Como configurar 2 vlans com roteamento?

Olá, tenho 2 redes distintas, uma é a prefeitura e outra é um posto de saúde, a rede do posto está bem configurada com faixa de ip 172.16.8.0/24, e a da prefeitura esta mal configurada como 10.0.0.0/8, atualmente estas 2 redes se conectam com 2 radios Rocket M5 ligado diretamente ao switch principal de ambas as redes, esta conexão é necessária apenas para compartilhar arquivos do servidor da prefeitura que está em 10.0.0.4/8 e também uma aplicação na porta TCP 2638, a aplicação roda diretamente na pasta 10.0.0.4/8, então nas máquinas do posto de saúde eu além de configurar um ip 172.16.8.0/24 eu adiciono um ip extra em 10.0.66.xx para poder enxergar a prefeitura e usar a aplicação. O grande problema é o broadcast de rede e muitos DHCPs disparando lá na prefeitura, onde não tenho acesso para configurar corretamente.

Agora tenho em mãos um Switch HP 1920-24G (JG924A), com esse switch é possível criar vlans, mas não tenho familiaridade alguma com esse tipo de configuração, o que gostaria é de colocar esse switch no posto de saúde e separar estas redes, já entrei nas configurações do switch e fiz a configuração inicial para poder entrar pelo navegador ou telnet normalmente, então preciso de uma ideia de como faço para criar essas vlans para separar estas redes, mas que as estações dentro da vlan do posto consiga se conectar ao ponto 10.0.0.4/8 da prefeitura e poder usar a porta TCP 2638, tem como fazer isso, esse Switch consegue fazer essa rota? Como faço?

Boa tarde.
A resposta pra tudo que vc perguntou é SIM.
Entretanto temos exceções >>>
Vamos dividir.

Primeiro de tudo Switch L2 não roteia pacote, logo qualquer configuração com VLAN que vc tiver terá que ter um equipamento L3 para comunicação entre Vlans distintas. ( esse é o ponto mais importante de todos)

Segundo: Não de uma vez, mas, aos poucos um novo planejamento lógico dessa rede precisa ser feito, uma coisa bem bacana para ser feito é por todos dentro da mesma rede lógica (ex 10.0.0.0/8) como vc já tem, e ai sim criar as Vlans para dividir isso, seria até muito bom tendo em vista a possibilidade de crescimento que essa tua infra vai ter.

Terceiro: Você não mencionou que tipo de equipamento L3 vc tem para interligar estas redes (VLANS) Nem todos equipamentos L3 suportam 802.1q

Em relação a onde o switch vai ficar e recomendado que ele fique próximo ao teu CORE, centro da tua rede onde fica a administração dela.
Caso tenha ficado faltando algo segue contato abaixo para tirar outras dúvidas.

Network Analyst
contact skype: carlossouzainfo

A questão é que como sou do posto de saúde, não tenho acesso a rede da prefeitura, o switch que eu tenho aqui é um L3 gerenciavel da linha HPE, a rede deles tem outras conexões com outros pontos, e mexendo lá mexeria em tudo, por isso não posso envolver eles, então queria apenas isolar a minha, como não tenho um roteador, queria ver se tem como fazer pelo switch, criando vlans com alguma rota para o 10.0.0.4/8 para somente compartilhar arquivos e usar a porta TCP 2638, sem broadcast deles na minha rede e sem disparar zilhões de dhcp dos roteadores wifi que eles instalam mas não configuram.

Bom dia.
Cara até dá pra fazer, mas vc está buscando a maneira mais complicada de fazer isso.

Network Analyst
contact skype: carlossouzainfo

Infelizmente é as ferramentas que me disponibilizaram para tentar resolver, até acharia mais fácil se adicionasse uma placa de rede a mais no nosso servidor e fizesse o roteamento por ele, mas também não rola, e qualquer compra leva 3 meses, então queria aprender mais sobre as vlans e tentar fazer esse rota através de vlan mesmo, o problema é configurar o bixo.

Tranquilo, oq vc sabe sobre Vlans? vc falou que tem um SW L3, confere?

Network Analyst
contact skype: carlossouzainfo

Eu tenho aqui um hp JG924A

Nunca trabalhei com vlans, então meu conhecimento é zero, tudo que fiz até agora foi sem testar, mas setei as portas do 1-23 para vlan1 untagged, e a porta 24 para a vlan 2 untagged, então minha ideia seria colocar o radio que vem da prefeitura na vlan2 na porta 24 e o restante da minha rede na vlan 1 nas portas 1 ao 23, tenho acesso ao switch tanto via web como via telnet, fiz tudo isso dando uma lida em alguns materiais básicos que achei no google

Boa tarde.
Tranquilo, vamos lá:
Você precisa entender o conceito de Porta de Acesso e Porta Trunk
Precisa entender também que cada Vlan está em um domínio de broadcast diferente logo para cada Vlan vai ser preciso definir uma interface virtual no teu SW L3
Logo a porta 24 neste teu exemplo seria uma porta Trunk onde passariam algumas ou todas as Vlans configuradas.

Network Analyst
contact skype: carlossouzainfo

Olá, segue o que tenho feito aqui:

Peguei 2 notebooks para fazer o testes:

Rede A (Posto de Saúde) - 172.16.8.0/24
Rede B (Prefeitura) - 10.0.66.0/8

Entrei no switch e configurei da seguinte forma

VLAN1 (REDE A) - Portas 1 ao 23 - Link type: Access - Untagged
.................................Porta 24 - Link type: Trunk - Tagged

VLAN2 (REDE B) - Porta 24 - Link type: Trunk - Tagged

Sendo assim coloquei um note na porta 10 e um note na porta 24, ficando assim:

Note REDE A > 172.16.8.233/24 - GW 172.16.8.254
Note REDE B > 10.0.66.77/8 e 172.16.8.234/24 - GW 172.16.8.254

Compartilhei uma pasta no note da REDE B, então pelo note da REDE A eu obtive acesso a pasta compartilhada no note da REDE B, mas também vi que funciona o contrário, e o que eu não quero é isso, que tenha fluxo da REDE B para a REDE A, e sim apenas que a REDE A consiga acessar a B. Não sei se ficou claro dessa forma.

Lá na prefeitura existe um servidor em 10.0.0.4/8 no qual podemos acessar algumas pastas compartilhadas e também o servidor escuta a porta TCP 2638, então queria que toda minha rede A tenha acesso a este servidor linux de lá, mas que o contrário não ocorra, principalmente pelos disparos de DHCP e demais broadcasts vindos daquela rede.

Bom dia
Entendi sim, vc vai precisar de algum equipamento L3 fazendo controle de regras, não sei como esse teu Switch L3 pode fazer isso, consulte no manual.
Em relação a DHCP e Broadcast podem ficar em domínio de broadcast diferentes, evitando este tipo de coisas
Network Analyst - Consultoria para empresas
contact skype: carlossouzainfo