Шлюз с несколькими IP-адресами VLAN на одной сетевой карте

Я хотел бы отделить несколько хостов от локальной сети и поместить их за брандмауэром. Я хотел бы использовать VLAN для «физического» разделения вместо использования просто разных подсетей. Моя идея состоит в том, чтобы использовать коммутатор, поддерживающий VLAN, и построить сеть следующим образом:

P1 и P2, P3 и P4 — это четыре разных узла, принадлежащих двум отдельным «физическим» сетям (VLAN 1 и 2). Они должны быть защищены брандмауэром/шлюзом на P5.

P5 должен действовать как брандмауэр/шлюз, контролирующий данные между отдельными хостами и существующей сетью. У него есть только одна сетевая карта, которая должна подключаться к существующей сети (без VLAN) и две VLAN.

P6 — это восходящий канал к существующей сети.

Мои вопросы сейчас:

1. Может ли эта идея работать так, как ожидалось (при правильной конфигурации), то есть хост на P5 может иметь несколько IP-адресов/быть частью нескольких сетей только с одним сетевым адаптером, что он действует как шлюз/брандмауэр между отдельными хостами и существующим сеть, и если нет подводных камней/недостатков, которые я не учел, которые могут разрешить поток данных между сетями в обход брандмауэра?
2. Я предполагаю, что коммутатор должен иметь возможность поддерживать тегированные VLAN (вместо VLAN на основе портов) из-за P5?

Да, это сработает. Убедитесь, что вы также создали VLAN для подсети 192.168.10.0/24 — на коммутаторе с поддержкой VLAN. все это VLAN.

На магистрали P5 необходимо либо пометить все VLAN, либо оставить одну VLAN непомеченной. Сопоставьте конфигурацию коммутатора на вашем брандмауэре, либо с VLAN и SVI, либо с «маршрутизируемыми» (суб)интерфейсами L3.

Как отметил @NiKiZe, VLAN 1 имеет особое значение на некоторых коммутаторах (особенно в качестве VLAN управления), поэтому убедитесь, что вы знаете об этом, прежде чем использовать его продуктивно.