Вечер добрый
есть три VLAN10 192.168.10.0/24, VLAN20 192.168.20.0/24, VLAN30 192.168.30.0/24, есть физические сервера с IP адресами 192.168.1.100/22; 192.168.2.100/22; 192.168.3.100/22
Как правильно настроить чтобы с VLAN-нов был доступ к физическим серверам?

нанять админа

Мде, vlan это 2-й уровень OSI, т.е. на уровне Ethernet и с ip не связан
ip подсети - это третий уровень,
в твоем случае на коммутаторе порты серверов должны принадлежать VLAN10-30
ну и настроить маршрутизацию из 192.168.10.x в 192.168.1-3.x

1. для виланов нужны тегированые  пакеты (то есть на сетевом оборудование это должно быть проброшено)
2. далее настраиваешь роутинг

(3) +
сетевое все сетевое оборудование должно подерживать виланы (что для дешевого оборудования далеко не всегда имеется)
и должна быть настройка всех нужных портов на доступ виланов (на всех маршрутиризаторорах)

(4) Глупости то не говори. Сетевому оборудованию, типа свичей, не обязательно знать о вланах ничего, но они будут нормально такой трафик пересылать.

(5) только они его,в том числе и кому не нужно,тоже будут пересылать.

(6) Нет. Ну погугли для начала.

Я это настраивал,неуправляемый свитч шлет все и всем,в частности,широковещательные пакеты,то,сто они режутся самой картой,не значит,что их не шлют.

(8) <неуправляемый свитч шлет все и всем>
это хабы так делали, свичи держат мак таблички и шлют только то кому что нужно

(9) еще раз говорю,что широковещательные и групповые пакеты шлются всем.
Обычные пакеты посылаются только тому,кому это нужно.
Но,для заполнения ARP таблицы делается запрос соответствия ip-адреса Mac-адресу и он широковещательный.

(10) справедливости ради, любая железка будет слать arp  запрос по всем своим портам если в таблице нет адреса, даже если это очень очень умный роутер...ну кроме разве что статических таблиц

да и вообще, использование неуправляемых свичей в сети с виланами, которые выходят за пределы коммуникационного оборудование - крайне странно, это поиск приключений на ж.. в плане граблестроения

(11) так то бывают порт бейзед вилан, где то на грани разумности)

(11) если запрос пришел в сеть с одним vlan,то его и получат только порты,на этот vlan прописанные,а не все.

тут проблема в том, что оборудование меняет пакеты, например тегирование QOS, или шифрование, или подмена мак адреса для NAT, или специальные "дописки". Если роутер шлет один в один - то вланы как правило работают без проблем, а вот только когда появляются "дописки", всему железу обязательно нужно сообщать метки vlan (всех которые будут через него идти), и без разницы широковещательный это пакет или нет...

(15) тут еще прикол в том что vlan это не один стандарт, а каждый во что горазд, и какойнить nortel может не переварить vlan от cisco

(15) не только, бывает, что свитч обрезает метки Vlan (на старом оборудовании такое было сплошняком)

(15)если меняются ip адреса,то это третий уровень,и у вас идут совершенно другие пакеты,а роутер,который меняет,ничего про vlan не знает - он получает ethernet-пакет,достает из него ip-пакет и работает уже с последним,а при отправке в другую сеть собирает новый ethernet-пакет на основании измененного ip-пакета.

Конечно,можно на входе vlan преобразовать в метку пакета,а на выходе - обратно,но это уже костылирование.

(18) Самый простой костыль это умный роутер с правилами маршрутизации на основе iptables
Задача ТС этим вполне решается в связке с грамотным админом

А,кстати,вопрос,а точно тегирование есть?
А то может быть,под термином vlan просто скрывается выделенна подсеть?