小弟並不熟TP-Link 的無線路由器
但是按防火牆規則來說
先封鎖(或拒絕)所有192.168.100.X往172.16.0.X的所有IP
再允許192.168.100.X做Nat往Wan(Internet)就可以了
這樣訪客就不能存取公司內部任何172.16.0.X網段

但說回來，企業這樣用無線網路
並不是很好的辦法，因為訪客有可能不在固定一處
這部分等版大以後想知道再聊

有幾個做法，您參考一下

A. 如果公司的 Internet 有空的固定 IP 可以用，可以直接將 TP-Link 連接到小烏龜上，並將 WAN 設定為固定 IP 直接上網，不要透過 172.16.0.254 (172.16.0.254 如果可以綁定多 IP 的話，記得取消給 TP-Link 的固定 IP)。

B. 如果一定要將 TP-Link 接到 172.16.0.254 的話，router 應該可以設定多網段，將某個 port 設定為 192.168.100.X，再將 TP-Link LAN port 接到 172.16.0.254 剛設定好的那個 port，最後再利用 routing table 或是防火牆規則隔絕掉即可。 (WAN port 不用接，只是把 TP-Link 當作無線 AP，做為一個 Hub 而已)

C. 如果 TP-Link 無法接到 172.16.0.254，只能接在 router 後面的 hub 上面，那就只能在 TP-Link 上設定防火牆了，只是便宜的無線路由器不一定有防火牆功能就是了。

我目前已在使用，做法是用內部IP可以上網的接IP分享器WAN，IP分享器設定自動發IP範圍不要與內網同，這樣連上無線的設備可以上網，但IP與內網段不同，故無法存取內網任何資源。

我的做法是直接將WIFI切開不可以跟區網連線，但你的機器內有沒有這個功能，就要自己看一下嘍~

我們公司是有很大的公共空間讓非公司人員使用wifi，於是獨立申請一路ADSL再接上各個WIFI分享器。

有幾個方案可以試試

1,最直接是公司資源文件要設使用者權限,部分重要文件可以加密。 window右鍵就可以加,properties>Security>Edit>Add。

2,ROUTER是另外加的話可以完全獨立入modem, 最安全已經分開兩組網絡。

1.不改變架構
TP-Lnik 設定Policy 阻擋.

2.Router來當無線網斷gateway,
policy從Router來管制,
TP-Link改接LAN,
DHCP 的gateway要指向Router.

3.切VLAN透過802.1Q不同VLAN ID發不同網段IP,
這是最理想的.