Microtik RouterOS

Getting Started

Hardware Support
Feature support based on architecture
First Time Configuration
Securing your router
Upgrading and installation

Bridging and Switching

Bridging and Switching

Getting Started

RouterOS는 Linux 커널 기반의 독립형 운영체제입니다. 이 운영체제는 MikroTik 하드웨어 디바이스를 구동하지만 가상 머신에서도 사용할 수 있습니다. 이 문서를 읽고 있지만 RouterOS를 사용해 본 경험이 없는 경우 왼쪽의 메뉴를 사용하여 RouterOS의 첫 단계에 대해 알아보시기 바랍니다. 장치에 연결하는 다양한 방법은 '관리 도구' 섹션에서 설명합니다.

Getting Started

Hardware Support

하드웨어 지원

MikroTik에서 만든 장치: 라우터OS는 사전 설치되어 제공되는 MikroTik 하드웨어와 호환됩니다. 더 이상 제조되지 않는 MikroTik 디바이스도 최신 RouterOS 버전을 실행할 수 있으며 소프트웨어 업데이트를 받을 수 있습니다. 가장 오래된 제품 라인의 경우 몇 가지 예외가 있습니다. 최신 RouterOS v7은 모든 MIPS-LE 디바이스 제품군(예: RB100, 시리즈, 일부 RB700 시리즈 디바이스 등)과 호환되지 않으므로 해당 디바이스의 아키텍처를 확인하시기 바랍니다. 또한 RAM이 32MB 이하인 MikroTik 디바이스와는 호환되지 않으며, 최소 64MB를 권장합니다. 요컨대, 소프트웨어 호환성이나 업그레이드에는 정해진 제한이 없습니다. 더 이상 제조된 지 20년이 지나지 않은 디바이스라도 RAM이 충분하고 MIPS-LE CPU를 기반으로 하지 않는 한 소프트웨어 업데이트를 받을 수 있습니다.

타사 장치: 다음 요구 사항을 충족하는 경우 타사 장치에서도 라우터OS를 실행할 수 있습니다:

x86 또는 AMPERE 기반 ARM CPU
최소 64MB RAM
IDE, SATA, USB 및 최소 64MB 공간의 플래시 저장 매체
Linux 커널에서 지원하는 네트워크 카드

참고: NVMe 스토리지는 CHR, x86, Tile 및 MMIPS 아키텍처에서만 지원됩니다. 자세한 내용은 각 제품 브로셔 또는 블록 다이어그램을 참조하세요.

참고: 최소 64MB의 RAM이 없는 하드웨어에서는 v7을 실행하지 않는 것이 좋습니다.

설치

네트워크 설치: PXE 또는 EtherBoot가 활성화된 네트워크 카드를 통해 네트워크 기반 완전 설치
CHR: 가상 머신으로 실행하기 위한 RouterOS 버전
CD 기반 설치

구성

초기 구성용 MAC 기반 액세스
WinBox – 독립형 Windows GUI 구성 도구
Webfig - 고급 웹 기반 구성 인터페이스
MikroTik - Android 및 iOS 기반 구성 도구
강력한 명령줄 구성 인터페이스(스크립팅 기능 내장), 로컬 터미널, 시리얼 콘솔, Telnet 및 SSH를 통해 액세스 가능
API - 자체 구성 및 모니터링 애플리케이션 개발을 위한 인터페이스

백업/복원

이진 구성 파일 백업 및 복원
인간이 읽을 수 있는 텍스트 형식으로 구성 파일 수출 및 수입

방화벽

상태 기반 필터링
소스 및 목적지 NAT
NAT 헬퍼 (h323, pptp, quake3, sip, ftp, irc, tftp)
내부 연결, 라우팅 및 패킷 마크
IP 주소 및 주소 범위, 포트 및 포트 범위, IP 프로토콜, DSCP 등에 따른 필터링
주소 목록
맞춤형 Layer7 매처
IPv6 지원
PCC - 연결별 분류기, 로드 밸런싱 구성에 사용
RAW 필터링으로 연결 추적 우회.

라우팅

정적 라우팅
가상 라우팅 및 포워딩 (VRF)
정책 기반 라우팅
인터페이스 라우팅
ECMP 라우팅
IPv4 동적 라우팅 프로토콜: RIP v1/v2, OSPFv2, BGP v4
IPv6 동적 라우팅 프로토콜: RIPng, OSPFv3, BGP
양방향 포워딩 감지 (BFD)

MPLS

IPv4용 정적 라벨 바인딩
IPv4용 라벨 분배 프로토콜
RSVP 트래픽 엔지니어링 터널
MP-BGP 기반 자동 발견 및 신호화
MP-BGP 기반 MPLS IP VPN

VPN

IPSec – 터널 및 전송 모드, 인증서 또는 PSK, AH 및 ESP 보안 프로토콜.
IKEv2 지원
IPSec용 AES-NI 하드웨어 가속화 지원
포인트 투 포인트 터널링 (OpenVPN, PPTP, PPPoE, L2TP, SSTP)
고급 PPP 기능 (MLPPP, BCP)
BCP 지원 (SSTP, PPP, PPTP, L2TP 및 PPPoE)
간단한 터널 (IPIP, EoIP) IPv4 및 IPv6 지원
6to4 터널 지원 (IPv6 over IPv4 네트워크)
VLAN – IEEE802.1q 가상 LAN 지원, Q-in-Q 지원
MPLS 기반 VPN
WireGuard
ZeroTier

무선

IEEE802.11a/b/g 무선 클라이언트 및 액세스 포인트
완전한 IEEE802.11n 지원
Nstreme 및 Nstreme2 전용 프로토콜
NV2 프로토콜
무선 분배 시스템 (WDS)
가상 AP
WEP, WPA, WPA2
액세스 제어 목록
무선 클라이언트 로밍
WMM
HWMP+ 무선 MESH 프로토콜
MME 무선 라우팅 프로토콜

DHCP

인터페이스별 DHCP 서버
DHCP 클라이언트 및 중계
정적 및 동적 DHCP 할당
RADIUS 지원
맞춤형 DHCP 옵션
DHCPv6 접두사 위임 (DHCPv6-PD)
DHCPv6 클라이언트

핫스팟

네트워크에 대한 플러그 앤 플레이 액세스
로컬 네트워크 클라이언트 인증
사용자 계정 관리
인증 및 계정 관리용 RADIUS 지원

QoS

계층형 토큰 버킷 (HTB) QoS 시스템 (CIR, MIR, 버스트 및 우선순위 지원)
기본 QoS 구현을 위한 단순하고 빠른 솔루션 - 단순 큐
동적 클라이언트 속도 균형 조정 (PCQ)

프로xy

HTTP 캐싱 프로xy 서버
투명 HTTP 프로xy
SOCKS 프로토콜 지원
DNS 정적 항목
별도 드라이브에 캐싱 지원
부모 프록시 지원
액세스 제어 목록
캐싱 목록

도구

핑, 트레이서oute
대역폭 테스트, 핑 플러드
패킷 스니퍼, 토치
텔넷, SSH
이메일 및 SMS 전송 도구
자동 스크립트 실행 도구
CALEA
파일 가져오기 도구
고급 트래픽 생성기
WoL (Wake on LAN) 전송

기타 기능

Samba 지원
OpenFlow 지원
브리지링 – 스패닝 트리 프로토콜 (STP, RSTP), 브리지 방화벽 및 MAC 네팅.
동적 DNS 업데이트 도구
NTP 클라이언트/서버 및 GPS 시스템과의 동기화
VRRP v2 및 v3 지원
SNMP
M3P - MikroTik 패킷 패커 프로토콜 (무선 링크 및 이더넷용)
MNDP - MikroTik 이웃 발견 프로토콜, CDP (Cisco 발견 프로토콜) 지원
RADIUS 인증 및 회계
TFTP 서버
동기식 인터페이스 지원 (Farsync 카드 전용) (v5.x에서 제거됨)
비동기식 – 시리얼 PPP 다이얼인/다이얼아웃, 요구 시 다이얼
ISDN – 다이얼인/다이얼아웃, 128K 번들 지원, Cisco HDLC, x75i, x75ui, x75bui 라인 프로토콜, 요구 시 다이얼

커널 버전

RouterOS 버전 6.x는 3.3.5를 사용합니다
RouterOS 버전 7.x는 5.6.3를 사용합니다

지원되는 암호화

RouterOS 7은 네트워크 (통신) 장치의 관리를 위해 사용됩니다.

RouterOS 7에는 통신 채널 및 장치 제어 채널을 통해 전송되는 데이터 (정보) 보안을 위해 설계된 암호화 기능 (구성 요소)이 포함되어 있습니다.
모든 암호화 기능(구성 요소)은 RouterOS 7의 필수 구성 요소이며, 최종 사용자가 변경할 수 없습니다.
RouterOS 7은 공급업체의 상당한 지원 없이 최종 사용자가 설치하도록 설계되었습니다.
RouterOS 7은 다음과 같은 보안 프로토콜을 사용합니다:

Getting Started

Feature support based on architecture

아래 표에 명시된 몇 가지 예외를 제외하고 모든 디바이스는 동일한 기능을 지원합니다:

기능 외에도, 장치의 특정 모델에 따라 하드웨어 기능에 몇 가지 차이가 있습니다. 이러한 차이점에 대해서는 아래 기사들을 참고해 주시기 바랍니다:

Wi-Fi - 802.11ax 장치용 새로운 드라이버 구현 및 지원되는 기존 장치 https://help.mikrotik.com/docs/display/ROS/Wifi
L3 하드웨어 오프로딩 https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-L3HWDeviceSupport
PTP https://help.mikrotik.com/docs/display/ROS/Precision+Time+Protocol
스위치 칩 기능 https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features

Getting Started

First Time Configuration

라우터에 연결하기

라우터에는 두 가지 유형이 있습니다:

기본 구성 설정된 라우터.
기본 구성 설정되지 않은 라우터. 특정 구성 설정이 없는 경우, IP 주소 192.168.88.1/24가 ether1, combo1, sfp1 또는 MGMT/BOOT에 할당됩니다.

현재 기본 구성에 대한 추가 세부 정보는 장치와 함께 제공된 Quick Guide 문서 참조하세요. 이 문서에는 연결 시 처음 사용할 포트와 장치 설정 방법에 대한 안내가 포함되어 있습니다.

이 문서는 장치를 처음부터 구성하는 단계별 과정을 설명합니다. 따라서 설정을 시작할 때 모든 기본 설정을 초기화하는 것을 권장합니다.

기본 사용자 이름 admin과 no password(또는 일부 모델의 경우 스티커에 표시된 사용자 및 무선 비밀번호를 확인하세요)으로 라우터에 처음 연결할 때, 초기 부팅 시 알림이 표시됩니다. 이 알림에서는 기본 구성 제거(기본 구성에 IP 주소만 있는 경우에도)를 선택하면 구성 없이 재부팅되거나, “스크립트 표시”를 선택하여 현재 기본 구성을 유지하고 해당 구성에 따라 적용할 수 있습니다. 이 글은 라우터에 구성 정보가 없다고 가정하므로, 키보드에서 “r”을 입력하거나 WinBox의 “Remove Configuration” 버튼을 클릭하여 구성 정보를 제거해야 합니다.

기본 구성 정보가 없는 라우터

라우터에 기본 구성 정보가 없는 경우 여러 가지 방법이 있지만, 이번에는 요구사항에 가장 적합한 방법을 선택합니다.

ISP 케이블을 라우터의 ether1 포트에 연결하고 PC를 ether1을 제외한 임의의 포트에 연결합니다. 그런 다음 WinBox를 실행하고 이웃 탐색 기능을 사용하여 라우터를 검색합니다. 자세한 예시는 Winbox 기사를 참조하세요.

라우터가 목록에 표시되면 MAC 주소를 선택하고 연결을 클릭합니다.

라우터를 완전히 초기화하는 가장 쉬운 방법은 CLI 명령어를 실행하는 것입니다.

/system reset-configuration no-defaults=yes skip-backup=yes

또는 WinBox에서:

IP 액세스 구성

MAC 연결이 때로는 불안정할 수 있으므로, 첫 번째 단계로 라우터를 구성하여 IP 연결을 활성화합니다:

브리지 인터페이스를 생성하고 브리지 포트를 할당합니다;
브리지 인터페이스에 IP 주소를 할당합니다;
DHCP 서버를 구성합니다.

브리지 설정 및 IP 주소 할당은 간단한 과정입니다:

/interface bridge add name=bridge1

/interface bridge port add interface=ether2 bridge=bridge1

/ip address add address=192.168.88.1/24 interface=bridge1

WinBox/WebFig를 구성 도구로 선호하는 경우:

Bridge 창을 열고 Bridge 탭이 선택되어 있는지 확인합니다;
+ 버튼을 클릭하여 새로운 대화 상자를 열습니다. 사용자 정의 브리지 이름을 입력하거나 기본값인 bridge1을 유지한 후 OK를 클릭하여 진행합니다;
Ports 탭으로 전환하고 + 버튼을 클릭하여 다른 대화 상자를 열습니다;
드롭다운 목록에서 인터페이스 ether2와 브리지 bridge1을 선택한 후 OK 버튼을 클릭하여 설정을 적용합니다;
브리지 대화 상자를 닫을 수 있습니다.

IP 메뉴에 액세스하고 주소 대화상자로 이동합니다;
+ 버튼을 선택하여 새로운 대화상자를 열습니다;
IP 주소 192.168.88.1/24를 입력하고 드롭다운 목록에서 인터페이스 bridge1을 선택합니다;
설정을 확인하려면 OK를 클릭합니다.

다음으로 DHCP 서버를 설정합니다. 이 과정을 간소화하고 빠르게 진행하기 위해 setup 명령어를 실행합니다.

[admin@MikroTik] > ip dhcp-server/ setup [enter]

DHCP 서버를 실행할 인터페이스를 선택합니다.

DHCP 서버 인터페이스: bridge1 [enter]

DHCP 주소 할당을 위한 네트워크를 선택합니다.

DHCP 주소 공간: 192.168.88.0/24 [Enter]

지정된 네트워크의 게이트웨이 선택

DHCP 네트워크의 게이트웨이: 192.168.88.1 [Enter]

DHCP 서버가 할당할 IP 주소 풀 선택

할당할 주소: 192.168.88.2-192.168.88.254 [Enter]

DNS 서버 선택

DNS 서버: 192.168.88.1 [Enter]

리스 시간 선택

리스 시간: 1800 [Enter]

대부분의 구성 옵션은 자동으로 결정되므로 엔터 키만 누르면 됩니다.

설정 도구는 WinBox/WebFig에서도 액세스 가능합니다:

IP -> DHCP Server 창으로 이동하여 DHCP 탭이 선택되어 있는지 확인합니다;
DHCP Setup 버튼을 클릭하여 새 대화 상자를 열습니다;
bridge1을 DHCP Server Interface로 선택하고 Next를 클릭합니다;
마법사를 따라 설정을 완료합니다.

다음 단계를 따라 연결된 PC는 이제 동적 IP 주소를 할당받게 됩니다. Winbox를 닫고 IP 주소(192.168.88.1)를 사용하여 라우터에 다시 연결할 수 있습니다.

인터넷 연결 구성

라우터에 인터넷 액세스를 활성화하려면 다음 중 하나 이상의 일반적인 인터넷 연결 유형을 구성해야 합니다:

동적 공용 IP 주소.
정적 공용 IP 주소.
PPPoE 연결.

동적 공용 IP

동적 주소 구성은 가장 쉬운 옵션입니다. 공용 인터페이스에 DHCP 클라이언트를 설정하면 됩니다. DHCP 클라이언트는 인터넷 서비스 제공자(ISP)로부터 IP 주소, DNS 서버, NTP 서버, 기본 경로 등 필요한 정보를 자동으로 획득하여 설정 과정을 간편하게 해줍니다.

/ip dhcp-client add disabled=no interface=ether1

클라이언트를 추가한 후 할당된 주소와 상태가 '바인딩됨'으로 표시되어야 합니다.

[admin@MikroTik] > ip dhcp-client print

열: 인터페이스, DNS 사용 여부, 기본 경로 추가 여부, 상태, 주소

# 인터페이스 DNS 사용 여부 기본 경로 추가 여부 상태 주소

0 ether1 yes yes bound 1.2.3.100/24

정적 공용 IP

정적 주소를 구성할 때 ISP는 다음과 같은 특정 매개변수를 제공합니다:

IP: 1.2.3.100/24
게이트웨이: 1.2.3.1
DNS: 8.8.8.8

이 세 가지 기본 매개변수는 인터넷 연결을 작동시키기 위해 필요합니다.

RouterOS에서 이를 구성하려면 IP 주소를 수동으로 추가하고 제공된 게이트웨이를 사용한 기본 경로를 추가하며 DNS 서버를 설정합니다.

/ip address add address=1.2.3.100/24 interface=ether1

/ip route add gateway=1.2.3.1

/ip dns set servers=8.8.8.8

PPPoE 연결

PPPoE 연결은 동적 IP 주소를 제공하며 DNS와 기본 게이트웨이를 동적으로 구성할 수 있습니다. 일반적으로 서비스 제공업체(ISP)는 연결을 위해 사용자 이름과 비밀번호를 제공합니다.

/interface pppoe-client

add disabled=no interface=ether1 user=me password=123 \

add-default-route=yes use-peer-dns=yes

Winbox/WebFig 작업:

PPP 창에서 인터페이스 탭을 선택하고 “+” 버튼을 클릭합니다;
드롭다운 목록에서 PPPoE 클라이언트를 선택합니다;
이름을 설정하고 인터페이스로 ether1을 선택합니다;
Dial Out 탭으로 이동하여 사용자 이름, 비밀번호 및 기타 매개변수를 구성합니다;
OK를 클릭하여 설정을 저장합니다.

추가 설정에서 WAN 인터페이스는 이제 pppoe-out1 인터페이스로 변경되었으며, ether1이 아닙니다.

연결 확인

설정이 완료되면 라우터에서 인터넷에 접속할 수 있어야 합니다. IP 연결을 확인하려면 알려진 IP 주소(예: Google DNS 서버)로 ping을 실행해 보세요.

[admin@MikroTik] > /ping 8.8.8.8

SEQ HOST SIZE TTL TIME STATUS

0 8.8.8.8 56 55 14ms399us

1 8.8.8.8 56 55 18ms534us

2 8.8.8.8 56 55 14ms384us

DNS 요청 확인

[admin@MikroTik] > /ping google.com

SEQ HOST SIZE TTL TIME STATUS

0 142.250.74.14 56 55 14ms475us

1 142.250.74.14 56 55 14ms308us

2 142.250.74.14 56 55 14ms238us

모든 설정이 올바르게 구성되었다면 두 개의 ping 모두 성공해야 합니다.

실패가 발생하면 Troubleshooting 섹션을 참조하여 도움을 받으세요.

라우터 보호

라우터가 이제 전 세계에서 접근 가능하므로, 잠재적인 침입자와 기본 공격으로부터 보호하는 것이 중요합니다.

사용자 비밀번호 액세스

MikroTik 라우터에서는 비밀번호를 설정하는 것이 필수적입니다. 강력한 비밀번호를 생성하기 위해 비밀번호 생성 도구를 사용하는 것을 권장합니다. 비밀번호는 다음 기준을 충족해야 합니다:

최소 12자 이상;
숫자, 기호, 대문자, 소문자를 포함해야 합니다;
사전 단어 또는 그 조합을 사용하지 마세요.

/user set 0 password=“!={Ba3N!40TуX+GvKBzjTLIUcx/,”

현재 사용자의 비밀번호를 설정하는 또 다른 방법:

/password

비인가된 액세스로부터 보호하기 위해 추가 조치로, 비밀번호를 업데이트할 때는 보조 방법이나 Winbox 인터페이스를 사용하는 것을 강력히 권장합니다.

[admin@MikroTik] > /password

old-password: ********

new-password: ****************************

confirm-new-password: ****************************

비밀번호를 반드시 기억하십시오! 비밀번호를 잊어버리면 복구할 수 없습니다. 구성 재설정 또는 라우터 시스템 재설치가 필요합니다!

/user 메뉴에서 라우터에 대한 전체 또는 제한된 액세스 권한을 가진 추가 사용자를 생성할 수 있습니다.

최선의 방법은 강력한 비밀번호를 가진 새로운 사용자를 생성하고 기본 admin 사용자를 비활성화하거나 제거하는 것입니다.

/user add name=myname password=mypassword group=full

/user remove admin

참고: 새로운 자격 증명으로 라우터에 로그인하여 사용자 이름과 비밀번호가 정상적으로 작동하는지 확인하세요.

MAC 연결 액세스

기본적으로 MAC 서버는 모든 인터페이스에서 실행됩니다. WAN 포트에서 MAC 연결을 제한하려면 기본 모든 항목을 비활성화하고 LAN 인터페이스를 추가합니다.

먼저 인터페이스 목록을 생성합니다:

[admin@MikroTik] > /interface list add name=LAN

그런 다음, 이전에 생성한 “bridge1”이라는 이름의 브리지 인터페이스를 인터페이스 목록에 추가합니다:

[admin@MikroTik] > /interface list member add list=LAN interface=bridge1

Winbox MAC 액세스에도 동일한 작업을 수행합니다

[admin@MikroTik] > /tool mac-server mac-winbox set allowed-interface-list=LAN

Winbox/Webfig 작업:

인터페이스 → 인터페이스 목록 → 목록 창으로 이동합니다;
새 목록을 추가하려면 “+” 버튼을 클릭합니다;
이름 필드에 “LAN”을 입력하고 OK를 클릭합니다;
인터페이스 → 인터페이스 목록 섹션으로 돌아갑니다;
“+” 버튼을 클릭합니다;
드롭다운 목록 옵션에서 “LAN”을 선택합니다;
드롭다운 인터페이스 옵션에서 “bridge1”을 선택합니다;
확인을 클릭하여 설정합니다;
도구 -> MAC 서버 창을 엽니다;
MAC Telnet 서버 버튼을 클릭합니다;
새 대화상자에서 드롭다운 목록에서 새로 생성된 목록 “LAN”을 선택합니다;
확인을 클릭하여 설정을 적용합니다.

MAC Winbox Server 탭에서도 동일한 작업을 수행하여 인터넷에서 MAC Winbox 연결을 차단합니다.

네이버 디스커버리

MikroTik 네이버 디스커버리 프로토콜은 네트워크 내의 다른 MikroTik 라우터를 표시하고 인식하는 데 사용됩니다. 공용 인터페이스에서 네이버 디스커버리를 비활성화합니다:

/ip neighbor discovery-settings set discover-interface-list=LAN

IP 연결 액세스

방화벽이 외부 네트워크로부터 라우터에 대한 무단 액세스를 보호하지만, 특정 IP 주소에 따라 사용자 이름 액세스를 제한할 수도 있습니다.

/user set 0 address=x.x.x.x/yy

x.x.x.x/yy - 라우터에 액세스할 수 있는 귀하의 IP 또는 네트워크 서브넷입니다.

공용 인터페이스의 IP 연결은 방화벽에서 제한해야 합니다. ICMP(ping/traceroute), IP Winbox 및 SSH 액세스만 허용됩니다.

/ip firewall filter

add chain=input action=accept connection-state=established,related,untracked comment=“accept established,related,untracked”

add chain=input action=drop connection-state=invalid comment=“drop invalid”

add chain=input in-interface=ether1 action=accept protocol=icmp comment=“ICMP 허용”

add chain=input in-interface=ether1 action=accept protocol=tcp port=8291 comment=“Winbox 허용”;

add chain=input in-interface=ether1 action=accept protocol=tcp port=22 comment=“SSH 허용”;

add chain=input in-interface=ether1 action=drop comment=“모든 다른 패킷 차단”;

공용 인터페이스가 PPPoE, LTE 또는 기타 유형인 경우 'in-interface'를 해당 인터페이스로 설정해야 합니다.

첫 번째 규칙은 이미 설정된 연결에서 오는 패킷을 허용하며, CPU 과부하를 방지하기 위해 안전하다고 가정합니다. 두 번째 규칙은 연결 추적에서 무효로 식별된 패킷을 차단합니다. 그 후 특정 프로토콜에 대한 일반적인 허용 규칙을 설정합니다.

Winbox/WebFig를 사용하여 구성하는 경우, established/related/untracked 규칙을 추가하는 예시는 다음과 같습니다:

IP -> Firewall 창을 열고 Filter Rules 탭으로 이동합니다;
“+” 버튼을 클릭하여 새 대화 상자를 열습니다;
체인에 “input”을 선택합니다.
“Connection state”를 클릭하고 “established,” “related,” 및 “untracked” 상자를 체크합니다.
Action 탭으로 이동하여 “accept”가 선택되어 있는지 확인합니다.
OK를 클릭하여 설정을 적용합니다.

추가 규칙을 추가하려면 각 새 규칙의 “+” 버튼을 클릭하고 콘솔 예시에서 제공된 동일한 매개변수를 입력하세요.

관리 서비스

방화벽은 라우터를 공개 인터페이스로부터 보호하지만, RouterOS 서비스를 비활성화하고 싶을 수 있습니다.

RouterOS 관리 도구의 대부분은 /ip service 메뉴에서 구성됩니다.

안전한 것만 남겨두세요,

/ip service disable telnet,ftp,www,api

기본 서비스 포트를 변경하면 대부분의 무작위 SSH 브루트 포스 로그인 시도가 즉시 중단됩니다:

/ip service set ssh port=2200

또한 각 서비스는 허용된 IP 주소 또는 주소 범위(서비스가 응답할 주소)로 보호할 수 있지만, 방화벽에서 불필요한 액세스를 차단하는 것이 더 권장됩니다. 방화벽은 소켓을 열지조차 허용하지 않기 때문입니다.

/ip 서비스 윈박스 주소=192.168.88.0/24

기타 서비스

대역폭 서버는 두 MikroTik 라우터 간의 전송 속도를 테스트하기 위해 사용됩니다. 생산 환경에서는 비활성화하세요.

/tool 대역폭 서버 활성화=no

라우터에 DNS 캐시가 활성화되어 있으면 클라이언트에서 원격 서버로 전송되는 DNS 요청의 해결 시간이 감소합니다. 라우터에서 DNS 캐시가 필요하지 않거나 다른 라우터가 해당 목적으로 사용되는 경우 이를 비활성화하십시오.

/ip dns set allow-remote-requests=no

일부 RouterBOARD에는 정보 표시용 LCD 모듈이 있습니다. 핀을 설정하거나 비활성화하십시오.

/lcd set enabled=no

라우터의 모든 사용하지 않는 인터페이스를 비활성화하는 것은 무단 액세스를 방지하기 위해 좋은 관행입니다.

/interface print

/interface set x disabled=yes

여기서 “X”는 사용하지 않는 인터페이스의 번호입니다.

RouterOS는 SSH에 더 강력한 암호화를 사용하며, 대부분의 최신 프로그램은 이를 사용합니다. SSH 강력한 암호화를 활성화하려면:

/ip ssh set strong-crypto=yes

다음 서비스는 기본적으로 비활성화되어 있지만, 실수로 활성화되지 않았는지 확인하는 것이 좋습니다:

MikroTik 캐싱 프록시,

/ip proxy set enabled=no

MikroTik 소크스 프록시,

/ip socks set enabled=no

MikroTik UPNP 서비스,

/ip upnp set enabled=no

MikroTik 동적 이름 서비스 또는 IP 클라우드,

/ip cloud set ddns-enabled=no update-time=no

NAT 구성

현재 PC는 인터넷에 액세스할 수 없습니다. 로컬에서 사용되는 주소가 인터넷을 통해 라우팅되지 않기 때문입니다. 원격 호스트는 로컬 주소에 대한 응답을 올바르게 전송할 수 없습니다.

이 문제를 해결하려면 아웃바운드 패킷의 소스 주소를 라우터의 공용 IP로 변경해야 합니다. 이는 NAT 규칙을 사용하여 수행할 수 있습니다:

/ip firewall nat

add chain=srcnat out-interface=ether1 action=masquerade

공용 인터페이스가 PPPoE, LTE 또는 기타 유형인 경우 'out-interface'를 해당 인터페이스로 설정해야 합니다.

이 구성의 또 다른 장점은 라우터 뒤에 있는 NAT된 클라이언트가 인터넷에 직접 연결되지 않기 때문에 외부 공격에 대한 추가 보호가 대부분 필요하지 않다는 점입니다.

포트 포워딩

일부 클라이언트 장치는 특정 포트를 통해 인터넷에 직접 액세스해야 할 수 있습니다. 예를 들어, IP 주소 192.168.88.254를 가진 클라이언트는 원격 데스크톱 프로토콜(RDP)을 통해 액세스 가능해야 합니다.

구글 검색을 통해 RDP가 TCP 포트 3389에서 실행된다는 것을 확인했습니다. 이제 클라이언트 PC로 RDP를 리디렉션하기 위해 목적지 NAT 규칙을 추가할 수 있습니다.

/ip firewall nat

add chain=dstnat protocol=tcp port=3389 in-interface=ether1 \

action=dst-nat to-address=192.168.88.254

엄격한 방화벽 규칙을 설정했다면 RDP 프로토콜은 방화벽 필터 포워딩 체인에서 허용되어야 합니다.

무선 설정

편의성을 위해 유선 호스트와 무선 클라이언트가 동일한 이더넷 브로드캐스트 도메인에 속하도록 브리지드 무선 설정을 적용합니다.

무선 네트워크의 보안을 확보하는 것이 중요하므로 첫 번째 단계는 보안 프로필을 설정하는 것입니다.

보안 프로필은 터미널의 /interface wireless security-profiles 메뉴에서 구성합니다.

/interface wireless security-profiles

add name=myProfile authentication-types=wpa2-psk mode=dynamic-keys \

wpa2-pre-shared-key=1234567890

Winbox/Webfig에서 Wireless를 클릭하여 무선 창을 열고 Security Profile 탭을 선택합니다.

WPA2를 지원하지 않는 구형 장치(예: Windows XP)가 있는 경우 WPA 프로토콜도 허용하는 것이 좋습니다.

WPA 및 WPA2 사전 공유 키는 동일하지 않아야 합니다.

이제 보안 프로필이 준비되면 무선 인터페이스를 활성화하고 원하는 매개변수를 설정할 수 있습니다.

/interface wireless

enable wlan1;

set wlan1 band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors \

mode=ap-bridge ssid=MikroTik-006360 wireless-protocol=802.11 \

security-profile=myProfile frequency-mode=regulatory-domain \

set country=latvia antenna-gain=3

Winbox/Webfig에서 동일한 작업을 수행하려면:

무선 창을 열고 wlan1 인터페이스를 선택한 후 enable 버튼을 클릭합니다;
무선 인터페이스를 두 번 클릭하여 구성 대화상자를 열습니다;
구성 대화상자에서 Wireless 탭을 클릭한 후 오른쪽에 있는 Advanced mode 버튼을 클릭합니다. 버튼을 클릭하면 추가 구성 매개변수가 표시되며 버튼 설명이 Simple mode로 변경됩니다;
스크린샷에 표시된 대로 매개변수를 선택합니다(국가 설정과 SSID 제외). 필요에 따라 다른 주파수 및 안테나 이득을 선택할 수 있습니다;
다음으로 HT 탭을 클릭하고 두 체인이 모두 선택되어 있는지 확인합니다;
OK 버튼을 클릭하여 설정을 적용합니다.

클라이언트 보호

이제 LAN 내 클라이언트를 보호하기 위해 일부 규칙을 추가할 때입니다. 기본 규칙 세트로 시작하겠습니다.

/ip firewall filter

add chain=forward action=fasttrack-connection connection-state=established,related \

comment=“established,related에 대한 빠른 처리”;

add chain=forward action=accept connection-state=established,related \

comment=“established,related 허용”;

add chain=forward action=drop connection-state=invalid

add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \

in-interface=ether1 comment=“WAN에서 NAT 뒤의 클라이언트에 대한 액세스를 차단합니다”

이 규칙 세트는 입력 체인 규칙(established/related 허용 및 invalid 차단)과 유사하지만, 첫 번째 규칙의 action=fasttrack-connection이 다릅니다. 이 규칙은 확립된 및 관련 연결이 방화벽을 우회하도록 허용하여 CPU 사용량을 크게 줄입니다.

또 다른 차이점은 마지막 규칙으로, WAN 포트에서 LAN 네트워크로 들어오는 모든 새로운 연결 시도를 차단합니다(DstNat가 사용되지 않는 경우). 이 규칙이 없으면 공격자가 로컬 서브넷을 알고 있거나 추측하면 로컬 호스트에 직접 연결을 확립하고 보안 위협을 초래할 수 있습니다.

방화벽을 구축하는 방법에 대한 자세한 예제는 방화벽 섹션에서 논의됩니다.

원하지 않는 웹사이트 차단

때로는 특정 웹사이트를 차단하고 싶을 수 있습니다. 예를 들어, 직원들이 엔터테인먼트 사이트에 접근하지 못하게 하거나 포르노 사이트에 접근을 차단하는 등입니다. 이는 HTTP 트래픽을 프록시 서버로 리디렉션하고 액세스 목록을 사용하여 특정 웹사이트를 허용하거나 차단하는 방법으로 구현할 수 있습니다.

먼저 HTTP를 프록시 서버로 리디렉션하기 위해 NAT 규칙을 추가해야 합니다. 우리는 포트 8080에서 실행 중인 RouterOS 내장 프록시 서버를 사용할 것입니다.

/ip firewall nat

add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 \

action=redirect to-ports=8080

웹 프록시를 활성화하고 일부 웹사이트 차단:

/ip proxy set enabled=yes

/ip proxy access add dst-host=www.facebook.com action=deny

/ip proxy access add dst-host=*.youtube.* action=deny

/ip proxy access add dst-host=:vimeo action=deny

Winbox 사용 시:

왼쪽 메뉴에서 IP -> Web Proxy로 이동합니다.
웹 프록시 설정 대화상자가 표시됩니다.
“Enable” 체크박스를 선택하고 “Apply” 버튼을 클릭합니다.
그 다음 “Access” 버튼을 클릭하여 “Web Proxy Access” 대화상자를 열습니다.

“웹 프록시 액세스” 대화 상자에서 “+”를 클릭하여 새로운 웹 프록시 규칙을 추가합니다
차단하려는 대상 호스트 이름을 입력합니다. 이 경우 “www.facebook.com”를 입력하고 동작으로 “거부”를 선택합니다
그런 다음 “확인” 버튼을 클릭하여 변경 사항을 적용합니다.
다른 규칙을 추가하려면 동일한 단계를 반복합니다.

문제 해결

RouterOS에는 ping, traceroute, torch, 패킷 스니퍼, 대역폭 테스트 등 다양한 문제 해결 도구가 내장되어 있습니다.

이 기사에서는 이미 ping 도구를 사용하여 인터넷 연결 상태를 확인했습니다.

ping이 실패할 경우 문제 해결

ping 도구의 문제는 목적지가 접근 불가능하다고만 표시되며 추가적인 세부 정보가 제공되지 않는다는 점입니다. 기본적인 오류를 살펴보겠습니다.

MikroTik 장치에 연결된 컴퓨터에서 www.google.com에 연결할 수 없습니다:

게이트웨이 장치를 어떻게 정확히 구성해야 할지 확실하지 않다면, MikroTik의 공식 컨설턴트에게 구성 지원을 요청해 주시기 바랍니다.

Getting Started

Securing your router

개요

다음 단계는 이미 구성된 강력한 방화벽 규칙을 통해 장치를 추가로 보호하는 방법에 대한 권장 사항입니다.

RouterOS 버전

먼저 RouterOS 버전을 업그레이드하세요. 일부 오래된 버전에는 특정 취약점이나 보안 문제가 있었으며, 이는 수정되었습니다. 장치를 최신 상태로 유지하여 보안이 유지되도록 하세요. WinBox 또는 WebFig에서 “업데이트 확인”을 클릭하여 업그레이드하세요. 새로운 보안 문제에 대해 알기 위해 우리 보안 공지 블로그의 공지사항을 확인하시기 바랍니다.

라우터에 액세스하기

사용자 이름

기본 사용자 이름 admin을 다른 이름으로 변경하세요. 사용자 정의 이름은 누군가가 라우터에 직접 액세스할 경우 라우터에 대한 액세스를 보호하는 데 도움이 됩니다:

/user add name=myname password=mypassword group=full

/user disable admin

접근 비밀번호

MikroTik 라우터는 비밀번호 설정이 필요합니다. 안전한 비밀번호를 생성하려면 비밀번호 생성 도구를 사용하는 것을 권장합니다. 안전한 비밀번호란 다음과 같습니다:

최소 12자 이상;
숫자, 특수 문자, 대문자 및 소문자를 포함해야 합니다;
사전 단어 또는 사전 단어의 조합이 아니어야 합니다;
비밀번호에 따옴표가 포함될 경우 이스케이프 처리해야 합니다;

/user set myname password=“!={Ba3N!40TуX+GvKBz?jTLIUcx/,”

장치에 대한 액세스 보안

원격 액세스를 방지하기 위해 WAN(인터넷 측) 연결을 차단하는 사전 구성된 방화벽이 있습니다. 이는 의도된 설정이며, 연결이 안전하다고 확신하지 않는 한 이 규칙을 제거하지 마십시오.

원격 액세스를 허용하려면 WireGuard와 같은 가상 사설 네트워크(VPN)를 사용하여 연결을 보호하는 것을 권장합니다.

WireGuard VPN 구성 가이드가 여기에서 제공됩니다.

RouterOS MAC 액세스

RouterOS는 네트워크 장치에 대한 관리 액세스를 쉽게 관리할 수 있는 내장 옵션을 제공합니다. 생산 네트워크에서는 다음 서비스를 반드시 비활성화해야 합니다: MAC-Telnet, MAC-WinBox, 및 MAC-Ping:

/tool mac-server set allowed-interface-list=none

/tool mac-server mac-winbox set allowed-interface-list=none

/tool mac-server ping set enabled=no

네이버 디스커버리

MikroTik 네이버 디스커버리 프로토콜은 네트워크 내 다른 MikroTik 라우터를 표시하고 인식하는 데 사용됩니다. 모든 인터페이스에서 네이버 디스커버리를 비활성화하세요:

/ip neighbor discovery-settings set discover-interface-list=none

대역폭 서버

대역폭 서버는 두 MikroTik 라우터 간의 전송 속도를 테스트하는 데 사용됩니다. 생산 환경에서는 이를 비활성화하세요:

/tool bandwidth-server set enabled=no

DNS 캐시

라우터에 DNS 캐시가 활성화되어 있으면 클라이언트에서 원격 서버로 전송되는 DNS 요청의 해결 시간이 감소할 수 있습니다. 라우터에서 DNS 캐시가 필요하지 않거나 다른 라우터가 해당 목적으로 사용되는 경우 이를 비활성화하세요:

/ip dns allow-remote-requests=no

기타 클라이언트 서비스

RouterOS에는 기본적으로 비활성화되어 있지만 다른 서비스가 활성화되어 있을 수 있습니다. MikroTik 캐싱 프록시, SOCKS, UPnP 및 클라우드 서비스:

/ip proxy enabled=no

/ip socks enabled=no

/ip upnp enabled=no

/ip cloud ddns-enabled=no update-time=no

더 안전한 SSH 액세스

다음 명령어로 더 엄격한 SSH 설정을 활성화할 수 있습니다(aes-128-ctr 추가 및 hmac sha1 및 sha1을 사용하는 그룹 금지):

/ip ssh set strong-crypto=yes

라우터 인터페이스

이더넷/SFP 인터페이스

라우터에 액세스하는 무단 접근을 줄이기 위해 사용하지 않는 모든 인터페이스를 비활성화하는 것이 좋습니다:

/interface print

/interface set X disabled=yes

여기서 X는 사용하지 않는 인터페이스의 수입니다.

LCD

일부 RouterBOARD에는 정보 표시용 LCD 모듈이 있습니다. 핀을 설정하려면:

/lcd/pin/set pin-number=3659 hide-pin-number=yes

또는 비활성화하려면:

/lcd/set enabled=no

Getting Started

Upgrading and installation

개요

MikroTik 장치는 RouterOS가 사전 설치되어 있으므로 일반적으로 설치가 필요하지 않습니다. 단, x86 PC 또는 가상 인스턴스 CHR에 RouterOS를 설치하는 경우를 제외합니다. 이미 설치된 장치에서의 업그레이드 절차는 간단합니다.

업그레이드

버전 번호 지정

RouterOS 버전은 시퀀스를 구분하는 데 사용되는 점이 소수점을 의미하지 않으며, 시퀀스에는 위치적 의미가 없습니다. 예를 들어 2.5는 “두와 반”이나 “세 번째 버전으로 가는 중간”을 의미하지 않으며, 두 번째 첫 번째 레벨의 다섯 번째 두 번째 레벨 개정판을 의미합니다. 따라서 v5.2는 v5.18보다 오래되었으며, v5.18은 더 새로운 버전입니다.

RouterOS 버전은 “릴리스 체인”이라는 여러 단계로 출시됩니다: 장기 지원, 안정화, 테스트, 개발. RouterOS를 업그레이드할 때 새로운 패키지를 설치할 릴리스 체인을 선택할 수 있습니다.

Long term: 매우 드물게 출시되며, 가장 중요한 수정 사항만 포함됩니다. 동일한 번호 분기 내의 업그레이드에는 새로운 기능이 포함되지 않습니다. Stable 릴리스가 일정 기간 동안 안정적으로 사용된 후에는 장기 지원 분기로 승격되어 이전 릴리스를 대체하며, 해당 릴리스는 아카이브로 이동됩니다. 이 과정이 반복되며 새로운 기능이 순차적으로 추가됩니다.
Stable: 몇 달에 한 번씩 출시되며, 테스트를 거친 새로운 기능과 수정 사항을 모두 포함합니다.
테스트: 몇 주마다 출시되며 기본 내부 테스트만 거치며, 생산 환경에서 사용하지 않아야 합니다.
개발: 필요에 따라 출시됩니다. 원시 변경 사항을 포함하며, 새로운 기능을 테스트하려는 소프트웨어 애호가들을 위해 제공됩니다.

표준 업그레이드

패키지 업그레이드 기능은 MikroTik 다운로드 서버에 연결되어 선택한 릴리스 채널에서 해당 장치용 다른 RouterOS 버전이 있는지 확인합니다. 현재 안정 버전(stable release)을 사용 중이지만 릴리스 채널을 장기 지원 채널로 변경한 경우 다운그레이드에도 사용할 수 있습니다.

QuickSet(또는 시스템 → 패키지 메뉴)에서 업데이트 확인 버튼을 클릭하면 현재 또는 최신 변경 로그(더 새로운 버전이 존재하는 경우)가 표시된 업데이트 확인 창이 열립니다. 더 새로운 버전이 존재하는 경우 다운로드 및 다운로드 및 설치 버튼이 표시됩니다. Download 버튼을 클릭하면 최신 버전이 다운로드됩니다(수동 기기 재부팅이 필요합니다). Download&Install을 클릭하면 다운로드가 시작되며, 다운로드가 성공적으로 완료되면 기기가 재부팅되어 다운로드된 패키지가 설치됩니다.

제공되는 버전은 선택한 릴리스 채널에 따라 다릅니다. 모든 버전이 사용할 수 있는 것은 아닙니다. 업데이트 확인 방법을 사용할 경우, 이전 버전에서 최신 버전으로 한 번에 업그레이드할 수 없습니다. 예를 들어, RouterOS v6.x를 실행 중일 경우, 주요 릴리스 업그레이드 채널인 “업그레이드”를 선택하더라도 사용할 수 있는 버전은 v7.12.1만 표시됩니다. 먼저 해당 중간 버전을 업그레이드해야 하며, 그 후에 채널에 새로운 릴리스가 표시됩니다. 이 중간 단계는 업데이트 확인을 통해 수행할 수 있지만, 중간 버전으로 첫 번째 업데이트 후에는 업데이트 확인을 다시 수행해야 합니다.

맞춤형 패키지가 설치된 경우 다운로드 프로그램은 이를 고려하여 필요한 모든 패키지를 다운로드합니다.

RouterOS 업데이트 후 부트 로더를 업그레이드하는 것이 강력히 권장됩니다. 부트 로더를 업그레이드하려면 CLI에서 명령어 “/system routerboard upgrade”를 실행한 후 재부팅하십시오. 또는 GUI의 시스템 → RouterBOARD 메뉴로 이동하여 “업그레이드” 버튼을 클릭한 후 장치를 재부팅하십시오.

시스템 스케줄러에서 스크립트를 실행하여 업그레이드 프로세스를 자동화할 수 있습니다. 이 스크립트는 MikroTik 업그레이드 서버에 새로운 버전이 있는지 확인합니다. 응답이 “새로운 버전이 사용 가능합니다”라고 표시되면 스크립트는 아래의 업그레이드 명령어를 실행합니다. 중요 참고 사항: 이 방법은 이전 버전에서 처음 실행할 경우 작동하지 않습니다. 최신 버전이 사용 가능으로 표시되지 않을 수 있습니다. v6.x를 실행 중인 경우, 먼저 “Upgrade” 채널을 수동으로 선택하여 v7.12.1 중간 버전으로 주요 릴리스 업그레이드를 수행해야 하며, 그 이후에 업그레이드 채널에 새로운 v7 릴리스가 표시됩니다.

[admin@MikroTik] >/system package update

check-for-updates once

:delay 3s;

:if ( [get status] = “New version is available”) do={ install }

수동 업그레이드

RouterOS를 업그레이드하는 방법은 다음과 같습니다:

WinBox – 파일을 Files 메뉴로 드래그 앤 드롭
WebFig - Files 메뉴에서 파일을 업로드
FTP - 파일을 루트 디렉토리에 업로드

RouterOS 업그레이드 후 부트로더를 업그레이드하는 것이 강력히 권장됩니다. 부트로더를 업그레이드하려면 CLI에서 명령어 “/system routerboard upgrade”를 실행한 후 재부팅하세요. 또는 GUI에서 시스템 → RouterBOARD 메뉴로 이동하여 “업그레이드” 버튼을 클릭한 후 장치를 재부팅하세요.

RouterOS는 시리얼 케이블을 통해 업그레이드할 수 없습니다. 이 방법으로는 RouterBOOT만 업그레이드 가능합니다.

수동 업그레이드 과정

첫 번째 단계 - www.mikrotik.com로 이동하여 소프트웨어 페이지로 이동한 후 RouterOS가 설치된 시스템의 아키텍처를 선택합니다(시스템 아키텍처는 시스템 → 리소스 섹션에서 확인할 수 있습니다);
routeros (main) 및 장치에 설치된 추가 패키지를 다운로드합니다;
다음 중 하나를 사용하여 패키지를 장치에 업로드합니다:

메뉴: /system/package/update install ignore-missing 명령어는 수동 업그레이드 과정에서 누락되거나 업로드되지 않은 패키지를 제외하고 RouterOS 주요 패키지만 업그레이드합니다.

WinBox 사용

시스템 유형을 선택하고 업그레이드 패키지를 다운로드합니다. WinBox로 라우터에 연결한 후 마우스로 다운로드한 파일을 선택하고 파일 메뉴로 드래그합니다. 이미 일부 파일이 존재하는 경우 패키지를 루트 메뉴에 배치해야 하며, 핫스팟 폴더 내부에 넣지 마세요! 업로드가 시작됩니다.

업데이트가 완료되면 장치를 재부팅하세요. 새로운 버전 번호는 Winbox 제목과 패키지 메뉴에 표시됩니다.

FTP 사용

좋아하는 SFTP 프로그램(이 경우 Filezilla)을 열고 패키지를 선택한 후 라우터에 업로드하세요(이 예시에서 라우터 주소는 demo2.mt.lv입니다). 이미지에서는 여러 패키지를 업로드하고 있지만, 실제 경우 모든 파일을 포함하는 단일 파일 하나만 있을 것입니다.
필요시 라우터에 파일이 성공적으로 전송되었는지 확인할 수 있습니다(선택 사항):

[admin@MikroTik] >/file print

열: 이름, 유형, 크기, 생성 시간

# 이름 유형 크기 생성 시간

0 routeros-7.9-arm.npk 패키지 13.0MiB 2023년 5월 18일 16:16:18

1 pub directory nov/04/2022 11:22:19

2 ramdisk directory jan/01/1970 03:00:24

라우터를 재부팅하여 업그레이드 프로세스를 시작하세요:

[admin@MikroTik] >/system reboot

재부팅하시겠습니까? [y/N]: y

재부팅 후 라우터가 최신 상태로 업데이트됩니다. 다음 메뉴에서 확인할 수 있습니다:

[admin@MikroTik] >/system package print

라우터가 정상적으로 업그레이드되지 않았다면 로그를 확인하세요

[admin@MikroTik] >/log print without-paging

RouterOS 로컬 업그레이드

서브 메뉴: system/package/local-update/

로컬 네트워크 내의 하나 또는 여러 MikroTik 라우터를 단일 장치로 업그레이드할 수 있습니다. 이 기능은 7.17beta3 버전부터 (시스템 > 패키지 로컬 업데이트) 메뉴에서 사용할 수 있으며, (시스템 > 자동 업데이트) 기능을 대체합니다. 다음은 3개의 라우터를 예시로 한 간단한 예시입니다 (이 방법은 무한한 수의 라우터가 있는 네트워크에서도 동일하게 적용됩니다):

필요한 패키지를 메인 라우터의 파일 메뉴 아래에 배치하세요:

선택 사항: 메인 장치와 미러 장치를 설정할 수 있습니다. 필요하지 않은 경우 이 단계를 건너뜁니다:

로컬 패키지 소스를 선택하고 미러 장치를 활성화합니다. 패키지가 위치한 주요 서버를 설정합니다(예: 10.155.136.50). 간격 최소 설정을 00:07:12로 설정할 수 있으며, 이 시간마다 장치가 Winbox를 통해 메인 장치에 연결되어 패키지 업데이트를 확인합니다.
새로운 패키지가 사용할 수 있는 경우 다운로드가 시작됩니다. 다운로드 과정은 느릴 수 있으며, 파일 수가 많은 경우 시간이 오래 걸릴 수 있습니다. 다운로드 중 오류가 발생하면 다음 확인 시 다운로드가 재개됩니다.

새로운 “packs” 폴더가 생성되며, 이 폴더에 미러 장치가 패키지를 저장합니다:

새로운 “packs” 폴더가 생성되며, 이 폴더에 미러 장치가 패키지를 저장합니다: 업데이트될 패키지 소스를 장치에 추가합니다. 이 예제에서는 미러 장치 10.155.136.71을 사용합니다:

로컬 업데이트 패키지 탭에서 '새로 고침'을 클릭하면, Winbox를 사용하는 장치가 소스 서버에 연결을 시도하고 새로운 패키지가 있는지 확인합니다.

패키지를 선택하고 다운로드 버튼을 클릭하세요. 다운로드가 완료되면 업데이트를 위해 기기를 재부팅해야 합니다.

스크립트 및 도구에서 이 작업을 자동화하려면 system/package/local-update/refresh를 사용하세요. fetch url=은 웹 페이지에서 패키지를 다운로드하는 데 사용할 수 있습니다. 예를 들어: tool/fetch url=https://download.mikrotik.com/routeros/7.16.1/routeros-7.16.1-arm.npk

RouterOS 업그레이드 방법 (Dude 사용)

Dude 자동 업그레이드

Dude 애플리케이션은 각 라우터당 한 번의 클릭으로 전체 RouterOS 네트워크를 업그레이드하는 데 도움을 줍니다.

업그레이드할 Dude 지도상의 모든 장치에 대해 RouterOS 유형과 올바른 비밀번호를 설정합니다.
필요한 RouterOS 패키지를 Dude 파일로 업로드합니다.
RouterOS 목록에서 장치의 RouterOS 버전을 업그레이드합니다. 업그레이드 과정은 자동으로 진행되며, 업그레이드(또는 강제 업그레이드)를 클릭하면 패키지가 업로드되고 라우터가 Dude에 의해 자동으로 재부팅됩니다.

Dude 계층형 업그레이드

복잡한 네트워크에서 라우터가 순차적으로 연결된 경우, 가장 간단한 예시는 “1router-2router-3router| 연결”입니다. 이 경우 2router가 3router에 패키지가 업로드되기 전에 재부팅될 수 있습니다. 해결 방법은 Dude 그룹 기능으로, 라우터를 그룹화하고 한 번의 클릭으로 모두 업그레이드할 수 있습니다.

그룹을 선택하고 업그레이드(또는 강제 업그레이드)를 클릭하세요.

라이선스 문제

구버전에서 업그레이드 시 라이선스 키 관련 문제가 발생할 수 있습니다. 가능한 시나리오:

RouterOS v2.8 또는 이전 버전에서 업그레이드 시 시스템이 업그레이드 시간이 만료되었다고 경고할 수 있습니다. 이를 무시하려면 Netinstall을 사용하여 업그레이드하세요. Netinstall은 기존 라이선스 제한을 무시하고 업그레이드합니다.
RouterOS v4 또는 최신 버전으로 업그레이드 시 시스템은 라이선스를 새 형식으로 업데이트하도록 요청합니다. 이를 위해 Winbox PC(라우터가 아님)가 www.mikrotik.com에 제한 없이 연결되어 있는지 확인한 후 라이선스 메뉴에서 “라이선스 업데이트”를 클릭하세요.

Netinstall

NetInstall은 RouterOS에서 널리 사용되는 설치 도구입니다. Windows 시스템에서 실행되거나 Linux에서 명령줄 도구 netinstall-cli를 통해, 또는 Wine(슈퍼유저 권한 필요)을 통해 사용할 수 있습니다.

NetInstall 유틸리티는 MikroTik 다운로드 섹션에서 다운로드할 수 있습니다.

NetInstall은 이전 설치가 실패했거나 손상되었거나 액세스 비밀번호가 분실된 경우 RouterOS를 재설치하는 데도 사용됩니다.

NetInstall을 사용하려면 장치가 이더넷 부팅을 지원해야 하며, NetInstall 컴퓨터와 대상 장치 사이에 직접적인 이더넷 연결이 필요합니다. 모든 RouterBOARD는 PXE 네트워크 부팅을 지원하며, 이는 RouterOS의 “routerboard” 메뉴(RouterOS에 액세스 가능한 경우) 또는 시리얼 콘솔 케이블을 사용한 부트 로더 설정에서 활성화할 수 있습니다.

참고: 시리얼 포트나 RouterOS 액세스가 없는 RouterBOARD 장치의 경우, 리셋 버튼을 사용하여 PXE 부팅을 활성화할 수 있습니다.

NetInstall은 NetInstall Windows 머신에 연결된 디스크(USB/CF/IDE/SATA)에 RouterOS를 직접 설치할 수 있습니다. 설치 후 디스크를 Router 머신으로 옮기고 해당 디스크에서 부팅하면 됩니다.

주의! 시스템 드라이브에 RouterOS를 설치하려고 시도하지 마십시오. 이 작업은 하드 드라이브를 포맷하고 기존 운영 체제를 삭제합니다.

CD 설치

RouterOS 패키지 유형

RouterOS 패키지에 대한 정보는 여기에서 확인할 수 있습니다.

Bridging and Switching

Summary

이더넷 유사 네트워크(이더넷, Ethernet over IP, IEEE 802.11의 AP 브리지 또는 브리지 모드, WDS, VLAN)는 MAC 브리지 기능을 사용하여 서로 연결될 수 있습니다. 브리지 기능은 서로 다른 LAN에 연결된 호스트를 단일 LAN에 연결된 것처럼 상호 연결할 수 있으며(EoIP를 사용하면 지리적으로 분산된 네트워크도 IP 네트워크 간 연결이 존재하는 경우 브리지될 수 있음), 이 경우 호스트들은 단일 LAN에 연결된 것처럼 작동합니다. 브리지은 투명하기 때문에 트레이서루트 목록에 나타나지 않으며, 브리지된 LAN에 연결된 호스트와 다른 LAN에 연결된 호스트를 구분할 수 있는 유틸리티는 없습니다. 그러나 LAN이 상호 연결된 방식에 따라 호스트 간의 지연 시간과 데이터 전송 속도가 달라질 수 있습니다.

복잡한 토폴로지에서 네트워크 루프가 발생할 수 있습니다(고의적이든 아니든). 특수한 처리 없이 루프는 네트워크가 정상적으로 작동하지 못하게 합니다. 이는 눈사태처럼 패킷이 급증하는 현상을 일으키기 때문입니다. 각 브리지는 루프를 방지하는 방법을 계산하는 알고리즘을 실행합니다. (R/M)STP는 브리지들이 서로 통신할 수 있도록 하여 루프가 없는 토폴로지를 협상할 수 있게 합니다. 루프를 형성할 수 있는 모든 대체 연결은 대기 상태로 전환되며, 주 연결이 실패할 경우 다른 연결이 그 자리를 대신할 수 있습니다. 이 알고리즘은 네트워크 토폴로지의 변경 사항에 대한 최신 정보를 모든 브리지에 전달하기 위해 구성 메시지(BPDU - Bridge Protocol Data Unit)를 주기적으로 교환합니다. (R/M)STP는 다른 브리지의 포트 차단 및 개방과 같은 네트워크 재구성 작업을 담당하는 루트 브리지를 선택합니다. 루트 브리지는 가장 낮은 브리지 ID를 가진 브리지입니다.

브리지 인터페이스 설정

여러 네트워크를 하나의 브리지로 결합하려면 브리지 인터페이스를 생성해야 합니다. 이후 원하는 모든 인터페이스를 해당 브리지의 포트를 설정해야 합니다. 기본적으로 브리지 MAC 주소는 브리지 포트 구성에 따라 자동으로 선택됩니다. 원하지 않는 MAC 주소 변경을 방지하려면 “auto-mac”을 비활성화하고 “admin-mac”을 사용하여 MAC 주소를 수동으로 지정하는 것이 권장됩니다.

하위 메뉴: /interface bridge

속성 설명

add-dhcp-option82 (yes | no; Default: no)

DHCP 패킷에 DHCP Option-82 정보(에이전트 원격 ID 및 에이전트 회로 ID)를 추가할지 여부. Option-82를 지원하는 DHCP 서버와 함께 사용하여 IP 주소를 할당하고 정책을 구현할 수 있습니다. 이 속성은 dhcp-snooping이 yes로 설정된 경우에만 적용됩니다.

admin-mac (MAC address; Default: none)

브리지의 고정 MAC 주소. 이 속성은 auto-mac가 no로 설정되었을 때만 적용됩니다.

ageing-time (time; Default: 00:05:00) 호스트의 정보가 브리지 데이터베이스에 얼마나 오래 보관됩니다.

arp (disabled | enabled | local-proxy-arp | proxy-arp | reply-only; Default: enabled)

주소 해결 프로토콜 설정

disabled- 인터페이스는 ARP를 사용하지 않습니다
enabled- 인터페이스는 ARP를 사용합니다
local-proxy-ARP- 라우터는 인터페이스에서 프록시 ARP를 수행하고 응답을 동일한 인터페이스로 전송합니다
proxy-ARP- 라우터는 인터페이스에서 프록시 ARP를 수행하고 응답을 다른 인터페이스로 전송합니다
reply-only- 인터페이스는 IP/ARP 테이블에 정적 항목으로 입력된 일치하는 IP 주소/MAC 주소 조합에서 발신된 요청에만 응답합니다. 동적 항목은 자동으로 IP/ARP 테이블에 저장되지 않습니다. 따라서 통신이 성공하려면 유효한 정적 항목이 이미 존재해야 합니다.

arp-timeout (auto | integer; Default: auto)

ARP 테이블에 ARP 기록이 IP 주소로부터 패킷을 받지 않은 후 얼마나 오래 유지되는지입니다. 값 auto는 ip/settings 내의 arp-timeout 값과 동일하며, 기본값은 30초입니다.

auto-mac (yes | no; Default: yes)

auto-mac=yes가 설정되면 브리지 인터페이스의 MAC 주소를 다음 우선순위 순서에 따라 자동으로 선택합니다:

브리지에 속한 이더넷 인터페이스에서;
브리지 내의 비이더넷 인터페이스(예: Wi-Fi 또는 터널);
위 두 가지가 모두 사용할 수 없는 경우 무작위로 생성된 주소.

설정이 변경될 경우(예: 브리지에 새로운 포트를 추가할 경우), 브리지의 MAC 주소는 더 높은 우선순위의 주소 소스가 사용할 수 있게 될 때만 업데이트됩니다. 예를 들어, 브리지가 처음에 임의로 생성된 MAC 주소를 사용하다가 이더넷 인터페이스가 추가되면, MAC 주소는 가장 높은 우선순위(이 경우 이더넷 인터페이스)에 따라 업데이트됩니다. 브리지의 MAC 주소는 현재 MAC이 다른 브리지로 이동된 포트와 연결되어 있는 경우에도 업데이트됩니다.

현재 MAC 주소와 그 우선순위 수준은 저장되며 재부팅 후 재사용됩니다.

auto-mac=no가 구성되어 있는 경우, admin-mac 속성을 사용하여 정적 MAC 주소를 수동으로 설정할 수 있습니다.

comment (string; Default: ) 인터페이스의 간략한 설명.

dhcp-snooping (yes | no; Default: no)

브리지에서 DHCP 스누핑을 활성화하거나 비활성화합니다.

DHCP 스누핑 기능을 활성화하면 브리지의 fast-path가 비활성화되며, 이는 해당 브리지 통해 전송되는 연결의 fasttrack 기능을 영향을 미칩니다.

disabled (yes | no; Default: no) 브리지의 사용 여부를 변경합니다.

ether-type (0x9100 | 0x8100 | 0x88a8; Default: 0x8100)

EtherType을 변경합니다. 이 EtherType은 패킷에 VLAN 태그가 있는지 판단하는 데 사용됩니다. EtherType이 일치하는 패킷은 태그가 지정된 패킷으로 간주됩니다. 이 속성은 vlan-filtering가 yes로 설정되었을 때만 적용됩니다.

fast-forward (yes | no; Default: yes) Fast Path의 특수하고 빠른 버전으로, 2개의 인터페이스를 갖춘 브리지에서만 작동합니다(기본적으로 새 브리지에만 활성화되어 있습니다). 자세한 내용은 Fast Forward 섹션에서 확인할 수 있습니다.

forward-delay (time; Default: 00:00:15) 브리지 인터페이스의 초기화 단계(즉, 라우터 시작 후 또는 인터페이스 활성화 후) 동안 브리지 인터페이스가 정상적으로 작동하기 전에 리스닝/러닝 상태에서 소요되는 시간.

forward-reserved-addresses (yes | no: Default: no)

IEEE 예약된 멀티캐스트 MAC 주소가 01:80:C2:00:00:0x 범위 내에 포함되어 있는지 여부. R/M/STP 표준을 준수하는 브리지에서는 이러한 패킷을 전달하지 않아야 합니다. 이 속성은 protocol-mode가 none로 설정되었을 때만 적용됩니다.

예약된 MAC 주소의 전달을 활성화하면 이러한 주소에 의존하는 특정 프로토콜에 영향을 줄 수 있습니다. 투명 브리징 설정(예: 긴 링크 확장, 브리지를 미디어 컨버터로 사용, 네트워크 분석 수행)과 같이 절대적으로 필요한 경우에만 전달을 활성화하는 것이 좋습니다.

다음은 RouterOS에서 사용되는 몇 가지 주목할 만한 MAC 주소 및 프로토콜입니다.

01:80:C2:00:00:00 - 스패닝 트리 프로토콜(STP);
01:80:C2:00:00:01 - 이더넷 흐름 제어;
01:80:C2:00:00:02 - 링크 집계 제어 프로토콜 (LACP);
01:80:C2:00:00:03 - Dot1x 클라이언트 및 서버;
01:80:C2:00:00:08 - 스패닝 트리 프로토콜 (802.1ad 브리지용, ether-type=0x88a8 사용));
01:80:C2:00:00:0D - 다중 VLAN 등록 프로토콜 (802.1ad 브리지용, ether-type=0x88a8 사용));
01:80:C2:00:00:0E - 링크 계층 발견 프로토콜, 다중 섀시 링크 집계 그룹 및 정밀 시간 프로토콜;

흐름 제어 MAC 주소 01:80:C2:00:00:01은 예외로, 브리지에 의해 전달되지 않습니다.

frame-types (admit-all | admit-only-untagged-and-priority-tagged | admit-only-vlan-tagged; Default: admit-all)

브리지 포트에서 허용되는 프레임 유형을 지정합니다. 이 속성은 vlan-filtering가 yes로 설정되었을 때만 적용됩니다.

igmp-snooping (yes | no; Default: no) 브리지에서 멀티캐스트 트래픽이 모든 인터페이스로 과도하게 유입되는 것을 방지하기 위해 멀티캐스트 그룹 및 포트 학습을 활성화합니다.

igmp-version (2 | 3; Default: 2)

브리지 인터페이스가 IGMP 쿼리어로 작동할 때 IGMP 멤버십 쿼리가 생성될 IGMP 버전을 선택합니다. 이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정된 경우에만 적용됩니다.

ingress-filtering (yes | no; Default: yes)

VLAN 입력 필터링을 활성화하거나 비활성화합니다. 이 기능은 브리지 VLAN 테이블에 수신된 VLAN ID가 입력 포트에 속하는지 확인합니다. 기본적으로 브리지 VLAN 테이블에 존재하지 않는 VLAN은 전송(출력) 전에 드롭됩니다. 그러나 이 속성을 사용하면 패킷이 수신(입력) 시 드롭되도록 설정할 수 있습니다. 이 속성은 frame-types와 함께 사용해야 하며, 입력 트래픽이 태그가 지정되거나 지정되지 않도록 지정합니다. 이 속성은 vlan-filtering가 yes로 설정된 경우에만 적용됩니다. 이 설정은 RouterOS v7부터 기본적으로 활성화되어 있습니다.

l2mtu (read-only; Default: ) L2MTU는 이 인터페이스를 통해 전송할 수 있는 MAC 헤더가 없는 프레임의 최대 크기를 나타냅니다. L2MTU 값은 브리지에 의해 자동으로 설정되며, 연결된 모든 브리지 포트 중 가장 낮은 L2MTU 값을 사용합니다. 이 값은 수동으로 변경할 수 없습니다.

last-member-interval (time; Default: 1s)

브리지 포트에 연결된 마지막 클라이언트가 멀티캐스트 그룹에서 구독을 해제하고 브리지가 활성 쿼리어로 작동 중일 때, 브리지는 다른 클라이언트가 여전히 구독 중인지 확인하기 위해 그룹별 IGMP/MLD 쿼리를 전송합니다. 이 설정은 이러한 쿼리의 응답 시간을 변경합니다. 특정 시간 기간(last-member-interval * last-member-query-count) 동안 멤버십 보고서가 수신되지 않으면 멀티캐스트 그룹이 멀티캐스트 데이터베이스(MDB)에서 제거됩니다.

브리지 포트가 fast-leave로 구성되어 있다면, 멀티캐스트 그룹은 쿼리를 전송하지 않고 즉시 제거됩니다.

이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정된 경우에만 적용됩니다.

last-member-query-count (integer: 0..4294967295; Default: 2)

last-member-interval이 몇 번 지나야 IGMP/MLD 스누핑 브리지가 특정 멀티캐스트 스트림의 전달을 중단하나요? 이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정되었을 때만 적용됩니다.

max-hops (integer: 6..40; Default: 20)

MSTP가 활성화된 동일한 지역 내 네트워크에서 BPDU가 무시되기 전에 통과할 수 있는 브리지 수. 이 속성은 protocol-mode가 mstp로 설정되었을 때만 적용됩니다.

max-learned-entries (integer: 0..4294967295 | auto | unlimited; Default: auto)

브리지 인터페이스에서 학습할 수 있는 호스트의 최대 수를 설정합니다. 기본값은 auto이며, 설치된 RAM 용량에 따라 결정됩니다. 기본값보다 높은 값을 설정하거나 unlimited 옵션을 선택할 수 있지만, 이 경우 메모리 부족 상태의 위험이 증가합니다.

특정 RAM 용량에 대한 기본값:

8192 (64 MB);
16384 (128 MB);
256MB: 32768;
512MB: 65536;
1024MB 이상: 131072.

이 제한은 스위치 FDB 테이블의 하드웨어 제한이 아닌 브리지 인터페이스에 특정적으로 적용됩니다. 브리지 제한에 도달하더라도 스위치는 하드웨어 제한까지 호스트를 계속 학습하고 올바른 포워딩 결정을 내릴 수 있습니다. 그러나 이러한 추가 호스트는 “/interface bridge host” 테이블에 표시되지 않으며 모니터링도 불가능합니다. 또한 이 제한에 도달하면 MLAG 호스트 동기화에 영향을 줄 수 있습니다.

이 설정은 RouterOS 버전 7.16부터 사용할 수 있습니다.

max-message-age (time: 6s..40s; Default: 00:00:20)

BPDU 패킷의 Max Age 값을 변경합니다. 이 값은 루트 브리지에 의해 전송됩니다. 루트 브리지는 Max Age가 max-message-age 값으로 설정되고 Message Age가 0인 BPDU를 전송합니다. 모든 후속 브리지는 자신의 BPDU를 전송하기 전에 Message Age를 증가시킵니다. 브리지에서 Message Age가 Max Age와 같거나 더 큰 BPDU를 수신하면 해당 BPDU는 무시됩니다. 이 속성은 protocol-mode가 stp 또는 rstp로 설정되었을 때만 적용됩니다.

membership-interval (time; Default: 4m20s)

다중 전송 데이터베이스(MDB)에 항목이 추가된 후 IGMP/MLD 멤버십 보고서가 브리지 포트에서 수신되지 않을 경우 해당 항목이 삭제되기까지의 시간입니다. 이 속성은 igmp-snooping이 yes로 설정되었을 때만 적용됩니다.

mld-version (1 | 2; Default: 1)

MLD 멤버십 쿼리가 생성될 MLD 버전을 선택합니다. 이 설정은 브리지 인터페이스가 MLD 쿼리어로 작동할 때 적용됩니다. 이 속성은 브리지에 활성 IPv6 주소가 있고, igmp-snooping 및 multicast-querier가 yes로 설정된 경우에만 적용됩니다.

mtu (integer; Default: auto)

최대 전송 단위(MTU)는 기본적으로 브리지에서 자동으로 설정되며, 연결된 브리지 포트 중 가장 낮은 MTU 값을 사용합니다. 브리지에 포트 추가 전 기본 브리지 MTU 값은 1500입니다. MTU 값은 수동으로 설정할 수 있지만, 브리지 L2MTU 또는 연결된 브리지 포트 중 가장 낮은 L2MTU를 초과할 수 없습니다. 새로운 브리지 포트가 추가되고 해당 포트의 L2MTU가 브리지의 actual-mtu(mtu 속성으로 설정된 값)보다 작은 경우, 수동으로 설정된 값은 무시되며 브리지는 mtu=auto가 설정된 것으로 간주됩니다.

브리지에 VLAN 인터페이스를 추가할 때 VLAN이 기본값 1500보다 높은 MTU를 사용하는 경우, 브리지의 MTU를 수동으로 설정하는 것이 권장됩니다.

multicast-querier (yes | no; Default: no)

멀티캐스트 쿼리어는 주기적으로 IGMP/MLD 일반 멤버십 쿼리를 생성하며, 이에 모든 IGMP/MLD 지원 장치는 IGMP/MLD 멤버십 보고서로 응답합니다. 일반적으로 PIM(멀티캐스트) 라우터나 IGMP 프록시가 이러한 쿼리를 생성합니다.

이 기능을 사용하면 IGMP/MLD 스누핑을 활성화한 브리지에서 IGMP/MLD 일반 멤버십 쿼리를 생성할 수 있습니다. 이 기능은 Layer 2 네트워크에 활성 쿼리어(PIM 라우터 또는 IGMP 프록시)가 없는 경우에 사용해야 합니다. Layer 2 네트워크에 멀티캐스트 쿼리어가 없으면 멀티캐스트 데이터베이스(MDB)가 업데이트되지 않으며, 학습된 항목이 시간 초과되어 IGMP/MLD 스누핑이 정상적으로 작동하지 않습니다.

태그가 없는 IGMP/MLD 일반 멤버십 쿼리만 생성됩니다. IGMP 쿼리는 IPv4 0.0.0.0 소스 주소로 전송되며, MLD 쿼리는 브리지 인터페이스의 IPv6 링크 로컬 주소로 전송됩니다. 외부 IGMP/MLD 쿼리어가 감지되면 브리지는 쿼리를 전송하지 않습니다(모니터링 값 igmp-querier 및 mld-querier 참조).

이 속성은 igmp-snooping가 yes로 설정된 경우에만 적용됩니다.

multicast-router (disabled | permanent | temporary-query; Default: temporary-query)

멀티캐스트 라우터 포트는 멀티캐스트 라우터 또는 쿼리어가 연결된 포트입니다. 이 포트에서는 등록되지 않은 멀티캐스트 스트림과 IGMP/MLD 멤버십 보고서가 전송됩니다. 이 설정은 브리지 인터페이스 자체의 멀티캐스트 라우터 상태를 변경합니다. 이 속성은 다중 브로드캐스트 라우팅 또는 프록시링을 위해 다중 브로드캐스트 라우터 상태를 브리지 인터페이스에 전송하는 데 사용할 수 있습니다. 이 속성은 igmp-snooping이 yes로 설정된 경우에만 적용됩니다.

disabled - 브리지 인터페이스의 다중 브로드캐스트 라우터 상태를 비활성화합니다. 등록되지 않은 다중 브로드캐스트 및 IGMP/MLD 멤버십 보고서는 브리지 인터페이스에 전송되지 않습니다.
permanent- 브리지 인터페이스에서 멀티캐스트 라우터 상태를 활성화합니다. 등록되지 않은 멀티캐스트 및 IGMP/MLD 멤버십 보고서는 브리지 인터페이스 자체로 전송됩니다. 브리지 인터페이스에 구성된 설정과 무관합니다.
temporary-query- IGMP/MLD 쿼리를 사용하여 브리지 인터페이스의 멀티캐스트 라우터 상태를 자동으로 감지합니다.

name (text; Default: bridgeN) 브리지 인터페이스 이름.

port-cost-mode (long | short; Default: long)

브리지드 포트에 대한 포트 경로 비용 및 내부 경로 비용 모드를 변경하며, 인터페이스 속도에 따라 자동으로 설정된 값을 사용합니다. 이 설정은 수동으로 구성된 path-cost 또는 internal-path-cost 속성을 가진 브리지드 포트에는 영향을 미치지 않습니다. 아래는 특정 데이터 속도에 해당하는 경로 비용을 보여주는 예시입니다(중간 속도에 대한 비례 계산 포함):

Data rate	Long	Short
100 Gbps	200,000	19
50 Gbps	400	1
40 Gbps	500	1
25 Gbps	800	1
10 Gbps	2,000	2
1 Gbps	20,000	4
100 Mbps	200,000	19
10 Mbps	2,000,000	100

결합된 인터페이스의 경우, 모든 결합된 멤버 포트 중에서 가장 높은 경로 비용이 적용되며, 이 값은 결합의 총 링크 속도에 영향을 받지 않습니다.

가상 인터페이스(예: VLAN, EoIP, VXLAN) 및 Wi-Fi, 무선, 60GHz 인터페이스의 경우, 장거리 모드에는 경로 비용 20,000이 할당되며, 단거리 모드에는 10이 할당됩니다.

동적으로 브리지된 인터페이스(예: Wi-Fi, 무선, PPP, VPLS)의 경우, 경로 비용은 장거리 모드에 20,000, 단거리 모드에 10으로 기본 설정됩니다. 그러나 인터페이스를 브리지에 동적으로 추가하는 서비스에 의해 수동으로 재설정될 수 있습니다. 예를 들어 CAPsMAN의 datapath.bridge-cost 설정을 사용합니다.

port monitor를 사용하여 적용된 경로 비용을 관찰할 수 있습니다.

이 속성은 protocol-mode가 stp, rstp, 또는 mstp로 설정되었을 때 적용됩니다.

priority (integer: 0..65535 decimal format or 0x0000-0xffff hex format; Default: 32768 / 0x8000)

브리지 우선순위는 R/STP에서 루트 브리지(root bridge)를 결정하는 데 사용되며, MSTP에서는 CIST 및 IST 지역 루트 브리지(regional root bridge)를 결정하는 데 사용됩니다. 이 속성은 protocol-mode가 none로 설정된 경우 효과가 없습니다.

protocol-mode (none | rstp | stp | mstp; Default: rstp)

스패닝 트리 프로토콜(STP) 또는 빠른 스패닝 트리 프로토콜(RSTP)을 선택하여 브리지된 LAN의 루프 없는 토폴로지를 보장합니다. RSTP는 토폴로지 변경 후 스패닝 트리 수렴 속도가 더 빠릅니다. MSTP를 선택하여 다중 VLAN 간 루프 없는 토폴로지를 보장합니다.

01:80:C2:00:00:0x 범위 내의 예약된 MAC 주소의 전달은 protocol-mode=none에서 분리되었으며, RouterOS v7.16부터 제어 가능한 속성 forward-reserved-addresses로 사용할 수 있습니다.

pvid (integer: 1..4094; Default: 1)

포트 VLAN ID(PVID)는 태그가 없는 입력 트래픽이 할당될 VLAN을 지정합니다. 이는 예를 들어 브리지 IP에서 전송되고 브리지 포트로 전송되는 프레임에 적용됩니다. 이 속성은 vlan-filtering가 yes로 설정되었을 때만 적용됩니다.

querier-interval (time; Default: 4m15s)

검출된 쿼리어 및 멀티캐스트 라우터 포트의 타임아웃 기간을 변경합니다. 이 속성은 igmp-snooping가 yes로 설정된 경우에만 적용됩니다.

query-interval (time; Default: 2m5s)

브리지 인터페이스가 IGMP/MLD 쿼리어로 작동할 때 IGMP/MLD 일반 멤버십 쿼리가 전송되는 간격을 변경합니다. 이 간격은 마지막 시작 쿼리가 전송된 시점부터 적용됩니다. 이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정된 경우에만 적용됩니다.

query-response-interval (time; Default: 10s)

브리지(bridge)가 IGMP/MLD 쿼리어(querier)로 활성화되어 있을 때 일반 IGMP/MLD 쿼리에 대한 응답 시간이 변경됩니다. 이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정되어 있을 때만 적용됩니다.

region-name (text; Default: )

MSTP 지역 이름. 이 속성은 protocol-mode가 mstp로 설정되었을 때만 적용됩니다.

region-revision (integer: 0..65535; Default: 0)

MSTP 구성 버전 번호. 이 속성은 protocol-mode가 mstp로 설정되었을 때만 적용됩니다.

startup-query-count (integer: 0..4294967295; Default: 2)

브리지 인터페이스가 활성화되거나 활성 쿼리어 타임아웃 시 일반 IGMP/MLD 쿼리가 전송되어야 하는 횟수를 지정합니다. 이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정된 경우에만 적용됩니다.

startup-query-interval (time; Default: 31s250ms)

IGMP/MLD 일반 쿼리 간의 간격을 지정합니다. 이 속성은 igmp-snooping 및 multicast-querier가 yes로 설정된 경우에만 적용됩니다.

transmit-hold-count (integer: 1..10; Default: 6) 포트 전송 상태 기계가 전송 속도를 제한하기 위해 사용하는 전송 대기 카운터.

vlan-filtering (yes | no; Default: no) 전역 브리지의 VLAN 기능을 활성화하거나 비활성화합니다.

특정 속성을 변경하면 브리지의 모든 포트가 일시적으로 비활성화될 수 있습니다. 생산 환경에서 이러한 속성을 변경할 때는 모든 패킷이 일시적으로 드롭될 수 있으므로 반드시 고려해야 합니다. 이러한 속성에는 vlan-filtering, protocol-mode, igmp-snooping, fast-forward 등이 포함됩니다.

예시

L2 패킷을 전달하는 브리지 인터페이스를 추가하고 활성화하려면:

[admin@MikroTik] > interface bridge add
[admin@MikroTik] > interface bridge print 
Flags: X - disabled, R - running 
0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=65535 arp=enabled arp-timeout=auto mac-address=5E:D2:42:95:56:7F protocol-mode=rstp fast-forward=yes 
igmp-snooping=no auto-mac=yes ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=no 
dhcp-snooping=no

브리지 모니터링

브리지 인터페이스의 현재 상태를 모니터링하려면 monitor 명령어를 사용합니다.

하위 메뉴: /interface bridge monitor

속성	설명
bridge-id (priority.MAC address)	로컬 브리지 식별자는 브리지 우선순위.브리지 MAC 주소 형식으로 구성됩니다.
current-mac-address (MAC address)	브리지의 현재 MAC 주소.
designated-port-count (integer)	지정된 브리지 포트 수.
declared-vlan-ids (integer 1..4094)	브리지 인터페이스에서 MVRP 프로토콜을 통해 설정된 VLAN.
fast-forward (yes \| no)	브리지 fast-forward가 활성화되어 있는지 여부.
igmp-querier (none \| interface & IPv4 address)	검출된 IGMP 쿼리어로부터 브리지 포트 및 소스 IP 주소를 표시합니다. 검출된 외부 IGMP 쿼리어만 표시되며, 로컬 브리지 IGMP 쿼리어(IGMP 프록시 및 PIM 포함)는 표시되지 않습니다. 모니터링 값은 `igmp-snooping`이 활성화되었을 때만 표시됩니다.
mld-querier (none \| interface & IPv6 address)	검출된 MLD 쿼리어로부터 브리지 포트 및 소스 IPv6 주소를 표시합니다. 검출된 외부 MLD 쿼리어만 표시되며, 로컬 브리지 MLD 쿼리어는 표시되지 않습니다. 모니터링 값은 `igmp-snooping`이 활성화되어 있고 브리지에 활성 IPv6 주소가 있을 때만 표시됩니다.
mst-config-digest (integer)	VLAN 매핑에서 MST 인스턴스 ID로 계산된 해시 값.
multicast-router (yes \| no)	포트에 멀티캐스트 라우터가 감지되었는지 표시합니다. 모니터링 값은 `igmp-snooping`이 활성화되었을 때만 표시됩니다.
port-count (integer)	브리지 포트 수.
regional-root-bridge-id (priority.MAC address)	지역 루트 브리지 ID는 bridge-priority.bridge-MAC-address 형식으로 구성됩니다. 이 설정은 MSTP가 활성화된 경우에만 적용됩니다.
registered-vlan-ids (integer 1..4094)	브리지 인터페이스에 MVRP 프로토콜을 통해 등록된 VLANs.
root-bridge (yes \| no)	스패닝 트리의 루트 브리지인지 여부를 표시합니다.
root-bridge-id (priority.MAC address)	루트 브리지 ID는 브리지 우선순위.브리지 MAC 주소 형식으로 구성됩니다.
root-path-cost (integer)	루트 브리지까지 경로의 총 코스트.
root-port (name)	루트 브리지에 연결된 포트.
state (enabled \| disabled)	브리지의 state

[admin@MikroTik] /interface/bridge monitor bridge1
                    state: enabled                         
      current-mac-address: 2C:C8:1B:FF:92:F4               
                bridge-id: 0x1000.2C:C8:1B:FF:92:F4        
              root-bridge: yes                             
           root-bridge-id: 0x1000.2C:C8:1B:FF:92:F4        
  regional-root-bridge-id: 0x1000.2C:C8:1B:FF:92:F4        
           root-path-cost: 0                               
                root-port: none                            
               port-count: 2                               
    designated-port-count: 2                               
        mst-config-digest: d2b171a8ad95f593c241fc33d419a88c
             fast-forward: no                              
         multicast-router: no                              
             igmp-querier: none                            
              mld-querier: none                            
        declared-vlan-ids: 1                               
      registered-vlan-ids: 1

스패닝 트리 프로토콜

RouterOS 브리지 인터페이스는 루프가 없고 중복된 토폴로지를 보장하기 위해 스패닝 트리 프로토콜을 실행할 수 있습니다. 소규모 네트워크에서 브리지 2개만 있는 경우 STP는 큰 이점을 제공하지 않지만, 대규모 네트워크에서는 적절히 구성된 STP가 매우 중요합니다. STP 관련 값을 기본값으로 두면 단일 브리지 고장 시 네트워크가 완전히 연결되지 않을 수 있습니다. 루프가 없고 중복된 토폴로지를 달성하려면 브리지 우선순위, 포트 경로 비용, 포트 우선순위를 적절히 설정해야 합니다.

RouterOS에서는 브리지 우선순위를 0에서 65535 사이의 임의의 값으로 설정할 수 있지만, IEEE 802.1W 표준은 브리지 우선순위가 4096 단위로 설정되어야 한다고 규정합니다. 이로 인해 해당 값을 지원하지 않는 장치 간 호환성 문제가 발생할 수 있습니다. 호환성 문제를 방지하려면 다음 우선순위만 사용하도록 권장됩니다: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, 61440

STP에는 여러 변형이 있으며, 현재 RouterOS는 STP, RSTP, MSTP를 지원합니다. 필요에 따라 이 중 하나를 사용할 수 있으며, 일부 장치는 하드웨어 오프로딩을 통해 이러한 프로토콜 중 일부를 실행할 수 있습니다. 해당 장치가 이를 지원하는지에 대한 자세한 정보는 하드웨어 오프로딩 섹션에서 확인할 수 있습니다. STP는 구형이고 느린 프로토콜로 간주되며, 모든 네트워크 토폴로지에서 RSTP로 거의 완전히 대체되었습니다. RSTP는 STP와 하위 호환됩니다. VLAN에 의존하는 네트워크 토폴로지에서는 VLAN 인식 프로토콜이며 VLAN 그룹별 부하 분산 기능을 제공하는 MSTP를 사용하는 것이 권장됩니다. STP를 지원하는 네트워크를 설계할 때는 많은 고려 사항이 필요하며, 자세한 사례 연구는 Spanning Tree Protocol 기사에서 확인할 수 있습니다. RouterOS에서 protocol-mode 속성은 사용되는 STP 변형을 제어합니다.

RouterOS 브리지(RouterOS bridge)는 PVST 및 그 변형과 호환되지 않습니다. PVST BPDU(MAC 목적지 01:00:0C:CC:CC:CD)는 RouterOS 브리지에서 일반적인 멀티캐스트 패킷으로 처리됩니다. 간단히 말해, RouterOS 브리지/스위치 포워딩 논리를 거쳐 태그가 추가되거나 제거될 수 있습니다.

IEEE 802.1ad 표준에 따르면, IEEE 802.1Q를 준수하는 브리지에서 전송된 BPDU는 IEEE 802.1ad 브리지와 호환되지 않습니다. 이는 단일 Layer2 도메인 내 모든 브리지에서 동일한 브리지 VLAN 프로토콜을 사용해야 한다는 의미이며, 그렇지 않으면 (R/M)STP가 정상적으로 작동하지 않습니다.

포트별 STP

특정 상황에서 단일 또는 다중 포트에서 STP 기능을 제한하고 싶을 수 있습니다. 아래에는 다양한 사용 사례에 대한 예시가 있습니다.

기본 (R/M)STP 기능을 변경할 때는 STP 및 BPDU의 작동 원리를 이해했는지 확인하십시오. 잘못 구성된 (R/M)STP는 예상치 못한 동작을 유발할 수 있습니다.

엣지 포트 생성

브리지 포트를 에지 포트로 설정하면 BPDU를 전송하지 못하며 수신된 BPDU를 무시합니다:

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1 edge=yes
add bridge=bridge1 interface=ether2

수신된 BPDU가 드롭

브리지 필터 또는 NAT 규칙은 STP/RSTP/MSTP가 활성화된 브리지에서 BPDU의 특수 처리로 인해 BPDU를 드롭할 수 없습니다. 그러나 일부 스위치 칩에서는 ACL 규칙을 사용하여 특정 포트에서 수신된 BPDU를 드롭할 수 있습니다:

CRS3xx에서:

/interface ethernet switch rule
add dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF new-dst-ports="" ports=ether1 switch=switch1

CRS1xx/CRS2xx에서 액세스 제어 목록(ACL)을 지원하는 경우:

/interface ethernet switch acl
add action=drop mac-dst-address=01:80:C2:00:00:00 src-ports=ether1

이 예시에서는 ether1 인터페이스에서 수신된 모든 BPDU가 삭제됩니다.

수신된 BPDU를 특정 포트에서 삭제하려면 해당 포트가 연결된 인터페이스에서 BPDU가 전송되지 않도록 반드시 방지해야 합니다. 루트 브리지는 항상 BPDU를 전송하며, 정상적인 상황에서는 더 우수한 BPDU(브리지 ID가 더 낮은 브리지에서 전송된 BPDU)를 기다리지만, 루트 브리지에서 지정된 브리지로 전환할 때는 새로운 루트 포트를 일시적으로 비활성화해야 합니다. 한쪽에서만 BPDU를 차단한 경우, 포트가 계속해서 플랩(flap) 상태가 됩니다.

BPDU 가드 활성화

이 예시에서 ether1이 BPDU를 수신하면 포트가 차단되며, 수동으로 재활성화해야 합니다.

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1 bpdu-guard=yes
add bridge=bridge1 interface=ether2

루트 가드 활성화

이 예시에서 ether1은 restricted-role=yes로 구성되었습니다.이 설정은 해당 포트가 CIST 또는 어떤 MSTI의 루트 포트가 되는 것을 방지합니다. 이는 해당 포트의 최상위 스패닝 트리 우선순위 벡터와 무관합니다. 이러한 포트는 대체 포트(폐기 상태)로 선택되며, 더 우수한 BPDU를 계속 수신하는 한 해당 상태를 유지합니다. 더 이상 우수한 루트 경로를 감지하지 않으면 자동으로 포워딩 상태로 전환됩니다. 네트워크 관리자는 이 설정을 활성화하여 외부 브리지의 영향으로부터 활성 스패닝 트리를 보호할 수 있습니다.

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether1 restricted-role=yes
add bridge=bridge1 interface=ether2
[admin@MikroTik] /interface/bridge/port monitor [find]
                  interface: ether1                   ether2            
                     status: in-bridge                in-bridge          
                    port-id: 0x80.1                   0x80.2            
                       role: alternate-port           designated-port
                  edge-port: no                       yes           
        edge-port-discovery: yes                      yes            
        point-to-point-port: yes                      yes            
               external-fdb: no                       no             
               sending-rstp: yes                      yes            
                   learning: no                       yes            
                 forwarding: no                       yes            
           actual-path-cost: 2000                     2000           
    internal-root-path-cost: 2000                                    
       designated-bridge-id: 0x7000.64:D1:54:C7:3A:6E                
   designated-internal-cost: 0                        0              
         designated-port-id: 0x80.1                   0x80.2         
  designated-remaining-hops: 20                       20             
                 tx-rx-bpdu: 2/363                    4/1049         
        discard-transitions: 0                        0              
        forward-transitions: 0                        0              
                   tx-rx-tc: 0/2                      2/4            
           topology-changes: 0                        1              
       last-topology-change:                          34m53s         
           multicast-router: no                       yes            
           hw-offload-group: switch1                  switch1        
          declared-vlan-ids:                          
        registered-vlan-ids:

브리지 설정

브리지 설정 메뉴에서는 모든 브리지 인터페이스의 특정 기능을 제어하고 글로벌 브리지 카운터를 모니터링할 수 있습니다.

하위 메뉴: /interface bridge settings

속성	설명
use-ip-firewall (yes \| no; Default: no)	브리지된 트래픽을 IP/IPv6 방화벽으로 직접 전송합니다(IP/IPv6 라우팅의 prerouting, forward, 및 postrouting 섹션 참조. 자세한 내용은 패킷 흐름 기사 참조). 다음은 이 설정을 활성화하여 특정 작업을 수행할 수 있는 몇 가지 사용 사례입니다: 브리지된 포트를 통해 흐르는 트래픽에 Simple Queues 또는 글로벌 Queue Tree를 할당하려는 경우. 브리지드 포트를 통해 흐르는 트래픽에 IP/IPv6 방화벽 기능을 적용하려는 경우(일반적으로 IP/IPv6 방화벽을 우회하는 트래픽). `use-ip-firewall` 기능을 활성화하면 브리지 Fast Path가 비활성화되며, 이는 해당 브리지 통해 흐르는 연결의 fasttrack 기능을 영향을 미칩니다. 또한 이 설정은 추가 처리 단계(prerouting, forward 및 postrouting 체인)를 도입하므로 패킷 전달 시 CPU 사용량이 더욱 증가합니다. 라우팅된 트래픽(브리지에 생성된 VLAN 인터페이스(예: /interface/vlan)에서 오는 트래픽 포함)은 이미 IP 방화벽에 의해 처리됩니다. 이러한 경우 이 설정을 활성화해도 추가 효과가 없습니다.
use-ip-firewall-for-pppoe (yes \| no; Default: no)	암호화되지 않은 PPPoE 캡슐화 트래픽을 직접 브리지하여 IP/IPv6 방화벽으로 전송합니다. 이 설정은 `use-ip-firewall`가 `yes`로 설정되었을 때만 적용됩니다.
use-ip-firewall-for-vlan (yes \| no; Default: no)	VLAN 태그가 지정된 트래픽을 IP/IPv6 방화벽으로 직접 브리지합니다. 이 속성은 `use-ip-firewall`가 `yes`로 설정되었을 때만 적용됩니다. IP/IPv6 방화벽을 사용하고 VLAN 필터링이 활성화되어 있으며 (VLAN 태그 처리가 포함됨) `vlan-filtering`가 활성화된 경우, `use-ip-firewall-for-vlan=yes`도 활성화해야 합니다. 이 설정이 활성화되고 VLAN 인터페이스 간에 패킷이 라우팅될 때(예: /interface/vlan), IP 방화벽의 prerouting 체인에 있는 `in-interface`는 개별 VLAN 인터페이스 대신 브리지 인터페이스와 일치합니다.
allow-fast-path (yes \| no; Default: yes)	전역적으로 브리지 Fast Path를 활성화할지 여부.
bridge-fast-path-active (yes \| no; Default: )	브리지의 Fast Path가 전역적으로 활성화되어 있는지 여부를 표시합니다. 각 브리지 인터페이스별 Fast Path 상태는 표시되지 않습니다.
bridge-fast-path-packets (integer; Default: )	브리지 Fast Path를 통해 전달된 패킷 수를 표시합니다.
bridge-fast-path-bytes (integer; Default: )	브리지 Fast Path를 통해 전달된 바이트 수를 표시합니다.
bridge-fast-forward-packets (integer; Default: )	브리지 Fast Forward를 통해 전달된 패킷 수를 표시합니다.
bridge-fast-forward-bytes (integer; Default: )	브리지 Fast Forward를 통해 전달된 바이트 수를 표시합니다.

브리지에 의해 전달되는 트래픽에 Simple Queues 또는 글로벌 Queue Trees를 할당하려면 use-ip-firewall 속성을 활성화해야 합니다. 이 속성을 사용하지 않으면 브리지 트래픽은 postrouting 체인에 도달하지 않으며, Simple Queues 및 글로벌 Queue Trees는 postrouting 체인에서 작동합니다. 브리지에서 VLAN 또는 PPPoE 트래픽에 Simple Queues 또는 글로벌 Queue Trees를 할당하려면 해당 속성도 활성화해야 합니다.

포트 설정

포트 서브 메뉴는 특정 브리지에 인터페이스를 추가하는 데 사용됩니다.

서브 메뉴: /interface bridge port

속성	설명
auto-isolate (yes \| no; Default: no)	이 기능이 활성화되면, 인접 브리지로부터 BPDU가 수신되지 않을 경우 포트가 디스카딩 상태에서 포워딩 상태로 전환되지 않습니다. 포트는 BPDU가 수신될 때만 포워딩 상태로 전환됩니다. 이 속성은 프로토콜 모드가 rstp 또는 mstp로 설정되고 edge가 no로 설정되었을 때만 적용됩니다.
bpdu-guard (yes \| no; Default: no)	포트에서 BPDU Guard 기능을 활성화하거나 비활성화합니다. 이 기능은 포트가 BPDU를 수신하면 해당 포트를 비활성화 상태로 전환하며, BPDU를 수신한 경우 포트를 수동으로 비활성화 및 활성화해야 합니다. 브리지의 BPDU 관련 공격을 방지하기 위해 사용해야 합니다. 이 속성은 `protocol-mode`가 `none`로 설정된 경우 효과가 없습니다.
bridge (name; Default: none)	각 인터페이스가 그룹화되어 있는 브리지 인터페이스.
broadcast-flood (yes \| no; Default: yes)	브리지 기능이 활성화되면 브리지 출력 포트에 모든 브로드캐스트 트래픽을 전송합니다. 비활성화되면 출력 포트에서 브로드캐스트 트래픽을 차단합니다. 출력 포트에서 모든 브로드캐스트 트래픽을 필터링하는 데 사용할 수 있습니다. 브로드캐스트 트래픽은 목적지 MAC 주소로 FF:FF:FF:FF:FF:FF를 사용하는 트래픽으로 간주되며, 이 트래픽은 DHCP, ARP, NDP, BOOTP(Netinstall) 등 많은 프로토콜에 필수적입니다. 이 옵션은 CPU로의 트래픽 홍수를 제한하지 않습니다.
edge (auto \| no \| no-discover \| yes \| yes-discover; Default: auto)	포트의 역할을 에지 포트 또는 비에지 포트로 설정하거나 에지 탐색을 활성화합니다. 에지 포트는 다른 브리지와 연결되지 않은 LAN에 연결됩니다. 에지 포트는 STP에서 학습 및 청취 단계를 건너뛰고 직접 전달 상태로 전환됩니다. 이로 인해 STP 초기화 시간이 단축됩니다. 포트가 엣지 포트 탐지를 활성화한 경우, 브리지가 엣지 포트로 들어오는 BPDU를 감지하면 해당 포트는 비엣지 포트로 전환됩니다. 이 속성은 `protocol-mode`가 `none`로 설정된 경우 적용되지 않습니다. `no` - 탐지가 비활성화된 비엣지 포트입니다. STP의 학습 및 리스닝 상태에 참여합니다. 연결된 브리지와 BPDU를 교환하고 합의에 도달할 때까지 포워딩 상태로 전환되지 않습니다. BPDU가 수신되지 않으면 포트는 비전달 상태로 무기한 유지될 수 있습니다. `no-discover` - 탐색이 활성화된 비엣지 포트. STP의 학습 및 청취 상태에 참여하며, BPDU가 수신되지 않으면 엣지 포트로 전환될 수 있습니다. `yes`- 탐색이 비활성화된 엣지 포트. 직접 전달 상태로 전환됩니다. `yes-discover`- 탐색이 활성화된 엣지 포트. 직접 전달 상태로 전환됩니다. `auto` - `no-discover`와 동일하지만, 브리지 포트가 브리지 모드가 비활성화된 무선 인터페이스인 경우 추가로 감지하며, 해당 인터페이스는 자동으로 디스커버리가 비활성화된 에지 포트로 설정됩니다.
fast-leave (yes \| no; Default: no)	브리지 포트에서 IGMP/MLD 빠른 이탈 기능을 활성화합니다. 브리지는 IGMP/MLD 이탈 메시지를 수신하면 해당 브리지 포트로의 멀티캐스트 트래픽 전달을 중단합니다. 이 속성은 `igmp-snooping`가 `yes`로 설정된 경우에만 적용됩니다.
*frame-types (admit-all \| admit-only-untagged-and-priority-tagged \| admit-only-vlan-tagged; Default: admit-all)*	브리지 포트에서 허용되는 인그레스 프레임 유형을 지정합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정된 경우에만 적용됩니다.
ingress-filtering (yes \| no; Default: yes)	VLAN 입력 필터링을 활성화하거나 비활성화합니다. 이 기능은 브리지 VLAN 테이블에 수신된 VLAN ID와 일치하는 입력 포트가 있는지 확인합니다. `frame-types`와 함께 사용해야 하며, 입력 트래픽이 태그가 지정되거나 태그가 지정되지 않도록 지정합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정된 경우에만 적용됩니다. 이 설정은 RouterOS v7부터 기본적으로 활성화되어 있습니다.
learn (auto \| no \| yes; Default: auto)	브리지 포트에서 MAC 학습 동작 변경 `yes` - MAC 학습 활성화 `no` - MAC 학습 비활성화 `auto` - 브리지 포트가 무선 인터페이스인지 감지하고, 무선 인터페이스가 `ap-bridge`, `bridge`, `wds-slave` 모드 중 하나에 설정되어 있고 무선 인터페이스의 브리지 모드가 비활성화된 경우 무선 등록 테이블을 사용합니다.
multicast-router (disabled \| permanent \| temporary-query; Default: temporary-query)	멀티캐스트 라우터 포트는 멀티캐스트 라우터 또는 쿼리어가 연결된 포트입니다. 이 포트에서는 등록되지 않은 멀티캐스트 스트림과 IGMP/MLD 멤버십 보고서가 전송됩니다. 이 설정은 브리지 포트에 대한 멀티캐스트 라우터의 상태를 변경합니다. 이 속성은 특정 브리지 포트에 IGMP/MLD 멤버십 보고서를 전송하여 추가 멀티캐스트 라우팅 또는 프록시링을 수행하기 위해 사용할 수 있습니다. 이 속성은 `igmp-snooping`이 `yes`로 설정된 경우에만 적용됩니다. `disabled` - 브리지 포트에서 멀티캐스트 라우터 상태를 비활성화합니다. 등록되지 않은 멀티캐스트 및 IGMP/MLD 멤버십 보고서는 연결된 장치와 관계없이 브리지 포트로 전송되지 않습니다. `permanent`- 브리지 포트에서 멀티캐스트 라우터 상태를 활성화합니다. 연결된 장치와 관계없이 등록되지 않은 멀티캐스트 및 IGMP/MLD 멤버십 보고서가 브리지 포트로 전송됩니다. `temporary-query`- IGMP/MLD 쿼리를 사용하여 브리지 포트에서 멀티캐스트 라우터 상태를 자동으로 감지합니다.
horizon (integer 0..429496729; Default: none)	split horizon bridging을 사용하여 브리지링 루프를 방지합니다. 포트 그룹에 동일한 값을 설정하여 해당 포트가 동일한 수평선 값을 가진 포트에 데이터를 전송하지 않도록 합니다. 분할 수평선은 하드웨어 오프로딩을 비활성화하는 소프트웨어 기능입니다.
hw (yes \| no; Default: yes)	HW 오프로딩이 가능한 인터페이스에서 하드웨어 오프로딩을 활성화하거나 비활성화할 수 있습니다. EoIP 또는 VLAN과 같은 소프트웨어 인터페이스에서는 이 설정은 무시되며 효과가 없습니다. 특정 브리지 또는 포트 기능은 HW 오프로딩을 자동으로 비활성화할 수 있습니다. `print` 명령어를 사용하여 “H” 플래그가 활성화되어 있는지 확인하십시오.
internal-path-cost (integer: 1..200000000; Default: )	MSTI0 인터페이스 내 지역 내 경로 비용. 수동으로 구성되지 않은 경우 브리지는 인터페이스 속도와 `port-cost-mode` 설정에 따라 내부 경로 비용을 자동으로 결정합니다. 자동 결정으로 복원하고 수동으로 적용된 값을 제거하려면 `internal-path-cost` 속성 앞에 느낌표(!)를 추가하세요. 이 속성은 `protocol-mode`가 `mstp`로 설정된 경우에만 적용됩니다. `/interface bridge port set [find interface=sfp28-1] !internal-path-cost` 내부 경로 코스트를 확인하려면 port monitor를 사용하세요.
interface (name; Default: none)	인터페이스 이름 또는 인터페이스 목록.
path-cost (integer: 1..200000000; Default: )	인터페이스까지의 경로 비용으로, STP 및 RSTP에서 최상의 경로를 결정하는 데 사용되며, MSTP에서는 지역 간 최상의 경로를 결정하는 데 사용됩니다. 수동으로 구성되지 않은 경우 브리지는 인터페이스 속도와 `port-cost-mode` 설정에 따라 경로 비용을 자동으로 결정합니다. 자동 결정으로 복원하고 수동으로 적용된 값을 제거하려면 `path-cost` 속성 앞에感탄표(!)를 추가하세요. 이 속성은 `protocol-mode`가 `none`로 설정된 경우 효과가 없습니다. port monitor를 사용하여 적용된 경로 비용을 관찰할 수 있습니다.
point-to-point (auto \| yes \| no; Default: auto)	브리지 포트가 브리지와 포인트-투-포인트 링크를 통해 연결되어 있는지 여부를 지정합니다. 이 설정은 링크 장애 시 더 빠른 수렴을 위해 사용됩니다. 이 속성을 `yes`로 설정하면 링크가 포인트-투-포인트 링크로 강제 설정되며, 이 경우 다른 장치로부터의 BPDU를 감지하고 대기하는 메커니즘이 건너뜁니다. 이 속성을 `no`로 설정하면 링크가 여러 장치로부터 BPDU를 수신할 수 있도록 허용합니다. 이 속성을 `yes`로 설정하면 (R/M)STP 수렴 시간이 크게 개선됩니다. 일반적으로 이 속성을 `no`로 설정해야 하는 경우는 링크 사이에 다른 장치가 연결될 가능성이 있는 경우이며, 이는 주로 무선 매체 및 이더넷 허브에 해당됩니다. 이더넷 링크가 풀 듀플렉스인 경우 `auto`는 포인트-투-포인트 기능을 활성화합니다. 이 속성은 `protocol-mode`가 `none`로 설정된 경우 효과가 없습니다.
priority (integer: 0..240; Default: 128)	STP가 루트 포트를 결정하는 데 사용하는 인터페이스의 우선순위, MSTP가 지역 간 루트 포트를 결정하는 데 사용하는 인터페이스의 우선순위.
pvid (integer 1..4094; Default: 1)	포트 VLAN ID(PVID)는 태그가 없는 입력 트래픽이 할당될 VLAN을 지정합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정되었을 때만 적용됩니다.
restricted-role (yes \| no; Default: no)	포트에 대한 제한된 역할을 활성화하거나 비활성화합니다. 활성화되면 해당 포트가 CIST 또는 어떤 MSTI의 루트 포트로 지정되지 않도록 방지합니다. 이 경우 해당 포트는 최상의 스패닝 트리 우선순위 벡터와 무관하게 대체 포트(디스카딩 상태)로 선택되며, 더 우수한 BPDU를 계속 수신하는 한 해당 상태를 유지합니다. 더 우수한 루트 경로를 감지하지 못하면 자동으로 포워딩 상태로 전환됩니다. 네트워크 관리자는 외부 브리지의 영향으로부터 활성 스패닝 트리를 보호하기 위해 이 설정을 활성화할 수 있습니다. 이 기능은 루트 가드 또는 루트 보호라고도 알려져 있습니다. 이 속성은 `protocol-mode`가 `stp`, `rstp`, 또는 `mstp`로 설정되었을 때 적용됩니다(STP 및 RSTP 지원은 RouterOS v7.14부터 제공됩니다).
restricted-tcn (yes \| no; Default: no)	포트에서 토폴로지 변경 알림(TCN) 처리를 활성화하거나 비활성화합니다. 활성화되면 해당 포트는 수신한 토폴로지 변경 알림을 다른 포트에 전달하지 않으며, 해당 포트 자체에 의해 발생한 변경 사항도 다른 포트에 토폴로지 변경 알림을 전송하지 않습니다. 이 매개변수는 기본적으로 비활성화되어 있습니다. 네트워크 관리자가 외부 브리지로 인해 로컬 네트워크에서 MAC 주소 플러싱이 발생하지 않도록 설정할 수 있습니다. 이 속성은 `protocol-mode`가 `stp`, `rstp` 또는 `mstp`로 설정되었을 때 적용됩니다(STP 및 RSTP 지원은 RouterOS v7.14부터 제공됩니다).
tag-stacking (yes \| no; Default: no)	모든 패킷을 태그가 없는 패킷으로 처리합니다. 입력 포트에 도착한 패킷은 기존 VLAN 태그가 있더라도 다른 VLAN 태그로 태그가 지정되며, 패킷은 `pvid` 값과 일치하는 VLAN ID로 태그가 지정되고, `ether-type`에 지정된 EtherType을 사용합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정되었을 때만 적용됩니다.
trusted (yes \| no; Default: no)	이 기능이 활성화되면 이 포트를 통해 DHCP 패킷을 DHCP 서버로 전달할 수 있습니다. 주로 사용자가 악의적인 정보를 제공할 수 있는 무단 서버를 제한하는 데 사용됩니다. 이 속성은 `dhcp-snooping`이 `yes`로 설정되었을 때만 적용됩니다.
unknown-multicast-flood (yes \| no; Default: yes)	브리지 포트에서 멀티캐스트 플러드 옵션을 변경합니다. 이 설정은 출력 트래픽만 제어합니다. 활성화되면 브리지는 지정된 브리지 포트로 멀티캐스트 패킷의 플러딩을 허용하지만, 비활성화되면 지정된 브리지 포트로의 멀티캐스트 트래픽 플러딩을 제한합니다. 이 설정은 모든 멀티캐스트 트래픽에 적용되며, 이는 IP, IPv4, IPv6 및 링크 로컬 멀티캐스트 범위(예: 224.0.0.0/24 및 ff02::1)를 포함합니다. 참고: `igmp-snooping`가 활성화되고 IGMP/MLD 쿼리어가 감지되면 브리지는 알려지지 않은 IP 멀티캐스트가 확산되는 것을 자동으로 제한하므로, 이 설정은 IGMP/MLD 스누핑 구성 시 필수적이지 않습니다. 이 설정을 `igmp-snooping`과 함께 사용할 경우, 브리지 포트에서 허용되는 멀티캐스트 트래픽은 MDB 테이블에 등록된 알려진 멀티캐스트 트래픽만입니다.
unknown-unicast-flood (yes \| no; Default: yes)	브리지 포트에서 알 수 없는 유니캐스트 플러드 옵션을 변경하며, 출력 트래픽만 제어합니다. 이 옵션이 활성화되면 브리지는 지정된 브리지 포트로 알 수 없는 유니캐스트 패킷의 플러딩을 허용하지만, 비활성화되면 지정된 브리지 포트로 알 수 없는 유니캐스트 트래픽의 플러딩을 제한합니다. 호스트 테이블에 MAC 주소가 학습되지 않은 경우 해당 트래픽은 알 수 없는 유니캐스트 트래픽으로 간주되어 모든 포트로 플러딩됩니다. MAC 주소는 브리지 포트에서 패킷을 수신하고 소스 MAC 주소가 브리지 호스트 테이블에 추가될 때 학습됩니다. 브리지 포트에서 최소 한 개의 패킷을 수신해야 MAC 주소를 학습할 수 있으므로, MAC 주소가 학습될 때까지 패킷이 드롭되지 않도록 정적 브리지 호스트 항목을 사용하는 것이 권장됩니다.

RouterOS는 브리지당 최대 1024개의 브리지드 인터페이스를 처리할 수 있습니다. 이 제한은 고정되어 있으며 변경할 수 없습니다. 브리지 포트로서 더 많은 인터페이스를 추가하려고 시도하면 예상치 못한 동작이 발생할 수 있습니다.

예시

이미 생성된 bridge1 인터페이스에 ether1과 ether2를 그룹화합니다.

[admin@MikroTik] /interface bridge port add bridge=bridge1 interface=ether1
[admin@MikroTik] /interface bridge port add bridge=bridge1 interface=ether2
[admin@MikroTik] /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE       BRIDGE       HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0     ether1          bridge1      yes  100     0x80         10                 10       none
 1     ether2          bridge1      yes  200     0x80         10                 10       none

인터페이스 목록

RouterOS v6.41부터 인터페이스 목록을 브리지 포트에 추가하고 정렬할 수 있습니다. 인터페이스 목록은 더 간단한 방화벽 규칙을 생성하는 데 유용합니다. 아래는 브리지에 인터페이스 목록을 추가하는 예시입니다:

/interface list
add name=LAN1
add name=LAN2
/interface list member
add interface=ether1 list=LAN1
add interface=ether2 list=LAN1
add interface=ether3 list=LAN2
add interface=ether4 list=LAN2
/interface bridge port
add bridge=bridge1 interface=LAN1
add bridge=bridge1 interface=LAN2

인터페이스 목록에서 브리지에 추가된 포트들은 동적 포트로서 표시됩니다:

[admin@MikroTik] /interface bridge port> pr
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE       BRIDGE       HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0     LAN1            bridge1      yes    1     0x80         10                 10       none
 1  D  ether1          bridge1      yes    1     0x80         10                 10       none
 2  D  ether2          bridge1      yes    1     0x80         10                 10       none
 3     LAN2            bridge1      yes    1     0x80         10                 10       none
 4  D  ether3          bridge1      yes    1     0x80         10                 10       none
 5  D  ether4          bridge1      yes    1     0x80         10                 10       none

목록이 표시되는 순서를 정렬하는 것도 가능합니다. 이는 move 명령어를 사용하여 수행할 수 있습니다. 다음은 인터페이스 목록을 정렬하는 예시입니다:

[admin@MikroTik] > /interface bridge port move 3 0
[admin@MikroTik] > /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE       BRIDGE       HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0     LAN2            bridge1      yes    1     0x80         10                 10       none
 1  D  ether3          bridge1      yes    1     0x80         10                 10       none
 2  D  ether4          bridge1      yes    1     0x80         10                 10       none
 3     LAN1            bridge1      yes    1     0x80         10                 10       none
 4  D  ether1          bridge1      yes    1     0x80         10                 10       none
 5  D  ether2          bridge1      yes    1     0x80         10                 10       none

VLAN 테이블의 인터페이스 목록

RouterOS 버전 7.17부터는 브리지 VLAN 테이블의 tagged 및 untagged 속성에 인터페이스 목록을 사용할 수 있습니다. 이 변경 사항은 각 브리지 VLAN 항목을 개별적으로 업데이트하는 대신 인터페이스 목록 멤버를 수정하는 것만으로 포트에 대한 VLAN 할당을 더 유연하게 할 수 있도록 합니다.

tagged 및 untagged 설정에 서로 다른 인터페이스 목록이 지정되어 있고, 인터페이스 멤버 간 중복이 있는 경우, untagged 목록이 우선 적용됩니다. 현재 인터페이스 구성은 current-tagged 및 current-untagged 속성을 사용하여 print 명령어로 확인할 수 있습니다.

아래는 기존 인터페이스 목록에 새로운 인터페이스를 추가한 예시입니다. 이 예시에서는 해당 메뉴의 설정을 직접 변경하지 않고도 브리지 포트 및 VLAN 테이블이 자동으로 업데이트되는 방식을 보여줍니다.

/interface list
add name=vlan10_untagged
add name=vlan20_untagged
add name=vlan_tagged
/interface list member
add interface=ether2 list=vlan10_untagged
add interface=ether3 list=vlan10_untagged
add interface=ether4 list=vlan20_untagged
add interface=sfp-sfpplus1 list=vlan_tagged
/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge1 vlan-filtering=yes
/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=vlan10_untagged pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=vlan20_untagged pvid=20
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan_tagged
/interface bridge vlan
add bridge=bridge1 tagged=vlan_tagged vlan-ids=10
add bridge=bridge1 tagged=vlan_tagged vlan-ids=20

[admin@MikroTik] /interface bridge port print 
Flags: D - DYNAMIC; H - HW-OFFLOAD
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, HORIZON
#    INTERFACE        BRIDGE   HW   PVID  PRIORITY  HORIZON
0    vlan10_untagged  bridge1  yes    10  0x80      none   
1 DH ether2           bridge1  yes    10  0x80      none   
2 DH ether3           bridge1  yes    10  0x80      none   
3    vlan20_untagged  bridge1  yes    20  0x80      none   
4 DH ether4           bridge1  yes    20  0x80      none   
5    vlan_tagged      bridge1  yes     1  0x80      none   
6 DH sfp-sfpplus1     bridge1  yes     1  0x80      none   

[admin@MikroTik] /interface bridge vlan print
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
#   BRIDGE   VLAN-IDS  CURRENT-TAGGED  CURRENT-UNTAGGED
;;; added by pvid
0 D bridge1        10                  ether2          
                                       ether3          
;;; added by pvid
1 D bridge1        20                  ether4          
2   bridge1        10  sfp-sfpplus1                    
3   bridge1        20  sfp-sfpplus1                 

# make necessary changes to interface list members:
/interface list member add list=vlan20_untagged interface=ether5
/interface list member add list=vlan_tagged interface=sfp-sfpplus2 

# verify changes in bridge port and vlan menus:
[admin@MikroTik] > /interface bridge port print 
Flags: D - DYNAMIC; H - HW-OFFLOAD
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, HORIZON
#    INTERFACE        BRIDGE   HW   PVID  PRIORITY  HORIZON
0    vlan10_untagged  bridge1  yes    10  0x80      none   
1 DH ether2           bridge1  yes    10  0x80      none   
2 DH ether3           bridge1  yes    10  0x80      none   
3    vlan20_untagged  bridge1  yes    20  0x80      none   
4 DH ether4           bridge1  yes    20  0x80      none   
5 DH ether5           bridge1  yes    20  0x80      none   
6    vlan_tagged      bridge1  yes     1  0x80      none   
7 DH sfp-sfpplus1     bridge1  yes     1  0x80      none   
8 DH sfp-sfpplus2     bridge1  yes     1  0x80      none   

[admin@MikroTik] > /interface bridge vlan print 
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
#   BRIDGE   VLAN-IDS  CURRENT-TAGGED  CURRENT-UNTAGGED
;;; added by pvid
0 D bridge1        10                  ether2          
                                       ether3          
;;; added by pvid
1 D bridge1        20                  ether4          
                                       ether5          
2   bridge1        10  sfp-sfpplus1                    
                       sfp-sfpplus2                    
3   bridge1        20  sfp-sfpplus1                    
                       sfp-sfpplus2

브리지 포트 모니터링

브리지 포트의 현재 상태를 모니터링하려면 monitor 명령어를 사용합니다.

하위 메뉴: /interface bridge port monitor

속성	설명
actual-path-cost (integer: 1..200000000)	실제 포트 경로 비용을 표시합니다. 수동으로 적용되었거나 인터페이스 속도와 포트 비용 모드 설정에 따라 자동으로 결정됩니다.
declared-vlan-ids (integer 1..4094)	인터페이스에서 MVRP 프로토콜을 통해 선언된 VLAN.
designated-bridge-id (priority.MAC address)	포트의 우선순위 벡터에서 결정된 지정된 브리지 식별자를 표시합니다.
designated-cost (integer)	포트의 우선순위 벡터에서 결정된 지정된 루트 경로 비용을 표시합니다.
designated-internal-cost (integer)	지정된 루트 경로 비용을 포트 우선순위 벡터에서 결정된 대로 표시합니다.지정된 내부 루트 경로 비용을 포트 우선순위 벡터에서 결정된 대로 표시합니다.
designated-message-age (time)	포트의 우선순위 벡터에서 결정된 지정된 메시지의 수명을 표시합니다.
designated-max-age (time)	지정된 최대 수명을 표시합니다. 이 값은 포트 우선순위 벡터에서 결정됩니다. BPDU 패킷은 `max-message-age` 매개변수에 지정된 수만큼의 브리지 통과가 가능합니다.
designated-port-id (priority.integer)	지정된 포트 식별자를 표시합니다. 이 식별자는 포트의 우선순위 벡터에서 결정됩니다.
designated-remaining-hops (integer)	포트의 우선순위 벡터에서 결정된 지정된 남은 홉 수를 표시합니다. 패킷이 목적지에 도달하기 전에 통과할 수 있는 홉의 수입니다.
discard-transitions (integer)	카운터, 포트 상태가 폐기 상태로 전환되는 횟수를 기록합니다.
edge-port (yes \| no)	포트가 엣지 포트인지 여부.
edge-port-discovery (yes \| no)	포트가 자동으로 엣지 포트를 감지하도록 설정되어 있는지 여부.
external-fdb (yes \| no)	등록 테이블이 전달 데이터베이스 대신 사용되는지 여부.
forwarding (yes \| no)	포트가 (R/M)STP에 의해 차단되지 않았는지 표시합니다.
forward-transitions (integer)	포트가 포워딩 상태로 전환되는 횟수를 기록하는 카운터
hw-offload-group (switchX)	포트에 사용되는 스위치 칩.
interface (name)	인터페이스 이름.
last-topology-change (time)	마지막 토폴로지 변경 타이머, 마지막 변경 이후 경과 시간을 기록합니다.
learning (yes \| no)	포트가 MAC 주소를 학습할 수 있는지 여부를 표시합니다.
multicast-router (yes \| no)	포트에 멀티캐스트 라우터가 감지되었는지 표시합니다. 모니터링 값은 `igmp-snooping`이 활성화되었을 때만 표시됩니다.
registered-vlan-ids (integer 1..4094)	MVRP 프로토콜을 통해 인터페이스가 등록된 VLAN.
port-id (priority.integer)	스패닝 트리 프로토콜(STP)에서 각 포트에는 고유한 포트 식별자가 있습니다. 우선순위[16진수] + 포트 번호.
point-to-point-port (yes \| no)	포트가 브리지 포트와 풀 듀플렉스(예) 또는 반 듀플렉스(아니오)로 연결되어 있는지 여부.
role (designated \| root-port \| alternate \| backup \| disabled)	(R/M)STP 알고리즘에 할당된 포트 역할: `disabled-port` - 비활성화되거나 사용되지 않는 포트. `root-port` - 루트 브리지 방향을 향하고 루트 브리지로 가는 가장 좋은(최소 비용) 경로를 가진 포트. 각 브리지당 단 하나의 루트 포트가 선택됩니다(루트 브리지 자체는 제외). `alternative-port`- 루트 브리지 방향을 향하지만 트래픽을 전달하지 않는 포트. 현재 루트 포트가 고장나면 루트 브리지로의 백업 경로를 제공합니다. `designated-port`- 루트 브리지와 반대 방향을 향하고 있으며, 트래픽을 루트 브리지에서 하류 장치로 전달하는 포트. `backup-port`- 루트 브리지와 반대 방향을 향하지만 트래픽을 전달하는 포트. 동일한 세그먼트 내의 지정 포트에 대한 백업 역할을 하는 포트. RouterOS에서 역할 모니터링 속성은 STP 모드가 활성화되어 있더라도 RSTP 역할(예: `alternate-port` 및 `backup-port`)을 표시합니다. 이것은 기술적으로 정확하지 않지만 STP의 작동에는 영향을 미치지 않습니다. 이는 STP가 모든 차단된 포트를 목적(예: 잠재적 백업 경로)에 관계없이 동일하게 처리하기 때문입니다. 표시되는 역할은 단순히 RSTP 기능의 반영일 뿐이며 STP가 사용 중일 때 실용적인 영향은 없습니다. 자세한 내용은 STP 및 RSTP 페이지를 참조하세요.
root-path-cost (integer)	루트 브리지까지의 경로의 총 비용.
sending-rstp (yes \| no)	포트가 RSTP 또는 MSTP BPDU 유형을 사용 중인지 여부. RSTP/MSTP가 활성화된 포트가 STP BPDU를 수신하면 해당 포트는 STP 유형으로 전환됩니다. 이 설정은 BDPU가 실제로 전송되는지 여부를 표시하지 않습니다.
status (in-bridge \| inactive)	포트 상태: `in-bridge` - 포트가 활성화되었습니다. `inactive` - 포트가 비활성화되었습니다.
tx-rx-bpdu (integer)	보낸/받은 BPDU 메시지 카운터.
tx-rx-tc (integer)	토폴로지 변경 메시지 전송/수신.
topology-changes (integer)	토폴로지 변경 카운터.

[admin@MikroTik] /interface/bridge/port monitor [find interface=ether1] 
                  interface: ether1                  
                     status: in-bridge               
                    port-id: 0x80.1                  
                       role: root-port               
                  edge-port: no                      
        edge-port-discovery: yes                     
        point-to-point-port: yes                     
               external-fdb: no                      
               sending-rstp: yes                     
                   learning: yes                     
                 forwarding: yes                     
           actual-path-cost: 20000                   
    internal-root-path-cost: 20000                   
       designated-bridge-id: 0x1000.2C:C8:1B:FF:92:F4
   designated-internal-cost: 0                       
         designated-port-id: 0x80.1                  
  designated-remaining-hops: 20                      
                 tx-rx-bpdu: 3/63                    
        discard-transitions: 0                       
        forward-transitions: 1                       
                   tx-rx-tc: 2/0                     
           topology-changes: 1                       
       last-topology-change: 2m5s                    
           multicast-router: no                      
           hw-offload-group: switch1                 
          declared-vlan-ids: 1                       
        registered-vlan-ids: 1

호스트 테이블

브리지 인터페이스에서 학습된 MAC 주소는 호스트 메뉴에서 확인할 수 있습니다. 아래는 확인할 수 있는 매개변수 및 플래그의 테이블입니다.

서브 메뉴: /interface bridge host

속성	설명
bridge (read-only: name)	이 항목이 속한 브리지
disabled (read-only: flag)	정적 호스트 항목이 비활성화되어 있는지 여부
dynamic (read-only: flag)	호스트가 동적으로 생성되었는지 여부
external (read-only: flag)	호스트가 외부 테이블(예: 스위치 칩 또는 무선 등록 테이블)을 통해 학습되었는지 여부. 하드웨어 오프로드된 브리지 포트에 정적 호스트 항목을 추가하면 활성 외부 플래그도 표시됩니다.
invalid (read-only: flag)	호스트 항목이 유효하지 않은 경우, 이미 제거된 인터페이스에 대해 정적으로 구성된 호스트에 표시될 수 있습니다.
local (read-only: flag)	호스트 항목이 브리지 자체에서 생성되었는지 (이 경우 모든 로컬 인터페이스가 표시됩니다)
mac-address (read-only: MAC address)	호스트의 MAC 주소
on-interface (read-only: name)	호스트가 연결된 브리지드 인터페이스 중 어느 것과 연결되어 있나

모니터링

활성 호스트 테이블을 확인하려면:

[admin@MikroTik] /interface bridge host print
Flags: X - disabled, I - invalid, D - dynamic, L - local, E - external 
 #       MAC-ADDRESS        VID ON-INTERFACE            BRIDGE
 0   D   B8:69:F4:C9:EE:D7      ether1                  bridge1
 1   D   B8:69:F4:C9:EE:D8      ether2                  bridge1
 2   DL  CC:2D:E0:E4:B3:38      bridge1                 bridge1
 3   DL  CC:2D:E0:E4:B3:39      ether2                  bridge1

정적 항목

호스트 테이블에 정적 MAC 주소 항목을 추가할 수 있습니다. 이 기능은 특정 유형의 트래픽을 특정 포트를 통해 전달하는 데 사용할 수 있습니다. 정적 호스트 항목의 또 다른 용도는 동적 학습을 비활성화하고 구성된 정적 호스트 항목에만 의존하여 장치 리소스를 보호하는 것입니다. 아래는 호스트 테이블에 정적 MAC 주소 항목을 추가할 때 설정할 수 있는 가능한 매개변수 목록입니다.

하위 메뉴: /interface bridge host

속성	설명
bridge (name; Default: none)	MAC 주소가 할당될 브리지 인터페이스.
disabled (yes \| no; Default: no)	정적 MAC 주소 입력을 비활성화/활성화합니다.
interface (name; Default: none)	인터페이스 이름.
mac-address (MAC address; Default: )	호스트 테이블에 정적으로 추가될 MAC 주소.
vid (integer: 1..4094; Default: )	정적으로 추가된 MAC 주소 항목의 VLAN ID.

예를 들어, 4C:5E:0C:4D:12:43로 전송되는 모든 트래픽을 ether2를 통해만 전달하도록 요구되는 경우, 다음 명령어를 사용할 수 있습니다:

/interface bridge host
add bridge=bridge interface=ether2 mac-address=4C:5E:0C:4D:12:43

멀티캐스트 테이블

IGMP/MLD 스누핑이 활성화되면 브리지(bridge)는 IGMP/MLD 통신을 수신하기 시작하며, 멀티캐스트 데이터베이스(MDB) 항목을 생성하고 수신된 정보에 따라 포워딩 결정을 내립니다. 링크 로컬 멀티캐스트 목적지 주소 224.0.0.0/24 및 ff02::1을 가진 패킷은 제한되지 않으며 모든 포트 및 VLAN에서 항상 플러딩됩니다. 학습된 멀티캐스트 데이터베이스 항목을 확인하려면 print 명령어를 사용하세요.

서브 메뉴: /interface bridge mdb

속성	설명
bridge (read-only: name)	해당 항목이 속한 브리지 인터페이스를 표시합니다.
group (read-only: ipv4 \| ipv6 \| MAC address)	멀티캐스트 그룹 주소를 표시합니다.
on-interface (read-only: name)	특정 멀티캐스트 그룹에 구독된 브리지 포트를 표시합니다.
vid (read-only: integer)	멀티캐스트 그룹의 VLAN ID를 표시합니다. 이 설정은 `vlan-filtering`가 활성화된 경우에만 적용됩니다.

[admin@MikroTik] /interface bridge mdb print 
Flags: D - DYNAMIC
Columns: GROUP, VID, ON-PORTS, BRIDGE
 #   GROUP              VID  ON-PORTS  BRIDGE 
 0 D ff02::2              1  bridge1   bridge1
 1 D ff02::6a             1  bridge1   bridge1
 2 D ff02::1:ff00:0       1  bridge1   bridge1
 3 D ff02::1:ff01:6a43    1  bridge1   bridge1
 4 D 229.1.1.1           10  ether2    bridge1
 5 D 229.2.2.2           10  ether3    bridge1
                             ether2           
 6 D ff02::2             10  ether5    bridge1
                             ether3           
                             ether2           
                             ether4

정적 항목

RouterOS 버전 7.7부터 IPv4 및 IPv6 멀티캐스트 그룹을 위한 정적 MDB 항목을 생성할 수 있습니다.

하위 메뉴: /interface bridge mdb

속성	설명
bridge (name; Default: )	MDB 항목이 할당될 브리지 인터페이스.
disabled (yes \| no; Default: no)	정적 MDB 항목을 비활성화하거나 활성화합니다.
group (ipv4 \| ipv6 \| MAC address; Default: )	IPv4, IPv6 또는 MAC 멀티캐스트 주소. 링크 로컬 멀티캐스트 그룹 224.0.0.0/24 및 ff02::1에 대한 정적 항목을 생성할 수 없습니다. 이 패킷은 모든 포트 및 VLAN에서 항상 플러딩되기 때문입니다.
interface (name; Default: )	멀티캐스트 그룹이 전달될 브리지 포트 목록.
vid (integer: 1..4094; Default: )	MDB 항목이 생성될 VLAN ID는 `vlan-filtering`가 활성화된 경우에만 적용됩니다. VLAN ID가 지정되지 않은 경우 해당 항목은 공유 VLAN 모드에서 작동하며, 특정 포트에 정의된 모든 VLAN ID에 동적으로 적용됩니다.

예를 들어, VLAN 10의 ether2 및 ether3 포트에 멀티캐스트 그룹 229.10.10.10에 대한 정적 MDB 항목을 생성하려면 다음 명령어를 사용합니다:

/interface bridge mdb
add bridge=bridge1 group=229.10.10.10 interface=ether2,ether3 vid=10

결과를 print 명령어로 확인하십시오:

[admin@MikroTik] > /interface bridge mdb print where group=229.10.10.10
Columns: GROUP, VID, ON-PORTS, BRIDGE
 # GROUP         VID  ON-PORTS  BRIDGE 
12 229.10.10.10   10  ether2    bridge1
                      ether3

특정 IPv6 멀티캐스트 그룹이 스누핑이 필요하지 않고 모든 포트 및 VLAN에 플러딩되도록 하려면, 브리지 인터페이스 자체를 포함해 모든 VLAN 및 포트에 정적 MDB 항목을 생성할 수 있습니다. 아래 명령어를 사용하여 멀티캐스트 그룹 ff02::2에 대한 정적 MDB 항목을 모든 VLAN 및 포트에 생성합니다(설정에 따라 ports 설정을 수정하세요):

/interface bridge mdb
add bridge=bridge1 group=ff02::2 interface=bridge1,ether2,ether3,ether4,ether5

[admin@MikroTik] > /interface bridge mdb print where group=ff02::2
Flags: D - DYNAMIC
Columns: GROUP, VID, ON-PORTS, BRIDGE
 #   GROUP    VID  ON-PORTS  BRIDGE 
 0   ff02::2                 bridge1
15 D ff02::2    1  bridge1   bridge1
16 D ff02::2   10  bridge1   bridge1
                   ether2           
                   ether3           
                   ether4           
                   ether5           
17 D ff02::2   20  bridge1   bridge1
                   ether2           
                   ether3           
18 D ff02::2   30  bridge1   bridge1
                   ether2           
                   ether3

브리지 하드웨어 오프로딩

장치에 내장된 스위치 칩이 있는 경우 여러 포트를 함께 전환할 수 있습니다. 브리지는 CPU 자원을 소비하는 소프트웨어 기능이지만, 브리지 하드웨어 오프로딩 기능을 사용하면 내장된 스위치 칩을 통해 패킷을 전달할 수 있습니다. 이 기능을 올바르게 구성하면 더 높은 전송 속도를 달성할 수 있습니다.

이전 버전(RouterOS v6.41 이전)에서는 여러 포트를 함께 전환하려면 마스터 포트 속성을 사용해야 했지만, RouterOS v6.41에서는 이 속성이 브리지 하드웨어 오프로딩 기능으로 대체되었습니다. 이 기능은 포트를 전환하고 스패닝 트리 프로토콜(STP)과 같은 일부 브리지 기능을 사용할 수 있도록 합니다.

이전 버전(RouterOS v6.41 이전)에서 업그레이드할 경우, 기존 마스터 포트 구성은 자동으로 새로운 브리지 하드웨어 오프로딩 구성으로 변환됩니다. 신규 버전(RouterOS v6.41 및 이후 버전)에서 이전 버전(RouterOS v6.41 이전)으로 다운그레이드할 경우 구성은 다시 변환되지 않으며, 하드웨어 오프로딩이 없는 브리지가 생성됩니다. 이 경우 장치를 재구성하여 이전 master-port 구성을 사용해야 합니다.

다음은 하드웨어 오프로딩을 지원(+)하거나 비활성화(-)-하는 장치 및 기능 목록입니다:

각주:

이 기능은 VLAN 전환 환경에서 정상적으로 작동하지 않습니다. 단일 VLAN에 대해 DHCP 패킷을 정확히 스누핑할 수 있지만, 이를 위해 DHCP 메시지가 ACL 규칙을 사용하여 올바른 VLAN 태그로 태그가 지정되어야 합니다. 예를 들어, /interface ethernet switch acl add dst-l3-port=67-68 ip-protocol=udp mac-protocol=ip new-customer-vid=10 src-ports=switch1-cpu. DHCP 옵션 82에는 VLAN-ID에 대한 정보가 포함되지 않습니다.
이 기능은 VLAN 스위칭 환경에서 정상적으로 작동하지 않습니다.
HW VLAN 필터링 및 R/M/STP 기능은 RouterOS 7.1에서 RTL8367, MT7621, MT7531, EN7562CT에 추가되었습니다. 스위치는 다른 이더넷 유형 0x88a8 또는 0x9100(0x8100만 지원)을 지원하지 않으며 태그 스택도 지원하지 않습니다. 이러한 기능을 사용하면 HW 오프로드가 비활성화됩니다.
HW 오프로드는 특정 브리지 포트에만 적용되며 전체 브리지에는 적용되지 않습니다.
802.3ad 및 balance-xor 모드만 HW 오프로드 가능합니다. 다른 본딩 모드는 HW 오프로드를 지원하지 않습니다.
현재 IPQ-PPE 스위치 칩의 HW 오프로드 브리지 지원은 여전히 개발 중입니다. 기본 설정인 HW 오프로드 미지원 브리지(RSTP 활성화)를 사용하시기를 권장합니다.
802.3ad 모드는 R/M/STP가 활성화된 브리지와만 호환됩니다..

RouterOS v6.41 이전 버전에서 업그레이드할 경우, 마스터 포트 구성만 변환됩니다. 각 마스터 포트에 브리지(bridge)가 생성됩니다. VLAN 구성은 변환되지 않으며 변경하지 않아야 합니다. 장치에 맞는 VLAN 스위칭 구성을 확인하려면 기본 VLAN 스위칭 가이드를 참고하세요.

브리지 하드웨어 오프로딩은 포트 스위칭과 유사하지만 더 많은 기능을 제공합니다. 하드웨어 오프로딩을 활성화하면 내장된 스위치 칩이 스위칭 논리를 사용하여 패킷을 처리하도록 허용됩니다. 아래 다이어그램은 소프트웨어 관련 작업 전에 스위칭이 발생함을 보여줍니다.

포트 중 하나에 수신된 패킷은 항상 스위치 로직을 먼저 통과합니다. 스위치 로직은 패킷이 어떤 포트에 전송되어야 하는지 결정합니다(이 결정은 일반적으로 패킷의 목적지 MAC 주소에 따라 이루어지지만, 패킷과 구성에 따라 다른 기준이 적용될 수 있습니다). 대부분의 경우 패킷은 RouterOS에 표시되지 않습니다(통계만 패킷이 통과했음을 표시합니다). 이는 패킷이 스위치 칩에서 이미 처리되어 CPU에 도달하지 않았기 때문입니다.

특정 상황에서는 패킷을 CPU에서 처리하도록 허용할 수 있지만, 이는 일반적으로 스위치 CPU 포트(또는 브리지 VLAN 필터링 시나리오에서 브리지 인터페이스)로 패킷을 전달하는 것으로 불립니다. 이 경우 CPU가 패킷을 처리하고 전달할 수 있습니다. 패킷을 CPU 포트로 전달하면 다른 네트워크로 패킷을 라우팅하거나 트래픽 제어 및 기타 소프트웨어 관련 패킷 처리 작업을 수행할 수 있습니다. 패킷이 CPU에서 처리되도록 허용하려면 사용 중인 장치와 요구사항에 따라 특정 구성 변경이 필요합니다(가장 일반적으로 패킷을 CPU로 전달하는 것은 VLAN 필터링 설정 시 필요합니다). 특정 장치의 매뉴얼 페이지를 확인하세요:

일부 브리지 및 이더넷 포트 속성은 스위치 칩 설정과 직접적으로 관련되어 있습니다. 이러한 속성을 변경하면 스위치 칩 리셋이 발생할 수 있으며, 이 경우 설정 변경이 적용되기까지 스위치 칩에 연결된 모든 이더넷 포트가 일시적으로 비활성화됩니다. 생산 환경에서 속성을 변경할 때는 이 점을 반드시 고려해야 합니다. 이러한 속성에는 DHCP 스누핑, IGMP 스누핑, VLAN 필터링, L2MTU, 흐름 제어 등이 포함됩니다. 스위치 칩 리셋을 유발할 수 있는 정확한 설정은 장치 모델에 따라 다릅니다.

CRS1xx/2xx 시리즈 스위치는 스위치 칩당 다중 하드웨어 오프로드 브리지를 지원합니다. 다른 모든 장치는 스위치 칩당 단일 하드웨어 오프로드 브리지만 지원합니다. hw=yes/no 매개변수를 사용하여 하드웨어 오프로드를 사용할 브리지를 선택합니다.

예시

브리지 구성 및 하드웨어 오프로드 활성화 시 포트 전환:

/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2 hw=yes
add bridge=bridge1 interface=ether3 hw=yes
add bridge=bridge1 interface=ether4 hw=yes
add bridge=bridge1 interface=ether5 hw=yes

하드웨어 오프로딩이 활성화되어 있는지 확인하려면 “H” 플래그를 확인하세요:

[admin@MikroTik] /interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE       BRIDGE       HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0   H ether2          bridge1      yes    1     0x80         10                 10       none
 1   H ether3          bridge1      yes    1     0x80         10                 10       none
 2   H ether4          bridge1      yes    1     0x80         10                 10       none
 3   H ether5          bridge1      yes    1     0x80         10                 10       none

RouterOS v6.41 및 이후 버전에서 포트 전환은 브리지 구성으로 수행됩니다. RouterOS v6.41 이전 버전에서는 포트 전환이 마스터 포트 속성을 사용하여 수행되었습니다.

브리지 VLAN 필터링

브리지 VLAN 필터링은 브리지 내에서 VLAN 인식 Layer 2 포워딩 및 VLAN 태그 수정 기능을 제공합니다. 이 기능 세트는 브리지 동작을 전통적인 이더넷 스위치와 더 유사하게 만들고, VLAN 인터페이스가 브리지된 구성과 비교할 때 스패닝 트리 호환성 문제를 극복할 수 있습니다. 브리지 VLAN 필터링 구성은 STP(IEEE 802.1D), RSTP(IEEE 802.1W) 표준 준수를 위해 강력히 권장되며, RouterOS에서 MSTP(IEEE 802.1s) 지원을 활성화하기 위해 필수적입니다.

주 VLAN 설정은 vlan-filtering로, 브리지 내 VLAN 인식 및 VLAN 태그 처리를 전역적으로 제어합니다. vlan-filtering=no로 구성되면 브리지는 VLAN 태그를 무시하고 공유 VLAN 학습(SVL) 모드로 작동하며 패킷의 VLAN 태그를 수정할 수 없습니다. vlan-filtering를 활성화하면 모든 브리지 VLAN 관련 기능과 독립형 VLAN 학습(IVL) 모드가 활성화됩니다. Layer2 포워딩을 위해 포트를 연결하는 것 외에도 브리지 자체도 인터페이스이므로 포트 VLAN ID(pvid)를 갖습니다.

현재 CRS3xx, CRS5xx 시리즈 스위치, CCR2116, CCR2216 라우터 및 RTL8367, 88E6393X, 88E6191X, 88E6190, MT7621, MT7531, EN7562CT 스위치 칩(RouterOS v7부터)은 브리지 VLAN 필터링과 하드웨어 오프로딩을 동시에 사용할 수 있습니다. 다른 장치들은 브리지 VLAN 필터링이 활성화된 경우 내장 스위치 칩의 이점을 사용할 수 없습니다. 다른 장치들은 기본 VLAN 스위칭 가이드에 설명된 방법에 따라 구성해야 합니다. 부적절한 구성 방법을 사용할 경우 네트워크에서 전송 속도 문제가 발생할 수 있습니다.

브리지 VLAN 테이블

브리지 VLAN 테이블은 각 VLAN에 대한 포트 매핑과 출력 VLAN 태그 동작을 나타냅니다. 태그가 지정된 포트는 해당 VLAN ID 태그를 포함한 프레임을 전송합니다. 태그가 지정되지 않은 포트는 프레임을 전송하기 전에 VLAN 태그를 제거합니다. 프레임 유형이 admit-all 또는 admit-only-untagged-and-priority-tagged로 설정된 브리지 포트는 pvid VLAN에 태그가 지정되지 않은 포트로 자동 추가됩니다.

하위 메뉴: /interface bridge vlan

속성	설명
bridge (name; Default: none)	해당 VLAN 항목이 연결될 브리지 인터페이스입니다.
disabled (yes \| no; Default: no)	브리지 VLAN 항목을 활성화하거나 비활성화합니다.
tagged (interfaces; Default: none)	인터페이스 또는 인터페이스 목록에 VLAN 태그 추가 동작이 출력 단계에 적용됩니다. 이 설정은 쉼표로 구분된 값을 허용합니다. 예: `tagged=ether1,ether2`.
untagged (interfaces; Default: none)	인터페이스 또는 인터페이스 목록에 VLAN 태그 제거 동작이 적용된 출력 방향 설정입니다. 이 설정은 쉼표로 구분된 값을 허용합니다. 예: `untagged=ether3,ether4.`
vlan-ids (integer 1..4094; Default: 1)	특정 포트 구성에 대한 VLAN ID 목록. 이 설정은 VLAN ID 범위 및 쉼표로 구분된 값을 모두 허용합니다. 예: `vlan-ids=100-115,120,122,128-130`.

vlan-ids 매개변수는 VLAN 세트 또는 범위를 지정하는 데 사용할 수 있지만, 단일 브리지 VLAN 테이블 항목에 여러 VLAN을 지정하는 것은 태그가 지정된 포트에만 사용해야 합니다. 액세스 포트에 여러 VLAN이 지정된 경우, PVID 값과 무관하게 태그가 지정되지 않은 패킷이 잘못된 액세스 포트를 통해 전송될 수 있습니다.

브리지 VLAN 필터링을 사용할 때 필요한 모든 인터페이스를 브리지 VLAN 테이블에 추가했는지 확인하십시오. 동일한 장치에서 브리지 VLAN 필터링을 사용하는 포트 통해 라우팅 기능이 정상적으로 작동하려면 브리지 인터페이스에 액세스를 허용해야 합니다(HW 오프로드 VLAN 필터링이 사용되는 경우 스위치 CPU 포트가 자동으로 포함됩니다, 예를 들어 CRS3xx 시리즈 스위치에서), 이는 브리지 인터페이스를 VLAN 테이블에 직접 추가하거나, 태그된 트래픽의 경우 브리지 인터페이스를 태그된 포트로서 추가하고 브리지 인터페이스에 VLAN 인터페이스를 생성하여 수행할 수 있습니다. 예시는 인터-VLAN 라우팅 및 관리 포트 섹션에서 확인할 수 있습니다.

CPU에 액세스를 허용하면 특정 포트에서 실제 라우터/스위치로 액세스가 허용됩니다. 이는 항상 바람직하지 않을 수 있습니다. 특정 VLAN ID 및 포트에서 CPU 액세스가 허용될 경우 장치를 보호하기 위해 적절한 방화벽 필터 규칙을 구현해야 합니다. 방화벽 필터 규칙을 사용하여 특정 서비스에만 액세스를 허용하도록 설정하십시오.

브리지 VLAN 필터링이 잘못 구성되면 보안 문제가 발생할 수 있습니다. 생산 환경에 장치를 배포하기 전에 브리지 VLAN 테이블이 어떻게 작동하는지 완전히 이해하십시오.

브리지 포트 설정

각 브리지 포트는 VLAN 관련 설정을 다수 포함하며, 이는 태그가 없는 VLAN 멤버십, VLAN 태그 지정/해제 동작 및 VLAN 태그 존재 여부에 따른 패킷 필터링을 변경할 수 있습니다.

하위 메뉴: /interface bridge port

속성	설명
frame-types (admit-all \| admit-only-untagged-and-priority-tagged \| admit-only-vlan-tagged; Default: admit-all)	브리지 포트에서 허용되는 입력 프레임 유형을 지정합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정된 경우에만 적용됩니다.
ingress-filtering (yes \| no; Default: yes)	VLAN 입력 필터링을 활성화하거나 비활성화합니다. 이 기능은 브리지 VLAN 테이블에 수신된 VLAN ID와 일치하는 입력 포트가 있는지 확인합니다. `frame-types`와 함께 사용해야 합니다. 이 설정은 입력 트래픽이 태그가 지정되거나 태그가 지정되지 않도록 지정합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정된 경우에만 적용됩니다. 이 설정은 RouterOS v7부터 기본적으로 활성화되어 있습니다.
pvid (integer 1..4094; Default: 1)	포트 VLAN ID(PVID)는 태그가 없는 입력 트래픽이 할당될 VLAN을 지정합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정되었을 때만 적용됩니다.
tag-stacking (yes \| no; Default: no)	모든 패킷을 태그가 없는 패킷으로 처리합니다. 입력 포트에 도착한 패킷은 기존 VLAN 태그가 있더라도 다른 VLAN 태그로 태그가 지정되며, 패킷은 `pvid` 값과 일치하는 VLAN ID로 태그가 지정되고, `ether-type`에 지정된 EtherType을 사용합니다. 이 속성은 `vlan-filtering`가 `yes`로 설정된 경우에만 적용됩니다.

브리지 호스트 테이블

브리지 호스트 테이블은 학습된 MAC 주소를 모니터링할 수 있습니다. vlan-filtering가 활성화된 경우 학습된 VLAN ID도 표시됩니다(독립형 VLAN 학습 또는 IVL 활성화).

[admin@MikroTik] > /interface bridge host print where !local 
Flags: X - disabled, I - invalid, D - dynamic, L - local, E - external 
 #       MAC-ADDRESS        VID ON-INTERFACE       BRIDGE
 0   D   CC:2D:E0:E4:B3:AA  300 ether3             bridge1
 1   D   CC:2D:E0:E4:B3:AB  400 ether4             bridge1

VLAN 예시 - 트렁크 포트와 액세스 포트

비활성화된 vlan-filtering를 사용하여 브리지 생성 VLAN이 완전히 구성되기 전에 장치에 대한 액세스를 잃지 않도록 합니다. 브리지에 관리 액세스가 필요한 경우 관리 액세스 구성 섹션을 참조하십시오.

/interface bridge
add name=bridge1 vlan-filtering=no

브리지 포트를 추가하고 액세스 포트의 pvid를 지정하여 해당 포트의 태그가 없는 트래픽을 지정된 VLAN에 할당합니다. frame-types 설정을 사용하여 태그가 있는 패킷 또는 태그가 없는 패킷만 허용합니다.

/interface bridge port
add bridge=bridge1 interface=ether2 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether6 pvid=200 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether7 pvid=300 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether8 pvid=400 frame-types=admit-only-untagged-and-priority-tagged

브리지 VLAN 항목을 추가하고 해당 항목에 태그가 지정된 포트를 지정합니다. frame-types가 admit-only-untagged-and-priority-tagged로 설정된 브리지 포트는 pvid VLAN에 태그가 지정되지 않은 포트로 자동으로 추가됩니다.

/interface bridge vlan
add bridge=bridge1 tagged=ether2 vlan-ids=200 
add bridge=bridge1 tagged=ether2 vlan-ids=300
add bridge=bridge1 tagged=ether2 vlan-ids=400

최종적으로 VLAN 구성 완료 후 브리지 VLAN 필터링을 활성화합니다.

/interface bridge set bridge1 vlan-filtering=yes

선택적 단계는 브리지 인터페이스에서 frame-types=admit-only-vlan-tagged를 설정하여 기본 무태그 VLAN 1 (pvid=1)을 비활성화하는 것입니다.

/interface bridge set bridge1 frame-types=admit-only-vlan-tagged

VLAN 예시 - 트렁크 포트와 하이브리드 포트

vlan-filtering를 비활성화한 브리지(bridge)를 생성하여 VLAN이 완전히 구성되기 전에 라우터에 대한 액세스를 잃지 않도록 합니다. 브리지에 관리 액세스가 필요한 경우 관리 액세스 구성 섹션을 참조하십시오.

/interface bridge
add name=bridge1 vlan-filtering=no

브리지 포트를 추가하고 하이브리드 VLAN 포트에 pvid를 지정하여 태그가 없는 트래픽을 지정된 VLAN에 할당합니다. frame-types 설정을 사용하여 ether2에서 태그가 있는 패킷만 수락합니다.

/interface bridge port
add bridge=bridge1 interface=ether2 frame-types=admit-only-vlan-tagged
add bridge=bridge1 interface=ether6 pvid=200
add bridge=bridge1 interface=ether7 pvid=300
add bridge=bridge1 interface=ether8 pvid=400

브리지 VLAN 항목을 추가하고 해당 항목에 태그가 지정된 포트를 지정합니다. 이 예시에서는 출력 VLAN 태그 지정도 ether6, ether7, ether8 포트에 적용되어 이들을 하이브리드 포트로 변환합니다. frame-types가 admit-all로 설정된 브리지 포트는 자동으로 pvid VLAN의 태그가 없는 포트로 추가됩니다.

/interface bridge vlan 
add bridge=bridge1 tagged=ether2,ether7,ether8 vlan-ids=200
add bridge=bridge1 tagged=ether2,ether6,ether8 vlan-ids=300
add bridge=bridge1 tagged=ether2,ether6,ether7 vlan-ids=400

최종적으로 VLAN 구성 완료 후 브리지 VLAN 필터링을 활성화합니다.

/interface bridge set bridge1 vlan-filtering=yes

선택적 단계는 브리지 인터페이스에서 frame-types=admit-only-vlan-tagged를 설정하여 기본 무태그 VLAN 1 (pvid=1)을 비활성화하는 것입니다.

/interface bridge set bridge1 frame-types=admit-only-vlan-tagged

액세스 포트를 태그가 없는 포트로 추가할 필요는 없습니다. 왜냐하면 이들은 pvid에 지정된 VLAN ID를 가진 태그가 없는 포트로 동적으로 추가되기 때문입니다. pvid가 동일한 모든 포트는 단일 항목으로 태그가 없는 포트로 추가됩니다. 브리지 자체도 포트이며 pvid값을 가지고 있다는 점을 고려해야 합니다. 이는 브리지 포트도 동일한 pvid를 가진 포트에 대해 태그가 없는 포트로 추가된다는 의미입니다. 이 동작을 회피하려면 모든 포트(트렁크 포트와 브리지 자체 포함)에 다른 pvid를 설정하거나, frame-type을 accept-only-vlan-tagged로 설정할 수 있습니다.