Mikrotik Neighbor Discovery Protocol

Сегодня мы поговорим о настройке MikroTik Neighbor Discovery Protocol (MNDP). Настройки этого протокола находятся в разделе /IP/Neighbors/.

Данное окно через cli:

[admin@MikroTik] > /ip/neighbor/ print
Columns: INTERFACE, ADDRESS, MAC-ADDRESS, IDENTITY, VERSION
#   INTERFACE  ADDRESS           MAC-ADDRESS        IDENTITY      VERSION
0   ether1           172.16.120.254    2C:C8:1B:CC:15:56   MikroTik-ISR  7.6 (stable) Oct/17/2022 10:55:40
1   ether1           172.16.150.253    44:1E:A1:86:CB:22    SW03

Здесь у нас всего одна кнопка Discovery Settings, которая и отвечает за полную конфигурацию данного протокола.

Поговорим о самом протоколе.

MirkoTik Neighbor Discovery Protocol – это протокол, который рассылает информацию об оборудовании MikroTik в L2 сегменте. По сути, это аналог Cisco протокола – CDP (Cisco Discovery Protocol) и LLDP (Link Layer Discovery Protocol) – Open Source протокола, который используется на большом количестве оборудования.

Данный протокол необходим для поиска устройств MikroTik в локальной сети. Когда мы открываем Winbox, у нас имеется раздел Neighbors. В данном разделе указаны все устройства на операционной системе RouterOS, находящиеся в L2 сегменте с нами. Мы видим MAC-адрес устройства, его IP адрес, идентификатор (Identity), его версию операционной системы (Version), имя модели (Board) и продолжительность работы (Uptime).

Это может быть использовано для удобства идентификации устройств системным администратором, также возможно нарисовать карту сети с помощью различных систем автоматизации.
Давайте рассмотрим, какие настройки у нас имеются. Нажмем на кнопку Discovery Settings.

Interface – это список interface-list, на которых работает MNDP. Также у нас есть опция установить Not (!), т.е. отрицание. Очень часто настройка MNDP сводится к !WAN, т.е. кроме внешней сети.

LLDP MED Network Policy VLAN – опция добавления номера VLAN в MNDP сообщение, например, для IP-телефонии. Когда IP-телефон получит номер VLAN, он сможет автоматически прописать его в свою конфигурацию. Данная опция появилась с версии RouterOS 6.47.

Protocol – типы протоколов, которые наш MikroTik будет слушать. Данную опцию невозможно закрыть через Firewall.

Mode – выбор режима отправки и получения пакетов обнаружения. По умолчанию tx-and-rx. Данная опция доступна с версии RouterOS 7.7.
Для примера, через cli предположим, что нам нужно указать следующие настройки:

[admin@MikroTik] > /ip/neighbor/discovery-settings/
[admin@MikroTik] /ip/neighbor/discovery-settings> set discover-interface-list=!WAN
[admin@MikroTik] /ip/neighbor/discovery-settings> set lldp-med-net-policy-vlan=170
[admin@MikroTik] /ip/neighbor/discovery-settings> set protocol mndp
[admin@MikroTik] /ip/neighbor/discovery-settings> print
discover-interface-list: !WAN
lldp-med-net-policy-vlan: 170
protocol: mndp
mode: tx-and-rx 

В окне /IP/Neighbors/ мы видим другие устройства, кликнув по которым откроется новое окно с полезной информацией о них и некоторыми инструментами.

Инструменты:

Ping – это отправка ICMP запросов по IP на удаленное устройство.

MAC Ping – это отправка ICMP по MAC-адресу. Работает только с оборудованием на RouterOS.

Telnet – это подключение по telnet с использованием IP адреса, если он разрешен на удаленном устройстве.

MAC Telnet – это подключение по telnet с использованием MAC-адреса. Работает только с оборудованием на RouterOS.

Torch – данная опция позволяет проводить мониторинг трафика, который проходит через интерфейсы MikroTik.

Как уже говорилось ранее, наиболее безопасная работа с MNDP – это его отключение. Компромиссная опция – ни в коем случае не отправлять и не принимать MNDP сообщения с внешнего интерфейса, т. е. указать !WAN или вовсе назначить вещание MNDP только на Management VLAN, т.к. в сети провайдера может быть большое количество CDP, LLDP, MNDP устройств.