简介
routerboard上有几种类型的开关芯片,它们有不同的功能。ios版雷竞技官网入口大多数(从现在开始的“其他”)只有基本的“端口切换”功能,但有一些功能更多:
| 功能 | QCA8337 | Atheros8327 | Atheros8316 | Atheros8227 | Atheros7240 | ICPlus175D | MT7621 | RTL8367 | 88年e6393x | 88年e6191x | 98年px1012 | 其他 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 端口切换 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 没有 | 是的 |
| 端口镜像 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 没有 | 没有 |
| TX限制1 | 是的 | 是的 | 是的 | 是的 | 是的 | 没有 | 是的 | 是的 | 是的 | 是的 | 没有 | 没有 |
| RX限制1 | 是的 | 是的 | 没有 | 没有 | 没有 | 没有 | 是的 | 是的 | 是的 | 是的 | 没有 | 没有 |
| 主机表 | 2048个条目 | 2048个条目 | 2048个条目 | 1024个条目 | 2048个条目 |
2048个条目2 |
2048个条目 | 2048个条目 | 16 k条目 | 16 k条目 | 没有 | 没有 |
| Vlan表 | 4096个条目 | 4096个条目 | 4096个条目 | 4096个条目 | 16个条目 | 没有 | 4096个条目3. | 4096个条目3. | 4096个条目3. | 4096个条目3. | 没有 | 没有 |
| 规则表 | 92条规则 | 92条规则 | 32个规则 | 没有 | 没有 | 没有 | 没有 | 没有 | 256 | 没有 | 没有 | 没有 |
笔记
- 对于QCA8337,动脉粥样硬化8327,动脉粥样硬化8316,动脉粥样硬化8227和动脉粥样硬化7240,Tx/Rx速率限制可以通过
带宽属性“/以太网接口”菜单,请参阅以太网手册.对于RTL8367, 88E6393X, 88E6191X和MT7621的Tx/Rx速率限制可以更改egress-rate而且ingress-rate属性”/interface以太网交换机端口”菜单。 - MAC地址学习到指定的数量,但RouterOS中没有交换机主机表的内容,不支持静态主机配置。l雷竞技
- 桥HW vlan-filtering被添加到RouterOSl雷竞技7.1rc1(用于RTL8367)和7.1rc5(用于MT7621)版本.交换机不支持其他
ether-type0x88a8或0x9100(只支持0x8100)和否tag-stacking.使用这些特性将禁用HW卸载。
云路由器交换机(CRS)系列设备内置了高度先进的交换芯片,支持多种功能。有关CRS1xx/CRS2xx系列设备上开关芯片功能的更多详细信息,请参阅CRS1xx / CRS2xx系列开关手册,对于CRS3xx系列设备检查CRS3xx、CRS5xx系列交换机和CCR2116、CCR2216路由器手册。
| ios版雷竞技官网入口 | Switch-chip描述 |
|---|---|
| RB5009系列 | 88 e6393x (ether1-ether8 sfp-sfpplus1) |
| CCR2004-16G-2S + | 88年e6191x (ether1-ether8);88年e6191x (ether9-ether16); |
| RB4011iGS + | RTL8367 (ether1-ether5);RTL8367 (ether6-ether10); |
| RB1100AHx4 | RTL8367 (ether1-ether5);RTL8367 (ether6-ether10);RTL8367 (ether11-ether13) |
| RB750Gr3 (hEX), RB760iGS (hEX S) | MT7621 (ether1-ether5) |
| RBM33G | MT7621 (ether1-ether3) |
| RB3011系列 | QCA8337 (ether1-ether5);QCA8337 (ether6-ether10) |
| RB OmniTik ac系列 | QCA8337 (ether1-ether5) |
| RBwsAP-5Hac2nD (sap ac lite) | Atheros8227 (ether1-ether3) |
| RB941-2nD (hAP lite) | Atheros8227 (ether1-ether4) |
| RB951Ui-2nD (hAP);RB952Ui-5ac2nD (hAP ac lite);RB750r2(十六进制lite);RB750UPr2 (hEX PoE lite);RB750P-PBr2 (PowerBox);RB750P r2;RBOmniTikU-5HnDr2 (OmniTIK 5);RBOmniTikUPA-5HnDr2 (OmniTIK 5 PoE) | Atheros8227 (ether1-ether5) |
| RB750Gr2(十六进制);RB962UiGS-5HacT2HnT (hAP交流);RB960PGS(十六进制坡);RB960PGS-PB (PowerBox Pro) | QCA8337 (ether1-ether5) |
| RB953GS | Atheros8327 (ether1-ether3 + sfp1只能) |
| RB850Gx2 | 动脉粥样硬化8327 (ether1-ether5), ether1可选 |
| RB2011系列 | Atheros8327 (ether1-ether5 + sfp1只能);Atheros8227 (ether6-ether10) |
| RB750GL;RB751G-2HnD;RB951G-2HnD;RBD52G-5HacD2HnD (hAP ac²),RBD53iG-5HacD2HnD (hAP ac³),RBD53GR-5HacD2HnD&R11e-LTE6 (hAP ac³LTE6 kit), RBD53G-5HacD2HnD-TC&EG12-EA (Chateau LTE12) |
Atheros8327 (ether1-ether5) |
| RBcAPGi-5acD2nD (cAP ac), RBwAPGR-5HacD2HnD (wAP ac和wAP ac LTE系列),RBwAPG-5HacD2HnD (wAP ac), RBD25G-5HPacQD2HPnD (Audience), RBD25GR-5HPacQD2HPnD&R11e-LTE6 (Audience LTE6 kit), |
Atheros8327 (ether1-ether2) |
| rbd22ug - 5hpacd2hnd (mANTBox 52 15s) | Atheros8327 (ether1-sfp1) |
| RB1100AH | Atheros8327 (ether1-ether5);Atheros8327 (ether6-ether10) |
| RB1100AHx2 | Atheros8327 (ether1-ether5);Atheros8327 (ether6-ether10) |
| CCR1009-8G-1S-1S +;CCR1009-8G-1S | Atheros8327 (ether1-ether4) |
| RB493G | Atheros8316 (ether1 + ether6-ether9);Atheros8316 (ether2-ether5) |
| RB435G | 动脉粥样硬化8316 (ether1-ether3), ether1可选 |
| RB450G | 动脉粥样硬化8316 (ether1-ether5), ether1可选 |
| RB450Gx4 | Atheros8327 (ether1-ether5) |
| RB433GL | Atheros8327 (ether1-ether3) |
| RB750G | Atheros8316 (ether1-ether5) |
| RB1200 | Atheros8316 (ether1-ether5) |
| RB1100 | Atheros8316 (ether1-ether5);Atheros8316 (ether6-ether10) |
| 盘Lite5 | Atheros8227 (ether1) |
| RBmAP2nD | Atheros8227 (ether1-ether2) |
| RBmAP2n | Atheros7240 (ether1-ether2) |
| RB750 | Atheros7240 (ether2-ether5) |
| RB750UP | Atheros7240 (ether2-ether5) |
| RB751U-2HnD | Atheros7240 (ether2-ether5) |
| RB951-2n | Atheros7240 (ether2-ether5) |
| RB951Ui-2HnD | Atheros8227 (ether1-ether5) |
| RB433系列 | ICPlus175D (ether2-ether3);旧型号的ICPlus175C |
| RB450 | ICPlus175D (ether2-ether5);旧型号的ICPlus175C |
| RB493系列 | ICPlus178C (ether2-ether9) |
| RB816 | ICPlus178C (ether1-ether16) |
命令行配置在交换机下面菜单。该菜单包含系统中所有开关芯片的列表以及一些子菜单。
[admin@雷竞技网站MikroTik] > /interface以太网交换机打印标志:I - invalid # NAME TYPE MIRROR-SOURCE MIRROR-TARGET switch - all - ports 0 switch1动脉粥样斑块-8327 none none 1 switch2动脉粥样斑块-8227 none none
根据交换机类型的不同,可能存在可用或不可用的某些配置功能。
特性
端口切换
为了在非crs系列设备上设置端口切换,请检查桥硬件卸载雷竞技官网网站下载页面。
RouterOS v6.41及更新版l雷竞技本的端口交换是通过桥接配置完成的。在RouterOSl雷竞技 v6.41之前,端口切换是使用master-port财产。
交换机所有端口特性
RB450G/RB435G/RB850Gx2设备上的Ether1端口具有允许将其删除/添加到默认交换机组的特性,该设置可在/接口以太网交换机菜单。默认情况下,ether1端口将包含在交换机组中。
| 财产 | 描述 |
|---|---|
| switch-all-ports(没有|是的;默认值:是的) | 仅在RB450G/RB435G/RB850Gx2设备上更改ether1开关组。
|
端口镜像
端口镜像允许交换机复制所有进出一个端口的流量(mirror-source)并将这些复制的帧发送到其他端口(mirror-target).这个功能可以用来轻松地设置一个“tap”设备,接收所有进出特定端口的流量。请注意,mirror-source而且mirror-target端口必须属于同一个交换机(查看哪个端口属于哪个交换机)/以太网接口菜单)。此外,镜像目标可以有一个特殊的'cpu的值,这意味着镜像数据包应该被发送到交换机芯片的CPU端口。端口镜像独立于已经或尚未建立的交换组发生。
子菜单:/接口以太网交换机
| 财产 | 描述 |
|---|---|
| mirror-source(名字|没有;默认值:没有一个) | 选择单个镜像源端口。入口和出口的流量会被发送到 |
| mirror-target(名称|无| CPU;默认值:没有一个) | 选择单个镜像目标端口。镜像包从 |
| mirror-egress-target(名字|没有;默认值:没有一个) | 选择单个镜像出口目标端口,仅在88年e6393x而且88年e6191x开关芯片。镜像包从 |
子菜单:/interface以太网交换机规则
| 财产 | 描述 |
|---|---|
| 镜子(没有|是的;默认值:没有) | 是否将包副本发送到mirror-target端口。 |
| mirror-ports(的名字;默认值:) | 选择多个镜像目标端口,仅在88年e6393x开关芯片。ACL规则中匹配的报文将被复制发送到指定的端口。 |
子菜单:/interface以太网交换机主机
| 财产 | 描述 |
|---|---|
| 镜子(没有|是的;默认值:没有) | 是否发送帧副本到mirror-target端口的MAC目的地址匹配(对于CRS3xx系列交换机,目的地址或源地址匹配) |
子菜单:/interface以太网交换机端口
| 财产 | 描述 |
|---|---|
| mirror-egress(没有|是的;默认值:没有) | 是否发送出报文副本到 |
| mirror-ingress(没有|是的;默认值:没有) | 是否将入接口包副本发送到 |
| mirror-ingress-target(名字|没有;默认值:没有一个) | 选择单个镜像入口目标端口,仅在88年e6393x而且88年e6191x开关芯片。镜像包从 |
端口镜像配置举例:
/interface以太网交换机set switch1 mirror-source=ether2 mirror-target=ether3
如果您将镜像-源设置为一个至少有两个交换芯片的设备的以太网端口,并且这些镜像-源端口位于一个网桥中,而两个交换芯片的镜像-目标设置为将数据包发送到CPU,那么这将导致一个循环,这可能使您的设备无法访问。
端口设置
此菜单下的属性用于为支持VLAN Table的交换芯片配置VLAN交换和过滤选项。这些属性只对支持VLAN表的交换芯片可用,请检查开关芯片功能表,以确保您的设备支持这样的功能。
进入的流量被认为是正在发送的流量在一个特定的端口,这个端口有时被称为进入港口.出口流量被认为是正在发送的流量出对于某一港口,这个港口有时被称为出口港口.为了正确地设置VLAN过滤,区分它们是非常重要的,因为有些属性只适用于入口或出口流量。
| 财产 | 描述 |
|---|---|
| vlan-mode(检查|禁用|回退|安全;默认值:禁用) | 修改VLAN查找机制VLAN表对入口流量。
|
| vlan-header(Add-if-missing | always-strip | leave-as-is;默认值:leave-as-is) | 设置在端口上为出口流量执行的操作。
|
| default-vlan-id(自动| integer: 0..4095;默认值:汽车) | 在一个端口的所有未带标签的入口流量上添加带有指定VLAN ID的VLAN标签,应该与vlan-header设置为always-strip在端口上配置该端口为访问端口。混合的港口default-vlan-id用于标记未标记的流量。如果两个端口相同default-vlan-id,则不添加VLAN标签,因为交换机芯片认为流量是在接入端口之间转发的。 |
在QCA8337而且Atheros8327切换芯片,默认设置vlan-header = leave-as-is应该使用财产。开关芯片将通过使用。来确定哪些端口是访问端口default-vlan-id财产。的default-vlan-id应该只在访问/混合端口上使用,以指定未标记的入口流量分配到哪个VLAN。
VLAN表
VLAN表为带有特定802.1Q标签的报文指定了一些转发规则。这些规则的优先级高于使用桥硬件卸载雷竞技官网网站下载特性。基本上,该表包含将特定的VLAN tag id映射到一个或多个端口组的条目。带VLAN标签的数据包通过相应表项中设置的一个或多个端口离开交换机芯片。控制如何处理带有VLAN标记的数据包的确切逻辑由一个vlan-mode每个交换机端口可更改的参数。
基于VLAN ID转发会考虑动态学习到的MAC地址或手工添加到主机表中的MAC地址。QCA8337和动脉粥样8327交换芯片还支持独立VLAN学习(IVL), IVL同时基于MAC地址和VLAN id进行学习,从而允许同一个MAC在多个VLAN中使用。
不带VLAN标签的数据包就像带端口的VLAN标签一样default-vlan-id.如果vlan-mode =检查或vlan = =安全模式时,为了转发不带VLAN标签的报文,必须根据default-vlan-id.
| 财产 | 描述 |
|---|---|
| 禁用(没有|是的;默认值:没有) | 启用或禁用交换机VLAN表项。 |
| 自主学习(没有|是的;默认值:是的) | 是SVL (shared-VLAN-learning)还是IVL (independent-VLAN-learning) ? |
| 港口(的名字;默认值:没有一个) | 对应VLAN的接口成员列表。此设置接受逗号分隔的值。如。港口= ether1 ether2. |
| 开关(的名字;默认值:没有一个) | 交换机名称对应的VLAN条目。 |
| vlan id(整数:0 . . 4095;默认值:) | 交换机端口配置的VLAN ID。 |
设备与MT7621,RTL8367,88年e6393x,88年e6191x开关芯片支持HW卸载vlan-filtering在Rol雷竞技uterOS v7。“/interface ethernet switch”菜单下的vlan相关配置不可用。
VLAN转发
这两个vlan-mode而且vlan-header除了VLAN表可以用来配置VLAN的标签,取消标签和过滤,还有多种可能的组合,每一种都可以实现不同的结果。在下面的表格中,您可以看到当每种VLAN模式的入口端口接收到特定的流量时,什么样的流量将通过出口端口发送出去。
注:
- l-
vlan-header被设置为leave-as-is - 年代-
vlan-header设置为always-strip - 一个-
vlan-header设置为add-if-missing - U—发送未标记的流量
- T—带标签的流量发送出去时,入接口上已经存在标签
- 助教—发送有标签的流量,入接口添加标签
- 迪—入接口的流量下降是由于入接口的模式选择vlan-mode
- 德—由于在VLAN表中找不到出口端口,导致出口端口流量下降
- VID匹配—VLAN表中包含入接口流量的VLAN标签中的VLAN ID
- 端口匹配- VLAN表中存在相应VLAN ID的入接口
| VLAN模式=禁用 | VLAN表中没有出口端口 | VLAN表中存在出口端口 | ||||
|---|---|---|---|---|---|---|
| l | 年代 | 一个 | l | 年代 | 一个 | |
| 未加标签的交通 | U | U | 助教 | U | U | 助教 |
| 标记的交通;没有视频匹配 | T | U | T | |||
| 标记的交通;VID匹配;没有端口匹配 | T | U | T | T | U | T |
| 标记的交通;VID匹配;端口匹配 | T | U | T | T | U | T |
| VLAN Mode = fallback | VLAN表中没有出口端口 | VLAN表中存在出口端口 | ||||
|---|---|---|---|---|---|---|
| l | 年代 | 一个 | l | 年代 | 一个 | |
| 未加标签的交通 | U | U | 助教 | U | U | 助教 |
| 标记的交通;没有视频匹配 | T | U | T | |||
| 标记的交通;VID匹配;没有端口匹配 | 德 | 德 | 德 | T | U | T |
| 标记的交通;VID匹配;端口匹配 | 德 | 德 | 德 | T | U | T |
| VLAN模式= check | VLAN表中没有出口端口 | VLAN表中存在出口端口 | ||||
|---|---|---|---|---|---|---|
| l | 年代 | 一个 | l | 年代 | 一个 | |
| 未加标签的交通 | ||||||
| 标记的交通;没有视频匹配 | 迪 | 迪 | 迪 | |||
| 标记的交通;VID匹配;没有端口匹配 | 德 | 德 | 德 | T | U | T |
| 标记的交通;VID匹配;端口匹配 | 德 | 德 | 德 | T | U | T |
| VLAN模式= secure | VLAN表中没有出口端口 | VLAN表中存在出口端口 | ||||
|---|---|---|---|---|---|---|
| l | 年代 | 一个 | l | 年代 | 一个 | |
| 未加标签的交通 | ||||||
| 标记的交通;没有视频匹配 | 迪 | 迪 | 迪 | |||
| 标记的交通;VID匹配;没有端口匹配 | 迪 | 迪 | 迪 | 迪 | 迪 | 迪 |
| 标记的交通;VID匹配;端口匹配 | 德 | 德 | 德 | T | U | T |
上面的表用于更高级的配置,并用于再次检查您自己对使用每个VLAN相关属性处理数据包的理解。
主机表
主机表表示交换机芯片的内部MAC地址到端口的映射。它可以包含两种类型的条目:动态的和静态的。自动添加动态表项,这也称为学习过程:当交换机芯片从某个端口收到报文时,它会将报文的源MAC地址和接收报文的端口添加到主机表中,这样当报文的目的MAC地址相同时,它就知道应该将报文转发到哪个端口。如果目的MAC地址没有出现在主机表中(所谓的未知单播流量),那么它将报文转发到组中的所有端口。动态表项的超时时间约为5分钟。学习只在配置为交换组一部分的端口上启用,所以如果没有设置端口交换,则不会看到动态项。此外,如果已经存在具有相同MAC地址的动态表项,则可以添加静态表项来接管动态表项。因为端口交换是使用带硬件卸载的网桥配置的,所以在一个表(网桥主机或交换机主机)上创建的任何静态条目都将作为动态雷竞技官网网站下载条目出现在另一个表上。在交换机主机表上添加一个静态条目将提供对更多功能的访问,这些功能是通过以下参数控制的:
| 财产 | 描述 |
|---|---|
| copy-to-cpu(没有|是的;默认值:没有) | 是否从MAC目的地址匹配的帧发送帧副本到交换机CPU端口(对于CRS3xx系列交换机,目的地址或源地址匹配) |
| 下降(没有|是的;默认值:没有) | 是否丢弃某个端口上接收到MAC源地址匹配的帧(对于CRS3xx系列交换机来说是目的地址匹配还是源地址匹配) |
| mac地址(MAC;默认值:00:00:00:00:00:00) | 主机的MAC地址 |
| 镜子(没有|是的;默认值:没有) | 是否发送帧副本到mirror-targetMAC目的地址匹配(对于CRS3xx系列交换机,目的地址或源地址匹配) |
| 港口(的名字;默认值:没有一个) | 接口名称、静态MAC地址可以映射到多个端口,包括交换机CPU端口 |
| redirect-to-cpu(没有|是的;默认值:没有) | 是否从MAC目的地址匹配的帧重定向到交换机CPU端口(对于CRS3xx系列交换机,目的地址或源地址匹配) |
| share-vlan-learned(没有|是的;默认值:没有) | 主机静态MAC地址查找是与SVL (shared-VLAN-learning)或IVL (independent-VLAN-learning)一起使用。SVL模式用于那些不支持IVL或IVL被禁用的VLAN表项(independent-learning=no) |
| 开关(的名字;默认值:没有一个) | 交换机名称MAC地址将被分配给它 |
| vlan id(整数:0 . . 4095;默认值:) | 静态添加MAC地址表项的VLAN ID |
每个交换芯片都有有限的MAC地址可以存储在芯片上,具体的主机表大小请参见介绍表。一旦一个主机表完全满了,可以使用不同的技术来处理这种情况,例如,交换机可以删除旧的条目为新的MAC地址腾出空间(在QCA-8337和动脉硬化-8327交换芯片上使用),另一种选择是简单地忽略新的MAC地址,只在超时后删除条目(在动脉硬化8316,动脉硬化8227,动脉硬化-7240,ICPlus175D和Realtek-RTL8367交换芯片上使用)。最后一个选项是前两个的组合——只允许一定数量的条目被更新,并保持其他主机部分直到超时(在MediaTek-MT7621开关芯片上使用)。这些技术不能通过配置来更改。
为当交换组上至少有一个硬件卸载的桥接端口处于活动状态时,switch-cpu端口将始终参与主机学习过程。雷竞技官网网站下载它将导致交换机-cpu端口从非hw卸载的接口学习MAC地址。当一个网桥包含HW和非HW卸载的接口时,这可能会导致包丢失。此外,当在同一个交换组上使用重复的MAC地址时,无论主机是否位于不同的逻辑网络上,都可能出现丢包。建议在所有交换机端口上使用HW卸载,或在所有交换机端口上禁用HW卸载。
规则表
规则表是一个非常强大的工具,允许基于L2、L3和L4协议报头字段条件进行线速包过滤、转发和VLAN标记。菜单包含一个有序的规则列表,就像在/ ip防火墙过滤因此,ACL规则将对每个包进行检查,直到找到匹配为止。如果有多个可以匹配的规则,那么只会触发第一个规则。没有任何动作参数的规则是接受数据包的规则。
每个规则都包含一个条件部分和一个操作部分。动作部分由以下参数控制:
| 财产 | 描述 |
|---|---|
| copy-to-cpu(没有|是的;默认值:没有) | 是否发送包副本到交换机CPU端口 |
| 镜子(没有|是的;默认值:没有) | 是否将包副本发送到mirror-target港口 |
| new-dst-ports(的名字;默认值:没有一个) | 根据指定更改目标端口,允许多个端口,包括交换机CPU端口。空设置将丢弃包。当不使用此参数时,该报文将被接受 |
| new-vlan-id(整数:0 . . 4095) | 将VLAN ID更改为指定的值,或者如果没有VLAN标记,则添加一个新的VLAN标记(此属性仅应用于Atheros8316开关芯片) |
| new-vlan-priority(整数:0 . . 7) | 更改VLAN优先级字段(优先级代码点) |
| 率(整数:0 . . 1 - 4294967295) | 为匹配的流量设置入口流量限制(比特/秒),只能应用到前32个规则槽位(该属性仅应用于Atheros8327 / QCA8337开关芯片) |
| redirect-to-cpu(没有|是的;默认值:没有) | 将匹配报文的目的端口更改为交换机CPU |
条件部分由其余参数控制:
| 财产 | 描述 |
|---|---|
| 禁用(没有|是的;默认值:没有) | 启用或禁用开关规则 |
| dscp(整数:0 . . 63) | 匹配报文的DSCP字段 |
| dst-address(IP地址/掩码) | 目的IP地址和掩码匹配 |
| dst-address6(IPv6地址/掩码) | 目的IPv6地址和掩码匹配 |
| dst-mac-address(MAC地址/面具) | 目的MAC地址和掩码匹配 |
| dst-port(整数:65535年0 . .) | 匹配的目的协议端口号或范围 |
| flow-label(整数:0 . . 1 - 1048575) | 匹配IPv6流标签 |
| mac-protocol(802.2 | arp | homeplug-av | IP | ipv6 | ipx | LLDP | loop-protect | mpls-multicast | mpls-unicast | pack -compr | pack -simple | pppoe | pppoe-discovery | rarp | service-vlan | vlan | or 0..65535 |或0x0000-0xffff) | 匹配由协议名或协议号指定的特定MAC协议(如果有则跳过VLAN标记) |
| 港口(的名字) | 接收到的流量应用规则的接口名称,允许多个端口 |
| 协议(DCCP | DDP | egp | encap | GGP | gre | HMP | icmp | icmpv6 | idpr-cmtp | igmp | ipencap | ipb13 ipsec-ah | ipsec-esp | ipv6 | ipv6-frag | ipv6-nonxt | ipv6-opts | ipv6-route | l2tp | ospf | pim | pup | RDP | RSPF | RSVP | SCTP | udp-lite | VMTP | VRRP | xns-idp | XTP | or 0..255) | 匹配指定协议名称或协议号的特定IP协议 |
| src-address(IP地址/掩码) | 匹配源IP地址和掩码 |
| src-address6(IPv6地址/掩码) | 匹配源IPv6地址和掩码 |
| src-mac-address(MAC地址/面具) | 匹配源MAC地址和掩码 |
| src-port(65535年0 . .) | 匹配源协议端口号或范围 |
| 开关(开关组) | 匹配应用规则的开关组 |
| 流量类别(255年0 . .) | 匹配IPv6流类 |
| vlan id(4095年0 . .) | 匹配VLAN ID(该属性只适用于Atheros8316、Atheros8327 QCA8337开关芯片) |
| vlan-header(非当前|现在) | 匹配VLAN头,无论VLAN头是否存在(该属性只适用于the动脉粥样8316、动脉粥样8327、QCA8337开关芯片) |
| vlan-priority(0 . . 7) | 匹配VLAN优先级(优先级编码点) |
IPv4和IPv6特定的条件不能出现在同一个规则中。
由于规则表是完全在交换芯片硬件中处理的,所以您可能拥有的规则数量是有限的。雷竞技官网网站下载根据您在规则中使用的条件的数量(MAC层、IP层、IPv6、L4层),对于动脉粥样8316交换芯片,活动规则的数量可能从8到32个不等,对于动脉粥样8327/QCA8337交换芯片,活动规则的数量可能从24到96个不等,对于88E6393X交换芯片,活动规则的数量可能从42到256个不等。你总是可以/interface以太网交换机规则打印在修改你的规则集后,看到没有规则在列表的末尾是“无效的”,这意味着那些规则不适合开关芯片。
端口隔离
端口隔离提供了划分(隔离)网络的某些部分的可能性,当您需要确保某些设备不能访问其他设备时,这可能是有用的,这可以通过隔离交换机端口来实现。端口隔离只在属于同一交换机成员的端口之间起作用。自RouterOS v6.43以来,所有交换机芯片上都支持交换机端口隔离。l雷竞技
| 财产 | 描述 |
|---|---|
| forwarding-override(接口;默认值:) | 强制将入接口的流量转发到指定的接口。多个接口可以用逗号分隔。 |
(R/M)STP只能在PVLAN环境中正常工作,(R/M)STP不能在有多个隔离的交换组的环境中正常工作,因为交换组可能无法正常接收bpdu,从而无法检测到网络环路。
的forwarding-override属性,该属性只对入口流量有影响。交换机端口没有forwarding-override指定的端口能够通过所有交换机端口发送数据包。
支持VLAN表的交换芯片(QCA8337,Atheros8327,Atheros8316,Atheros8227而且Atheros7240)可以在交换机端口上启用VLAN查找时覆盖端口隔离配置vlan-mode被设置为回退,检查或安全).如果需要在同一VLAN上的端口之间进行额外的端口隔离,则使用带有new-dst-ports属性可以实现。其他不支持switch规则的设备无法克服此限制。
专用VLAN
在某些场景下,您可能需要将所有流量转发到上行端口,而其他所有端口是相互隔离的。这种设置称为专用VLAN配置中,开关将所有以太网帧直接转发至上行端口,允许路由器过滤不需要的数据包,限制交换机端口后设备之间的访问。
若要配置交换机端口隔离,需要切换所有所需端口:
/interface bridge add name=bridge1 /interface bridge port add interface=sfp1 bridge=bridge1 hw=yes add interface=ether1 bridge=bridge1 hw=yes add interface=ether2 bridge=bridge1 hw=yes add interface=ether3 bridge=bridge1 hw=yes
缺省情况下,配置bridge接口protocol-mode设置为rstp.对于某些设备,这可能会禁用硬件卸载,因为特定的开关芯片不支持此功能。雷竞技官网网站下载看到桥硬件卸载雷竞技官网网站下载带有受支持特性的部分。
覆盖需要隔离的每个交换机端口(不包括上行端口)的出口端口:
/interface以太网交换机port-isolation set ether1 forwarding-override=sfp1 set ether2 forwarding-override=sfp1 set ether3 forwarding-override=sfp1 .输出说明
可以为单个交换机芯片设置多个上行端口,这可以通过指定多个接口并用逗号分隔。
隔离开关组
在某些情况下,您可能需要将一组设备与其他组隔离,这可以使用交换机端口隔离功能来完成。当您有多个网络,但您想使用单个交换机时,这很有用,通过端口隔离,您可以允许某些交换机端口仅通过一组交换机端口进行通信。在本例中,设备打开ether1-3将只能与打开的设备通信ether1-3,而设备开启ether4-5将只能与打开的设备通信ether4-5(ether1-3无法沟通ether4-5)
端口隔离仅在属于同一交换机成员的端口之间可用。
要配置独立的交换组,必须先交换所有端口:
/interface bridge add name=bridge /interface bridge port add bridge=bridge1 interface=ether1 hw=yes add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether3 hw=yes add bridge=bridge1 interface=ether4 hw=yes add bridge=bridge1 interface=ether5 hw=yes
缺省情况下,配置bridge接口protocol-mode设置为rstp.对于某些设备,这可能会禁用硬件卸载,因为特定的开关芯片不支持此功能。雷竞技官网网站下载看到桥硬件卸载雷竞技官网网站下载带有受支持特性的部分。
然后在forwarding-override属性要位于同一隔离开关组中的所有端口(应用该属性的端口除外),例如,要为其创建隔离开关组一个设备:
/interface以太网交换机port-isolation set ether1 forwarding-override=ether2,ether3 set ether2 forwarding-override=ether1,ether3 set ether3 forwarding-override=ether1,ether2 .输出说明
创建一个隔离的交换组B设备:
/interface以太网交换机port-isolation set ether4 forwarding-override=ether5 set ether5 forwarding-override=ether4 .输出说明
CPU流控制
所有的开关芯片都有一个被称为特殊端口switchX-cpu,这是一个交换芯片的CPU端口,它意味着从交换芯片转发流量到CPU,这样的端口是管理流量和路由功能所需要的。默认情况下,交换芯片确保这个特殊的CPU端口不拥塞,并在链路容量超过时发送Pause帧以确保端口没有过度饱和,这个特性被称为CPU流控制.如果没有这个特性,对于路由或管理目的可能至关重要的数据包可能会被丢弃。
从Routel雷竞技rOS v6.43开始,可以在一些使用以下开关芯片之一的设备上禁用CPU流量控制功能:动脉粥样硬化8227、QCA8337、动脉粥样硬化827、动脉粥样硬化7240或动脉粥样硬化8316。其他交换芯片默认启用此功能,不能更改。使用实例关闭CPU Flow Control功能。
/interface以太网交换机set switch1 cpu-flow-control=no . 1
统计数据
一些交换芯片能够报告统计数据,这对于监控有多少包从内置交换芯片发送到CPU是很有用的。这些统计数据还可以用于监视CPU流控制。你可以在下面找到一个开关芯片的统计数据的例子:
[admin@雷竞技网站MikroTik] > /以太网交换机接口打印数据名称:switch1 driver-rx-byte: 221 369 701 driver-rx-packet: 1 802 975 driver-tx-byte: 42 621 969 driver-tx-packet: 310 485 rx-bytes: 414 588 529 rx-packet: 2 851 236 rx-too-short: 0 rx-too-long: 0 rx-broadcast: 1 040 309 rx-pause: 0 rx-multicast: 486 321 rx-fcs-error: 0 rx-align-error: 0 rx-fragment: 0 rx-control: 0 rx-unknown-op: 0 rx-length-error: 0 rx-code-error: 0 rx-carrier-error: 0 rx-jabber: 0 rx-drop: 0 tx-bytes:44 071 621 tx-packet: 312 597 tx-too-short: 0 tx-too-long: 8 397 tx-broadcast: 2 518 tx-pause: 2 112 tx-multicast: 7 142 tx-excessive-collision: 0 tx-multiple-collision: 0 tx-single-collision: 0 tx-excessive-deferred: 0 tx-deferred: 0 tx-late-collision: 0 tx-total-collision: 0 tx-drop: 0 tx-jabber: 0 tx-fcs-error: 0 tx-control: 2 112 tx-fragment: 0 tx - rx - 64: 6 646 tx - rx - 65 - 127: 1 509 891 tx - rx - 128 - 255: 1 458 299 tx - rx - 256 - 511: 178 975 tx - rx - 512 - 1023: 953 tx - rx - 1024 - 1518: 672 tx - rx - 1519 -马克斯:0
有些设备有多个CPU核,这些CPU核通过单独的数据通道直接连接到内置的交换芯片上。这些设备可以报告哪个数据通道被用来从交换机芯片转发数据包到CPU端口。对于这样的设备,每一行都额外增加一行,第一行表示使用第一个数据通道发送的数据,第二行表示使用第二个数据线发送的数据,依此类推。你可以找到一个交换芯片的统计数据的例子,一个设备有多个数据通道连接CPU和内置交换芯片:
[admin@雷竞技网站MikroTik] > /interface以太网交换机print stats name: switch1 driver-rx-byte: 226 411 248 0 driver-rx-packet: 1 854 971 0 driver-tx-byte: 45 988 067 0 driver-tx-packet: 345 282 0 rx-bytes: 233 636 763 0 rx-packet: 1 855 018 0 rx-too-short: 0 0 rx-too- length: 0 0 rx-pause: 0 0 rx-fcs-error: 0 0 rx-overflow: 0 0 tx-bytes: 47 433 203 0 tx-packet: 345 282 0 tx-total-collision: 0 0 0
设置示例
在使用secure时,请确保已将所有需要的接口添加到VLAN表中vlan-mode.为了使路由功能在同一设备上通过secure端口正常工作vlan-mode,您需要允许从这些端口访问CPU,这可以通过将switchX-cpu接口本身添加到VLAN表来实现。可以在管理端口部分。
可以同时使用内置的交换芯片和CPU来创建一个switch - router设置,其中一个设备同时充当交换机和路由器。的配置示例中可以找到Switch-Router指南。
当允许对CPU的访问时,您允许从某个端口访问实际的路由器/交换机,这并不总是可取的。当允许从某个VLAN ID和端口访问CPU时,请确保您实施了适当的防火墙过滤规则来保护您的设备,使用防火墙过滤规则只允许访问某些服务。
设备与MT7621,RTL8367,88年e6393x,88年e6191x开关芯片支持HW卸载vlan-filtering在Rol雷竞技uterOS v7。“/interface ethernet switch”菜单下的vlan相关配置不可用。
VLAN示例1 (Trunk和Access端口)
ios版雷竞技官网入口带有Atheros交换芯片的routerboard可用于802.1Q中继。该特性在RouterOS v6中l雷竞技由QCA8337,动脉粥样硬化8316,动脉粥样硬化8327,动脉粥样硬化8227而且Atheros7240开关芯片。在这个例子中ether3,ether4而且ether5接口是访问端口,而ether2中继端口。每个接入端口对应的VLAN id为:ether3 - 400、ether4 - 300、ether5 - 200。
将需要的端口切换到一起:
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether3 hw=yes add bridge=bridge1 interface=ether4 hw=yes add bridge=bridge1 interface=ether5 hw=yes
缺省情况下,配置bridge接口protocol-mode设置为rstp.对于某些设备,这可能会禁用硬件卸载,因为特定的开关芯片不支持此功能。雷竞技官网网站下载看到桥硬件卸载雷竞技官网网站下载带有受支持特性的部分。
添加VLAN表项,允许端口之间有特定VLAN id的帧:
/interface以太网交换机vlan add ports=ether2,ether3 switch=switch1 vlan-id=200 add ports=ether2,ether4 switch=switch1 vlan-id=300 add ports=ether2,ether5 switch=switch1 vlan-id=400
分配vlan-mode而且vlan-header模式为每个端口和default-vlan-id在每个访问端口的入口:
/interface以太网交换机端口set ether2 vlan-mode=secure vlan-header=add-if-missing set ether3 vlan-mode=secure vlan-header=always-strip default-vlan-id=200 set ether4 vlan-mode=secure vlan-header=always-strip default-vlan-id=300 set ether5 vlan-mode=secure vlan-header=always-strip default-vlan-id=400
- 设置
vlan-mode =安全确保严格使用VLAN表。 - 设置
vlan-header = always-strip当VLAN报头离开交换芯片时,将从帧中删除。 - 设置
vlan-header = add-if-missingfor trunk端口为未标记帧添加VLAN报头。 default-vlan-id为接入端口的无标记入接口流量添加VLAN ID。
在QCA8337而且Atheros8327切换芯片,默认设置vlan-header = leave-as-is应该使用财产。开关芯片将通过使用。来确定哪些端口是访问端口default-vlan-id财产。的default-vlan-id应该只在访问/混合端口上使用,以指定未标记的入口流量分配到哪个VLAN。
VLAN样例2 (Trunk和Hybrid端口)
VLAN Hybrid端口,可以转发带标签和无标签的流量。只有部分千兆交换机芯片支持此配置(QCA8337, Atheros8327).
将需要的端口切换到一起:
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether3 hw=yes add bridge=bridge1 interface=ether4 hw=yes add bridge=bridge1 interface=ether5 hw=yes
缺省情况下,配置bridge接口protocol-mode设置为rstp.对于某些设备,这可能会禁用硬件卸载,因为特定的开关芯片不支持此功能。雷竞技官网网站下载看到桥硬件卸载雷竞技官网网站下载带有受支持特性的部分。
添加VLAN表项,允许端口之间通过指定VLAN id的帧。
/interface以太网交换机vlan add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=200 add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=300 add ports=ether2,ether3,ether4,ether5 switch=switch1 vlan-id=400
在交换机端口菜单集中vlan-mode在所有的港口和default-vlan-id对于规划的混合端口:
/interface以太网交换机端口set ether2 vlan-mode=secure vlan-header=leave-as-is set ether3 vlan-mode=secure vlan-header=leave-as-is default-vlan-id=200 set ether4 vlan-mode=secure vlan-header=leave-as-is default-vlan-id=300 set ether5 vlan-mode=secure vlan-header=leave-as-is default-vlan-id=400
vlan-mode =安全将确保严格使用VLAN表。default-vlan-id将为端口上未标记的入口流量定义VLAN。- 在QCA8337和动脉粥样硬化8327芯片中
vlan-mode =安全是使用,它忽略了交换机端口vlan-header选项。VLAN表项处理所有的出口标签/去标签,并作为vlan-header = leave-as-is在所有港口。它的意思是带着标签进来的东西,也带着标签出去的东西default-vlan-id帧在出口端口没有标记。
管理访问配置
在这些示例中,将展示多个场景的示例,但每个场景都要求您有交换端口。下面你可以找到如何切换多个端口:
/interface bridge add name=bridge1 /interface bridge port add interface=ether1 bridge=bridge1 hw=yes add interface=ether2 bridge=bridge1 hw=yes
缺省情况下,配置bridge接口protocol-mode设置为rstp.对于某些设备,这可能会禁用硬件卸载,因为特定的开关芯片不支持此功能。雷竞技官网网站下载看到桥硬件卸载雷竞技官网网站下载带有受支持特性的部分。
在这些例子中,我们将假设ether1中继端口和ether2为访问端口,配置如下:
/interface以太网交换机端口set ether1 vlan-header=add-if-missing set ether2 default-vlan-id=100 vlan-header=always-strip /interface以太网交换机vlan add ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=100
标记
为了使设备只能被某一个VLAN访问,需要在桥接接口上新建一个VLAN接口,并为其指定IP地址:
/interface vlan add name=MGMT vlan-id=99 interface=bridge1 /ip address add address=192.168.99.1/24 interface=MGMT . /
指定允许从哪些接口访问设备:
/interface以太网交换机vlan add ports=ether1,switch1-cpu switch=switch1 vlan-id=99
只在这个VLAN表条目中指定trunk端口,不可能允许通过access端口访问带标记流量的CPU,因为access端口将用指定的标记所有入口流量default-vlan-id价值。
配置VLAN表时,可以使能vlan-mode =安全限制对CPU的访问:
/interface以太网交换机端口set ether1 vlan-header=add-if-missing vlan-mode=secure set ether2 default-vlan-id=100 vlan-header=always-strip vlan-mode=secure set switch1-cpu vlan-header=leave-as-is vlan-mode=secure
未加标签的
为了使接入端口能够访问设备,需要创建一个VLAN接口,该VLAN ID与中设置的VLAN ID一致default-vlan-id例如VLAN 100,添加IP地址:
/interface vlan add name=VLAN100 vlan-id=100 interface=bridge1 /ip address add address=192.168.100.1/24 interface=VLAN100
指定哪些访问(untagged)端口被允许访问CPU:
/interface以太网交换机vlan add ports=ether1,ether2,switch1-cpu switch=switch1 vlan-id=100
最常见的是,一个访问(无标记)端口伴随着一个中继(有标记)端口。在不带标记的访问CPU的情况下,你必须同时指定访问端口和中继端口,这样也可以从中继端口访问CPU。这并不总是需要的,在VLAN过滤之上可能需要防火墙。
配置VLAN表时,可以使能vlan-mode =安全限制对CPU的访问:
/interface以太网交换机端口set ether1 vlan-header=add-if-missing vlan-mode=secure set ether2 default-vlan-id=100 vlan-header=always-strip vlan-mode=secure set switch1-cpu vlan-header=leave-as-is vlan-mode=secure
在设备上使用无标记的流量来设置管理端口Atheros7240开关芯片,你将需要设置vlan-header = add-if-missing为CPU端口。
未标记从标记端口
允许从无标记流量的trunk(有标记的)端口访问设备是可能的。为此,需要在网桥接口上分配一个IP地址:
/ip address add address=10.0.0.1/24 interface=bridge1
指定允许哪些端口访问CPU。使用vlan id用在default-vlan-id对于switch-cpu和trunk端口,默认设置为0或1。
/interface以太网交换机vlan add ports=ether1,switch1-cpu switch=switch1 vlan-id=1
配置VLAN表时,可以使能vlan-mode =安全限制对CPU的访问:
/interface以太网交换机端口set ether1 default-vlan-id=1 vlan-header=add-if-missing vlan-mode=secure set switch1-cpu default-vlan-id=1 vlan-header=leave-as-is vlan-mode=secure
的设备不可能使用此配置示例Atheros8316而且Atheros7240开关芯片。设备与QCA8337而且Atheros8327开关芯片是可以使用任何其他default-vlan-id只要在交换机-cpu和中继端口上保持相同。设备与Atheros8227开关芯片只default-vlan-id = 0可以使用和中继端口必须使用vlan-header = leave-as-is.
vlan之间的路由
许多Mik雷竞技网站roTik的设备都带有内置的开关芯片,如果配置得当,可以用来大大提高总体吞吐量。带有交换芯片的设备可以同时用作路由器和交换机,这为您提供了在网络中使用单个设备而不是多个设备的可能性。
要使这种类型的设置工作,您必须同时切换所有所需的端口
/interface bridge add name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 hw=yes add bridge=bridge1 interface=ether3 hw=yes
为每个VLAN ID创建一个VLAN接口,并指定IP地址:
/interface vlan add interface=bridge1 name=VLAN10 vlan-id=10 add interface=bridge1 name=VLAN20 vlan-id=20 /ip address add address=192.168.10.1/24 interface=VLAN10 add address=192.168.20.1/24 interface=VLAN20
为每个VLAN配置DHCP Server:
/ip pool add name=POOL10 ranges=192.168.10.100-192.168.10.200 add name=POOL20 ranges=192.168.20.100-192.168.20.200 /ip dhcp-server add address-pool=POOL10 disabled=no interface=VLAN10 name=DHCP10 add address-pool=POOL20 disabled=no interface=VLAN20 name=DHCP20 /ip dhcp-server network add address=192.168.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.1 add address=192.168.20.0/24 dns-server=8.8.8.8 gateway=192.168.20.1
在设备上启用NAT:
/ip防火墙NAT add action=masquerade chain=srcnat out-interface=ether1
将每个端口添加到VLAN表中,并允许这些端口访问CPU,以使DHCP和路由工作:
add independent-learning=yes ports=ether2,switch1-cpu switch=switch1 vlan-id=10 add independent-learning=yes ports=ether3,switch1-cpu switch=switch1 vlan-id=20
指定每个端口为access端口,并在每个端口和switch1-cpu端口上开启安全VLAN模式:
/interface以太网交换机端口set ether2 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure set ether3 default-vlan-id=20 vlan-header=always-strip vlan-mode=secure set switch1-cpu vlan-mode=secure
在QCA8337而且Atheros8327切换芯片,默认设置vlan-header = leave-as-is应该使用财产。开关芯片将通过使用。来确定哪些端口是访问端口default-vlan-id财产。的default-vlan-id应该只在访问/混合端口上使用,以指定未标记的入口流量分配到哪个VLAN。
如果您的设备有一个交换机规则表,那么您可以在硬件级别上限制vlan之间的访问。雷竞技官网网站下载只要在VLAN接口上添加一个IP地址,就可以启用VLAN间路由,但这可以在保留DHCP服务器和其他路由器相关服务的同时在硬件级别上受到限制。雷竞技官网网站下载为此,需要使用这些ACL规则。通过这种类型的配置,可以通过vlan实现端口组的隔离。
add dst-address=192.168.20.0/24 new-dst-ports="" ports=ether2 switch=switch1 add dst-address=192.168.10.0/24 new-dst-ports="" ports=ether3 switch=switch1
另请参阅
概述
内容的工具