Я использую VLAN с правилами межсетевого экрана L3 для разделения полностью контролируемых серверов (я устанавливаю ОС, приложения и т.д.) от серверов, контролируемых поставщиком (они устанавливают свою ОС, приложения и т.д.). Все серверы взаимодействуют друг с другом при необходимости, а правила межсетевого экрана ограничивают отправляемые данные. Я пытаюсь лучше изолировать серверы, контролируемые поставщиком, друг от друга. Однако все серверы, контролируемые поставщиком, находятся в одной VLAN. В этом случае между ними нет межсетевого экрана L3. Я могу настроить L2-изоляцию, но некоторым нужно взаимодействовать друг с другом, поэтому мне придется разрешить L2-доступ, что сводит на нет саму цель. Цель состоит в том, чтобы защититься от вредоносного сервера, получающего доступ к другому/злоупотребляющего им и выносящего конфиденциальные данные. Я могу настроить их все в отдельных VLAN и заставить L3-маршрутизацию с межсетевыми экранами, но мне кажется, что это излишне сложно. Какова лучшая практика для достижения этой цели?