rsaf
Já tohle řeším podobně - jen s výjimkou, že se snažím (samozřejmě dle velikosti sítě a provozu) vyloučit L3 switch a mezi jednotlivými VLANy točím provoz v rámci toho firewallu (např. 1 SFP+ port s trunkem s VLANy uživatelů + 1SFP+ port s trunkem VLAN k serverům popř. LACP). Samozřejmě je nutný si dát pozor na konkrétní uspořádání té krabice (jaký porty uměj HW akceleraci, nepoužívat interní switch, apod.). Pak mi stačí L2 switche.
Např. přístup uživatelů na mail server ženu vždy přes UTM vč. deep inspekce (certifikát podepsaný na AD, PC v doméně mu důvěřují, není žádnej problém s vyjímkami apod.)
U nás máme jen 4 servery, který můžou navazovat spojení do VLAN uživatelů - AD řadiče, Radius a dohled. Nevidím důvod to otvírat pro všechny.
