[架构设计] 如何设计公司的特殊网络架构（困难模式）

[说明] ：公司目前有 5 条光纤，分别对应 5 条特殊的专线，用于连通特殊内网。
[目标] ：公司的 40 台电脑需要分别连接到不同的专线，无互联网访问需求。
[未来] ：会持续加电脑，同时也会持续加光纤，理论上不超过 10 条光纤（每条代表不同的专线）。

[现有思路及问题] ：
我现在的思路是，每条光纤通过光猫后，直接通过路由器发射 WiFi ，每台电脑安装无线网卡，通过连接不同 WiFi 来访问不同的专线，这样的好处是可以方便的切换专线（需求不大，基本没有切换需求）、并且不需要布线、不需要大量的交换机、不需要复杂配置。

但是后来想了一下，目前工位面积 150 平左右，按照这个思路目前就有 5 个专线 WiFi ，一个互联网 WiFi （员工手机用），后期如果加到 10 条专线，就会出现 10 个 WiFi 挤在这个空间中，由于没有实际操作经验，不清楚 WiFi 间是否会互相影响（即使使用了不同的信道）。

[求解] ：哪位大哥还有不同的设计思路？我估计后面一周就要动手干了。

dko

2024-02-20 16:50:25 +08:00

@1den 按照你现在的情况，建议 31 楼的方案。
5 台服务器接 5 条线，然后搭 VPN Server ，专线上再套一层自己搭的专线。谁需要谁用自己的账号密码拨到那台机器上去，设备都不用买，也不用搞什么网络策略之类的。
wifi 的方案不建议，首先是干扰厉害，并且按照你这个专线的性质，用 wifi 可能是不合规的。

markgor

2024-02-20 17:18:27 +08:00

@GuluMashimaro
这样...我觉得复杂了.......
非要这样做，关键字：DHCP 中为客户端分配不同的网关和 DNS

我想法比较简单，直接路由上 RIP 加 acl2 写个静态，或者 linux 上通过 iptable 和 route 进行配置。
这样
通过 iptable 或 acl2 表，如果源 IP 是 xxxx 母的 IP 是 xxxx ，就通过 ethx 脚进行投递。

后续你要变更之类的，直接去路由或 linux 上配置就行了。

如果在每台客户端上面做手脚切换拨号，到时候有任何变动都要每台机搞一次。

GuluMashimaro

2024-02-20 17:40:29 +08:00

1.将多个专线的光猫连接到交换机。
2.将服务器连接到交换机。
3.在服务器上创建多个虚拟机，并为每个虚拟机配置不同的网关和代理服务。
4.将无线路由器连接到交换机。
5.将工作机器连接到无线路由器，然后代理指向不同的虚拟机代理。

这个方案能实现吗，各位热心大佬？

dhb233

2024-02-20 17:43:38 +08:00

mac 区分的话，那不就是 dhcp 配置静态分配规则
只走指定专线就明确了，静态分配的，IP 是知道的，指定 IP 走指定专线，配置策略路由就可以。

但是这个还是搞不定你的同时访问互联网和专线。那至少可以 2WiFi 方案，访问专线一个 WiFi ，访问互联网一个 WiFi

goodryb

2024-02-20 17:56:13 +08:00

就是一个路由配置的问题，一台路由器能搞定，你参考 2 楼方案自己搞，或者请个专业的网工给你搞

至于跟你们的办公电脑走优先还是 WiFi ，跟你这 5 条专线是两码事

cnbatch

2024-02-20 20:08:20 +08:00

1 台多网口软路由+1 台交换机+无线 AP 就可以了，没必要问客服，客服不是网络专业运维，未必懂那么多的。

然后把专线都接到软路由，软路由配置 DHCP 根据 MAC 地址做绑定（前面楼层大家都有提到），顺便把 DNS 也绑定好，就写专线提供的 DNS 地址，这样内网分配 DNS 地址的时候就可以直接提供专线的 DNS 。

接着就是配置策略路由（前面楼层也有人提到），让内网不同的机器走不同的专线。这里可以顺便搞个 NAT ，解决专线 IP 地址数量不够用的局限。

至于软路由的型号，既可以买整合好的成品，也可以自己买小型服务器+多网口 PCIE 卡

mohumohu

2024-02-20 20:34:32 +08:00

楼上一堆解决方案看下来，结合 op 的需求，感觉就是简单的事情自己搞复杂了。
楼主既然能问出这个问题，说明自己对这个也不好维护，解决方案都已经超出了认知范畴，买了设备也是折磨自己。
直接拉网线就完事了。
给 op 算一笔帐，五条专线，直接用光猫拨号就行了路由器都不用买，买交换机，拉网线，工位拉到机房配线架，要接哪条专线直接用跳线接哪个交换机。你乐意加个路由器像 360T7 这种还能刷机的也就 100 块一个。
24 口千兆的二手交换机 100 块钱随便买，也就 500 块钱。
拉网线，合格的 CAT6 网线一箱 300 米也就 600 块钱。五类更便宜。PVC 线槽不值钱。就这么点，请个网工干 400 块钱怎么都够了。那就 1000 元。
总成本不到 2000 元，我看你买什么路由器+WiFi 能够实现这么傻瓜简单稳定，故障率低网络质量还好。

kome

2024-02-20 23:46:16 +08:00

交换机划分 VLAN ，划分网段，做好路由，做好 ACL ，一台电脑仅允许接入一个网络，办公网络不得使用任何形式的无线设备和共享设备，专机专网专用，静态绑定 IP MAC 做好端口安全。差不多了吧，两台(核心层和接入层)或者几台华为中兴华三的中高端交换机就行了。剩下的就是布线了，记得做好跳线，打好标签。

HawkinsSherpherd

2024-02-21 07:25:08 +08:00

不介意用软路由吧？这个需求一台路由器就能搞定。
搞两张无线网卡，一张发射专线 wifi ，一张发射互联网 wifi 。
计划好地址段，比如给专线 wifi 的 wifi 接口分配 192.168.37.0/24 ，然后再细致划分用于 pbr 策略分配的子网，比如专线 1 对应 192.168.37.0/28 ，专线 2 对应 192.168.37.16/28 。这些子网只用于 pbr 策略，所有设备还是使用 255.255.255.0 的掩码。
路由上装个 frr ，在专线 wifi 接口上绑定基于源 ip 的 pbr 策略。https://docs.frrouting.org/en/stable-9.1/pbr.html
用 iptable 的 snat 配 nat 池。举个例子，如果你的专线 1 的静态地址池是 203.0.113.0-203.0.113.4 ，对应的内网网段是 192.168.37.0/28 ，那么你的 nat 规则可以这么配：
iptables -t nat -A POSTROUTING -s 192.168.37.0/28 -j SNAT --to 203.0.113.0-203.0.113.4

这些需求一个廉价的小型主机装个常规的 linux 发行版（如 debian ）就能满足，当然记得打开 ip 转发。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1016751

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.