if vlan su bridge quali best practice?

[nexus]

ciao a tutti nei giorni scorsi mi son messo a smanettare con router os su gns3 per capire come consentire ppppoe aggiuntive dagli host di lan e alla fine della fiera la soluzione più intuitiva mi è parsa quella di spostare l'if vlan 835 (vorrei applicare la configurazione ad un hap ac2 su linea ftth tim) dalla ether (quella che vedrà l'ont) al bridge che in questo caso associa tutte le ether dell'apparato ed è qui che nasce il dubbione da umarell gnurante: questo tipo di scenario porge il fianco a eventuali rischi non trascurabili di sicurezza? se sì che impostazioni posso usare per eliminarli o mitigarli mantenendo la funzionalità di pppoe da host di lan? oppure in alternativa per consentire le pppoe da host di lan si può usare un approccio configurativo diverso magari più sicuro per definizione? grazie

config

Codice: Seleziona tutto

/interface bridge
add name=bridge
/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] disable-running-check=no
/interface vlan
add interface=bridge name=vlan-835 vlan-id=835
/interface pppoe-client
add add-default-route=yes allow=chap disabled=no interface=vlan-835 name=pppoe-835-out password=gns user=ros-835
/ip pool
add name=dhcp-pool ranges=10.0.0.2-10.0.0.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip address
add address=10.0.0.1/24 interface=bridge network=10.0.0.0
/ip cloud
set update-time=no
/ip dhcp-server lease
add address=10.0.0.3 mac-address=0C:C2:3E:A8:00:00 server=dhcp
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1 domain=gns gateway=10.0.0.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=10.0.0.1 name=ros.gns
add address=10.0.0.3 name=ubuntu.gns
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-835-out
/system identity
set name=ros
/system ntp client
set enabled=yes primary-ntp=193.204.114.232 secondary-ntp=193.204.114.233

giusto per la cronaca le due sessioni pppoe attive

Codice: Seleziona tutto

[***@ras] > ppp active print
Flags: R - radius
#   NAME         SERVICE CALLER-ID         ADDRESS         UPTIME   ENCODING
0   ros-835      pppoe   0C:E3:5C:A1:00:00 172.16.1.2      12m7s
1   ubuntu-835   pppoe   0C:C2:3E:A8:00:00 172.16.1.253    1m7s