Sim, esse tipo de segmentação de serviços lógicos é realizado em redes industriais e ultra-seguras, embora raramente em implementações de pequena escala como uma rede SOHO. As VLANs não são por natureza uma barreira de segurança em si mesmas. As redes de grande escala precisam dividir seu domínio de broadcast em segmentos muito menores, para fins de eficiência, mas, para fazer isso, você costumava fazer essa alteração no hardware, o que geralmente custa mais. As VLANs são uma tentativa de permitir que os domínios de broadcast flexíveis sejam criados em soft / firmware em vez de puramente via fiação.
Você ganha algumas vantagens relacionadas à segurança ao segregar a vlan de gerenciamento
- Ele não está exposto a ataques de camada 2 que ocorrem em outras vlans (embora o switch explorações de comportamento como uma inundação de ARP provavelmente exporiam todas as vlans, a menos que o fabricante tenha uma mitigação no lugar).
- Você pode fazer o firewall da vlan de forma que apenas as estações locais possam acessar os serviços de gerenciamento e exigir esse controle do próprio roteador, além dos firewalls do servidor.
- A vlan de gerenciamento terá muito menos tráfego e seria um bom local para implantar um IDPS ou outras ferramentas de monitoramento sem espelhamento de porta desajeitado.
Existe algum custo significativo, no hardware e no tempo de gerenciamento.
- Todos os seus servidores precisariam de vários nics e cabeamento (ou muito alto end nics with vlan features), para que você possa vincular os serviços do cliente um e os serviços de gerenciamento, por outro.
- Você precisa de um roteador bem strong para não notar um atraso prejudicial em seus serviços.
- Sua administração de DNS e IP se torna 4 vezes mais envolvida, e haverá alguma administração de firewall e gerenciamento de roteamento necessário.
- Alguns serviços exigirão que a configuração especial fique visível para todos os hosts, e o material avahi / zeroconf pode não funcionar direito.
Em sua rede hipotética, a conexão de cada host a um serviço de lan teria que ser roteada para a rede de serviços e novamente. enquanto o hardware dos roteadores é comutado, o roteamento é um processo muito mais complicado do que a simples comutação da camada 2 e é parcialmente baseado em software. Ter um roteador no meio da funcionalidade principal da LAN pode ser prejudicial, em termos de desempenho, suporte a protocolos e visibilidade de serviços, portanto, um roteador SOHO barato provavelmente não é uma boa escolha para essa função.
Portanto, em resumo, sim, grandes empresas e sistemas ultrasseguros, como redes bancárias ou SCADA, segmentam seus serviços / operações a partir de seu gerenciamento e fornecem alguns benefícios. Os custos, no entanto, podem superar os benefícios em uma implantação de pequena escala. Tudo depende de quanto tempo e dinheiro você quer gastar.