首先，您应该定义分段策略，首先定义您想要拥有的广播域（即 VLAN 和相关子网）。在企业网络中，最广泛的参考是 PCI DSS：https ://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf#page11

无论如何，您可能不需要如此正式和严格的方法，但仍然需要定义您想要拥有的网络以及它们之间如何进行通信。

如果我正确地阅读了你的问题，你想要：

• 上市
• 工程
• 办公室
• 网络电话
• 服务器（实际上仅适用于打印机）

如果您不了解您的环境，我不能说您是否过度工程，无论如何我认为对于大多数小型网络来说它可能非常复杂。例如，仅用于打印机的特定网络可能是过度工程，但假设它可以在新的数据库/文件/网络/任何服务器的情况下轻松扩展。附带说明一下，限制特定用户访问打印机是我通过身份验证而不是网络安全来管理的。

此外，通过查看您的架构，连接到您的 Peplink 的 802.1Q 交换机似乎是这些网络相遇的唯一点，唯一不包括电话 (voip)。如果是这样，（不包括电话）您不需要分布在多个交换机中的 VLAN，这会降低 STP 之类的效率，您只需要一个路由器/防火墙。

当您希望工程师连接到左侧交换机的一个端口（公共）时，VLAN 很有用，而办公室的某人在底部的 2 个交换机之一（似乎分配给架构中的工程），例如实例。

换句话说，如果我正确理解您的要求，您为什么不在画 802.1q 交换机的地方放置一个具有 5 个接口的防火墙，将 VoIP 服务器和打印机放在服务器 LAN 中？在防火墙上，您可以定义这些网络之间的通信策略。

值得注意的是，VoIP 流量通常没有加密，如果您担心从办公室嗅探电话并进行工程设计，此解决方案可能不是最佳选择。

最后，为了平衡 WAN 流量，存在许多技术来将公共网络从特定链路中排除；老实说，我不了解 Peplink，但是对于 Cisco，您可以使用例如源/策略路由。

在处理设计问题时，我始终遵循KISS 原则——保持简单。我假设我的哑交换机是第 2 层交换机 - 所以称它们为第 2 层交换机。当你称他们为哑巴时，他们会生气。

该图显示了 2 个远程站点，这增加了您帖子中未提及的复杂性。ip 电话设备通常位于唯一的 VLAN 上，因此这符合您希望所有电话都能访问其服务器的要求。

在隔离工程计算机方面，您当然可以这样做，然后您将在它们与其他计算机之间建立第 3 层边界，...但是为什么呢？安全？您是否要启用一些基于网络/路由器的安全性？如果是这样，是什么？我在这里暗示 KISS 原则。你真的需要做这一切吗？对 LAN 进行分段的一个显着的基本原因是寻址/DHCP 服务器的限制。那么，局域网上有多少台电脑呢？如果不超过 250 个左右，您可能会重新考虑增加复杂性。简单的第 3 层边界不是重要的安全措施。

希望有帮助。