Перейти до вмісту
MKController Blog
InstagramYouTubeFacebook

Tutorial

Посібник із налаштування Bridge MikroTik

Як налаштувати bridge на MikroTik RouterOS — об'єднання портів, захист від петель через STP, hardware offload і поширені помилки.

MKController5 min read

Короткий огляд Bridge у MikroTik — це віртуальний комутатор, що об’єднує кілька фізичних інтерфейсів — порти Ethernet, бездротові радіомодулі — в один логічний сегмент. Bridge — це спосіб, у який RouterOS замінює керування п’ятьма портами керуванням одним інтерфейсом, і він же є основою для серверів PPPoE, hotspot і більшості налаштувань боку LAN. Цей посібник охоплює дводеталеву збірку bridge у Winbox, вплив Hardware Offload на продуктивність, правило розміщення IP-адреси, на якому спотикається кожен новачок, і параметр STP, що запобігає падінню bridge через мережеві петлі.

Схема, що показує кілька фізичних портів, об'єднаних в один логічний інтерфейс bridge MikroTik

Як працює bridge MikroTik?

Bridge MikroTik — це віртуальний комутатор всередині RouterOS, що поєднує кілька фізичних інтерфейсів — порти Ethernet, бездротові радіомодулі, VLAN-інтерфейси — в один логічний сегмент. Після налаштування bridge трафік переміщується між портами-учасниками на Layer 2 так само, як усередині апаратного комутатора, а решта роутера сприймає bridge як один інтерфейс для IP-адресації, DHCP, правил firewall і призначення черг.

Практична користь — уніфікація. Замість призначення IP-адрес, DHCP-серверів і правил firewall п’ятьом різним фізичним портам ви створюєте один інтерфейс bridge, прив’язуєте все до нього і додаєте порти як учасників. Це знижує складність конфігурації у десять разів на пристрої з п’ятьма портами. Тому ж роутери MikroTik можуть розміщувати сервери PPPoE та hotspot, які мають бути доступні на кількох портах — служба прив’язується до bridge один раз і обслуговує всіх учасників.

Навіщо використовувати bridge?

Переваги з’являються одразу в трьох областях:

  • Спрощене керування. Один інтерфейс bridge замість п’яти фізичних портів. Правила firewall застосовуються один раз, черги — один раз, план IP залишається чистим.
  • Прозорість Layer 2. Пристрої на різних фізичних портах спілкуються так, ніби вони в одному комутаторі — без хопу роутера, NAT і зайвої затримки.
  • Доставка сервісів. Сервери PPPoE, hotspot та DHCP очікують єдиного широкомовного домену. Bridge — це спосіб зібрати його з кількох фізичних інтерфейсів.

Покрокове налаштування bridge

Збірка складається з двох кроків: створити контейнер bridge і підключити до нього фізичні порти.

Крок 1 — Створити інтерфейс bridge

У Winbox відкрийте меню Bridge в лівій панелі. Натисніть +, щоб створити новий bridge, і дайте йому описове ім’я (bridge-lan — загальноприйнятий варіант). Перейдіть на вкладку STP і ввімкніть RSTP як протокол. RSTP виявляє випадкові петлі в топології та вимикає винний порт, перш ніж вони паралізують LAN — залишити його вимкненим — один із найпростіших способів випадково покласти мережу.

Крок 2 — Додати порти до bridge

У тому самому вікні Bridge перейдіть на вкладку Ports і:

  1. Натисніть +.
  2. Виберіть фізичний інтерфейс (наприклад, ether2).
  3. Задайте bridge зі своїм новим ім’ям (bridge-lan).
  4. Повторіть для інших портів — ether3, wlan1 та будь-яких додаткових учасників.

Коли ви додаєте порт, через який зараз підключені, Winbox може на мить розірвати з’єднання. Це нормально — інтерфейс переходить у логіку bridge. Сесія відновиться на IP bridge, як тільки конфігурація застосується.

Hardware Offload (Hw. Offload)

Hardware Offload — найважливіший регулятор продуктивності для bridge на MikroTik. Коли Hw. Offload увімкнено на порту, трафік між учасниками bridge обробляється вбудованим комутаторним чипом пристрою — на швидкості провода, без участі CPU.

Якщо його вимкнути (або використовувати функції, несумісні з комутаторним чипом, як-от складні bridge filters або деякі конфігурації VLAN-on-bridge), кожен пакет між портами-учасниками змушений проходити через CPU. На Gigabit-інтерфейсі це різниця між line rate і кількома сотнями Мбіт/с з помітно зрослою затримкою. Завжди перевіряйте, які функції конкретна модель MikroTik підтримує для offload, у офіційній документації MikroTik з bridging — таблиця підтримки залежить від родини комутаторного чипа.

Вкладка Ports Winbox з увімкненим HW Offload на учаснику bridge

Поширені помилки

На три помилки припадає більшість тикетів «bridge не працює».

Розміщення IP-адреси. Призначайте IP на інтерфейс bridge, а не на фізичний порт, що входить до bridge. IP на ether2, поки ether2 перебуває у bridge-lan, у кращому випадку дає переривчастий зв’язок, у гіршому — повну недоступність, бо IP належить порту, який роутер більше не вважає маршрутизованим інтерфейсом.

Прив’язка DHCP-сервера. Як і IP, DHCP-сервер працює на bridge, а не на порту-учаснику. Якщо ви прив’язали DHCP до порту до того, як додали його до bridge, видаліть стару прив’язку і прив’яжіть до bridge — інакше оренди перестануть видаватися.

Мережеві петлі. Під’єднання двох портів одного bridge до одного зовнішнього комутатора без увімкненого RSTP створює петлю на Layer 2, яка нескінченно ретранслює трафік. LAN падає за секунди. Завжди вмикайте RSTP на вкладці STP, коли bridge містить більше одного порту-учасника, під’єднаного до зовнішньої мережі, і переконайтеся, що зовнішній комутатор теж підтримує STP.

Поради

  • Зробіть знімок конфігурації /export перед тим, як уперше додати порт керування до bridge. Якщо щось піде не так, відновлення — це один рядок.
  • Bridge VLAN filtering — окрема (потужніша) функція порівняно з базовим bridging — вона додає повноцінний 802.1Q VLAN-trunking на bridge. Налаштовуйте її явно, коли потрібні VLAN, а не випадково.
  • Для ширшого операційного контексту перегляньте наші посібники з налаштування NAT і WireGuard VPN на MikroTik — обидва залежать від того, що bridge спочатку зібрано правильно.

Зробіть наступний крок

Один bridge — це просто. Керування узгодженими конфігураціями bridge на сотнях пристроїв MikroTik — однакові налаштування STP, однаковий стан Hardware Offload, однаковий план IP на правильному інтерфейсі — це момент, де важлива операційна дисципліна. Випадкова помилка одного техніка «IP на порту» обертається двогодинним налагодженням для когось іншого.

MKController розсилає той самий шаблон bridge на кожен роутер вашого парку і показує відхилення від шаблону раніше, ніж вони перетворяться на інциденти. NATCloud розв’язує задачу, коли пристрій перебуває за CGNAT, подвійним NAT або жорсткою firewall-політикою з боку клієнта — без необхідності прокидувати порти, щоб дістатися до конфігурації bridge.

Розпочніть безкоштовний тестовий період MKController