Як MikroTik бачить сусідів. Оновлення Neighbor discovery в RouterOS 6.38

Служба виявлення сусідніх маршрутизаторів і сумісного обладнання в RouterOS присутній давно. На жаль, над схемою функціонування «Neighbor Discovery» товариші адміни рідко замислюються. Там ніби як ніби все просто, але просто не настільки як здається.

Наочною ілюстрацією служать невдалі спроби приховати інформацію про свій маршрутизатор MikroTik, при цьому отримувати інфу про маршрутизаторах сусідів всередині broadcast-домену провайдера. Так сказати, підглядати за сусідами по провайдерскому перемикач. Зазвичай це виглядає як заборона фаєрволом відправки широкомовних пакетів оголошення служби discovery UDP 255.255.255.255:5678. Вбивши забороняє правило в конфіг фаєрвола, деякі вважають, що повністю приховали свій маршрутизатор від видимості сусідами. Але це не так.

image



Давайте розберемося, як працює Neighbor Discovery в MikroTik.
Neighbor Discovery в RouterOS до 6.38 містить у собі два шляхи оголошення і отримання інформації працюють на різних рівнях моделі OSI: на рівні L4 працює транспорт UDP, на рівні L2 інформацію приймає і передає протокол сімейства MNDP/VDP/CDP. Отримана з обох джерел інформація об'єднується і відображається у списку знайдених сусідів "/ip сусідів". Ось так виглядає Neighbor Discovery в поточному релізі:

image
Таким чином, простою забороною відправки UDP-пакетів на порт 5678, інформацію про маршрутизатор приховати неможливо. Потрібно або повністю відключати службу Сусідів на інтерфейсі командою /ip neighbor discovery set ether1-gateway discover=no, або фільтрувати вихідний L2 трафік на предмет MNDP-пакетів з допомогою bridge filters. Наприклад, ось так:

/interface bridge filter add action=drop chain=output disabled=no dst-mac-address=01:00:0C:CC:CC:CC/FF:FF:FF:FF:FF:FF out-interface=ether1-gateway.

Зараз готується до випуску нова версія RouterOS 6.38, і в ній нарешті сталося те, про що так довго говорили більшовики просили адміни багатьох країн. У 6.38 нарешті додана хороша плюшка у вигляді підтримки відкритого протоколу LLDP. Це ще трохи розширює можливості обладнання в частині мониторигна стану L2 з'єднання. Тепер в списку сусідів можна буде бачити будь LLDP-сумісне обладнання, за умови, що на ньому теж включена підтримка оголошення LLDP. Наприклад, тепер мій тестовий маршрутизатор чудово «бачить» сусідній світч HP v1905-24

image

Не забуваємо включити LLDP на свічі HP v1905-24image

Інформації поки приймається і передається небагато, але для моніторингу наявності/відсутності видимості по L2 достатньо. Зазначу, що підтримка LLDP не замінила інші протоколи, а додана до списку підтримуваних в MikroTik Discovery і починаючи з 6.38 вона буде виглядати ось так:

image
В офіційній WiKi MikroTik вже додані відомості про інформацію прийнятої та переданої RouterOS допомогою LLDP.

RouterOS sends out:

Chassis subtype (MAC)
  • Port subtype (interface name)
  • TTL

  • System name (system identity)
  • Sys description ({platform} RouterOS {osvers} {boardName})
  • All IP addresses on configured on the port
RouterOS accepts and processes:
  • identity (LLDP_TYPE_SYS_NAME)
  • interfaceName (depending on the priority, if one is empty checks the next: LLDP_TYPE_CHASSIS_ID, LLDP_TYPE_PORT_ID, LLDP_TYPE_PORT_DESC)
  • i4 (first entry of IPv4 LLDP_TYPE_MANAGEMENT_ADDR)
  • ip6 (first entry of IPv6 LLDP_TYPE_MANAGEMENT_ADDR)
  • TTL (LLDP_TYPE_TTL)
  • MAC (Source — 6-11 byte)

Ну, що ж, чекаємо офіційного релізу і уважно спостерігаємо за тестовими апаратами – на те і статус у 6.38 поки ще «rc».
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.