C'è tanta ignoranza nell'ambito vlan
Gli utilizzi "giusti" sono essenzialmente
1) taggare-cambiare la priorità del traffico, ad esempio VoIP. Questa è la cosa "normale" quando si usano telefoni VoIP
2) segmentare la rete, esattamente come si farebbe ponendo degli switch separati [in questa ipotesi le VLAN NON "si parlano"]. Esempio è una VLAN per le telecamere di sicurezza. Questo ha senso (regole solo per gli "sborroni" e non per i "peones"). Magari una VLAN per gli access point pubblici-clienti (può avere un senso, anche se tipicamente gli access point seri già lo fanno, parliamo di usare modelli caserecci da 50 euro)
3) motivi di sicurezza, ma nel senso di auditing e logging, cioè registrare in maniera più facile cosa facciano gli utenti
4) interconnettere una rete VPN WAN molto estesa (es. rete mondiale di qualche multinazionale)
Poi ce ne sono tante sbagliate
1) "è fico fare le vlan, facciamole" (senza alcun motivo)
2) facciamo tante vlan per i diversi dipartimenti, però poi abbiamo un fileserver, un nas, stampanti etc che devono essere acceduti da tutti, dunque facciamo regole per consentirlo (vlan non servono più a nulla)
3) "fico fare le vlan, facciamole" (è sempre 1 ribadito, al 99% è questo il caso)
4) non so bene perchè farle,ma facciamole comunque
Nel mondo della sicurezza "vera", cioè in ambiti dove non si vuole avere commistioni, si usano... "air network gap", cioè semplicemente switch e router diversi.
Reti separate (esempio semplice)
La rete degli "sborroni" va a uno switch ed a un router.
La rete dei "peones" usa altri switch e altri router.
Nessuno (=con la preparazione necessaria) minimante preoccupato per la sicurezza usarebbe due VLAN uno switch e un router.
Basta riprogrammare lo switch (e solo Lui sa quanti siano i problemi, bug, modalità di riavvio "sicuro" degli switch "intelligenti", Aruba e Cisco e così via) et voilà.
Se invece le reti son fisicamente separate tocca andare in sala server (auspicabilmente chiusa a chiave con telecamera in registrazione h24) per "incrociare" i cavi.
Niente hacking "alla mr. robot"
Versione breve: in ambiti aziendali "normali" (cioè non bancari o assicurativi per capirci) il concetto di VLAN (inteso come magico modo per aumentare la sicurezza, non sapendo bene quale sia la semantica di sicurezza) "cade" immediatamente quando c'è bisogno di condividere una stampante (a dir la verità oggi molto meno, nel senso che la carta sta sparendo, fino a un 3 anni fa CHIUNQUE doveva poter stampare), un server o qualsiasi cosa.
E' evidente che nel momento in cui esistono route tra le VLAN ...beh... tutto può accadere.
D'altronde se le VLAN non colloquiano... server, NAS, stampanti, scanner, telecamere, access point e sticazzi come li usi?
Semplice: non puoi farlo.
Edit: e cosa succede alla risoluzione dei nomi, cioè come faccio dalla VLAN 100 a connettermi al mio bel server (Windows ovviamente) di nome SMB \\ilmiobelserver che è sulla VLAN 102?
Con l'IP, certo.
Ma gli utenti vogliono il nome e -peggio ancora- lo vogliono nell'elenco delle "risorse di rete".
O si pretende che gli utenti scrivano \\10.0.102.32 ogni volta?
Versione suprebreve: non puoi avere la botte piena (connessione a qualsiasi cosa) e la moglie ubriaca (tante VLAN quante stanze ci sono in azienda che non comunicano tra di loro).