您真正需要的是防火墙：将您的受信任设备与不受信任的设备分开。

使用路由防火墙允许您分离所有第 2 层流量，并控制通过路由器允许的内容和不允许的内容。

最好与大学的 IT 部门一起制定详细信息。如果上游网络无法识别/支持您的路由器和单独的网络，您需要使用 NAT：将您的“私有”IP 地址转换为一个（或可能更多）可识别的“公共”地址并返回。

VLAN 只允许您在“私有”和“公共”端使用单个交换机（结构），同时保持逻辑上的分离。没有路由器和防火墙，您将只有两个网络，没有任何通信。

编辑：对不起，我还没有得到房间互连不可信位。基本上，有三种方法。

1. 使用四个透明防火墙，仅允许通过 IP 地址从其他房间之一进入每个房间的流量。此外，允许到 Internet 的流量。这种方法最不安全，因为外部可能会欺骗内部 IP 地址。
2. 如果你有IT部门的配合，你可以建立自己的无人干扰的VLAN。通过防火墙将该 VLAN 连接到大学网络。这个漏洞是您需要信任 IT 团队，因为他们可以在您不知情的情况下配置 VLAN。
3. 无需 IT 部门的合作，您就可以建立 VPN 链接 - 实际上是一个覆盖网络。每个房间都需要一个 VPN 路由器，将您信任的流量传输到不受信任的区域。这种方法是防水的。此外，您还需要一个防火墙来控制与大学网络的流量。

免责声明：您在未经适当人员同意或适当授权的情况下所做的任何事情都需要在大学的安全政策范围内得到允许。违反这些可能会使您面临严重的后果。

您可能知道 Windows Server 的Internet 连接共享功能——它不能替代拓扑图中的交换机和无线接入点，或者在大学的设备上具有单独的 VLAN。

我建议与您的 Uni 的 IT 部门合作，根据您的需要规划合适的安装。无论如何，您需要与他们合作以配置上行链路；那时，他们可能想要审查和批准您的防火墙选择，如果不是您的整体设计。这通常是为了让他们可以在您需要时为您提供帮助，而不是对用户进行不必要的控制。这意味着他们也可能强烈建议您使用首选供应商制造的防火墙；如果您确实需要帮助，这可能对您有利。