Servus miteinander,
also ich bin jetzt auch kein Netzwerk-Überflieger im Sinne von "gelernt", aber muss mich beruflich doch täglich damit beschäftigen.
Die Sache mit dem "Musiker VLAN" finde ich ganz sympatisch. In diesem VLAN könnte z.B. ein DHCP Server werkeln um die Adressen an die Personal Devices der Mukker zu vergeben. Außerdem könnte man dann mittels Routing z.B. den Zugriff auf das Mischpult gewähren, aber Zugriffe auf den Recording Rechner, das Lichtstellpult etc. unterbinden; das erspart den Geräten ein wenig Stress auf dem Netzwerkinterface, falls irgendwelche Automatisierungen wie z.B. UPnP oder Bonjour ihr Unwesen treiben.
Es stimmt schon, wenn "untagged" Ports in irgendeiner Weise miteinander verbunden werden (z.B. über einen falsch konfigurierten, bzw. nicht konfigurierbaren Switch), dann ist das für die Katz.
Zwischen die VLANs gehört also immer ein Router. In diesem Router steckt dann auch die Firewall. Und so bekommt man die Netzwerke sauber voneinander getrennt. Über die Regeln im Router und in der Firewall kann man jetzt ganz gezielt Datenpakete die für ein Ziel in einem anderen VLAN bestimmt sind "durchleiten", also eben routen.
Bei der Konfiguration dieser Stunts hängt sich mein Hirn dann doch regelmäßig aus. Ich habe schon verschiedene Router konfigurieren dürfen, und bei jedem Hersteller ist das komplett unterschiedlich gelöst - obwohl man technisch immer das Gleiche macht, weil das Alles so standardisiert ist wie etwas nur standardisiert sein kann.
Zur vollständigen Verwirrung stecken die ganzen "Werkzeuge" (Switching, Routing, Firewall, DHCP Server, Quality of Service usw. usf.) oft in einem physischen Gerät. Wohl dem, der ein sehr gut dokumentiertes Gerät hat, sprich Profi-Equipment oder Systeme mit dem Open Source Betriebssystem openWRT.
Um zur Ausgangsfrage zurück zu kommen:
"Best practice" Empfehlungen sind schwierig.
Wer Lust auf Netzwerkkonfiguration hat, der kann ein großes "Produktionsnetz" bauen und mit den oben genannten "Werkzeugen" eine sehr feingliedrige Zugangsverwaltung erzielen. Das macht vielleicht eher Sinn, wenn viele Teilnehmer zu erwarten sind. Dann kann man unbekannte, mitgebrachte Geräte relativ schnell in sein Netzwerk aufnehmen und per Mausklick die "Berechtigungen" konfigurieren. Nachteil: man muss echt wissen was man tut, sonst wird die Baustelle schnell frustrierend für alle Beteiligten.
Daher sieht die Praxis oft einfacher aus: jedes Gewerk baut sein eigenes Inselnetzwerk, und zwar auf Layer 1 (sprich: jeder bringt seine eigene Hardware mit).
Um ein grundlegenderes Verständnis zu bekommen hat mir die Präsentation "Introduction to IP Networking for AV Systems" von Audinate ziemlich geholfen. Das Dokument findet man inzwischen als Online Kurs, wenn man sich bei Audinate zur Dante Zertifizierung durchklickt. (Früher war das einfach ein Google Dokument, das man verlinken konnte.)
Grüßle, Schorsch