总结
类以太网网络(以太网、以太网over IP、IEEE 802.11 ap桥接或桥接模式、WDS、VLAN)可以通过MAC桥接连接在一起。桥接功能允许连接到独立局域网的主机之间的互连(使用EoIP,如果它们之间存在任何类型的IP网络互连,地理上分布的网络也可以桥接),就好像它们连接到单个局域网一样。由于桥接是透明的,因此它们不会出现在traceroute列表中,并且如果这些LAN是桥接的,则没有实用程序可以区分在一个LAN中工作的主机和在另一个LAN中工作的主机(取决于LAN相互连接的方式,主机之间的延迟和数据速率可能会有所不同)。
在复杂的拓扑结构中,可能会出现网络环路(有意或无意)。如果没有任何特殊处理,环路将会阻止网络正常工作,因为它们会导致雪崩式的数据包倍增。每个桥都运行一个算法来计算如何防止循环。(R/M)STP允许网桥相互通信,因此它们可以协商无环路拓扑。所有其他可能形成环路的替代连接都处于备用状态,因此,如果主连接失败,另一个连接可以取代它。该算法定期交换配置消息(BPDU -网桥协议数据单元),以便所有网桥都能更新有关网络拓扑变化的最新信息。(R/M)STP选择一个根网桥负责网络重构,例如阻塞和打开其他网桥上的端口。根桥是桥ID最低的桥。
网桥接口设置
为了将多个网络组合到一个网桥中,应该创建一个网桥接口(稍后,应该将所有所需的接口设置为其端口)。从(辅助)端口的一个MAC地址将分配给网桥接口,MAC地址将根据“port-number”自动选择,并且在重新启动后可以更改。为了避免不必要的MAC地址更改,建议禁用auto-mac,并使用admin-mac手动指定MAC地址。
子菜单:/接口桥
| 财产 | 描述 |
|---|---|
| add-dhcp-option82(是的|没有;默认值:没有) | 是否在DHCP报文中添加DHCP Option-82信息(Agent Remote ID和Agent Circuit ID)。可与支持option82功能的DHCP服务器配合使用,用于分配IP地址和执行策略。此属性仅在以下情况下有效dhcp-snooping设为是的。 |
| admin-mac(MAC地址;默认值:没有一个) | 网桥的静态MAC地址。此属性仅在以下情况下有效auto-mac设为没有。 |
| 老化时间(时间;默认值:00:05:00) | 主机的信息将在桥接数据库中保存多长时间。 |
| arp(禁用|启用|Local-proxy-arp | proxy-arp | reply-only;默认值:启用) | 地址解析协议设置
|
| arp-timeout(Auto |整数;默认值:汽车) | 没有收到来自IP的数据包后,ARP记录在ARP表中保留的时间。价值汽车等于的值arp-timeout在IP/Settings,默认为30s。 |
| auto-mac(是|否;默认值:是的) | 自动选择桥接端口的一个MAC地址作为桥接MAC地址,桥接MAC将从第一个添加的桥接端口中选择。设备重启后,桥接MAC可以根据端口号而改变。 |
| 评论(字符串;默认值:) | 接口的简短描述。 |
| dhcp-snooping(是|否;默认值:没有) | 开启或关闭网桥上的DHCP Snooping功能。 |
| 禁用(是|否;默认值:没有) | 更改网桥是否被禁用。 |
| ether-type(0x9100 | 0x8100 | 0x88a8;默认值:0 x8100) | 更改EtherType,它将用于确定数据包是否具有VLAN标签。具有匹配的EtherType的报文被认为是带标签的报文。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| 快进(是|否;默认值:是的) | 特殊和更快的情况下快速路径它仅适用于具有2个接口的桥(默认情况下仅适用于新建桥)。更多细节可以在快进部分。 |
| 转送延迟(时间;默认值:00:00:15) | 网桥接口初始化阶段(即路由器启动或使能接口后)处于侦听/学习状态的时间,网桥才能正常运行。 |
| frame-types(Admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged;默认值:承认) | 指定桥接端口上允许的帧类型。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| igmp-snooping(是|否;默认值:没有) | 启用组播组和端口学习功能,防止组播流量淹没网桥内所有接口。 |
| igmp-version(2 | 3;默认值:2) | 选择在桥接接口充当IGMP查询器时生成IGMP成员查询的IGMP版本。此属性仅在以下情况下有效igmp-snooping和multicast-querier设为是的。 |
| ingress-filtering(是|否;默认值:是的) | 使能或使能VLAN入接口过滤,检查入接口是否为网桥VLAN表中接收到的VLAN ID的成员。缺省情况下,在网桥VLAN表中不存在的VLAN在发送之前被丢弃(出口),但是该属性允许您在收到数据包时丢弃(入口)。应与frame-types指定入站流量是加标签还是不加标签。此属性仅在以下情况下有效vlan-filtering设为是的。该配置从RouterOS v7开始默认开启。l雷竞技 |
| l2mtu(只读;默认值:) | L2MTU接口可以发送的不带MAC头的最大帧大小。L2MTU值将由网桥自动设置,它将使用任何关联的网桥端口的最低L2MTU值。该值不可手动修改。 |
| last-member-interval(时间;默认值:1) | 当网桥端口上的最后一个客户端取消订阅多播组并且网桥充当活动查询器时,网桥将发送特定于组的IGMP/MLD查询,以确保没有其他客户端仍然订阅。该设置更改了这些查询的响应时间。如在一段时间内未收到会员报告( 如果网桥端口配置了fast-leave,则立即删除多播组,而不发送任何查询。 此属性仅在以下情况下有效 |
| last-member-query-count(整数:0 . . 1 - 4294967295;默认值:2) | 要多少次last-member-interval直到IGMP/MLD snooping网桥停止转发某组播流为止。此属性仅在以下情况下有效igmp-snooping和multicast-querier设为是的。 |
| max-hops(整数:6 . . 40;默认值:20.) | 在同一区域内使能MSTP的网络中,BPDU在被忽略之前可以通过的桥数。此属性仅在以下情况下有效protocol-mode设为mstp。 |
| max-message-age(时间:6 . . 40年代;默认值:00:00:20) | 修改根桥发送的BPDU报文的Max Age值。根桥发送的bpdu报文Max Age设置为max-message-age值,Message Age为0。每个顺序桥在发送bpdu之前都会增加Message Age。一旦网桥收到Message Age大于等于Max Age的BPDU,该BPDU将被忽略。此属性仅在以下情况下有效protocol-mode设为stp或rstp。 |
| membership-interval(时间;默认值:4 m20) | 如果在网桥端口上没有收到IGMP/MLD成员报告,则删除组播数据库(Multicast Database, MDB)中的条目后的时间。此属性仅在以下情况下有效igmp-snooping设为是的。 |
| mld-version(1 | 2;默认值:1) | 当桥接接口充当MLD查询器时,选择将生成MLD成员查询的MLD版本。此属性仅在网桥具有活动IPv6地址时有效。igmp-snooping和multicast-querier设为是的。 |
| mtu(整数;默认值:汽车) | 最大传输单元,缺省情况下,网桥将自动设置MTU,并使用所有关联网桥端口中最小的MTU值。缺省情况下,网桥MTU值为1500。该值可以手工配置,但不能超过网桥的L2MTU或最低网桥端口的L2MTU。如果添加的新桥接端口的L2MTU小于 在网桥上添加VLAN接口时,当VLAN的MTU值大于缺省值1500时,建议手工配置网桥的MTU值。 |
| multicast-querier(是|否;默认值:没有) | 组播查询器定期生成IGMP/MLD一般成员资格查询,所有支持IGMP/MLD的设备都以IGMP/MLD成员资格报告响应这些查询,通常由PIM(组播)路由器或IGMP代理生成这些查询。 通过使用此属性,您可以使IGMP/MLD snooping使能的桥接器生成IGMP/MLD一般成员查询。当二层网络中没有活动的查询器(PIM路由器或IGMP代理)时,应该使用此属性。如果在Layer2网络中没有组播查询器,则不会更新组播数据库(multicast Database, MDB),学习到的表项将超时,IGMP/MLD snooping将无法正常工作。 只有不带标签的IGMP/MLD一般成员查询生成,IGMP查询使用IPv4 0.0.0.0源地址发送,MLD查询使用IPv6桥接接口的链路本地地址发送。如果检测到外部IGMP/MLD查询器,桥将不会发送查询(参见监视值) 此属性仅在以下情况下有效 |
| multicast路由器(禁用|永久|临时查询;默认值:temporary-query) | 组播路由器端口是连接组播路由器或查询器的端口。在此端口上,将发送未注册的组播流和IGMP/MLD成员报告。此设置更改网桥接口本身的多播路由器的状态。此属性可用于向网桥接口发送IGMP/MLD成员报告,以便进一步进行组播路由或代理。此属性仅在以下情况下有效igmp-snooping设为是的。
|
| 名字(文本;默认值:bridgeN) | 网桥接口的名称。 |
| 优先级(整数:0 . . 65535decimal format or 0x0000-0xffff hex format;默认值:32768 / 0x8000) | 桥优先级,由R/STP决定根桥,由MSTP决定CIST和IST区域根桥。此属性在以下情况下不起作用protocol-mode设为没有一个。 |
| protocol-mode(无:RSTP | STP | MSTP;默认值:rstp) | 选择STP (Spanning tree protocol)协议或RSTP (Rapid Spanning tree protocol)协议,保证任何网桥局域网的拓扑结构为无环路。RSTP提供了拓扑变化后更快的生成树收敛速度。选择“MSTP”可以实现跨多个vlan的无环路拓扑。自Routel雷竞技rOS v6.43以来,可以转发中保留的MAC地址的01:80: C2:00:00:0X范围,这可以通过设置protocol-mode来没有一个。 |
| pvid(整数:1 . . 4094;默认值:1) | 端口VLAN ID (pvid)指定不带标签的入接口流量所属的VLAN。例如,它适用于从网桥IP发送到网桥端口的帧。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| querier-interval(时间;默认值:4 m15) | 更改检测查询器和组播路由器端口的超时时间。此属性仅在以下情况下有效igmp-snooping设为是的。 |
| 区间(时间;默认值:2 m5的) | 更改网桥接口充当IGMP/MLD查询器时发送IGMP/MLD一般成员资格查询的频率间隔。间隔发生在发送最后一个启动查询时。此属性仅在以下情况下有效igmp-snooping和multicast-querier设为是的。 |
| query-response-interval(时间;默认值:十年代) | 当网桥作为IGMP/MLD查询器活动时,该设置更改一般IGMP/MLD查询的响应时间。此属性仅在以下情况下有效igmp-snooping和multicast-querier设为是的。 |
| 区域名称(文本;默认值:) | MSTP区域名称。此属性仅在以下情况下有效protocol-mode设为mstp。 |
| region-revision(整数:0 . . 65535;默认值:0) | MSTP配置修订号。此属性仅在以下情况下有效protocol-mode设为mstp。 |
| startup-query-count(整数:0 . . 1 - 4294967295;默认值:2) | 指定当网桥接口启用或查询超时时,必须发送多少次通用IGMP/MLD查询。此属性仅在以下情况下有效igmp-snooping和multicast-querier设为是的。 |
| startup-query-interval(时间;默认值:31日s250ms) | 指定启动通用IGMP/MLD查询的时间间隔。此属性仅在以下情况下有效igmp-snooping和multicast-querier设为是的。 |
| transmit-hold-count(整数:1 . . 10;默认值:6) | 端口传输状态机用来限制传输速率的传输保持计数。 |
| vlan-filtering(是|否;默认值:没有) | 全局启用或禁用网桥的VLAN功能。 |
更改某些属性可能导致网桥暂时禁用所有端口。无论何时在生产环境中更改这些属性,都必须考虑到这一点,因为它可能导致所有数据包被暂时丢弃。这些属性包括vlan-filtering,protocol-mode,igmp-snooping,快进和其他人。
例子
添加并启用一个桥接接口来转发L2数据包:
[admin@雷竞技网站MikroTik] > interface bridge add [admin@MikroTik] > interface bridge print标志:X - disabled, R - running 0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=65535 arp=enabled arp-timeout=auto mac-address=5E: 2d:42:95:56:7 f protocol-mode=rstp fast-forward=yes igmp-snooping=no auto-mac=yes aging -time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no
桥梁监测
要监视网桥接口的当前状态,使用监控命令。
子菜单:/接口桥接监视器
| 财产 | 描述 |
|---|---|
| current-mac-address(MAC地址) | 网桥当前的MAC地址 |
| designated-port-count(整数) | 指定桥接端口的数量 |
| igmp-querier(没有一个|接口和IPv4地址) | 显示检测到的IGMP查询器的网桥端口和源IP地址。只显示检测到的外部IGMP查询器,不显示本地网桥IGMP查询器(包括IGMP代理和PIM)。监控值仅在igmp-snooping启用。 |
| mld-querier(没有一个|接口和IPv6地址) | 显示从检测到的MLD查询器的桥接端口和源IPv6地址。只显示检测到的外部MLD查询,不显示本地桥MLD查询。监控值仅在igmp-snooping使能,网桥有一个活动的IPv6地址。 |
| multicast路由器(是|否) | 显示端口上是否检测到组播路由器。监控值仅在igmp-snooping启用。 |
| 端口数(整数) | 桥接端口数 |
| 根桥接器(是|否) | 显示桥是否为生成树的根桥 |
| root-bridge-id(文本) | 根网桥ID,形式为bridge-priority.bridge- mac -address |
| root-path-cost(整数) | 到根桥的路径的总成本 |
| root-port(名字) | 根网桥连接的端口 |
| 状态(Enabled / disabled) | 桥梁状况 |
[admin@雷竞技网站MikroTik] /interface bridge monitor bridge1 state: enabled current-mac-address: CC:2D:E0:E4:B3:38 root-bridge: yes root-bridge-id: 0x8000。CC:2D:E0:E4:B3:38 root-path-cost: 0 root-port: none port-count: 2 designated-port-count: 2 fast-forward: no
生成树协议
l雷竞技RouterOS网桥接口支持运行生成树协议,保证无环路冗余的拓扑结构。对于只有2个网桥的小型网络,STP不会带来很多好处,但对于大型网络,正确配置STP是非常重要的,如果将STP相关的值设置为默认值,即使是单个网桥故障,也可能导致网络完全不可达。为了实现合理的无环冗余拓扑,需要合理设置网桥优先级、端口路径开销和端口优先级。
在Rol雷竞技uterOS中,可以设置网桥优先级在0到65535之间的任意值,IEEE 802.1W标准规定网桥优先级必须在4096步长。这可能导致不支持这些值的设备之间出现不兼容问题。为避免兼容性问题,建议只使用以下优先级:0、4096、8192、12288、16384、20480、24576、28672、32768、36864、40960、45056、49152、53248、57344、61440
STP有多种变体,目前RouterOS支持STP、RSTP和MSTP。l雷竞技根据需要,它们中的任何一个都可以使用,一些设备可以使用硬件卸载来运行其中的一些协议,关于哪些设备支持它的详细信息可以在雷竞技官网网站下载雷竞技官网网站下载硬件卸载部分。STP被认为是过时和缓慢的,在所有的网络拓扑中,它几乎都被向后兼容STP的RSTP所取代。对于依赖于VLAN的网络拓扑,建议使用MSTP,因为它是一种VLAN感知协议,并且能够对每个VLAN组进行负载平衡。在设计启用STP的网络时,需要考虑很多因素,可以在生成树协议篇文章。在Rol雷竞技uterOS中,protocol-mode属性控制使用的STP变体。
根据IEEE 802.1ad标准,来自符合IEEE 802.1Q标准的网桥的bpdu报文与IEEE 802.1ad网桥不兼容,这意味着在同一个Layer2域中的所有网桥必须使用相同的网桥VLAN协议,否则(R/M)STP将无法正常工作。
每个端口STP
在某些情况下,您可能希望在单个或多个端口上限制STP功能。下面您可以找到一些不同用例的示例。
在修改默认(R/M)STP功能时,请谨慎操作,确保了解STP和bpdu的工作原理。错误配置的(R/M)STP可能导致意外行为。
创建边缘端口
将桥接端口设置为边缘端口将限制其发送bpdu,并将忽略任何收到的bpdu:
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether1 edge=yes add bridge=bridge1 interface=ether2
丢弃收到的bpdu
当网桥开启STP/RSTP/MSTP时,由于对bpdu的特殊处理,网桥过滤器或NAT规则不会丢弃bpdu。然而,在某些交换芯片上,可以使用ACL规则来丢弃某个端口上收到的bpdu:
CRS3xx:
/interface ethernet switch rule add dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF new-dst-ports="" ports=ether1 switch=switch1
在CRS1xx/CRS2xx与ACL (Access Control List)支持:
/interface ethernet switch acl add action=drop mac-dst-address=01:80:C2:00:00:00 src-ports=ether1
在这个例子中,所有的bpdu都是on的ether1是下降了。
如果您打算丢弃端口上收到的bpdu,请确保防止bpdu从该端口连接的接口发送出去。根桥总是发送BPDU,并且在正常情况下等待更优的BPDU(来自网桥ID较低的网桥),但是当从根桥过渡到指定网桥时,必须暂时禁用新的根端口。如果只阻塞了一侧的bpdu,则端口将持续震荡。
使能BPDU保护
在本例中,如果ether1接收到BPDU,它将阻塞端口,并需要您手动重新启用它。
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether1 bpdu-guard=yes add bridge=bridge1 interface=ether2
桥的设置
在桥设置菜单下,可以控制所有桥接口的某些功能并监视全局桥计数器。
子菜单:/接口网桥设置
| 财产 | 描述 |
|---|---|
| use-ip-firewall(是|否;默认值:没有) | 强制桥接的流量也通过IP路由的预路由、转发和后路由部分进行处理(参见包流文章)。这不适用于路由流量。如果要分配,则需要此属性简单的队列或全球队列的树在桥上通行。财产use-ip-firewall-for-vlan箱式桥需要吗vlan-filtering使用。 |
| use-ip-firewall-for-pppoe(是|否;默认值:没有) | 发送桥接的未加密的PPPoE流量,也被处理IP /防火墙。此属性仅在以下情况下有效use-ip-firewall设为是的。如果要分配,则需要此属性简单的队列或全球队列的树到网桥中的PPPoE流量。 |
| use-ip-firewall-for-vlan(是|否;默认值:没有) | 发送桥接VLAN的流量也要经过处理IP /防火墙。此属性仅在以下情况下有效use-ip-firewall设为是的。如果要分配,则需要此属性简单的队列或全球队列的树网桥中的VLAN流量。 |
| allow-fast-path(是|否;默认值:是的) | 是否启用网桥快速路径在全球范围内。 |
| bridge-fast-path-active(是|否;默认值:) | 显示网桥快速路径是否全局激活,不显示每个网桥接口的快速路径状态。 |
| bridge-fast-path-packets(整数;默认值:) | 显示网桥快速路径转发的包数。 |
| bridge-fast-path-bytes(整数;默认值:) | 显示网桥快速路径转发的字节数。 |
| bridge-fast-forward-packets(整数;默认值:) | 显示网桥快进转发的包数。 |
| bridge-fast-forward-bytes(整数;默认值:) | 显示网桥快进转发的字节数。 |
如果你想分配的话简单队列或全局队列队列的树木对于正在通过网桥转发的流量,则需要启用use-ip-firewall财产。如果不使用此属性,桥的流量将永远无法到达路由后链。简单的队列和全球队列的树木在生产后链中工作。分配简单的队列或全球队列的树木对于网桥中的VLAN或PPPoE流量,也应该启用相应的属性。
端口设置
Port子菜单用于在特定网桥中添加接口。
子菜单:/接口桥接端口
| 财产 | 描述 |
|---|---|
| auto-isolate(是|否;默认值:没有) | 启用后,如果没有收到邻居网桥的bpdu报文,则防止端口移动到转发状态丢弃。只有当收到BPDU时,端口才会进入转发状态。此属性仅在以下情况下有效protocol-mode设为rstp或mstp和边缘设为没有。 |
| bpdu-guard(是|否;默认值:没有) | 使能或去使能端口的BPDU Guard特性。如果端口收到BPDU,该特性将使端口处于禁用状态,如果收到BPDU,则需要手动禁用端口并使能端口。应该用来防止网桥受到与BPDU相关的攻击。此属性在以下情况下不起作用protocol-mode设为没有一个。 |
| 桥(名字;默认值:没有一个) | 各个接口分组所在的桥接接口。 |
| broadcast-flood(是|否;默认值:是的) | 启用后,网桥会将广播流量泛洪到所有网桥出口端口。当禁用时,丢弃出口端口上的广播流量。可以过滤出端口上的所有广播流量。广播流量被认为是使用FF: FF: FF: FF: FF: FF作为目的MAC地址,这种流量对于许多协议(如DHCP、ARP、NDP、BOOTP (Netinstall)等)都是至关重要的。此选项不限制流量涌向CPU。 |
| 边缘(Auto | no | no-discover | yes | yes-discover;默认值:汽车) | 设置端口为边缘端口或非边缘端口,或启用边缘发现功能。边缘端口连接到没有其他桥接的局域网。边缘端口将跳过STP的学习和侦听状态,直接过渡到转发状态,从而缩短STP初始化时间。如果将端口配置为发现边缘端口,则一旦网桥检测到到达边缘端口的BPDU,该端口将变为非边缘端口。此属性在以下情况下不起作用protocol-mode设为没有一个。
|
| fast-leave(是|否;默认值:没有) | 使能网桥端口IGMP/MLD快速离开功能。当收到IGMP/MLD离开消息时,网桥将停止向网桥端口转发组播流量。此属性仅在以下情况下有效igmp-snooping设为是的。 |
| frame-types(Admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged;默认值:承认) | 指定桥接端口上允许的进入帧类型。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| ingress-filtering(是|否;默认值:是的) | 使能或使能VLAN入接口过滤,检查入接口是否为网桥VLAN表中接收到的VLAN ID的成员。应与frame-types指定入站流量是加标签还是不加标签。此属性仅在以下情况下有效vlan-filtering设为是的。该配置从RouterOS v7开始默认开启。l雷竞技 |
| 学习(自动|否|是;默认值:汽车) | 改变网桥端口上的MAC学习行为
|
| multicast路由器(禁用|永久|临时查询;默认值:temporary-query) | 组播路由器端口是连接组播路由器或查询器的端口。在此端口上,将发送未注册的组播流和IGMP/MLD成员报告。这个设置改变网桥端口的组播路由器的状态。此属性可用于将IGMP/MLD成员报告发送到某些桥接端口,以进行进一步的多播路由或代理。此属性仅在以下情况下有效igmp-snooping设为是的。
|
| 地平线(整数0 . . 429496729;默认值:没有一个) | 使用分割水平桥接来防止桥接环路。为一组端口设置相同的值,以防止它们向具有相同水平值的端口发送数据。分割水平是一个软件功能,它禁止硬件卸载雷电竞app下载官方版苹果。雷竞技官网网站下载阅读更多关于驾驶室分割水平。 |
| hw(是|否;默认值:是的) | 允许启用或禁用雷竞技官网网站下载硬件卸载支持硬件卸载的接口。对于软件雷电竞app下载官方版苹果接口EoIP或VLAN此设置将被忽略且没有效果。某些网桥或端口功能可以自动禁用硬件卸载,请使用打印命令查看“H”标志是否激活。 |
| internal-path-cost(整数:0 . . 1 - 4294967295;默认值:10) | 区域内MSTI0到接口的路径开销。此属性仅在以下情况下有效protocol-mode设为mstp。 |
| 接口(名字;默认值:没有一个) | 接口名称。 |
| 路径成本(整数:0 . . 1 - 4294967295;默认值:10) | 到接口的路径开销,由STP决定最佳路径,由MSTP决定区域之间的最佳路径。此属性在以下情况下不起作用protocol-mode设为没有一个。 |
| 点对点(自动|是|否;默认值:汽车) | 指定网桥端口是否使用点对点链路连接到网桥,以便在发生故障时更快地收敛。通过将此属性设置为是的,则强制链路为点对点链路,这将跳过检查机制,该机制检测并等待来自该链路的其他设备的bpdu。通过将此属性设置为没有,您希望一条链路可以接收来自多个设备的bpdu。通过将属性设置为是的,你显著提高了(R/M)STP收敛时间。一般来说,您应该只将此属性设置为没有如果有可能在一个链路之间连接另一个设备,这主要与无线介质和以太网集线器有关。如果以太网链路是全双工,汽车启用点对点功能。此属性在以下情况下不起作用protocol-mode设为没有一个。 |
| 优先级(整数:0 . . 240;默认值:128) | 接口的优先级,由STP决定根端口,由MSTP决定域间的根端口。 |
| pvid(4094整数1 . .;默认值:1) | 端口VLAN ID (pvid)指定不带标签的入接口流量所属的VLAN。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| 的作用有限(是|否;默认值:没有) | 在端口上启用受限角色,STP使用该角色禁止端口成为根端口。此属性仅在以下情况下有效protocol-mode设为mstp。 |
| restricted-tcn(是|否;默认值:没有) | 禁止在端口上发送TCN (topology change notification)通知,用于STP协议阻止网络拓扑变化的传播。此属性仅在以下情况下有效protocol-mode设为mstp。 |
| tag-stacking(是|否;默认值:没有) | 强制将所有数据包视为未标记的数据包。无论VLAN标签是否已经存在,入端口的报文都将被标记为另一个VLAN标签,报文将被标记为与VLAN ID匹配的VLAN IDpvid中指定的EtherTypeether-type。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| 受信任的(是|否;默认值:没有) | 启用后,允许通过该端口向DHCP服务器转发DHCP报文。主要用于限制未经授权的服务器向用户提供恶意信息。此属性仅在以下情况下有效dhcp-snooping设为是的。 |
| unknown-multicast-flood(是|否;默认值:是的) | 更改网桥端口上的组播泛洪选项,只控制出口流量。使能时,允许组播报文向指定的网桥端口泛洪;使能时,限制组播报文向指定的网桥端口泛洪。该设置影响所有组播流量,包括非ip、IPv4、IPv6和链路本地组播范围(例如224.0.0.0/24和ff02:: 1). 注意,当 将此设置与 |
| unknown-unicast-flood(是|否;默认值:是的) | 改变网桥端口的未知单播泛洪选项,只控制出口流量。启用时,允许将未知单播报文泛洪到指定的网桥端口;禁用时,限制将未知单播报文泛洪到指定的网桥端口。 如果MAC地址没有学习到主机表,则将该流量视为未知单播流量,并将其淹没到所有端口。一旦收到网桥端口上的数据包,并将源MAC地址添加到网桥主机表中,就会学习MAC地址。由于网桥端口至少需要接收一个数据包才能学习MAC地址,因此建议使用静态网桥主机表项,以避免数据包在学习MAC地址之前被丢弃。 |
例子
将ether1和ether2分组在已经创建的bridge1接口中。
[admin@雷竞技网站MikroTik] /interface网桥端口add bridge=bridge1 interface=ether1 [admin@MikroTik] /interface网桥端口add bridge=bridge1 interface=ether2 [admin@MikroTik] /interface网桥端口print标志:X - disabled, I - inactive, D - dynamic, H- HW -offload # interface bridge HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON 0 ether1 bridge1 yes 100 0x80 10 10 none
接口列表
从RouterOS v6.4l雷竞技1开始,可以将接口列表添加为桥接端口并对其进行排序。接口列表对于创建更简单的防火墙规则很有用。下面是一个如何向网桥添加接口列表的示例:
/interface list add name=LAN1 add name=LAN2 /interface list成员add interface=ether1 list=LAN1 add interface=ether2 list=LAN1 add interface=ether3 list=LAN2 add interface=ether4 list=LAN2 /interface bridge port add bridge=bridge1 interface=LAN1 add bridge=bridge1 interface=LAN2
添加到网桥的接口列表中的端口将显示为动态端口:
[admin@雷竞技网站MikroTik] /接口桥端口>公关旗帜:X -残疾,我——不活跃,D -动态、H桥HW - hw-offload #界面PVID优先路径成本INTERNAL-PATH-COST地平线0 LAN1 bridge1是的1 0 x80 10 10没有1 D ether1 bridge1是的1 0 x80 10 10没有2 D ether2 bridge1是的1 0 x80 10 10没有3 LAN2 bridge1是的1 0 x80 10 10没有4 D ether3 bridge1是的1 0 x80 10 10没有5 D ether4 bridge1是的1 0 x80 10 10
还可以对它们出现的列表顺序进行排序。可以使用移动命令。下面是一个如何对接口列表排序的示例:
[admin@雷竞技网站MikroTik] > /接口桥端口3 0 [admin@MikroTik] > /界面移动桥港印刷国旗:X -残疾,我——不活跃,D -动态、H桥HW - hw-offload #界面PVID优先路径成本INTERNAL-PATH-COST地平线0 LAN2 bridge1是的1 0 x80 10 10没有1 D ether3 bridge1是的1 0 x80 10 10没有2 D ether4 bridge1是的1 0 x80 10 10没有3 LAN1 bridge1是的1 0 x80 10 10没有4 D ether1 bridge1是的1 0 x80 10 10没有5 D ether2 bridge1是的1 0 x80 10 10
移动接口列表时的第二个参数被认为是“before id”,第二个参数指定在哪个接口列表之前移动的是选中的接口列表。当将第一个接口列表移动到第二个接口列表的位置时,该命令将不起作用,因为第一个列表将在第二个列表之前移动,这是当前状态。
驾驶室端口监控
要监视网桥端口的当前状态,使用监控命令。
子菜单:/接口网桥端口监视器
| 财产 | 描述 |
|---|---|
| edge-port(是|否) | 端口是否为边缘端口。 |
| edge-port-discovery(是|否) | 端口是否设置为边缘端口自动检测。 |
| external-fdb(是|否) | 是否使用注册表代替转发数据库。 |
| 转发(是|否) | 显示端口是否被(R/M)STP阻塞。 |
| hw-offload-group(switchX) | 端口使用的开关芯片。 |
| 学习(是|否) | 显示端口是否能够学习MAC地址。 |
| multicast路由器(是|否) | 显示端口上是否检测到组播路由器。监控值仅在igmp-snooping启用。 |
| 端口号(4095整数1 . .) | 将按照端口添加到网桥的顺序分配端口号,但这仅在重新启动之前是正确的。重启后,将使用内部端口编号。 |
| point-to-point-port(是|否) | 端口与网桥端口的连接方式是全双工(yes)还是半双工(no)。 |
| 角色(指定的|根端口| alternate | backup | disabled) | (R/M)STP算法分配端口的角色:
|
| sending-rstp(是|否) | 端口使用的BPDU类型是RSTP还是MSTP。当使能RSTP/MSTP的端口收到STP BPDU时,端口将转换为STP类型。该设置并不指示是否发送bdpu报文。 |
| 状态(桥内|非活动) | 端口状态:
|
[admin@雷竞技网站MikroTik] /interface网桥端口monitor [find interface=ether1] interface: ether1 status:网桥内端口-number: 1 role: designated-port edge-port: yes edge-port-discovery: yes point-to-point-port: yes external-fdb: no sending-rstp: yes learning: yes forwarding: yes
主机表
在表中可以查看到在网桥接口上学习到的MAC地址宿主菜单。下面是可以查看的参数和标志表。
子菜单:/接口桥接主机
| 财产 | 描述 |
|---|---|
| 桥(只读:名字) | 入口所属的桥 |
| 禁用(只读:国旗) | 是否禁用静态主机表项 |
| 动态(只读:国旗) | 是否已动态创建主机 |
| 外部(只读:国旗) | 是否使用外部表(例如,从交换芯片或无线注册表)学习主机。在硬件卸载的桥接端口上添加静态主机项还将显示一个活动的外部标志雷竞技官网网站下载 |
| 无效的(只读:国旗) | 主机条目是否无效,对于已经移除的接口上静态配置的主机可能会出现 |
| 当地的(只读:国旗) | 主机条目是否从网桥本身创建(这样就会显示所有本地接口) |
| mac地址(只读:MAC地址) | 主机MAC地址 |
| 对界面的(只读:名字) | 主机连接的网桥接口是哪个 |
监控
获取活动主机表:
[admin@雷竞技网站MikroTik] /interface bridge host print标志:X - disabled, I - invalid, D - dynamic, L - local, E - external # MAC-ADDRESS VID ON-INTERFACE bridge 0 D B8:69:F4:C9:EE:D7 ether1 bridge1 1 D B8:69:F4:C9:EE:D8 ether2 bridge1 2 DL CC:2D:E0:E4: b3:B3:38 bridge1 bridge1 3 DL CC:2D:E0:E4:B3:39 ether2 bridge1
静态条目
从Routel雷竞技rOS v6.42开始,可以在主机表中添加静态MAC地址项。这可以用于通过特定端口转发某种类型的流量。静态主机项的另一个用例是通过禁用动态学习来保护设备资源,并且只依赖已配置的静态主机项。下面是在向主机表中添加静态MAC地址条目时可以设置的可能参数表。
子菜单:/接口桥接主机
| 财产 | 描述 |
|---|---|
| 桥(名字;默认值:没有一个) | 将要分配MAC地址的网桥接口。 |
| 禁用(是|否;默认值:没有) | 禁用/启用静态MAC地址表项。 |
| 接口(名字;默认值:没有一个) | 接口名称。 |
| mac地址(MAC地址;默认值:) | 将静态添加到主机表中的MAC地址。 |
| 从视频(整数:1 . . 4094;默认值:) | 静态添加的MAC地址表项对应的VLAN ID。 |
例如,如果要求所有命中的流量4 c: 5 e: 0 c: 4 d: 43分只能通过ether2,则可以使用以下命令:
/interface bridge host add bridge=bridge interface=ether2 mac-address=4C:5E:0C:4D:12:43
多播表
当IGMP / MLD窥探,网桥将开始侦听IGMP/MLD通信,创建组播数据库(MDB)项,并根据接收到的信息做出转发决策。li包本地组播目的地址224.0.0.0/24和ff02::1不受限制,总是在所有端口和vlan上泛洪。要查看已学习的多播数据库项,请使用打印命令。
子菜单:/接口桥接MDB
财产 |
描述 |
|---|---|
| 桥(只读:名字) | 显示条目所属的桥接接口。 |
| 集团(只读:Ipv4 | ipv6地址) | 显示组播组地址。 |
| 在端口(只读:名字) | 显示订阅到某个组播组的网桥端口。 |
| 从视频(只读:整数) | 显示组播组的VLAN ID,仅适用于vlan-filtering启用。 |
[admin@雷竞技网站MikroTik] /interface bridge mdb print Flags: D - DYNAMIC Columns: GROUP, VID, ON-PORTS, bridge # GROUP VID ON-PORTS bridge 0 D ff02::2 1 bridge1 bridge1 bridge1 2 D ff02::1:ff00:0 1 bridge1 bridge1 3 D ff02::1:ff01:6a43 1 bridge1 bridge1 4 D 229.1.1.1 10 ether2 bridge1 5 bridge1 ether2 6 D ff02::2 10 ether5 bridge1 ether3 ether2 ether2
静态条目
从Routel雷竞技rOS version 7.7开始,可以为IPv4和IPv6多播组创建静态MDB表项。
子菜单:/接口桥接MDB
财产 |
描述 |
|---|---|
| 桥(名字;默认值:) | 将为其分配MDB条目的桥接接口。 |
| 禁用(是|否;默认值:没有) | 禁用或启用静态MDB条目。 |
| 集团(Ipv4 | ipv6地址;默认值:) | IPv4或IPv6组播地址。的静态条目链路本地组播组224.0.0.0/24和ff02::1不能创建,因为这些报文总是在所有端口和vlan上泛洪。 |
| 港口(名字;默认值:) | 组播组将转发到的网桥端口列表。 |
| 从视频(整数:1 . . 4094;默认值:) | 将在其上创建MDB条目的VLAN ID仅适用于以下情况vlan-filtering启用。当不指定VLAN ID时,该表项将以共享VLAN模式工作,并动态应用于特定端口的所有定义的VLAN ID。 |
例如,要在VLAN 10的ether2和ether3端口上为组播组229.10.10.10创建一个静态MDB表项,使用以下命令:
/interface bridge MDB add bridge=bridge1 group=229.10.10.10 ports=ether2,ether3 vid=10
方法验证结果打印命令:
[admin@雷竞技网站MikroTik] > /interface bridge mdb print where group=229.10.10.10 Columns: group, VID, ON-PORTS, bridge # group VID ON-PORTS bridge 12 229.10.10.10 10 ether2 bridge1 ether3
如果不需要窥探某个IPv6多播组,并且希望它在所有端口和vlan上被淹没,则可以在所有vlan和端口上创建静态MDB条目,包括桥接接口本身。使用下面的命令在所有vlan和端口上为多播组ff02::2创建一个静态MDB条目(修改港口设置为您的特定设置):
/interface bridge mdb add bridge=bridge1 group=ff02::2 ports=bridge1,ether2,ether3,ether4,ether5 [admin@雷竞技网站MikroTik] > /interface bridge mdb print where group=ff02::2 Flags: D - DYNAMIC Columns: group, VID, ON-PORTS, bridge # group VID ON-PORTS bridge 0 ff02::2 bridge1 15 D ff02::2 1 bridge1 bridge1 16 D ff02::2 10 bridge1 bridge1 ether2 ether3 ether4 ether5 17 D ff02::2 20 bridge1 bridge1 ether2 ether3 ether3 18 D ff02::2 30 bridge1 bridge1 ether2 ether3
桥接硬件卸载雷竞技官网网站下载
从Routel雷竞技rOS v6.41开始,如果设备有内置的交换芯片,可以将多个端口交换在一起。虽然网桥是一个软件功能,它将消耗CPU资雷电竞app下载官方版苹果源,但网桥硬件卸载功能将允许您使用内置的交换芯片来转发数据包,如果配置正确,这将允许您实现更高的吞吐量。雷竞技官网网站下载
在以前的版本中(在RouterOS v6.41之前),你必须使l雷竞技用master-port属性来交换多个端口,但在RouterOS v6.41中,这个属性被网桥硬件卸载特性所取代,它允许你交换l雷竞技端口并使用网桥的一些特性,例如:雷竞技官网网站下载生成树协议。
从以前的版本(在RouterOS v6.41之前)升级时,旧的l雷竞技master-port配置将自动转换为新的桥接硬件卸载雷竞技官网网站下载配置。当从较新的版本(RouterOS v6.41及更新版本)降级到较旧的版本(Rl雷竞技outerOS v6.41之前)时,配置不会转换回来,而是存在一个没有硬件卸载的桥接,在这种情况下,你需要重新配置你的设备以使用旧的雷竞技官网网站下载master-port配置。
以下是支持硬件卸载(+)或禁用硬件卸载(-)的设备和功能列表:雷竞技官网网站下载
| ios版雷竞技官网入口RouterBoard/[Switch Chip]型号 | Switch菜单功能 | 桥STP / RSTP | 桥MSTP | 桥接IGMP Snooping | 网桥DHCP Snooping | 网桥VLAN过滤 | 成键4、5 | 地平线4 |
| CRS3xx、CRS5xx系列 | + | + | + | + | + | + | + | - |
| CCR2116, CCR2216 | + | + | + | + | + | + | + | - |
| CRS1xx / CRS2xx系列 | + | + | - | +2 | +1 | - | - | - |
| (QCA8337) | + | + | - | - | +2 | - | - | - |
| (Atheros8327) | + | + | - | - | +2 | - | - | - |
| (Atheros8316) | + | + | - | - | +2 | - | - | - |
| (Atheros8227) | + | + | - | - | - | - | - | - |
| (Atheros7240) | + | + | - | - | - | - | - | - |
| (IPQ-PPE) | +6 | - | - | - | - | - | - | - |
| (ICPlus175D) | + | - | - | - | - | - | - | - |
| [MT7621, MT7531] | + | +3. | +3. | - | - | +3. | - | - |
| (RTL8367) | + | +3. | +3. | - | - | +3. | - | - |
[88 e6393x,88年e6191x 88 e6190] |
+ | + | + | + | + | +3. | + | - |
脚注:
- 该特性将无法在VLAN交换设置中正常工作。正确地窥探DHCP报文只针对单个VLAN是可能的,但这需要使用ACL规则将这些DHCP报文标记为正确的VLAN标签,例如:
/interface以太网交换机acl add dst-l3-port=67-68 ip-protocol=udp mac-protocol=ip new-customer-vid=10 src-ports=switch1-cpu。DHCP Option 82不包含任何VLAN-ID信息。 - 该特性将无法在VLAN交换设置中正常工作。
- 在RouterOS 7.1rc1(适用于RTL8367)和7.1rc5(适用于MT7621)版本中增加l雷竞技了HW vlan过滤和R/M/STP功能。交换机不支持其他
ether-type0x88a8或0x9100(仅支持0x8100),否tag-stacking。使用这些功能将禁用硬件卸载。 - HW卸载将仅为特定的桥接端口禁用,而不是整个桥接。
- 只有“802.3ad”模式和“balance-xor”模式支持HW卸载。其他bonding模式不支持HW卸载。
- 目前,对IPQ-PPE开关芯片的HW卸载桥接支持仍在进行中。我们建议使用缺省的非hw卸载网桥(启用RSTP)。
从旧版本(RouterOS v6.41之前)升级时,只有l雷竞技master-port完成配置转换。为每一个master-port将创建一座桥。VLAN配置未转换,不应更改,请检查基本VLAN交换指导您确定如何为您的设备配置VLAN交换。
桥接硬件卸载应雷竞技官网网站下载被视为端口交换,但具有更多可能的特性。通过启用硬件卸载,您允许雷竞技官网网站下载内置的交换芯片使用其交换逻辑处理数据包。下图说明了切换发生在任何软件相关操作之前。雷电竞app下载官方版苹果
其中一个端口接收到的数据包总是首先通过交换机逻辑。交换机逻辑决定数据包应该去哪个端口(最常见的决定是基于数据包的目的MAC地址做出的,但可能会涉及到基于数据包和配置的其他标准)。在大多数情况下,数据包对RouterOS是不可见的(只有统计数据会显示数据包已经通过),这是因为l雷竞技数据包已经被交换芯片处理过,没有到达CPU。
虽然在某些情况下允许数据包由CPU处理是可能的,但这通常称为数据包转发到交换机CPU端口(或网桥VLAN过滤场景中的网桥接口)。这允许CPU处理数据包,并让CPU转发数据包。将数据包传递到CPU端口将使您有机会将数据包路由到不同的网络,执行流量控制和其他与软件相关的数据包处理操作。雷电竞app下载官方版苹果为了允许CPU处理数据包,您需要根据您的需要和您正在使用的设备进行某些配置更改(最常见的是,VLAN过滤设置需要将数据包传递给CPU)。查看您的特定设备的手册页:
某些网桥和以太网端口属性与交换机芯片设置直接相关,更改这些属性可能会触发故障开关芯片复位,这将暂时禁用交换机芯片上的所有以太网端口以使设置生效,无论何时更改生产环境中的属性都必须考虑到这一点。这些属性包括DHCP Snooping、IGMP Snooping、VLAN过滤、L2MTU、Flow Control等(可以触发交换芯片复位的具体设置取决于设备的型号)。
的CRS1xx/2xx系列开关每个开关芯片支持多个硬件卸载桥。雷竞技官网网站下载所有其他设备每个开关芯片只支持一个硬件卸载桥接。雷竞技官网网站下载使用hw=yes/no参数选择哪个桥将使用硬件卸载。雷竞技官网网站下载
例子
自RouterOS v6.41起,带网桥配置和启用硬件卸载的端口交换:l雷竞技雷竞技官网网站下载
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether3 hw=yes add bridge=bridge1 interface=ether4 hw=yes add bridge=bridge1 interface=ether5 hw=yes
通过检查“H”标志,确保硬件卸雷竞技官网网站下载载已启用并激活:
[admin@雷竞技网站MikroTik] /interface bridge port print标志:X - disabled, I - inactive, D - dynamic, H- HW -offload # interface bridge HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON 0 H ether2 bridge1 yes 1 0x80 10 10 none 1 H ether3 bridge1 yes 1 0x80 10 10 none 3 H ether4 bridge1 yes 1 0x80 10 10 none
在RouterOS v6.41及更新l雷竞技版本中,端口交换是使用网桥配置完成的。在RouterOSl雷竞技 v6.41之前,端口交换是使用master-port财产。
网桥VLAN过滤
网桥VLAN过滤从RouterOS v6.41开始,在网l雷竞技桥内提供VLAN感知的二层转发和VLAN标签修改功能。这组特性使桥接操作更像传统的以太网交换机,并且与桥接VLAN接口时的配置相比,可以克服生成树兼容性问题。为了符合STP (IEEE 802.1D)和RSTP (IEEE 802.1W)标准,建议配置Bridge VLAN Filtering,并且为了使能RouterOS对MSTP (IEEE 802.1s)的支持,必须配置Bridge VLAN Filtering。l雷竞技
主VLAN设置为vlan-filtering全局控制网桥中的VLAN感知和VLAN标签处理。如果vlan-filtering =没有配置VLAN tag时,桥架忽略VLAN tag,工作在SVL (shared-VLAN-learning)模式,不能修改报文的VLAN tag。打开vlan-filtering启用桥接VLAN相关的所有功能和VLAN独立学习(IVL)模式。除了加入端口进行二层转发外,网桥本身也是一个接口,因此它具有端口VLAN ID (pvid)。
目前有CRS3xx、CRS5xx系列交换机、CCR2116、CCR2216路由器和RTL8367, 88E6393X, 88E6191X, 88E6190, MT7621和MT7531交换芯片(从RouterOS v7开始)l雷竞技能够同时使用桥式VLAN过滤和硬件卸载,当桥式VLAN过滤使能时,其他设备将无法使用内置交换芯片的好处。雷竞技官网网站下载其他设备的配置方法请参考基本VLAN交换指南。如果使用了不正确的配置方法,您的设备可能会导致网络中的吞吐量问题。
桥接VLAN表
桥接VLAN表表示每个VLAN端口映射与出口VLAN标记动作。的标记端口发出的帧带有相应的VLAN ID标签。的未加标签的端口在发送帧之前去掉VLAN标签。桥接端口frame-types设置为承认或admit-only-untagged-and-priority-tagged会自动添加为未标记的端口吗pvidVLAN。
子菜单:/接口网桥vlan
| 财产 | 描述 |
|---|---|
| 桥(名字;默认值:没有一个) | 相应VLAN表项打算用于的桥接接口。 |
| 禁用(是|否;默认值:没有) | 使能或使能Bridge VLAN表项。 |
| 标记(接口;默认值:没有一个) | 在出接口有VLAN标签添加动作的接口列表。此设置接受逗号分隔的值。如。标记= ether1 ether2。 |
| 未加标签的(接口;默认值:没有一个) | 在出接口有移除VLAN标签动作的接口列表。此设置接受逗号分隔的值。如。未加标签的= ether3 ether4 |
| vlan id(4094整数1 . .;默认值:1) | 某些端口配置的VLAN id列表。此设置接受VLAN ID范围以及以逗号分隔的值。如。vlan id= 100 - 115120122128 - 130。 |
的vlan idparameter可用于指定一组或一组VLAN,但在单个桥接VLAN表项中指定多个VLAN应仅用于标记端口。如果为访问端口指定了多个vlan,那么无论vlan是否正确,都可能导致带标签的报文作为未带标签的报文通过错误的访问端口发送出去PVID价值。
在使用网桥VLAN过滤时,请确保已将所有需要的接口添加到网桥VLAN表中。路由功能正常工作在相同的设备通过使用桥的端口VLAN过滤,您将需要允许访问网桥接口(这自动包括switch-cpu端口使用HW卸载vlan-filtering时,如CRS3xx系列开关),可以通过网桥接口本身添加到VLAN表,对于交通标记您将需要添加网桥接口的端口和接口创建一个VLAN标记网桥接口。在vlan间路由和管理端口部分。
当允许访问CPU时,您允许从某个端口访问实际的路由器/交换机,这并不总是理想的。当允许从某个VLAN ID和端口访问CPU时,请确保实现适当的防火墙过滤规则以保护设备,使用防火墙过滤规则仅允许访问某些服务。
不正确配置网桥VLAN过滤可能会导致安全问题,请确保您完全了解其中的原因桥接VLAN表在将设备部署到生产环境之前工作。
桥接端口设置
每个桥接端口都有多个与VLAN相关的设置,这些设置可以改变未标记的VLAN成员、VLAN标记/取消标记行为和基于VLAN标记存在的包过滤。
子菜单:/接口桥接端口
| 财产 | 描述 |
|---|---|
| frame-types(Admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged;默认值:承认) | 指定桥接端口上允许的进入帧类型。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| ingress-filtering(是|否;默认值:是的) | 使能或使能VLAN入接口过滤,检查入接口是否为网桥VLAN表中接收到的VLAN ID的成员。应与frame-types指定入站流量是加标签还是不加标签。此属性仅在以下情况下有效vlan-filtering设为是的。该配置从RouterOS v7开始默认开启。l雷竞技 |
| pvid(4094整数1 . .;默认值:1) | 端口VLAN ID (pvid)指定不带标签的入接口流量所属的VLAN。此属性仅在以下情况下有效vlan-filtering设为是的。 |
| tag-stacking(是|否;默认值:没有) | 强制将所有数据包视为未标记的数据包。无论VLAN标签是否已经存在,入端口的报文都将被标记为另一个VLAN标签,报文将被标记为与VLAN ID匹配的VLAN IDpvid中指定的EtherTypeether-type。此属性仅在以下情况下有效vlan-filtering设为是的。 |
桥接主机表
网桥主机表允许监控学习到的MAC地址。当vlan-filtering,则显示学习到的VLAN ID (enabled independent-VLAN-learning或IVL)。
[admin@雷竞技网站MikroTik] > /interface bridge host print where !local标志:X - disabled, I - invalid, D - dynamic, L - local, E - external # MAC-ADDRESS VID ON-INTERFACE bridge 0 D CC:2D:E0:E4:B3:AA 300 ether3 bridge1 1 D CC:2D:E0:E4:B3:AB 400 ether4 bridge1
VLAN示例—Trunk和Access端口
创建一个禁用的桥vlan-filtering避免在vlan配置完成之前失去对设备的访问。如果需要对桥的管理访问,请参见管理接入配置部分。
/interface bridge add name=bridge1 vlan-filtering=no
添加桥接端口并指定pvid,将未带标签的流量分配到指定的VLAN中。使用frame-types设置只接受带标签或不带标签的报文。
/interface bridge port add bridge=bridge1 interface=ether2 frame-types=admit-only-vlan-tagged add bridge=bridge1 interface=ether6 pvid=200 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge1 interface=ether7 pvid=300 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge1 interface=ether8 pvid=400 frame-types=admit-only-untagged-and-priority-tagged
添加Bridge VLAN表项,并在其中指定带标签的端口。桥接端口frame-types设置为admit-only-untagged-and-priority-tagged会自动添加为未标记的端口吗pvidVLAN。
/interface bridge vlan add bridge=bridge1 tagged=ether2 vlan-ids=200 add bridge=bridge1 tagged=ether2 vlan-ids=300 add bridge=bridge1 tagged=ether2 vlan-ids=400
最后,VLAN配置完成后,开启“网桥VLAN过滤”功能。
/interface bridge set bridge1 vlan-filtering=yes
可选步骤是设置frame-types = admit-only-vlan-tagged在网桥接口上禁用缺省的untagged VLAN 1 (pvid = 1,).
/interface bridge set bridge1 frame-types=admit-only-vlan-tagged
VLAN举例—Trunk和Hybrid端口
创建一个禁用的桥vlan-filtering避免在vlan配置完成之前失去对路由器的访问。如果需要对桥的管理访问,请参见管理接入配置部分。
/interface bridge add name=bridge1 vlan-filtering=no
添加桥接端口并指定pvid将不带标签的流量分配到指定的VLAN中。使用frame-types设置在ether2上只接受带标签的报文。
/interface bridge port add bridge=bridge1 interface=ether2 frame-types=admit-only-vlan-tagged add bridge=bridge1 interface=ether6 pvid=200 add bridge=bridge1 interface=ether7 pvid=300 add bridge=bridge1 interface=ether8 pvid=400
添加Bridge VLAN表项,并在其中指定带标签的端口。在本例中,出口VLAN标记也在ether6、ether7、ether8端口上完成,使它们成为混合端口。桥接端口frame-types设置为承认会自动添加为未标记的端口吗pvidVLAN。
/interface bridge vlan add bridge=bridge1 tagged=ether2,ether7,ether8 vlan-ids=200 add bridge=bridge1 tagged=ether2,ether6,ether8 vlan-ids=300 add bridge=bridge1 tagged=ether2,ether6,ether7 vlan-ids=400
最后,VLAN配置完成后,开启“网桥VLAN过滤”功能。
/interface bridge set bridge1 vlan-filtering=yes
可选步骤是设置frame-types = admit-only-vlan-tagged在网桥接口上禁用缺省的untagged VLAN 1 (pvid = 1,).
/interface bridge set bridge1 frame-types=admit-only-vlan-tagged
您不必将访问端口添加为未标记端口,因为它们将作为带有VLAN ID的未标记端口动态添加pvid,则只能将trunk端口指定为带标签端口。具有相同的所有端口pvidSet将作为未标记端口添加到单个条目中。你必须考虑到桥本身是一个港口,它也有一个pvid值,这意味着桥接端口也将作为具有相同的端口的未标记端口添加pvid。可以通过设置不同的值来避免这种行为pvid在所有端口上(甚至干线端口和网桥本身),还是要使用框架式设置为accept-only-vlan-tagged。
VLAN示例—跨VLAN通过网桥路由
创建一个禁用的桥vlan-filtering避免在vlan配置完成之前失去对路由器的访问。如果需要对桥的管理访问,请参见管理接入配置部分。
/interface bridge add name=bridge1 vlan-filtering=no
添加桥接端口并指定pvid为VLAN访问端口分配不带标签的流量。使用frame-types设置为只接受未标记的报文。
/interface bridge port add bridge=bridge1 interface=ether6 pvid=200 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge1 interface=ether7 pvid=300 frame-types=admit-only-untagged-and-priority-tagged add bridge=bridge1 interface=ether8 pvid=400 frame-types=admit-only-untagged-and-priority-tagged
添加Bridge VLAN表项,并在其中指定带标签的端口。在这个例子中bridge1interface是将流量进一步发送到VLAN间路由的VLAN trunk。桥接端口frame-types设置为admit-only-untagged-and-priority-tagged会自动添加为未标记的端口吗pvidVLAN。
/interface bridge vlan add bridge=bridge1 tagged=bridge1 vlan-ids=200 add bridge=bridge1 tagged=bridge1 vlan-ids=300 add bridge=bridge1 tagged=bridge1 vlan-ids=400
配置VLAN接口bridge1允许在路由级别处理带标签的VLAN流量,并设置IP地址,以保证VLAN间的路由符合规划。
/interface vlan add interface=bridge1 name=VLAN200 vlan-id=200 add interface=bridge1 name=VLAN300 vlan-id=300 add interface=bridge1 name=VLAN400 vlan-id=400 /ip address add address=20.0.0.1/24 interface=VLAN200 add address=30.0.0.1/24 interface=VLAN300 add address=40.0.0.1/24 interface=VLAN400
最后,VLAN配置完成后,开启“网桥VLAN过滤”功能。
/interface bridge set bridge1 vlan-filtering=yes
可选步骤是设置frame-types = admit-only-vlan-tagged在网桥接口上禁用缺省的untagged VLAN 1 (pvid = 1,).
/interface bridge set bridge1 frame-types=admit-only-vlan-tagged
从Routel雷竞技rOS v7开始,可以在某些设备上使用L3硬件卸载路由流量。更多详情请浏览L3硬雷竞技官网网站下载件卸载。
管理接入配置
在使用网桥VLAN过滤的设备上,可以通过多种方式建立管理访问。下面是一些最流行的正确启用访问路由器/交换机的方法。首先创建一个没有启用VLAN过滤的网桥:
/interface bridge add name=bridge1 vlan-filtering=no
不带VLAN过滤的Untagged访问
如果不使用VLAN过滤,并且希望不带标签的流量访问,则只需在网桥接口上创建一个IP地址。
/ip address add address=192.168.99.1/24 interface=bridge1
不带VLAN过滤的带标签访问
如果不使用VLAN过滤,希望带标签的流量访问,请在网桥上创建可路由的VLAN接口,并在该接口上添加IP地址。
/interface vlan add interface=bridge1 name=MGMT vlan-id=99 /ip address add address=192.168.99.1/24 interface=MGMT . cfg
带VLAN过滤的标签访问
如果使用VLAN过滤,并且希望带标签的流量访问,则需要额外的步骤。本例中使用VLAN 99访问设备。必须在网桥上创建VLAN接口,并为其分配IP地址。
/interface vlan add interface=bridge1 name=MGMT vlan-id=99 /ip address add address=192.168.99.1/24 interface=MGMT . cfg
例如,如果您希望允许从端口访问设备ether3,ether4,sfp-sfpplus1如果使用带标签的VLAN 99流量,则必须将此表项添加到VLAN表中。请注意bridge1接口也包含在带标签的端口列表中:
/interface bridge vlan add bridge=bridge1 tagged=bridge1,ether3,ether4,sfp-sfpplus1 vlan-ids=99
之后可以启用VLAN过滤:
/interface bridge set bridge1 vlan-filtering=yes
带VLAN过滤的无标签访问
如果使用VLAN过滤,并且希望不带标签的流量访问,则VLAN接口必须与不带标签的端口使用相同的VLAN ID (pvid).与前面的示例一样,首先在网桥上创建VLAN接口,并为该VLAN添加IP地址。
/interface vlan add interface=bridge1 name=MGMT vlan-id=99 /ip address add address=192.168.99.1/24 interface=MGMT . cfg
例如,untagged端口ether2和ether3应该能够使用未标记的流量与VLAN 99接口通信。为了实现这一点,这些端口应该配置为pvid与管理VLAN上的VLAN ID匹配。请注意bridge1Interface是一个带标签的端口成员,如果需要,您可以配置其他带标签的端口(参见前面的示例)。
/interface bridge port set [find interface=ether2] pvid=99 set [find interface=ether3] pvid=99 /interface bridge vlan add bridge=bridge1 tagged=bridge1 untagged=ether2,ether3 vlan-ids=99
之后可以启用VLAN过滤:
/interface bridge set bridge1 vlan-filtering=yes
修改网桥接口的untagged VLAN
在使用VLAN过滤的情况下,可以使用pvid设置。请注意,创建可路由的VLAN接口并允许在网桥上标记流量是一种更灵活且通常推荐的选项。
首先,在网桥接口上创建一个IP地址。
/ip address add address=192.168.99.1/24 interface=bridge1
例如,untaggedbridge1交通应该能够与未标记的通信ether2和ether3端口和标签sfp-sfpplus1VLAN 99下的端口。为了实现这一点,bridge1,ether2,ether3是否应该配置相同pvid并将sfp-sfpplus1作为标记成员加入。
/interface bridge set [find name=bridge1] pvid=99 /interface bridge port set [find interface=ether2] pvid=99 set [find interface=ether3] pvid=99 /interface bridge vlan add bridge=bridge1 tagged=sfp-sfpplus1 untagged=bridge1,ether2,ether3 vlan-ids=99
之后可以启用VLAN过滤:
/interface bridge set bridge1 vlan-filtering=yes
如果不需要通过IP地址连接到路由器/交换机,则可以跳过添加IP地址的步骤,因为通过Layer2协议(例如MAC-telnet)连接到路由器/交换机将以任何方式工作。
VLAN隧道(QinQ)
由于Routl雷竞技erOS v6.43支持IEEE 802.1ad,因此可以根据业务VLAN ID (0x88A8)而不是客户VLAN ID (0x8100)来过滤VLAN ID。可以应用与IEEE 802.1Q VLAN过滤相同的原理(可以使用相同的设置示例)。下面是一个公共的拓扑结构供应商的桥梁:
在这个例子中,R1,R2,R3,和R4可能通过802.1Q (CVID)发送任何带VLAN标记的流量,但是SW1和SW2需要隔离路由器之间的流量R1只能与之交流吗R3,和R2只能与之交流吗R4。为此,您可以使用SVID标记所有的入口流量,并且只允许在某些端口上使用这些vlan。首先启用802.1广告在网桥上的VLAN协议上,使用这些命令SW1和SW2:
/interface bridge add name=bridge1 vlan-filtering=no ethernet -type=0x88a8
在这个设置中,ether1和ether2要访问端口(未标记),使用pvid参数标记每个端口上的所有进入流量,使用这些命令SW1和SW2:
/interface bridge port add interface=ether1 bridge=bridge1 pvid=200 add interface=ether2 bridge=bridge1 pvid=300 add interface=ether3 bridge=bridge1
在网桥VLAN表中指定带标签和不带标签的端口,使用这些命令SW1和SW2:
/interface bridge vlan add bridge=bridge1 tagged=ether3 untagged=ether1 vlan-ids=200 add bridge=bridge1 tagged=ether3 untagged=ether2 vlan-ids=300
在配置了网桥VLAN表的情况下,可以启用网桥VLAN过滤,使用该命令SW1和SW2:
/interface bridge set bridge1 vlan-filtering=yes
通过启用vlan-filtering您将过滤掉发送到CPU的流量,在启用VLAN过滤之前,您应该确保设置了一个管理端口。使用不同的EtherTypes的区别在于必须使用Service VLAN接口。业务VLAN接口可以创建为普通VLAN接口,但不能创建为普通VLAN接口use-service-tag参数用于切换接口是否使用Service VLAN标签。
当ether-type = 0 x8100配置,桥检查外部VLAN标签,看看它是否使用EtherType0 x8100。如果网桥接收到一个带有不同EtherType的外部标签的数据包,它将把该数据包标记为未加标签的。由于Routl雷竞技erOS只检查报文的外标签,所以当使用802.1ad协议时,无法对802.1Q报文进行过滤。
目前,CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器均支持基于SVID (Service VLAN ID)标签的硬件卸载VLAN过滤雷竞技官网网站下载ether-type设为0 x88a8。
使用交换芯片Marvell-98DX3257的设备(例如CRS354系列)不支持在1Gbps以太网接口上对其他VLAN类型进行VLAN过滤(0 x88a8和0 x9100).
标签叠加
由于Routl雷竞技erOS v6.43可以在任何现有的VLAN标签上强制添加新的VLAN标签,因此该功能可用于实现CVID堆叠设置,其中CVID (0x8100)标签在现有CVID标签之前添加。这种类型的设置与的供应商的桥梁设置,实现相同的设置,但有多个CVID标签(CVID堆叠),我们可以使用相同的拓扑:
在这个例子中R1,R2,R3,和R4它可以是802.1ad、802.1Q或任何其他类型的流量,但是SW1和SW2需要隔离路由器之间的流量R1只能与之交流吗R3,和R2只能与之交流吗R4。为此,您可以使用新的CVID标记标记所有的入口流量,并且只允许在某些端口上使用这些vlan。首先选择适当的EtherType,使用这些命令SW1和SW2:
/interface bridge add name=bridge1 vlan-filtering=no ethernet -type=0x8100
在这个设置中,ether1和ether2将忽略现有的任何VLAN标记并添加新的VLAN标记,使用pvid参数标记每个端口上的所有进入流量并允许tag-stacking在这些端口上,使用这些命令OnSW1和SW2:
/interface bridge port add interface=ether1 bridge=bridge1 pvid=200 tag-stacking=yes add interface=ether2 bridge=bridge1 pvid=300 tag-stacking=yes add interface=ether3 bridge=bridge1
在网桥VLAN表中指定带标签和不带标签的端口,只需要指定外标签的VLAN ID,使用这些命令SW1和SW2:
/interface bridge vlan add bridge=bridge1 tagged=ether3 untagged=ether1 vlan-ids=200 add bridge=bridge1 tagged=ether3 untagged=ether2 vlan-ids=300
在配置网桥VLAN表时,可以使能网桥VLAN过滤功能pvid参数产生任何效果,请使用这些命令SW1和SW2:
/interface bridge set bridge1 vlan-filtering=yes
通过启用vlan-filtering您将过滤掉发送到CPU的流量,在启用VLAN过滤之前,您应该确保设置了一个管理端口。
快进
快速转发是指在特殊情况下加快报文转发速度。当启用Fast Forward功能时,网桥可以更快地处理数据包,因为它可以跳过多个与网桥相关的检查,包括MAC学习。下面你可以找到一个条件列表必须为了使快进功能生效,必须满足以下条件:
- 桥已经
快进设置为是的 - 桥只有2个运行端口
- 两个桥接端口都支持快速路径, Fast Path在端口和全局桥上都是活跃的
- 桥接硬件卸载雷竞技官网网站下载是禁用的
- 网桥VLAN过滤是禁用的
- 网桥DHCP snooping是禁用的
unknown-multicast-flood设为是的unknown-unicast-flood设为是的broadcast-flood设为是的- 网桥的MAC地址与其中一个网桥从端口的MAC地址匹配
地平线对于两个端口都设置为没有一个
快速转发禁用MAC学习,这是通过设计来实现更快的数据包转发。MAC学习可以防止流量在多个接口泛滥,但当报文只能通过一个接口发出时,不需要进行MAC学习。
当硬件卸载启用时,快进将被禁用。雷竞技官网网站下载雷竞技官网网站下载当硬件卸载处于活动状态时,它可以实现完全的写速度性能,因为它将使用内置的交换芯片(如果您的设备上存在这样的芯片),快进使用CPU来转发数据包。当比较吞吐量结果时,您会得到这样的结果:硬件卸载>快进>快路径>慢路径。雷竞技官网网站下载
可以检查Fast Forward处理了多少数据包:
[admin@雷竞技网站MikroTik] /interface bridge settings> pr use-ip-firewall: no use-ip-firewall-for-vlan: no use-ip-firewall-for-pppoe: no allow-fast-path: yes bridge-fast-path-active: yes bridge-fast-path-packets: 0 bridge-fast-path-bytes: 0 bridge-fast-forward-packets: 16423 bridge-fast-forward-bytes: 24864422
如果报文经过Fast Path处理,则Fast Forward不激活。数据包计数可以用作快进是否激活的指示器。
从Routel雷竞技rOS 6.44开始,可以监控快进状态,例如:
[admin@雷竞技网站MikroTik] /interface bridge monitor bridge1 state: enabled current-mac-address: B8:69:F4:C9:EE:D7 root-bridge: yes root-bridge-id: 0x8000。B8:69:F4:C9:EE:D7 root-path-cost: 0 root-port: none port-count: 2 designated-port-count: 2 fast-forward: yes
禁用或启用快进将暂时禁用所有桥接端口以使设置生效。无论何时在生产环境中更改此属性,都必须考虑到这一点,因为它可能导致所有数据包被暂时丢弃。
IGMP / MLD窥探
从RouterOS 6.41l雷竞技版本开始,网桥支持IGMP/MLD snooping功能。它控制组播流,防止不必要的端口上的组播泛滥。它的设置放在桥菜单中,它在每个桥界面中独立工作。雷电竞app下载官方版苹果软件驱动实现适用于除CRS3xx、CRS5xx系列交换机、CCR2116、CR2216等路由器外的所有带Routel雷竞技rOS的设备88E6393X, 88E6191X, 88E6190开关芯片还支持IGMP/MLD窥探与硬件卸载。雷竞技官网网站下载更多详情请浏览IGMP/MLD snooping手册。
DHCP Snooping和DHCP Option 82
从RouterOS 6.43l雷竞技版本开始,网桥支持DHCP Snooping和DHCP Option 82。DHCP Snooping是一种二层安全特性,用于限制未经授权的DHCP服务器向用户提供恶意信息。在Rol雷竞技uterOS中,您可以指定哪些桥接端口是可信的(已知DHCP服务器所在的端口,DHCP消息应该被转发),哪些是不可信的(通常用于访问端口,收到的DHCP服务器消息将被丢弃)。DHCP Option 82是使能DHCP Snooping的设备提供的附加信息(Agent Circuit ID和Agent Remote ID),用于标识设备自身和DHCP客户端。
在本例中,SW1和SW2分别为使能DHCP Snooping和option82功能的设备。首先,我们需要创建一个桥接器,分配接口并标记可信端口。使用以下命令SW1:
/interface bridge add name=bridge /interface bridge port add bridge=bridge interface=ether1 add bridge=bridge interface=ether2 trusted=yes
对于SW2,配置将是类似的,但是我们还需要将ether1标记为可信,因为该接口将接收已经添加了option82的DHCP消息。如果要接收添加了option82的DHCP消息,则需要将所有端口标记为可信端口,否则这些消息将被丢弃。同样,我们将ether3添加到同一个网桥中,并使该端口不受信任,假设有一个未经授权的(流氓)DHCP服务器。使用以下命令SW2:
/interface bridge add name=bridge /interface bridge port add bridge=bridge interface=ether1 trusted=yes add bridge=bridge interface=ether2 trusted=yes add bridge=bridge interface=ether3
然后我们需要启用DHCP Snooping和option82。如果您的DHCP服务器不支持DHCP option82或您没有实施任何与option82相关的策略,则可以禁用此选项。使用以下命令SW1和SW2:
/interface bridge set [find where name="bridge"] dhcp-snooping=yes add-dhcp-option82=yes
现在,两个设备将分析在桥接端口上接收到的DHCP消息。的SW1负责添加和删除DHCP Option 82。的SW2将限制非法DHCP服务器接收任何发现消息,并从ether3删除恶意DHCP服务器消息。
目前有CRS3xx、CRS5xx系列交换机、CCR2116、CR2216系列路由器和88E6393X, 88E6191X, 88E6190开关芯片完全支持硬件卸载DHCP S雷竞技官网网站下载nooping和option82。对于CRS1xx和CRS2xx系列交换机,可以将DHCP Snooping与VLAN交换一起使用,但是您需要使用出口ACL规则确保发送的DHCP数据包带有正确的VLAN标签。其他设备可以使用DHCP Snooping和option82特性以及硬件卸载,但必须确保设备上没有应用vlan相关配置,否则可能导致DHCP Snooping和opt雷竞技官网网站下载ion82无法正常工作。看到的桥接硬件卸载雷竞技官网网站下载节,其中包含支持的特性。
对于CRS3xx、CRS5xx系列交换机和CCR2116、CR2216路由器,在创建硬件卸载绑定接口时,DHCP snooping功能不支持。雷竞技官网网站下载
控制器桥接和端口扩展器
CB (Controller Bridge) and Port Extender (PE)是IEEE 802.1BR标准在RouterOS中的实现,适用于CRS3xx、CRS5xx系列l雷竞技交换机和CCR2116、CCR2216路由器。它允许使用PE设备虚拟地扩展CB端口,并从单个控制设备管理这些扩展的接口。这种配置提供了简化的网络拓扑、灵活性、增加的端口密度和易于管理性。更多详情请浏览控制器桥接器和端口扩展器手册。
桥防火墙
网桥防火墙实现包过滤,从而提供安全功能,用于管理进出和通过网桥的数据流。
分组流程图显示数据包是如何通过路由器处理的。强迫桥梁车辆通过是可能的/ip防火墙过滤器规则(见网桥设置)。
有两个桥接防火墙表:
- 过滤器-具有三个预定义链的桥接防火墙:
- 输入-过滤数据包,其中目的地是网桥(包括那些将被路由的数据包,因为它们无论如何都要到达网桥的MAC地址)
- 输出-过滤来自网桥的数据包(包括那些正常路由的数据包)
- 向前-过滤要桥接的数据包(注意:此链不适用于应该通过路由器路由的数据包,只适用于在同一桥接的端口之间穿越的数据包)
- nat-网桥网络地址转换提供了改变经过网桥的数据包的源/目的MAC地址的方法。有两个内置链:
- srcnat-用于“隐藏”不同MAC地址后面的主机或网络。该链应用于通过网桥接口离开路由器的数据包
- dstnat-用于将部分报文重定向到其他目的地址
可以在网桥防火墙(filter和NAT)中设置报文标记,这些标记与IP防火墙中的报文标记相同'/ip firewall mangle'。通过这种方式,桥接防火墙的数据包标记可以在IP防火墙中使用,反之亦然。
本节将介绍网桥防火墙的一般属性。nat和过滤器规则之间的一些不同参数将在后面的章节中描述。
子菜单:/interface bridge filter, /interface bridge NAT
| 财产 | 描述 |
|---|---|
| 802.3 sap(整数;默认值:) | DSAP(目的服务接入点)和SSAP(源服务接入点)是2个1字节字段,它们标识使用链路层服务的网络协议实体。这些字节总是相等的。这里可以指定两个十六进制数字来匹配SAP字节。 |
| 802.3类型(整数;默认值:) | 以太网协议类型,置于IEEE 802.2帧报头之后。仅当802.3-sap是0xAA (SNAP -子网连接点头)时才有效。例如,AppleTalk可以用SAP代码0xAA和SNAP类型代码0x809B来表示。 |
| 行动(接收|丢弃|跳转|日志|标记数据包|通过|返回|设置优先级;默认值:) | 如果数据包符合规则,将采取的操作:
|
| arp-dst-address(IP地址;默认值:) | ARP目的IP地址。 |
| arp-dst-mac-address(MAC地址;默认值:) | ARP目的MAC地址。 |
| arp-gratuitous(是|否;默认值:) | 匹配ARP免费报文。 |
| arp-雷竞技官网网站下载hardware-type(整数;默认值:1) | ARP硬雷竞技官网网站下载件类型。这通常是以太网(类型1)。 |
| arp-opcode(Arp-nak | drop -error | drop -reply | drop -request | inarp-reply | reply | reply-reverse | request | request-reverse;默认值:) | ARP操作码(报文类型)
|
| arp-packet-type(65535整数0 . .|hex 0x0000-0xffff;默认值:) | ARP报文类型。 |
| arp-src-address(IP地址;默认值:) | ARP源IP地址。 |
| arp-src-mac-address(MAC地址;默认值:) | ARP源MAC地址。 |
| 链(文本;默认值:) | 桥接防火墙链,过滤器在其中运行(内置的或用户定义的)。 |
| dst-address(IP地址;默认值:) | 目的IP地址(仅当“MAC协议”选择“IP”时有效)。 |
| dst-mac-address(MAC地址;默认值:) | 目的MAC地址。 |
| dst-port(65535整数0 . .;默认值:) | 目的端口号或范围(仅适用于TCP或UDP协议)。 |
| 在桥梁的(名字;默认值:) | 数据包通过的桥接接口。 |
| 系统界面(名字;默认值:) | 数据包通过的物理接口(即网桥端口)。 |
| in-interface-list(名字;默认值:) | 定义的接口集接口列表。工作原理与系统界面。 |
| ingress-priority(63整数0 . .;默认值:) | 匹配入报文的优先级。优先级可以来自VLAN、WMM、DSCP或MPLS EXP位。阅读更多 |
| ip协议(DCCP | DDP | egp | encap | etherip | GGP | gre | HMP | icmp | icmpv6 | idp - ctp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | ipv6 | ipv6-frag | ipv6-nonxt | ipv6-opts | ipv6-route | iso-tp4 | l2tp | ospf | pim | pup | RDP | RSPF | RSVP | SCTP | st | TCP | udp | udp-lite | VMTP | xns-idp | XTP;默认值:) | IP协议(仅当MAC协议设置为IPv4时)
|
| 跳转目标(名字;默认值:) | 如果action =跳指定后,则指定处理报文的自定义防火墙链。 |
| 限制(整数/时间,整数;默认值:) | 将数据包匹配率限制到给定的限制。
|
| log-prefix(文本;默认值:) | 定义要在日志信息之前打印的前缀。 |
| mac-protocol(802.2 | arp | home - plug-av | IP | ipv6 | ipx | length | LLDP | loop-protect | mpls-multicast | mpls-unicast | packing-compr | packing-simple | pppoe | pppoe-discovery | rarp | service-vlan | vlan | integer 0..65535 | hex 0x0000-0xffff;默认值:) | 以太网有效载荷类型(mac级协议)。匹配VLAN封装帧的协议类型(0x8100或0x88a8)vlan-encap应该利用财产。
|
| out-bridge(名字;默认值:) | 出桥接口。 |
| out-interface(名字;默认值:) | 数据包离开网桥所经过的接口。 |
| out-interface-list(名字;默认值:) | 定义的接口集接口列表。工作原理与out-interface。 |
| packet-mark(名字;默认值:) | 匹配具有一定报文标记的报文。 |
| 数据包类型(Broadcast | host | multicast | other-host;默认值:) | MAC帧类型:
|
| src-address(IP地址;默认值:) | 源IP地址(仅当“MAC协议”选择“IPv4”时有效)。 |
| src-mac-address(MAC地址;默认值:) | 源MAC地址。 |
| src-port(65535整数0 . .;默认值:) | 源端口号或范围(仅适用于TCP或UDP协议)。 |
| stp-flags(Topology-change | Topology-change -ack;默认值:) | BPDU(网桥协议数据单元)标志。网桥定期交换名为BPDU的配置消息,以防止环路
|
| stp-forward-delay(65535整数0 . .;默认值:) | 正向延迟定时器。 |
| stp-hello-time(65535整数0 . .;默认值:) | STP hello报文时间。 |
| stp-max-age(65535整数0 . .;默认值:) | 最大STP消息年龄。 |
| stp-msg-age(65535整数0 . .;默认值:) | STP消息年龄。 |
| stp-port(65535整数0 . .;默认值:) | STP端口标识符。 |
| stp-root-address(MAC地址;默认值:) | 根桥MAC地址。 |
| stp-root-cost(65535整数0 . .;默认值:) | 根桥开销。 |
| stp-root-priority(65535整数0 . .;默认值:) | 根桥优先级。 |
| stp-sender-address(MAC地址;默认值:) | STP消息发送方MAC地址。 |
| stp-sender-priority(65535整数0 . .;默认值:) | STP发送方优先级。 |
| stp-type(配置| TCN;默认值:) | BPDU类型:
|
| tls-host(字符串;默认值:) | 允许基于TLS SNI主机名匹配https流量。接受水珠语法用于通配符匹配。注意,如果TLS握手帧被分割成多个TCP段(数据包),匹配器将无法匹配主机名。 |
| vlan-encap(802.2 | arp | IP | ipv6 | ipx | length | mpls-multicast | mpls-unicast | pppoe | pppoe-discovery | rarp | vlan | integer 0..65535 | hex 0x0000-0xffff;默认值:) | 匹配VLAN帧封装的MAC协议类型。 |
| vlan id(4095整数0 . .;默认值:) | 匹配VLAN标识字段。 |
| vlan-priority(整数0 . . 7;默认值:) | 匹配VLAN优先级(优先级码点) |
脚注:
- STP匹配器只有在目的MAC地址为时才有效
01:80: C2:00:00:00 / FF: FF: FF: FF: FF: FF(网桥组地址),也要使能STP。
- ARP匹配器只有在以下情况下才有效mac-protocol是
arp或-
- VLAN匹配器仅对以下情况有效
0 x8100或0 x88a8以太网协议
- IP或IPv6相关匹配器仅在以下情况下有效mac-protocol被设置为
知识产权或ipv6
- 只有当实际帧符合IEEE 802.2和IEEE 802.3标准时,才会咨询802.3匹配器。对于其他数据包,这些匹配器将被忽略。
桥接包过滤器
本节描述特定的桥接过滤器选项。
子菜单:/接口桥式滤波器
| 财产 | 描述 |
|---|---|
| 行动(接收|丢弃|跳转|日志|标记数据包|通过|返回|设置优先级;默认值:接受) | 如果数据包符合规则,将采取的操作:
|
桥NAT
介绍桥接NAT的具体选项。
子菜单:/接口桥NAT
| 财产 | 描述 |
|---|---|
| 行动(接收、丢弃、跳转、标记、重定向、set-priority、arp-reply、dst-nat、log、pass、return、src-nat;默认值:接受) | 如果数据包符合规则,将采取的操作:
|
| to-arp-reply-mac-address(MAC地址;默认值:) | 源MAC地址放在以太网帧和ARP有效载荷,当action = arp响应被选中 |
| to-dst-mac-address(MAC地址;默认值:) | 目的MAC地址放在以太网帧,当action = dst-nat被选中 |
| to-src-mac-address(MAC地址;默认值:) | 源MAC地址要放在以太网帧中,当action = src-nat被选中 |
另请参阅
概述
内容的工具