К нам в центральный офис приехал наш же филиал со своими компами. На компах прописаны статические адреса и шлюзы. Без DHCP. Решил их интегрировать в корпоративную сеть не переписывая им адреса.

На убиквити (EdgeSwitch Lite):

Освободил группу портов рядышком, создал влан 14, назначил эти порты влану 14 как untugged, для других вланов, которые уже были в свитче, обозначил эти порты как excluded.

Влан не стал делать routable, потому что ходить туда из других сетей никому не надо. Но интернет там должен быть.

Порт, которым свитч был подключен к микроту, раньше имел статус untugged для влана 2, потому что другим вланам интернет не был нужен. Сделал его tugged для вланов 2 и 14.

На микроте:

Уже есть несколько вланов. Все они у меня крутятся в одном бридже. Недостаток этого подхода в том, что если мы хотим изолировать один влан от другого, это надо делать в явном виде через Routing -> Rules. Создал влан.14 в Interface List -> VLAN. Интерфейс влана - общий для всех бридж.

Добавил адрес в IP -> adresses, интерфейс указал влан.14. Адрес тот, который указан шлюзом на компах, которые приехали.

Тот порт, которым микрот соединяется с убиквити, тоже был помечен как untugged для второго влана. Теперь мне надо принять в него два влана с убиквити. В Bridge -> Ports я оставил все как было, PVID - 2. А в Bridge -> VLANs для вланов 2 и 14 указал как Tugged по два интерфейса, общий для всех вланов бридж, и тот ethernet порт, которым микрот соединен с убиквити. Микрот стал пинговаться с машин нового влана и сам стал их пинговать.

DHCP новой сети ненужен. Осталось раздать туда интернет. У меня уже было src-nat правило, которое раздавало интернет нескольким сетям из списка IP -> Firewall -> Adress Lists. Просто добавил в этот список новую сеть и все.

Таким образом я реализовал то, для чего вланы вообще были придуманы. Две подсети из большого свитча ходят на роутер за интернетом по одному проводу, но друг друга не видят. Условно не видят. Взаимная видимость регулируется правилами в микроте.

Все довольно просто несмотря на то, что я во все это вот сетевое уже пару лет не заглядывал.

В принципе, оно действительно просто. Достаточно понять, что делают tagged и untagged порты. А реализуется все на каждой железке по-своему.