На CRS112 (CRS1xx/2xx чип) DHCP snooping через bridge/trusted не нужен вообще, там есть родной механизм Protocol Level Isolation:
/interface ethernet switch port-isolation add port-profile=X protocol-type=dhcpv4 type=dst forwarding-type=bridged ports=ether1
(это порт к DHCP-серверу), клиентским портам ставишь тот же isolation-leakage-profile-override — и левые DHCP-ответы просто не доходят дальше свитч-чипа, bridge vlan-filtering тут вообще не нужен. Для arp spoofing нормального DAI на этом чипе нет, ближе всего Limited MAC Access per Port + arp=reply-only на шлюзе, но это защищает только сам шлюз, не L2 между клиентами.