Разделение LAN по соображениям безопасности с использованием VLAN

Меня попросили разделить тестовую среду в нашей сети, чтобы улучшить нашу безопасность.

В нашу структуру входят:

1 переключатель Dell Power Connect 3448
1 коммутатор Dell Power Connect 2748
Несколько 5-портовых коммутаторов Star Tech (поработайте над расширением нашей кабельной структуры)
1 брандмауэр ISA Server 2006

Для выполнения этой задачи я планирую сделать следующее:

Создайте VLAN для тестовой среды и включите необходимые порты в эту VLAN.
Пусть все остальные порты в VLAN 1 по умолчанию (пакеты остаются без тегов), кроме порта, к которому подключен ISA Server.
Настройте порт, к которому ISA Server подключен, как магистральный
Настройте виртуальный интерфейс на сетевой карте ISA Server, чтобы он мог взаимодействовать с VLAN.
Настройте правила брандмауэра на ISA Server, чтобы разрешить только желаемый трафик между LAN, Интернетом и VPN-клиентами.

Является ли то, что я запланировал, лучшим способом сделать то, что меня просили?

Запланированный вами метод отлично подойдет. Я бы посоветовал вам сначала изучить вопрос, может ли сетевая карта на вашем ISA-сервере пятилетней давности поддерживать теги VLAN. Если это невозможно, альтернативой может быть установка второй сетевой карты на сервере и подключение ее к порту доступа в VLAN тестовой среды.

Еще один момент, который следует учитывать: если вы планируете разместить сервер ISA и все новые порты VLAN на нескольких коммутаторах, каналы между коммутаторами также должны быть настроены как транки. Если коммутаторы Star Tech не поддерживают тегирование VLAN, вы можете либо сделать порт, ведущий к одному из коммутаторов Star Tech, портом доступа в новой VLAN, и, следовательно, каждое устройство, подключенное к этой сети Star Tech, будет в тестовой VLAN, либо вам нужно будет убедиться, что все порты лаборатории тестирования входят в коммутаторы Dell.

Надеюсь это поможет!