Так вийшло, що ні офіційна документація, ні активне гуглювання не дали розуміння і результату з налаштування VLAN, і особливо у зв'язці з Cisco SG200.
Потрібно налаштувати:
Дві окремі підмережі всередині пристрою, кожна з яких дивиться в свій VLAN (51 або 66) і може вийти в інтернет. Одна окрема мережа для телефонії, де VLAN (16) вже явно заданий на телефонах.
Налаштування файрвола докладно розглядатися не буде.
Дано:
Модель: Mikrotik 951G-2HnD
Порт1: Кабель з CiscoSG200, з 40U, 16T, 51T, 66T VLANами
Порт2: Підключено безпосередньо до розетки для першої підмережі
Порт3: Підключено безпосередньо до розетки для першої підмережі
Порт 4,5: Порожній
WifiAP1: Повинен дивитися в першу підсіти
WifiAP2: Повинен дивитися в другу підсіти
Логіка роботи:
Наявність VLAN на порту визначається створенням інтерфейсу типу «vlan» із зазначенням майстер-порту. Трафік, який піде по основному порту, буде вважатися UNTAGGED, трафік, який піде по «vlan» інтерфейсу - TAGGED. Відповідно до цього і будуть створюватися мости (bridge).
Параметри:
1. Для Порт1 створюємо 3 інтерфейси типу «vlan» з VLAN ID 16, 51, 66. Називаємо їх відповідно Порт1-VLAN16 (51,66).
2. Направляємо маршрут 0.0.0.0/0 на Порт1, це буде вихід в інтернет.
3. Оскільки паралельно з комп'ютерами будуть на некерованих свичах підключатися телефони за Порт2,3, то для цих портів створюємо інтерфейси «vlan» з VLAN ID 16. Називаємо їх відповідно Порт2,3-VLAN16
4. Створюємо міст Bridge-VLAN16. Об'єднуємо в нього інтерфейси Порт1,2,3-VLAN16. Телефонія запрацювала.
5. Налаштовуємо Wifi-точку. Називаємо її Wifi0. У її параметрах не вказуємо vlan id.
6. Додаємо новий інтерфейс типу «Virtual AP». Називаємо його Wifi1. У параметрах не вказуємо vlan id.
7. Створюємо міст Bridge-VLAN66. Об'єднуємо в нього інтерфейси Порт1-VLAN66, Порт2, Порт3 і Wifi0. Оскільки в цій підмережі пристрої не знають про vlan, то пакети будуть приходити в «голий» порт, і автоматично тегуватися в разі попадання у VLAN66 і розтегуватися, приходячи з нього. На цей міст вішаємо DCHP, NATім інтернет тощо.
8. Створюємо міст Bridge-VLAN51. Об'єднуємо в нього інтерфейси Порт1-VLAN51 і Wifi1. Ситуація з пакетами буде аналогічна. Приправити DHCP і правилами файрвола за смаком.
Насолоджуємося.