Interfacce, switching e VLANIntermedio

Loop protection e DHCP snooping: blindare la rete d'accesso

loop-protect per fermare i loop dove STP non arriva, DHCP snooping per bloccare server DHCP fasulli dei clienti, e perché un WISP deve sempre attivarli sulle porte d'accesso.

Su una rete d'accesso WISP il nemico numero uno a L2 sono i clienti stessi: chi collega per errore due porte dello stesso switch creando un loop, chi attacca un router consumer che fa da DHCP server e distribuisce IP a tutto il POP. RouterOS offre due protezioni mirate, complementari allo Spanning Tree: loop-protect e DHCP snooping.

loop-protect: dove STP non basta

STP previene i loop tra switch che parlano STP. Ma se un cliente collega un mini-switch non gestito (che NON inoltra i BPDU) e crea un loop a valle, lo STP del tuo switch potrebbe non vederlo. loop-protect invia un frame speciale fuori dalla porta e, se lo riceve indietro, capisce che c'è un loop e disabilita la porta. È indipendente da STP e ideale sulle porte access.

Abilitare loop-protect sulle porte access

# loop-protect: la porta si disabilita se rileva un loop a valle
/interface/bridge/port
set [find interface=ether2] loop-protect=on loop-protect-send-interval=5s loop-protect-disable-time=5m
set [find interface=ether3] loop-protect=on loop-protect-send-interval=5s loop-protect-disable-time=5m

# Default su 'on-with-stp' (attivo solo se STP off): qui forziamo 'on'.
# disable-time=5m -> riprova da sola dopo 5 minuti (0 = manuale)

Differenza con bpdu-guard: bpdu-guard reagisce a un BPDU ricevuto (qualcuno ha collegato uno switch managed). loop-protect reagisce a un LOOP vero rilevato col proprio frame, anche dietro switch dumb. In WISP usa entrambi sulle porte cliente.

DHCP snooping: stop ai DHCP server fasulli

Con dhcp-snooping=yes il bridge ispeziona i pacchetti DHCP e li lascia passare SOLO sulle porte marcate trusted=yes (quella verso il vero DHCP server / il core). Sulle porte non fidate (i clienti) blocca le risposte DHCP (OFFER/ACK): un router consumer collegato da un cliente non potrà più assegnare IP agli altri. Attiva anche l'inserimento di Option 82 (info sulla porta) se serve.

DHCP snooping: trusted sull'uplink, untrusted sui clienti

# 1) Abilitare DHCP snooping sul bridge
/interface/bridge
set br-dist dhcp-snooping=yes

# 2) Marcare come trusted SOLO la porta verso il vero DHCP/core
/interface/bridge/port
set [find interface=sfp-sfpplus1] trusted=yes

# 3) Le porte cliente restano trusted=no (default): niente DHCP server fasulli
# (opzionale) inserire Option 82 verso il server centrale:
/interface/bridge
set br-dist dhcp-snooping=yes add-dhcp-option82=yes

PRESTAZIONI: dhcp-snooping=yes disabilita il fast-forward sul bridge. Sui chip CRS3xx (Prestera) l'hardware offload del forwarding rimane attivo, quindi l'impatto è trascurabile; su chip più semplici valuta il carico. Vale comunque quasi sempre la pena per la sicurezza.

BEST PRACTICE WISP per ogni porta access cliente: bpdu-guard=yes + loop-protect=on + ingress-filtering=yes + porta untrusted nel DHCP snooping + horizon per l'isolamento. È il pacchetto minimo per non farti mettere giù il POP da un singolo cliente.

loop-protectloop protectionDHCP snoopingrogue DHCPtrustedbroadcast stormsicurezza L2porte accessWISPoption-82

Continua con

Interfacce Ethernet: velocità, duplex e MTU Il Bridge RouterOS: dominio L2 e gestione porte Hardware Offload: switch chip e forwarding wire-speed VLAN 802.1Q con bridge vlan-filtering: configurazione completa e sicura

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS