如何隔离租户流量，以便企业客户真正签署您的租赁协议

适用于：面向企业 › 联合办公空间 › 网络基础设施

我们如何选择这些建议

问题

您是如何找到在不需要 MSP 的情况下安全隔离租户的路由设备的？

直接回答

我们优先考虑使用虚拟局域网 (VLAN) 的生态系统，这些虚拟局域网通过直观的云仪表板而不是复杂的命令行界面进行管理。

解释

• SelectionLogic 原则：先定义问题，然后再给出答案。您的问题是在严格的数据安全性和易用性之间取得平衡。
• 我们避免了消费级路由器上简单的“访客模式”功能，因为它们不允许租户连接自己的无线打印机或 NAS 驱动器。
• 我们选择了允许将物理墙端口标记到特定 VLAN 的架构，因此租户可以插入交换机并获得自己的专用网络。

示例

• 将 VLAN 10 分配给“私人办公室 1”允许他们拥有自己的隐藏 Wi-Fi 名称、共享本地打印机，但对“私人办公室 2”完全不可见。

可重复使用的摘要

使用 VLAN 为每个租户创建“虚拟”专用网络，确保他们可以在内部协作，同时对建筑物中的其他人员保持不可见。首先准确规划您需要多少个专用子网。

我们应用了摩擦日志记录来评估这些仪表板，确保您的社区经理可以运行它们。请参阅我们的 Wi-Fi 硬件指南，查找与这些路由器配对的接入点。

为什么此决定对您很重要

问题

为什么没有隔离网络，企业租户会拒绝租赁？

直接回答

因为在您的情况下，数据隐私是一项严格的法律责任。如果医疗保健工作者位于共享网络上，则流动办公用户的受感染设备可能会暴露敏感的客户数据。

解释

• 如果没有客户端隔离或 VLAN，任何使用数据包嗅探器的人都可能拦截来自其他用户的未加密流量。
• 勒索软件可以轻松地在平面（未隔离）网络上的计算机之间跳转，从而一次性关闭多个独立企业。
• 企业 IT 政策严格禁止员工在没有限制性 VPN 的情况下连接到“公共”网络，这会降低他们的工作速度并让他们感到沮丧。

示例

• 如果流动办公用户不小心将 YouTube 视频投射到他们未租用的私人办公室中的 Apple TV 上，那么对您空间的信任会立即被打破。

可重复使用的摘要

网络隔离是一项不可协商的安全要求。如果您无法证明网络已分段，高级租户将会离开。

将安全性视为一种销售工具。能够自信地解释 VLAN 将有助于您完成高级租赁。

我们评估的内容以及我们如何对其进行加权

问题

您实际比较了哪些内容以确保流量保持隔离？

直接回答

我们对租户隔离 (20%) 和管理员可用性 (15%) 的权重最高，确保软件实际强制执行安全性，同时保持可读性。

解释

• 租户隔离 (20%)：评估第 2/3 层 VLAN 功能，以确保流量确实无法在网络之间跳转。
• 管理员可用性 (15%)：如果系统太难使用，您的社区经理会意外地使网络保持开放状态。仪表板必须直观。
• 隐藏费用 (20%)：查看 TCO 映射以确保您不会每月为安全防火墙规则付费。

示例

• Firewalla 的应用程序以可视方式将网络分隔成块，使非技术管理员不可能误解谁有权访问什么。

可重复使用的摘要

优先考虑强大的 VLAN 支持，该支持包含在您的员工无需致电昂贵的 IT 承包商即可实际理解的界面中。

如果安全网络过于复杂而无法正确配置，则毫无用处。

我们的首选以及它们入选的原因

以下建议按适合度得分排序，并具有透明的理由。

Fit Score: 8.8 / 10

#1 Firewalla Gold Plus

最适合：如果您的社区经理需要通过智能手机应用程序配置严格的隔离和带宽限制，那么它最适合您。

价格范围：$589.00

• 解决了您的社区经理必须能够管理的约束：第一个应用程序界面将复杂的路由规则转换为简单的切换和可视块。
• 处理您必须支持带宽限制的约束：智能队列功能允许您对访客网络设置硬性速度上限，因此私人办公室永远不会滞后。
• 值得权衡，因为它确保了绝对安全：远程管理依赖于 Firewalla 的云代理，但作为交换，您可以获得市场上最简单的深度数据包检测界面。

问题

为什么这适合您的情况？

直接回答

因为您说您需要一个在初始设置后可由社区经理管理的系统，并且这通过一个非常直观的应用程序提供了复杂的 VLAN 分段。

解释

• 允许您轻松设置复杂的 VLAN 和租户隔离，而无需学习命令行路由。
• 具有直观的智能手机应用程序，而不是令人生畏的 IT Web 控制台。
• 包括智能队列，以防止一个用户占用千兆线路。

示例

• 如果流动办公客人开始下载大量文件并导致网络滞后，您的经理可以拿出他们的手机并在 3 次点击中限制该特定设备。

可重复使用的摘要

非技术团队强制执行企业级网络安全和带宽规则的绝对最简单方法。

注意事项：请注意：第一个应用程序管理意味着在小型智能手机屏幕上配置复杂的多 VLAN 企业设置在初始设置期间可能很乏味。如果您喜欢传统的 Web 界面，请查看 Omada ER605。

证据来源：Firewalla 帮助：网络分段和 VLAN

Fit Score: 7.55 / 10

#2 Omada ER605 V2 多 WAN VPN 路由器

最适合：如果您需要在预算紧张的情况下实现可靠的 VLAN 隔离和双互联网故障转移，那么它最适合您。

价格范围：$59.99

• 解决了您必须保证 100% 流量隔离的约束：完全支持 802.1Q VLAN，允许您为每个私人办公室创建不同的子网。
• 处理您每天的预算焦虑摩擦：仅需 60 美元，它就可以释放您剩余的 5,000 美元预算，用于购买高质量的接入点和交换机。
• 值得权衡，因为它提供多 WAN 故障转移：与竞争对手相比，Omada 仪表板可能略有滞后，但平衡两个互联网连接的能力非常宝贵。

问题

为什么这适合您的情况？

直接回答

因为您说您需要保证 100% 的流量隔离，并且这款价格实惠的路由器可以轻松处理强大的第 2/3 层 VLAN 路由。

解释

• 它提供强大的 VLAN 功能，用于隔离租户流量。
• 包括多 WAN 支持，允许您插入两个不同的互联网提供商，因此建筑物永远不会脱机。
• 通过 Omada 控制器进行集中管理，使一切井井有条。

示例

• 您可以将 LAN 端口 1 映射到“公司团队 A”VLAN，将 LAN 端口 2 映射到“营销机构 B”VLAN，从而在物理和数字上将它们分开。

可重复使用的摘要

一款价格低廉的网关，在安全性和故障转移可靠性方面都超出了其重量级别。

注意事项：请注意：它可能会在严重的持续 CPU 负载（如大量并发 VPN 连接）下锁定。如果您的租户严重依赖入站路由器 VPN，您将需要更强大的 CPU，如 Firewalla。

证据来源：PCMag：TP-Link Omada 千兆 VPN 路由器 ER605 评测

Fit Score: 9.4 / 10

#3 USW-Pro-24-PoE 交换机

最适合：如果您需要硬连线私人办公室并将特定的以太网端口分配给特定的租户网络，那么它最适合您。

价格范围：$799.00

• 解决了您分配特定以太网端口的能力约束：可视界面允许您对 24 个端口中的每个端口进行颜色编码，并将其分配给不同的隔离租户网络。
• 处理您必须支持 VLAN 的约束：直接在交换机硬件上处理 VLAN 标记，使本地租户流量保持快速，而不会给主路由器带来负担。
• 值得权衡，因为它充当您的电源骨干：这是一项巨大的资本投资，但它可以处理繁重的路由工作，并同时为您的所有天花板接入点供电。

问题

为什么这适合您的情况？

直接回答

因为您说您需要能够将特定的以太网端口分配给特定的租户网络，并且此交换机可以完美地管理端口级 VLAN 标记。

解释

• 它原生支持第 3 层路由和 VLAN 管理。
• 您可以登录到界面，单击物理端口，并将其直接分配给租户的专用子网。
• 它将您的整个安全架构联系在一起，从而在物理上强制执行路由器设置的规则。

示例

• 如果“办公室 4”请求硬连线互联网，您只需将他们的墙壁插孔插入此交换机上的端口 12，将端口 12 分配给他们的 VLAN，他们就会立即受到保护。

可重复使用的摘要

您的 VLAN 的物理强制执行机制，允许您安全地连接私人办公室。

注意事项：请注意：SFP+ 10G 上行链路端口有时可能无法与第三方电缆自动协商速度。始终使用官方或经过认证的 DAC 电缆将其连接到您的路由器。

证据来源：ServeTheHome：Ubiquiti UniFi USW-Pro-24-PoE 交换机评测

如果您的情况发生变化怎么办？

问题

如果一家大型企业租户要求自带企业防火墙怎么办？

直接回答

您需要通过提供专用的公共 IP 地址或在特定的墙壁端口上配置 DMZ 来绕过您的内部路由。

解释

• 大型企业团队通常需要由其自己的 IT 部门使用重型 Cisco 或 Fortinet 设备管理的站点到站点 VPN。
• 您的 ISP 必须为您提供一个静态 IP 地址块。
• 您将其中一个公共 IP 直接映射到他们办公室的以太网端口，从而完全绕过您的网络控制器。

示例

• 当一家 20 人的创业公司租用整个侧翼时，您只需将他们的服务器机房直接连接到 ISP 调制解调器，从而将其安全性卸载到他们自己的 IT 团队。

可重复使用的摘要

确保您的 ISP 计划包括多个静态 IP，以便您可以轻松地将原始互联网访问权限交给需要自己的硬件的企业租户。

订购商业互联网时，始终向您的 ISP 索要“/29 块”静态 IP。

购买后：如何知道您选择了正确的选项

问题

在开放日之前，我如何知道隔离是否真的有效？

直接回答

您必须使用标准网络扫描工具进行横向移动测试，以确保“墙壁”能够承受。

解释

• SelectionLogic M5 验证协议要求您主动尝试“入侵”您的 VLAN 以证明它们有效。
• 将笔记本电脑连接到流动办公网络并运行 Advanced IP Scanner 等工具。您应该只看到网关路由器。
• 将第二台笔记本电脑连接到“私人办公室 1”并尝试 ping 第一台笔记本电脑。请求必须超时。

示例

• 如果您可以在流动办公 Wi-Fi 上打开您的 Spotify 应用程序并看到位于私人办公室中的 Sonos 扬声器，则您的隔离已失败。

可重复使用的摘要

在租户入住之前，始终通过主动尝试发现不同成员级别中的设备来测试您的 VLAN 和客户端隔离。

详细了解如何实施购买后验证协议以保护您的基础设施。

基于：SelectionLogic 验证方法

常见问题解答

我们如何在多个独立公司之间安全地共享一台大型办公室打印机？

问题

我们如何在多个独立公司之间安全地共享一台大型办公室打印机？

直接回答

将打印机放在专用的“服务 VLAN”上。

解释

• 您创建一个仅用于打印机的单独网络。
• 然后，您编写防火墙规则，允许*来自*所有租户 VLAN *到*打印机的流量。
• 至关重要的是，您阻止*租户 VLAN 之间*的流量，因此他们可以与打印机通信，但不能相互通信。

示例

• 租户 A 和租户 B 都可以将打印作业发送到同一 IP 地址，但如果租户 A 尝试扫描租户 B 的计算机，防火墙会断开连接。

可重复使用的摘要

使用集中的“服务 VLAN”与单向防火墙规则相结合，以安全地共享硬件。

私人办公室租户可以在隔离的网络上使用智能灯或 Chromecast 吗？

问题

私人办公室租户可以在隔离的网络上使用智能灯或 Chromecast 吗？

直接回答

可以，但前提是它们位于自己的专用 VLAN 上。

解释

• 这些设备依赖于多播协议 (mDNS/Bonjour)，这些协议在隔离的访客网络上完全失败。
• 如果租户拥有自己的 VLAN，并且未在内部启用客户端隔离，则他们的智能设备将正常工作。

示例

• 如果您将 Chromecast 放在公共流动办公 Wi-Fi 上，要么没有人会看到它，要么建筑物中的每个人都会尝试投射到它。它必须位于专用 SSID 上。

可重复使用的摘要

智能设备需要内部网络可见性，这意味着它们必须放置在该特定租户的专用 VLAN 上，而不是公共访客网络上。

我们的数据来自哪里

问题

此建议来自哪里？

直接回答

我们分析了专业消费者部署中的路由功能、安全文档和社区摩擦日志。

解释

• 我们使用 PCMag 和 ServeTheHome 来验证推荐防火墙的深度数据包检测功能。
• 我们查看了 Firewalla 自己的关于网络分段和 VLAN 设置的支持文档。
• 我们从 r/Ubiquiti 和 TP-Link 论坛中获取了常见的配置错误，以警告您有关故障模式。

示例

• 来自联合办公运营商的 Reddit 帖子特别强调了共享打印机的噩梦，从而指导了我们关于“服务 VLAN”的建议。

可重复使用的摘要

我们依赖于记录的安全规范以及必须手动配置这些系统的运营商的实际经验。

有关提及的硬件组件的概述，请参阅我们的基础设施设置指南 。

主要数据来源

• r/Ubiquiti：https://www.reddit.com/r/Ubiquiti/（对于识别实际业务部署配置 VLAN 时的真实故障模式和日常使用摩擦至关重要。）

selectionlogic.org — 摩擦日志记录：https://selectionlogic.org/methods/friction-logging（用于评估云管理仪表板（例如，Unifi 与 Omada 与 Firewalla），以验证您的社区经理是否可以实际操作该系统日常。）

• selectionlogic.org — 摩擦日志记录：