[架构设计] 如何设计公司的特殊网络架构（困难模式）

@1den 按照你现在的情况，建议 31 楼的方案。
5 台服务器接 5 条线，然后搭 VPN Server ，专线上再套一层自己搭的专线。谁需要谁用自己的账号密码拨到那台机器上去，设备都不用买，也不用搞什么网络策略之类的。
wifi 的方案不建议，首先是干扰厉害，并且按照你这个专线的性质，用 wifi 可能是不合规的。

@dko #41 确实，用 WiFi 的话肯定要考虑安全问题了，不能被蹭网。

@dhb233 #40 无法通过 ip 或者域名来区分。
我的意思是例如根据机器的 mac 地址来指定 某台机器 就固定访问某个专线。

@GuluMashimaro
这样...我觉得复杂了.......
非要这样做，关键字：DHCP 中为客户端分配不同的网关和 DNS

我想法比较简单，直接路由上 RIP 加 acl2 写个静态，或者 linux 上通过 iptable 和 route 进行配置。
这样
通过 iptable 或 acl2 表，如果源 IP 是 xxxx 母的 IP 是 xxxx ，就通过 ethx 脚进行投递。

后续你要变更之类的，直接去路由或 linux 上配置就行了。

如果在每台客户端上面做手脚切换拨号，到时候有任何变动都要每台机搞一次。

@GuluMashimaro #42 计算机科学领域没有什么是不能通过加一个中间件来解决的，如果不能，那就再加一个。

1.将多个专线的光猫连接到交换机。
2.将服务器连接到交换机。
3.在服务器上创建多个虚拟机，并为每个虚拟机配置不同的网关和代理服务。
4.将无线路由器连接到交换机。
5.将工作机器连接到无线路由器，然后代理指向不同的虚拟机代理。

这个方案能实现吗，各位热心大佬？

mac 区分的话，那不就是 dhcp 配置静态分配规则
只走指定专线就明确了，静态分配的，IP 是知道的，指定 IP 走指定专线，配置策略路由就可以。

但是这个还是搞不定你的同时访问互联网和专线。那至少可以 2WiFi 方案，访问专线一个 WiFi ，访问互联网一个 WiFi

代理的方案是可以，只是要确定专线的服务都是可以被代理的

就是一个路由配置的问题，一台路由器能搞定，你参考 2 楼方案自己搞，或者请个专业的网工给你搞

至于跟你们的办公电脑走优先还是 WiFi ，跟你这 5 条专线是两码事

用策略路由不就好了吗。。

多 vlan 多 ssid ，不难

存在变化又有临时性的生产网，推荐直接上字节 NaaS ，自己就别操心了

1 台多网口软路由+1 台交换机+无线 AP 就可以了，没必要问客服，客服不是网络专业运维，未必懂那么多的。

然后把专线都接到软路由，软路由配置 DHCP 根据 MAC 地址做绑定（前面楼层大家都有提到），顺便把 DNS 也绑定好，就写专线提供的 DNS 地址，这样内网分配 DNS 地址的时候就可以直接提供专线的 DNS 。

接着就是配置策略路由（前面楼层也有人提到），让内网不同的机器走不同的专线。这里可以顺便搞个 NAT ，解决专线 IP 地址数量不够用的局限。

至于软路由的型号，既可以买整合好的成品，也可以自己买小型服务器+多网口 PCIE 卡

楼上一堆解决方案看下来，结合 op 的需求，感觉就是简单的事情自己搞复杂了。
楼主既然能问出这个问题，说明自己对这个也不好维护，解决方案都已经超出了认知范畴，买了设备也是折磨自己。
直接拉网线就完事了。
给 op 算一笔帐，五条专线，直接用光猫拨号就行了路由器都不用买，买交换机，拉网线，工位拉到机房配线架，要接哪条专线直接用跳线接哪个交换机。你乐意加个路由器像 360T7 这种还能刷机的也就 100 块一个。
24 口千兆的二手交换机 100 块钱随便买，也就 500 块钱。
拉网线，合格的 CAT6 网线一箱 300 米也就 600 块钱。五类更便宜。PVC 线槽不值钱。就这么点，请个网工干 400 块钱怎么都够了。那就 1000 元。
总成本不到 2000 元，我看你买什么路由器+WiFi 能够实现这么傻瓜简单稳定，故障率低网络质量还好。

每条光纤的光猫后面固定连 5 个电脑，直接让运营商做迁移，拉到电脑旁边，每台电脑固定用途。
电脑固定，员工轮换，换人不换电脑。

你猜路由器里的路由两个字是什么意思…

交换机划分 VLAN ，划分网段，做好路由，做好 ACL ，一台电脑仅允许接入一个网络，办公网络不得使用任何形式的无线设备和共享设备，专机专网专用，静态绑定 IP MAC 做好端口安全。差不多了吧，两台(核心层和接入层)或者几台华为中兴华三的中高端交换机就行了。剩下的就是布线了，记得做好跳线，打好标签。

不知道楼主的技术水平，建议上爱快，实在不懂就找他的销售，对公要有对公的样子

不介意用软路由吧？这个需求一台路由器就能搞定。
搞两张无线网卡，一张发射专线 wifi ，一张发射互联网 wifi 。
计划好地址段，比如给专线 wifi 的 wifi 接口分配 192.168.37.0/24 ，然后再细致划分用于 pbr 策略分配的子网，比如专线 1 对应 192.168.37.0/28 ，专线 2 对应 192.168.37.16/28 。这些子网只用于 pbr 策略，所有设备还是使用 255.255.255.0 的掩码。
路由上装个 frr ，在专线 wifi 接口上绑定基于源 ip 的 pbr 策略。https://docs.frrouting.org/en/stable-9.1/pbr.html
用 iptable 的 snat 配 nat 池。举个例子，如果你的专线 1 的静态地址池是 203.0.113.0-203.0.113.4 ，对应的内网网段是 192.168.37.0/28 ，那么你的 nat 规则可以这么配：
iptables -t nat -A POSTROUTING -s 192.168.37.0/28 -j SNAT --to 203.0.113.0-203.0.113.4

这些需求一个廉价的小型主机装个常规的 linux 发行版（如 debian ）就能满足，当然记得打开 ip 转发。

现在的专线不都是 mstp 封装的么，这怎么还要过光猫