Guida MikroTik
Interfacce, switching e VLANBase

Il Bridge RouterOS: dominio L2 e gestione porte

Cos'è un bridge in RouterOS, come crea un dominio Layer 2, come aggiungere porte e controllare la MAC address table (host table).

Un bridge in RouterOS è un'interfaccia virtuale che unisce più porte fisiche (o virtuali) in un unico dominio di broadcast Layer 2, esattamente come uno switch non gestito. Il traffico viene inoltrato in base alla MAC address table (chiamata host table in RouterOS): il bridge impara dinamicamente quale MAC è raggiungibile su quale porta e inoltra unicast direttamente, senza flooding.

Bridge software vs hardware: la distinzione chiave

Concettualmente il bridge è SEMPRE un oggetto software di RouterOS: definisce la logica L2. La differenza la fa dove avviene l'inoltro dei pacchetti. Se le porte stanno sullo stesso switch chip e hanno hw=yes, il forwarding lo esegue il chip a wire-speed senza toccare la CPU (bridge con hardware offload). Se le porte sono su chip diversi, o usano feature non offloadabili, il forwarding lo fa la CPU (bridge software): flessibile ma limitato dalla potenza della CPU. Su un CRS usato come switch puro vuoi sempre l'offload; su un router che fa anche routing/firewall il bridge software è normale.

AspettoBridge software (CPU)Bridge hardware offload (hw=yes)
Dove inoltraCPU del routerSwitch chip (ASIC)
ThroughputLimitato dalla CPUWire-speed / non-blocking
Carico CPUAlto sotto trafficoQuasi nullo
Porte ammesseQualsiasi (anche chip diversi, tunnel)Solo stesso switch chip
Feature completeTutte (firewall bridge, ecc.)Sottoinsieme offloadabile
Uso tipicoRouter (RB) con poche porte L2CRS / switch puri
Bridge software vs bridge con hardware offload

Creare un bridge e aggiungere porte

Creazione bridge minimale e aggiunta di porte
# 1. Creare il bridge
/interface/bridge
add name=bridge1 comment="LAN principale"

# 2. Aggiungere interfacce al bridge
/interface/bridge/port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4

# 3. Assegnare IP al bridge (interfaccia L3)
/ip/address
add address=192.168.1.1/24 interface=bridge1

MAC address table: aging e voci statiche

RouterOS mantiene la tabella MAC nel path /interface/bridge/host. Ogni voce ha un ageing-time (default 5 minuti) dopo il quale, se non ci sono traffico, viene rimossa. Si possono aggiungere voci statiche (flag S) per dispositivi con MAC fisso.

Gestione host table
# Visualizzare tutte le voci MAC apprese
/interface/bridge/host print

# Aggiungere voce statica (MAC sempre su ether2, VLAN 10)
/interface/bridge/host
add bridge=bridge1 interface=ether2 mac-address=AA:BB:CC:DD:EE:FF vid=10

# Modificare ageing-time del bridge (es. 10 minuti)
/interface/bridge
set bridge1 ageing-time=10m

Fast-path e fast-forward

fast-path è la via veloce del kernel per l'inoltro: bypassa il firewall IP quando un pacchetto non necessita elaborazione aggiuntiva. fast-forward è specifico del bridge: se due porte fanno parte dello stesso bridge e non ci sono regole firewall bridge attive, il pacchetto viene inoltrato direttamente in kernel space. Entrambe le ottimizzazioni si disabilitano automaticamente appena si abilita ip-firewall sul bridge o DHCP snooping.

Verifica stato fast-path e fast-forward
# Statistiche fast-path e fast-forward per il bridge
/interface/bridge/settings print stats

# Vedere se una porta sta usando fast-forward
/interface/bridge/port print detail
BEST PRACTICE: assegnare l'IP di gestione sempre all'interfaccia bridge (non a una porta fisica). Se devi spostare il management su una VLAN dedicata, crea prima la VLAN L3 sul bridge prima di abilitare vlan-filtering, altrimenti perdi l'accesso remoto.

Parametri bridge rilevanti

  • auto-mac=yes (default): il bridge usa il MAC più basso tra le porte. Con auto-mac=no si specifica admin-mac manualmente — utile per fissare il MAC del bridge e non cambiarlo quando aggiungi/togli porte (importante per DHCP reservation e firewall a monte).
  • arp=enabled (default): il bridge risponde alle ARP. Con arp=reply-only risponde solo alle ARP per IP assegnati a lui.
  • igmp-snooping=yes: previene il flood di multicast su tutte le porte, ottimizza traffico IPTV/streaming.
  • dhcp-snooping=yes: blocca DHCP server fasulli su porte non fidate (disabilita fast-forward).
  • max-learned-entries: limita le voci MAC apprendibili (protezione MAC flooding).
  • protocol-mode: imposta STP/RSTP/MSTP/none — vedi l'articolo dedicato allo Spanning Tree.
Fissare il MAC del bridge (consigliato in produzione)
# Evita che il MAC del bridge cambi quando aggiungi/togli porte
/interface/bridge
set bridge1 auto-mac=no admin-mac=CC:2D:E0:00:00:01
Su RouterOS v7 è fortemente preferito usare il bridge con VLAN filtering rispetto alle vecchie interfacce /interface/vlan stacked direttamente su porte fisiche. Il bridge offre hardware offload, STP/RSTP e gestione VLAN centralizzata.
bridgeswitchL2dominio broadcastMAC tablehost tableagingfast-forwardfast-pathporte bridgesoftware bridgehardware bridge

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS