Товарищи, подскажите правильное решение.
Есть корпоративная сеть, в ее центре стоит коммутатор Cisco SG300 (L3). На нем создан набор вланов для функционального деления сети (влан для видео наблюдения, влан управления, влан для телефонии, влан в сторону пограничного маршрутизатора и т.д.), при этом этот коммутатор является для всех вланов шлюзом по умолчанию.
Далее за центральным коммутатором стоят коммутаторы доступа Dlink DES-1100 (L2), в которые подключены клиенты (рабочии станции, телефоны и т.д.).
На схеме оборудование указано не то, что установлено. Представлена примерная часть сети.
Хочется получить на серверах и инфраструктурном оборудовании (везде, где возможно) manegement подсеть (vlan_mgm 111), чтобы ограничивать доступ к управлению серверов и инфраструктурного оборудования. Пример с рисунка - Server0 предоставляет свои ресурсы пользователям через интерфейс подключенный к vlan_user 222, а управление осуществляется через vlan_mgm 111.
Проблема в том, что такая топология не работает в случае, (черт, не могу объяснить нормально) на картинке это Server0 -- PC-admin. PC-admin не может получить доступ к адресу сервера Server0 192.168.111.2, я подозреваю, это связано с тем, что пакеты уходят по следующему пути 192.168.222.5->192.168.222.1->192.168.111.1->192.168.111.2 а возвращаются другим путем 192.168.222.2->192.168.222.5.
Отсюда вопрос - как же разрулить эту ситуацию? хочется и рыбку съесть, и косточкой не подавиться.
P.S. Навскидку нашел решение - PC-admin имеет адрес в manegement подсети, это решение мне кажется плохим при большом широковещательном домене manegement подсети. В какой-то момент эту подсеть придется делить на мелкие и проблема вернется.