Приветствую. Помогите новичку определиться, будет ли работать подобная схема и если не будет, то как с минимальными затратами реализовать данный функционал.
Дано: Есть сеть интернет. Есть управляемый свич L2 (Н3С), есть роутер.
На выходе хотелось бы получить:
1. Порты 1-6 это один VLAN (одна сеть - все друг друга видят и имеют доступ к интернету)
2. Порт 7, 8...16 это отдельные VLAN. Никто ни с кем не связан, но все имеют доступ к интернету.

Поскольку роутер один и может раздавать только адреса из одной подсети, то хотелось бы изолировать порты, как указано выше.

Роутер умеет вланы?
Если нет, то покупайте такой, который умеет, либо ставьте старый комп с 2мя сетевухами, устанавливайте туда pf/opnsense (что-то другое по вкусу) и настраивайте.

я бы на 2х роутерах сделал так:
1й смотрит в интернет и выдает во внутреннюю сеть адреса 192,168,0,х включена "секурность" чтоб все порты были изолированы. Туда включены роутер №2 и "7, 8...16 это отдельные VLAN. Никто ни с кем не связан, но все имеют доступ к интернету."
Роутер 2 получает внешний адрес от 1го из сети 192,168,0,х а внутреннюю сетку выдает адреса из 192,168,1,х
На нем изоляцию портов включать не нужно т.к. "одна сеть - все друг друга видят "

бородач, с помощью коммутатора (свича) вы можете компенсировать только количество портов, но никак не функционал маршрутизатора (роутера).

как с минимальными затратами реализовать данный функционал »
купить полноценный маршрутизатор, например Mikrotik. Для просто раздачи инета достаточно будет линейки hEX.

Ну можно попробовать сделать supernetting (https://en.wikipedia.org/wiki/Supernetwork) - например, грубо говоря, 1-й вилан имеет 192.168.1.0/24, второй - 192.168.2.0/24, третий - 192.168.3.0/24.
А на роутере прописана сеть 192.168.0.0/22.

Правда, остаются вопросы с раздачей адресов и шлюзами для каждого вилана.

Роутер умеет вланы? »
Нет, не умеет он этого.
бородач, с помощью коммутатора (свича) вы можете компенсировать только количество портов, но никак не функционал маршрутизатора (роутера). »
Думал, что с помощью VLAN`ов разрулить это, но свич хоть и управляемый, но за 2 ночи так и не смог настроить его (раньше с VLAN не имел дело). Т.к. порт с интернетом является узким местом и все компы видят друг друга. Реализовать с помощью Isolation port то же не удалось, т.к. на группы нет деления. Вообщем настроек в свиче много, но все какие то недоделанные)
я бы на 2х роутерах сделал так: »
Думал над этим, второй роутер докупать надо. Тогда, наверное, проще купить тот который работает с VLAN и старый роутер исключить из этой цепочки.

Нет, не умеет он этого. »
Какой именно и какая прошивка, не все явно умеют через WEB.

бородач, взять любой роутер, поддерживающий нужное количество vlan, хоть бу циску занедорого, хоть микротик ... любой.
объединить его со свичем транковым портом. всё.
каждому vlan можно будет выдать отдельную подсетку 192.168.x.0/24

Всем спасибо за участие и советы. Проблема решена покупкой нового роутера в котором есть VLAN и раздача адресов по двум подсетям.

Роутер умеет вланы? »
А это обязательно? Разве коммутатор не может назначить VLAN-ы по портам?
Или поделить сеть по MAC-адресам: MAC каждого устройства - на отдельный VLAN, а MAC коммутатора - во все VLAN'ы.