Servus,

wenn ich 2 (oder mehr) Netzwerkclients vom Internet (und sonstiger Kommunikation) in einem großen Netzwerk trennen will, dann reicht das doch diese in ein eigenes VLAN zu stecken, allerdings keinem Router dieses VLAN zuzuweisen? Die Switche geben die Pakete der Clients weiter untereinander, aber da kein Router "vorhanden" ist kann man auch nciht aus dem Netzwerk raus oder rein.

Richtig?

Eigl nicht, würde aber trotzdem die ACL mal checken um zu schauen was erlaubt ist und was nicht.

Einfach keinen Standardgateway angeben.

Wenn du alle Geräte unter deiner Kontrolle hast, reicht es eigentlich auch nur ein extra Netzwerk mit begrenztem Subnet zu nutzen.

Also wenn du aktuell 192.168.0.0 mit Subnetz 255.255.255.0 nutzt, kannst du die zu trennenden Rechner einfach in das Subnetz 192.168.1.0 mit gleicher Subnetzmaske werfen und beide Netzwerke sehen sich nicht.

VLAN ist dann sinnvoll, wenn du die Geräte nicht kennst und z.B. jemand einfach das Subnetz ändern könnte. VLAN forciert die Trennung logisch im Switch. Da gibst du auch kein Gateway an.