Помогите с разработкой сети и выбором подходящих продуктов.

3 сервера Proxmox… 3 SSID… 7 VLAN дома?

Я не вижу смысла брать именно эту модель, учитывая, что у тебя уже есть интернет-роутер — FritzBox — и ты хочешь добавить PoE-коммутатор. Если бы я проектировал сеть, я бы выделил PoE в отдельный коммутатор, а затем либо выбрал бы непоэвскую модель RB5009 и поставил её вместо FritzBox, либо оставил FritzBox как основной роутер и вообще отказался от 5009. Два роутера — это почти всегда плохо из-за двойного NAT. Не понимаю, зачем тебе оба. Двойной PoE не так критичен, но как уже отмечали другие, в таком случае твоя схема расходится по смыслу: обязанности PoE разделяются между пограничным маршрутизатором и коммутатором за ним. Фаервол и интерсегментная маршрутизация. Хотя удобно объединить это в одном устройстве, это делают обычно для маленьких сетей, где один узел — единственная точка контроля. В твоём случае лучше разделить роли.

Рекомендую посмотреть на CRS328-24P как на основной коммутатор, он будет основным по обработке VLAN, потому что фильтрация VLAN здесь идёт аппаратно, на ASIC коммутатора. Весь трафик в интернет пойдёт с него на роутер. Если решишь заменить FritzBox на RB5009, можно связать их по 10G-оптике. (Фильтрация VLAN — это не совсем «интервланная маршрутизация», но большая часть работы уже сделана, и это, скорее всего, всё, что тебе нужно. Если же нужно настоящее межсегментное роутинг, он уйдёт с основного роутера обратно на коммутатор.)

Да, CRS328 — это перебор для твоих задач, но, увы, нет ничего меньшего с такими функциями, на мой взгляд. Я уже давно хочу 8+4 портовый PoE/SFP+ коммутатор от MikroTik, но близок к этому только CSS610, который работает на упрощённой SwOS. Если бы был CRS610 или PoE-версия CRS310, я бы советовал именно это.

Мой совет — вывести PoE из RB5009, тогда его проводные порты, кроме одного uplink, будут простаивать. Возможно, стоит взять меньший роутер. Твой FritzBox рассчитан на DSL-линк 300 Мбит/с. Хотя ты его используешь для Gigabit маршрутизации к оптическому модему, 5009 в этом плане серьезно избыточен. hEX S вполне хватает, если нет планов быстро увеличить интернет до более гигабита. (На самом деле сейчас я бы советовал hAP ax² вместо hEX S, если можешь отказаться от оптической связи между основным коммутатором и роутером. Там две важные функции, завязанные на ARM: контейнеры и ZeroTier, которые полезно держать именно на пограничном шлюзе. CPU в hAP ax² быстрее, что даёт запас мощности для 1G канала, что на hEX S уже на пределе. Радио в ax² можно отключить и использовать как улучшенный hEX.)

Или, может, стоит перенести все «публичные» сервисы под Proxmox на сервер, подключённый к RB5009, и настроить его как DMZ с частичным доступом в интернет через 5009. Так порты будут использоваться гораздо эффективнее, чем для IP-камер, которые, на мой взгляд, лучше держать глубоко внутри частной сети, а не на границе. Если хочешь смотреть камеры извне, есть более надёжные способы, чем выставлять их на границу сети.

Было бы полезно знать, сколько проводки закреплено жёстко, а что можно перенести или заменить. Хотелось бы понять, что собой представляет серая зона — одна комната, похоже. «Смешанная VLAN-зона» не даёт физической схемы, а это важно для планирования новой архитектуры сети. Спрашиваю, потому что без этого я начинаю фантазировать и придумываю такой вариант:

Светло-серая зона — похоже на домашний офис/лабораторию в одной комнате. Я бы поставил там CRS328 как основной коммутатор LAN, используя его четыре SFP+ порта для основного ПК, NASа, большего из двух Proxmox серверов и uplink к основному роутеру. Хотя ты сказал, что офисный ПК и игровой оба 1G, я бы одного из них апгрейднул до 10G хотя бы для ускорения доступа к NAS.

Ссылки на «Офис» и «Гостиную» (синие и зелёные зоны) я бы подвёл к core switch, а не к роутеру. Коммутатор будет основным по VLAN-фильтрации, так что лучше, чтобы трафик проходил через него, а не проходил «зеркалом» через пограничный роутер. Это разгрузит роутер, и он сможет полностью сосредоточиться на основной задаче — маршрутизировать пакеты в интернет и обратно по решению коммутатора.

Всё остальное оборудование по дому можно подключить к CRS328 для PoE или к паре свободных портов на роутере. Если всё-таки хотелось бы поставить вспомогательный коммутатор здесь, это нормально, но я бы максимально перенёс нагрузку на core switch.

Да, это самый минимум для нормально управляемого «дома»…

Что ты имеешь в виду там? Fritzbox → rb5009 → свитч? Камера будет на свитче в их VLAN?