概述
Cloud Router Switch 系列是高度集成的交换机,具有高性能 MIPS CPU 和功能丰富的数据包处理器。 CRS 交换机可以设计成各种以太网应用,包括非管理型交换机、第 2 层管理型交换机、运营商交换机和无线/有线统一数据包处理设备。 参见 Cloud Router Switch 配置示例。
本文适用于 CRS1xx 和 CRS2xx 系列交换机,不适用于 CRS3xx 系列交换机。 对于 CRS3xx 系列设备,请阅读 CRS3xx、CRS5xx 系列交换机和 CCR2116、CCR2216 路由器 手册。
| 特性 | 说明 |
|---|---|
| Forwarding | - 用于交换或路由的可配置端口 - 完全无阻塞的线速交换 - 单播 FDB 中最多 16k MAC 项,用于第 2 层单播转发 - 多播 FDB 中最多 1k MAC 项用于组播转发 - 保留 FDB 中最多 256 个 MAC 项用于控制和管理目的 - 所有转发数据库都支持 IVL 和 SVL - 可配置的基于端口的 MAC 学习限制 - 巨型帧支持(CRS1xx:4064 字节;CRS2xx:9204 字节) - 支持IGMP 侦听 |
| Mirroring | 各种类型的镜像: - 基于端口的镜像 - 基于 VLAN 的镜像 - 基于 MAC 的镜像 2个独立的镜像分析器端口 |
| VLAN | 完全兼容IEEE802.1Q和IEEE802.1ad VLAN 4k 活动 VLAN 灵活的VLAN分配: - 基于端口的VLAN - 基于协议的VLAN - 基于MAC的VLAN 任意 VLAN之间的转换和交换 1:1 VLAN 交换 - VLAN 到端口映射 VLAN过滤 |
| Port Isolation and Leakage | - 适用于私有 VLAN的实施 - 3 种端口配置文件类型:混杂、隔离和Community - 最多 28 个Community配置 - 泄漏配置文件允许绕过出站 VLAN 过滤 |
| Trunking | - 支持静态链路聚合组 - 多达 8 个 Port Trunk 群组 - 每个端口聚合组最多 8 个成员端口 - 硬件自动故障转移和负载均衡 |
| Quality of Service (QoS) | 灵活的 QoS 分类和分配: - 基于端口 - 基于MAC - 基于VLAN - 基于协议 - 基于 PCP/DEI - 基于 DSCP - 基于ACL 服务提供商和客户端网络之间 QoS 域转换的 QoS 重新标记和重新映射 根据配置的优先级覆盖每个 QoS 分配 |
| Shaping and Scheduling | - 每个物理端口上有 8 个队列 - 按端口、按队列、按队列组整形 |
| Access Control List | - 入站和出站 ACL 表 - 最多 128 个 ACL 规则(受 RouterOS 限制) - 基于端口、L2、L3、L4协议头字段的分类 - ACL动作包括过滤、转发、修改协议头字段 |
Cloud Router 交换机型号
下表说明了 Cloud Router 交换机型号之间的主要区别。
| 型号 | 交换芯片 | CPU | Wireless | SFP+ port | Access Control List | Jumbo Frame (Bytes) |
|---|---|---|---|---|---|---|
| CRS105-5S-FB | QCA-8511 | 400MHz | - | - | + | 9204 |
| CRS106-1C-5S | QCA-8511 | 400MHz | - | - | + | 9204 |
| CRS112-8G-4S | QCA-8511 | 400MHz | - | - | + | 9204 |
| CRS210-8G-2S+ | QCA-8519 | 400MHz | - | + | + | 9204 |
| CRS212-1G-10S-1S+ | QCA-8519 | 400MHz | - | + | + | 9204 |
| CRS226-24G-2S+ | QCA-8519 | 400MHz | - | + | + | 9204 |
| CRS125-24G-1S | QCA-8513L | 600MHz | - | - | - | 4064 |
| CRS125-24G-1S-2HnD | QCA-8513L | 600MHz | + | - | - | 4064 |
| CRS109-8G-1S-2HnD | QCA-8513L | 600MHz | + | - | - | 4064 |
缩略语和解释
CVID - 客户VLAN ID:IEEE 802.1ad帧的内部VLAN标签ID
SVID - 服务VLAN id:IEEE 802.1ad帧的外部VLAN标签id。
IVL - 独立VLAN学习 - 学习/查询是基于MAC地址和VLAN ID。
SVL - 共享VLAN学习 - 学习/查询是基于MAC地址 - 而不是VLAN ID。
TPID - 标签协议标识符
PCP - 优先级代码点:一个3位字段,指的是IEEE 802.1p优先级
DEI - 丢弃资格指标
DSCP - 差异化服务代码点
丢弃优先级- CRS交换机内部QoS属性,用于数据包的排队或丢弃。
端口交换
为了在CRS1xx/2xx系列交换机上设置端口交换,请查看 网桥硬件卸载 页面。
在创建硬件卸载网桥,添加交换端口组时,会在CRS交换机中创建动态保留的VLAN项(如VLAN4091;VLAN4090;VLAN4089等等)。这些VLAN是内部操作所必需的,其优先级低于用户配置的VLAN。
多个交换组
CRS1xx/2xx系列交换机允许使用带有硬件卸载的多个网桥,可以轻松地隔离多个交换机组。可以通过简单地创建多个网桥和启用硬件卸载来实现。
多个硬件卸载的网桥配置被设计为快速和简单的端口隔离解决方案,但它限制了CRS交换芯片支持的一部分VLAN功能。对于高级配置,在CRS交换芯片内为所有端口使用一个网桥,配置VLAN,用端口隔离配置文件隔离端口组。
CRS1xx/2xx系列交换机能够在启用(R)STP的情况下运行多个硬件卸载网桥,但不建议这样做,因为该设备的设计不是为了在硬件层面上运行多个(R)STP实例。要隔离多个交换机组并启用(R)STP,应该用端口隔离配置文件配置来隔离端口组。
全局设置
CRS交换芯片可从 /interface ethernet switch 控制台菜单中配置。
Sub-menu: /interface ethernet switch
| 属性 | 说明 |
|---|---|
| name (string value; Default: switch1) | 交换名称 |
| bridge-type (customer-vid-used-as-lookup-vid | service-vid-used-as-lookup-vid; Default: customer-vid-used-as-lookup-vid) | 网桥类型定义了哪个VLAN标签被用作Lookup-VID。Lookup-VID作为所有基于VLAN的查询的VLAN密钥。 |
| mac-level-isolation (yes | no; Default: yes) | 全局性地启用或禁用MAC级隔离。一旦启用,交换机将从单播转发表中检查源和目的MAC地址项及其隔离配置文件。默认情况下,交换机将学习MAC地址并将其放入 "混杂 "隔离配置文件。在创建静态单播项时可以使用其他隔离配置文件。如果源MAC地址或目的MAC地址位于 promiscuous 隔离配置文件上,数据包将被转发。如果源MAC地址和目的MAC地址都位于同一个 "community1 "或 "community2 "隔离配置上,数据包将被转发。当源和目的MAC地址隔离配置文件为 "isolated",或源和目的MAC地址隔离配置文件来自不同的社区(例如,源MAC地址是 "community1",目的MAC地址是 "community2")时,数据包将被丢弃。当MAC级隔离被全局禁用时,隔离将被绕过。 |
| use-svid-in-one2one-vlan-lookup (yes | no; Default: no) | 是否使用服务VLAN id进行1:1 VLAN交换查询。 |
| use-cvid-in-one2one-vlan-lookup (yes | no; Default: yes) | 是否使用客户VLAN id进行1:1 VLAN交换查询。 |
| multicast-lookup-mode (dst-ip-and-vid-for-ipv4 | dst-mac-and-vid-always;Default:dst-ip-and-vid-for-ipv4) | IPv4 组播网桥的查找模式。 - dst-mac-and-vid-always - 对于所有数据包类型,查找关键字是目标 MAC 和 VLAN id。 - dst-ip-and-vid-for-ipv4 - 对于 IPv4 数据包查找关键字是目标 IP 和 VLAN id。 对于其他数据包类型,查找关键字是目标 MAC 和 VLAN id。 |
| unicast-fdb-timeout (time interval; Default: 5m) | 单播FDB项的超时时间。 |
| override-existing-when-ufdb-full (yes | no; Default: no) | 启用或禁用来覆盖现有的项,当UFDB已满时,该项具有最低的老化值。 |
| 属性 | 说明 |
|---|---|
| drop-if-no-vlan-assignment-on-ports (ports; Default: none) | 丢弃帧的端口,如果没有应用基于MAC,基于协议的VLAN分配或入站VLAN转换。 |
| drop-if-invalid-or-src-port- |-not-member-of-vlan-on-ports (ports; Default: none) | 丢弃无效和其他端口VLAN id帧的端口。 |
| unknown-vlan-lookup-mode (ivl | svl; Default: svl) | 无效VLAN的数据包的查找和学习模式。 |
| forward-unknown-vlan (yes | no; Default: yes) | 是否允许转发不属于VLAN表成员的VLAN。 |
| 属性 | 说明 |
|---|---|
| bypass-vlan-ingress-filter-for (protocols; Default: none) | 从入站VLAN过滤中排除的协议。这些协议如果有无效的VLAN就不会被丢弃。(arp, dhcpv4, dhcpv6, eapol, igmp, mld, nd, pppo-discovery, ripv1) |
| bypass-ingress-port-policing-for (protocols; Default: none) | 被排除在入站端口管制之外的协议。(arp, dhcpv4, dhcpv6, eapol, igmp, mld, nd, pppo-discovery, ripv1) |
| bypass-l2-security-check-filter-for (protocols; Default: none) | 被排除在策略规则安全检查之外的协议。(arp, dhcpv4, dhcpv6, eapol, igmp, mld, nd, pppo-discovery, ripv1) |
| 属性 | 说明 |
|---|---|
| ingress-mirror0 (port | trunk,format; Default: none,modified) | 第一个入站镜像分析器端口或聚合和镜像格式。 - analyzer-configured - 数据包与到达目的地的数据包相同。 VLAN格式根据分析器端口的VLAN配置修改。 - modified - 数据包与到达目的地的数据包相同。 VLAN格式根据出端口的VLAN配置修改。 - original - 流量被镜像,没有对原始传入数据包格式进行任何更改。 但是在边缘端口剥离了业务VLAN标签。 |
| ingress-mirror1 (port | trunk,format; Default: none,modified) | 第二个入站镜像分析器端口或聚合和镜像格式: - analyzer-configured - 数据包与到达目的地的数据包相同。 VLAN格式根据分析器端口的VLAN配置修改。 - modified - 数据包与到达目的地的数据包相同。 VLAN格式根据出端口的VLAN配置修改。 - original - 流量被镜像,没有对原始传入数据包格式进行任何更改。 但是在边缘端口剥离了业务VLAN标签。 |
| ingress-mirror-ratio (1/32768..1/1; Default: 1/1) | 入站镜像数据包占所有数据包的比例。 |
| egress-mirror0 (port | trunk,format; Default: none,modified) | 第一个出站镜像分析器端口或聚合和镜像格式: - analyzer-configured - 数据包与到达目的地的数据包相同。 VLAN格式根据分析器端口的VLAN配置修改。 - modified - 数据包与到达目的地的数据包相同。 VLAN格式根据出端口的VLAN配置修改。 - original - 流量被镜像,没有对原始传入数据包格式进行任何更改。 但是在边缘端口剥离了业务VLAN标签。 |
| egress-mirror1 (port | trunk,format; Default: none,modified) | 第二出站镜像分析器端口或聚合和镜像格式: - analyzer-configured - 数据包与到达目的地的数据包相同。 VLAN格式根据分析器端口的VLAN配置修改。 - modified - 数据包与到达目的地的数据包相同。 VLAN格式根据出端口的VLAN配置修改。 - original - 流量被镜像,没有对原始传入数据包格式进行任何更改。 但是在边缘端口剥离了业务VLAN标签。 |
| egress-mirror-ratio (1/32768..1\/1; Default: 1/1) | 出站镜像数据包与所有数据包的比例。 |
| mirror-egress-if-ingress-mirrored (yes | no; Default: no) | 当一个数据包同时应用于入站和出站镜像时,如果此设置被禁用,则只对数据包执行入站镜像。如果此设置被启用,两种镜像类型都被应用。 |
| mirror-tx-on-mirror-port (yes | no; Default: no) | |
| mirrored-packet-qos-priority (0..7; Default: 0) | 镜像数据包中标注的优先级。 |
| mirrored-packet-drop-precedence (drop | green | red | yellow; Default: green) | 镜像数据包中标注的丢弃优先级。这个QoS属性用于镜像数据包的排队或丢弃。 |
| fdb-uses (mirror0 | mirror1; Default: mirror0) | 用于FDB的镜像的分析器端口。 |
| vlan-uses (mirror0 | mirror1; Default: mirror0) | 用于VLAN的镜像的分析器端口。 |
端口设置
Sub-menu: /interface ethernet switch port
| 属性 | 说明 |
|---|---|
| vlan-type (edge-port | network-port; Default: network-port) | 端口VLAN类型指定在UFDB学习中是否使用VLAN id。网络端口在UFDB中学习VLAN id,边缘端口不学习--VLAN 0。 它只能在IVL学习模式下观察。 |
| isolation-leakage-profile-override (yes | no; Default: !isolation-leakage-profile-override)isolation-leakage-profile (0..31; ) |
用于端口隔离/泄漏配置的自定义端口配置文件。 - 端口级隔离配置文件 0。 上行端口 - 允许端口与设备中的所有端口通信。 - Port-level isolation profile 1. Isolated port - 允许端口只与上行端口通信。 - Port-level isolation profile 2 - 31. Community port - 允许相同社区端口和上行端口之间的通信。 |
| learn-override (yes | no; Default: !learn-override) learn-limit (1..1023; Default: !learn-limit) |
启用或禁用MAC地址学习并在端口上设置MAC限制。当 !learning-override 和 !learning-limit 时,MAC学习限制默认为禁用。从RouterOS v6.42开始,在/interface bridge port菜单下,属性learn-override被替换为learn。 |
| drop-when-ufdb-entry-src-drop (yes | no; Default: yes) | 当UFDB项有src-drop动作时,启用或禁止丢弃数据包。 |
| allow-unicast-loopback (yes | no; Default: no) | 端口上的单播环回。启用后,当源端口和目的端口是同一个已知的单播数据包时,允许发回。 |
| allow-multicast-loopback (yes | no; Default: no) | 端口上的多播环回。启用后,当源端口和目的端口相同时,允许回送注册的组播或广播数据包。 |
| action-on-static-station-move (copy-to-cpu | drop | forward | redirect-to-cpu; Default: forward) | 当UFDB已经包含了具有这种MAC地址但具有不同端口的静态项时,对数据包进行处理。 |
| drop-dynamic-mac-move (yes | no; Default: no) | 如果MAC地址已经在其他端口上学习了,则在UFDB超时前禁止重新学习MAC地址。 |
| 属性 | 说明 |
|---|---|
| allow-fdb-based-vlan-translate (yes | no; Default: no) | 在端口上启用或禁用基于MAC地址的VLAN转换。 |
| allow-mac-based-service-vlan-assignment-for (all-frames | none | _tagged-frame-only | untagged-and-priority-tagged-frame-only; Default:none) | 应用基于MAC地址的服务VLAN转换的帧类型。 |
| allow-mac-based-customer-vlan-assignment-for ( all-frames | none | tagged-frame-only | untagged-and-priority-tagged-frame-only ; Default:none) | 适用于基于MAC地址的客户VLAN转换的帧类型。 |
| default-customer-pcp (0..7; Default: 0) | 端口的默认客户PCP。 |
| default-service-pcp (0..7; Default: 0) | 端口的默认服务PCP。 |
| pcp-propagation-for-initial-pcp (yes | no; Default: no) | 为入站处的初始 PCP 分配启用或禁用 PCP 传播。 - 如果端口 vlan-type 是边缘端口,则服务 PCP 从客户 PCP 复制。 - 如果端口 vlan-type 是网络端口,则从服务 PCP 复制客户 PCP。 |
| filter-untagged-frame (yes | no; Default: no) | 是否在端口上过滤未标记的帧。 |
| filter-priority-tagged-frame (yes | no; Default: no) | 是否在端口上过滤有优先权标记的帧。 |
| filter-tagged-frame (yes | no; Default: no) | 是否要过滤端口上的标记帧。 |
| 属性 | 说明 |
|---|---|
| egress-vlan-tag-table-lookup-key (according-to-bridge-type | egress-vid; Default: egress-vid) | 出站VLAN表(VLAN标签)查询。 - egress-vid - 查找 VLAN id 在配置边缘端口时为 CVID,在配置网络端口时为 SVID。 - according-to-bridge-type - 配置客户 VLAN 网桥时查找 VLAN id 为 CVID,配置服务 VLAN 网桥时为 SVID。 服务 VLAN 网桥中边缘端口的客户标签未修改。 |
| egress-vlan-mode (tagged | unmodified | untagged; Default: unmodified) | 端口上的出站 VLAN 标记操作。 |
| egress-pcp-propagation (yes | no; Default: no) | 启用或禁用出站 PCP 传播。 - 如果端口 vlan-type 是边缘端口,则服务 PCP 从客户 PCP 复制。 - 如果端口 vlan-type 是网络端口,则从服务 PCP 复制客户 PCP。 |
| 属性 | 说明 |
|---|---|
| ingress-mirror-to (mirror0 | mirror1 | none; Default: none) | 基于端口的入站镜像的分析端口。 |
| ingress-mirroring-according-to-vlan (yes | no; Default: no) | |
| egress-mirror-to (mirror0 | mirror1 | none; Default: none) | 基于端口的出站镜像的分析端口。 |
| 属性 | 说明 |
|---|---|
| qos-scheme-precedence (da-based | dscp-based | ingress-acl-based | pcp-based | protocol-based | sa-based | vlan-based; Default: pcp-based, sa-based, da-based, dscp-based, protocol-based, vlan-based) | 指定在端口入站处应用的QoS分配方案 - 基于da - 基于 dscp - 基于入站 acl - 基于 pcp - 基于协议 - 基于sa - 基于vlan |
| pcp-or-dscp-based-qos-change-dei (yes | no; Default: no) | 启用或禁用基于PCP或DSCP的端口DEI改变。 |
| pcp-or-dscp-based-qos-change-pcp (yes | no; Default: no) | 启用或禁用端口上的PCP或基于DSCP的PCP改变。 |
| pcp-or-dscp-based-qos-change-dscp (yes | no; Default: no) | 启用或禁用端口上基于PCP或DSCP的DSCP改变。 |
| dscp-based-qos-dscp-to-dscp-mapping (yes | no; Default: yes) | 启用或禁用端口上的DSCP到内部DSCP的映射。 |
| pcp-based-qos-drop-precedence-mapping (PCP/DEI-range:drop-precedence; Default: 0-15:green) | 丢弃优先级新值,用于 PCP\/DEI 到 drop precedence (drop | green | red | yellow) 映射。 多个映射允许用逗号分隔,例如 “0-7:黄色,8-15:红色”。 |
| pcp-based-qos-dscp-mapping (PCP/DEI-range:DEI; Default: 0-15:0) | PCP/DEI 到 DSCP (0..63) 映射的 DSCP 新值。 多个映射允许用逗号分隔,例如 “0-7:25,8-15:50”。 |
| pcp-based-qos-dei-mapping (PCP/DEI-range:DEI; Default: 0-15:0) | PCP/DEI 到 DEI (0..1) 映射的新 DEI 值。 多个映射允许用逗号分隔,例如 “0-7:0,8-15:1”。 |
| pcp-based-qos-pcp-mapping (PCP/DEI-range:DEI; Default: 0-15:0) | PCP/DEI 到 PCP (0..7) 映射的新 PCP 值。 多个映射允许用逗号分隔,例如 “0-7:3,8-15:4”。 |
| pcp-based-qos-priority-mapping (PCP/DEI-range:DEI; Default: 0-15:0) | PCP/DEI 到优先级 (0..15) 映射的内部优先级的新值。 多个映射允许用逗号分隔,例如 “0-7:5,8-15:15”。 |
| 属性 | 说明 |
|---|---|
| priority-to-queue (priority-range:queue; Default: 0-15:0,1:1,2:2,3:3) | 每个端口的内部优先级(0...15)与队列(0...7)的映射。 |
| per-queue-scheduling (Scheduling-type:Weight; Default: wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32, wrr-group0:64,wrr-group0:128) |
设置端口对每个队列组的流量整形使用严格或加权循环策略,每个队列用逗号分隔。 |
| 属性 | 说明 |
|---|---|
| ingress-customer-tpid-override (yes | no;Default:!ingress-customer-tpid-override) | |
| ingress-customer-tpid (0..10000; Default: 0x8100) | 入站客户TPID覆盖允许接受具有自定义客户标签TPID的特定帧。默认值是针对802.1Q帧的标签。 |
| egress-customer-tpid-override (yes | no; Default: !egress-customer-tpid-override) | |
| egress-customer-tpid (0..10000; Default:0x8100) | 出站客户TPID覆盖允许对带有客户标签的出站帧进行自定义识别。默认值为802.1Q帧的标签。 |
| ingress-service-tpid-override (yes | no; Default:!ingress-service-tpid-override)ingress-service-tpid (0..10000; Default: 0x88A8) | 入站服务TPID覆盖允许接受具有自定义服务标签TPID的特定帧。默认值是针对802.1AD帧的服务标签。 |
| egress-service-tpid-override (yes | no; Default:!egress-service-tpid-override) egress-service-tpid (0..10000; Default:0x88A8) | 出站服务TPID覆盖允许对带有服务标签的出站帧进行自定义识别。默认值是针对802.1AD帧的服务标签。 |
| 属性 | 说明 |
|---|---|
| custom-drop-counter-includes (counters; Default: none) | 自定义包括计算交换机端口的丢弃数据包,自定义丢弃数据包计数器。 - device-loopback - fdb-hash-violation - exceeded-port-learn-limitation。 - dynamic-station-move - static-station-move - ufdb-source-drop - host-source-drop - unknown-host - ingress-vlan-filtered |
| queue-custom-drop-counter0-includes (counters; Default: none) | 自定义包括计算交换机端口tx-queue-custom0-drop-packet的丢包和tx-queue-custom0-drop-byte计数器的字节。 - red - yellow - green - queue0 - ... - queue7 |
| queue-custom-drop-counter1-includes (counters; Default: none) | 自定义包括计算交换机端口tx-queue-custom1-drop-packet的丢包和tx-queue-custom1-drop-byte计数器的字节。 - red - yellow - green - queue0 - ... - queue7 |
| policy-drop-counter-includes (counters; Default: none) | 自定义包括为交换机端口策略计算丢弃的数据包--丢弃数据包计数器。 - ingress-policing - ingress-acl - egress-policing - egress-acl |
转发数据库
单播FDB
单播转发数据库最多支持16318个MAC项。
Sub-menu: /interface ethernet switch unicast-fdb
| 属性 | 说明 |
|---|---|
| action (action; Default: forward) | UFDB项的动作。 - dst-drop 当数据包的目的MAC与该项匹配时,数据包被丢弃。 - dst-redirect-to-cpu (当数据包的目的MAC与项匹配时,数据包将被重定向到CPU。 - forward (转发)- 数据包被转发。 - src-and-dst-drop 当数据包的源MAC或目的MAC与项匹配时,数据包被丢弃。 - src-and-dst-redirect-to-cpu (当数据包的源MAC或目的MAC与项匹配时,数据包会被重定向到CPU。 - src-drop (当数据包的源MAC与项匹配时,数据包被丢弃。 - src-redirect-to-cpu (当数据包的源MAC与项匹配时,数据包会被重定向到CPU。 |
| disabled (yes | no; Default: no) | 启用或禁用单播FDB项 |
| isolation-profile (community1 | community2 | isolated | promiscuous; Default: promiscuous) | MAC级别隔离配置文件。 |
| mac-address (MAC address) | 当目标 MAC 或源 MAC 与项匹配时,操作命令适用于数据包。 |
| mirror (yes | no; Default: no) | 启用或禁用基于源 MAC 或目标 MAC 的镜像。 |
| port (port) | 单播 FDB 项的匹配端口。 |
| qos-group (none; Default: none) | 从 QoS 组菜单中定义的 QoS 组。 |
| svl (yes | no; Default: no) | 单播FDB学习模式。 共享VLAN学习(svl)--学习/查询基于MAC地址--不基于VLAN ID。 独立VLAN学习(ivl)--学习/查询是基于MAC地址和VLAN ID。 |
| vlan-id (0..4095) | 单播FDB查询/学习VLAN ID。 |
多播FDB
CRS125交换机芯片在MFDB中最多支持1024个项,用于组播转发。对于每个组播数据包,都会在MFDB中进行目的MAC或目的IP的查找。MFDB项不会自动学习,只能配置。
Sub-menu: /interface ethernet switch multicast-fdb
| 属性 | 说明 |
|---|---|
| address (X.X.X.X | XX:XX:XX:XX:XX:XX) | 匹配多播数据包的IP地址或MAC地址。 |
| bypass-vlan-filter (yes | no; Default: no) | 允许绕过VLAN过滤,用于匹配多播数据包。 |
| disabled (yes | no; Default: no) | 启用或禁用多播FDB项。 |
| ports (ports) | 用于多播流量的成员端口。 |
| qos-group (none; Default: none) | 从QoS组菜单中定义的QoS组。 |
| svl (yes | no; Default: no) | 多播FDB学习模式。 - 共享VLAN学习(svl)--学习/查询基于MAC地址--不基于VLAN ID。 - 独立VLAN学习(ivl)--学习/查询是基于MAC地址和VLAN ID。 |
| vlan-id (0..4095; Default: 0) | 多播FDB查找VLAN id。如果VLAN学习模式是IVL,VLAN id就是查找id,否则VLAN id = 0。 |
保留FDB
Cloud Router Switch支持256个RFDB项。每个RFDB项可以存储带有特定命令的第2层单播或多播MAC地址。
Sub-menu: /interface ethernet switch reserved-fdb
| 属性 | 说明 |
|---|---|
| action (copy-to-cpu | drop | forward | redirect-to-cpu; Default: forward) | RFDB项的动作。 - copy-to-cpu 当数据包的目的MAC与该项匹配时,数据包被复制到CPU。 - drop- 当数据包的目的MAC与项匹配时,数据包被丢弃。 - forward (转发)- 当数据包的目的MAC与该项相匹配时,数据包被转发。 - redirect-to-cpu (当数据包的目的MAC与项匹配时,数据包被重定向到CPU。 |
| bypass-ingress-port-policing (yes | no; Default: no) | 允许绕过入站端口规则器的匹配数据包。 |
| bypass-ingress-vlan-filter (yes | no; Default: no) | 允许绕过VLAN过滤的匹配数据包。 |
| disabled (yes | no; Default: no) | 启用或禁用保留的FDB项。 |
| mac-address (MAC address; Default: 00:00:00:00:00:00) | 匹配的MAC地址为保留的FDB项。 |
| qos-group (none; Default: none) | 从QoS组菜单中定义的QoS组。 |
VLAN
VLAN表
VLAN表支持4096个项,用于存储VLAN成员信息以及其他VLAN信息,如QoS、隔离、强制VLAN、学习和镜像。
Sub-menu: /interface ethernet switch vlan
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 指示VLAN项是否被禁用。只有启用的项才被应用于查找过程和转发决策。 |
| flood (yes | no; Default: no) | 启用或停用每个VLAN的强制VLAN泛滥。如果该功能被启用,UFDB或MFDB中目标MAC查询的结果被忽略,数据包被强制在VLAN中泛滥。 |
| ingress-mirror (yes | no; Default: no) | 启用每个VLAN的入站镜像,以支持基于VLAN的镜像功能。 |
| learn (yes | no; Default: yes) | 启用或禁用VLAN的源MAC学习。 |
| ports (ports) | VLAN的成员端口 |
| qos-group (none; Default: none) | 从QoS组菜单中定义的QoS组。 |
| svl (yes | no; Default: no) | FDB查询模式用于UFDB和MFDB中的查询。 - 共享VLAN学习(svl)--学习/查询是基于MAC地址,而不是VLAN ID。 - 独立VLAN学习(ivl)--学习/查询是基于MAC地址和VLAN ID。 |
| vlan-id (0..4095) | VLAN成员项的VLAN id。 |
出站VLAN标签
出站数据包可以被分配不同的VLAN标签格式。当数据包被发送到出站端口(目标端口)时,VLAN标签可以被移除、添加或保持原样。每个端口对出站的VLAN标签格式有专门的控制。标签格式包括。
无标签的
有标签
未修改的
出站VLAN标签表包括4096个项用于VLAN标签选择。
Sub-menu: /interface ethernet switch egress-vlan-tag
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 启用或禁用出站VLAN标签项。 |
| tagged-ports (ports) | 在出站处被标记的端口。 |
| vlan-id (0..4095) | 在出站处被标记的VLAN ID。 |
#3# 入站/出站VLAN转换
入站VLAN转换表允许每个端口有多达15个项。可以从数据包头中选择一个或多个字段,以便在Ingress VLAN Translation表中查找。在第一个匹配项中配置的S-VLAN或C-VLAN或两者都被分配给数据包。
Sub-menu: /interface ethernet switch ingress-vlan-translation
Sub-menu: /interface ethernet switch egress-vlan-translation
| 属性 | 说明 |
|---|---|
| customer-dei (0..1; Default: none) | 与客户标签的DEI相匹配。 |
| customer-pcp (0..7; Default: none) | 与客户标签的PCP相匹配。 |
| customer-vid (0..4095; Default: none) | 与客户标签匹配的VLAN ID。 |
| customer-vlan-format (any | priority-tagged-or-tagged | tagged | untagged-or-tagged; Default:any) | VLAN转换规则有效的带有客户标签的帧的类型。 |
| disabled (yes | no; Default: no) | 启用或禁用VLAN转换项。 |
| new-customer-vid (0..4095; Default: none) | 取代匹配的客户VLAN ID的新客户VLAN ID。如果设置为4095并使用入站VLAN转换,则流量会被丢弃。 |
| new-service-vid (0..4095; Default: none) | 替换匹配的服务VLAN id的新服务VLAN id。 |
| pcp-propagation (yes | no; Default: no) | 启用或禁用PCP传播。 - 如果端口类型是Edge,客户PCP将从服务PCP中复制。 - 如果端口类型是Network,服务PCP将从客户PCP中复制。 |
| ports (ports) | 为VLAN转换规则匹配的交换机端口。 |
| protocol (protocols; Default: none) | 匹配的以太网协议。 (仅用于入站VLAN转换) |
| sa-learning (yes | no; Default: no) | 启用或禁用VLAN转换后的源MAC学习。 (仅适用于入站VLAN转换)_ |
| service-dei (0..1; Default: none) | 与服务标签的DEI匹配。 |
| service-pcp (0..7; Default: none) | 与服务标签的PCP匹配。 |
| service-vid (0..4095; Default: none) | 与服务标签的VLAN ID匹配。 |
| service-vlan-format (any | priority-tagged-or-tagged | tagged | untagged-or-tagged; Default:any) | VLAN转换规则有效的带有服务标签的帧类型。 |
下面是一个触发设置了某种VLAN格式规则的流量表,注意,用VLAN ID 0标记的流量是一种特殊情况,也会被考虑在内。
| 属性 | 说明 |
|---|---|
| any | 接受: - 未标记的流量 - 标签流量 - 设置了优先级的标签流量 - VLAN 0流量 - 设置了优先级的VLAN 0流量 |
| priority-tagged-or-tagged | 接受: - 标签流量 - 设置了优先级的标签流量 - VLAN 0流量 - 设置了优先级的VLAN 0流量 |
| tagged | 接受: - 标签流量 - 设置了优先权的标签流量 |
| untagged-or-tagged | 接受: - 未标记的流量 - 标签流量 - 已设置优先级的标签流量 |
如果 VLAN-format 设置为 any ,那么 customer-vid/service-vid 设置为 0 将触发VLAN 0流量的交换规则。在这种情况下,交换机规则将寻找无标签的流量或带有VLAN 0标签的流量,在这种情况下,只有 untagged-or-tagged 会过滤掉VLAN 0流量。
基于协议的VLAN
基于协议的VLAN表用于为每个端口的相关协议包分配VID和QoS属性。
Sub-menu: /interface ethernet switch protocol-based-vlan
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 启用或禁用基于协议的VLAN项。 |
| frame-type (ethernet | llc | rfc-1042; Default: ethernet) | 匹配的帧的封装类型。 |
| new-customer-vid (0..4095; Default: 0) | 新的客户VLAN ID,用于替代指定协议的原始客户VLAN ID。如果设置为4095,则流量被丢弃。 |
| new-service-vid (0..4095; Default: 0) | 新服务的VLAN ID,它取代了指定协议的原始服务VLAN ID。 |
| ports (ports) | 为基于协议的VLAN规则匹配交换机端口。 |
| protocol (protocol; Default: 0) | 基于协议的VLAN规则的匹配协议。 |
| qos-group (none; Default: none) | 从QoS组菜单中定义的QoS组。 |
| set-customer-vid-for (all | none | tagged | untagged-or-priority-tagged; Default: all) | 针对不同数据包类型的客户VLAN id分配命令。 |
| set-qos-for (all | none | tagged | untagged-or-priority-tagged; Default: none) | 适用于QoS分配命令的帧类型。 |
| set-service-vid-for (all | none | tagged | untagged-or-priority-tagged; Default: all) | 针对不同数据包类型的服务VLAN id分配命令。 |
基于MAC地址的VLAN
基于MAC的VLAN表是根据源MAC分配VLAN的。
Sub-menu: /interface ethernet switch mac-based-vlan
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 启用或禁用基于MAC的VLAN项。 |
| new-customer-vid (0..4095; Default: 0) | 新的客户VLAN ID,它取代了匹配数据包的原始服务VLAN ID。如果设置为4095,则流量被丢弃。 |
| new-service-vid (0..4095; Default: 0) | The new service VLAN id which replaces original service VLAN id for matched packets. |
| src-mac-address (MAC address) | 基于MAC的VLAN规则的匹配源MAC地址。 |
所有CRS1xx/2xx系列交换机支持多达1024个基于MAC的VLAN项。
1:1 VLAN 交换
1:1 VLAN交换可以用来取代匹配数据包的常规L2网桥。当一个数据包碰到一个1:1 VLAN交换项时,该项中的目标端口信息就会被分配给该数据包。UFDB和MFDB项中的匹配目标信息不再适用于该数据包。
Sub-menu: /interface ethernet switch one2one-vlan-switching
| 属性 | 说明 |
|---|---|
| customer-vid (0..4095; Default: 0) | 匹配客户的VLAN id,用于1:1 VLAN交換。 |
| disabled (yes | no; Default: no) | 启用或禁用1:1 VLAN交换表项。 |
| dst-port (port) | 匹配1:1 VLAN交换数据包的目的端口。 |
| service-vid (0..4095; Default: 0) | 匹配客户的VLAN id,用于1:1 VLAN交换。 |
端口隔离/泄露
CRS交换机支持灵活的多级隔离功能,可用于用户访问控制、流量工程以及高级安全和网络管理。隔离功能提供了一个有序的结构,允许用户按端口、MAC地址、VLAN、协议、流量和帧类型轻松编程并控制访问。支持以下隔离和泄漏功能。
端口级隔离
MAC级隔离
VLAN级隔离
协议级隔离
流量级隔离
上述各项的自由组合
端口级隔离支持源端口和目的端口的不同控制方案。每一项都可以编程为源端口或目的端口的访问控制。
当该项编程为源端口访问控制时,应用于入站数据包。
当该项编程为目的端口访问控制时,应用于出站数据包。
端口泄漏允许绕过端口上的出站VLAN过滤。泄漏端口允许访问其他端口,用于各种应用,如安全、网络控制和管理。注意:当隔离和泄漏都应用于同一个端口时,该端口是隔离的。
Sub-menu: /interface ethernet switch port-isolation
Sub-menu: /interface ethernet switch port-leakage
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 启用或禁用端口隔离/泄漏项。 |
| flow-id (0..63; Default: none) | |
| forwarding-type (bridged; routed; Default: bridged,routed) | 匹配Cloud Router Switch上的流量转发类型。 |
| mac-profile (community1 | community2 | isolated | promiscuous; Default: none) | 匹配的MAC隔离/泄漏配置文件。 |
| port-profile (0..31; Default: none) | 匹配的端口隔离/泄漏配置文件。 |
| ports (ports; Default: none) | 隔离/泄漏端口 |
| protocol-type (arp; nd; dhcpv4; dhcpv6; ripv1; Default: arp,nd,dhcpv4,dhcpv6,ripv1) | 包括隔离/泄漏的协议。 |
| registration-status (known; unknown; Default: known,unknown) | 匹配数据包的注册状态。已知存在于UFDB和MFDB中,未知的不存在。 |
| traffic-type (unicast; multicast; broadcast; Default: unicast,multicast,broadcast) | 匹配流量类型 |
| type (dst | src; Default: src) | 隔离/泄漏项的查找类型。 - src-该项适用于端口入站数据包。 - dst -该项适用于端口出站数据包。 |
| vlan-profile (community1 | community2 | isolated | promiscuous; Default: none) | 匹配的VLAN隔离/泄漏配置文件。 |
聚合
Cloud Router Switches提供静态链路聚合组,具有硬件自动故障切换和负载均衡功能。不支持IEEE802.3ad和IEEE802.1ax兼容的链接聚合控制协议。最多支持8个聚合组,每个聚合组最多支持8个聚合成员端口。CRS端口集群根据以下参数计算发送散列。L2 src-dst MAC + L3 src-dst IP + L4 src-dst Port。
Sub-menu: /interface ethernet switch trunk
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 启用或禁用端口聚合。 |
| member-ports (ports) | 聚合组的成员端口。 |
| name (string value; Default: trunkX) | 聚合组的名称。 |
服务质量
整形器
流量整形限制了从接口传出去的流量的速率和突发包大小。整形器由一个令牌桶实现。如果数据包超过了最大速率或突发大小,意味着没有足够的令牌,数据包将被存储到缓冲区,直到有足够的令牌来传输它。
Sub-menu: /interface ethernet switch shaper
| 属性 | 说明 |
|---|---|
| burst (integer; Default: 100k) | 允许突发时可传输的最大数据率。 |
| disabled (yes | no; Default: no) | 启用或禁用流量整形器项。 |
| meter-unit (bit | packet; Default: bit) | 流量整形器速率测量单位。 |
| port (port) | 流量整形器的物理端口。 |
| rate (integer; Default: 1M) | 最大速率限制。 |
| target (port | queueX | wrr-groupX; Default: port) | 每个端口(包括CPU端口)都支持三个级别的整形器。 - Port level (端口级别)-该项适用于交换机芯片端口。 - WRR group level (WRR组级别)--该项适用于端口上的2个加权轮询队列组之一(wrr-group0, wrr-group1)。 - Queue level (队列级别)-该项适用于端口上8个队列之一(queue0 - queue7)。 |
入站端口监控器
Sub-menu: /interface ethernet switch ingress-port-policer
| 属性 | 说明 |
|---|---|
| burst (integer; Default: 100k) | 允许突发时可传输的最大数据率。 |
| disabled (yes | no; Default: no) | 启用或禁用入站端口监控器项。 |
| meter-len (layer-1 | layer-2 | layer-3; Default: layer-1) | 数据包分类,为计量设定数据包的字节长度。 - layer-1 (包括整个layer-2 frame + FCS + inter-packet gap + preamble。 - layer-2 (包括第2层框架+FCS。 - layer-3 (只包括第3层+以太网填充,没有第2层头和FCS。 |
| meter-unit (bit | packet; Default: bit) | 流量入站口监控器速率的测量单位。 |
| new-dei-for-yellow (0..1 | remap; Default: none) | 如果yellow-action被标注,则超过流量的DEI将被标注。 |
| new-dscp-for-yellow (0..63 | remap; Default: none) | 如果yellow-action被标注,则超过的流量的DSCP将被标注。 |
| new-pcp-for-yellow (0..7 | remap; Default: none) | 如果yellow-action被标注,则超过的流量的PCP将被标注。 |
| packet-types (packet-types; Default: all types from 说明) | 匹配入站端口监控器项的有效数据包类型。 |
| port (port) | 用于入站端口监控器项的物理端口或聚合。 |
| rate (integer) | 最大速率限制。 |
| yellow-action (drop | forward | remark; Default: drop) | 对超出的流量进行了处理。 |
QoS组
全局QoS组表用来为基于VLAN、协议和MAC的QoS组指定配置。
Sub-menu: /interface ethernet switch qos-group
| 属性 | 说明 |
|---|---|
| dei (0..1; Default: none) | QoS组的DEI的新值。 |
| disabled (yes | no; Default: no) | 启用或禁用协议QoS组项。 |
| drop-precedence (drop | green | red | yellow; Default: green) | 丢弃优先级是内部QoS属性,用于数据包的排队或丢弃。 |
| dscp (0..63; Default: none) | QoS组的DSCP新值。 |
| name (string value; Default: groupX) | QoS组名称。 |
| pcp (0..7; Default: none) | QoS组的PCP新值。 |
| priority (0..15; Default: 0) | 内部优先级是一种局部的优先级,用于将流量分类到端口上的不同出站队列。(1为最高,15为最低) |
DSCP QOS映射
全局DSCP到QOS的映射表用于从数据包的DSCP到表中配置的新的QoS属性的映射。
Sub-menu: /interface ethernet switch dscp-qos-map
| 属性 | 说明 |
|---|---|
| dei (0..1) | The new value of DEI for the DSCP to QOS mapping entry. |
| drop-precedence (drop | green | red | yellow) | DSCP到QOS映射项的丢弃优先级新值。 |
| pcp (0..7) | DSCP到QOS映射项的PCP新值。 |
| priority (0..15) | DSCP到QOS映射项的内部优先级新值。 |
DSCP到DSCP映射
全局DSCP到DSCP映射表用于从数据包的原始DSCP到表中配置的新DSCP值的映射。
Sub-menu: /interface ethernet switch dscp-to-dscp
| 属性 | 说明 |
|---|---|
| new-dscp (0..63) | DSCP到DSCP映射项的DSCP新值。 |
监控器QoS映射
Sub-menu: /interface ethernet switch policer-qos-map
| 属性 | 说明 |
|---|---|
| dei-for-red (0..1; Default: 0) | 红色数据包的监控器DEI重映射值。 |
| dei-for-yellow (0..1; Default: 0) | 黄色数据包的监控器DEI重映射值。 |
| dscp-for-red (0..63; Default: 0) | 红色数据包的监控器DSCP重映射值。 |
| dscp-for-yellow (0..63; Default: 0) | 黄色数据包的监控器DSCP重映射值。 |
| pcp-for-red (0..7; Default: 0) | 红色数据包的监控器PCP重映射值。 |
| pcp-for-yellow (0..7; Default: 0) | 黄色数据包的监控器PCP重映射值。 |
访问控制表
访问控制表包含入站策略和出站策略引擎,允许配置多达128条策略规则(受RouterOS限制)。它是基于第二层、第三层和第四层协议头字段条件的线速包过滤、转发、整形和修改的高级工具。
关于访问控制表支持的云路由器交换机设备,请参见摘要部分。
由于硬件限制,不可能在特定端口上匹配广播/多播流量。你应该用端口隔离,在入站端口丢弃流量或使用VLAN过滤来防止某些广播/多播流量被转发。
Sub-menu: /interface ethernet switch acl
ACL条件用于数据包的MAC相关字段。
| 属性 | 说明 |
|---|---|
| disabled (yes | no; Default: no) | 启用或禁用ACL项。 |
| table (egress | ingress; Default: ingress) | 为传入或传出的数据包选择策略表。 |
| invert-match (yes | no; Default: no) | 撤销整个ACL规则匹配。 |
| src-ports (ports,trunks) | 匹配的物理源端口或聚合。 |
| dst-ports (ports,trunks) | 匹配物理目的端口或聚合。由于硬件限制,无法在出站端口匹配广播/多播流量。 |
| mac-src-address (MAC address/Mask) | 源MAC地址和掩码。 |
| mac-dst-address (MAC address/Mask) | 目的MAC地址和掩码。 |
| dst-addr-registered (yes | no) | 定义是否匹配具有注册状态的数据包 - 目标MAC地址在UFDB/MFDB/RFDB中的数据包。仅在出站表中有效。 |
| mac-protocol (802.2 | arp | homeplug-av | ip | ip-or-ipv6 | ipv6 | ipx | lldp | loop-protect | mpls-multicast | mpls-unicast | non-ip | packing-compr | packing-simple | pppoe | pppoe-discovery | rarp | service-vlan | vlan or integer: 0..65535 decimal format or 0x0000-0xffff hex format) | 以太网有效载荷类型(MAC层协议)。 - 802.2 - 802.2帧(0x0004) - arp - 地址解析协议(0x0806)。 - homeplug-av - HomePlug AV MME(0x88E1) - ip - 互联网协议版本4(0x0800)。 - ip-or-ipv6 - IPv4或IPv6(0x0800或0x86DD)。 - ipv6 - 互联网协议版本6(0x86DD)。 - ipx (0x8137) ipx (0x8137) 国际网络包交换(0x8137)。 - lldp 链路层发现协议(0x88CC)。 - loop-protect 环路保护协议(0x9003) - mpls-multicast - MPLS多播(0x8848)。 - mpls-unicast - MPLS单播(0x8847)。 - non-ip - 非互联网协议版本4(不是0x0800)。 - packing-compr - 用压缩的IP包装封装的数据包 (0x9001) - packing-simple packing-simple - 用简单的IP包装封装的数据包 (0x9000) - pppoe - PPPoE会话阶段(0x8864) - ppoe-discovery - PPPoE发现阶段(0x8863) - rarp - 反向地址解析协议(0x8035)。 - service-vlan - Provider Bridging (IEEE 802.1ad) & Shortest Path Bridging IEEE 802.1aq (0x88A8) - vlan - VLAN标记的帧(IEEE 802.1Q)和最短路径桥接IEEE 802.1aq与NNI兼容(0x8100)。 |
| drop-precedence (drop | green | red | yellow) | 匹配的内部丢弃优先级。仅在出站表中有效。 |
| custom-fields |
用于数据包的VLAN相关字段的ACL条件。
| 属性 | 说明 |
|---|---|
| lookup-vid (0..4095) | 用于查找的VLAN id。在到达出站表前,可以被改变。 |
| service-vid (0-4095) | 匹配服务VLAN id. |
| service-pcp (0..7) | 匹配服务 PCP. |
| service-dei (0..1) | 匹配服务 DEI. |
| service-tag (priority-tagged | tagged | tagged-or-priority-tagged | untagged) | 服务标签格式。 |
| customer-vid (0-4095) | 匹配用户VLAN id. |
| customer-pcp (0..7) | 匹配用户PCP. |
| customer-dei (0..1) | 匹配用户 DEI. |
| customer-tag (priority-tagged | tagged | tagged-or-priority-tagged | untagged) | 客户标签格式。 |
| priority (0..15) | 匹配的内部优先级。仅在出站表中有效。 |
ACL条件用于数据包的IPv4和IPv6相关字段。
| 属性 | 说明 |
|---|---|
| ip-src (IPv4/0..32) | 匹配源IPv4地址。 |
| ip-dst (IPv4/0..32) | 匹配目标IPv4地址。 |
| ip-protocol (tcp | udp | udp-lite | other) | IP协议类型。 |
| src-l3-port (0-65535) | 匹配Layer3源端口。 |
| dst-l3-port (0-65535) | 匹配Layer3目的端口。 |
| ttl (0 | 1 | max | other) | 匹配数据包的TTL字段。 |
| dscp (0..63) | 匹配数据包的DSCP字段。 |
| ecn (0..3) | 匹配数据包的ECN字段。 |
| fragmented (yes | no) | 是否匹配碎片化的数据包。 |
| first-fragment (yes | no) | YES 匹配非碎片和第一个碎片,NO 匹配其他碎片。 |
| ipv6-src (IPv6/0..128) | 匹配源IPv6地址。 |
| ipv6-dst (IPv6/0..128) | 匹配目的IPv6地址。 |
| mac-isolation-profile (community1 | community2 | isolated | promiscuous) | 匹配基于UFDB的隔离配置文件。仅在出站策略表中有效。 |
| src-mac-addr-state (dynamic-station-move | sa-found | sa-not-found | static-station-move) | 定义是否匹配有注册状态的数据包 - 目标MAC地址在UFDB/MFDB/RFDB中的数据包。仅在出站策略表中有效。 |
| flow-id (0..63) |
ACL规则处理部分。
| 属性 | 说明 |
|---|---|
| action (_copy-to-cpu | drop | forward | _ |
| redirect-to-cpu | send-to-new-dst-ports; Default: forward) | - copy- to-cpu 如果数据包符合ACL条件,则复制到CPU。 - drop- 如果数据包符合ACL条件,则将其丢弃。 - forward- 如果数据包符合ACL条件,将被转发。 - redirect- 如果数据包符合ACL条件,则被重定向到CPU。 - send-to-new-dst-ports 如果数据包符合ACL条件,则被发送到新的目标端口。 |
| new-dst-ports (ports,trunks) | 如果动作是 "send-to-new-dst-ports",那么这个属性设置哪些端口/聚合是新的目的地。 |
| mirror-to (mirror0 | mirror1) | ACL数据包的镜像目的地。 |
| policer (policer) | 为ACL数据包应用ACL Policer。 |
| src-mac-learn (yes | no) | 是否学习匹配ACL数据包的源MAC。仅在入站策略表中有效。 |
| new-service-vid (0..4095) | ACL数据包的新服务VLAN ID。 |
| new-service-pcp (0..7) | 用于ACL数据包的新服务PCP。 |
| new-service-dei (0..1) | ACL数据包的新服务DEI。 |
| new-customer-vid (0..4095) | ACL数据包的新客户VLAN ID。如果设置为4095,则流量被丢弃。 |
| new-customer-pcp (0..7) | 用于ACL数据包的新客户PCP。 |
| new-customer-dei (0..1) | 用于ACL数据包的新客户DEI。 |
| new-dscp (0..63) | ACL数据包的新DSCP。 |
| new-priority (0..15) | ACL数据包的新内部优先级。 |
| new-drop-precedence (drop | green | red | yellow) | 为ACL数据包提供新的内部丢弃优先权。 |
| new-registered-state (yes | no) | 是否修改数据包状态。YES设置数据包状态为已注册,NO - 未注册。仅在入站策略表中有效。 |
| new-flow-id (0..63) |
ACL数据包过滤绕过部分。
| 属性 | 说明 |
|---|---|
| attack-filter-bypass (yes | no; Default: no) | |
| ingress-vlan-filter-bypass (yes | no; Default: no) | 允许绕过VLAN表中的入站VLAN过滤,用于匹配数据包。只适用于如站策略表。 |
| egress-vlan-filter-bypass (yes | no; Default: no) | 允许绕过VLAN表中的出站VLAN过滤,用于匹配数据包。只适用于入站策略表。 |
| isolation-filter-bypass (yes | no; Default: no) | 允许绕过隔离表进行匹配数据包。只适用于入站策略表。 |
| egress-vlan-translate-bypass (yes | no; Default: no) | 允许绕过出站VLAN转换表来匹配数据包。 |
ACL监控器
Sub-menu: /interface ethernet switch acl policer
| 属性 | 说明 |
|---|---|
| name (string; Default: policerX) | ACL中使用的监控器名称。 |
| yellow-rate (integer) | 有黄色丢弃优先级的数据包的最大速率限制。 |
| yellow-burst (integer; Default: 0) | 在允许突发的情况下,有黄色丢弃优先级的数据包可以传输的最大速率。 |
| red-rate (integer); Default: 0) | 有红色丢弃优先级的数据包的最大速率限制。 |
| red-burst (integer; Default: 0) | 在允许突发的情况下,有红色丢弃优先级的数据包可以传输的最大速率。 |
| meter-unit (bit | packet; Default: bit) | ACL流量速率的测量单位。 |
| meter-len (layer-1 | layer-2 | layer-3; Default: layer-1) | 数据包分类,为计量设置数据包字节长度。 - layer-1 包括整个layer-2 frame + FCS + inter-packet gap + preamble。 - layer-2 包括第2层框架+FCS。 - layer-3 只有第3层+以太网填充,没有第2层头和FCS。 |
| color-awareness (yes | no; Default: no) | YES - 监控器关注预着色的下降优先级,NO - 忽略下降优先级。 |
| bucket-coupling (yes | no; Default: no) | |
| yellow-action (_drop | forward | remark_; Default: drop) |
| new-dei-for-yellow (0..1 | remap) | 用于黄色丢弃优先级数据包的新DEI。 |
| new-pcp-for-yellow (0..7 | remap) | 用于黄色丢弃优先级数据包的新PCP。 |
| new-dscp-for-yellow (_0..63 | remap_) |
| red-action (drop | forward | remark; Default: drop) | 对超过的流量执行红色下降优先级的处理。 |
| new-dei-for-red (0..1 | remap) | 用于红色丢弃优先级数据包的新DEI。 |
| new-pcp-for-red (0..7 | remap) | 用于红色丢弃优先级数据包的新PCP。 |
| new-dscp-for-red (0..63 | remap) | 用于红色丢弃优先级数据包的新DSCP。 |