Przełączniki warstwy trzeciej (L3) stanowią kluczowy element nowoczesnych sieci komputerowych, łącząc w sobie funkcjonalność tradycyjnego przełącznika warstwy drugiej z możliwościami routingu IP. W odróżnieniu od klasycznych routerów, które przetwarzają pakiety programowo z wykorzystaniem procesora ogólnego przeznaczenia, L3 Switch wykorzystuje wyspecjalizowane układy ASIC do podejmowania decyzji routingowych z prędkością linii. Mechanizm L3 Hardware Offloading pozwala na routing między sieciami VLAN bez angażowania centralnego procesora urządzenia, co przekłada się na przepustowości rzędu dziesiątek gigabitów na sekundę.

W ekosystemie MikroTik przełączniki serii CRS3xx i CRS5xx oferują wsparcie dla L3HW, jednak wymaga to spełnienia szeregu warunków konfiguracyjnych, takich jak włączenie bridge VLAN filtering oraz unikanie reguł firewalla ingerujących w ruch podlegający offloadingowi. Wybór między systemami RouterOS a SwOS determinuje nie tylko dostępne funkcje, ale także stopień ryzyka utraty wydajności sprzętowej. RouterOS zapewnia ogromną elastyczność konfiguracyjną, lecz nieostrożne dodanie reguł firewalla czy translacji NAT może natychmiast wyłączyć L3HW, powodując drastyczny spadek przepustowości.

Typowa architektura sieci LAN z L3 Switch zakłada umieszczenie tego urządzenia w szkieletowej części infrastruktury, podczas gdy router dedykowany obsługuje połączenie z Internetem oraz zaawansowane funkcje brzegowe. Takie rozwiązanie pozwala wykorzystać zalety obu światów – szybkiego routingu wewnętrznego w sprzęcie oraz elastyczności routingu brzegowego w oprogramowaniu.

Główną ideą prezentacji jest pokazanie, jak przełączniki warstwy trzeciej eliminują wady tradycyjnego podejścia z osobnym routerem do obsługi ruchu między sieciami VLAN. W klasycznym modelu router-on-a-stick każdy pakiet musi opuścić przełącznik, zostać przetworzony przez router programowo i powrócić, co tworzy wąskie gardło wydajnościowe. L3 Switch wykonuje cały proces wewnętrznie w układzie ASIC, osiągając przepustowość wirespeed przy minimalnych opóźnieniach.

Istotnym aspektem jest zrozumienie, że L3 Hardware Offloading nie jest funkcją działającą automatycznie w każdej konfiguracji – wymaga spełnienia precyzyjnych warunków dotyczących konfiguracji mostu, adresacji IP oraz braku ingerencji firewalla. W systemie RouterOS każda reguła firewalla dla łańcucha forward, każda reguła NAT oraz włączenie connection trackingu dla ruchu L3 natychmiast wyłącza mechanizm L3HW, przerzucając cały routing na procesor CPU. Skutkiem tego jest spadek wydajności nawet o 48 razy w stosunku do konfiguracji w pełni offloadowanej sprzętowo.

Prezentacja porównuje również dwa systemy operacyjne dostępne dla przełączników MikroTik CRS – rozbudowany RouterOS oraz minimalistyczny SwOS. Każdy z nich ma swoje zalety i wady, a wybór odpowiedniego systemu zależy od konkretnych wymagań projektowych oraz poziomu wiedzy administratora.

Sieci VLAN (Virtual Local Area Networks) to technologia pozwalająca na podział jednej fizycznej sieci przełączanej na wiele logicznie odizolowanych domen rozgłoszeniowych. Każda sieć VLAN stanowi oddzielną domenę warstwy drugiej, co oznacza, że ramki Ethernet z jednego VLAN nie są przekazywane do innego VLAN przez standardowy przełącznik warstwy drugiej. Izolacja ta jest realizowana przez dodanie do ramki znacznika VLAN ID (tagowania zgodnego ze standardem IEEE 802.1Q), który identyfikuje przynależność ramki do konkretnej sieci VLAN.

Konsekwencją izolacji na poziomie L2 jest brak możliwości komunikacji między stacjami znajdującymi się w różnych sieciach VLAN bez pośrednictwa urządzenia warstwy trzeciej. Nawet jeśli dwie stacje są podłączone do tego samego fizycznego przełącznika, ale należą do różnych VLAN, nie mogą wymieniać pakietów IP bezpośrednio. Aby komunikacja między VLAN była możliwa, niezbędny jest routing IP, który odbywa się na podstawie adresów sieciowych warstwy trzeciej.

W praktyce oznacza to, że dla każdej sieci VLAN konfiguruje się oddzielną podsieć IP, a brama domyślna dla hostów w danej podsieci wskazuje na interfejs urządzenia realizującego routing między VLAN. Zrozumienie tej koncepcji jest kluczowe dla dalszych rozważań o optymalizacji komunikacji między sieciami VLAN z wykorzystaniem L3 Switchy.

Router-on-a-Stick to architektura, w której pojedynczy interfejs fizyczny routera obsługuje ruch z wielu sieci VLAN dzięki wykorzystaniu subinterfejsów logicznych. Na routerze tworzy się osobny subinterfejs dla każdej sieci VLAN, przypisując mu odpowiedni identyfikator VLAN ID oraz adres IP z danej podsieci. Połączenie między przełącznikiem a routerem realizowane jest za pomocą portu trunk, który przesyła ramki ze znacznikami 802.1Q dla wszystkich obsługiwanych sieci VLAN.

Gdy stacja z VLAN 10 chce wysłać pakiet do stacji z VLAN 20, przełącznik L2 kieruje ramkę do routera przez port trunk z odpowiednim znacznikiem VLAN. Router odbiera ramkę na subinterfejsie VLAN 10, sprawdza docelowy adres IP i stwierdza, że należy on do podsieci VLAN 20. Następnie router przekazuje pakiet przez subinterfejs VLAN 20 z powrotem do przełącznika, który dostarcza go do docelowej stacji. Wszystkie te operacje odbywają się z udziałem procesora routera, który programowo przetwarza każdy pakiet.

Rozwiązanie to jest stosunkowo proste w konfiguracji i nie wymaga zakupu dodatkowego sprzętu poza standardowym routerem i przełącznikiem L2. Jednak ze względu na ograniczenia wydajnościowe, sprawdza się ono jedynie w małych sieciach o niewielkim natężeniu ruchu między VLAN.

Podstawowym ograniczeniem architektury router-on-a-stick jest fakt, że cały ruch między sieciami VLAN musi dwukrotnie przejść przez ten sam interfejs fizyczny routera – raz w kierunku wejściowym i raz w kierunku wyjściowym. Oznacza to, że teoretyczna przepustowość interfejsu Gigabit Ethernet zostaje zredukowana do około 500 Mbps w praktyce, ponieważ pakiety w obu kierunkach konkurują o tę samą przepustowość. Dodatkowo na routerze każde przetworzenie pakietu angażuje procesor ogólnego przeznaczenia, który musi wykonać serię operacji na stosie TCP/IP, co przy dużym natężeniu ruchu prowadzi do stuprocentowego wykorzystania CPU.

Opóźnienia wprowadzane przez programowe przetwarzanie pakietów w routerze wynoszą typowo od 100 do 500 mikrosekund, co w porównaniu do opóźnień rzędu pojedynczych mikrosekund w przełącznikach L2 jest wartością znaczącą. W router-on-a-stick router stanowi dodatkowy hop sieciowy, co zwiększa złożoność diagnostyki awarii oraz wprowadza dodatkowy punkt awarii. W przypadku awarii routera cała komunikacja między VLAN w sieci zostaje przerwana, nawet jeśli przełączniki L2 pozostają w pełni sprawne.

Skalowalność tego rozwiązania jest ograniczona – dodanie kolejnych sieci VLAN zwiększa obciążenie routera liniowo, a przy przepustowości powyżej 1 Gbps problem staje się krytyczny. Z tych powodów architektura router-on-a-stick jest uznawana za przestarzałą w nowoczesnych sieciach LAN o wysokich wymaganiach wydajnościowych.

Zastosowanie osobnego routera do obsługi komunikacji między VLAN wiąże się z istotnymi kosztami finansowymi i operacyjnymi. Router o wydajności odpowiedniej dla sieci średniej wielkości to wydatek rzędu kilku tysięcy złotych, do czego należy doliczyć koszt zasilania awaryjnego, zajęcie miejsca w szafie rackowej oraz zużycie energii elektrycznej. W przypadku konieczności zapewnienia wysokiej dostępności (high availability) niezbędny jest zakup drugiego, identycznego routera oraz wdrożenie protokołów redundancyjnych, takich jak VRRP czy CARP, co dodatkowo zwiększa koszty i złożoność.

Konfiguracja routera do obsługi wielu subinterfejsów VLAN, reguł firewalla między VLAN oraz ewentualnych polityk QoS wymaga zaawansowanej wiedzy i jest podatna na błędy. Każdy błąd konfiguracyjny, taki jak nieprawidłowe przypisanie adresacji IP do subinterfejsu czy błędna reguła firewalla, może spowodować przerwanie komunikacji między sieciami VLAN. Diagnostyka takich problemów jest utrudniona, ponieważ ruch musi być analizowany zarówno na przełączniku L2, jak i na routerze.

Router jako pojedynczy punkt awarii stanowi istotne zagrożenie dla ciągłości działania sieci. W przypadku awarii routera wszystkie usługi sieciowe wymagające komunikacji między VLAN, takie jak dostęp do serwerów plików, drukarek sieciowych czy systemów ERP, zostają przerwane. Wdrożenie redundancji wymaga zaawansowanych protokołów i starannego planowania adresacji.

Odpowiedzią na ograniczenia router-on-a-stick jest koncepcja przełącznika zdolnego do wykonywania routingu IP wewnętrznie, bez konieczności przekazywania pakietów do zewnętrznego urządzenia. Przełącznik warstwy trzeciej łączy w sobie funkcjonalność przełącznika L2 z modułem routingu IP zaimplementowanym sprzętowo w układzie ASIC. Dzięki temu routing między VLAN odbywa się z tą samą prędkością co przełączanie w warstwie drugiej, czyli z pełną prędkością linii (wirespeed).

Wewnętrzna architektura L3 Switcha przewiduje, że układ ASIC jest odpowiedzialny zarówno za przetwarzanie ramek na poziomie L2 (adresy MAC, tablica forwardingowa), jak i za podejmowanie decyzji routingowych na poziomie L3 (adresy IP, tablica routingu). ASIC wykorzystuje pamięć TCAM (Ternary Content-Addressable Memory) do przechowywania wpisów routingu i błyskawicznego wyszukiwania najdłuższego dopasowania prefiksu. Operacja routingu w ASIC zajmuje zaledwie 1-2 cykle zegara, co przy częstotliwości pracy układu rzędu 500 MHz do 1 GHz daje opóźnienia mierzone w nanosekundach.

Efektem jest urządzenie, które dla ruchu wewnątrz tej samej sieci VLAN działa jak szybki przełącznik L2, a dla ruchu między różnymi VLAN realizuje routing IP z wydajnością nieosiągalną dla tradycyjnych routerów programowych.

Podstawowa różnica między przełącznikiem warstwy drugiej a przełącznikiem warstwy trzeciej leży w zakresie informacji wykorzystywanych do podejmowania decyzji o przekazywaniu ramek. Przełącznik L2 operuje wyłącznie na podstawie adresów MAC źródłowego i docelowego zawartych w nagłówku ramki Ethernet, korzystając z tablicy adresów MAC (CAM) do określenia portu wyjściowego. Decyzje przełącznika L2 sprowadzają się do trzech operacji: forward (przekazanie ramki do portu docelowego), filter (odrzucenie ramki) lub flood (rozgłoszenie ramki na wszystkie porty w domenie).

Przełącznik L3 rozszerza ten mechanizm o możliwość analizowania nagłówka IP pakietu zawartego w ramce Ethernet. Gdy przełącznik L3 stwierdzi, że docelowy adres IP należy do innej podsieci niż źródłowy, uruchamia procedurę routingu IP, która polega na zmniejszeniu pola TTL, przeliczeniu sumy kontrolnej nagłówka IP, zmianie docelowego adresu MAC na adres następnego skoku oraz przekazaniu pakietu do odpowiedniego interfejsu wyjściowego. Operacje te są realizowane w układzie ASIC z pełną prędkością linii.

Warto podkreślić, że L3 Switch nie jest routerem ogólnego przeznaczenia – jego specjalizacja sprzętowa ogranicza możliwość implementacji zaawansowanych funkcji, takich jak translacja adresów NAT, stanowy firewall czy zaawansowane protokoły routingu dynamicznego w pełnym zakresie. Funkcje te, jeśli są niezbędne, muszą być realizowane programowo przez procesor CPU, co drastycznie obniża wydajność.

Idea L3 Switchingu opiera się na założeniu, że decyzja o routingu pakietu może być podjęta przez układ ASIC w czasie rzeczywistym, bez angażowania procesora głównego urządzenia. Gdy pakiet IP dociera do przełącznika L3, układ ASIC odczytuje z jego nagłówka adres IP źródłowy i docelowy, a następnie porównuje docelowy adres IP z wpisami w tablicy routingu przechowywanej w pamięci TCAM. Jeśli docelowy adres IP należy do innej podsieci (innego VLAN) niż adres źródłowy, ASIC wykonuje operację routingu, modyfikując odpowiednio nagłówek ramki Ethernet i przekazując pakiet do odpowiedniego portu wyjściowego.

Dzięki temu mechanizmowi przełącznik L3 pełni jednocześnie dwie role: dla ruchu wewnątrz sieci VLAN działa jak standardowy przełącznik L2 forwardujący ramki na podstawie adresów MAC, natomiast dla ruchu między VLAN realizuje funkcje routera. Co istotne, obie te role są wykonywane sprzętowo w tym samym układzie ASIC, co eliminuje potrzebę przekazywania pakietów między osobnymi układami lub do procesora. Przełącznik L3 nie wymaga zatem zewnętrznego routera do obsługi komunikacji między VLAN, co upraszcza architekturę sieci i redukuje koszty.

W praktyce oznacza to, że administrator sieci może skonfigurować wiele sieci VLAN na przełączniku L3, przypisać każdej z nich adres IP bramy i uzyskać routing między nimi z wydajnością wirespeed, bez konieczności zakupu i konfiguracji dodatkowego routera.

Układ ASIC zastosowany w przełącznikach L3 zawiera wyspecjalizowane bloki logiczne zaprojektowane do wykonywania operacji routingu IP na poziomie sprzętowym. Sercem układu jest pamięć TCAM (Ternary Content-Addressable Memory), która przechowuje tablicę routingu w postaci wpisów zawierających prefiks sieci, maskę, adres następnego skoku oraz interfejs wyjściowy. W przeciwieństwie do tradycyjnej pamięci RAM, TCAM umożliwia wyszukiwanie wszystkich wpisów jednocześnie i zwrócenie najlepszego dopasowania (najdłuższego prefiksu) w jednym cyklu zegara.

Gdy pakiet IP trafia do przełącznika, ASIC wykonuje sekwencję operacji: ekstrakcja 28 bajtów nagłówka IPv4 (lub 40 bajtów dla IPv6), wyszukiwanie docelowego adresu IP w TCAM, zmniejszenie pola TTL o jeden, przeliczenie sumy kontrolnej nagłówka IP, podmiana docelowego adresu MAC na adres następnego skoku, podmiana źródłowego adresu MAC na adres interfejsu wyjściowego oraz przekazanie zmodyfikowanego pakietu do odpowiedniego portu. Cały ten proces zachodzi w czasie rzeczywistym, zwykle w ciągu 1-2 cykli zegara ASIC, co daje opóźnienia rzędu pojedynczych nanosekund.

Wydajność routingu w ASIC jest ograniczona przede wszystkim pojemnością pamięci TCAM, która w przełącznikach klasy średniej wynosi od 1K do 32K wpisów. Po przekroczeniu tej pojemności nowe trasy nie mogą być offloadowane do sprzętu i są obsługiwane programowo przez procesor CPU.

L3 Hardware Offloading to mechanizm, w którym routing IP pomiędzy sieciami VLAN jest realizowany w układzie ASIC przełącznika, a nie w jego procesorze głównym (CPU). Rola procesora sprowadza się wyłącznie do konfiguracji reguł routingu w ASIC oraz do obsługi pakietów, które z jakiegoś powodu nie mogą być przetworzone sprzętowo (na przykład pakiety ICMP, fragmentacja, pakiety z opcjami IP). Gdy L3HW działa, procesor pozostaje w zasadzie nieobciążony ruchem routowanym i może w pełni zająć się zadaniami zarządczymi, takimi jak obsługa protokołów routingu dynamicznego, obsługa sesji telnet/SSH czy SNMP.

Efektem zastosowania L3HW jest przepustowość routingu równa przepustowości przełączania L2, określana mianem wirespeed. Oznacza to, że przełącznik L3 może routingować pakiety między VLAN z prędkością odpowiadającą sumarycznej przepustowości wszystkich jego portów, bez spadku wydajności w miarę wzrostu obciążenia. W praktyce dla przełącznika CRS326 (24 porty Gigabit) L3HW umożliwia routing z prędkością około 24 Gbps, podczas gdy bez L3HW – zaledwie 500 Mbps.

Rozumienie mechanizmu L3HW jest kluczowe dla projektowania wydajnych sieci LAN z wykorzystaniem przełączników warstwy trzeciej. Należy pamiętać, że wiele funkcji, takich jak firewall, NAT czy zaawansowane listy ACL, może zablokować działanie L3HW i przerzucić routing na procesor.

L3 Hardware Offloading w przełącznikach MikroTik serii CRS3xx i CRS5xx działa tylko przy spełnieniu określonych warunków konfiguracyjnych. Pierwszym i najważniejszym warunkiem jest włączenie bridge VLAN filtering (bridge vlan-filtering=yes) dla mostu, do którego przypisane są porty przełącznika. Bez włączonego filtrowania VLAN wszystkie decyzje dotyczące tagowania ramek są podejmowane przez procesor, a nie przez układ ASIC, co uniemożliwia działanie L3HW.

Drugim warunkiem jest skonfigurowanie adresów IP dla sieci VLAN na interfejsie mostu (bridge), a nie na fizycznych portach ani na interfejsach VLAN utworzonych poza mostem. Adres IP na interfejsie bridge VLAN stanowi bramę domyślną dla hostów w danej sieci VLAN i to właśnie ten interfejs jest offloadowany do ASIC. Kolejnym krytycznym warunkiem jest brak reguł firewalla ingerujących w ruch podlegający L3HW – jakakolwiek reguła firewalla dla łańcucha forward wyłącza mechanizm L3HW dla całego mostu.

Dodatkowo L3HW wymaga, aby przełącznik fizycznie obsługiwał ten mechanizm – nie wszystkie modele MikroTik go wspierają. Seria CRS1xx i CRS2xx nie posiada sprzętowego wsparcia dla L3HW, podczas gdy CRS3xx i CRS5xx tak. Warto również pamiętać, że nawet w obsługiwanych modelach niektóre funkcje, takie jak routing asymetryczny czy ACL, mogą częściowo lub całkowicie blokować L3HW.

Różnica w wydajności routingu między VLAN przy włączonym i wyłączonym L3HW jest dramatyczna i może być czynnikiem decydującym o powodzeniu projektu sieciowego. Gdy L3HW działa prawidłowo, wydajność routingu jest ograniczona wyłącznie przepustowością magistrali wewnętrznej przełącznika i wynosi tyle, ile sumaryczna przepustowość wszystkich portów. Dla przykładu, przełącznik CRS326 z 24 portami Gigabit Ethernet osiąga około 24 Gbps przepustowości routingu L3HW, a procesor pozostaje obciążony w zaledwie kilku procentach.

Sytuacja zmienia się diametralnie, gdy L3HW zostaje wyłączone przez którąś z przeszkadzających funkcji. Wówczas każdy pakiet musi być przetworzony programowo przez procesor główny przełącznika, który nie jest zaprojektowany do wykonywania routingu z dużą wydajnością. W praktyce wydajność routingu spada do około 500 Mbps dla przełącznika CRS326, co stanowi zaledwie 2-5% nominalnej przepustowości sprzętowej. Procesor zostaje w pełni obciążony (90-100% CPU), co wpływa również na pozostałe funkcje zarządcze urządzenia.

Należy pamiętać, że mechanizm L3HW jest analogiczny do HW offload znanego z przełączania L2 – w obu przypadkach decyzje o przekazywaniu ramek/pakietów są podejmowane przez układ ASIC, a CPU zajmuje się wyłącznie konfiguracją i obsługą wyjątków. Utrata HW offload w L2 również powodowałaby drastyczny spadek wydajności.

Pamięć TCAM (Ternary Content-Addressable Memory) jest kluczowym komponentem układu ASIC odpowiedzialnym za przechowywanie tablicy routingu i realizację wyszukiwania najdłuższego dopasowania (LPM – Longest Prefix Match). W przeciwieństwie do pamięci CAM stosowanej w przełącznikach L2, która przechowuje wyłącznie adresy MAC w postaci bitów 0 i 1, pamięć TCAM przechowuje dane w systemie trójkowym: 0, 1 oraz znak wildcard (don't care). Dzięki temu możliwe jest przechowywanie wpisów z maskami podsieci o różnej długości i wyszukiwanie najlepszego dopasowania w jednym cyklu zegara.

Wpis w pamięci TCAM dla routingu L3 zawiera następujące pola: prefiks sieci IP, maskę sieci (reprezentowaną jako wzorzec z bitami don't care dla części hosta), adres następnego skoku (next-hop), interfejs wyjściowy oraz priorytet/metrikę. Gdy pakiet IP dociera do przełącznika, ASIC podaje docelowy adres IP do pamięci TCAM, która w jednym cyklu znajduje wpis o najdłuższym dopasowaniu i zwraca powiązane z nim informacje routingu. Cała operacja trwa zaledwie kilka nanosekund.

Zasadniczym ograniczeniem pamięci TCAM jest jej pojemność, która w przełącznikach klasy średniej wynosi od 1024 do 32768 wpisów. Dla porównania, pełna tablica routingu BGP Internetu zawiera około miliona prefiksów, co uniemożliwia jej offloadowanie do pamięci TCAM przełącznika L3. Z tego powodu L3 Switch nie może służyć jako router brzegowy Internetu z pełną tablicą BGP.

Porównanie przełącznika warstwy trzeciej z routerem ogólnego przeznaczenia ujawnia fundamentalne różnice w architekturze i przeznaczeniu tych urządzeń. L3 Switch został zaprojektowany z myślą o jak najszybszym przekazywaniu pakietów między sieciami VLAN wewnątrz sieci LAN, kosztem ograniczenia funkcji zaawansowanych. Router natomiast jest urządzeniem uniwersalnym, zdolnym do wykonywania złożonych operacji na pakietach, takich jak translacja adresów (NAT), stanowa inspekcja firewalla, szyfrowanie VPN czy zaawansowane polityki routingu, ale z niższą wydajnością przepustowości.

Pod względem przepustowości L3 Switch przewyższa router o kilka rzędów wielkości – typowy przełącznik L3 oferuje przepustowość od 10 do 100 Gbps i więcej, podczas gdy router w podobnej cenie zapewnia przepustowość od 100 Mbps do 10 Gbps. Różnica ta wynika z faktu, że L3 Switch wykorzystuje wyspecjalizowany układ ASIC przetwarzający pakiety w sposób potokowy, podczas gdy router polega na procesorze ogólnego przeznaczenia przetwarzającym pakiety sekwencyjnie.

Zastosowanie każdego z tych urządzeń jest inne: L3 Switch sprawdza się w szkieletach sieci LAN, kampusach i data center, gdzie priorytetem jest szybki routing między VLAN. Router znajduje zastosowanie na brzegu sieci, gdzie niezbędne są NAT, firewall, VPN, BGP z pełną tablicą oraz obsługa MPLS.

Decyzja o wyborze między przełącznikiem L3 a routerem w konkretnym segmencie sieci zależy od analizy wymagań dotyczących wydajności, funkcjonalności i budżetu. Przełącznik L3 jest optymalnym wyborem wszędzie tam, gdzie występuje intensywny ruch między wieloma sieciami VLAN w obrębie sieci LAN – na przykład w szkieletach sieci rozległych firm, kampusach uczelnianych czy data center. W tych scenariuszach szybki routing sprzętowy jest kluczowy dla utrzymania płynności komunikacji, a zaawansowane funkcje firewalla czy NAT nie są wewnątrz sieci potrzebne.

Router jest niezbędny na styku sieci LAN z sieciami zewnętrznymi, przede wszystkim z Internetem. To właśnie na routerze realizowana jest translacja adresów prywatnych na publiczne (NAT), ochrona firewalla przed atakami z zewnątrz, tworzenie tuneli VPN dla zdalnego dostępu oraz obsługa protokołów routingu dynamicznego BGP w przypadku posiadania własnej puli adresów IP. Router jest również niezbędny do obsługi MPLS, zaawansowanego QoS na poziomie aplikacji czy głębokiej inspekcji pakietów.

Optymalna architektura sieci LAN zakłada współpracę obu typów urządzeń: wewnątrz sieci pracuje szybki L3 Switch odpowiedzialny za routing między VLAN z prędkością linii, a na brzegu sieci router zapewnia dostęp do Internetu i realizuje funkcje bezpieczeństwa. Takie rozwiązanie łączy wydajność z funkcjonalnością.

Rozpatrzmy przypadek firmy zatrudniającej około 200 pracowników, w której sieć podzielono na pięć sieci VLAN: Administracja (VLAN 10), Księgowość (VLAN 20), IT (VLAN 30), Sprzedaż (VLAN 40) oraz Goście (VLAN 50). W tradycyjnym podejściu z router-on-a-stick cały ruch między tymi sieciami musiałby być przetwarzany przez router programowo, co przy 200 stacjach generujących ruch sieciowy szybko doprowadziłoby do nasycenia interfejsu routera i przeciążenia jego procesora. Nawet jeśli router miałby interfejs 1 Gbps, rzeczywista przepustowość routingu między VLAN spadłaby do około 500 Mbps, a przy intensywnym użytkowaniu sieci opóźnienia i utrata pakietów stałyby się odczuwalne.

Wdrożenie przełącznika L3 (na przykład MikroTik CRS326) pozwala na routing między wszystkimi pięcioma sieciami VLAN bezpośrednio w układzie ASIC z prędkością linii. CRS326 dysponuje 24 portami Gigabit Ethernet, co daje sumaryczną przepustowość przełączania około 24 Gbps. Dzięki mechanizmowi L3HW routing między VLAN odbywa się z tą samą wydajnością, a procesor przełącznika pozostaje praktycznie nieobciążony, mogąc zajmować się zarządzaniem i obsługą protokołów pomocniczych, takich jak DHCP czy SNMP.

Router w tej architekturze (na przykład MikroTik RB5009) pełni rolę wyłącznie bramy do Internetu, realizując NAT, firewall dla ruchu WAN oraz ewentualnie VPN dla zdalnych pracowników. Porównując to z router-on-a-stick, wydajność routingu między VLAN wzrasta około 50-krotnie, przy jednoczesnym uproszczeniu architektury sieci.

Przełączniki warstwy trzeciej mogą obsługiwać protokoły routingu dynamicznego, takie jak OSPF (Open Shortest Path First), BGP (Border Gateway Protocol) oraz RIP (Routing Information Protocol). Należy jednak rozumieć, że sposób realizacji tych protokołów w L3 Switchu różni się istotnie od implementacji w routerze programowym. W przełączniku L3 protokół routingu dynamicznego działa w procesorze CPU, który oblicza tablicę routingu i negocjuje sesje z sąsiednimi routerami. Dopiero gotowe wpisy routingu są przekazywane do pamięci TCAM układu ASIC w celu sprzętowego forwardowania pakietów.

Protokół OSPF wymaga od CPU obliczania drzewa najkrótszych ścieżek (SPF – Shortest Path First) przy każdej zmianie topologii sieci. Obliczenia te mogą być obciążające dla procesora w przypadku dużych i często zmieniających się sieci OSPF. Jednak gdy drzewo SPF zostanie obliczone, a wpisy routingu zostaną offloadowane do ASIC, samo forwardowanie pakietów odbywa się już sprzętowo z pełną prędkością. Analogicznie w przypadku BGP – sesje BGP są utrzymywane przez CPU, który przetwarza aktualizacje routingu i decyduje o wyborze najlepszych ścieżek, a następnie offloaduje wybrane prefiksy do pamięci TCAM.

Warto pamiętać, że złożone polityki routingu, takie jak route-maps, community lists w BGP czy zaawansowane filtry w OSPF, mogą wymusić przetwarzanie pakietów w CPU, ponieważ ASIC nie jest w stanie zrealizować wszystkich warunków logicznych zawartych w politykach routingu. W takich przypadkach routing przestaje być w pełni sprzętowy i wydajność spada.

Blok poświęcony koncepcji L3 Switchingu przedstawił fundamentalną ideę: przełącznik warstwy trzeciej łączy funkcje przełącznika L2 z możliwościami routingu IP w jednym urządzeniu, wykorzystując do tego celu wyspecjalizowany układ ASIC. Kluczowym mechanizmem umożliwiającym taką integrację jest L3 Hardware Offloading (L3HW), który pozwala na routing między sieciami VLAN z wydajnością wirespeed, bez angażowania procesora głównego przełącznika. Warunki konieczne do działania L3HW obejmują włączenie bridge VLAN filtering, konfigurację adresacji IP na interfejsach VLAN w mostie oraz brak reguł firewalla blokujących offloading.

Omówiono również ograniczenia pamięci TCAM, która przechowuje tablicę routingu dla ASIC i ma ograniczoną pojemność (1K-32K wpisów), co uniemożliwia offloadowanie pełnej tablicy BGP Internetu. Z tego powodu L3 Switch nie może zastąpić routera brzegowego w sieciach wymagających pełnej tablicy routingu BGP. Porównanie L3 Switcha z routerem wykazało, że każde z tych urządzeń ma swoje miejsce w architekturze sieci – L3 Switch wewnątrz sieci LAN do szybkiego routingu między VLAN, a router na brzegu sieci do obsługi Internetu i funkcji zaawansowanych.

Optymalne rozwiązanie projektowe polega na współpracy L3 Switcha jako urządzenia szkieletowego z routerem na brzegu sieci. Praktyczny przykład firmy z 200 stacjami i pięcioma VLAN pokazał, że takie podejście może zwiększyć wydajność routingu między VLAN nawet 50-krotnie w porównaniu do tradycyjnego router-on-a-stick.

W ofercie MikroTik przełączniki z wbudowanym wsparciem dla L3 Hardware Offloading to przede wszystkim seria CRS3xx, obejmująca modele takie jak CRS326 (24 porty Gigabit), CRS328 (28 portów, w tym 4 SFP+) oraz CRS354 (48 portów Gigabit z 4 portami 10G SFP+). Modele te wykorzystują układy ASIC o wystarczającej mocy obliczeniowej i pojemności TCAM do offloadowania routingu między VLAN w sieciach LAN średniej wielkości. Nowsza seria CRS5xx (CRS518, CRS520) oferuje jeszcze wyższą wydajność, z portami 25 Gigabit Ethernet i 100 Gigabit Ethernet, przeznaczona do zastosowań w data center i szkieletach sieci operatorskich.

Aktywacja L3HW w RouterOS wymaga spełnienia opisanych wcześniej warunków konfiguracyjnych. Po prawidłowej konfiguracji administrator może sprawdzić działanie L3HW za pomocą polecenia /interface ethernet switch print, które wyświetla listę interfejsów wraz z flagami informującymi o offloadowaniu sprzętowym. Flaga H (hardware offloaded) przy trasie routingu oznacza, że dana trasa jest obsługiwana przez ASIC. Dodatkowo polecenie /ip route print pokazuje flagę HW przy trasach, które zostały pomyślnie offloadowane do pamięci TCAM.

Warto zaznaczyć, że nie wszystkie modele MikroTik wspierają L3HW – starsze serie CRS1xx, CRS2xx oraz urządzenia z serii RB (RouterBoard) nie mają sprzętowego wsparcia dla routingu L3 w ASIC. Przed zakupem przełącznika do zastosowań wymagających L3HW należy koniecznie sprawdzić specyfikację techniczną konkretnego modelu.

L3 Hardware Offloading jest mechanizmem szczególnie wrażliwym na konfigurację i w wielu sytuacjach może zostać automatycznie wyłączony przez RouterOS, bez ostrzeżenia dla administratora. Najczęstszą przyczyną utraty L3HW jest dodanie jakiejkolwiek reguły firewalla dla łańcucha forward (ip firewall filter). Nawet pojedyncza reguła zezwalająca na cały ruch (action=accept) powoduje, że RouterOS włącza connection tracking i zaczyna przetwarzać pakiety programowo, co uniemożliwia offloading do ASIC. Wynika to z faktu, że ASIC nie jest w stanie realizować stanowej inspekcji pakietów wymaganej przez firewall.

Translacja adresów NAT (masquerade, src-nat, dst-nat) jest kolejną funkcją, która natychmiast wyłącza L3HW. NAT wymaga modyfikacji adresów IP i portów w nagłówkach pakietów, a także prowadzenia tablic translacji, co jest realizowane wyłącznie programowo w CPU. Podobnie włączenie connection trackingu (ip firewall connection tracking) dla ruchu podlegającego routingowi między VLAN powoduje, że każdy pakiet musi być sprawdzony pod kątem przynależności do istniejącej sesji, co wymusza przetwarzanie w CPU. Nawet jeśli nie ma zdefiniowanych reguł firewalla, sam connection tracking wystarczy, by wyłączyć L3HW.

Banalnym z pozoru błędem jest również wyłączenie bridge VLAN filtering, które jest absolutnie niezbędne do działania L3HW. Administratorzy często przypadkowo wyłączają tę opcję podczas modyfikacji konfiguracji mostu, co skutkuje natychmiastowym przeniesieniem całego routingu na CPU.

Mechanizm L3 Hardware Offloading działa wyłącznie dla ruchu routowanego między interfejsami VLAN, które są częścią tego samego mostu (bridge) z włączonym filtrowaniem VLAN. Oznacza to, że adresy IP routera dla poszczególnych sieci VLAN muszą być skonfigurowane na interfejsach VLAN utworzonych w obrębie mostu (np. /interface vlan add name=vlan10 vlan-id=10 interface=bridge1). Jeśli administrator skonfiguruje adres IP bezpośrednio na fizycznym porcie (np. na ether1) i będzie routingował między tym portem a interfejsem VLAN w mostie, ruch ten będzie przetwarzany wyłącznie programowo przez CPU.

Sytuacja taka ma miejsce na przykład wtedy, gdy do przełącznika L3 podłączony jest router zewnętrzny przez dedykowany port (np. ether1), a na tym porcie skonfigurowano adres IP z sieci zewnętrznej. Routing między tym portem a sieciami VLAN w mostie nie może być offloadowany do ASIC, ponieważ ASIC przetwarza tylko ruch w obrębie mostu. W praktyce oznacza to, że ruch do routera zewnętrznego (do Internetu) jest obsługiwany programowo przez CPU, co przy dużym natężeniu ruchu może znacząco obciążyć procesor.

Z tego powodu w architekturze z L3 Switch i routerem brzegowym routing między VLAN (realizowany w mostie) działa sprzętowo, ale już routing z VLAN do Internetu (przechodzący przez port zewnętrzny) wymaga przetwarzania programowego. Jest to akceptowalne, ponieważ ruch do Internetu stanowi zazwyczaj mniejszość całego ruchu sieciowego.

Listy kontroli dostępu (ACL) w przełącznikach L3 mogą być realizowane na dwa sposoby: sprzętowo w układzie ASIC lub programowo w CPU, w zależności od złożoności reguł i możliwości konkretnego modelu przełącznika. Proste reguły ACL, które sprawdzają wyłącznie pola nagłówka IP (źródłowy adres IP, docelowy adres IP, protokół, porty TCP/UDP), mogą być w wielu implementacjach offloadowane do ASIC i współdzielić zasoby pamięci TCAM z tablicą routingu L3HW. W takim przypadku zarówno routing, jak i filtrowanie ACL odbywają się sprzętowo bez utraty wydajności.

Problem pojawia się, gdy reguły ACL stają się zbyt złożone. Reguły wymagające inspekcji stanowej (stateful ACL), porównywania zawartości pakietu na głębszych poziomach (deep packet inspection) czy wykonywania złożonych akcji (logowanie, modyfikacja pakietów) muszą być realizowane programowo w CPU. W takich przypadkach L3HW jest automatycznie wyłączane, ponieważ ASIC nie jest w stanie obsłużyć tych funkcji. Niektóre przełączniki MikroTik umożliwiają częściowe ACL w HW, ale zależy to od konkretnego modelu i wersji oprogramowania.

Z praktycznego punktu widzenia, w sieciach LAN z L3 Switch zaleca się stosowanie prostych ACL do podstawowej segmentacji ruchu między VLAN, a bardziej zaawansowane funkcje filtrowania realizować na routerze brzegowym. Takie podejście pozwala zachować wydajność L3HW dla większości ruchu, jednocześnie zapewniając niezbędny poziom bezpieczeństwa.

Rozpatrzmy konkretny przypadek konfiguracji routingu między dwoma sieciami VLAN na przełączniku MikroTik CRS326 z systemem RouterOS. Zakładamy, że mamy zdefiniowany most (bridge1) z włączonym bridge VLAN filtering. Tworzymy dwa interfejsy VLAN w mostie: vlan10 z identyfikatorem 10 oraz vlan20 z identyfikatorem 20. Do mostu przypisujemy fizyczne porty przełącznika, odpowiednio tagując je dla poszczególnych VLAN. Na interfejsie vlan10 konfigurujemy adres IP 192.168.10.1/24, a na vlan20 adres 192.168.20.1/24 – te adresy będą bramami domyślnymi dla hostów w odpowiednich sieciach.

Stacja A podłączona do portu w VLAN 10, mająca adres IP 192.168.10.100 i bramę 192.168.10.1, wysyła pakiet ICMP ping do stacji B o adresie 192.168.20.100. Pakiet trafia do przełącznika, gdzie ASIC odczytuje nagłówek IP i stwierdza, że adres docelowy (192.168.20.100) należy do innej podsieci niż adres źródłowy (192.168.10.100). ASIC wykonuje wyszukiwanie w pamięci TCAM, znajduje wpis dla podsieci 192.168.20.0/24 z next-hopem wskazującym na interfejs vlan20. Następnie ASIC modyfikuje nagłówek ramki: zmniejsza TTL, przelicza sumę kontrolną, zmienia docelowy adres MAC na adres stacji B (uzyskany z protokołu ARP) i przekazuje pakiet do portu w VLAN 20.

Cały proces zachodzi w układzie ASIC bez udziału CPU, z opóźnieniem rzędu kilku mikrosekund. Ping między stacjami działa z prędkością przełączania L2, a wydajność jest ograniczona wyłącznie przepustowością portów. Potwierdzeniem działania L3HW jest flaga HW przy trasach w /ip route print oraz niskie obciążenie CPU.

Przełącznik L3 może pełnić funkcję serwera DHCP (Dynamic Host Configuration Protocol) dla podsieci VLAN, co upraszcza zarządzanie adresacją IP w sieci. Serwer DHCP w RouterOS działa jako proces programowy w CPU, a nie w ASIC, ale nie wpływa to negatywnie na wydajność L3HW. Serwer DHCP przydziela adresy IP hostom w poszczególnych VLAN na podstawie zdefiniowanych pul adresowych i opcji DHCP, takich jak adres bramy domyślnej, serwer DNS czy domena wyszukiwania. Ruch DHCP (broadcasty DHCP Discover/Request) jest przetwarzany w CPU, co jest akceptowalne ze względu na niewielką częstotliwość tego typu pakietów.

Alternatywnym rozwiązaniem jest zastosowanie zewnętrznego serwera DHCP, na przykład na dedykowanym serwerze Windows lub Linux. W takiej konfiguracji przełącznik L3 pełni rolę DHCP relay (IP helper), przekazując broadcasty DHCP z sieci VLAN do zewnętrznego serwera DHCP. Funkcja DHCP relay jest realizowana programowo w CPU, jednak po przydzieleniu adresu IP hostowi i skonfigurowaniu bramy, dalsza komunikacja między VLAN odbywa się już z wykorzystaniem L3HW.

W praktyce zaleca się korzystanie z wbudowanego serwera DHCP w L3 Switchu dla niewielkich i średnich sieci LAN, co eliminuje potrzebę utrzymywania dodatkowego serwera. W większych sieciach centralny serwer DHCP z relayem na przełącznikach L3 zapewnia spójność konfiguracji i centralne zarządzanie adresacją.

Monitorowanie działania L3 Hardware Offloading jest kluczowym elementem utrzymania wydajności sieci z przełącznikiem warstwy trzeciej. Podstawowym narzędziem diagnostycznym w RouterOS jest polecenie /ip route print, które wyświetla tablicę routingu wraz z flagami informującymi o offloadowaniu. Flaga HW (oznaczona jako H w kolumnie flags) wskazuje, że dana trasa została pomyślnie offloadowana do pamięci TCAM i jest obsługiwana przez ASIC. Brak flagi HW oznacza, że routing dla danej podsieci odbywa się programowo w CPU, co powinno wzbudzić czujność administratora.

Kolejnym przydatnym poleceniem jest /interface ethernet switch stats, które wyświetla statystyki pakietów przetworzonych przez układ ASIC. Znacząca rozbieżność między liczbą pakietów przetworzonych przez ASIC a całkowitym ruchem w sieci może wskazywać na problemy z L3HW. Dodatkowo monitorowanie obciążenia procesora (polecenie /system resource print) jest prostym, ale skutecznym wskaźnikiem – jeśli CPU przy routingu między VLAN przekracza 50% obciążenia, najprawdopodobniej L3HW nie działa i routing odbywa się programowo.

Do zaawansowanej diagnostyki wydajności routingu warto wykorzystać narzędzie iperf3, uruchomione pomiędzy stacjami w różnych sieciach VLAN. Porównanie wyników pomiaru przepustowości z wartością oczekiwaną dla danego modelu przełącznika (np. 24 Gbps dla CRS326 przy L3HW) pozwala jednoznacznie stwierdzić, czy mechanizm L3HW działa poprawnie. Wynik rzędu 500 Mbps sugeruje routing programowy bez offloadowania.

Bridge VLAN filtering to funkcja mostu (bridge) w RouterOS, która umożliwia sprzętowe zarządzanie tagowaniem i przekazywaniem ramek VLAN przez układ ASIC. Gdy VLAN filtering jest włączone (bridge vlan-filtering=yes), to właśnie ASIC przejmuje odpowiedzialność za dodawanie i usuwanie znaczników 802.1Q VLAN na poszczególnych portach, zgodnie z konfiguracją VLAN w mostie. Bez włączenia VLAN filtering całe zarządzanie VLAN odbywa się programowo w CPU, co całkowicie uniemożliwia działanie L3HW, ponieważ routing między VLAN również wymagałby przetwarzania programowego.

Związek między VLAN filtering a L3HW jest analogiczny do związku między HW offload w warstwie L2 a przełączaniem ramek. W warstwie L2 włączenie HW offload (hw=yes na interfejsie mostu) powoduje, że decyzje o forwardowaniu ramek podejmuje ASIC na podstawie tablicy adresów MAC. L3HW jest naturalnym rozszerzeniem tego mechanizmu na warstwę 3 – gdy VLAN filtering jest włączone i spełnione są pozostałe warunki, ASIC zaczyna również podejmować decyzje routingowe na podstawie adresów IP.

Warto podkreślić, że most z włączonym VLAN filtering może obsługiwać zarówno przełączanie L2 (w obrębie tego samego VLAN), jak i routing L3 (między różnymi VLAN) w jednym układzie ASIC, bez udziału CPU. To czyni L3 Switch urządzeniem wyjątkowo wydajnym w porównaniu do tradycyjnej architektury z osobnym przełącznikiem i routerem.

Najlepszym sposobem zrozumienia znaczenia L3 Hardware Offloading jest porównanie wydajności tego samego przełącznika w dwóch konfiguracjach: z działającym L3HW i bez niego. Przełącznik CRS326 z 24 portami Gigabit Ethernet został skonfigurowany z dwoma sieciami VLAN (VLAN 10 i VLAN 20), mostem z włączonym VLAN filtering oraz adresami IP na interfejsach VLAN. Test przepustowości między stacjami w różnych VLAN przy użyciu narzędzia iperf3 wykazał przepustowość 24 Gbps (sumarycznie dla wszystkich portów) przy obciążeniu CPU na poziomie zaledwie 5%. Wynik ten potwierdza, że routing odbywa się w pełni sprzętowo w ASIC.

Następnie do konfiguracji dodano pojedynczą regułę firewalla dla łańcucha forward: /ip firewall filter add action=accept chain=forward. Ta pozornie nieszkodliwa reguła, która teoretycznie przepuszcza cały ruch, spowodowała natychmiastowe wyłączenie L3HW. Ponowny test iperf3 wykazał przepustowość zaledwie 500 Mbps (w przybliżeniu 48 razy mniej), a obciążenie CPU wzrosło do 100%. Ta sama reguła, ten sam przełącznik, ta sama konfiguracja VLAN – różnica jest jednak dramatyczna.

Ten przykład dobitnie pokazuje, jak krytyczne dla wydajności sieci jest zrozumienie mechanizmu L3HW i unikanie konfiguracji, która go wyłącza. Jeden nieprzemyślany wpis w konfiguracji firewalla może zniszczyć wydajność sieci LAN, czyniąc przełącznik L3 nie szybszym od przeciętnego routera programowego.

Jakość usług (QoS – Quality of Service) w kontekście L3 Hardware Offloading podlega istotnym ograniczeniom wynikającym z możliwości układu ASIC. Podstawowe mechanizmy QoS, takie jak kolejkowanie priorytetów na podstawie znaczników 802.1p (VLAN priority) lub DSCP (Differentiated Services Code Point) w nagłówku IP, mogą być realizowane sprzętowo w ASIC bez wpływu na L3HW. Oznacza to, że nadawanie priorytetów ruchowi wrażliwemu na opóźnienia (VoIP, wideokonferencje) na podstawie wcześniej oznaczonych pakietów jest możliwe bez utraty wydajności routingu.

Zaawansowane funkcje QoS, takie jak kształtowanie pasma (traffic shaping) z ograniczeniem prędkości dla konkretnych adresów IP, kolejkowe drzewa (queue tree w MikroTik) czy zaawansowane polityki QoS oparte na wielu warunkach, są realizowane wyłącznie programowo w CPU. Włączenie takich funkcji dla ruchu między VLAN powoduje wyłączenie L3HW, ponieważ ASIC nie ma wystarczającej logiki do realizacji złożonych polityk kolejkowania. W praktyce oznacza to, że administrator musi wybierać między zaawansowanym QoS a wydajnością routingu.

Rozsądnym kompromisem jest stosowanie prostego, sprzętowego QoS na przełączniku L3 dla podstawowej klasyfikacji ruchu, a zaawansowane funkcje QoS realizować na routerze brzegowym lub na dedykowanym urządzeniu do zarządzania przepustowością (bandwidth manager). Takie podejście pozwala zachować L3HW dla większości ruchu wewnętrznego, jednocześnie zapewniając kontrolę nad ruchem wychodzącym do Internetu.

Routing asymetryczny to sytuacja, w której pakiety z hosta A do hosta B wędrują inną ścieżką niż pakiety z hosta B do hosta A. W kontekście przełączników L3 routing asymetryczny może wystąpić w złożonych topologiach sieci, w których istnieje wiele równorzędnych ścieżek między przełącznikami (na przykład w architekturze spine-leaf w data center). W takiej sytuacji pakiet z VLAN 10 na przełączniku A do VLAN 20 na przełączniku B może zostać przesłany bezpośrednio przez łącze szkieletowe, ale pakiet powrotny może trafić przez inny przełącznik (przełącznik C) z powodu decyzji routingowej podjętej przez przełącznik B.

L3 Hardware Offloading w przełącznikach MikroTik obsługuje routing asymetryczny, o ile obie ścieżki (tam i z powrotem) są offloadowane do pamięci TCAM. Oznacza to, że ASIC jest w stanie przetwarzać pakiety w obu kierunkach niezależnie, bez konieczności zapewnienia symetrii ścieżek. Problem pojawia się jednak, gdy routing asymetryczny jest łączony z connection tracking firewalla – firewall wymaga widzenia obu kierunków sesji, a w przypadku routingu asymetrycznego może nie rozpoznać pakietów powrotnych jako należących do istniejącej sesji.

Z tego powodu w sieciach z włączonym firewallem na przełączniku L3 routing asymetryczny może powodować blokowanie prawidłowego ruchu. Rozwiązaniem jest albo zapewnienie symetrycznego routingu (przez konfigurację statycznych tras lub odpowiednie koszty protokołów dynamicznych), albo wyłączenie connection trackingu dla ruchu L3HW, co jednak uniemożliwia działanie firewalla stanowego.

Praktyczne podsumowanie zagadnienia L3 Hardware Offloading można ująć w kilku konkretnych zasadach, którymi powinien kierować się każdy administrator sieci z przełącznikiem warstwy trzeciej. L3HW działa wyłącznie przy spełnieniu trzech kluczowych warunków: włączony bridge VLAN filtering w konfiguracji mostu, adresy IP skonfigurowane na interfejsach VLAN w obrębie mostu oraz brak jakichkolwiek reguł firewalla dla łańcucha forward. L3HW nie działa w przypadku włączenia firewalla, translacji NAT, connection trackingu dla ruchu L3 ani gdy adresy IP są skonfigurowane na interfejsach poza mostem.

Diagnostyka działania L3HW opiera się na trzech podstawowych narzędziach: poleceniu /ip route print (sprawdzenie flagi HW przy trasach routingu), monitorowaniu obciążenia CPU (niskie obciążenie przy intensywnym routingu świadczy o działaniu L3HW) oraz teście przepustowości iperf3 między stacjami w różnych VLAN (wirespeed z L3HW, spadek 40-50 krotny bez L3HW). Warto również regularnie sprawdzać statystyki ASIC poleceniem /interface ethernet switch stats.

Podstawowym błędem popełnianym przez początkujących administratorów jest nieświadome wyłączenie L3HW przez dodanie reguły firewalla, która wydaje się nieszkodliwa. Dlatego przed każdą modyfikacją konfiguracji przełącznika L3 należy przeanalizować jej wpływ na mechanizm L3HW i w razie wątpliwości wykonać test wydajności przed i po zmianie.

Przełączniki MikroTik z serii CRS oferują unikalną w skali rynku możliwość wyboru systemu operacyjnego poprzez mechanizm dual-boot. Urządzenia te posiadają dwa obrazy firmware w pamięci flash – RouterOS oraz SwOS – pomiędzy którymi użytkownik może przełączać się w zależności od potrzeb. RouterOS jest pełnym systemem operacyjnym MikroTik, oferującym zaawansowane funkcje routingu, firewalla, VPN, MPLS i QoS, ale wymagającym wiedzy do konfiguracji i niosącym ryzyko utraty L3HW. SwOS jest natomiast lekkim systemem przeznaczonym wyłącznie do przełączania, który zawsze utrzymuje HW offload, ale kosztem braku zaawansowanych funkcji sieciowych.

Wybór między RouterOS a SwOS ma fundamentalne znaczenie dla funkcjonalności i wydajności urządzenia. RouterOS pozwala na pełną kontrolę nad siecią i implementację zaawansowanych scenariuszy, takich jak routing dynamiczny między VLAN czy firewall z inspekcją stanową, ale każda dodana funkcja może potencjalnie wyłączyć L3HW. SwOS gwarantuje maksymalną wydajność przełączania i routingu (o ile dany model wspiera L3 w SwOS), ale nie pozwala na konfigurację zaawansowanych funkcji sieciowych, co ogranicza jego zastosowanie do prostych sieci przełączanych.

Mechanizm dual-boot realizowany jest przez przechowywanie obu systemów w osobnych partycjach pamięci flash. Przełącznik uruchamia domyślny system zależnie od ustawień, a zmiana systemu wymaga restartu urządzenia z odpowiednio przytrzymanym przyciskiem reset lub flashowania za pomocą narzędzia Netinstall.

RouterOS jako system operacyjny dla przełączników MikroTik oferuje niezwykle bogaty zestaw funkcji, które czynią go jednym z najbardziej wszechstronnych rozwiązań w swojej klasie cenowej. System wspiera zaawansowany firewall warstwy 3 i 4 z możliwością inspekcji stanowej, listami dostępu (ACL), limitowaniem połączeń oraz szczegółowym logowaniem. Routing dynamiczny obejmuje protokoły OSPF, BGP, RIP oraz MPLS, co pozwala na integrację przełącznika L3 z rozbudowanymi sieciami korporacyjnymi i operatorskimi. Obsługa VPN obejmuje IPsec, OpenVPN, WireGuard oraz SSTP, umożliwiając bezpieczne tunelowanie ruchu między lokalizacjami.

Z punktu widzenia administracji siecią, RouterOS oferuje trzy interfejsy zarządzania: interfejs lini poleceń (CLI) z składnią zbliżoną do Cisco IOS, graficzny interfejs WinBox z intuicyjnym drzewem konfiguracji oraz interfejs WebFig dostępny z przeglądarki. Duża społeczność użytkowników MikroTik generuje bogatą dokumentację, tutoriale wideo i aktywne forum dyskusyjne, co znacząco ułatwia rozwiązywanie problemów i naukę. System jest regularnie aktualizowany, a nowe wersje przynoszą zarówno poprawki bezpieczeństwa, jak i nowe funkcje.

RouterOS pozwala również na implementację zaawansowanych funkcji, takich jak DHCP server i relay, DNS server i cache, web proxy, load balancing na wielu łączach internetowych, VRF (Virtual Routing and Forwarding) oraz szczegółowe monitorowanie ruchu z wykorzystaniem narzędzi torch i packet sniffer. Ta wszechstronność czyni go idealnym wyborem dla administratorów wymagających pełnej kontroli nad siecią.

Pomimo ogromnych zalet, RouterOS ma również istotne wady, które mogą stanowić wyzwanie szczególnie dla mniej doświadczonych administratorów. Najpoważniejszym problemem jest ryzyko przypadkowej utraty L3 Hardware Offloading przez dodanie pozornie nieszkodliwych reguł konfiguracyjnych. Jak już wielokrotnie podkreślano, pojedyncza reguła firewalla czy włączenie NAT dla ruchu między VLAN natychmiast wyłącza L3HW, powodując spadek wydajności routingu nawet 48-krotnie. Problem polega na tym, że RouterOS nie ostrzega administratora przed taką zmianą – jedynym sygnałem ostrzegawczym jest nagły wzrost obciążenia CPU i spadek przepustowości.

Konfiguracja RouterOS dla optymalnego wykorzystania L3HW wymaga zaawansowanej wiedzy o architekturze przełącznika i mechanizmach offloadowania. Początkujący administratorzy często popełniają błędy, takie jak konfiguracja adresów IP na fizycznych interfejsach zamiast na interfejsach VLAN w mostie, wyłączanie VLAN filtering podczas modyfikacji mostu czy dodawanie reguł firewalla bez świadomości konsekwencji dla wydajności. Efektem jest sieć działająca znacznie poniżej swoich możliwości sprzętowych, często bez wiedzy administratora o przyczynie problemu.

Dodatkowo, procesor przełącznika CRS może stać się wąskim gardłem przy uruchomieniu wielu zaawansowanych funkcji jednocześnie, takich jak routing dynamiczny BGP z wieloma sesjami, firewall z setkami reguł i VPN z wieloma tunelami. W takich przypadkach CPU może być w pełni obciążony, co wpływa na stabilność i opóźnienia w sieci.

SwOS (Switch Operating System) to lekki system operacyjny przeznaczony wyłącznie do zarządzania przełączaniem w urządzeniach MikroTik serii CRS. Jego główną zaletą jest prostota – po zainstalowaniu SwOS przełącznik działa natychmiast po podłączeniu zasilania i kabli sieciowych, bez konieczności konfiguracji. Domyślna konfiguracja zakłada, że wszystkie porty należą do jednej sieci VLAN i przełącznik działa jak standardowy przełącznik L2, automatycznie ucząc się adresów MAC i forwardując ramki między portami. Dla bardziej zaawansowanych scenariuszy administrator może skonfigurować sieci VLAN, agregację łączy (LACP), mirroring portów czy podstawowe ACL przez intuicyjny interfejs webGUI.

W SwOS cała funkcjonalność przełączania jest zawsze realizowana sprzętowo w układzie ASIC, co gwarantuje maksymalną wydajność wirespeed bez ryzyka przypadkowego wyłączenia HW offload przez błędną konfigurację. Brak firewalla, NAT, routingu dynamicznego i innych zaawansowanych funkcji oznacza, że nie ma żadnych elementów konfiguracji, które mogłyby przenieść przetwarzanie pakietów z ASIC do CPU. Jest to szczególnie cenne w środowiskach, gdzie priorytetem jest niezawodność i wydajność, a nie elastyczność konfiguracyjna.

Interfejs webGUI SwOS jest przejrzysty i intuicyjny, zaprojektowany z myślą o osobach, które nie mają zaawansowanej wiedzy o sieciach. Zawiera czytelne wizualizacje portów, statystyki ruchu w czasie rzeczywistym oraz proste formularze konfiguracyjne. SwOS nie posiada CLI ani dostępu przez SSH, co dodatkowo upraszcza zarządzanie, ale ogranicza możliwości automatyzacji.

Podstawowym ograniczeniem SwOS jest brak zaawansowanych funkcji sieciowych, które są standardem w nowoczesnych sieciach LAN. SwOS nie obsługuje firewalla, co uniemożliwia segmentację ruchu na poziomie IP, blokowanie niepożądanego ruchu między VLAN czy ochronę przed atakami sieciowymi. Brak routingu dynamicznego (OSPF, BGP, RIP) oznacza, że przełącznik z SwOS nie może uczestniczyć w złożonych topologiach routingu i nie jest w stanie automatycznie przekierowywać ruchu w przypadku awarii łącza. Wszelkie decyzje o przekazywaniu ruchu między sieciami muszą być realizowane przez zewnętrzny router.

SwOS nie wspiera również VPN, NAT, MPLS ani zaawansowanego QoS. Oznacza to, że przełącznik z SwOS może być używany wyłącznie jako warstwa dostępowa lub agregacyjna w prostej sieci LAN, gdzie wszystkie zaawansowane funkcje są realizowane na routerze brzegowym. W praktyce SwOS sprawdza się doskonale w małych firmach, sklepach, magazynach czy biurach, gdzie potrzeba jedynie szybkiego i niezawodnego przełączania ramek Ethernet między stacjami roboczymi. Dla bardziej złożonych środowisk SwOS jest zbyt ograniczony.

Kolejną wadą jest brak interfejsu CLI i ograniczone możliwości automatyzacji. SwOS można konfigurować wyłącznie przez webGUI, a konfiguracja nie jest przechowywana w pliku tekstowym, co utrudnia zarządzanie wieloma przełącznikami i wersjonowanie konfiguracji. Brak wsparcia dla protokołów zarządzania, takich jak SNMP w pełnym zakresie, ogranicza możliwości monitorowania sieci z wykorzystaniem centralnych systemów nadzoru.

Porównanie RouterOS i SwOS w formie tabelarycznej uwidacznia fundamentalne różnice między tymi systemami i pozwala na świadomy wybór odpowiedniego rozwiązania dla konkretnego zastosowania. W kwestii L3 Hardware Offloading RouterOS oferuje L3HW, ale z ograniczeniami – mechanizm działa tylko przy spełnieniu szeregu warunków i może zostać przypadkowo wyłączony przez nieodpowiednią konfigurację. SwOS z kolei gwarantuje L3HW zawsze i bez żadnych warunków, ponieważ system nie oferuje funkcji, które mogłyby go wyłączyć. Jest to kluczowa różnica dla środowisk, w których wydajność musi być przewidywalna i niezawodna.

W zakresie zaawansowanych funkcji RouterOS nie ma konkurencji – oferuje firewall, routing dynamiczny (OSPF, BGP, RIP, MPLS), VPN (IPsec, OpenVPN, WireGuard) oraz zaawansowane QoS. SwOS nie oferuje żadnej z tych funkcji, co ogranicza jego zastosowanie do prostych sieci przełączanych. Z drugiej strony, złożoność konfiguracji RouterOS jest zdecydowanie wyższa – wymaga wiedzy i doświadczenia, aby uniknąć błędów powodujących utratę wydajności. SwOS konfiguruje się intuicyjnie przez webGUI i ryzyko błędu konfiguracyjnego jest minimalne.

Podsumowując, wybór między RouterOS a SwOS sprowadza się do odpowiedzi na pytanie: czy potrzebujesz zaawansowanych funkcji sieciowych, czy priorytetem jest prostota i maksymalna wydajność? RouterOS jest zalecany dla zaawansowanych administratorów zarządzających rozbudowanymi sieciami LAN, natomiast SwOS dla prostych wdrożeń, gdzie liczy się niezawodność i łatwość obsługi.

Decyzja o wyborze między RouterOS a SwOS powinna być podejmowana na etapie projektowania sieci, w oparciu o szczegółową analizę wymagań funkcjonalnych i wydajnościowych. RouterOS jest właściwym wyborem, gdy w sieci LAN wymagane są zaawansowane funkcje, takie jak firewall między VLAN dla zapewnienia bezpieczeństwa, routing dynamiczny OSPF lub BGP do automatycznego zarządzania trasami, VPN dla zdalnego dostępu pracowników czy translacja NAT dla ruchu wychodzącego do Internetu. RouterOS sprawdza się również w środowiskach, gdzie administrator ma odpowiednią wiedzę i doświadczenie, aby optymalnie skonfigurować system pod kątem L3HW.

SwOS jest zalecany w scenariuszach, gdzie sieć ma być prosta i niezawodna, a administrator nie ma zaawansowanej wiedzy o routingu i firewallu. Przykłady to małe biura, sklepy, punkty usługowe, magazyny czy hotele, gdzie przełącznik ma po prostu sprawnie przesyłać ramki między komputerami, a wszystkie zaawansowane funkcje (jeśli są potrzebne) są realizowane na routerze dostawcy Internetu. SwOS minimalizuje ryzyko błędów konfiguracyjnych i gwarantuje stałą wydajność sprzętową.

Ciekawym rozwiązaniem jest zastosowanie dwóch przełączników CRS w jednej sieci – jednego z RouterOS (pełniącego rolę szkieletowego L3 Switch z firewallem i routingiem), a drugiego z SwOS (jako przełącznik dostępowy dla stacji roboczych). Takie połączenie łączy elastyczność RouterOS z prostotą i wydajnością SwOS, tworząc optymalne środowisko sieciowe dla średniej wielkości firmy.

Zmiana systemu operacyjnego w przełącznikach MikroTik CRS z serii CRS3xx i CRS5xx jest możliwa na kilka sposobów, w zależności od dostępnego sprzętu i preferencji administratora. Najprostszą metodą jest użycie przycisku reset podczas uruchamiania urządzenia – po przytrzymaniu przycisku przez odpowiednio długi czas (zwykle 5-10 sekund po włączeniu zasilania) przełącznik wchodzi do menu wyboru systemu, gdzie można wskazać, który system ma zostać uruchomiony. Ta metoda nie wymaga żadnego oprogramowania zewnętrznego i może być wykonana bezpośrednio na urządzeniu.

Alternatywną i bardziej zaawansowaną metodą jest użycie narzędzia Netinstall, dostępnego na stronie producenta (mikrotik.com). Netinstall to aplikacja uruchamiana na komputerze PC, która umożliwia flashowanie firmware przełącznika przez sieć Ethernet. Aby użyć Netinstall, należy uruchomić przełącznik w trybie Netinstall (przytrzymując przycisk reset przy włączaniu), podłączyć go bezpośrednio do komputera i uruchomić aplikację, która automatycznie wykryje urządzenie i umożliwi wybór obrazu systemu do zainstalowania. Netinstall pozwala również na całkowite wyczyszczenie konfiguracji i przywrócenie ustawień fabrycznych.

Należy pamiętać, że zmiana między RouterOS a SwOS (lub odwrotnie) powoduje utratę całej konfiguracji – systemy nie współdzielą plików konfiguracyjnych. Przed przejściem na drugi system należy wykonać backup konfiguracji obecnego systemu, aby w razie potrzeby móc do niego powrócić. W przypadku zmiany z RouterOS na SwOS backup z RouterOS nie będzie działał na SwOS i odwrotnie.

Projekt sieci dla małej firmy zatrudniającej około 50 pracowników, z trzema sieciami VLAN (Administracja, Pracownicy, Goście), stanowi typowy przykład zastosowania przełącznika warstwy trzeciej. W takiej konfiguracji pojedynczy przełącznik MikroTik CRS326 (24 porty Gigabit Ethernet) jest w stanie obsłużyć routing między wszystkimi trzema VLAN z wydajnością wirespeed, pełniąc jednocześnie funkcję serwera DHCP dla każdej z podsieci. Adresy IP bram dla poszczególnych VLAN (192.168.10.1/24 dla Administracji, 192.168.20.1/24 dla Pracowników, 192.168.30.1/24 dla Gości) są skonfigurowane na interfejsach VLAN w mostie z włączonym VLAN filtering i L3HW działa automatycznie.

Router brzegowy w tej architekturze (na przykład MikroTik RB5009) jest podłączony do wydzielonego portu przełącznika L3 (np. port ether1, który nie należy do żadnego z VLAN) i służy wyłącznie do obsługi połączenia z Internetem. Na routerze skonfigurowane są NAT (masquerade) dla ruchu wychodzącego do Internetu, firewall chroniący sieć wewnętrzną przed atakami z zewnątrz oraz ewentualnie VPN dla zdalnego dostępu pracowników. W przełączniku L3 konfiguruje się trasę domyślną (default route) wskazującą na adres IP routera brzegowego (np. 192.168.1.1), dzięki czemu ruch do Internetu jest przekazywany z odpowiedniej sieci VLAN do routera przez port zewnętrzny.

Dodatkowo na przełączniku L3 można skonfigurować podstawowe ACL, aby na przykład zablokować dostęp sieci Gości do zasobów sieci Administracji i Pracowników. Należy jednak pamiętać, że ACL mogą wyłączyć L3HW, jeśli są zbyt złożone – w takim przypadku lepiej zastosować prosty firewall na routerze brzegowym lub zaakceptować routing programowy dla wybranych reguł.

Projekt sieci dla średniej firmy zatrudniającej około 300 pracowników, z dziesięcioma sieciami VLAN rozmieszczonymi na trzech przełącznikach dostępowych warstwy L2 i jednym szkieletowym przełączniku L3, pokazuje skalowalność architektury z wykorzystaniem L3 Switchy. Przełączniki dostępowe L2 (na przykład MikroTik CSS326 lub CRS112) obsługują bezpośrednie podłączenie stacji roboczych i są skonfigurowane z odpowiednimi VLAN dla poszczególnych działów (Administracja, IT, Księgowość, Sprzedaż, Marketing, Produkcja, Logistyka, Kadry, Zarząd, Goście). Każdy przełącznik dostępowy łączy się z szkieletowym L3 Switchem za pomocą dwóch łączy trunk ze złączonych portów (LACP – Link Aggregation Control Protocol), co zapewnia redundancję i zwiększenie przepustowości do 2 Gbps na połączenie.

Szkieletowy przełącznik L3 (na przykład MikroTik CRS354 z 48 portami Gigabit i 4 portami 10G SFP+) pełni rolę centralnego punktu routingu między wszystkimi dziesięcioma sieciami VLAN. Dzięki mechanizmowi L3HW routing między VLAN odbywa się w ASIC z prędkością linii, a sumaryczna przepustowość routingu jest ograniczona wyłącznie przepustowością magistrali wewnętrznej przełącznika (około 100 Gbps dla CRS354). Router brzegowy (RB5009 lub CCR2004) zapewnia dostęp do Internetu z firewallem, NAT i VPN.

Taka architektura zapewnia wysoką wydajność i skalowalność – dodanie kolejnych sieci VLAN wymaga jedynie konfiguracji na przełączniku szkieletowym i odpowiedniego tagowania portów na przełącznikach dostępowych. W przypadku awarii jednego z przełączników dostępowych, ruch jest automatycznie przekierowywany przez drugie łącze LACP, o ile pozostały przełącznik ma wystarczającą przepustowość do obsługi ruchu awaryjnego.

W środowiskach data center przełączniki warstwy trzeciej pełnią kluczową rolę w architekturze szkieletowej (spine-leaf), zapewniając szybki routing między serwerami rozmieszczonymi w różnych sieciach VLAN. Przełączniki MikroTik serii CRS518 i CRS520, wyposażone w porty 25 Gigabit Ethernet oraz uplinki 100 Gigabit Ethernet, są w stanie obsłużyć routing między setkami serwerów z prędkością do 40 Gbps i więcej. W architekturze data center każdy serwer jest podłączony do dwóch przełączników dostępowych (leaf) dla zapewnienia redundancji, a te z kolei łączą się z przełącznikami szkieletowymi (spine) za pomocą szybkich łączy.

Routing między VLAN w data center odbywa się na przełącznikach spine (L3), które przetwarzają pakiety między różnymi podsieciami VLAN. Dzięki L3HW routing ten jest realizowany sprzętowo, co jest kluczowe dla utrzymania niskich opóźnień (latency) wymaganych przez aplikacje czasu rzeczywistego, bazy danych czy systemy obliczeniowe. W data center często stosuje się również protokół VXLAN (Virtual Extensible LAN) do tworzenia nakładkowych sieci L2 na infrastrukturze L3, co pozwala na swobodne przemieszczanie maszyn wirtualnych między serwerami bez zmiany adresacji IP.

Router brzegowy w data center (na przykład MikroTik CCR lub router klasy operatorskiej) zapewnia połączenie z Internetem oraz innymi lokalizacjami, realizując funkcje BGP, NAT, firewalla oraz ewentualnie MPLS. Taka architektura pozwala na budowanie skalowalnych, wydajnych i odpornych na awarie sieci data center, gdzie L3 Switch jest kluczowym elementem szkieletu.

Przyszłość przełączania warstwy trzeciej nierozerwalnie wiąże się z rozwojem koncepcji Software-Defined Networking (SDN), która zakłada oddzielenie płaszczyzny sterowania od płaszczyzny danych i centralne zarządzanie siecią za pomocą kontrolera SDN. W modelu SDN przełączniki L3 stają się urządzeniami programowalnymi, których zachowanie może być dynamicznie modyfikowane przez kontroler za pomocą protokołów takich jak OpenFlow czy P4. Oznacza to, że administrator nie musi ręcznie konfigurować każdego przełącznika – kontroler SDN automatycznie wdraża odpowiednie reguły routingu i przełączania w oparciu o globalny widok sieci.

Nowe protokoły, takie jak VXLAN (Virtual Extensible LAN) i EVPN (Ethernet VPN), rozszerzają możliwości L3 Switchy poza tradycyjne sieci VLAN, umożliwiając tworzenie elastycznych nakładkowych sieci L2 na infrastrukturze L3 oraz rozproszonych sieci VPN w data center. Dzięki tym protokołom przełączniki L3 mogą obsługiwać setki tysięcy izolowanych sieci wirtualnych, co jest niezbędne w wielodzierzawowych środowiskach chmurowych. EVPN dodaje do tego mechanizmy kontroli ruchu i optymalizacji ścieżek, które są kluczowe dla sieci nowej generacji.

W perspektywie kilku lat można spodziewać się dalszego wzrostu programowalności przełączników L3, integracji z platformami automatyzacji (Ansible, SaltStack) oraz rozszerzenia wsparcia L3HW na coraz bardziej zaawansowane funkcje sieciowe. Przełączniki L3 pozostaną fundamentem nowoczesnych sieci, ewoluując w kierunku inteligentnych, programowalnych urządzeń zdolnych do dynamicznego dostosowywania się do zmieniających się wymagań ruchu sieciowego.

Podsumowując prezentację, przełącznik warstwy trzeciej (L3 Switch) to urządzenie łączące funkcje przełącznika L2 z routingiem IP zaimplementowanym sprzętowo w układzie ASIC, co eliminuje potrzebę stosowania osobnego routera do komunikacji między sieciami VLAN. Kluczowym mechanizmem jest L3 Hardware Offloading (L3HW), który umożliwia routing między VLAN z wydajnością wirespeed (10-40 Gbps), bez angażowania procesora głównego przełącznika. Aby L3HW działał, niezbędne jest włączenie bridge VLAN filtering, skonfigurowanie adresów IP na interfejsach VLAN w mostie oraz unikanie reguł firewalla i NAT dla routowanego ruchu. Włączenie firewalla, NAT czy connection trackingu natychmiast wyłącza L3HW, powodując spadek wydajności nawet o 48 razy.

System MikroTik RouterOS oferuje ogromną elastyczność funkcjonalną (firewall, routing dynamiczny, VPN, QoS) ale wiąże się z ryzykiem przypadkowej utraty L3HW przez błędną konfigurację. System SwOS gwarantuje maksymalną wydajność sprzętową kosztem braku zaawansowanych funkcji, co czyni go idealnym dla prostych wdrożeń. Optymalna architektura sieci LAN zakłada współpracę L3 Switcha wewnątrz sieci (szybki routing między VLAN) z routerem na brzegu sieci (obsługa Internetu, NAT, firewall).

Wybór odpowiedniego systemu operacyjnego, staranne planowanie konfiguracji pod kątem L3HW oraz regularne monitorowanie wydajności routingu są kluczowe dla osiągnięcia maksymalnej wydajności sieci LAN z przełącznikami warstwy trzeciej. Znajomość omówionych mechanizmów i ograniczeń pozwala projektować wydajne, skalowalne i niezawodne sieci komputerowe spełniające wymagania nowoczesnych organizacji.