WispOSWispOS
Guida MikroTik
Interfacce, switching e VLANAvanzato

Port isolation: split-horizon per isolare i clienti a L2

Come isolare le porte tra loro con bridge horizon (split-horizon) e quando preferire VLAN private: scenario WISP con clienti sullo stesso switch che non devono vedersi.

In un POP WISP molti clienti condividono lo stesso switch e la stessa VLAN d'accesso. Per default si vedono tutti a L2: possono fare ARP-scan, ARP-spoofing/MITM tra loro, e ricevono il broadcast altrui. La port isolation impedisce a due porte 'cliente' di comunicare direttamente, lasciando però che entrambe raggiungano l'uplink (il core/gateway). RouterOS lo realizza col parametro horizon sulle bridge port.

Come funziona l'horizon

L'horizon è un numero: due porte con lo stesso valore di horizon NON si inoltrano traffico a vicenda. Porte con horizon diverso (o senza horizon) comunicano normalmente. Quindi metti tutte le porte cliente sullo stesso horizon (es. 1) e lasci l'uplink senza horizon: i clienti parlano solo con l'uplink, mai tra loro.

Isolare le porte cliente con horizon
# Tutte le porte cliente: stesso horizon -> non si vedono tra loro
/interface/bridge/port
set [find interface=ether1] horizon=1
set [find interface=ether2] horizon=1
set [find interface=ether3] horizon=1
# ... e cosi via per tutte le porte cliente ...

# L'uplink (sfp-sfpplus1) NON ha horizon:
# i clienti lo raggiungono, ma non raggiungono gli altri clienti.
PortahorizonParla con porte horizon=1?Parla con uplink (no horizon)?
ether1 (cliente)1No
ether2 (cliente)1No
sfp-sfpplus1 (uplink)(nessuno)
horizon: chi parla con chi
ATTENZIONE PRESTAZIONI: impostare horizon su una porta DISABILITA l'hardware offload su quella porta (il forwarding passa dalla CPU). Su uno switch d'accesso con poche centinaia di Mbps per cliente di solito va bene; su aggregazioni ad alto traffico valuta le VLAN private (una VLAN/cliente) per mantenere l'offload.

Alternativa: VLAN private (una VLAN per cliente)

Quando l'offload è imprescindibile, l'isolamento si ottiene assegnando una VLAN dedicata a ciascun cliente (o una S-VLAN QinQ per sito): i clienti sono su VID diversi e non si vedono per costruzione, il forwarding resta in hardware. Costa più VLAN ID e più configurazione, ma è la via 'a prova di offload' tipica delle reti d'accesso grandi.

BEST PRACTICE: per pochi clienti per switch, horizon è semplice ed efficace. Per centinaia di clienti/alto traffico, preferisci VLAN-per-cliente o QinQ. In entrambi i casi il principio è lo stesso: i clienti raggiungono il gateway, mai i vicini.
port isolationhorizonsplit-horizonprivate VLANisolamento clientiL2 isolationWISPsicurezzaMITMuplink condiviso

Continua con

Interfacce Ethernet: velocità, duplex e MTUIl Bridge RouterOS: dominio L2 e gestione porteHardware Offload: switch chip e forwarding wire-speedVLAN 802.1Q con bridge vlan-filtering: configurazione completa e sicura

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS