Rozdělení pomocí rozsahů na jednom switchi bych nedoporučoval, velmi špatně se to zabezpečuje. Mikrotik ale umí rozdělit sítě tím, že nadefinujete, která rozhraní jsou ve kterých bridgích. Chová se to, jako kdybyste tam měl víc switchů.
Problém budete mít s tím, jak port 8 spojit se střechou, aby nemohla síť té Wi-Fi komunikovat s tím ostatním. Na to právě slouží VLANy, kdy jedno fyzické rozhraní virtuálně rozdělíte na několik oddělených. Všechny pakety pak mají v hlavičce uvedeno, do jaké sítě patří, a zařízení ignorují pakety z jiné sítě, než ve které jsou, takže ani čachrováním s IP adresami se nelze dostat z jedné sítě do druhé. Chová se to, jako kdyby tam bylo několik kabelů (tedy až na přenosovou rychlost, kterou to sdílí).
Postup stavby takové sítě je pak následující:
- na obou koncích portu 8 vytvoříte VLANy, třeba VLAN 1 a VLAN 2 (je možné nastavit i jeden VLAN a untagged, tj. neoznačené pakety, ale kvůli přehlednosti doporučuji se používání untagged vyhnout)
- rozhraní portu 8 nedáte do žádného bridge (pokud byste používal untagged, pak rozhraní portu 8 dáte do bridge, kam chcete směrovat untagged pakety)
- rozhraní VLAN 1 dáte do bridge s 8a…8c
- rozhraní VLAN 2 dáte do bridge s Wi-Fi
- VLAN 1 na střeše dáte do bridge s ostatními porty, VLAN 2 zůstane sám
- nastavíte routování VLANů (a přidělování IP adres ap.) na střeše, včetně pravidla firewallu, že z VLAN 2 se nelze dostat do bridge s ostatními porty
Jak je vidět, tohle vyžaduje, aby i zařízení na střeše umělo VLANy, takže nejvhodnější by asi byl další Mikrotik.