我喜欢将广播域保持为“标准”/24，这对我来说一直很好。将部门分成不同的 /24 是一个好主意，它使您的防火墙规则和 ACL 更容易。我喜欢将打印机和其他垃圾放入不同的 L2 网络，只是为了让事情更整洁。管理流量进入另一个也是如此。L3 漫游在 WiFi 上很好，因为您可以保持部门/子网逻辑在那里工作。请记住在您的网络之间留出增长空间，例如为每个部门分配一个 /22，并为它们分配第一个 /24。如果该部门增长，您可以轻松分配另一个 /24，如果您做的一切正确，则无需更改任何防火墙规则。

这是一个很好的问题，因为这种情况涵盖了数以万计的企业。遵循 KISS 原则总是一个好主意。您希望 LAN 成为 LAN。因此，您希望所有 VLAN 可用于所有交换机。实际上，这意味着上行链路（连接交换机的链路）是中继链路。这样，例如，如果您需要将端口放在 OUTSIDE VLAN 上，您只需将该端口分配给该 VLAN。

至于 WiFi，我建议坚持使用第 2 层实现，除非您有充分的理由不这样做。同样，WiFi 是第 2 层连接，因此保持原样。

至于 VLAN 和 WLAN (SSID)，请将它们保持在最低限度。您不应该需要超过 4 个左右的 VLAN - 可能是 INSIDE、OUTSIDE、DMZ、GUEST。内部和访客 WLAN (SSID)。

这将为您的每个需求提供一个良好的基准，无论您的校园大小。 http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-campus/index.html