Ruslan-Strannik

боюсь, что единственно верный ответ на этот вопрос -
Раз уж вам не известно что такое vlan - вам это не нужно. либо нужно хорошенько изучить основы сети
не пользуйтесь этой опцией.

она нужна лишь тогда, когда вам необходимо разделить локальную сеть на несколько подсетей.
Применяется в крупных организациях.
тут можете вникнуть в основы сети

кто первый встал - того и тапки :)
сервер получает запрос на получение айпи адреса, смотрит свой пул адресов, берет первый незанятый адрес и отдает клиенту. Это если по-простому.

будет работать некорректно! как сливал конфиг?
бэкап точно не надо разворачивать на другом роутере. на сколько помню там сливается мак-адреса интерфейсов, бриджей и еще что-то, что может сильно помешать. не помню сейчас.
лучше сделать экспорт и поправить его в блокнотике. тут стоит учесть, что system/users не экспортируется.
так при разборе экспорта можно увидеть свои недочеты либо удалить некоторые опции, которые "когда-то экспериментировал и забыл".
при импорте лучше исключить раздел /interface ethernet.

Настоятельно рекомендую сначала обновиться до актуальной версии ROS, затем сделать экспорт.
на новом по аналогии - обновиться и потом сделать импорт.

в различных версиях могут быть расхождения команд/путей

что значит "нагружает сеть"???
если интересует кто больше жрет интернет-трафика - смотри утилитой "торч" на микротике (как я понял он шлюз)
если нужна статистика для каких-то надзирателей "кто сколько качал?" - прокси ставить. тот же squid+sarg.
а ежели у тебя проблемы в сети, что хосты становятся недоступны - искать кольцо или проблемную железку методом тыка.

вот такая конфигурация у меня получилась.
проблем стало меньше. из него меняю пока только 2 параметра. если вокруг много помех
frequency= канал вещания
antenna-gain= увеличиваю параметр чтобы снизить мощность сигнала
если позволяет роутер, то сканирую через THE DUDE. Spectral Scan

/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=net supplicant-identity="" wpa2-pre-shared-key=КАРРАМБА
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=КАРРАМБА

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn basic-rates-b="" country=russia3 channel-width=20mhz default-authentication=no default-forwarding=no disabled=no frequency=auto frequency-mode=regulatory-domain guard-interval=long hw-protection-mode=rts-cts mode=ap-bridge security-profile=net ssid=net supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled antenna-gain=0

set [ find default-name=wlan2 ] band=5ghz-onlyn channel-width=20/40mhz-Ce country=russia3 default-authentication=no default-forwarding=no disabled=no distance=indoors frequency-mode=regulatory-domain installation=indoor mode=ap-bridge security-profile=net ssid=net wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled frequency=5180 antenna-gain=0

add default-authentication=no default-forwarding=no disabled=yes keepalive-frames=disabled master-interface=wlan1 multicast-buffering=disabled name=vwlan1 security-profile=guest ssid=guest wds-cost-range=0 wds-default-cost=0 wps-mode=disabled wmm-support=enabled
add default-authentication=no default-forwarding=no disabled=yes keepalive-frames=disabled master-interface=wlan2 multicast-buffering=disabled name=vwlan2 security-profile=guest ssid=guest wds-cost-range=0 wds-default-cost=0 wps-mode=disabled wmm-support=enabled

/interface wireless access-list
add signal-range=-80..120

ACL??? permit any
насколько помню нужно чтобы cisco тоже разрешала хождение между вланами :):)
xgu.ru/wiki/Cisco_ACL

все же нар ас2 много лучше :) . спасибо за советы.
купил, потестил - с нагрузкой справляется в 2 раза лучше 951го.
при этом сильно не греется

https://forummikrotik.ru/viewtopic.php?f=1&t=4319
вот тут через дстнат достаточно просто описывают решение..

а машина со сквидом не ограничена в доступе в инет?

P.S.
sh inter status
Gi0/4 ##to gonchary notconnect 1 auto auto 1000BaseBX10-D SFP

PPS
вланы на циске рабочие. раскиданы по остальным портам акцесом и также транком бегут дальше в сеть

Проблема решена... Проще некуда - кривые руки + непредвиденный фактор.
1 модуль sfp оказался нерабочим, после его замены линк поднялся. По вланам Микротик я настроил неверно :) Вернее не до конца верно.
В итоге рабочий конфиг получился следующий:

Со стороны Циско
interface GigabitEthernet0/4
description ##to MT
switchport trunk encapsulation dot1q
switchport mode trunk

на Микротике
/interface bridge
add name="bridge trunk"
add name="bridge vl5"
add name="bridge vl27"
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface vlan
add interface=sfp1 name=vlan5 vlan-id=5
add interface=ether5 name=vlan5-27 vlan-id=27
add interface=ether5 name=vlan5-5 vlan-id=5
add interface=sfp1 name=vlan27 vlan-id=27
/interface list
add name=WAN
add name=LAN
/interface bridge port
add bridge="bridge vl27" interface=wlan1 pvid=27
add bridge="bridge vl27" interface=wlan2 pvid=27
add bridge="bridge vl27" interface=ether2 pvid=27
add bridge="bridge vl27" interface=ether3 pvid=27
add bridge="bridge vl27" interface=ether4 pvid=27
add bridge="bridge vl27" interface=vlan27
add bridge="bridge vl27" interface=vlan5-27
/interface bridge vlan
add bridge="bridge vl5" tagged=sfp1,ether5 untagged="bridge vl5" vlan-ids=5
add bridge="bridge vl27" tagged=sfp1,ether5 untagged="bridge vl27" vlan-ids=27
/interface list member
add interface=sfp1 list=WAN
add list=LAN
/ip address
add address=10.x.x.x/24 interface="bridge vl5" network=10.x.x.x
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface="bridge vl27"
/ip firewall nat
add action=masquerade chain=srcnat

PS
может я и намудрил чего лишнего, но по мне так главное - работает :)
А с верным конфигом разберусь как поднатаскаюсь :)
спасибо за участие