Bridge(网桥),是工作在OSI网络模型的第二层数据链路层,二层设备间通过MAC地址进行通信,对网络数据帧进行转发的过程。简单的说就是实现二层交换机功能,把两个不同的物理局域网连接起来,通过MAC地址通信,进行学习、存储和转发的设备。

RouterOS支持以太网MAC层桥接,如以太网卡、EoIP(Ethernet over IP)、WLAN协议和PPP协议等,还支持桥接的防火墙过滤功能,能有效对二层网络MAC和协议进行控制管理。 

操作路径:/interface bridge

RouterOS支持以太网MAC层桥接,如以太网卡、EoIP(Ethernet over IP)、WLAN协议和PPP协议等,还支持桥接的防火墙过滤功能,能有效对二层网络MAC和协议进行控制管理。对于MikroTik的硬件设备,v6版本逐步开始支持v7大部分支持

网桥在功能上和交换机同样的网络设备,除了连接两个二层网络基本功能外,RouterOS网桥还具备防火墙过滤和STP/RSTP,STP(Spanning Tree Protocol)生成树协议,逻辑上断开环路,防止二层网络的广播风暴的产生。在复杂的网络拓扑出现(有意或无意)。如果没有特殊的处理,环路将造成网络无法正常工作,因为环路会导致雪崩一样的广播数据包倍增。RSTP(rapid spanning tree protocol)则是快速生成树协议收敛时间更短。生成树协议不仅能避免环路造成的广播风暴导致网络无法正常工作,还可以建立一个冗余的二层环网络,实现设备的冗余保护。

注:关于无线的RSTP MESH请参阅《RouterOS wireless无线教程v6》

Bridge配置

通过将多个局域网络连接到一个网桥上,实现多个局域网直接的MAC层数据转发,即交换机的功能,实现学习、存储和转发的功能,在host列表中可以看到各个接口学习到的MAC地址,并存储在bridge中用于查找需要通信的MAC地址。

下面的简单实例,是在一台RouterOS上,把三个独立的网口,设置为3口交换机,我们把三个网卡ether1、ether2和ether3,配置为3个交换端口,首先要创建一个bridge

添加一个桥接口,命名为Bridge1,关闭r/stp功能:

/interface bridge add name="Bridge1"  protocol-mode=none disabled=no

把ether2和ether3添加到Bridge1接口,进入bridge port路径:

/interface bridge port add interface=ether1 bridge=Bridge1
/interface bridge port add interface=ether2 bridge=Bridge1
/interface bridge port add interface=ether3 bridge=Bridge1

整个配置完成,相当于创建了一个网桥1的分组取名为Bridge1,将ether1、ether2和ether3加入到这个网桥组里。

Bridge setting

use-ip-firewall参数选择是否启用ip firewall的三层过滤规则,这个功能有别于2.9的桥接功能,如果关闭use-ip-firewall过滤,可以大大提高RouterOS的网桥转发性能,特别在WLAN桥接和一些纯二层的网桥应用中非常有用。

属性 描述
allow-fast-path (yes | no; 默认:yes) 允许开启fast path(参考第十一章节)
use-ip-firewall (yes | no; 默认:no) 强制将二层桥接流量发送到三层prerouting, forward 和postrouting链表处理,即启用三层过滤,但无法应用到路由传输处理。具体参考(http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6).
use-ip-firewall-for-pppoe (yes | no; 默认:no) 将二层桥接未加密PPPoE流量发送给三层”IP firewall”处理,该参数工作前提是use-ip-firewall=yes
use-ip-firewall-for-vlan(yes | no; 默认: no) 将二层桥接VLAN流量发送给三层”IP firewall”处理,该参数工作前提是use-ip-firewall=yes

当你需要开启三层的Bridge过滤,启用包括ip firewall filter、mangle、nat和queue流控等功能,就需要打开以下设置:

[admin@MikroTik] /interface bridge settings>set use-ip-firewall=yes
[admin@MikroTik] /interface bridge settings>print

use-ip-firewall: yes
use-ip-firewall-for-vlan: no
use-ip-firewall-for-pppoe: no

[admin@MikroTik] /interface bridge settings>

由于打开了三层过滤,转发性能会受到一定的影响,但你可以实现对三层数据的过滤和流控。通过启用三层过滤我们可以实现许多透明桥的流量整形,如IP地址流控、P2P和基于80端口的HTTP流控等;也可以实现基于IP和协议端口的过滤。

如果桥接的网络中通过的是vlan封装,即tagg,即两端交互设备使用trunk模式,请选择use-ip-firewall-for-vlan,这样才能在ip firewall对vlan中的数据报进行处理,如果通过是pppoe协议选择use-ip-firewall-for-pppoe

注意:
从RouterOS v6.41版本开始,RouterBOARD设备的接口master-port二层配置操作改变,该配置被迁移到bridge port菜单的Hardware-offloading。hw-offloading即代表硬件设备的交换芯片提供处理。在v7beta6版本开始,新加入了L3 Hardware-offloading功能,为三层转发提供硬件加速。

打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

文章很值,打赏犒劳作者一下