Meus amigos gostaria de uma ajuda, tenho uma rede desta maneira.



Internet - IP VÀLIDO ----> Firewall BFW + Thunder Cache ----> Swith 3com 8 portas (*)


(*) Porta 01 --> entrada de link do firewall
(*) Porta 02 --> Servidor DNS1
(*) Porta 03 --> Servidor DNS2
(*) Porta 04 --> Gerendiador de Clientes - com cadastro de login para o HOTSPOT
(*) Porta 05 --> Servidor Mikrotik com autenticação Hotspot que possui 2 ether (**)

(**) Ether 01 --> Entrada de link
(**) Ether 02 --> Saida para os Clientes

Na saida de link para os clientes tenho um swith 24 portas 100MB e 2 GB que gerencia VLAN (quero implantar)


Continuando o esquema:


Swith 24 --> RB 433AH com 2 cartão XR5 fazendo o link para 2 repetidor(***)

(***) todos dois cartão estão em wds para passar todo tráfego em bridge


Continuando o esquema:

RB433AH - Link ----> RB433AH - com 3 cartão - 1 XR5 e 2 R52HN (****)


(****) O XR5 esta fazendo o enlace entre com primeira RB433AH (Link) em modo Station WDS
(****) O 1º R52HN faz um ponto de acesso para os clientes esta em Banda B - 2.4GHz, Modo AP Bridge com o seguinte IP - 10.101.0.1/16
(****) O 1º R52HN faz um ponto de acesso para os clientes esta em Banda B - 2.4GHz, Modo AP Bridge com o seguinte IP - 10.102.0.1/16

este é o esquema de minha rede. Tenho outros pontos de acesso porem, se conseguirem me explicar comom fazer neste os outros também estão da mesma forma so mudando as classes de IP.

Minha dúvida é a seguinte.

Antes eu autenticava cada cliente dentro de cada repetidor que o cliente estava ligado, agora eu vou centralizar todos eles dentro de um servidor Mikrotik que é aquele que eu citei lá em cima, e gostaria de tratar meus pontos todos em VLAN para evitar que meus clientes se comuniquem ( se eu estiver errado na teoria, por favor me corrijam, pois quero aprender como gerenciar uma rede MK, disfrutando de toda segurança e eficiencia possivel.).

Ja consegui direcionar quase todos os meus clientes para este servidor central so que em bridge normal, gostaria de saber se tem como eu tornar meus repetidores em VLAN e como fazer isto, como que as VLANs vão passar pela bridge e se eu tenho quem mudar alguma configuração nos meus repetidores, e até mesmo nas minhas classes de IPS.


Lembrando que meus clientes funcionam assim

Cliente 01 --> IP: 10.101.1.1/16 - Gw: 10.101.0.1
Cliente 02 --> IP: 10.101.1.2/16 - Gw: 10.101.0.1
Cliente 03 --> IP: 10.101.1.3/16 - Gw: 10.101.0.1
Cliente 04 --> IP: 10.101.1.4/16 - Gw: 10.101.0.1
Cliente 05 --> IP: 10.101.1.5/16 - Gw: 10.101.0.1
Cliente 06 --> IP: 10.101.1.6/16 - Gw: 10.101.0.1

e assim por diante...

fiz algumas regras de filtro no firewall que achei aqui no forum mesmo e agora estou bloqueando meus cliente de se enxergarem, mais sei que isso é so tampar o sol com a peneira, gostaria de gerenciar minha rede de forma correta.

Desde já agradeço a todos os que me ajudarem, e estou a disposição de quem precisar, tenho um BFW + Thunder cache 3.1 rodando que é uma maravilha se alguem precisar vou criar um tutorial, para ajudar a todos que precisar.