Moin,
den Vergleich zu Switch und Hub zu ziehen finde ich in diesem Zusammenhang unpassend.
VLANs dienen dazu Netze voneinander abzutrennen. Und zwar in dem Maße, dass keine der Parteien am jeweiligen Endpunkt daran etwas ändern kann. Damit sind VLANs in erster Linie als Sicherheitsfeature zu betrachten.
Reguläre Switche im klassischen Sinne (dumme Layer 2 Dinger) können routen. D.h. sie können entscheiden welches Paket wohin muss (solange das eigene Netz nicht verlassen wird). Und sparen sich somit das unnötige Schicken aller Pakete an alle Endgeräte wie es HUBs tun. Damit ist dies also eher als Performancefeature zu betrachten.
Nun muss man fairerweise zugeben, dass das passive Sniffen auf der Leitung natürlich weniger ereignisreich ist, wenn nicht mehr alle Pakete bei einem vorbeikommen. Und damit irgendwo auch wieder ein Sicherheitsgewinn ist. Aber im Vergleich zu VLANs ist das marginal.
Wo genau ist nun der Unterschied?
Zwei Netze (1.0 /24 & 2.0 /24) auf einem dummen Layer2 Switch werden sich nicht sehen. Sauber konfiguriert wird das auch niemals zu Problemen führen. Entscheidet sich jedoch ein Client aus 1.0 /24, dass er nun im Netz 2.0 /24 mitspielen möchte reicht es aus, einfach die eigene IP zu ändern. Bums, aus, fertig. Schon sieht er den anderen Traffic und kann dort alles machen. Und das kann ein Sicherheitsrisiko sein.
Sperrt man stattdessen die beiden Netze in verschiedene VLANs können die Endpunkte beliebig ihre IP Adresse ändern. Sie werden ihr logisches Gefängnis des VLANs aber nicht verlassen können.
Warum erzähle ich das?
Weil die Menge deines Traffics auf deinem Kabel in der Regel nicht von den VLANs abhängt, sondern von der Art wie du dein Netzwerk gestaltet hast. Hast du alles in einem Netz und können alle Geräte sich sehen? Dann ist das aus Performancesicht super. Weil jedes Paket immer die kürzeste Route nehmen kann. Sicherheit ist dann halt nicht so stark gegeben.
Hast du bereits verschiedene Netzbereiche wenn auch ohne VLAN Trennung, dann wird der Switch das sowieso nicht routen. Und das Paket muss über eine zentrale Instanz (Firewall) die dann NAT macht.
Die Menge an Traffic im Vergleich zur Trennung mit VLANs bleibt dann aber ziemlich identisch.
Das ist später einfach eine Abwägung was einem wichtiger ist. Mir persönlich ist eine saubere Trennung mehr wert. Den Übergabepunkt von einem Netz in das andere (die Firewall) kann ich immer noch hochjuppeln und z.B. mit 10G Ports ausstatten.
Aber kann der Unifi Controller nicht eine Statistik zur Auslastung einzelner Ports anzeigen? Das wäre ja genau das was du suchst. Dann hast du einen genauen Wert und musst auch nicht rumraten. Vor allem ist es dir möglich präventiv Anschaffungen zu planen wenn du siehst, dass es eng wird.
PS: Ja ich weiß. Switche können auch VLANs durchrouten. Aber ich denke das führt hier zu weit.
Wenn du noch Fragen hast, sag Bescheid.