MikroTik Router OS RB951-2n实现端口镜像端口隔离，防内网回路

端口镜像
网络需求：某网吧要对用户上网的数据上报公安系统。
解决方案： ROS端口镜像加数据包嗅探
以下是在宿舍做的模拟实验

 

 

端口隔离
Bridge 实现二层端口隔离
RouterOS具有Bridge的桥接功能，在配置多网口的情况下可以实现二层数据的转发，即可以实现交换机功能，加上RouterOS支持birdge filter的过滤，同样也支持对二层数据的管理，通过配置Bridge的防火墙规则实现多网口的端口隔离。

在这里我们通过RB951的操作为实例，配置二层端口隔离。首先我们在Bridge中添加一个网桥LAN：
在 bridge 中启用rstp快速生成树协议，防止二层的回环出现，同样也是支持二层的冗余功能，在这里我们选择rstp：

添加完桥接功能后，需要将对应的网卡添加入bridge1中，进入Port中设置，我们将3个网卡ether3、ether4和ether5一个一个添加到LAN中

添加完每个端口后，现在RB951的3个以太网口，就完成了桥接的设置，这样3个口就实现了二层的交换功能。

这里我们禁止ether3、ether4和ether5进行通信，我们进入filter中设置防火墙过滤规则，我们首先配置ether3与ether4的数据隔离我们在interface选项中设置In-interface和Out-interface（In-interface为

数据进入的网口，Out-interface为数据出去的网口，数据是双向传输的，两个接口需要做两条规则），然后选择action设置action参数为drop，丢弃数据：