gonzaman1

Випнет заворачивает трафик в свой шлюз. В настройках самого випнета есть строчка (кажется) исключая трафик внутренней сети. Если нет, напишите серверу, пусть включат эту функцию на сервере.
Ну или просто впн выключайте когда нужно на сайт попасть.

Бррррр........
Разобьем ответ на 2 блока:
1. Конечные клиенты должны получать айпи с сервера автоматом, поэтому вешаешь дхсп прямо на вланы. Хочешь безопасности - фильтруй по макам уже на портах. А так пришел чувак с тупой железкой и тут придется вмето включения порта и антаргета регистрировать его руками. Можно, но не вижу необходимости.
2. Транк вланов должен быть свободный для удобства коммутации и маштабирования.
3. Выше ответ
4. Принтсерверу в общем то пофигу где быть, главное - доступность всех принтеров.
5. Правилом vlan16 vlan30 drop при условии что вторым интерфейсом принтсервер смотрит в сеть пользователей

Теперь по ответам на вопросы)))

1. Хелпер это простой маршрут для определенного пакета. Тоесть если вы хотите вынести dhcp в другую подсеть - вы делаете либо персональный маршрут на влан либо персональный маршрут на порт.
2. Влан трафик не обрабатывает)) это туннель, трафик обрабатывает маршрутизатор. Вы же не отсылаете запрос с клиента типа - мне в влан20 бабушке до востребования))) вы отсылаете на шлюз запрос типа- мне доступ к *.*.х.*/24 от *.*.у.*/24 шлюз запрос принимает и проверяет его по правилу- "так такой запрос нужно направить из сети У в сеть Х , а сеть Х у нас находится в вланеХ и туда отправляет". Так что ответ на вопрос - нет, добавлять влан на коммутатор не нужно, если вы не планируете на нем в этот влан добавлять устройства.
3. Как и в предыдущем вопросе - нет устройст нет влана
4. Это незначительно, куда хотите его туда и засовывайте. Главное чтобы доступ черезз маршрутизатор к нему был.
5. Опять же влан это просто туннель между устройствами, фактически простая одноранговая сеть. Вы не можете дать доступ к куску сети , а остальное отрезать. Поэтому вланами такое не режется, это режется правилами трафика тспип создаете 2 правила: Верхнее разрешить трафик из сети пользователей до принтсервера Нижнее запретить весь остальной трафик из сети пользователей в сеть принтеров.

В общем разбирайтесь. И еще раз в голове для себя соберите понятия vlan. Судя по вопросам вы не до конца понимаете зачем они нужны.

Стоят S2985G штук наверное 10, на узлах циски. Л2 как Л2, задач сложных на обьекте небыло, их хватило с головой. Защита от дебила есть, для л2 это главное. Не горят, не висят, порты целы. По елтеху сказать ничего не могу.