概念：

VLAN：同一交换机或多个交换机上的联网设备（也有不同的 IP 地址范围）的逻辑分离，这样一个 VLAN 的用户就不能与其他 VLAN 的用户通信，除非有路由器（第 3 层设备）路由它们之间的流量。

中继链路：承载多个 VLAN 的网络链路。对每个 VLAN 的流量进行标记，以便另一端知道哪些流量进入​​哪个 VLAN。如果另一端是只需要一个VLAN的设备，它会取相关流量，忽略该流量。

棒状路由器：它是一种第 3 层设备，能够在不同 VLAN 之间路由流量，但它只有一条物理链路。流量通过链路上的中继到达路由器，并在同一链路上从一个 VLAN 路由到其他 VLAN。

UTM：统一威胁管理框，提供防火墙、路由、身份验证、反恶意软件、Web 过滤、访客用户身份验证等。

您的基本要求是：

• 在 7 座建筑物中的互联网接入，这些建筑物之间的距离超过 120 米。你有一个可以上网的主楼。（UTP 电缆不是建筑物连接的选项）

• 除了临时用户在这些建筑物中的正常用户访问权限之外，您还需要访客访问权限。

• 出于安全原因，您希望安装安全摄像头并将其流量与用户隔离。

• 您希望每个建筑物的用户与其他建筑物的用户分开，以便您可以控制谁可以看到什么。

• 您需要一个可供您选择的用户使用的中央服务器。

• 我假设您在每个建筑物中的用户都将使用有线和无线网络，因此他们也可以在手机上使用互联网。

在硬件方面，您将需要以下内容：

• 每栋楼一个开关。该交换机可以是第 2 层交换机（只有没有本地路由的 VLAN），也可以是具有路由功能的第 3 层交换机。选择标准取决于您要寻找的设置类型。在第 2 层交换机的情况下，所有流量将始终通过无线链路发送到主楼中的网关，如果流量是垃圾，导致无线链路上不必要的流量占用您宝贵的带宽，除非您拥有高容量无线链路。另一方面，第 3 层交换机可以设置为在本地过滤一些流量并阻止通过无线链路的任何不必要的流量。每个 VLAN 都会有它'

• 对于无线设置，您将需要一个或两个全向天线接入点，具体取决于 AP 的无线容量、要连接的建筑物的位置以及建筑物之间视线中可能存在的障碍物。在安装无线网络之前，您应该请专业人士为您进行调查。连接多个建筑物或您将拥有多个 VLAN 的建筑物的 AP 必须支持多 VLAN 中继，以便您可以将每个站点置于一个或多个 VLAN 中，而不是所有站点的一个平面 VLAN。

• 您将需要在主站点中使用具有防火墙功能的第 3 层设备，以便您控制允许哪些流量/用户去往何处。该SOPHOS自由框是一个不错的选择，如果您的用户数少于50否则你将不得不购买，让你所期望的功能您选择的另一个。我建议您选择 UTM 以使您自己更轻松。

• 无论出于何种原因，您都需要根据您的需要使用服务器，并将其放在主楼的开关上。最好将它放在单独的 VLAN（具有不同的 IP 范围）上，以便更好地控制哪些用户可以从不同的 VLAN 访问您的服务器。

• 无论是否带有控制器，您都需要为每个建筑物提供室内接入点。如果您有很多无线网络并且需要经常对无线网络进行大量更改，则控制器将有助于管理 AP。我认为您的情况并非如此，您可以在没有控制器的情况下进行。只需将无线用户与有线用户保持在不同的 VLAN 上即可。此外，您可以有不同的无线 VLAN 用于临时访客访问。

• 您将需要进行内部布线，并在预算允许的情况下安装接线板和机柜。

这是您要求的基本设计。