Как настроить сеть VLAN

Как уже отмечал Joeqwerty, вы подходите к этому с неадекватным фундаментальным пониманием в сочетании со смутно определенными целями. Вы настраиваете себя на отказ, время простоя и дыры в безопасности. Вместо того, чтобы просто отвечать на ваши вопросы в ответ на вопрос, я собираюсь побаловать себя небольшим руководством по vLAN 101, которое может быть немного более полезным для вас.

Похоже, у вас есть несколько фундаментальных заблуждений относительно сегментации vLAN и того, как она вписывается в сетевую архитектуру, поэтому давайте на минуту вернемся назад к ALLLLLLL:

На уровне сетевой архитектуры вы можете принять очень упрощенное представление о том, что виртуальная локальная сеть - это не что иное, как отдельный коммутатор, не подключенный к какому-либо другому коммутатору (виртуальная локальная сеть).

Если вы посмотрите на виртуальные локальные сети таким образом, станет относительно понятно, как их использовать: когда вы не хотите, чтобы машины Group A чтобы иметь возможность общаться с машинами в Group B Вы помещаете их в отдельные виртуальные локальные сети и заставляете их проходить через маршрутизатор (в идеале один с функциональностью брандмауэра) для связи друг с другом.
Почти при любых обстоятельствах лучше (и проще) сделать это, также поместив машины в разные IP-сети (подсети) - машины в vLAN находятся в одной подсети и могут общаться между собой столько, сколько они хотят, но если они хотят общаться с кем-то за пределами своей виртуальной локальной сети, это также будет происходить за пределами их подсети, поэтому их перенаправляют на их шлюз по умолчанию, который может решить проблему безопасности, с кем может общаться и при каких обстоятельствах.

Итак, архитектура vLAN за 11 простых шагов:

1. Выясните, какие машины образуют логические группы. Это ваши виртуальные локальные сети
   В очень простой среде это может быть Web Servers а также Database Servers,
   В более сложных средах у вас может быть много групп, и вы можете объединить несколько групп в одну виртуальную локальную сеть - это решение архитектуры, которое вы должны принять.

2. Выясните схему адресации, которая подходит вашим виртуальным локальным сетям.
   Если вам повезет, каждая виртуальная локальная сеть поместится в /24, и вы сможете построить топологию, основанную на этом. Если вам не повезло, выясните, какие виртуальные локальные сети нуждаются в больших (или меньших) блоках.

3. Нарисуйте, что вы сделали на бумаге.

4. Выясните, какие виртуальные локальные сети должны общаться друг с другом.
   Какие порты / службы должны быть открыты между виртуальными локальными сетями / сетями?
   Какие еще условия должны существовать, чтобы ваша среда функционировала?

5. Нарисуйте, что вы придумали на бумаге. Убедитесь, что это нормально, а затем конвертируйте его в политику брандмауэра / маршрутизатора.

6. Составьте проект конфигурации брандмауэра / маршрутизатора. Идеально играть с ним в тестовой среде.

7. Нарисуйте свой коммутатор на бумаге и отобразите, какие порты будут идти в какие сети VLAN
   Полезно физически сгруппировать соединения, чтобы они находились в одной логической виртуальной локальной сети, но это не является строго обязательным.

8. Преврати свой рисунок переключателя в конфигурацию переключателя. Идеально играть с ним в тестовой среде.

9. Вымой свои рисунки на бумаге. Логический рисунок должен выглядеть примерно так:
   
   (Изображение было уменьшено, чтобы скрыть то, что вам не нужно читать)

10. Попросите кого-нибудь еще взглянуть на ваш дизайн.
    Вы можете задать вопрос о сбое сервера, но лучше, если кто-то, знакомый с вашей средой, посмотрит на него, поскольку он с большей вероятностью обнаружит потенциальную поломку.

11. Возьмите выходные и превратите свой логический дизайн в физическую реальность.
    (Само собой разумеется, что у вас должен быть план отката на случай, если что-то пойдет не так, но я все равно говорю это.)

(Если вы ОЧЕНЬ хороши, вы можете пропустить некоторые из вышеперечисленных шагов "Нарисуйте это на бумаге", но я не рекомендую пропустить это в первый раз.)

Re: два конкретных вопроса, которые вы задали:

1) Как я могу сегментировать эту сеть с минимальным временем простоя на устройствах уже в сети?

Ты не можешь Для разбиения вашей сети на виртуальные локальные сети потребуется окно отключения - вам придется перенастроить коммутатор, переместить компьютеры в разные логические сети, настроить маршрутизацию, возможно, переместить несколько кабелей и т. Д. И т. Д. И т. Д. И т. Д.
Запланируйте отключение, начинающееся в 17:00 в пятницу и продолжающееся в выходные, ОСОБЕННО, если вы впервые проектируете правильно сегментированную сеть - вы потратите некоторое время на отладку неисправных компонентов.

2) Могу ли я просто создать Vlan и оставить все эти Vlan в одной сети Laye 3, чтобы они могли выходить из сети (меня не волнует маршрутизация Vlan), или мне нужно создать подсети, что означает перенастройку существующих устройств (что то не хочу)

Ты можешь? Да.
Это купит тебе что-нибудь с точки зрения безопасности? На самом деле, нет.
Это сделает весь проект в 10 раз сложнее? Абсолютно.
Стоит ли проектировать сеть таким образом? NO.