我正在设计一个基本上需要分离员工网络和客户网络的网络。客户端当前有一个标准的 ISP 调制解调器/路由器，它没有 VLAN 功能或任何分离流量的能力。我建议我们只需要一个处理一个网络（访客/客户网络）的 EdgeRouter，然后 ISP 路由器将处理私人员工流量。

我们无法移除 ISP 调制解调器，因为调制解调器当前执行 SIP，而 ISP 不提供 SIP 详细信息，这就是为什么我必须在设计中保留 ISP 调制解调器的原因。

概念设计：

ISP 调制解调器/路由器 -> EdgeRouter -> 接入点

网络：

ISP 调制解调器/路由器：192.168.15.1/24 - 主 WAN 路由器。员工局域网，会有一个SSID。直接连接到 ER 上的 Eth0。

EdgeRouter Eth0：192.168.15.2/24 - WAN 接口

EdgeRouter Eth1：172.16.0.1/24 - VLAN100，LAN 接口

Ubiquiti 接入点：172.16.0.2/24 - 将所有流量标记为 VLAN100

防火墙规则允许从 172.16.0.1 访问互联网并返回，但没有其他网络需要通信并且基本上不应该看到彼此。

我确实了解 VLAN，但我不确定 VLAN 是否必要，因为无论如何这两个网络都将在不同的子网中运行。无论如何，将它们划分为 VLAN 会更好吗，因为有人可以更改设备上的 IP 以匹配另一个子网？但我不想让网络过于复杂，只需要一个接入点。我是否正确设计了这个，还是应该改变一些东西？

真的很感谢大家的意见！