Разработка расположения защищенной сети

За последние несколько лет я накопил много аппаратных средств, что все в настоящее время существуют в однородной сети. Существует много устройств: мой рабочий стол, ноутбук и компьютеры остальной части людей, я живу с, разработка и сервер мерзавца, сервер резервного копирования, сервер, выполняющий httpd и mysqld в изолированных lxc контейнерах, которые у каждого есть их собственный routable дюйм/с.

Я просто недавно наследовался (не ужасный) управляемый коммутатор, и я хотел бы создать намного больше расположения защищенной сети, я, как действительно ожидают, не буду подвергшимся нападению, но в ближайшем будущем я собираюсь начать работать над намного более сложными сетями, чем я привык к, и я хотел бы войти в него немного сам, таким образом, я не огорошен.

Я приезжаю в это от мышления программистов, так как я начал играть с Linux как ребенок, я всегда работал над однородной сетью дома, я получаю подсети и VLAN (своего рода... меньше последних) и dhcp и материал, но я никогда действительно погрузился серьезно в структуру сети, потому что аппаратные средства, чтобы сделать такую вещь были препятствующими стоимости.

Таким образом, здесь мы идем от моей очень наивной сетевой безопасности, я пытался соединить своего рода схему того, что я думаю, работал бы

Позвольте мне объяснить, почему я думаю, что это работало бы и если можно исправить мои взгляды или предоставить лучшие решения, сделайте!

Я хочу выделить весь свой случайный не-Linux ежедневные машины и те из людей, с которыми я живу от остальной части моего материала в известной степени на отдельном VLAN, главным образом чтобы уменьшить случайные конфликты с совместным доступом к файлам и материалом как этот и также уменьшить поверхность атаки.

Я хочу иметь второй VLAN для содержания всех моих машин Linux, моей git/dev машины, сервера резервного копирования и хоста lxc, который должен был бы иметь доступ к внешнему миру для обслуживания пакета и резервного копирования серверов, которые я поддерживаю во внешнем мире, а также общаются с моим первым VLAN так, чтобы мой сервер резервного копирования мог скопировать от моих машин рабочего стола/ноутбука и таким образом, я могу соединиться со своими dev/backup/lxc серверами через ssh и http на моем dev сервере для доступа к моему интерфейсу gitlab.

Затем у меня есть третий VLAN, это - то, где вещи становятся странными и путающий для меня. У меня есть два контейнера на моем хосте lxc, каждый из них имеют их собственного routable дюйм/с, которые в настоящее время доступны в моей однородной сети, что я хотел бы сделать, дают им статического дюйм/с, которые существуют в VLAN, который существует на коммутаторе, который является отдельным от других двух. Теперь я немного смущен, потому что это был бы своего рода виртуальный VLAN, так как это не будет на самом деле присвоено никакому порту на самом переключателе (я - вид предположения, что некоторые управляемые коммутаторы действительно имеют эту функцию, и я только вытащил его из задницы). Этот VLAN только предоставляет http доступ снаружи, это - VLAN на данный момент, так как мне не нужно к ssh в эти контейнеры, так как я могу спровоцировать консоль через хост lxc, и добавляющий ssh только добавит другую поверхность атаки (в моем уме так или иначе)...

Так... это все имеет смысл? Не стесняйтесь рассматривать меня как идиот, администрирование сети является совершенно новой темой для меня вне однородных сетей! Thaaaaanks

Править: В случае, если требуется знать переключатель, я имею, TP-LINK TL-SG2216, но я отчасти больше интересуюсь теоретической стороной сети/безопасности