Однозначно, зеркалирование. С кэшем слишком много проблем - надо его как-то чистить, какой-то пакет может побиться, а средств по проверке целостности у кэша нет и т.п.
Если Вам надо "отрезать и забыть" - то можете и на коммутаторе. Если же все-же предполагается потом доступ в этот отдельный VLAN как-то предоставлять (ну или ИЗ него) - то на ядре. Маршрутизация то на ядре? HP, вангую, не L3?
