El port isolation vale para otra cosa, eso ni lo mires, que no lo vamos a tocar. Tus puertos ya van a estar aislados entre sí, sólo hablando con los equipos de su misma VLAN, salvo que el router permita la comunicación entre ellas. Así que por ahí, ya lo tienes cubierto. De la manera que lo describes en tu post previo sacrificaríamos muchísimos puertos. Date cuenta de que el enlace entre los dos equipos (CCR/CSS) va a ser un único puerto: el trunk. Ese puerto lleva todas las VLANs de golpe, y no tienes por qué complicarte más la vida. Y sí, vas a sacar dos o tres switches del rack, la idea es que nos quedemos con este y el grande 10/100/1000.
Antes de montar el equipo, lo primero que tienes que ver es cómo lo vas a conexionar, porque en función de eso haremos la tabla de vlans (pestañas VLAN / VLANs). Yo intentaría ver si "te cabe" toda la red interna en el CSS. Es decir: servidores + empleados + seguridad (AP's, opcionales, ahora te explico). Si eso te cabe, en uno de los puertos del CSS parcheas el otro switch con la VLAN de coworkers y dejas el 10/100/1000 para ese propósito.
Otra opción es hacer lo mismo, pero con los empleados. Es decir, todo lo demás al CSS, y la VLAN de empleados en modo acceso al switch grande.
Lo que tienes que tener en cuenta es que al switch grande sólo se le puede entregar tráfico sin tag, o tráfico con tag que sepan recoger equipos como los CAPs (por eso te decía antes que me da lo mismo que los CAP vayan a un switch que al otro; idelamente irían en uno PoE aparte).
El CSS, verás que tienes dos puertos SFP+ de 10G. Esos puertos son los que se llaman puertos para "cascada". Normalmente se usan para interconectar con otro switches o con el router principal, siendo las 24 bocas puertos usables que se entregan en modo acceso (listos para pinchar y usar en las distintas VLANs). Quiere decir, que si compraras dos switches más iguales, este iría cosido al router por uno de esos puertos, y encadenado al siguiente por el segundo, y así repetirías la película en el dos, y el tercero se quedaría únicamente con uno de esos puertos usados, o con el segundo puerto de vuelta al router, montando una redundancia.
Al router vamos a intentar llevar una única conexión, de tal manera que aproveches la capa 2 al máximo (recuerda que el tráfico inter-vlan no sube al router), y ese puerto sólo se utilice para intercomunicar VLANs entre sí o para salir a internet. Si tuviera un tráfico descomunal, la única VLAN que quizá merecería la pena que se quedase en el CCR sería la de servidores. Pero como tampoco creo que sea el caso, todo para abajo en un único cable, que le veas la gracia al switch, que para eso es capaz de mover 43Gbps de tráfico. ¿Ves ahora la idea del DAC de 10Gbps? Como únicamente vas a unir esos equipos por un único puerto, mejor que vaya sobrado de capacidad ese enlace.
Dicho todo esto, manos a la obra. Prefiero que dejemos esto cerrado y luego nos metemos con el tema doble WAN y colas de prioridad, que su miga tiene.
Lo primero que vamos a hacer es comunicar este equipo con el otro. Como de momento no tienes el DAC, considero puertos trunk ambos sfp+ (por si el día de mañana te animas y compras otro de estos) y el puerto ether1. Nos quedan 23 puertos de acceso, echa cábalas y dime qué te cabe y qué no.
En la pestaña System, tenemos que configurar el equipo para conectarlo al otro. Lo vas a configurar con los siguientes datos:
- Address Acquisition: DHCP with fallback
- Static IP Address: La que te parezca bien. El equipo cogerá una dirección por DHCP y, si no puede, esa que definas ahí será la de acceso al equipo en caso de emergencia.
- Identity: le das un nombre que tenga sentido, algo que lo identifiques de un plumazo.
- Allow from: si quieres, puedes definir la subred desde la que vas a permitir el acceso. En nuestro caso, si la defines, la subred sería la 192.168.99.0/28, pero te recomiendo no hagas eso aún, porque en ese caso la IP de fallback debería ir en ese rango también. Así que, de momento, lo dejamos como está, en blanco.
- Allow from ports: aquí tienes que marcar desde qué puertos vas a querer llegar a la administración del switch. Te recomiendo minimizarlos a los tres puertos trunk (ether1, sfp+1, spf+2; primero y dos últimos) + un puerto cualquiera que dejes por ahí perdido por si un día te quedas sin acceso al chisme y tienes que desconectarlo del router y entrar por la IP de fallback. Por ejemplo, ether2, ether24, el que te parezca. Idealmente, sólo se debería llegar al switch desde tráfico taggeado de la VLAN 99, es decir, desde un puerto trunk.
- Allow from VLAN: 99 (nuestra vlan 'base'). Este cambio no lo hagas aún, porque vas a perder el acceso al switch, lo haremos en último lugar.
- Independent VLAN lookup: marcamos esa opción, al ir a trabajar con varias VLANs independientes en el switch.
- DHCP and PPPoE Snooping (Trusted ports): importante, desde qué puertos te vas a tragar servidores PPP o DHCP. Obviamente, únicamente los tres puertos trunk (y lo reduciríamos luego a un único puerto, una vez tengas el setup finalizado; el puerto que te une con el router. Esto previene que ningún gilipollas se traiga un router de casa y te líe la marimorena conectando la parte LAN del router a una de las tomas jack de la pared, metiendo un segundo DHCP en juego, sobre un puerto en modo acceso (joderías a la VLAN correspondiente, donde dos servidores responderían a las peticiones DHCP de los clientes).
- Usuario y contraseña: lo evidente, no le dejes con admin y sin contraseña.
Hecho esto, nos quedaría definir la tabla de VLANs. A este equipo han de llegar todas las VLANs que se van a manejar en la red, es decir; 99, 105, 106, 107, 108, 200; hasta la hora. Nos iríamos a la pestaña
VLANs (plural) y configuraríamos, de momento, sólo los puertos trunk (luego configuraremos los de acceso, cuando tengas claro el conexionado que vas a hacer). En esa tabla añadirías las 6 VLANs, una por línea, y marcarías los puertos ether1, spf+1, spf+2 para cada línea. Los "barquitos" te quedarían iguales para las 6 VLANs, con esos tres marcados, y los demás desmarcados.
Hecho esto, deberías poder ir al menú system y definir la VLAN 99 como vlan de management en el campo "Allow from VLAN". Desde ese momento, el único acceso al switch va a ser vía la red base o admin, desde el CCR, y previa conexión del switch a este vía ether1 (CSS) -> ether6 (CCR)
Si hasta aquí has conseguido llegar sin morir en el intento, monta una cacho tabla o excel con la distribución de puertos, y empezamos a jugar a los barquitos, como tú dices
Te dejo la guía de referencia de SwOS, donde puedes ver un ejemplo de configuración (y en lo que me estoy basando, porque esos equipos no los he tocado nunca):
https://help.mikrotik.com/docs/page...2624G2S+seriesManual-VLANConfigurationExample
Saludos!
