автор ты спросил про две разные задачи, которые решаются несколько разными способами, мониторинг, контроль и бекап:
а) виртуальная серверная структура
в) сетевая структура, роутеры и свичи.
и соответственно не должно быть у тебя одной сети для управления ВСЕМ, сетей управления должно быть несколько - под разные задачи, с разным набором правил доступа к ним.
1. по виртуальной, вне зависимости от технологии, нужно разделять сети, под хостовые железные машины и под виртуальные, в принципе между ними по хорошему, даже не должно быть доступа по сети. с хостовой машины локально всё рулится без проблем. Опять же обычным юзерам доступ до хостовой машины - зачем? только админам.
На самом хосте желательно иметь более двух реальных сетевых карт , одну выделить только под хост, одну и более под виртуалки, и одну и более - под прямой коннект к серверу бекапов , очень актуально когда размер бекапов десятки или сотни терабайт ежедневно.
Делай несколько ВЛАН под виртуалки и отдельно под хостовую машину, и если таки нужен прямой доступ между виртуалками, то очень желательно настроить виртуальный свич\роутер на хостовой машине, что бы внутренний трафик не выходил на внешний свич/роутер.
а так читай "вайт паперы" и "бест практис" по конкретной технологии виртуализации.
2. по сетевому оборудованию.
у приличных свичей и роутеров обычно есть управляющий порт (медный обычно) он же management или oob (Out of Band) , который не участвует коммутации и маршрутизации, у него одна цель дать доступ админу в голову железки.
Другой вопрос куда этот порт подключать:
а) если их много и они рядом, то конечно медными шнурками в выделенный свич, даже можно тупой, туда же управляющий комп.
б) если они раскиданы достаточно далеко по территории (>100 м по кабелю) и по одному, можно разориться и удлинить линк по оптике - да затратно, но если очень надо в надежность...
в) ну а если таких портов нет , или нет бюджета на выделенные линки, то и выбор очевиден на каждом свиче L2/L3, создавай выделенный VLAN под управление самим свичом и отдельно VLANы под юзверей и прочее.
к тому же здесь под управление не нужна большая пропускная способность, вполне можно использовать те же физические порты аплинки и даунлинки, но желательно, настроить под них QOS и зарезервировать минмальную полосу пропускания.
Делать SVI интерфейс и давать ему ИП-адрес на свичах L2 имеет смысл только в VLANе под управление , пользовательских лучше не стоит. на L3 вероятно придется сделать - но постараться обрезать доступ к CLI через списки доступа.
на пользовательских портах естественно только port access нетеггированые и vlanы только юзерские, в примере это 40 и 50,
а на аплинках и даунлинках к другим свичам делай теггирование всех vlan и юзерских и управление свичом - в примере 40,50,60 и прокидывай их все в вышестоящий коммутатор/роутер. ну а там опять списки доступа. в каждый VLAN.
с роутерами/файрволами , в принципе всё тоже самое, если он не совсем дешманский, для управления можно настроить или отдельный физический порт уровня L3 или так же отдельный внутренний VLAN и SVI на нём с отдельным ИП, не забыв настроить правила доступа или запрета со всех нужных зон WAN, LAN, DMZ .
Даже дешёвые Д-линки это умеют.
