Cổng có nhiều VLAN IP trên một NIC

Tôi muốn tách một số máy chủ khỏi mạng cục bộ và đặt chúng sau tường lửa. Tôi muốn sử dụng các Vlan để phân tách "vật lý" chúng thay vì chỉ sử dụng các mạng con khác nhau. Ý tưởng của tôi là sử dụng một bộ chuyển mạch hỗ trợ Vlan và xây dựng mạng như thế này:

P1 và P2, P3 và P4 là bốn máy chủ khác nhau thuộc về hai mạng "vật lý" riêng biệt (VLAN 1 và 2). Chúng phải được bảo vệ bằng tường lửa/cổng trên P5.

P5 sẽ hoạt động như tường lửa/cổng kiểm soát dữ liệu giữa các máy chủ được phân tách và mạng hiện có. Nó chỉ có một NIC cần kết nối với mạng hiện có (không có VLAN) và hai VLAN.

P6 là đường lên mạng hiện có.

Câu hỏi của tôi bây giờ là:

1. Ý tưởng này có thể hoạt động như mong đợi không (được cung cấp một cấu hình chính xác) - tức là máy chủ trên P5 có thể có nhiều IP/là một phần của nhiều mạng chỉ với một NIC duy nhất, nó hoạt động như một cổng/tường lửa giữa các máy chủ được phân tách và máy chủ hiện có mạng và nếu không có cạm bẫy/lỗ hổng nào mà tôi không xem xét có thể cho phép luồng dữ liệu giữa các mạng vượt qua tường lửa?
2. Tôi đoán công tắc cần có khả năng hỗ trợ Vlan được gắn thẻ (thay vì chỉ Vlan dựa trên cổng) vì P5?

Vâng, điều đó sẽ hiệu quả. Đảm bảo rằng bạn cũng tạo Vlan cho mạng con 192.168.10.0/24 - trên bộ chuyển mạch có khả năng Vlan mọi thứ đều là Vlan.

Trên đường trục P5, bạn cần gắn thẻ tất cả các Vlan hoặc giữ một Vlan không được gắn thẻ. Làm khớp cấu hình của công tắc trên tường lửa của bạn, với VLAN và SVI hoặc giao diện L3 (phụ) "được định tuyến".

Như @NiKiZe đã lưu ý, VLAN 1 có ý nghĩa đặc biệt trên một số thiết bị chuyển mạch (đặc biệt là VLAN quản lý), vì vậy hãy đảm bảo bạn biết về điều đó trước khi sử dụng nó một cách hiệu quả.