tvůj původní konfig je tak easy, že ho použiješ jak je a jenom zapneš L3 HW. Hotovo. Že se zapnul zjistíš tak, že routy mají u sebe značku H. Porty v bridge u sebe musí mít také H.
- žádný bridge nerušíš, použiješ to tak jak seš zvyklý, máš to lehký jako většina lidí, proč to složitit
- výchozí GW jak jseš zvyklý, žádná extra věc, standardní zápis
- routy stejně jak byly, nic se nemění, standardní zápis
nehledej v tom složitosti, Firewall použít můžeš protože ho máš na inputu tedy směrem ke službám na routeru, to je ok a bude to fungovat běžnou softwarovou cestou. Pokud by si to chtěl řešit v hardware, budeš to muset přepsat do filltů v bridge ale s tím bych si hlavu nelámal. Např pokud budu chtít na jednom portu vyhrazený subnet, vyjmu port z bridge a pověsím na něj IP adresu, klasika, hotovo, nic extra.
Mimochodem, na filter kde je accept a drop tak conn. tracking nepotřebuješ, můžeš vypnout a dojde k odlehčení. Conn. tracking je pro nat funkce. Když už conn. tracking potřebuji, nahazuji i pravidla pro fast track.
Lehoučká komplikace nastává když chceš víc bridgů. Ale to je jenom prostě jinak postavený jeden bridge rozsekaný pomocí "interních" vlan tak aby to dělal hardware místo CPU a ta vlana pak slouží pro zachycení provozu z té skupiny portů a na ní je ta IP adresa, zase, easy, jednou se naučíš a jedeš. U bridge port dopíšu VlanID, zapnu filtrování vlanů, k bridge přidám vlany, na vlany přidám IP adresy, hotovo. Lehké configy zvládne automatika vyplnit do vlan tabulky sama a správně. Prakticky je to stejné jako když chci použít CRS jako switch s vlany s trunkem, taky chci aby to jelo HW cestou, je to úplně to samé.
No a pak zapneš:
/interface/ethernet/switch set 0 l3-hw-offloading=yes
/interface/ethernet/switch/port set [find] l3-hw-offloading=yes
a hotovo
dokonce když nechci aby provoz k tomu portu šel HW cestou třeba pro provedení torchu nebo něco na L2 třeba jako mac telnet nebo když chci provést nat abych se nouzově někam dostal tak u portu jednoduše vypnu L3 HW. Prakticky se to neliší od běžné konfigurace jak jsme zvyklý.
Jak to ovládneš, budeš se mlátit do hlavy protože najednou neřešíš výkon routování jelikož výkon routování je najednou roven výkonu switchování včetně super nízké latence. To je takový jako že "ty voe, čím jako odbavím přívod na eriku s 5Gbit licencí, to tam mám dát jako CCR? ty voe, kolik že stojí? ses posral ne? a to jako ještě nemá 10Gbit port? no ty voe a kolik že chtějí za 10Gbit verzi? ses posral ne? a když to má mít 2x10Gbit... a jako ještě mě to stojí 40W? a jenom indoor jo? 🤣"
