[James Marsh]

Брррр...
Наворотили...
Не бэст-практиз может быть, но рабочее решение на таком же оборудовании (сморим на 31 влан):
1. На фортигейте на лан порт вешаем нужные вланы

картинка

2. На влане поднимаем дхцп сервер, если надо, то в адвансед делаем привязки по маку:

картинка

3. Пишем правила разрешающие что куда надо

картинка

4. Первый - рутовый - коммутатор (после МСЭ)

картинка

5. Коммутатор куда воткнуты вайфайки:

картинка

на всех коммутаторах:

Код:

#conf
#dhcp-releay

На влане указан ip-helper - адрес фортигейта в влане
На фортигейте подняты dhcp сервера на нужных вланах.

Физика: фортигейт - порт лан1 -> порт1 рутового. 8 порт рутового -> 1й порт коммутатора куда фай-файки воткнуты
Нативный влан используется для мэнеджэмента всея железа, втч вай-файки + контроллер, адм и гостевая сети идут в разных вланах, правила на фортигейте ограничивают и описывают доступ между вланами.

Повторюсь - Не бэст-практиз может быть, но рабочее решение

Ах да

фай-вайки