SwOS: El sistema operativo para MikroTik Switchs

Contenidos

Resúmen

SwOS es un sistema operativo diseñado especialmente para la administración de productos MikroTik Switch.

SwOS es configurable vía navegador web. Este le brinda todas las funcionalidades básicas para administrar el switch, y más: Permite administrar el reenvío port-to-port, controla tormentas de broadcast, aplica filtros MAC, configura VLANs, mirror traffic, limitaciones de ancho de banda hasta incluso ajusta algunos campos del encabezado MAC e IP.

Conectado al Switch

Abra su navegador e ingrese la dirección IP de su Switch (192.168.88.1 por defecto) y la pantalla de login le aparecerá.

swos_login.png

SwOS default IP address: 192.168.88.1, user name: admin no tiene password.

Note: la herramienta MikroTik neighbor discovery protocol puede ser usada para descubrir IP address de Switchs Mikrotik Manual:IP/Neighbor_discovery

Resúmen Interface

El menu de SwOS tiene 10 tabs: Link, Forwarding, Statistics, VLAN, VLANs, Static Hosts, Hosts, SNMP, ACL y System.

Descripción de botones en la herramienta de configuracion de SwOS:

  • Append – agrega un nuevo item al final de la lista
  • Apply All – aplica los cambios de configuración actuales
  • Cut – remueve un item de la lista
  • Clear – resetea las propiedades del item
  • Discard Changes – elimina los cambios no guardados de la configuración
  • Insert – agrega un nuevo item a la lista (colocado antes del item actual)
  • Sort – ordena la tabla VLAN por VLAN-IDs; ordena la tabla host por MAC addresses
  • Change Password – cambia la password del switch
  • Logout – logout del Switch
  • Reboot – reinicia el switch
  • Reset Configuration – resetea la configuración a los defectos de fábrica
  • Choose File – busca un archivo de actualización firmware
  • Upgrade – actualiza el firmware del Switch

System Tab

System Tab realiza las siguiente funciones:
  • Información general sobre el Switch
  • Switch management
  • Reseteo de la configuración
  • Actualización del Firmware
PropiedadDescripción
IP AddressIP address del Switch
IdentityNombre del Switch (para MikroTik neighbor discovery protocol)
Allow FromIP address del cual es switch es accesible. Valor por defecto ‘0.0.0.0/0’ – cualquier dirección.
WatchdogHabilita o Deshabilita el system watchdog. Éste reiniciará el CPU del switch en caso de una falla
MAC AddressMAC address del Switch (Solo-lectura)
VersionVersión Firmware del Switch
UptimeTiempo actual de uptime
Note: SwOS usa un simple algoritmo para asegurar la comunicación TCP/IP – este solo responde al mismo IP y MAC del paquete entrante. De esta manera no hay necesidad de Default Gateway en el dispositivo.

Link Tab

Link Tab le permite:
  • Configurar Ethernet ports
  • Monitorear el status de los puertos Ethernet
PropiedadDescripción
EnabledHabilita o Deshabilita el puerto
Link StatusActual link status (Solo lectura)
Auto NegotiationHabilita o deshabilita la auto negotiation
SpeedEspecifica la velocidad del puerto (requiere que la auto negociación este deshabilitada)
Full DuplexEspecifica el modo duplex del puerto (requiere que la auto negociación este deshabilitada)
CrossoverDetecta un cable crossover (solo-lectura)
Flow control Habilita o deshabilita el control de flujo

Forwarding Tab

Forwarding Tab le provee de opciones avanzadas de reenvio de los puertos switch, port locking, port mirroring, limitación del ancho de banda y broadcast storm control.
PropiedadDescripción
ForwardingForwarding table – permite o restringe el trafico entre los puertos especificados
Port Lock
  • Port Lock – Habilita o deshabilita el aprendizaje de MAC address en el puerto
  • Lock On First – Habilita o deshabilita el aprendizaje de MAC address en el puerto (La MAC address del primer paquete recibido será aprendido)
Port Mirroring
  • Mirror Ingress – Si el tráfico entrante debe ser copiado o reenviado al puerto mirroring
  • Mirror Outgress – Si el tráfico saliente debe ser copiado o reenviado al puerto mirroring
  • Mirror To – Mirroring target port
Bandwidth Limit
  • Ingres Rate – Limita el tráfico entrante en este puerto (bps)
  • Outgres Rate – Limita el tráfico entrante en este puerto (bps)
Broadcast Storm Control
  • Storm Rate – Limita el número de paquetes broadcast enviado por una interface
  • Include Unicast – Incluye paquete unicast sin una entrada en la tabla de host, en la limitación Storm Rate

Statistics Tab

Le provee información en detalle sobre los paquetes recibidos y transmitidos.

VLAN Tab

configuración VLAN para puertos del Switch.
PropiedadDescripción
VLAN ModeVLAN mode para puerto entrante:

  • disabled – VLAN table no es usada. El Switch ignora la etiqueta VLAN del paquete tageado
  • optional – Maneja paquetes con el tag ID VLAN que no esta presente en la tabla VLAN como paquetes sin tag VLAN
  • enabled – Descarta paquetes sin tag VLAN ID que no este presente en la tabla VLAN. Paquetes sin tag VLAN no serán tratados como paquetes tageados con el Default VLAN ID
  • strict – igual que el enable, pero también chequea el puerto entrante (descarta paquetes con tag VLAN ID y el puerto entrante que no este presente en la tabla VLAN)
Default VLAN IDVLAN ID para paquetes no tagueados cuando VLAN Modeenabled” o “strict” es usado
Force VLAN IDAplica el Default VLAN IDa los paquetes entrantes con tag VLAN
VLAN Header
  • leave as is – si el encabezado VLAN está presente, se mantiene sin cambios
  • always strip – si el encabezado VLAN está presente, éste es removido del paquete
  • add if missing – si el encabezado VLAN está presente, es agregado al paquete (VLAN ID será Default VLAN ID para el puerto entrante)

VLANs Tab

VLAN tables especifica cierta reglas de reenvío para paquetes con el tag especifico 802.1q. Básicamente la tabla contiene las VLAN tag IDs de un grupo de uno o mas puertos. Paquetes con tag VLAN dejarán el switch a través de uno o mas puertos según sean seteados en la correspondiente entrada de tabla. La tabla VLAN trabaja en conjunto con la resolución de la MAC destino hacia determinado puerto saliente.
PropiedadDescripción
VLAN IDVLAN ID del paquete
PortsPorts the packet should be mapped to

Hosts Tab

Esta tabla muestra dinamicamente las MAC Address aprendidas en una entrada de port mapping. Cuando el Switch recibe un paquete de cierto puerto, este agrega la MAC address origen y el puerto por el cual es recibido el paquete a la tabla host, entonces, cuando el paquete viene con una MAC address X destino él conoce cual es el puerto por el cual debería reenviarse el paquete. Si la MAC address destino no esta presente en la tabla de host, el paquete es reenviado a todos lo puertos del grupo. Las entradas dinámicas toman alrededor de 5 minutos para tener timeout.

PropiedadDescripción
MACMAC address (solo lectura)
PortsPuerto que el paquete debería reenviarse (solo lectura)

Static Hosts Tab

Entradas estáticas en la tabla de host. Estas se volverán dinámicas si una entrada dinámica con la misma mac address ya existe. También mediante el agregado de una entrada estática, se tendrá acceso a algunas funcionalidades extras

PropiedadDescripción
MACMAC address
PortsPuerto por el cual el paquete debe ser reenviado
DropLos paquetes puede ser clonados y enviados al puerto target-mirror
MirrorPaquetes con cierta MAC address que vengan de ciertos puertos se pueden quitar

ACL Tab

Una lista de control de acceso (ACL) es una herramienta muy poderosa que permite el filtrado de paquetes, reenvios y tageo de VLAN basados en coincidencia de campos del encabezados de capa L2,L3. SwOS le permite implementar un limitado número de control de accesos con reglas (32 reglas simples (con coincidencias de capa L2 o L3) o 16 reglas complejas (ambos L2 y L3 son utilizados)).

Cada regla contiene un parte de coincidencia y otra de acción

Parámetros de coincidencia – Matching part

PropiedadDescripción
FromCoincide si el paquete viene del puerto
MAC SrcCoincide con la MAC address origen y la máscara
MAC DstCoincide con la MAC address destino y la máscara
EthertypeCoincide con el protocolo encapsulado en la carga útil de un frame Ethernet
VLANCoincide si el encabezado VLAN presencia:

  • any
  • present
  • not present
VLAN IDCoincide por el tag VLAN ID
PriorityCoincide por la prioridad en el tag VLAN
IP SrcCoincide con el IP address y máscara de origen
IP DstCoincide con el IP address y máscara de destino
ProtocolCoincide por el protocolo IP
DSCPCoincide con el campo IP DSCP

Acciones para estos parametros

PropiedadDescripción
Redirect ToFuerza un nuevo puerto destino (si Redirect To está habilitado y no hay puerto especificado en Redirect To Ports, el paquete será descartado)
Redirect To PortsPuerto de destino
MirrorClona los paquetes y se envía al puerto mirror-target
Set VLAN IDCambia el tag VLAN ID, si se encuentra tag VLAN
PriorityCambia el tag VLAN priority, si se encuentra el tag VLAN

Ejemplo

Siguiendo el ejemplo se muestra como dropear un paquete ICMP destinado al router. Será imposible hacer ping al Switch en el puerto 5

SNMP Tab

SNMP Tab consiste en seteos para monitorear el Switch remotamente
PropiedadDescripción
EnabledHabilita o deshabilita el servicio SNMP
Communitynombre de la comunidad SNMP
Contact InfoInformación de contacto del NMS
LocationInformación de localización del NMS
Por: Maximiliano Dobladez Fuente: Mikrotik
Bajo Licencia CC 2.5 - Attribution-Noncommercial-No Derivative