Как максимально обезопасить коммутатор?

Akina, port isolation это фишка л2 уровня. У разных вендоров реализуется по разному , у элтекс например можно указать каждому абонентскому порту список доверенных аплинков или других портов. Трафик аппаратно режется даже на броадкаст домене, у нортела 20 лет назад можно было настроить несимметричные аланы. С той же целью. Сейчас НЯП, это называется port based vlan.
Эр-теле давно заказывал у dlink неуправляемые свичи на 8 портов , где на аппаратном уровне зарезан трафик между 7 абонентами разрешен только аплинк.

DHCP, резервирование, проблема с получением адреса -?

Akina, для виндового сервера DHCP "область аренды" это не вся сеть , может и начинаться и заканчиваться с любого адреса внутри подсети. И кстати вторую область аренды внутри одной сети не даст создать.
Например , в вашем случае 172.16.0.35-172.16.3.26 и указанное исключение под серверы не нужно.
Или на серверах не статика?

Вероятно что "залип" адрес под второй плоттер на самом сервере. Жёсткий вариант перегрузить сервер. Более простой : на 172.16.0.159 сделать резервирование с левым мас адресом, а плоттер на нужный адрес.

И ещё у вас плоская сеть на 4к адресов, маска 20, на несколько площадок? Ну вы даёте.

Как соединить две подсети через коммутаторы?

agpecam, для этой задачи, дать доступ серверу в две не пересекающиеся подсети, из третьей не пересекающейся , в одном броадкаст домене, не нужно добавлять кривые маршруты. Достаточно на сервере добавить два secondary ip adresses из каждой сети, куда нужен доступ.
Это нормально умеет и Винда и Линукс. И даже можно включить маршрутизацию, используя сервер как маршрутизатор.
Да это не лучшая практика , но вполне работает.

Какие есть варианты для получения ploam из gpon'a мгтс ts-4000?

Dmitry Roo, извини, не отследил, цитата должна быть shurshur,

Какие есть варианты для получения ploam из gpon'a мгтс ts-4000?

shurshur, вы не удосужились посмотреть что такое ts-4000. это не чистый езернет роутер, это "комбайн" терминал gPON, его просто так не заменить, без знания PLOAM ПАРОЛЯ.
вообще странно, что не дают настроить всё что нужно внутри сети, без влезания в настройки gPON.
у РТ в терминалах хуавей есть суперадмин, который реально не супер, но можно настроить как хочешь всё, кроме интерфейса gPON.
в том числе превратить, в ту самую "розетку gPON", или бридж.

Почему не приходят адреса DHCP клиентам?

Андрей Орлов, вы не поняли внутри одного влан , там где сервер , раздача идет броадкастами, там релей не нужен,
а на других влан релей с указанием адреса сервера, в соседней сети - нужен.
и ещё дурацкий вопрос, на винде скопы сделаны отдельно для каждой сети? там как минимум различные шлюзы.
и нет ли резервирование нужных мак адресов, в той же сети где сервер?

Как обновить TP-Link ER7212PC?

Alexey Dmitriev,
Точно! забыл упомянуть, что тп-линк и д-линк страдают ревизионизмом железа.
ну тут и без шильдика видно железо 1.0 а софтина от 2.6
Model ER7212PC 1.0
с сайта ER7212PC(UN)_V2.6

Как подключить амперметр к схеме в Kicad 9?

Где у вас на схеме относительно нагрузки плюс питания?
Вижу "земля" в явном виде есть, а что за ромбик слева?

Вы амперметром пытаетесь измерить напряжение? А вольтметром напряжение на самом вольтметре?
в чём смысл?
Если правильно понял схему они у вас местами перепутаны.

Разрешение трафика с помощью ACL Extended на коммутаторе Cisco 3850?

@total_ce, по схеме:
1) адрес 192.168.1.1 не привязан к железному интерфейсу Те1/0/ 7 , он привязан к виртуальному интерфейсу влан1.
2) у модема разве нет своего ип адреса? или он "прозрачен" тогда как на него попадает трафик?
3) на портах 1-4 к железному серверу нужно поднять trunk и тегирование и разрешить влан2 для железа и другие вланы (например 10 для АД и 20 для СИП) для виртуалок и указать их теги в настройках сетевых карт виртуалок.
на свиче интерфейсы влан 10 и 20 тоже нужно поднять с указанием адресов в качестве шлюзов в этих сетях.

3850 умеет работать как роутер, даже в LAN Base версии

что говорят команды ?
show ip route
show ip arp

show mac address-table
show mac address-table vlan 1
show mac address-table interface gigabitEthernet 1/0/1

show license all

Разрешение трафика с помощью ACL Extended на коммутаторе Cisco 3850?

необходимо сделать перенаправление трафика с одного порта на другой с помощью acl.

Ошибка думать, что перенаправление трафика делается с помощью списков доступа.
Они просто разрешают или запрещают определенный трафик. на конкретном интерфейсе - то есть в конкретной точке.

Общение между сетями делается маршрутизацией, статической или динамической.
например RIP, mobile, BGP, EIGRP, OSPF, OMP, NAT, IS-IS, NHRP, ODR, LISP.
или
ip route 0.0.0.0 0.0.0.0 192.168.100.1
ip route 10.10.10.10 255.255.255.255 10.10.10.1

что говорят команды ?
show ip route
show ip arp

Однако на интерфейсах уровня 3, в том числе SVI можно указать частичный обход маршрутизации через policy и route-map указав разные next-hop для маршрутизации для разных сетей
пример

interface ra TenGigabitEthernet1/0/1-4
switchport trunk native vlan 2
switchport trunk allowed vlan 2,10
switchport mode trunk
ipv6 traffic-filter naFIG-ip-v6 in
ipv6 traffic-filter naFIG-ip-v6 out
udld port aggressive
macro description cisco-switch
channel-group 1 mode active
spanning-tree portfast
spanning-tree link-type point-to-point

interface Vlan10
ip address 10.10.10.1 255.255.255.0

interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip helper-address 10.10.10.10
ip policy route-map VLAN1_route_map

route-map VLAN1_route_map permit 5
match ip address serv_10.10.10.10
set ip next-hop 10.10.10.1

route-map VLAN1_route_map permit 15
match ip address ALL_to_inet
set ip next-hop 192.168.100.1

access-list serv_10.10.10.10
10 permit ip host 192.168.1.0 host 10.10.10.10

access-list ALL_to_inet
10 permit ip 192.168.1.1 255.255.255.0 0.0.0.0 0.0.0.0

примерно так, здесь конкретно.
первая карта : из влан1 на сервер 10.10.10.10 трафик завернут на влан10 там, где сервер , в настройках виртуалки укажи тег влана = 10, ну и не 1 - 4 портах этого же коммутатора не забудь сказать что порты транковые .

вторая карта: всё остальное из влан 1 в сторону НАТ.

Как обновить TP-Link ER7212PC?

какие версии прошивки сейчас и которую накатываете?
попробуйте сначала накатить последовательно промежуточные варианты и только потом самую новую версию.
У ТР-Линк и многих других такое бывает.
Это кстати обычно написано в "Release Note" с какой версии на какую можно перейти напрямую
https://support.omadanetworks.com/kz/product/er721...

Опять же накатываете с компьютера в той же сети или удаленно? Если очень удаленно, то может быть не достаточно стабильный канал.

Как найти радиореле (НЕ выключатель с пультом)?

тобы при появлении 220 вольт в точке А замыкались нормально разомкнутые контакты в точке Б (где тоже есть источник 220), а при пропадании - размыкались.

мне кажется вы слишком заморачиваетесь на радиоканале.
есть более простое решение , не знаю подойдет ли оно вам.
Простое реле (пускатель) с токовым датчиком, предназначено для автоматического запуска например пылесоса или вентиляции при включении электроинструмента или станка.
Единственная проблема: сквозь кольцевой датчик, должен быть протянут фазный провод с контролируемой нагрузки.
и вам нужна точка на электропроводке куда поставить датчик и на ней не должно быть другой нагрузки.
Ищется по "реле с токовым датчиком"
https://aliexpress.ru/wholesale?SearchText=%D1%80%...

Как звонить через интернет?

в чём цимус бу телефона?
два новых настраиваются друг на друга, без всякой платной лабуды.

Как реализовать переезд хостов с одной сети в другую (WIN Server 2012R2 при создании двух областей IPv4)?

Dikwaid, вы на свой скриншот посмотрите , нет такого "прямая зона 192.168.1.х".
Есть в прямой зоне ,только домен(ы) и поддомены. У каждой записи А будет имя и соответствующий ИП адрес (вообще не важно из какой подсети и даже адрес может быть один на несколько имен = записей А)
А в обратной , зоны привязаны к адресации , но записи ссылаться будут на один и тот же домен/поддомены.

Нет никаких проблем: три десятка подсетей и один домен. На КД ( три в разных подсетях) также подняты дхцп и днс.

А вот контроллеры на домен нужны несколько штук - основной и резервные . Можно даже в разных подсетях.

Какой есть софт для общей папки (3-5 пользователей Windows в локалке)?

"общего диска" в локальной бездоменной сети для 3-5 пользователей (исключительно Windows 10, других платформ не будет).
Просто расшаренная папка тоже не подходит (доступна всем и периодически отваливается).
История изменений (точнее, возможность "вернуть как было вчера") тоже приветствуется.

ты же в курсе, что каждый компьютер с виндой это отдельный "локальный домен"?
Соответственно, как уже много раз сказали:
1. используй обычный СМБ шаринг, с раздачей прав не кому попало, а конкретным юзерам из локального "домена".
2. у тебя просто проблемы с сетью.
3. раздел на диске формата НТФС, позволяет делать "снимки изменений" на диске по расписанию, раз в сутки например. файлы/папки смотреть, востановливать, копировать и прочее, через "предыдущие версии",
просто не забывай, что под это на диске, нужно дополнительное место, НЯП можно задать эту цифру в %, от общего объема диска. И смотря как интенсивно меняются файлы и соответственно будет глубина бекапов.

От чего зависит время пинга?

О! кирпичи это круто, только аналогия не правильная!
Есть цепочка людей, которые перекидывают кирпичи вручную, так вот:
"bit time" это минимальное время, за которое один кирпич, прилетит тебе от ближнего соседа!
"round-trip time" это всё время за которое пачка кирпичей, а не один, пройдет всю цепочку людей, туда и обратно, и это время больше, чем если сложить все "bit time" и умножить на количество кирпичей в пачке.
Ибо люди, как и роутеры работают не очень синхнронно, им нужно время на "подумать", между операциям кидания кирпичей/пакетов.

Можно ли прописать внешний ip адрес на компьютере в локальной сети?

почему это пункт 1 для извращенцев ?
если мне нужно до пяти роутеров в офисе , нужно с белыми адресами? под очень разные задачи, с резервиорванием.
обычный нормальный сисадмин.
конечно свич всё же управляемый для сбора статистики больше и тонкой натсройки.

Dlink DGS-1250-28X ломает wifi?

Максим, у вас нет понимания как работают вланы.

то что вы настроили на одном граничном устройстве разные вланы не имеет смысла , т.к. дальше они все равно в одной куче - в одном не тэгированом влан, любой желающий в вашей сети может слушать ВСЁ.
Читайте как работают влан, рисуйте схему со свичами и хостами, отмечайте на каждом порту какие должны быть вланы. настраивайте каждый порт под конкретные задачи:
либо хост и аксесс порт - один не тегированый влан ,
либо если точка доступа или соседний свич - транк и список нужных вланов, только один из них, может быть не тегированный (тот самый pVID) и да на самом свиче не забываем создать сами вланы.
Для примера настройка транкового порта в сторону соседнего свича, и на нём тоже также должно быть настроен порт.
А лучше найми спеца.

Dlink DGS-1250-28X ломает wifi?

описание сети очень путаное.
НЯП всего три влана из них часть тегированные.
или вообще тегированных вланов нет ? все сети брошены в одну кучу = один влан?

если коротко то неуправляемые коммутаторы "прозрачны" для ВЛАНов и они не изменяют заголовки с тегам ВЛАНов.
Вы поставили коммутатор, который по умолчанию смотрит внутрь пакетов и на теги ВЛАНов, кроме того настроили порты как акссес = равносильно одному ВЛАНу (и не тегированному) на порту , остальные просто дропаются.
читайте как правильно настроить свич транк на портах = проброс нескольких ВЛАН через один порт. и обращайте внимание на ПВИД.

Как присвоить Vlan для клиента Wifi Aruba?

Алексей Черемисин, в целом да !
Каждый отдельный SSID может быть привязан только к одному VLAN, если не указано, по умолчанию к не тегированому влан.

Поэтому автору вопроса нужно, кроме существующих SSID привязанных к Vlan 1 и 26,
создать дополнительный SSID привязать к Vlan15, и к нему подключать камеры.

для примера настройка старого контроллера от НРЕ для группы точек
шесть SSID в три разных VLAN 11,12 и 13. так проще менять пароли при необходимости.