@gorunovd_1 

Пытаюсь настроить, так как не специалист в сетях, но боюсь ошибиться.

Самые лучшие специалисты TP-Link, дайте пожалуйста решение постоянному фанату и покупателю Tp-Link.

  @gorunovd_1 

Или такая настройка правильная?

  @gorunovd_1 

Здравствуйте,

К сожалению, такую задачу нельзя реализовать на коммутаторе.

На коммутаторе вы можете только отделить одни устройства от других при помощи создания VLAN. Т.е. группа устройств из одного VLAN не может обраться с группой устройств из другого VLAN.

Так же порт коммутатора, в который подключается основной роутер, должен быть тегированным(tag) и на роутере так же должны быть настроены эти VLAN.

Если ваш роутер позволяет, то вы можете на нем настроить правила общения между VLAN.

  @Eraf 

Возможно ли другое решение, нежели настраивать Firewall на роутере?

Возможно это решить с помощью 2-х коммутаторов или есть какаое-либо устройство от Tp-Link?

  @Eraf 

Подойдет ли для этих целей маршрутизатор ER605(TL-R605) если поставить его выше коммутатора в связке с 802.1q (VLAN)?

Напишите пожалуйста ваше мнение и подробные надежные решения в разных вариантах.

  @gorunovd_1 

Добрый день, 

Судя по описанию задачи, для Вас лучшим решением будет установка более высокоуровнего коммутатора, например TL-SG3210. У него есть функция port isolation, при помощи которой можно указать для каждого порта, в какие порты можно "ходить". Вы можете посмотреть как выглядит настройка этой функции в эмуляторе на нашем сайте(он для другой модели, но интерфейс аналогичен): https://emulator.tp-link.com/T2600G-28TS(UN)3.0/index.html

При этом обратите внимание, что у Вас есть устройства, которым нельзя ходить в "интернет", но если заблокировать им доступ к порту, который идет на роутер, то они не смогут получать ip- адреса от роутера, поэтому придется либо задать на них ip- адреса вручную, либо доступ в интернет блокировать функцией Access Control(она тоже есть на SG3210), остальное уже с помощью port isolation. Также можно DHCP - сервер для "раздачи" адресов настроить на sg3210, а не на роутере, но этот вариант, вероятно, будет наименее предпочтительным.