Ну, если образно сравнить некий сервер с черенком вилки, а порты отделов с её зубьями - то представим себе , скажем, 5 вилок (пять серверов), доступ к которым могут иметь те или иные отделы, вразнобой.
То есть совершенно произвольно - допустим, отдел номер 4 имеет доступ к красному, сиреневому и синему серверу, в то же время отдел номер 3 - к сиреневому, жёлтому и бордовому, итд.

Получается, что каждый порт отдела может учавствовать в нескольких VLAN ах - но я не уверен, что этот термин тут применим, мы же прописываем правила сегментации траффика?
В общем - сколько правил может быть прописано для каждого порта максимально?
==============
Пока что ждём-с оборудование. Ещё не привезли. Поэтому молчу.

И максимально, и немаксимально - на один ingress (входящий) порт - одно правило сегментации
Внутри правила указывается произвольный список egress-портов (исходящих).

Объясните почему не будут работать ассиметричные вланы в данном примере?

Я не имел в виду, что оно не будет работать ВООБЩЕ.
Просто из контекста предыдущих сообщений становится понятно, что человек впервые сталкивается с подобной задачей, а опыта и теоретических знаний пока недостаточно для адекватного самостоятельного её решения. Идем далее: ассиметричные VLAN'ы - вешь сама по себе крайне мутная, в стандартах не описанная - тут и профи может поплясать с бубном, прежде чем оно заработает желаемым образом.
Именно из этих предпосылок я и "выкатил" своё заключение, что В ДАННОМ КОНКРЕТНОМ СЛУЧАЕ с ассиметричными VLAN'ами лучше не связываться вовсе, поскольку риск получения неработоспособного решения очень велик.

позвольте полюбопытствовать, а что данные схемы не получится решить обычными средствами VLAN 802.1Q?

С 802.1q всё очень даже получится.
Просто изначально поставленная задача в своих условиях оговаривает работу исключительно с нетэгированным трафиком.

изначально нетегированным вне коммутатора? а ведь внутри коммутатора все пакеты являются тегированными? разве это все внутри одного свич нельзя разрулить при помощи dot1q? помоему данную схему сможет обычный 2108.

Разве что только в режиме port-based-VLAN; только, если я ничего не путаю, эта функция в новых ревизиях исключена.
А на dot1q решить данную задачу без привлечения устройств, работающих с тэгированным трафиком (вне коммутатора), невозможно (ИМХО).

Есть прошивка для новой ревизии, которая поддерживает Assymetric VLAN.

хм...а помоему то что может port-based по определению может 803.1q, т.к. создавалось оно в расширение функционала первого.

вот же - все просто.

port 1 pvid 10
port 2 pvid 20
port 3 pvid 30

ports |1|2|3|
VLAN 10 |U|U|U|
VLAN 20 |U|U| |
VLAN 30 |U| |U|

сервер на подключен в порт 1.

поправте меня, если ошибаюсь

По стандарту 802.1q порт может быть как untagged в одном VLAN-е. То что вы привели это перекрывающиеся нетегированные VLAN.

т.е. на свиче со стандартной реализацией 802.1q это не заработает? а как тогда правильно называется расширение, которое должен поддерживать свич? и модель еще если можно которая это умеет.

это вы про какой свич написали?

У нас это называется Assymetric VLAN. Есть в DES-2108 rev.B1.

а примерно с какого времение выпускается эта ревизия (нет возможности оббежать все комутаторы и посмотреть)..и какая прошивка необходима.. или тут дело в железке? это случано не та новая модель в пластиковом корпусе?

..а как обстоят дела с 2110?