Você não pode fazer isso sem um roteador / firewall habilitado para VLAN. Existem várias razões para isso, uma das quais é que o seu servidor precisa de acesso à Internet sem estar diretamente acessível a outros dispositivos que também precisam de acesso à Internet, o que significa que um roteador / firewall é necessário para conectar os dois tipos de dispositivos. >
Se você pensar em cada VLAN como um switch virtual não gerenciado, você estará no caminho certo para entender o problema - ou as portas estão conectadas e podem transmitir livremente uma para a outra, ou não estão conectadas e não podem ver uns aos outros - não há meias medidas.
Você realmente precisa de sub-redes e roteamento - se você colocar máquinas em vlans diferentes na mesma sub-rede, elas não poderão encontrar ou falar umas com as outras. Assim, mesmo que você tenha um roteador, as máquinas não saberão falar com ele quando tentar acessar outras máquinas e, na verdade, não conseguirão vê-lo na maioria dos casos.
Uma porta não marcada pode ser vista como uma porta com uma tag "padrão" - quando você tem uma porta com várias tags, ela carrega os dados dentro de pacotes marcados, portanto, o roteador precisa saber como remover as tags dos dados. ser interpretado. Isso geralmente é feito com um endereço IP separado por VLAN no roteador, com cada endereço na sub-rede associada usada pela VLAN.
(Eu notei que simplifiquei um pouco as coisas, e um especialista pode quebrar algumas regras acima em alguns casos - mas você realmente precisa entender tudo isso e como ele se encaixa antes que você possa fazer isso - e quebrar as regras também não é um bom projeto.
Da mesma forma, embora, na prática, as VLANs forneçam segurança, o uso de VLANs como medida de segurança é um pouco contativo para alguns especialistas)