Akina

На стороне MySQL (при необходимости - скорректировать @@group_concat_max_len):

SELECT status, GROUP_CONCAT(user) userlist
FROM user_status
GROUP BY status

На стороне PHP (синтаксиса не знаю, схематично):

if $row['status'] = 1 then $user_status_1_array=split_to_array($row['userlist'])

Как по мне, существование native VLAN само по себе нонсенс. А делать его случайным - нонсенс вдвойне. Я лично убеждён, что при наличии в возможностях устройства такой фичи как native VLAN он должен быть 1) настроен статически 2) настроен Forbidden на всех портах.

Почему без установки управляющего влана в режиме native связи нет?

Ну как раз потому, что он и выбран случайно. И что это "случайно" вдруг попадёт точно в значение 50, шанс невелик.

По-моему, достаточно установить одно приличное L3-устройство, основной задаче которого будет

По двум входящим каналам интернета - сделать либо резервирование, либо агрегацию/балансировку

Располагаясь в центре, оно без проблем обеспечит и другие потребности - тот же доступ к файлопомойке, например.

Всё остальное вообще не требует интеллектуального управления, обычные L2-коммутаторы (даже плюс не требуется) сделают всё необходимое.

Наверное, надо всё же начинать с целей и объективки. И уже под конкретные задачи верстать решение.

Принципиально сперва надо будет решить, требуется ли для решения выделенная физика. Например, если речь идёт чисто об изоляции управления, то она скорее всего не нужна, хотя всё зависит от требуемого уровня защиты, разделения доступа, категорирования и требований по/для сертификации. А вот если речь об изоляции сети для резервного копирования, миграции, репликации - тут выделенная физика, скорее всего, будет жизненной необходимостью.

И уже после надо думать о том, что именно делить на L2, что на L3, а что на L3+L2.

Литерал '2' необязательно имеет тип CHAR. Он ведь имеет полное право быть, к примеру, BYTEA, верно?

Используйте явное указание типа в вызове:

select testboris3(2, now(), B'0', 789, '2'::CHAR, 2);

Если ставлю предпоследний параметр как просто 2, без кавычек, то он уже определяет тип корректно.

Не определяет, а преобразует в тип, определяемый шаблоном функции.

И есть windows server (IP 192.168.211.81 маска 255.255.248.0).
Есть еще в сети windows server 2019 (IP 192.168.211.1 маска 255.255.0.0)

Вот та проблема, которой нужно уделять всё своё внимание. В самую первую очередь.

Можно ли как-то настроить что бы расшареный каталог был виден без смены маски подсети ?

Настроить кого? Первый сервер? второй? любой узел сети (какой, кстати?)...

Самое простое - добавить ещё один адрес на интерфейс, из подсети компа с шарой, и не городить огород.

Всё описанное вполне себе выполняется на уровне L2 - так что коммутатор должен быть управляемым. MAC-based filtering поддерживают практически все управляемые коммутаторы (правда, некоторые - только в форме MAC-based VLAN), а traffic segmentation - ну подавляющее большинство. Ну и ещё не забыть побороться с MAC flood, что тоже умеют практически все управляемые коммутаторы,

PS. И да - если у злоумышленника есть физический доступ к устройству, никакие технологии вам не помогут.

можно ли сделать так, чтобы он раздавал интернет от маршрутизатора, а доступа к локальной сети не давал?

Только в случае, если роутер поддерживает режим изоляции клиентских портов.

Обычно для роутеров с выделенным WAN в беспроводном сегменте этот режим не только присутствует, но и включен по умолчанию. А вот его наличие в проводном сегменте и между проводным и беспроводным сегментами - надо проверять.

Что же до роутеров, не имеющих выделенного WAN, то такие, как правило, имеют продвинутые средства настройки, и форвардинг между клиентскими портами запрещается соответствующим правилом в файрволе.

Алгоритм простой. Сначала из всех имеющихся маршрутов, подсеть которых включает узел назначения, выбирается самый "узкий". Если таковых несколько, выбирается тот, у которого минимальна метрика. Именно в шлюз этого маршрута и отправляется пакет.
Тип интерфейса при этом не имеет вовсе никакого значения.

Под отключением мобильного интернета понимается не то, что перестанет работать канал цифровой связи, а то, что любые попытки соединиться с адресом, не входящем в белый список, будут безусловно дропаться.
Обойти их, в т.ч. через VPN, не получится. По той простой причине, что твой VPN-сервер не входит в белый список, и ты не сможешь соединиться с ним и установить канал.

Во-первых, начните с ПОЛНОГО бэкапа сервера на старой машине, причём при загрузке с ДРУГОЙ операционной системы. Оптимальный вариант - вообще сделать зеркальную копию накопителя. Или накопителей, если их для загрузки используется несколько.

Затем запустите сервер и выполните принудительную установку драйверов поддержки платформы и дисковых адаптеров для нового железа. Неважно, что железа нет - драйверы в системе должны быть.

Далее - отключите всё, что стартует НЕ с этого накопителя. Службы, приложения автозагрузки, файлы подкачки и прочее. На всех сетевых интерфейсах уберите статическое назначение адресов, ещё лучше - дополнительно отключите их в центре управления сетями. После отключения проверьте, что сервер нормально стартует при физически отключенных всех остальных накопителях и сетевых интерфейсах.

Теперь перенесите накопитель на новое железо и запустите там. Сперва в безопасном режиме. Если обнаружится недостаток каких-то базовых драйверов, из тех, что грузятся в safe mode - доустановить. После этого грузиться в обычном режиме и убирать все проблемы из диспетчера оборудования.

Финально настройте все новые сетевые интерфейсы, подключите остальные накопители, раздайте соответствующие буквы и включите всё ранее отключенное из программного. Убедитесь, что сервер стартует нормально и его функционал работает в полном объёме.

Конечно, бывают случаи, когда задача вообще не решается. Скажем, жёсткая привязка к оборудованию (привет, один-эс). Или радикальная смена платформы - тут иногда помогает переустановка сервера поверх с сохранением. Но обычно если начались проблемы, то их видимое решение на самом деле просто загоняет их вглубь, а когда и чем аукнется, неизвестно.