现有办公室局域网内的安全局域网

首先：如果您有法律义务提供交通分离，请务必在开始实施之前让具有相应权限的人员按照法律要求签署任何计划。根据具体的法律要求，你可能需要有提供没有共同信任点的物理上独立的网络。

话虽如此，我认为你基本上有三个选择：802.1Q VLAN（更好）和多层 NAT（更糟糕）和物理上独立的网络（最安全，但也最复杂，并且由于物理重新布线而可能最昂贵）。

我在这里假设所有已经连接的东西都是以太网。以太网标准的一部分就是所谓的IEEE 802.1Q，它描述了如何在同一物理链路上建立不同的链路层 LAN。这被称为 VLAN 或虚拟局域网（注：WLAN完全不相关在此上下文中通常代表无线网络并且经常指的是IEEE 802.11变体）。然后，您可以使用更高端的交换机（您可以购买的家用廉价产品通常没有此功能；您需要寻找管理型交换机，最好是专门宣传802.1Q 支持（但要准备为该功能支付额外费用）配置为将每个 VLAN 隔离到一组（可能只有一个）端口。然后，在每个 VLAN 上，可以使用通用消费者交换机（或带有以太网上行链路端口的 NAT 网关，如果需要）进一步分配办公单元内的流量。

与多层 NAT 相比，VLAN 的优势在于它完全独立于线路上的流量类型。使用 NAT，您只能使用 IPv4 和或许IPv6如果你很幸运，还必须应对所有NAT 的传统难题因为 NAT 会破坏端到端的连接（你可以通过 NAT 从 FTP 服务器获取目录列表这一简单事实证明了某些从事这类工作的人的聪明才智，但即使是这些解决方法通常也假设只有一NAT 沿连接路由进行配置）；使用 VLAN，因为它使用以太网帧的附加部分， 字面上地任何事物可以通过以太网传输的数据可以通过 VLAN 以太网传输，并且保留端到端连接，因此就 IP 而言，什么也没有变除了本地网段上可到达的节点集之外。标准允许单个物理链路上最多有 4,094 (2^12 - 2) 个 VLAN，但特定设备可能有更低的限制。

因此我的建议是：

• 检查主设备（网络机房中那排大交换机里有什么）支持 802.1Q。如果支持，然后找出如何配置它，并正确设置它。我建议从恢复出厂设置开始，但请确保这样做不会丢失任何重要的配置。一定要正确告知任何依赖该连接的人，在执行此操作时，服务将中断。
• 如果主设备不支持 802.1Q，找到一些符合您的 VLAN 数量、端口数量等要求的设备，然后购买。然后了解如何配置它，并正确设置它。这样做的好处是，您可以在设置时将其分开，从而减少任何现有用户的停机时间（您可以先设置它，然后移除旧设备并连接新设备，因此停机时间基本上会限制在您需要拔下并重新插入所有设备的时间范围内）。
• 各办公单位使用交换机，或者家庭或小型企业“路由器”（NAT 网关）带有以太网上行端口，以进一步在自己的系统之间分配网络连接。

配置交换机时，一定要确保将每个 VLAN 限制到其自己的一组端口，并确保所有这些端口仅连接到一个办公单元。否则，VLAN 只不过是礼貌的“请勿打扰”标志。

因为到达每个单元的以太网出口的唯一流量是它们自己的（这要归功于您配置单独的、隔离的 VLAN），所以这应该提供足够的分离，而无需您将所有内容重新连接为真正物理上独立的网络。

还，尤其如果你实施 VLAN 或最终重新布线，一定要抓住机会正确地标记所有电缆的单元号和端口号！这将需要一些额外的时间，但将非常值得尤其是将来出现任何网络问题时。查看我继承了一堆乱七八糟的电缆。现在该怎么办？在 Server Fault 上获取一些有用的提示。