Настройка первого "взрослого" маршрутизатора
 

Приветствую, камрады.

Работала наша кривенькая сетка в организации и до поры до времени не знала бед. Но росла она росла и наконец переросла ASUS RT-N12VP, который с давних времен служил в ней в качестве головного маршрутизатора. Наклянчили у начальства денег на MikroTik RouterBOARD RB1100AHx4, его наверное хватит на несколько таких сетей как наша, вообщем вопрос апгрейда теперь встанет не скоро. И вот на днях должен приехать этот аппарат. Но я в силу своей аникейской сущности, с подобным оборудованием еще не работал. Да, знаю, есть куча гайдов, некоторые уже читаю, хотя и чувствую, что в отрыве от реального применения толку будет не много. Ну это тлен и лирика, возник ряд совершенно новых для меня вопросов. Прежде чем их задать расскажу сколько и чего в нашей сети. По порядку:

1) рабочие станции пользователей (сюда же запихнул узкоспециализированные компьютеры, управляющие измерительным оборудованием, которые скорее всего никогда не будут подключены к сети) - 59 штук
2) серверы - 3 штуки физических, плюс один виртуальный. Сервера это очень громко сказано, два из них обычные десктопы используемые не по назначению. Первый "сервер" это файловая помойка, обычная шара, здесь есть два сетевых интерфейса из них задействован только один,на нем же крутиться виртуальный с ПО для кадровиков. Второй это 1С, к нему подключаются через RDP. Третий сервер АСУ, какая именно говорить не буду, значения это не имеет, тут тоже два интерфейса, один смотрит в нашу сеть, второй на внешку (да, у нас два внешних Ip), и только так оно будет работать, этот вопрос я давно хотел решить, но техподдержка продукта поставила жирную точку: "нужен свой внешний, и все".
3) Сетевые принтеры и МФУ - сейчас 7 штук.
4) Сканеры отпечатков пальцев - 4 штуки.
5) IP-видеокамеры - сейчас 14 штук, но уже начали полный переход на них с аналога, так что смело можно считать, что их будет около 70
6) видеорегистраторы - сейчас 5, вероятно столько же и останется или даже станет меньше. Сюда включил один сетевой регистратор, и четыре аналоговых, но тоже подключенных к сети для доступа к вебмордам.
7) сетевое оборудование - wi-fi роутеры, больше ничего управляемого в сети нет, конкретно роутеров 5 штук. Плюс 2 недавно приобретенные точки доступа UBIQUITI UniFi AP AC LR, которые как раз и используются в первую очередь для подключения IP-камер к сети.

А теперь вопросы. И первое что интересует это создание подсетей. Имеет ли это смысл вообще? Если да, то на сколько подсетей поделить сеть и какой логикой при этом руководствоваться? Совсем глупый вопрос: а будет ли между ними связь, ну или насколько сложно ее потом организовать?
Пытался разобраться в этом сам, но окончательно запутался, а именно: допустим (повторяю, только допустим) я поделил всю сеть на две подсети по 128 адресов, пусть подсеть А это 192.168.1.0-127 и подсеть В 192.168.1.128-255. В подсеть А я отнес пункты 1,2,3 и роутеры из пункта 7 (кроме Unifi для камер). В подсеть В включил пункты 4,5,6 и Unifi из пункта 7. В подсети А находиться 3 машины, с которых должен быть доступ к вебмордам видеорегистраторов из подсети В. Там же одна машина, которая собирает информацию со сканеров отпечатков пальцев, находящихся в подсети В. Придется ли как-то отдельно настраивать маршрутизацию на роутере чтобы это было возможно? Правильно ли было разнести сетевое оборудование в разные подсети и не вызовет ли это проблем? И самый главный вопрос, как создать две подсети по 128 адресов? С первой все понятно /25, а вторая?

На самом деле вопрос миллион, но собрать их в кучу и сформулировать не получается, они растут один из другого, потому пока что эти, в процессе их разбора появиться множество других.

З.Ы. Да знаю, RTFM, уже посылали, ходил, помогает, но бесценный опыт других людей они не всегда заменяют.
З.З.Ы. Понимаю, просьба типовая, но пожалуйста, давая ответ или задавая уточняющий вопрос, помните, что обращаете их к аникею. Потому, приводите хотя бы ссылки на статью, если используете какие-то термины.

в определенных случаях имеет...
"внутрикорпоративной", ну и что и зачем вам нужно изолировать - это только вам решать
пусть будет 192.168.1.0/24, 192.168.2.0/24 и т.д.
проблемы с доступом могут быть, которые решаются правилами в фаерволе... но вопрос, тогда зам разделять их?
------------
чтото вы ошиблись у вас

Спасибо, поправил.
Понял, был неправ.
А если не разделять? Пользователи в 192.168.1.0/24, а регистратор к которому ему нужен доступ в 192.168.2.0/24. Опять же правила на фаерволе?

Имеет. У вас с L2 что? свитчи тупые али VLAN могут? Впрочем, у куча физических портов, так что можно и обойтись без виланов-транков. Если, конечно, кабеля разведены.

Ничего управляемого в сети нет.

Тогда только тащить физически кабеля к каждой сетке.

Jula0071, вы, наверное, меня неправильно поняли. О vlan'ах речи не идет, этот вариант был отброшен давным давно, как раз из-за
Я сейчас о подсетях, а это насколько я понимаю, несколько иное.

Нет смысла логически делить сеть на подсети, не разделяя их физически или виланами. Более того, это создаст лишнюю нагрузку - вместо одного бродкаста - сколько там вы подсетей решили наколхозить, три, четыре? - если сейчас плохо, то после "оптимизации" всё ляжет. Лягут ваши тупые свитчи, задохнувшись от флада бродкастами.

Альтернативного мнения нет?

есть немного развёрнутая идеято есть вместо VLAN'ов вы перераспределяете свитчи так, чтобы в в каждом из них (или каждом каскаде оных) было только своё оборудование, как-то Камеры, Компьютеры, Wifi, Etc. и от каждого такого свитча приводите аплинк в микрот в отдельный порт.
роутинг весь на микроте, соот-но разграничение через ACL зон или что там.

ещё можно попробовать явное указание VID на конечных устройствах, если они это поддерживают.
тут нюансов два:
1. не все железяки умеют в вланы.
2. не все тупые свитчи пропускают влан тэги. это вообще колесо Фортуны, так как что там наколхозили в *линках дядюшки Ляо - тайна для всех, включая их самих.

Пока вы размышляете, во сколько вам встанет апгрейд на смарт свитчи, отвечу на этот вопрос

Вторая cетка тоже будет иметь префикс /25. Ну или, говоря иначе, маску 255.255.255.128.
К примеру, первая сетка 192.168.0.0/25:
Адрес сети: 192.168.0.0
Адрес бродкаста: 192.168.0.127
Маска: 255.255.255.128 = /25
Доступный диапазон: 192.168.0.1 - 192.168.0.126 (заметьте, что не 128 адресов, а 126)

Вторая сетка 192.168.0.128/25:
Адрес сети: 192.168.0.128
Адрес бродкаста: 192.168.0.255
Маска: 255.255.255.128 = /25
Доступный диапазон: 192.168.0.129 - 192.168.0.254

Ну и так далее, в том же духе.