总结
CCR3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器采用高集成度的交换机,配备高性能CPU和功能丰富的分组处理器。这些设备可以设计成各种以太网应用,包括非管理型交换机、第二层管理型交换机、运营商交换机、跨vlan路由器、有线统一分组处理器等。
本文适用于CRS3xx、CRS5xx系列交换机、CCR2116、CCR2216路由器,而非CRS1xx/CRS2xx系列开关.
特性
| 特性 | 描述 |
|---|---|
| 转发 |
|
| 路由 |
|
| 生成树协议 |
|
| 镜像 |
|
| VLAN |
|
| 成键 |
|
| 交通影响 |
|
| 端口隔离 |
|
| 访问控制列表 |
|
模型
该表阐明了Cloud Router Switch型号和CCR路由器之间的主要区别。
| 模型 | 开关芯片 | CPU | 核 | 10 g SFP + | 10 g以太网 | 25克SFP28 | 40 g QSFP + | 100克QSFP28 | ACL规则 | 单播FDB表项 | 大帧(字节) |
| netPower 15FR (CRS318-1Fi-15Fr-2S) | marvell - 98 dx224s | 800兆赫 | 1 | - | - | - | - | - | 128 | 16000年 | 10218 |
| netPower 16P (CRS318-16P-2S+) | marvell - 98 dx226s | 800兆赫 | 1 | 2 | - | - | - | - | 128 | 16000年 | 10218 |
| CRS310-1G-5S-4S+ (netFiber 9/IN) | marvell - 98 dx226s | 800兆赫 | 1 | 4 | - | - | - | - | 128 | 16000年 | 10218 |
| CRS326-24G-2S + (RM /) | marvell - 98 dx3236 | 800兆赫 | 1 | 2 | - | - | - | - | 128 | 16000年 | 10218 |
| CRS328-24P-4S + | marvell - 98 dx3236 | 800兆赫 | 1 | 4 | - | - | - | - | 128 | 16000年 | 10218 |
| CRS328-4C-20S-4S + | marvell - 98 dx3236 | 800兆赫 | 1 | 4 | - | - | - | - | 128 | 16000年 | 10218 |
| CRS305-1G-4S + | marvell - 98 dx3236 | 800兆赫 | 1 | 4 | - | - | - | - | 128 | 16000年 | 10218 |
| CRS309-1G-8S + | marvell - 98 dx8208 | 800兆赫 | 2 | 8 | - | - | - | - | 1024 | 32000年 | 10218 |
| CRS317-1G-16S + | marvell - 98 dx8216 | 800兆赫 | 2 | 16 | - | - | - | - | 1024 | 128000年 | 10218 |
| CRS312-4C + 8 xg | marvell - 98 dx8212 | 650兆赫 | 1 | 4 (combo端口) | 8 + 4 (combo端口) | - | - | - | 512 | 32000年 | 10218 |
| CRS326-24S + 2 q + | marvell - 98 dx8332 | 650兆赫 | 1 | 24 | - | - | 2 | - | 256 | 32000年 | 10218 |
| CRS354-48G-4S + 2 q + | marvell - 98 dx3257 | 650兆赫 | 1 | 4 | - | - | 2 | - | 170 | 32000年 | 10218 |
| CRS354-48P-4S + 2 q + | marvell - 98 dx3257 | 650兆赫 | 1 | 4 | - | - | 2 | - | 170 | 32000年 | 10218 |
| CRS504-4XQ-IN | marvell - 98 dx4310 | 650兆赫 | 1 | - | - | - | - | 4 | 1024 | 128000年 | 10218 |
| CRS518-16XS-2XQ | marvell - 98 dx8525 | 650兆赫 | 1 | - | - | 16 | - | 2 | 1024 | 128000年 | 10218 |
| CCR2116-12G-4S + | marvell - 98 dx3255 | 2000兆赫 | 16 | 4 | - | - | - | - | 512 | 32000年 | 9570 |
| CCR2216-1G-12XS-2XQ | marvell - 98 dx8525 | 2000兆赫 | 16 | - | - | 12 | - | 2 | 1024 | 128000年 | 9570 |
缩写
- FDB—转发数据库
- MDB -组播数据库
- SVL -共享VLAN学习
- 独立的VLAN学习
- PVID -端口VLAN ID
- ACL—访问控制列表
- CVID -客户VLAN ID
- SVID -业务VLAN ID
端口切换
要设置端口交换,请检查桥接硬件卸载雷竞技官网网站下载页面。
目前,只能创建一个具有硬件卸载的桥接。雷竞技官网网站下载使用hw =是的/没有参数选择哪个桥将使用硬件卸载。雷竞技官网网站下载
网桥STP/RSTP/MSTP、IGMP Snooping和VLAN过滤的设置不影响硬件卸载,因为RouterOS v6.42也会对Bonding接口进行雷竞技官网网站下载硬件卸载。l雷竞技
VLAN
从Routel雷竞技rOS 6.41版本开始,网桥提供了VLAN感知的二层转发和VLAN标签修改功能。这组特性使桥接操作更像传统的以太网交换机,并且与桥接类似隧道的VLAN接口时的配置相比,可以克服生成树兼容性问题。Bridge VLAN Filtering建议配置符合STP (802.1D)、RSTP (802.1w)标准,并且必须在RouterOS中开启对MSTP (802.1s)的支持。l雷竞技
VLAN过滤
上描述了VLAN过滤网桥VLAN过滤部分。
VLAN设置示例
下面介绍了一些最常用的利用VLAN转发的方法。
出口VLAN
配置的详细信息请参见网桥VLAN过滤部分。
基于MAC的VLAN
- Switch Rule表用于基于MAC的VLAN功能,请参见这个表每个设备支持多少条规则。
- 基于mac的vlan只能在交换机端口之间正常工作,不能在交换机端口和CPU之间正常工作。当数据包被转发到CPU时
pvid属性将始终使用,而不是new-vlan-id从ACL规则。 - 当使能DHCP snooping功能时,基于mac的vlan不支持DHCP报文。
通过创建一个使能hw-offloading的网桥,使能端口开关。
/interface bridge add name=bridge1 vlan-filtering=yes /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether7 hw=yes
在Bridge VLAN表中添加VLAN,并指定端口:
/interface bridge vlan add bridge=bridge1 tagged=ether2 untagged=ether7 vlan-ids=200,300,400
添加基于MAC地址分配VLAN id的Switch规则:
/interface以太网交换机规则add switch=switch1 ports=ether7 src-mac-address=A4:12:6D:77:94:43/FF:FF:FF:FF new-vlan-id=200 add switch=switch1 ports=ether7 src-mac-address=84:37:62:DF:04:20/FF:FF:FF:FF:FF new-vlan-id=300 add switch=switch1 ports=ether7 src-mac-address=E7:16:34:A1:CD:18/FF:FF:FF:FF:FF:FF:FF new-vlan-id=400
基于协议VLAN
- Switch Rule表用于基于协议的VLAN功能,请参见这个表每个设备支持多少条规则。
- 基于协议的vlan只能在交换机端口之间正常工作,不能在交换机端口和CPU之间正常工作。当数据包被转发到CPU时
pvid属性将始终使用,而不是new-vlan-id从ACL规则。 - 当使能DHCP snooping功能时,基于协议的vlan不能用于DHCP报文。
通过创建一个使能hw-offloading的网桥,使能端口开关。
/interface bridge add name=bridge1 vlan-filtering=yes /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether6 hw=yes add bridge=bridge1 interface=ether7 hw=yes add bridge=bridge1 interface=ether8 hw=yes
在Bridge VLAN表中添加VLAN,并指定端口:
/interface bridge vlan add bridge=bridge1 tagged=ether2 untagged=ether6 vlan-ids=200 add bridge=bridge1 tagged=ether2 untagged=ether7 vlan-ids=300 add bridge=bridge1 tagged=ether2 untagged=ether8 vlan-ids=400
添加基于MAC协议分配VLAN id的Switch规则:
/interface以太网交换机rule add mac-protocol=ip new-vlan-id=200 ports=ether6 switch=switch1 add mac-protocol=ipx new-vlan-id=300 ports=ether7 switch=switch1 add mac-protocol=0x80F3 new-vlan-id=400 ports=ether8 switch=switch1
VLAN隧道(Q-in-Q)
从Routel雷竞技rOS v6.43开始,可以同时使用提供商桥接(IEEE 802.1ad)和标签堆叠VLAN过滤和硬件卸载。雷竞技官网网站下载配置说明请参见网桥VLAN隧道(Q-in-Q)部分。
使用交换芯片Marvell-98DX3257的设备(例如CRS354系列)不支持在1Gbps以太网接口上对其他VLAN类型进行VLAN过滤(0 x88a8和0 x9100)。
入接口VLAN转换
在入端口上使用ACL规则可以将某个VLAN ID转换为不同的VLAN ID。在本例中,我们创建了两个ACL规则,允许双向通信。这可以通过执行以下操作来完成。
创建一个新的桥,并添加端口到它与硬件卸载:雷竞技官网网站下载
/interface bridge add name=bridge1 vlan-filtering=no /interface bridge port add interface=ether1 bridge=bridge1 hw=yes add interface=ether2 bridge=bridge1 hw=yes
添加ACL规则,实现VLAN ID在各个方向上的转换。
/interface以太网交换机规则add new-dst-ports=ether2 new-vlan-id=20 ports=ether1 switch=switch1 vlan-id=10 add new-dst-ports=ether1 new-vlan-id=10 ports=ether2 switch=switch1 vlan-id=20
将两个VLAN id添加到网桥VLAN表中:
/interface bridge vlan add bridge=bridge1 tagged=ether1 vlan-ids=10 add bridge=bridge1 tagged=ether2 vlan-ids=20
开启网桥VLAN过滤功能:
/interface bridge set bridge1 vlan-filtering=yes
双向通信仅限制在交换机的两个端口之间。过多的端口之间进行VLAN ID转换会导致流量泛滥或同一VLAN端口之间转发错误。
通过启用vlan-filtering您将过滤掉发送到CPU的流量,在启用VLAN过滤之前,您应该确保设置了一个管理端口.
STP (R / M)
CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器在硬件层面可以运行STP、RSTP和MSTP。雷竞技官网网站下载有关更详细的信息,请查看生成树协议手册页。
成键
CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器支持通过bonding接口进行硬件卸载。雷竞技官网网站下载只有802.3广告和balance-xorbonding模式是硬件卸载,其他b雷竞技官网网站下载onding模式会占用CPU资源。有关绑定接口的更多信息,请参见结合界面部分。如果802.3广告模式,则支持LACP (Link Aggregation Control Protocol)协议。
创建硬件卸载绑定接口时,雷竞技官网网站下载需要创建支持的绑定模式:
/interface bonding add mode=802.3ad name=bond1 slaves=ether1,ether2
该接口可以与其他接口一起添加到网桥中:
/interface bridge add name=bridge /interface bridge port add bridge=bridge interface=bond1 hw=yes add bridge=bridge interface=ether3 hw=yes add bridge=bridge interface=ether4 hw=yes
不要将已经绑定的接口添加到网桥中,因为RouterOS不允许将已经是绑定从端口的接口添加到网桥中。l雷竞技
通过检查“H”标志,确保绑定接口是硬件卸载:雷竞技官网网站下载
/interface bridge port print标志:X - disabled, I - inactive, D - dynamic, H - HW -offload # interface bridge HW 0 H bond1 bridge yes 1 H ether3 bridge yes 2 H ether4 bridge yes
对于hw负载的bonding接口,内置交换芯片将始终使用Layer2+Layer3+Layer4作为发送哈希策略,手动更改发送哈希策略不会产生任何影响。
多机箱链路聚合组
在RouterOS中实现MLAG (Multi-chassis Link Aggregation Group,多机箱链路聚合l雷竞技组),允许在两台独立的设备上配置LACP绑定,而客户端设备却认为连接在同一台机器上。这为交换机故障提供了物理冗余。所有的CRS3xx、CRS5xx系列和CCR2116、CCR2216设备都可以配置MLAG。读在这里了解更多信息。
L3硬雷竞技官网网站下载件卸载
第三层硬件卸载雷竞技官网网站下载(也称为IP交换或HW路由)将允许将一些路由器功能卸载到交换芯片上。这允许在路由数据包时达到线路速度,这在CPU上是不可能的。
卸载特性集取决于使用的芯片组。读在这里了解更多信息。
端口隔离
由于Routl雷竞技erOS v6.43可以创建私有VLAN设置,因此可以在开关芯片端口隔离手册页。雷竞技官网网站下载硬件卸载绑定接口不包括在交换机端口隔离菜单中,但仍然可以单独配置端口隔离绑定的每个从接口。
IGMP / MLD窥探
CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器在硬件层面支持IGMP/MLD Snooping功能。雷竞技官网网站下载要查看更详细的信息,您应该查看IGMP / MLD窥探手册页。
DHCP Snooping和DHCP Option 82
在硬件层面上,CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器支持DHCP Snooping和opt82功能。雷竞技官网网站下载交换机会创建动态ACL规则捕获DHCP报文,并将其重定向到主CPU进行处理。要查看更多详细信息,请访问DHCP Snooping和DHCP Option 82手册页。
当创建硬件卸载绑定接口时,DHCP snooping将无法工作。雷竞技官网网站下载
控制器桥接和端口扩展器
CB (Controller Bridge)和PE (Port Extender)是IEEE 802.1BR标准在RouterOS中的实现。l雷竞技它允许使用PE设备虚拟地扩展CB端口,并从单个控制设备管理这些扩展的接口。这种配置提供了简化的网络拓扑、灵活性、增加的端口密度和易于管理性。更多详情请浏览控制器桥接器和端口扩展器手册.
镜像
镜像允许交换机嗅探交换机芯片中的所有流量,并将这些数据包的副本发送到另一个端口(镜像目标)。此功能可用于轻松设置tap设备,使您可以在流量分析设备上检查网络上的流量。可以设置简单的基于端口的镜像,但也可以设置基于各种参数的更复杂的镜像。请注意,镜像目标端口必须属于同一个交换机(参见哪个端口属于哪个交换机)/以太网接口菜单)。另外,镜像目标可以有一个特殊的“cpu”值,这意味着嗅探包将从交换机芯片的cpu端口发送出去。有许多可能性可以用来镜像某些流量,下面你可以找到最常见的镜像示例:
端口镜像:
/interface以太网交换机set switch1 mirror-source=ether2 mirror-target=ether3
财产mirror-source将一个入口和出口数据包的副本发送到mirror-target端口。这两个mirror-source和mirror-target都被限制在单个接口上。
/interface以太网交换机set switch1 mirror-source=none mirror-target=ether3 /interface以太网交换机rule add mirror=yes ports=ether1,ether2 switch=switch1
使用ACL规则,可以镜像多个数据包港口接口。只有进入的数据包被镜像到mirror-target接口。
基于VLAN镜像:
/interface bridge set bridge1 vlan-filtering=yes /interface以太网交换机set switch1 mirror-target=ether3 mirror-source=none /interface以太网交换机规则add mirror=yes ports=ether1 switch=switch1 vlan-id=11
通过启用vlan-filtering您将过滤掉发送到CPU的流量,在启用VLAN过滤之前,您应该确保设置了一个管理端口.
MAC镜像:
/interface以太网交换机set switch1 mirror-target=ether3 mirror-source=none /interface以太网交换机rule add mirror=yes ports=ether1 switch=switch1 dst-mac-address=64:D1:54:D9:27:E6/FF:FF:FF:FF:FF:FF add mirror=yes ports=ether1 switch=switch1 src-mac-address=64:D1:54:D9:27:E6/FF:FF:FF:FF:FF
基于协议镜像:
/interface以太网交换机set switch1 mirror-target=ether3 mirror-source=none /interface以太网交换机rule add mirror=yes ports=ether1 switch=switch1 mac-protocol=ipx
IP镜像:
/interface以太网交换机set switch1 mirror-target=ether3 mirror-source=none /interface以太网交换机规则add mirror=yes ports=ether1 switch=switch1 src-address=192.168.88.0/24 add mirror=yes ports=ether1 switch=switch1 dst-address=192.168.88.0/24
还有其他选项,请查看ACL节找出可以用来匹配数据包的所有可能参数。
交通影响
ACL规则可以限制匹配某些参数的入接口流量,也可以限制每个端口的入/出接口流量。策略器用于入口流量,整形器用于出口流量。入口策略器通过丢包控制接收到的流量。所有超过规定极限的东西都将被丢弃。这可能会影响终端主机上的TCP拥塞控制机制,并且实现的带宽实际上可能小于定义的带宽。出口整形器将尝试对超过限制的数据包进行排队,而不是丢弃它们。最终,当输出队列满时,它也会丢弃数据包,但是,它应该允许更好地利用所定义的吞吐量。
港口交通警察和塑造员:
/interface以太网交换机port set ether1 ingress-rate=10M egress-rate=5M
基于mac的流量策略:
/interface以太网交换机rule add ports=ether1 switch=switch1 src-mac-address=64:D1:54:D9:27:E6/FF:FF:FF:FF:FF:FF速率=10M
基于vlan的流量策略:
/interface bridge set bridge1 vlan-filtering=yes /interface ethernet switch rule add ports=ether1 switch=switch1 vlan-id=11 rate=10M
通过启用vlan-filtering您将过滤掉发送到CPU的流量,在启用VLAN过滤之前,您应该确保设置了一个管理端口.
基于协议的流量策略:
/interface以太网交换机规则add ports=ether1 switch=switch1 mac-protocol=ipx rate=10M
还有其他选项,请查看ACL节找出可以用来匹配数据包的所有可能参数。
Switch Rule表用于QoS功能,请参见这个表每个设备支持多少条规则。
交通风暴管制
从Routel雷竞技rOS v6.42开始,可以启用流量风暴控制。当某些帧在网络上持续泛滥时,就会出现流量风暴。例如,如果已经创建了一个网络环路,并且没有使用环路避免机制(例如:生成树协议),广播或组播帧会迅速淹没网络,导致网络性能下降甚至完全崩溃。使用CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器,可以限制广播、未知组播和未知单播流量。当交换机不包含目的MAC地址的主机表项时,认为是未知单播流量。当交换机中没有组播组表项时,认为是未知的组播流量/接口桥接MDB菜单。风暴控制设置应应用于入口端口,出口流量将受到限制。
风暴控制参数以链路速率的百分比(%)指定。如果您的链路速度是1Gbps,那么指定storm-rate作为10将只允许转发100Mbps的广播、未知组播和/或未知单播流量。
子菜单:/interface以太网交换机端口
| 财产 | 描述 |
|---|---|
| limit-broadcasts(是|否;默认值:是的) | 限制交换机端口上的广播流量。 |
| limit-unknown-multicasts(是|否;默认值:没有) | 限制交换机端口上未知的组播流量。 |
| limit-unknown-unicasts(是|否;默认值:没有) | 限制交换机端口上的未知单播流量。 |
| storm-rate(100整数0 . .;默认值:One hundred.) | 广播,未知组播和/或未知单播流量的数量被限制在链路速度的百分比。 |
使用Marvell-98DX3236交换芯片的设备无法区分未知组播流量和所有组播流量。例如,CRS326-24G-2S+将限制所有组播流量limit-unknown-multicasts和storm-rate使用。对于其他设备,如CRS317-1G-16S+limit-unknown-multicasts参数将只限制未知的多播流量(地址)/interface bridge mdb)。
例如,要在ether1 (1Gbps)上限制1% (10Mbps)的广播和未知单播流量,请使用以下命令:
/interface以太网交换机端口set ether1 storm-rate=1 limit-broadcasts=yes limit-unknown-unicasts=yes
MPLS硬雷竞技官网网站下载件卸载
由于Routl雷竞技erOS v6.41可以将某些MPLS功能卸载到交换芯片上,因此为了实现硬件卸载,交换机必须是PE-P-PE设置中的(P)提供商路由器。雷竞技官网网站下载中提供了一个设置示例MPLS基本配置示例手册页。只有将L雷竞技官网网站下载DP接口配置为物理交换机接口(如以太网、SFP、SFP+)时,才会进行硬件卸载。
目前只CRS317-1G-16S +和CRS309-1G-8S +使用Routl雷竞技erOS v6.41及更新版本的路由器能够硬件卸载某些MPLS功能。雷竞技官网网站下载CRS317-1G-16S +和CRS309-1G-8S +内置交换芯片不能从数据包中弹出MPLS标签,在PE-P-PE设置中,您必须使用显式null或禁用MPLS网络中的TTL传播来实现硬件卸载。雷竞技官网网站下载
从RouterOS雷竞技官网网站下载 v7开始取消MPLS硬件卸载功能。l雷竞技
交换机规则(ACL)
访问控制列表包含入口策略引擎和出口策略引擎。看到这个表每个设备支持多少条规则。它是一种基于Layer2、Layer3和Layer4协议头字段条件进行线速包过滤、转发和修改的高级工具。
对每个接收到的数据包检查ACL规则,直到找到匹配项。如果有多个规则可以匹配,那么只有第一个规则会被触发。不带动作参数的规则是接受报文的规则。
当交换机ACL规则被修改(例如添加、删除、禁用、启用或移动)时,现有的交换机规则将在短时间内处于非活动状态。在修改ACL规则的过程中,可能会导致部分报文泄漏。
子菜单:/interface以太网交换机规则
| 财产 | 描述 |
|---|---|
| copy-to-cpu(否|是;默认值:没有) | 克隆匹配的数据包并将其发送给CPU。 |
| 禁用(是|否;默认值:没有) | 启用或禁用ACL表项。 |
| dscp(63年0 . .) | 报文的DSCP匹配字段。 |
| dst-address(IP地址/掩码) | 匹配目的IP地址和掩码,也匹配ARP报文中的目的IP。 |
| dst-address6(IPv6地址/掩码) | 匹配目的IPv6地址和掩码,同时匹配ARP报文中的源IP地址。 |
| dst-mac-address(MAC地址/面具) | 匹配目的MAC地址和掩码。 |
| dst-port(65535年0 . .) | 匹配目的协议端口号。 |
| flow-label(0 . . 1 - 1048575) | 匹配IPv6流标签。 |
| mac-protocol(802.2 | arp | home - plug-av | IP | ipv6 | ipx | LLDP | loop-protect | mpls-multicast | mpls-unicast | packing-compr | packing-simple | pppoe | pppoe-discovery | rarp | service-vlan | vlan | or 0..65535 |或0x0000-0xffff) | 匹配由协议名或协议号指定的特定MAC协议 |
| 镜子(否|是) | 克隆匹配的数据包并将其发送到镜像目标端口。 |
| new-dst-ports(港口) | 更改指定的目标端口。空设置将丢弃数据包。指定的端口将数据包重定向到该端口。当不使用该参数时,报文将被接受。不支持多个new-dst-ports。 |
| new-vlan-id(4095年0 . .) | 将VLAN ID修改为指定的值。需要vlan-filtering = yes. |
| new-vlan-priority(0 . . 7) | 修改VLAN的优先级(优先码点)。需要vlan-filtering = yes. |
| 港口(港口) | 匹配接收到的流量将应用规则的端口。 |
| 协议(DCCP | DDP | egp | encap | etherip | GGP | gre | HMP | icmp | icmpv6 | idp - ctp | igmp | ipencap | ipip | ipsec-ah | ipsec-esp | ipv6 | ipv6-frag | ipv6-nonxt | ipv6-opts | ipv6-route | iso-tp4 | l2tp | ospf | pim | pup | RDP | RSPF | RSVP | SCTP | st | TCP | udp | udp-lite | VMTP | VRRP | xns-idp | XTP | 0..255) | 匹配由协议名或协议号指定的特定IP协议。 |
| 率(0 . . 1 - 4294967295) | 设置匹配流量的入网限制(每秒位数)。 |
| redirect-to-cpu(否|是) | 将匹配报文的目的端口修改为CPU。 |
| src-address(IP地址/掩码) | 匹配源IP地址和掩码。 |
| src-address6(IPv6地址/掩码) | 匹配源IPv6地址和掩码。 |
| src-mac-address(MAC地址/面具) | 匹配源MAC地址和掩码。 |
| src-port(65535年0 . .) | 匹配源协议端口号。 |
| 开关(开关组) | 规则适用的匹配开关组。 |
| 流量类别(255年0 . .) | 匹配IPv6流分类。 |
| vlan id(4095年0 . .) | 匹配VLAN ID。需要vlan-filtering = yes. |
| vlan-header(Not-present /现在) | 匹配VLAN头,VLAN头是否存在。需要vlan-filtering = yes. |
| vlan-priority(0 . . 7) | 匹配VLAN优先级(优先码点)。 |
操作参数:
- copy-to-cpu
- redirect-to-cpu
- 镜子
- New-dst-ports(可用于丢弃数据包)
- new-vlan-id
- new-vlan-priority
- 率
Layer2条件参数:
- dst-mac-address
- mac-protocol
- src-mac-address
- vlan id
- vlan-header
- vlan-priority
Layer3条件参数:
- dscp
- 协议
- IPv4条件:
- dst-address
- src-address
- IPv6条件:
- dst-address6
- flow-label
- src-address6
- 流量类别
Layer4条件参数:
- dst-port
- src-port
VLAN相关匹配器或VLAN相关动作参数需要启用vlan-filtering并确保在这些端口上启用了硬件卸载,否则,这些参数将不起任何作用。雷竞技官网网站下载
当桥接界面ether-type设为0 x8100,则与VLAN相关的ACL规则0 x8100(CVID)数据包,这包括vlan id和new-vlan-id.当桥接界面ether-type设为0 x88a8,则ACL规则与0 x88a8(SVID)包。
港口安全
可以限制单个交换机端口上允许的MAC地址。例如,允许64:D1:54:81:EF:8E交换机端口的MAC地址。在本例中,首先将多个端口交换在一起[64] D1:54:81:EF:8E将位于后面ether1.
创建一个ACL规则,允许给定的MAC地址,并丢弃所有其他流量ether1(对于入口流量):
/interface以太网交换机rule add ports=ether1 src-mac-address=64:D1:54:81:EF:8E/FF:FF:FF:FF:FF:FF:FF switch=switch1 add new-dst-ports="" ports=ether1 switch=switch1
将所有需要的端口开关在一起,禁用MAC学习并禁用未知单播泛洪ether1:
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether1 hw=yes learn=no unknown-unicast-flood=no add bridge=bridge1 interface=ether2 hw=yes
添加静态主机条目64: D1:54:81: EF: 8 e(出口交通):
/interface bridge host add bridge=bridge1 interface=ether1 mac-address=64:D1:54:81:EF:8E
广播通信仍将从ether1.当需要限制广播流量在网桥端口上泛滥时,可以使用broadcast-flood参数来切换它。请注意,有些协议依赖于广播流量,例如流协议和DHCP。
双启动
“双启动”功能允许您选择在CRS3xx系列交换机、RouterOS或SwOS上使用哪种操作系统。l雷竞技设备操作系统可以使用:
- 命令行(
/system ios版雷竞技官网入口routerboard Settings set boot-os=swos) - Winbox
- Webfig
- 串行控制台
关于SwOS的更多细节描述如下:SwOS手册
通过RouterOS配置SwOSl雷竞技
从Routel雷竞技rOS 6.43开始,可以通过RouterOS加载、保存和重置SwOS配置,也可以升级SwOS,为CRS3xx系列交换机配置IP地址。
- 使用以下命令保存配置
/system swos save-config
配置将保存在与swos.config作为文件名,请确保从设备上下载该文件,因为重新启动后配置文件将被删除。
- 加载配置
/system swos load-config - 使用
/system swos密码 - 使用
/system swos reset-config - 从RouterOS升级SwOSl雷竞技
/system swos upgrade
升级命令将自动安装最新可用的SwOS主备份版本,请确保您的设备可以访问Internet,以便升级过程正常工作。当设备启动到SwOS时,版本号将包含字母“p”,表示主备份版本。然后,您可以从SwOS“Upgrade”菜单中安装最新可用的SwOS辅助主版本。
| 财产 | 描述 |
|---|---|
| address-acquisition-mode(Dhcp-only | dhcp-with-fallback | static;默认值:dhcp-with-fallback) | 更改地址获取方法: dhcp-only-只通过DHCP客户端获取地址 dhcp-with-fallback-前10秒将尝试通过DHCP客户端获取地址。如果请求不成功,则地址返回为静态,如静态ip地址财产 静态- address按照定义设置静态ip地址财产 |
| allow-from(IP /掩码;默认值:0.0.0.0/0) | 可访问交换机的IP地址或网络。缺省情况下,任何IP地址都可以访问交换机。 |
| allow-from-ports(名字;默认值:) | 可访问设备的交换机端口列表。缺省情况下,允许所有端口访问交换机 |
| allow-from-vlan(整数:0 . . 4094;默认值:0) | 可访问设备的VLAN ID。缺省情况下,允许配置所有vlan |
| 身份(名字;默认值:雷竞技网站) | 交换机名称(用于microktik邻居发现协议)雷竞技网站 |
| 静态ip地址(知识产权;默认值:192.168.88.1) | 交换机的IP地址address-acquisition-mode被设置为dhcp-with-fallback或静态的。通过配置静态IP地址,不会改变地址获取的进程,即默认为带回退的DHCP。这意味着配置的静态IP地址只有在同一广播域中没有DHCP服务器时才会激活 |
另请参阅
概述
内容的工具