Gateway cu mai multe IP-uri VLAN pe o singură NIC

Aș dori să separ mai multe gazde din rețeaua locală și să le pun în spatele unui firewall. Aș dori să folosesc VLAN-uri pentru a le separa „fizic” în loc să folosesc doar subrețele diferite. Ideea mea este să folosesc un comutator care acceptă VLAN-uri și să construiesc rețeaua astfel:

P1 și P2, P3 și P4 sunt patru gazde diferite care aparțin a două rețele „fizice” separate (VLAN 1 și 2). Acestea ar trebui să fie protejate de firewall/gateway pe P5.

P5 ar trebui să acționeze ca firewall/gateway care controlează datele dintre gazdele separate și rețeaua existentă. Are doar o singură NIC care trebuie să se conecteze la rețeaua existentă (fără VLAN) și cele două VLAN-uri.

P6 este legătura ascendentă către rețeaua existentă.

Întrebările mele acum sunt:

1. Poate această idee să funcționeze conform așteptărilor (dată fiind o configurație corectă) - și anume, că gazda de pe P5 poate avea mai multe IP-uri/să facă parte din mai multe rețele cu doar o singură NIC, că acționează ca gateway/firewall între gazdele separate și cele existente rețea și dacă nu există capcane/defecte pe care nu le-am luat în considerare care ar putea permite fluxul de date între rețele ocolind firewall-ul?
2. Bănuiesc că comutatorul trebuie să poată suporta VLAN etichetat (în loc de doar VLAN bazat pe porturi) din cauza P5?

Da, asta va funcționa. Asigurați-vă că creați un VLAN și pentru subrețeaua 192.168.10.0/24 - pe un comutator compatibil VLAN totul este un VLAN.

Pe trunchiul P5 trebuie fie să etichetați toate VLAN-urile, fie să păstrați un singur VLAN neetichetat. Potriviți configurația comutatorului de pe firewall, fie cu VLAN-uri și SVI-uri, fie cu (sub)interfețe L3 „direcționate”.

După cum a remarcat @NiKiZe, VLAN 1 are o semnificație specială pe unele comutatoare (în special ca VLAN de gestionare), așa că asigurați-vă că știți despre asta înainte de a-l utiliza productiv.