你的计划似乎是合理的（从高层次来看）。您可以使用几乎任何对您有意义的寻址方案，只要您可以总结每个企业的 IP 块。如果企业跨越一层以上，您的方案将无法正常工作。

不是按楼层分配范围，而是为每个业务分配一个唯一的块。这将使防火墙更容易。

您可以利用 Vlan 并以这种方式分离每个业务。

我建议不要使用路由器，而是使用第 3 层交换机来更好地在楼层之间路由数据包。

将路由器留作与 ISP 的主要连接。路由器可以进行 nat/pat 转换。

放置在每个楼层的交换机只需是访问（第 2 层）交换机即可。企业可以以这种方式跨越所有楼层并相互保护。

例如：

用于交换机/路由器/无线/等管理的 Vlan 999，它的 SVI 可以在核心交换机上创建，并具有适当的 ACL 以根据需要拒绝/允许访问。

Vlan X for Business 1，它是核心交换机上的SVI，再次根据需要有ACL。

Vlan Y for Business 2，核心交换机上的SVI还有另外一个ACL。

对于打印机的 Vlan Z，核心交换机上的 SVI 将允许所有需要的业务打印到少数打印机。

用于无线客户端的 Vlan W，这可能会更有趣，您是为整个建筑物和客人使用一个 SSID，还是每个企业有多个 SSID？

根据您的设计，还有更多 Vlan :-)

让我们知道您的计划进展如何。

对于更复杂的业务隔离，您也可以使用 vrf-lite，但这有点复杂，尽管它仍然需要交换机上的 vlan 及其各自的 SVI。