Russian Users MikroTik | Форум пользователей MikroTik

Вот такой у меня ход мыслей:

Цель - создать группы устройств, которым будет запрещено общаться между собой.
это мне нужно для:

1) уменьшения нагрузки на сетевое оборудование
2) уменьшения количества широковещательного трафика
3) предотрващения распространиения вирусов

я так понимаю что в решении этой проблемы мне как-то должны помочь VLAN-ы, но как я понял в одном влане устройства спокойно могут видеть друг друга.
я же хочу чтобы некоторые устройства друг друга не видели вообще а видели только интернет (и/или) нужные мне внутренние подсети.

подскажите правильно ли я рассуждаю и в каком направлении мне копать? ) как решить такую задачу в микротике?

Мысли/идеи/предложения лишь мои:

1) VLAN'ы (в целом)
1.1) VLAN + Isolation
1.2) VLAN на/для каждого юзера (так иногда делают провайдеры)

2) сеть /24 дробить на сети /30 = 64 подсети = 64 адреса/юзера
2.1) если пере/на/за-мудрить, может и /32 маска пойдёт....

3) Ассорти: выделить отдельные серисы в отдельные сегменты, как в рамках и
L2-уровня, так и в рамках L3-уровня, то есть видео/охрана в отдельной IP-сети,
и в отдельном вилане, также и с другими сервисами (телефония, вифи-сеть(и),
менеджмент,бухи, админы и т.д.)
3.1) всё же доступы и сетевое окружение почему то многим надо, поэтому
для компов, которые/которых это не требуется, и стоит задача только выпускать
в Интернет, и не нужны доступы вообще никаких = проще делать только гостевую сетку,
пусть "плавают" вместе и без ничего важного-локального.

NB:
Короче вариаций масса, и вообще это комплексное решение, которое надо проверить,
уточнить, оттестировать, изолировать вот так резко - вряд ли получиться.
Да и введение виланов в организацию, это и подготовка и свитчей, и политики и документации.
Да и начальство/руководство должно быть понимающи- адекватное, а то скажут - делайте,
а через неделю/месяц: "...всё плохо, вернуть взад".
Так что 5 раз думаем, 3 раза согласовываем, 2 раза испытываем, и уже последний раз - начистовик.