Фильтровать выходящие из моста порты CRS BDPUs, также известное как "BPDU-фильтр".

Вся ваша топология построена неправильно. RSTP (или MSTP, в зависимости от того, что вам нужно) должен быть включён на всех коммутаторах и правильно настроен для всех транковых портов, то есть для всех портов, не являющихся edge-портами. Сначала исправьте топологию и корректно настройте RSTP по всей сети.

Проблема всё ещё не решена в 2022 году, а мы уже идём в 2023-й. Искал везде, пытаясь разобраться, что к чему.

Это сработало у меня после общения с техподдержкой. RouterOS поддерживает стандартные протоколы M/R/STP, и вы можете указать, какие порты не будут участвовать в spanning tree, используя «edge=yes». Такие порты не будут отправлять и игнорировать стандартные BPDUs (01:80:C2:00:00:00). Однако RouterOS не поддерживает проприетарный PVST, поэтому программные и аппаратно-ускоренные мосты будут просто рассылать эти BPDUs (01:00:0C:CC:CC:CD) как обычный мультикаст-трафик. В зависимости от вашей сети и используемых протоколов, вы можете выбрать, какие входящие порты будут отбрасывать эти пакеты, если вы не хотите, чтобы их пересылали. С наилучшими пожеланиями, add dst-mac-address=01:00:0C:CC:CC:CD/FF:FF:FF:FF:FF:FF new-dst-ports=“” ports=combo1,combo2,sfp1,sfp2 switch=switch1

Ну, это было на моём свитче, чтобы я мог получить VLAN для интернета на уровне Layer 2... так что так же можно раздавать публичные адреса на уровне Layer 2. Роутер подключён к отдельному независимому порту для интернета, но весь трафик проходит через тот же самый свитч, который, по сути, является ядром остальной сети.

Привет, моя проблема похожа, но, похоже, эти методы её не решили. У меня есть 3 коммутатора:  
SW1: включён BPDU guard на всех портах (не Mikrotik)  
SW2: устройство MT, там только один мост, и все порты являются его участниками, STP установлен в NONE  
SW3: устройство MT, там тоже только мост, все порты — участники, включён RSTP.  

Сетевая конфигурация такая: SW1 (eth1) — (eth2) SW2 (eth4) — (eth3) SW3  

Проблема в том, что если на SW2 STP стоит в NONE, он пересылает BPDU-пакеты с SW3 в сторону SW1, из-за чего SW1 отключает свой порт eth1, а мне нужно сохранить такую топологию (нужно держать eth2 на SW2 в мосту).  

Поэтому хотел бы отфильтровать исходящие BPDU-пакеты на SW2 с любого порта в направлении eth2.  

Пробовал сделать такой фильтр на SW2:  
/interface bridge filter  
add action=drop chain=forward comment="stp filter" dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF log=yes log-prefix="stp log" out-interface=ether2  

Но фильтр не сбрасывает STP-пакеты, счётчик у него равен 0:  
[admin@MikroTik] /interface/bridge/filter> print stats
Columns: CHAIN, ACTION, BYTES, PACKETS  
# CHAIN    ACTION  BYTES  PACKETS  
;;; stp filter  
0 forward  drop        0        0  

Если же поменять цепочку с forward на input, то счётчик растёт и логи появляются, но пакеты всё равно форвардятся — естественно, я менял входной интерфейс на eth4:  
[admin@MikroTik] /interface/bridge/filter> print
Flags: X - disabled, I - invalid, D - dynamic  
0   ;;; stp filter  
    chain=input action=drop in-interface=ether4 dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF log=yes log-prefix="stp log"  
Stats:  
[admin@MikroTik] /interface/bridge/filter> print stats
Columns: CHAIN, ACTION, BYTES, PACKETS  
# CHAIN  ACTION  BYTES  PACKETS  
;;; stp filter  
0 input  drop      184        4  

Лог:  
00:15:22 firewall,info stp log input: in:ether4 out:(unknown 0), connection-state:invalid src-mac 6c:3b:6b:40:0c:fc, dst-mac 01:80:c2:00:00:00, eth-proto 0027  
00:15:24 firewall,info stp log input: in:ether4 out:(unknown 0), connection-state:invalid src-mac 6c:3b:6b:40:0c:fc, dst-mac 01:80:c2:00:00:00, eth-proto 0027  

Пробовал выставлять на SW2 порты eth2 и eth4 как edge port (в любой комбинации), но это не помогло.