crear un bridge simple entre las interfaces 1-8.
Al final vas a notar que en el bridge por software (CPU) el Hw. Offload esta desactivado mientras que en el bridge Laboratorio esta activo.
Puedes probar pasar tráfico entre las vlan y verás que el CPU apenas sube, casi no se usa. En concreto estos switches pueden mover más de 10 Gbps siempre y cuando sea tráfico Layer 2.
No intentes usarlo como balanceador Layer 3, ni para limitar velocidad y mucho menos hacer uso del Mangle.
Lo he probado personalmente y no rinden más de 200 Mbps antes de que el CPU llegue al 100% y colapse el equipo.
Nota
IMPORTANTE
No creas que porque habilitas la opción de Hardware Offload en todos los puertos esta configuración va a funcionar. Solo se puede aplicar a 1 bridge.
Como buena práctica si tú ya sabes cuál de los bridges va usar H. Offload entonces debes desactivar manualmente esa opción en cada puerto, así te evitarás sorpresas.
Con esto finalizamos esta configuración. Esto es lo más cercano a un Cisco, Arista, Huawei o cualquier otra marca similar que Mikrotik puede hacer.
Es algo más complicado pero también se puede realizar.
Nota
Esta configuración es la recomendada para estos equipos. Estos CRS3XX nacieron para esta configuración Bridge VLAN Filtering.
Si tienes un 4011, un 2011 u otros equipos la configuración ideal no es esta. El Bridge VLAN Filtering funciona en todos los Mikrotik pero no del mismo modo.
No te sorprendas si ves tu CPU al 100% por configurar tus equipos incorrectamente.