总结

SwOS Lite是专为microtik CSS610系列交换机产品的管理而设计的操作系统。雷竞技网站CSS610系列交换机仅支持SwOS Lite操作系统。

与CSS3xx系列交换机的主要区别在于:

  • 不支持独立VLAN学习;
  • 不支持的VLAN模式"enabled";
  • 不支持ACL速率限制;
  • supported Port Egress Rate限制

CSS610系列的特点

特性 描述
转发
  • 全无阻塞无线速度切换
  • Host表中最多16k个MAC表项
  • 转发数据库仅基于SVL工作
  • 端口隔离
  • 巨型帧支持- 10218字节
生成树协议
  • RSTP支持
链路聚合
  • 支持802.3ad LACP组
  • 支持静态链路聚合组
  • 最多16个链路聚合组
  • 每个组最多8个成员端口
  • 雷竞技官网网站下载硬件自动故障转移和负载平衡
多播转发
  • 支持IGMP Snooping
  • 未知组播过滤
镜像
  • 出口镜像
VLAN
  • 完全兼容IEEE802.1Q
  • 出口VLAN
  • 最多250个VLAN条目(受SwOS限制)
  • VLAN过滤
安全
  • 端口锁
  • 广播风暴控制
  • DHCP和PPPoE Snooping
服务质量(QoS)
  • 入口流量限制
  • 出口流量限制
访问控制列表
  • 入接口ACL表
  • 最多32条ACL规则(受SwOS限制)
  • 基于端口、L2、L3、L4协议头字段的分类
  • ACL的动作包括过滤、转发和修改协议头字段

连接交换机

打开web浏览器,输入交换机的IP地址(默认为192.168.88.1),将出现登录屏幕。交换机也可以运行DHCP客户端,查看DHCP服务器是否分配了不同的IP地址。

SwOS违约IP地址:192.168.88.1用户名:管理也没有密码。

雷竞技网站microtik邻居发现可以发现microtik交换机的IP地址。雷竞技网站不支持LLDP协议。

界面概述

SwOS界面菜单由多个选项卡组成,具体取决于设备型号。这些都是可能的SwOS菜单:Link, PoE, SFP,端口隔离,LAG, Forwarding, RSTP, Stats, Errors, Hist, VLAN, VLAN, Hosts, IGMP, SNMP, ACL, System, Health and Upgrade。

SwOS配置工具中按钮说明:

  • 附加-在列表末尾添加一个新项目
  • 应用所有-应用当前的配置更改
  • 减少-从列表中删除一个项目
  • 清晰的-重置项目属性
  • 丢弃的变化-删除未保存的配置
  • 插入-在列表中添加一个新项目(将其放在当前项目之前)
  • 排序-按VLAN- id排序VLAN表;按MAC地址排序主机表
  • 更改密码-修改交换机的密码
  • 注销-退出当前交换机
  • 重新启动-重启交换机
  • 重置配置-将配置恢复出厂设置
  • 选择文件-浏览升级或备份文件
  • 升级-使用选中的文件升级交换机的固件
  • 下载升级-自动尝试下载和升级固件,运行网页浏览器的PC应该能够访问互联网
  • 恢复备份—使用选择的备份文件恢复交换机
  • 保存备份-从交换机上生成并下载备份文件


每个Rouios版雷竞技官网入口terBoard交换机系列设备都有自己的固件,不能安装在其他系列设备上!

  • CSS610-1Gi-7R-2S+支持SwOS Lite v2.12及更新版本。
  • CSS610-8G-2S+支持SwOS Lite v2.12及更新版本。
  • CSS610-8P-2S+IN支持SwOS Lite v2.15及更新版本。

系统

“系统”页签的功能如下:

  • 交换机基本信息
  • 开关管理
  • 配置重置
  • 备份和恢复配置


SwOS使用一种简单的算法来确保TCP/IP通信——它只回复来自相同IP和MAC地址的数据包。这样就不需要在设备本身上设置默认网关。


财产 描述
解决收购 指定要使用的地址获取方法:
  • 带回退的DHCP-交换机正在尝试从DHCP服务器请求IP地址。如果请求不成功,则可以使用静态IP地址价值
  • 静态- address设置为a静态IP地址价值
  • DHCP只- switch使用DHCP client方式获取地址
静态IP地址 交换机的IP地址解决收购设为带回退的DHCP静态
身份 交换机名称(适用于microktik邻居发现协议雷竞技网站)
允许从 可以访问交换机的IP地址。默认值为'0.0.0.0/0' -任何地址
港口放行 可访问的交换机端口列表
允许来自VLAN 服务可访问的VLAN ID。请确保首先配置VLAN和VLAN页面
监管机构 启用或禁用系统看门狗。当交换机出现故障时,将复位CPU
独立VLAN查找 开启或关闭在Host表中独立查找VLAN进行报文转发
IGMP窥探 开启或关闭IGMP Snooping功能
雷竞技网站microtik发现协议 启用或禁用microtik邻居发现协雷竞技网站议
MAC地址 交换机的MAC地址(只读)
序列号 交换机序列号(只读)
董事会的名字 雷竞技网站MikroTik交换机型号名称(只读)
正常运行时间 当前交换机正常运行时间(只读)
PoE输出模式 指定电源输出状态(仅CSS610-1Gi-7R-2S+型号)
  • 自动开机-板将尝试检测电源是否可以应用到端口。为了通电,从3kΩ到26.5kΩ范围内的备用对上应该有电阻
  • 强制开启检测范围被移除。因此,以太网上的电源将始终打开
  • 关闭-该端口的所有检测和电源关闭
PoE Out状态 显示端口上当前的PoE-Out状态(只读,仅限CSS610-1Gi-7R-2S+型号)

健康

财产 描述
温度 以摄氏温标显示CPU温度(只读)
事业单位 显示电源电压和PoE-out连接设备消耗的毫安(只读,仅限CSS610-8P-2S+IN型号)
电力消耗 显示PoE-out连接设备的电源功耗(只读,仅支持CSS610-8P-2S+IN型号)

DHCP和PPPoE Snooping

财产 描述
值得信赖的港口 一组端口,允许DHCP或PPPoE服务器提供请求的信息。启用后,允许DHCP客户端报文通过该端口转发到DHCP服务器。主要用于限制未经授权的服务器向用户提供恶意信息,访问端口通常不配置为可信。接收已经添加了Option-82的DHCP client报文的端口也必须是可信的,否则这些报文将被丢弃。
添加信息选项

启用或禁用DHCP Option-82信息。使能后,对于从不可信端口接收的DHCP报文,会增加Option-82信息(Agent Remote ID和Circuit ID)。可与支持option82功能的DHCP服务器配合使用,用于分配IP地址和执行策略。

对于“Agent Remote ID”,SwOS使用DHCP客户端所在的接口名称。对于Agent Circuit ID, SwOS使用SwOS设备的标识、内部使用的端口号和VLAN ID。例如:

Agent远端ID - Port1

Agent电路ID - microti雷竞技网站k eth 0/1:100

密码与备份

链接

“链路”页签可以配置各个接口的配置,并监控链路状态。


财产 描述
启用 启用或禁用端口
名字 可编辑的端口名称
链接状态 当前链路状态(只读)
自动协商 启用或禁用自动协商
速度 指定端口的速率设置(需要禁用自协商)
全双工 指定端口的双工模式(需要禁用自协商)
流量控制Tx/Rx 开启/关闭802.3流量控制

交换机支持最大10218字节的巨型帧。SwOS Lite设备不支持手动减小MTU设置。

支持PoE-out的设备有一些配置选项和某些监控功能,如PoE-out电流、电压等。有关更详细的描述,请参见PoE-Out手册

SFP

“SFP”页签可以监控SFP/SFP+模块的状态。

端口隔离

端口隔离表允许或限制特定端口之间的流量转发。缺省情况下,所有可用的交换芯片端口都可以与任何其他端口通信,不使用隔离。当复选框启用/打勾时,您允许将流量从此端口转发到打勾的端口。下面是一些端口隔离示例。

在某些情况下,您可能需要将一组设备与其他组隔离开来。在本例中,设备打开Port1-Port5无法沟通Port6-Port10设备,反之亦然。

在某些场景下,可能需要将所有流量转发到上行端口,而其他端口之间相互隔离。这种设置叫做一个专用VLAN配置。交换机只将所有以太网帧转发到上行链路端口1,上行链路可以到达所有其他端口

单个孤立端口1(例如用于管理目的),它不能发送或接收来自任何其他端口的流量


可以通过选中其中一个复选框,然后水平拖动(点击和拖动)来选中/取消选中多个复选框。

(R)STP只能在私有VLAN设置中正常工作。在有多个隔离的交换组(R)的情况下,STP可能无法正常接收bpdu,从而无法检测到网络环路。

滞后

支持兼容IEEE 802.3ad (LACP)的链路聚合,同时支持静态链路聚合,仅基于Layer2哈希实现故障切换和负载分担。最多支持16个链路聚合组,每组最多支持8个端口。每个端口可以配置为被动LACP、主动LACP或静态LACP端口。


财产 描述
模式(默认值:被动) 指定端口的LACP交换模式或Static LAG模式:
  • 被动:端口处于监听状态,只有当对端使用active模式时,才使用LACP
  • 活跃的:无论端口模式是否相反,优先启动LACP
  • 静态:设置端口为Static LAG模式;它需要设置相同集团为需要包含在相同静态LAG中的所有端口设置
集团 指定静态LAG组。
树干(只读) 表示端口所属的组号。
合作伙伴(只读) 表示伙伴mac地址,仅当端口包含在LACP中时可用。

转发

转发选项卡提供交换机端口、端口锁定、端口镜像、带宽限制和广播风暴控制等高级转发选项。


财产 描述
端口锁
  • 端口锁—启用或禁用该端口的MAC地址学习功能。启用该选项后,将限制MAC地址学习,并配置静态MAC地址。任何接收到的源MAC地址未知的帧将被丢弃
  • 锁定第一-允许从第一个接收帧中学习源MAC地址,此属性应与端口锁.每次接口状态发生变化时,学习到的第一个MAC地址将被重置
端口镜像
  • 镜子入口—是否需要将进入该端口的流量复制转发到镜像目标端口
  • 镜子出口—从该端口流出的流量是否需要复制转发到镜像目标端口
  • 镜子—镜像目标器端口
广播风暴控制
  • 风暴率—限制接口发送广播报文的数量。速率的单位是比特每秒(bps)。
  • 包含未知单播—包含主机表中没有表项的单播报文风暴率限制
组播洪水控制
  • Flood未知组播—修改交换机端口的组播泛流选项,只控制出接口流量。使能网桥功能时,允许将组播报文泛洪到指定的交换机端口;使能网桥功能时,限制组播流量泛洪。该设置影响所有组播流量,包括非ip、IPv4、IPv6和链路本地组播范围(例如224.0.0.0/24和ff02::1)。
带宽限制
  • 入口速度-限制进入该端口的流量(bps)
  • 出口速度-限制离开此端口的流量(bps)


可以限制每个端口的入口/出口流量。策略器用于入口流量,整形器用于出口流量。入口策略器通过丢包控制接收到的流量。所有超过规定极限的东西都将被丢弃。这可能会影响终端主机上的TCP拥塞控制机制,并且实现的带宽实际上可能小于定义的带宽。出口整形器将尝试对超过限制的数据包进行排队,而不是丢弃它们。最终,当输出队列满时,它也会丢弃数据包,但是,它应该允许更好地利用所定义的吞吐量。

RSTP

在RSTP菜单中可以配置和监控端口和全局RSTP。


财产 描述
网桥优先级(十六进制) 选择根桥的RSTP桥优先级
端口开销模式 根据链路速率自动检测RSTP端口开销有两种方法。
  • : 40g - 1;10g - 2;1g - 4;100米- 10米;10米- 100米
  • : 40克- 500克;10g - 2000;1g - 20000;100m - 200000;10m - 200000
根桥接器 所选根桥在网络中的优先级和MAC地址(只读)
RSTP 启用/禁用该端口的STP/RSTP功能
模式 显示指定端口的STP/RSTP功能模式(只读)。
  • RSTP
  • STP
角色 显示特定的端口角色(只读):
  • -面向根网桥的端口,用于转发来往根网桥的流量
  • 备用-面向根桥的端口,但不打算转发流量(根端口的备份)
  • 备份-远离根网桥的端口,但不打算转发流量(非根端口的备份)
  • 指定的-远离根网桥的端口,用于转发流量
  • 禁用-不属于STP的端口(RSTP功能被禁用)
根路径开销 显示面向根桥接的端口的根路径开销(只读)
类型
  • 边缘-不应该接收任何bpdu的端口应该连接到端站(只读)
  • 点对点—运行在全双工链路上的端口,可以是STP的一部分,并且运行在转发状态(只读)。
状态 显示每个端口的状态(只读):
  • 转发- port参与流量转发,正在学习MAC地址,正在接收bpdu报文
  • 丢弃- port不参与流量转发,不学习MAC地址,接收BPDU
  • 学习- port不参与流量转发,而是在学习MAC地址

统计,错误和直方图

这些菜单提供了接收和发送数据包的详细信息。


当主用SFP+链路建立后,SFP+接口的统计信息将被清除。

VLAN和VLAN

交换机端口VLAN配置。


财产 描述
VLAN模式Disabled | optional | strict;默认值:可选 VLAN过滤模式,这些选项与出口端口相关(除严格的模式)。
  • 禁用—未使用VLAN表。交换机在出端口上丢弃带有VLAN标签的报文。如果报文带有VLAN标签,且VLAN ID匹配缺省VLAN ID在出口端口,然后与VLAN =收到任何交换机去掉VLAN标签,转发报文。
  • 可选—禁用VLAN过滤。处理VLAN表中没有VLAN tag ID的报文和处理没有VLAN tag的报文一样。
  • 严格的—使能VLAN过滤,增加了入接口过滤功能,检查入接口是否为VLAN表中接收到的VLAN ID的成员。VLAN ID与VLAN表不匹配的入接口报文将被丢弃。对于access端口,必须指定缺省VLAN ID,因为它将用于标记入端口流量和取消指定出端口流量。
VLAN接收Any / only tagged / only untagged;默认值:可选 收到了基于VLAN标签存在的流量过滤。
  • 任何-允许在某个端口上通过带标签和不带标签的报文
  • 只有标记-只允许带VLAN标签的报文通过。T“Default VLAN ID”不起作用,因为它只适用于不带标签的流量
  • 只有未加标签的—只允许不带VLAN标签的报文通过
缺省VLAN ID整数:1 . . 4095;默认值:1 交换机将接收到的未标记报文放入“Default VLAN ID”VLAN中。只对未标记的交通有影响,当VLAN接收设置为“any”或“only untagged”。对带标签的流量不适用。该参数通常用于分配指定VLAN的访问端口。当报文的VLAN ID与缺省VLAN ID匹配时,也可以取消对出接口流量的标记。
强制VLAN ID整数:yes | no;默认值:没有 分配的缺省VLAN ID所有入站流量(带标签和不带标签)的值。对所有VLAN模式生效。如果端口接收到带标签的流量和缺省VLAN ID设置为1,则使用此参数将取消出口流量的标记。


交换机端口VLAN成员配置。


财产 描述
VLAN ID整数:1 . . 4095;默认值:0 端口分配的VLAN ID。
IGMP窥探是|否;默认值:没有 对定义VLAN开启或关闭IGMP Snooping功能。使能后,交换机将侦听来自定义VLAN的IGMP加入和离开请求,并且只将流量转发到从定义VLAN发出IGMP成员请求的端口。关闭开关后,将使组播流量淹没所有VLAN成员端口。
成员港口;默认值:没有一个 一组端口,允许通过定义的VLAN转发流量。

VLAN配置举例

中继和接入端口

1.在VLAN菜单中添加VLAN表项,并指定端口成员。

2.在VLAN菜单中,在规划的接入端口(untagged)上配置“Default VLAN ID”,选择正确的“VLAN Receive”设置(Port2)只有tagged, Port6-8只有untagged),并启用严格的VLAN过滤,保证只有允许的VLAN通过。

中继和混合端口

1.在VLAN菜单中添加VLAN表项,并指定端口成员。

2.在VLAN菜单中配置规划的hybrid端口的Default VLAN ID(对于untagged VLAN),选择正确的VLAN Receive设置(Port2)只有tagged, Port6-8 any),并启用严格的VLAN过滤,确保只有允许的VLAN可以通过端口。

管理访问

本例中创建VLAN 200的交换机管理接入。配置方案与“中继和接入端口”,1.,2.配置步骤是相同的。额外的第三步骤需要在System菜单中指定管理VLAN ID。配置完成后,交换机将只响应Port2上带标签的VLAN 200报文和Port6上不带标签的VLAN 200报文。DHCP客户端也将在指定的VLAN ID内工作。

如果VLAN设置不正确,修改管理VLAN将完全禁止对交换机管理的访问。在更改此设置和使用之前保存配置备份重置在管理访问丢失的情况下。

主机

该表表示动态学习到的MAC地址到端口映射表项。它可以包含两种类型的条目:动态和静态。动态条目会自动添加,这也被称为学习过程:当交换机从某个端口接收到数据包时,它会将数据包的源MAC地址和接收数据包的端口添加到主机表中,因此当数据包带有特定的目的MAC地址时,它知道应该将数据包转发到哪个端口。如果目的MAC地址不在主机表中,那么它将数据包转发到组中的所有端口。动态表项的超时时间约为5分钟。

如果已经存在具有相同mac地址的动态表项,则静态表项将取代动态表项。另外,通过添加静态条目,您可以访问更多功能。


财产 描述
港口 数据包应该转发到的端口
MAC MAC地址
港口(只读) 数据包应该转发到的端口
MAC(只读) 学习到的MAC地址

IGMP窥探

IGMP Snooping控制组播流,防止组播泛洪。该特性允许交换机监听主机和路由器之间的IGMP会话。

在System选项卡下启用此选项。


在“IGMP”页签下可以找到可用的IGMP snooping数据。

可以在VLAN菜单下对特定VLAN ID启用IGMP Snooping功能。

SNMP

SwOS支持SNMP v1,使用IF-MIB、SNMPv2-MIB、BRIDGE-MIB和MIKROTIK-MIB(仅用于健康诊断、雷竞技网站PoE-out诊断和SFP诊断)。

可用SNMP数据:

  • 系统信息
  • 系统正常运行时间
  • 端口状态
  • 接口统计信息
  • 主机表信息


财产 描述
启用 启用或禁用SNMP服务
社区 SNMP团体名
联系信息 网管的联系方式
位置 网管的位置信息

ACL和ACL统计页签

访问控制列表(ACL)规则表是一个非常强大的工具,允许基于L2、L3和L4协议头字段条件进行线速包过滤、转发和VLAN标记。每个规则包含一个条件部分和一个操作部分。

部分参数

财产 描述
数据包来自的端口
MAC Src 源MAC地址和掩码
MAC Dst 目的MAC地址和掩码
Ethertype 封装在以太网帧的有效载荷中的协议
VLAN

VLAN头存在:

  • 任何
  • 现在
  • 不存在
VLAN ID VLAN标签ID
优先级 VLAN标签的优先级
IP Src(IP /子网掩码:端口) 源IPv4地址、子网掩码和L4端口号
IP Dst(IP /子网掩码:端口) 目的IPv4地址、子网掩码和L4端口号
协议(整数) IP协议
DSCP IP DSCP字段

动作部分参数

财产 描述
账户 选择匹配的数据包计数
重定向到 强制新报文的目的端口
镜子 克隆数据包并将其发送到镜像目标端口
下降 把包
设置VLAN ID 如果VLAN tag存在,则修改VLAN tag ID
优先级 如果VLAN标记存在,则改变VLAN标记的优先级位
DSCP 修改IP DSCP字段

可以将每条ACL规则选择到指定的计数器中,对匹配的报文进行计数。

重置和重新安装

CSS610内置备份SwOS固件,可以在标准固件损坏或升级失败的情况下加载;

  • 在设备启动时,按住Reset按钮几秒钟将重置配置并加载备份固件。
  • 加载备份固件后,可以使用web浏览器连接到192.168.88.1(或从DHCP服务器租用地址)并安装新的SwOS固件。