Interfacce, switching e VLANAvanzato

Switch chip: ACL e rule hardware (/interface/ethernet/switch)

Le ACL hardware dello switch chip su RouterOS v7: filtrare, marcare e reindirizzare traffico a wire-speed senza toccare la CPU. Quando usarle al posto del bridge filter e del firewall IP.

Oltre al firewall IP (CPU) e al bridge filter, gli switch con chip Marvell Prestera (CRS3xx) e alcuni 88E6xxx (CRS1xx/2xx) offrono ACL hardware: regole eseguite direttamente dall'ASIC a wire-speed. Sono lo strumento giusto quando devi filtrare/marcare/limitare traffico su uno switch ad alto throughput senza caricare la CPU.

Quando usare le ACL hardware (e quando no)

Strumento	Path	Esegue su	Prestazioni	Granularità
Switch ACL	/interface/ethernet/switch/rule	ASIC (chip)	Wire-speed	L2/L3/L4 base (per chip)
Bridge filter	/interface/bridge/filter	CPU (di norma)	Limitata da CPU	Alta (L2-L7 parziale)
Firewall IP	/ip/firewall/filter	CPU	Limitata da CPU	Massima (connection-tracking)

Dove mettere una regola: confronto

Regola pratica: se la regola deve reggere traffico aggregato di tutto lo switch (es. bloccare una porta/VLAN, rate-limit su una porta, mirror per analisi), usa l'ACL hardware. Se ti serve stato di connessione (NAT, established/related) o logica complessa, usa il firewall IP sul router.

Esplorare lo switch chip e le porte

# Quanti switch chip ci sono e quali porte appartengono a ciascuno
/interface/ethernet/switch print
/interface/ethernet/switch/port print

# Le ACL/rule disponibili dipendono dal chip:
/interface/ethernet/switch/rule print

ACL hardware: bloccare una VLAN su una porta (wire-speed)

# Esempio (chip Prestera): scartare in hardware i frame VLAN 50
# che entrano da ether5 (regola eseguita dall'ASIC)
/interface/ethernet/switch/rule
add switch=switch1 ports=ether5 vlan-id=50 new-dst-ports="" \
    comment="Drop hardware VLAN 50 su ether5"

ACL hardware: port mirroring per analisi traffico

# Specchiare tutto il traffico di ether3 verso ether10 (analizzatore)
# eseguito dal chip, zero impatto CPU
/interface/ethernet/switch
set switch1 mirror-source=ether3 mirror-target=ether10

ATTENZIONE: la sintassi e le capacità delle switch rule DIPENDONO dal chip. Non tutti i chip espongono gli stessi campi (alcuni non hanno match L3/L4, altri non fanno rate-limit in ACL). Verifica sempre /interface/ethernet/switch/rule print sul modello specifico e prova su un lab prima della produzione.

BEST PRACTICE: usa le ACL hardware con parsimonia e documentale. Su molti scenari WISP il bridge VLAN filtering + ingress-filtering + DHCP snooping risolvono già la sicurezza L2 mantenendo l'offload, senza dover scendere alle switch rule specifiche del chip.

switch chipACLswitch rulehardware ACL/interface/ethernet/switchrate-limitmirrorredirectCRSPresterawire-speed filtering

Continua con

Interfacce Ethernet: velocità, duplex e MTU Il Bridge RouterOS: dominio L2 e gestione porte Hardware Offload: switch chip e forwarding wire-speed VLAN 802.1Q con bridge vlan-filtering: configurazione completa e sicura

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS