Мрежова топология – Хотел Сол Марина Палас

Финална топология · 2026-03-18 · 3 шкафа · PVST+ резервираност

OM3 Fiber 10G PRIMARY

OM3 Fiber 10G SECONDARY

DAC 10G (в шкаф)

DAC 1G

WAN интернет

Access port

MikroTik L3

TP-Link non-PoE

TP-Link PoE+

UniFi switch

Сървър / ONU

Детайлна схема на SFP+ портовете и физически връзки

Пълен списък на устройствата

MikroTik RB2011UAS-RM

Шкаф 1 · U10

Роля	L3 Router, Core Gateway
IP / GW	`192.168.210.1` (VLAN 50)
WAN	ONU1 ~200Mbps (хотелски интернет)
SFP порт	↔ CAB1-CORE SFP+1 (DAC 1G)
IGMP Querier	Задължителен – само 1 в мрежата!
DHCP	VLAN 20, 30, 50, 103 (всички)
Firewall	Rate-limit гости, VLAN изолация
Ethernet	5× GbE + 5× 100M (вградени)

CAB1-CORE TL-SG3452X

Шкаф 1 · non-PoE

Роля	Core distribution switch
Портове	48× GbE + 4× SFP+ 10G
Copper	Офис VLAN50 + IPTV source access (VLAN10)
SFP+1	↔ MikroTik SFP (DAC 1G)
SFP+2	↔ CAB1-POE SFP+1 (DAC 10G, trunk)
SFP+3	→ ШК2 TV1 SFP+1 (OM3 10G, PRIMARY)
SFP+4	→ ШК3 TV1 SFP+1 (OM3 10G, PRIMARY)
STP роля	PVST+ root bridge за VLAN 10
IGMP	Snooping включен (VLAN 10)

CAB1-POE TL-SG3452XP

Шкаф 1 · PoE+

Роля	Лоби access switch
Портове	48× GbE PoE+ (802.3at) + 4× SFP+ 10G
Copper	Лоби L01–L12 (VLAN 10/20/30), PBX (VLAN20), Lobby APs
SFP+1	↔ CAB1-CORE SFP+2 (DAC 10G, trunk)
SFP+2	→ ШК2 Int2 SFP+1 (OM3 10G, SECONDARY)
SFP+3	→ ШК3 Int2 SFP+1 (OM3 10G, SECONDARY)
SFP+4	→ UniFi1 SFP (DAC 1G)
STP роля	PVST+ root bridge за VLAN 30

UniFi USW-24-PoE × 3

Шкаф 1, 2, 3

Роля	WiFi AP PoE switch
Портове	24× GbE PoE 802.3at, 1× SFP (само 1G!)
Uplink	SFP ← DAC 1G ← CAB1-POE (ШК1) / Int2 (ШК2, ШК3)
VLANs	VLAN 103 (tagged) + VLAN 50 (native)
Управление	UniFi Controller v2 (на VM, VLAN 50)
AP брой	38 бр. UniFi AP общо (всички шкафове)
Бележка	SFP е 1G – не поддържа 10G DAC! → поръчват се 3× DAC 1G

TV1 TL-SG3452X × 2

Шкаф 2 + Шкаф 3

Роля	TV/IPTV access switch
Портове	48× GbE + 4× SFP+ 10G
Copper P1–P3	VLAN 10 untagged (TV гнезда в стаите)
SFP+1	← CAB1-CORE (OM3 10G fiber, PRIMARY uplink)
SFP+2	↔ Int2 SFP+2 (DAC 10G, cross-link, all-VLAN trunk)
SFP+3	→ VoIP1 SFP+1 (DAC 10G)
SFP+4	свободен
PortFast	Edge Port + BPDU Guard на ВСИЧКИ access портове!
IGMP	Snooping включен (VLAN 10). Без Querier (само MikroTik!)

Int2 TL-SG3452X × 2

Шкаф 2 + Шкаф 3

Роля	Internet access switch
Портове	48× GbE + 4× SFP+ 10G
Copper P4–P6	VLAN 30 untagged (Internet гнезда)
SFP+1	← CAB1-POE (OM3 10G fiber, SECONDARY uplink)
SFP+2	↔ TV1 SFP+2 (DAC 10G, cross-link)
SFP+3	→ VoIP2 SFP+1 (DAC 10G)
SFP+4	→ UniFi (DAC 1G)
RSTP	SFP+1 normally blocked (backup – активира при отпадане на PRIMARY)

VoIP1 + VoIP2 TL-SG3452XP × 4

ШК2 × 2 + ШК3 × 2

Роля	VoIP access + overflow PoE
Портове	48× GbE PoE+ (802.3at) + 4× SFP+ 10G
VoIP1 copper	P7 гнезда: VLAN 20 untagged + AP trunk
VoIP2 copper	P8–P9 гнезда: VLAN 20 untagged
AP trunk портове	VLAN 103 (tagged) + VLAN 50 (native) + VLAN 20 (opt)
VoIP1 SFP+1	← TV1 SFP+3 (DAC 10G)
VoIP2 SFP+1	← Int2 SFP+3 (DAC 10G)
SFP+2,3,4	свободни (бъдещо разширение)

PBX Server

Шкаф 1

Роля	VoIP централа
Мрежа	Access port на CAB1-POE, VLAN 20 (untagged)
SIP trunk	Директно → ONU2 (отделен ISP, без MikroTik)
Брой телефони	~138 (128 стаи + 10 служебни)
QoS	Не е задължителен (ниска натовареност)
PoE	Телефоните: 802.3af (~3–7W/бр.)

IPTV Source Server

Шкаф 1

Роля	IPTV multicast source
Мрежа	Access port на CAB1-CORE, VLAN 10 (untagged)
TV устройства	~128 бр. Samsung HBU8000 (всички стаи)
Протокол	IGMP multicast (не unicast)
IGMP Snooping	Задължителен на всички SW с VLAN 10
IGMP Querier	Само MikroTik! (не на switches)
PortFast	Edge Port на всички TV access портове (Samsung изискване)

Кабелна матрица – всички SFP+ връзки

#	От	Порт	До	Порт	Тип кабел	Скорост	Дължина	Статус
1	MikroTik RB2011	SFP	CAB1-CORE	SFP+1	DAC 1G	1G	~0.5м	наличен
2	CAB1-CORE	SFP+2	CAB1-POE	SFP+1	DAC 10G	10G	~0.5м	наличен
3	CAB1-CORE	SFP+3	ШК2 TV1	SFP+1	OM3 дуплекс + 2× SFP+ 850nm	10G	50м	наличен
4	CAB1-CORE	SFP+4	ШК3 TV1	SFP+1	OM3 дуплекс + 2× SFP+ 850nm	10G	50м	наличен
5	CAB1-POE	SFP+2	ШК2 Int2	SFP+1	OM3 дуплекс + 2× SFP+ 850nm	10G	50м	наличен
6	CAB1-POE	SFP+3	ШК3 Int2	SFP+1	OM3 дуплекс + 2× SFP+ 850nm	10G	50м	наличен
7	CAB1-POE	SFP+4	UniFi1	SFP	DAC 1G	1G	~0.5м	за поръчка
8	ШК2 TV1	SFP+2	ШК2 Int2	SFP+2	DAC 10G (cross-link)	10G	~0.5м	наличен
9	ШК2 TV1	SFP+3	ШК2 VoIP1	SFP+1	DAC 10G	10G	~0.5м	наличен
10	ШК2 Int2	SFP+3	ШК2 VoIP2	SFP+1	DAC 10G	10G	~0.5м	наличен
11	ШК2 Int2	SFP+4	UniFi2	SFP	DAC 1G	1G	~0.5м	за поръчка
12	ШК3 TV1	SFP+2	ШК3 Int2	SFP+2	DAC 10G (cross-link)	10G	~0.5м	наличен
13	ШК3 TV1	SFP+3	ШК3 VoIP1	SFP+1	DAC 10G	10G	~0.5м	наличен
14	ШК3 Int2	SFP+3	ШК3 VoIP2	SFP+1	DAC 10G	10G	~0.5м	наличен
15	ШК3 Int2	SFP+4	UniFi3	SFP	DAC 1G	1G	~0.5м	за поръчка

Налично (потвърдено)

Компонент	Количество	Забележка
DAC 10G кабели	7 бр.	Точно колкото са нужни (вижте матрицата)
DAC 1G кабели	1 бр.	Само 1 наличен – нужни са 4 общо
OM3 дуплекс LC-LC 50м	4 бр.	2 бр. → ШК2, 2 бр. → ШК3
SFP+ модули 10G 850nm	4 бр.	Нужни са 8 бр. общо
FTP кабели ШК1→ШК2	4 бр. ~30-50м	1G способни, резерва/backup management
FTP кабели ШК1→ШК3	4 бр. ~30-50м	1G способни, резерва/backup management
Пач кордове черни 1м	наличен склад	TV/IPTV (VLAN10) → ШК2 и ШК3
Пач кордове сини 1м	наличен склад	VoIP (VLAN20) → ШК2 и ШК3
Пач кордове зелени 1.5м	наличен склад	Internet (VLAN30) → ШК2 и ШК3

За поръчка

Компонент	Брой	Причина
SFP+ 10G 850nm модули	4 бр.	Нужни 8 общо, имаме 4 → доплащаме 4 бр.
DAC 1G кабели	3 бр.	По 1 за всеки UniFi USW uplink (всички 3 шкафа)

Разпределение на SFP+ модулите

Устройство	Порт	Посока
CAB1-CORE	SFP+3	→ ШК2 TV1 (fiber 1)
CAB1-CORE	SFP+4	→ ШК3 TV1 (fiber 1)
CAB1-POE	SFP+2	→ ШК2 Int2 (fiber 2)
CAB1-POE	SFP+3	→ ШК3 Int2 (fiber 2)
ШК2 TV1	SFP+1	← CAB1-CORE
ШК2 Int2	SFP+1	← CAB1-POE
ШК3 TV1	SFP+1	← CAB1-CORE
ШК3 Int2	SFP+1	← CAB1-POE

VLAN схема – адресация и routing

VLAN	Описание	Subnet	Gateway	DHCP диапазон	Устройства
VLAN 10	IPTV / TV	multicast only	—	—	~128 Samsung HBU8000 TVs
VLAN 20	VoIP	`192.168.20.0/24`	`192.168.20.1`	.10 – .200	~138 телефона (128 стаи + 10 служебни)
VLAN 30	Guest Internet (розетки)	`192.168.71.0/24`	`192.168.71.1`	.10 – .200	Гостни Internet розетки (рядко ползвани)
VLAN 40	Staff (служебни)	TBD	TBD	—	Служебни компютри – миграция от VLAN1 по-късно
VLAN 50	Management	`192.168.210.0/24`	`192.168.210.1`	—	Всички switches, сървъри, Omada/UniFi контролери
VLAN 103	WiFi гости	`192.168.16.0/22`	`192.168.16.1`	.10 – .1000	Всички UniFi + Omada WiFi AP

VLAN конфигурация по switch (port mode)

Switch	Copper портове	SFP+1	SFP+2	SFP+3	SFP+4
CAB1-CORE	VLAN50 access (офис) + 1× VLAN10 access (IPTV src)	trunk (all VLANs) ↔ MikroTik	trunk (all) ↔ CAB1-POE	trunk OM3 → ШК2	trunk OM3 → ШК3
CAB1-POE	VLAN10/20/30 access (лоби) + VLAN20 (PBX) + trunk (APs)	trunk (all) ↔ CAB1-CORE	trunk OM3 → ШК2	trunk OM3 → ШК3	trunk (103+50) → UniFi1
TV1 (ШК2+3)	VLAN10 access (TV гнезда)	trunk (all) ← PRIMARY fiber	trunk (all) ↔ Int2	trunk (all) → VoIP1	—
Int2 (ШК2+3)	VLAN30 access (Internet гнезда)	trunk (all) ← SECONDARY fiber	trunk (all) ↔ TV1	trunk (all) → VoIP2	trunk (103+50) → UniFi
VoIP1 (ШК2+3)	VLAN20 access (P7 VoIP) + trunk (APs: 103+50)	trunk (all) ← TV1	—	—	—
VoIP2 (ШК2+3)	VLAN20 access (P8–P9 VoIP)	trunk (all) ← Int2	—	—	—
UniFi (all)	VLAN103 tagged + VLAN50 native (AP ports)	—	—	—	trunk (103+50) SFP ← Int2/CAB1-POE

PVST+ (Per-VLAN Spanning Tree) – load balancing

VLAN	Primary path (активен)	Backup path (blocked)	Root bridge
VLAN 10 (TV)	CAB1-CORE → TV1 (OM3 PRIMARY fiber)	Int2 → CAB1-POE (SECONDARY fiber)	CAB1-CORE
VLAN 30 (Internet)	CAB1-POE → Int2 (OM3 SECONDARY fiber)	TV1 → CAB1-CORE (PRIMARY fiber)	CAB1-POE
VLAN 20, 50, 103	Следват VLAN 10 или 30 (per config)	—	CAB1-CORE

⚡ С PVST+ двата fiber uplinks са активни едновременно за различни VLANs – ефективно load balancing без допълнителен хардуер. Convergence при отпадане: ~1-3 сек (RSTP).

Задължителни настройки (без тях не работи)

🚨

PortFast / Edge Port на ВСИЧКИ TV access портове

TP-Link: "Edge Port" в RSTP settings + BPDU Guard.
Без това: 1–3 сек забавяне при включване на Samsung HBU8000 → черен екран.
Изискване от IPTV доставчика!

🚨

IGMP Snooping на ВСИЧКИ switches с VLAN 10

Задължително на: CAB1-CORE, CAB1-POE, TV1 (ШК2), TV1 (ШК3).
Без него: multicast flood на целия шкаф → saturated links!

🚨

IGMP Querier само на MikroTik!

Само един IGMP Querier в мрежата – на MikroTik RB2011.
На TP-Link switches: IGMP Snooping = ON, Querier = OFF.
Два Querier-а → IGMP storm → IPTV спира!

⚠️

PVST+ / STP root bridge конфигурация

CAB1-CORE: root за VLAN 10 (priority 4096).
CAB1-POE: root за VLAN 30 (priority 4096).
Всички останали switches: default priority (32768).
Без това: random root bridge → непредсказуем трафик.

⚠️

BPDU Guard на access портовете

Всеки access порт с Edge Port → BPDU Guard ON.
Ако TV или телефон изпрати BPDU → портът се блокира (защита от loops).

⚠️

Native VLAN на trunk портовете

Trunk портове между switches: native VLAN = 50 (Management).
Или native VLAN = 1 (unused) – важно за сигурност (VLAN hopping).
Никога native VLAN = 10, 20, 30!

Препоръчителни настройки

ℹ️

Storm Control на access портовете

Broadcast storm control на TV и Internet access портовете.
Препоръчително: 1–5% от bandwidth.

ℹ️

Port security / MAC limiting на гостни портове

VLAN 30 (Internet розетки): max 1–2 MAC address per port.
Предотвратява злоупотреба с гостен интернет.

ℹ️

Management VLAN 50 – isolated от гости

MikroTik firewall: гостни VLANs (10,20,30,103) не могат да достигнат VLAN 50.
Omada/UniFi controller достъпен само от VLAN 50.

ℹ️

Flow Control – изключен

Flow control между switches: препоръчително OFF.
Може да причини head-of-line blocking при multicast трафик.

✅

Omada Controller на VM – статичен IP

Omada SDN Controller: VM в VLAN 50, статичен IP (192.168.210.x).
Управлява: всички TP-Link Omada switches и APs.

✅

UniFi Controller v2 – паралелно с Omada

UniFi Controller v2 управлява: 38 WiFi AP + 3× USW-24-PoE + 1 key.
Без конфликт с Omada – различни устройства, различни контролери.

Конфигурационни бележки – MikroTik

Функция	Настройка
VLAN interfaces	`vlan10, vlan20, vlan30, vlan50, vlan103` на bridge
DHCP сървър	На всеки VLAN interface, pool per subnet
Firewall	Input: allow VLAN50 only; Forward: гости↔WAN yes, гости↔гости no
IGMP Proxy/Querier	Enable IGMP proxy, upstream=WAN или VLAN10 interface
Rate-limit гости	Queue tree или Simple queue per IP/subnet (VLAN30, VLAN103)
NAT	Masquerade на WAN interface за всички вътрешни VLANs

ℹ️

Инструкции за Omada SDN Controller v6.1.0.19 · Хотел Сол Марина Палас · 2026-03-18
Обхват: TL-SG3452X / TL-SG3452XP (10 switch-а) + EAP230-Wall AP (6 бр.) в Site "Marina"
MikroTik RB2011 не се управлява от Omada – конфигурира се отделно.
⚡ v6.1.0.19 важна промяна: VLAN настройките са премахнати от Port Profiles – задават се директно на портовете в Port Settings!

Подготовка и влизане в контролера

Отвори Omada Controller

Браузър → https://192.168.210.x:8043 (статичният IP на VM-а в VLAN 50)
Или ако е HTTP: http://192.168.210.x:8088
Влез с администраторски акаунт.

Провери версията

Горе вдясно → иконка с профил → About
Трябва да виждаш: Controller Version: 6.1.0.19
Ако версията е по-стара → препоръчително обновяване преди конфигурация.

Провери Site настройките

Ляво меню (Configuration) → Network Config › Site Settings (под General Settings)
Провери: Site Name: Marina, Application Scenario: Hotel ✓, Country/Region: Bulgaria ✓, Time Zone: UTC+02:00
Препоръчително: включи Network Time Protocol → Enable (за точно време в логовете).

✅

Site "Marina" е вече конфигуриран с Application Scenario: Hotel и Country: Bulgaria. В момента 10 switch-а и 6 AP са свързани (Connected).

Създаване на VLAN мрежи (Networks)

Отиди в Network Config → LAN

Ляво меню → Configuration → Network Config (разгъни) → Network Settings → LAN
Виждаш таб "VLAN" и "Multicast Snooping".
В момента има 2 VLAN-а: Default (VLAN 1) и Wifi 103 (VLAN 103).
Не трий Default – тя е Management VLAN 1. Wifi 103 вече е създадена.

Създай всяка VLAN мрежа

Натисни + Add (горе вляво). Отваря се 3-стъпков wizard: ① Network Param → ② Select Device Port → ③ Confirm.
Попълни стъпка 1 за всяка от следните мрежи (стъпки 2 и 3 може да пропуснеш с Next/Confirm):

Name	VLAN ID	VLAN Type	Gateway/Subnet	DHCP Server	IGMP Snooping
Management	50	Single	празно (L3 = MikroTik)	Disable	OFF
IPTV	10	Single	празно (multicast only)	Disable	ON ← задължително!
VoIP	20	Single	192.168.20.1 / 24	Enable (range .10–.250)	OFF
Guest_Internet	30	Single	192.168.71.1 / 24	Enable (range .10–.250)	OFF
WiFi_Guest	103	Single	192.168.16.1 / 22	Enable (range .10–.250)	OFF

ℹ️

Wizard стъпка 1 полета: Name → въведи; VLAN Type → Single; VLAN → ID; Gateway/Subnet → по таблицата; DHCP Server → Enable/Disable.
DHCP Server Device = Gateway (ако Omada е gateway) или ако L3 е MikroTik → остави Disable и DHCP ще дава MikroTik.
За Management и IPTV → оставй Gateway/Subnet празно и Disable DHCP.

Включи IGMP Snooping за VLAN 10 (IPTV)

При създаването на мрежата IPTV (VLAN 10) → в Wizard стъпка 1:
Натисни "+ Advanced Settings" → разгъва се секцията
Намери Snooping → постави отметка на IGMP Snooping (IPv4 multicast)
Забележка: в Omada v6.1.0.19 IGMP Querier се управлява само от MikroTik – в контролера няма отделна настройка за Querier.

🚨

IGMP Querier трябва да е само на MikroTik! Ако случайно активираш DHCP или IGMP Querier в Omada за VLAN 10 → IGMP storm → всички IPTV TV-та спират!

Създаване на Switch Port Profiles (STP Edge, PoE, QoS)

⚠️

Omada v6.1.0.19 промяна: Native Network, Tagged Networks и Untagged Networks са премахнати от Port Profile. VLAN-ите се задават директно на всеки порт в Port Settings (Фаза 5). Профилите сега са само за: PoE, STP, 802.1X, Fast Leave, Bandwidth Control.

Отиди в Device Config → Switch Ports → Port Profile

Ляво меню → Configuration → Device Config › Switch Ports
Натисни таб "Port Profile" (до "Port Settings")
Виждаш 3 вградени профила: Disable, All, Default
Натисни + Add Profile за всеки от следните профили:

Профил: TV_Edge – за TV гнезда (черен/червен пач корд)

Активира Edge Port (PortFast) и IGMP Fast Leave за TV портовете

Name	`TV_Edge`
PoE	Keep the Device's Settings
Multicast Fast Leave	☑ IGMP (IPv4) – задължително за IPTV!
Loopback Control	Spanning Tree
Spanning Tree Config → Edge Port	☑ Enable – PortFast! Без него Samsung TV = черен екран
Spanning Tree Config → Priority	128 (default)
LLDP-MED	☑ Enable (default)
Bandwidth Control	Off

Профил: Access_Edge – за VoIP и Internet гнезда

Edge Port за бързо port-up, без Fast Leave

Name	`Access_Edge`
PoE	Keep the Device's Settings
Multicast Fast Leave	☐ (изключено)
Spanning Tree Config → Edge Port	☑ Enable
Bandwidth Control	Off

Профил: VoIP_PoE – за VoIP телефони (PoE портове)

Включва PoE подаване за телефоните

Name	`VoIP_PoE`
PoE	● Enable
Spanning Tree Config → Edge Port	☑ Enable
Voice Network (задава се в Port Settings!)	Enable при конфигурация на порта

Профил: AP_PoE – за Omada EAP230-Wall AP портове

Name	`AP_PoE`
PoE	● Enable
Spanning Tree Config → Edge Port	☐ Off (AP-та пращат BPDU понякога)
LLDP-MED	☑ Enable

Приемане (Adopt) на устройствата

Свържи switches към управленска мрежа

Всички TP-Link switches трябва да са достъпни от Omada Controller по VLAN 50 (Management).
Фабрично нов switch: IP 192.168.0.1 – свържи се директно или чрез DHCP discovery.
Ако switches са в различна мрежа от контролера → трябва L3 маршрут или Omada Discovery Utility.

Прими устройствата в контролера

Devices → виждаш devices в статус "Pending" или ги търси с Discover
Кликни на устройство → Adopt → изчакай статус да стане "Connected" (зелено).
При нужда въведи device credentials (default: admin / admin).

Преименувай устройствата

Devices › [click device name] › Manage Device › Config › General → поле Name
Задай ясни имена:

Device Name	Местоположение	Роля
`CAB1-CORE`	Шкаф 1 (сървърно)	Core switch, non-PoE
`CAB1-POE`	Шкаф 1 (сървърно)	PoE+ лоби switch
`CAB2-TV1`	Шкаф 2 (Ет.1+2)	TV/IPTV switch
`CAB2-Int2`	Шкаф 2 (Ет.1+2)	Internet switch
`CAB2-VoIP1`	Шкаф 2 (Ет.1+2)	VoIP PoE+ switch
`CAB2-VoIP2`	Шкаф 2 (Ет.1+2)	VoIP PoE+ switch
`CAB3-TV1`	Шкаф 3 (Ет.3+4)	TV/IPTV switch
`CAB3-Int2`	Шкаф 3 (Ет.3+4)	Internet switch
`CAB3-VoIP1`	Шкаф 3 (Ет.3+4)	VoIP PoE+ switch
`CAB3-VoIP2`	Шкаф 3 (Ет.3+4)	VoIP PoE+ switch

Конфигурация на портовете по switch

ℹ️

Пълен path: Ляво меню → Device Config › Switch Ports › Port Settings
Виждаш всички портове на всички switch-ове. Филтрирай по switch с колона SWITCH.
Кликни иконката за редактиране (молив) вдясно на реда → отваря се панел "Edit Port N" вдясно.
Или маркирай множество портове с checkbox → появява се "Batch Edit" toolbar.

Полета в Edit Port панела (v6.1.0.19):
• Native Network = untagged VLAN на порта (за access портовете)
• Network Tags Setting: Allow All (trunk – всички VLAN-и), Block All (само native), Custom (избираш конкретни)
• Tagged Network = кои VLAN-и да са tagged (за trunk/AP портове)
• Voice Network = Enable за VoIP телефони (изпраща phone VLAN отделно)
• Profile = избери профила от Фаза 3 (за STP Edge Port, PoE)

CAB1-CORE – TL-SG3452X (non-PoE)

Портове	Native Network	Network Tags	Tagged Network	Profile	Описание
Port 1–48 (copper)	Management(50)	Block All	—	Access_Edge	Офис компютри VLAN50
1 порт – IPTV Source	IPTV(10)	Block All	—	TV_Edge	IPTV сървър → VLAN10 untagged
SFP+1	Management(50)	Allow All	All VLANs	Default	↔ MikroTik SFP (DAC 1G)
SFP+2	Management(50)	Allow All	All VLANs	Default	↔ CAB1-POE SFP+1 (DAC 10G)
SFP+3	Management(50)	Allow All	All VLANs	Default	→ ШК2 TV1 SFP+1 (OM3 fiber PRIMARY)
SFP+4	Management(50)	Allow All	All VLANs	Default	→ ШК3 TV1 SFP+1 (OM3 fiber PRIMARY)

CAB1-POE – TL-SG3452XP (PoE+)

Портове	Native Network	Network Tags	Tagged Network	Profile	Описание
Лоби TV (по план)	IPTV(10)	Block All	—	TV_Edge	L01–L12 червени VLAN10
Лоби VoIP (PoE)	VoIP(20)	Block All	—	VoIP_PoE	L01–L12 сини VLAN20, Voice Network: Enable
Лоби Internet	GuestNet(30)	Block All	—	Access_Edge	L01–L12 зелени VLAN30
PBX порт (1 бр.)	VoIP(20)	Block All	—	Default	PBX → VLAN20 access
Lobby AP портове (PoE)	Management(50)	Custom	WiFi_Guest(103)	AP_PoE	Omada EAP AP → VLAN103 tagged + 50 native
SFP+1	Management(50)	Allow All	All VLANs	Default	↔ CAB1-CORE SFP+2 (DAC 10G)
SFP+2	Management(50)	Allow All	All VLANs	Default	→ ШК2 Int2 SFP+1 (OM3 fiber SECONDARY)
SFP+3	Management(50)	Allow All	All VLANs	Default	→ ШК3 Int2 SFP+1 (OM3 fiber SECONDARY)
SFP+4	Management(50)	Custom	WiFi_Guest(103)	Default	→ UniFi USW-24-PoE SFP (DAC 1G)

CAB2-TV1 и CAB3-TV1 – TL-SG3452X (идентична конфигурация)

Портове	Native Network	Network Tags	Tagged Network	Profile	Описание
Port 1–48 (copper)	IPTV(10)	Block All	—	TV_Edge	TV гнезда в стаите (черен кабел)
SFP+1	Management(50)	Allow All	All VLANs	Default	← CAB1-CORE PRIMARY uplink (OM3)
SFP+2	Management(50)	Allow All	All VLANs	Default	↔ Int2 SFP+2 (DAC 10G cross-link)
SFP+3	Management(50)	Allow All	All VLANs	Default	→ VoIP1 SFP+1 (DAC 10G)
SFP+4	—	—	—	Disable	Свободен

CAB2-Int2 и CAB3-Int2 – TL-SG3452X (идентична конфигурация)

Портове	Native Network	Network Tags	Tagged Network	Profile	Описание
Port 1–48 (copper)	GuestNet(30)	Block All	—	Access_Edge	Internet гнезда (зелен кабел)
SFP+1	Management(50)	Allow All	All VLANs	Default	← CAB1-POE SECONDARY uplink (OM3)
SFP+2	Management(50)	Allow All	All VLANs	Default	↔ TV1 SFP+2 (DAC 10G cross-link)
SFP+3	Management(50)	Allow All	All VLANs	Default	→ VoIP2 SFP+1 (DAC 10G)
SFP+4	Management(50)	Custom	WiFi_Guest(103)	Default	→ UniFi USW-24-PoE SFP (DAC 1G)

VoIP1 и VoIP2 (ШК2+3) – TL-SG3452XP (PoE+)

Switch	Портове	Native Network	Tags/Tagged	Profile	Описание
VoIP1	Copper портове P7	VoIP(20)	Block All / —	VoIP_PoE	VoIP гнезда (син кабел), Voice Network: Enable
VoIP1	AP overflow (PoE)	Management(50)	Custom / WiFi_Guest(103)	AP_PoE	Omada wall-socket APs
VoIP1	SFP+1	Management(50)	Allow All / All	Default	← TV1 SFP+3 (DAC 10G)
VoIP2	Copper портове P8–P9	VoIP(20)	Block All / —	VoIP_PoE	VoIP гнезда VLAN20
VoIP2	SFP+1	Management(50)	Allow All / All	Default	← Int2 SFP+3 (DAC 10G)

STP / RSTP настройки (PVST+ за load balancing)

✅

RSTP вече е включен на всички свързани switches! (CIST Priority: 32768 default). Трябва само да коригираш приоритетите за CAB1-CORE и CAB1-POE.

Провери / конфигурирай RSTP на всеки switch

Devices › [click device] › Manage Device › Config › Services
Раздел Spanning Tree: избери RSTP (вече е избрано по default)
Полета: Hello Time: 2, Max Age: 20, Forward Delay: 15 (оставени по default)
Повтори за всичките 10 switch-а.

Задай CIST Priority (Root Bridge)

Devices › [switch] › Manage Device › Config › Services › CIST Priority

Switch	STP Priority	Роля
CAB1-CORE	4096	Root Bridge (най-нисък = Root)
CAB1-POE	8192	Secondary Root (backup)
Всички останали	32768 (default)	Non-root

ℹ️

С RSTP (без PVST+) има само един Root Bridge за всички VLANs – CAB1-CORE.
За PVST+ load-balancing (активни и двата fiber uplinks едновременно за различни VLANs) се изисква CLI конфигурация или проверка дали TL-SG3452X поддържа MSTP/PVST+ в Omada UI.

Edge Port (PortFast) – задава се чрез Port Profile

Edge Port вече е включен в профилите TV_Edge, Access_Edge и VoIP_PoE от Фаза 3.
Задай тези профили на access портовете в Port Settings → колона Profile.

Или ако искаш bulk промяна директно:
Device Config › Switch Ports › Port Settings → маркирай множество портове → batch edit:
Profile Overrides → Enable → Spanning Tree Config → Edge Port: ☑ Enable

🚨

Edge Port САМО на access портовете (TV, VoIP, Internet гнезда в стаите).
На SFP+ trunk портовете (cross-links, fiber uplinks) → Edge Port = OFF!
Без Edge Port: Samsung HBU8000 TV показва черен екран при включване (1-3 сек STP delay)!

IGMP Snooping (задължително за IPTV)

IGMP Snooping се задава в настройките на VLAN 10 мрежата

Ако не е включен при създаването → отиди в:
Network Config › LAN → кликни на IPTV (VLAN10) → иконка Edit (молив)
→ разгъни Advanced Settings → Snooping → ☑ IGMP Snooping
Забележка: Omada v6.1.0.19 няма отделна опция "IGMP Querier" в LAN формата – Querier се управлява само от MikroTik.

Провери Multicast Snooping tab

IGMP Snooping трябва да е активен на: CAB1-CORE, CAB1-POE, CAB2-TV1, CAB3-TV1
Network Config › LAN › Multicast Snooping (таб до VLAN) → виждаш статуса на IGMP snooping по мрежи.

✅

Очакван резултат: след свързване на IPTV Source → в IGMP Statistics се виждат multicast групи. TV-тата ги join-ват при включване.

Конфигурация на Omada WiFi AP

Приеми Omada AP устройствата

Devices → намери AP-тата в статус "Pending" → Adopt
AP-тата трябва да са на портове с профил AP_Trunk (VLAN103 tagged + VLAN50 native).
Управленски IP получават от DHCP на VLAN 50.

Създай Wireless Networks (SSIDs)

Ляво меню → Network Config › WLAN › + Add

SSID Name	VLAN	Security	Описание
`SolMarina_Guest`	103	WPA2/WPA3 Personal	Гости – WiFi Internet
`SolMarina_Staff`	50	WPA2 Enterprise или силна парола	Служебна мрежа

ℹ️

За всяко SSID: VLAN → Enable → въведи VLAN ID.
Band Steering: Enable (ако AP поддържа 2.4GHz + 5GHz).
Fast Roaming (802.11r): Enable за по-бързо преминаване между AP-та в хотела.

Radio настройки (2.4GHz + 5GHz)

Network Config › WLAN › [SSID] › Edit › Advanced

2.4GHz канал	Auto или фиксиран: 1, 6 или 11 (само тези 3 не се застъпват)
5GHz канал	Auto (контролерът избира)
TX Power	Auto или Medium (избягвай High – по-много интерференция)
Minimum RSSI	-75 dBm (изритва слаби клиенти, принуждава roaming)
Client Isolation	Enable за Guest SSID (гостите не виждат помежду си)
Rate Limit	Guest: Upload 20Mbps / Download 30Mbps (по желание)

AP групи по зони (AP Groups)

Network Config › WLAN › AP Groups › + Add
Препоръчително: създай групи по шкаф/зона:

Lobby_APs	AP-тата в Лобито (ШК1 зона) – може по-силен signal
Floor12_APs	ШК2 зона – Ет.1+2
Floor34_APs	ШК3 зона – Ет.3+4+Н

Проверка и тест след конфигурацията

Провери всички switches – статус Connected

Devices → всички switches трябва да са Connected (зелено)
Ако е жълто (Isolated) → проблем с uplink или VLAN конфигурация.

Провери uplink скоростите

Devices › [switch] › Ports
SFP+ портовете трябва да показват: 10G Full Duplex
SFP портовете на UniFi: 1G Full Duplex

Провери STP топологията

Devices › [switch] › Manage Device › Config › Services → виждаш RSTP режима и CIST Priority.
CAB1-CORE: трябва да е Root Bridge.
Int2 SFP+1 (SECONDARY fiber): трябва да е в Blocking/Discarding (резерва).
При тест – изключи PRIMARY fiber → Int2 SFP+1 трябва да стане Forwarding за ~1-3 сек.

Тест на VLANs

Свържи лаптоп в TV гнездо → трябва да получи IP от 192.168.10.x (DHCP от MikroTik VLAN10)... или multicast only ако VLAN10 няма DHCP
Свържи лаптоп в Internet гнездо → трябва IP 192.168.71.x + достъп до интернет
Свържи лаптоп в VoIP гнездо → трябва IP 192.168.20.x + достъп до PBX
Свържи се към Guest WiFi → трябва IP 192.168.16.x + интернет, без достъп до Management
Провери, че от гостна мрежа не може да се достигне 192.168.210.x (Management VLAN50)

Тест на IPTV

Включи Samsung HBU8000 → при правилна конфигурация: без черен екран при boot (Edge Port работи)
TV трябва да получи multicast stream без buffering
В Omada: Devices › [TV1 switch] › Statistics → IGMP groups трябва да се виждат

Допълнителни бележки и известни проблеми

Firmware препоръки

Обнови firmware на всички TL-SG3452X/XP преди конфигурация
Devices › [switch] › Manage Device › Action › Upgrade → Online Upgrade
Текущи версии: SG3452XP v2.20 (fw 2.20.20), SG3452X v1.20 (fw 1.20.18), EAP230-Wall (fw 3.2.5)
Не обновявай firmware по време на production – само в maintenance window

Backup на конфигурацията

След успешна конфигурация: горе дясно → иконка с настройки → Backup → Export
Запазвай backup след всяка значима промяна
Backup файлът включва всички switch и AP конфигурации
Съхранявай в отделно място (не само на Omada VM)

Полезни Omada функции

Topology Map: ляво меню → Monitoring › Map → визуална схема
Insights: ляво меню → Monitoring › Insights → трафик статистики
Cable Diagnostics: Devices › [switch] › Manage Device › Tools → Cable Test
IntelliRecover (BETA): ляво меню → Maintenance → IntelliRecover → auto recovery
MAC Search: горе → иконка лупа → търси по MAC, IP или Name
Network Tools: Maintenance → Network Tools → Ping, Traceroute, DNS Lookup

⚠️

UniFi switches (USW-24-PoE) не се конфигурират в Omada!
Те се управляват от UniFi Controller v2. VLAN конфигурацията им е идентична: trunk порт към TP-Link switch (VLAN103+50), access портове за AP-та. Конфигурирай ги в UniFi Controller → Devices → [switch] → Ports.

ℹ️

Omada + UniFi паралелно: двата контролера работят независимо. Omada управлява TP-Link switches + Omada APs. UniFi управлява USW-24-PoE + UniFi APs. Физическите trunk връзки между тях работят прозрачно – единствено VLAN профилите трябва да съвпадат.