WispOSWispOS
Guida MikroTik
Interfacce, switching e VLANBase

Il Bridge RouterOS: dominio L2 e gestione porte

Cos'è un bridge in RouterOS, come crea un dominio Layer 2, come aggiungere porte e controllare la MAC address table (host table).

Un bridge in RouterOS è un'interfaccia virtuale che unisce più porte fisiche (o virtuali) in un unico dominio di broadcast Layer 2, esattamente come uno switch non gestito. Il traffico viene inoltrato in base alla MAC address table (chiamata host table in RouterOS): il bridge impara dinamicamente quale MAC è raggiungibile su quale porta e inoltra unicast direttamente, senza flooding.

Creare un bridge e aggiungere porte

Creazione bridge minimale e aggiunta di porte
# 1. Creare il bridge
/interface/bridge
add name=bridge1 comment="LAN principale"

# 2. Aggiungere interfacce al bridge
/interface/bridge/port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4

# 3. Assegnare IP al bridge (interfaccia L3)
/ip/address
add address=192.168.1.1/24 interface=bridge1

MAC address table: aging e voci statiche

RouterOS mantiene la tabella MAC nel path /interface/bridge/host. Ogni voce ha un ageing-time (default 5 minuti) dopo il quale, se non ci sono traffico, viene rimossa. Si possono aggiungere voci statiche (flag S) per dispositivi con MAC fisso.

Gestione host table
# Visualizzare tutte le voci MAC apprese
/interface/bridge/host print

# Aggiungere voce statica (MAC sempre su ether2, VLAN 10)
/interface/bridge/host
add bridge=bridge1 interface=ether2 mac-address=AA:BB:CC:DD:EE:FF vid=10

# Modificare ageing-time del bridge (es. 10 minuti)
/interface/bridge
set bridge1 ageing-time=10m

Fast-path e fast-forward

fast-path è la via veloce del kernel per l'inoltro: bypassa il firewall IP quando un pacchetto non necessita elaborazione aggiuntiva. fast-forward è specifico del bridge: se due porte fanno parte dello stesso bridge e non ci sono regole firewall bridge attive, il pacchetto viene inoltrato direttamente in kernel space. Entrambe le ottimizzazioni si disabilitano automaticamente appena si abilita ip-firewall sul bridge o DHCP snooping.

Verifica stato fast-path e fast-forward
# Statistiche fast-path e fast-forward per il bridge
/interface/bridge/settings print stats
BEST PRACTICE: assegnare l'IP di gestione sempre all'interfaccia bridge (non a una porta fisica). Se devi spostare il management su una VLAN dedicata, crea prima la VLAN L3 sul bridge prima di abilitare vlan-filtering, altrimenti perdi l'accesso remoto.

Parametri bridge rilevanti

  • auto-mac=yes (default): il bridge usa il MAC più basso tra le porte. Con auto-mac=no si specifica admin-mac manualmente.
  • arp=enabled (default): il bridge risponde alle ARP. Con arp=reply-only risponde solo alle ARP per IP assegnati a lui.
  • igmp-snooping=yes: previene il flood di multicast su tutte le porte, ottimizza traffico IPTV/streaming.
  • dhcp-snooping=yes: blocca DHCP server fasulli su porte non fidate (disabilita fast-forward).
  • max-learned-entries: limita le voci MAC apprendibili (protezione MAC flooding).
Su RouterOS v7 è fortemente preferito usare il bridge con VLAN filtering rispetto alle vecchie interfacce /interface/vlan stacked direttamente su porte fisiche. Il bridge offre hardware offload, STP/RSTP e gestione VLAN centralizzata.
bridgeswitchL2dominio broadcastMAC tablehost tableagingfast-forwardfast-pathporte bridge

Continua con

Interfacce Ethernet: velocità, duplex e MTUHardware Offload: switch chip e forwarding wire-speedVLAN 802.1Q con bridge vlan-filtering: configurazione completa e sicuraQinQ 802.1ad: doppio tag VLAN per reti provider

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS