vlan - это сегменатация сети на логическом уровне.
Так зачем мне вилан, если я просто могу повесить то второе здание на отдельный порт микротика и выкинуть его в отдельную подсеть вместе со всеми хостами?
- сегментация сети на физичском уровне
зачем нужна и когда применять:
- для безопасности. Разные устройство подвержены разным векторам атаки. Разделив их в разные сети и закрыв трафик между сетями фаерволом вы либо исключите вектор атаки либо снизите его влияние. Пример: Пользак скачал какой-то файл, которые не задетектил антивирь, запустил его, этот файл нашел в сети принтер, воспользовалься его уезвимостью, развернул на нем бэкдор и подключил тунель для атакуещего. Атакующий попал в сеть, и спокойно с принтера продолжает ее иследовать и искать другие уязвимости. Если вы сегментируете сеть рабочих станций и принтеров, закроете доступ в сеть принтеров по всем портам кроме тех, что нужны для работы с ними, а из сети принтеров запретите выход в интернет - это исключит этот вектор атак.
- для балансировки нагрузки, если у вас есть IP телефоны которые работают с внешним IP АТС сервером, вы можете настроить QoS конктретно для сети, что бы обеспечить резерв по пропускной способности внешнего канала, что повысить качество голосового трафика.
- для отказоустойчивости, если в одном из сегментов сети возниктит сетевой инцидент, он не затронет другие сегменты. К примеру, сетевой шторм (когда сделали колько на коммутаторе). Если в сети есть не управляемые коммутаторы, не оснащенные защитой от шторма, это может вызвать проблему по всей сети, пока не сработает защита, если она есть.
- для порядка, делать vlan под разные устройства, и под разные направления дейтельности - все равно, что в шкафу раскладывать по разным полкам одежду, просто удобно с этим работать
Обслуживать vlan проще чем сегментацию на физическом уровне.
