Деление сети на виртуальные подсети (VLAN)

Для начала, мне бы хотелось рассказать, зачем вообще разбивать сети на подсети и что мешает включить всю сеть в один vlan. Начнем с теории. Виртуальные локальные сети существуют для того, чтобы ограничить возможность пользователю из одной подсети использовать ресурсы другой сети. Предположим, что у нас большое офисное здание, разделенное на две подсети — vlan10 и vlan20.

В одном из vlan-ов находятся компьютеры бухгалтеров, а в других — айтишники. Логично предположить, что объединив их всех в одну сеть, внешний канал сразу «просядет», так как айтишники будут качать с торрентов линукс-дистрибутивы и смотреть видео в свободное от работы время; соответственно бухгалтера не смогут работать с интернет-банками и прочим своим софтом.., что может плохо отразиться на зарплате всей организации =)

VLAN

Другой пример, — необходимо запретить всяким «умникам» приносить из дома вай фай-роутеры для скачки приложений на айфон. Довольно часто происходят инциденты, когда из-за конфликтов DHCP-серверов в сети вышибает шлюз доступа к интернету.

В любом случае, разделенной сетью проще управлять, мониторить, шейпить (ограничивать скорость доступа) тех, кому скорость интернета не критична, чтобы дать возможность остальным сотрудникам компании выжать из внешнего канала максимум.
Всегда можно какие-нибудь изменения политик доступа или просто тестирования проводить на свободно влане, а потом просто переключать туда нужных пользователей, когда вы точно будете уверены, что все работает

Ну а теперь, когда более или менее стало ясно, зачем же нам виртуальные локальные сети, приступим к проектированию нашей сети и настройке VLAN.