Hi All
Изначально построено было так: на порту № 1 3028 циска, на ней 2 сабинтерфейса, vid 5 - 172.30.31.1/24 и vid 10 172.30.30.1/24
Vid 5 - пользовательский, 10 - административный. Vid 5 - 1-10 порты. Vid 10 1,24. Это работало пока клиенты были подключены напрямую в свитч. Как только я в порт № 2 свитча воткнул дополнительный роутер (микротик), то все клиенты за роутером могут получить доступ во vlan 10. Почему? Порт № 2 свитча, куда воткнут роутер относится к vid 5, но клиенты почему то могут пинговать интерфейс циски относящийся к vid 10. Клиенты подключённые напрямую к свитчу не могут, а из за роутера могут. Почему?

Потому, что 3028 тут не причем. На цыске трафик между подсетями был закрыт правилом deny ip 172.30.31.0 0.0.0.255 172.30.30.0 0.0.0.255, а клиенты за микротиком из другой подсети. Угадал?

Почти угадал он вообще не был закрыт. Закрою. Проклятый склероз, на микротике уже правил 50 для запрета трафика между сетями, а тут ни одного. Коли это внутрисетевой трафик. Но tracert мне говорит
Трассировка маршрута к 172.30.30.1 с максимальным числом прыжков 30
1 3 ms <1 мс <1 мс 172.30.33.1
2 1 ms <1 мс <1 мс 172.30.30.1

нетути там 172.30.31.1, который бы пересылал на 172.30.30.1