RouterOS配置交换机端口ACL（switch rule）

这个视频是关于RouterOS如何配置交换机的端口安全，如何限制非法的主机进入你的局域网。与通过ip firewall不同，ip firewall filter是过滤三层IP地址访问其他IP网段，但交换机端口对二层MAC地址过滤则是禁止让非法主机接入你的局域网，无法获取IP地址。交换机的端口过滤更为底层，能更有效的保护你的局域网。

需要注意RouterOS的交换机功能分两部分，这个是历史遗留问题，如果是MikroTik的硬件设备，如RB，CRS，CCR系列内置交换芯片的在Winbox的导航栏会同时有Bridge和Switch功能，如果是CHR或x86平台只会有Bridge。Bridge和Switch配置并非独立的，创建交换机功能需要用到Bridge，即创建bridge接口，然后将以太网端口加入到bridge中，即在bridge Port，这样完成一个基本的交换机配置

/interface bridge
add name=bridge1

/interface bridge port
add interface=ether1 bridge=bridge1
add interface=ether2 bridge=bridge1

上面是一个非常简单的创建一个bridge1，并将ether1和ether2加入到网桥bridge1，实现ether1和ether2实现二层交换功能，如果在bridge Port里面两条规则前缀出现了H，说明支持硬件的offload，卸载到交换芯片处理，不经过CPU，实现硬件级线速数据转发。说明下网桥和交换机可以理解为一个东西，不要疑惑！

创建ACL过滤有两个地方bridge filter和switch rule两个功能目录，但bridge filter是由CPU处理，如果不支持交换芯片的设备，如果CHR或x86平台在bridge fitler配置ACL过滤策略，交给CPU处理，官方硬件则可以到switch rule配置。

该视频就是如何在switch rule里面配置ACL规则，多条规则是基于FIFO先进先出算法，即规则序列号越小，越优先处理，处理完成后不再交给后面的规则处理。

为什么会有bridge filter和switch rule两处ACL配置路径，这是因为MikroTik想即要兼容CHR和x86没有交换芯片的平台，又要兼容交换芯片的硬件设备。这样对很多人无法理解的地方。