建議還是要買一台Firewall
例如 Vigor2927 具有多個vlan tag/untag功能
理由一
小烏龜只會派出30幾個IP
理由二
你需要讓 tag/untag 互通
如果你使用 Switch 需要有 ip Route 的 Switch
那需要到L2+
便宜的VigorSwitch G2100+ NT4,725-
https://www.pcstore.com.tw/ublink/M03119540.htm
但是還是缺NAT
所以還是 Vigor2927最適合

網管Switch 只要設定 Trunk或是Hybrid untag帶tag vlan 10
就可以了

非網管Switch根本不用設定都會過

預算問題的話, 你可以搞個軟路由
找一台有兩個LAN口的電腦, 上面安裝PFSENSE
已經有很不錯的LAYER 3功能了
YOUTUBE大量教學, 小白都可以搞好

當然了, 買個二手的FORTIGATE也是猛猛DER

Ｑｕｅｓｔｉｏｎ１：
若我想要用１９２．１６８．０．１（Ｖｌａｎ１０舉例）分別給四顆ＡＰ做使用這個想法是可行的嗎？這樣是不是代表我在Ｓｗｉｔｃｈ上的Ｐｏｒｔ就得在Ｖｌａｎ１０都設上ｔａｇｇｅｄ呢？若有理解錯再請提點！！感恩～

應該這樣說, 比如你有VLAN 10 是SERVER, VLAN 20 是USER
你想ARUBA的管理IP是VLAN 10, WIFI USER給20, 而WIFI MGT又可以用回10給你方便管理
那在接上AP的SWITCH PORT就是:
PVID: 10
Untagged: 10
TAGGED: 20
那在AP上的設定就是:
WIFI USER: ACCESS VLAN 20
WIFI MGT: ACCESS VLAN 1

Ｑｕｅｓｔｉｏｎ２：
透過ＤＨＣＰ派發的話，我是否該再準備一台Ｓｅｒｖｅｒ起ＤＨＣＰ服務呢？

請用PFSENS處理, 別搞SERVER啦-.-

Ｑｕｅｓｔｉｏｎ３：
若透過ＤＨＣＰ派發，在２９３０Ｆ上做好嗎？

不好

Ｑｕｅｓｔｉｏｎ４：
ＡＤＳＬ下來先接Ｌ２交換器切Ｖｌａｎ再接２９３０Ｆ好呢？
還是２９３０切Ｖｌａｎ再接一台ＥｄｇｅＳｗｉｔｃｈ呢？

請用PFSENS處理, 一個LAN口接ADSL, 另一個LAN口接LAN

Ｑｕｅｓｔｉｏｎ５：
切出Ｖｌａｎ後給ＤＨＣＰ去派發並設定派發的範圍，那我需要在交換器上額外設定什麼嗎？

PFSENS處理後, 沒.

預算有限所以沒有防火牆, 直接找中華租呢(資安艦隊)?,以後防火牆設定也都找中華處理

Ｑｕｅｓｔｉｏｎ１：
設定成vlan tag/untag Trunk 都可以,
Switch 設定成tag,AP也設定成tag,
Switch 設定成Untag,AP也設定成Untag,
總之Switch跟AP兩邊相同就能通

Ｑｕｅｓｔｉｏｎ２：
如果是我,我會另外準備一台Server 派發IP

Ｑｕｅｓｔｉｏｎ３：
因為你對設備不熟,所以不好

Ｑｕｅｓｔｉｏｎ４：
２９３０Ｆ 都已經是 L3 SWITCH,在小烏龜跟２９３０Ｆ 中間加一顆 L2的意義不大

Ｑｕｅｓｔｉｏｎ５：
如果你一個VLAN 一台DHCP Server 就不用設定
如果你一堆VLAN要共用一台DHCP Server,需要設定DHCP RELAY
但現階段會建議你一個VLAN 一台DHCP Server

公司預算有限所以沒有防火牆

哇塞！我看到了什麼
有預算買Aruba，沒預算買防火牆?
買之前怎沒沒先跟SI討論好怎麼架無線網路?

建議你現在別想太多了
什麼VLAN也別切
無線網路透通用就好
不然把SI找來
請他把無線網路按你意思架起來

question1:如果AP跟使用者都使用vlan10 switch上可以設定untagged vlan 10就可以了，tagged通常在使用2個以上不同的vlan才會設定

question2:使用外部dhcp server在交換機上面要設定dhcp relay，同時建議在交換機上啟用dhcp snooping的防護設定，dhcp server未來在維運根除錯會比較方便

question3:如果你對switch設定很熟悉這是比較偷懶的做法

question4:2930是可以做到L3以及一些基本路由地功能的，如果沒有其他更高階的交換機那可以用2930接小烏龜當core再往下接L2的switch

question5:如果使用dhcp server要設定dhcp relay，交換機發dhcp的話要設定dhcp-server pool