用戶7818964695895

針對您的問題，可以採用以下兩種方法來解決

1、分別為三個部門劃分不通的VLAN,把相同部門的PC加入到對應的VLAN中。

案例拓撲：

1、在交換機SW1新建VLAN10 、VLAN20、VLAN30

<huawei>system-view/<huawei>

[Huawei]vlan batch 10 to 20

2、把對應部門的PC機加入到對應的VLAN中去

[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10

[Huawei-port-group]port link-type access

[Huawei-port-group]port default vlan 10

其他部門的也類型以上配置。

2、通過子網的方式隔離

分別為三個部門分別不通的子網IP地址

例如：研發部：192.168.1.0

市場部：192.168.2.0

財務部：192.168.3.0

這樣在沒有路由的情況下三個網段的主機是不同相互通信的。

攻城獅成長日記

你好，頭條最強的高級網絡工程師為您解答該問題。關注我，帶你入門網絡工程師行業。

根據你的描述，你的網絡拓撲如下：

該拓撲的網段以及vlan規劃如上圖所示。題主的需求是：各部門的電腦不能互訪。為了實現該需求，我用到的技術是ACL（訪問控制列表）、策略路由這兩個技術來實現。

沒做流量控制之前，該拓撲之間的電腦都是可以互訪的。

大家看著我是怎樣一步一步實現各部門之間的電腦不能互訪的吧。

第一步：在48口交換機上配置ACL，控制1部門的電腦IP不能訪問2部門、3部門的電腦。

acl number 3000

rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.3.0 0.0.0.255

第二步：配置流分類。

traffic classifier TB operator and

if-match acl 3000

第三步：配置流行為。

traffic behavior TB

deny

第四步：配置流策略。

traffic policy TB

classifier TB behavior TB

第五步：全局下應用該策略路由。

traffic-policy TB global inbound

第六步：檢驗實驗成果。

從上圖看，策略路由生效了，有效的控制了1部門訪問其它部門。其它部門的配置方式和1部門的一致。

歡迎關注網絡專家vlog，你身邊的網絡專家。

網絡專家vlog

我能想到的有四種辦法，但是可能都需要有特定條件：

1、48口交換機支持vlan管理，這樣根據端口綁定vlan和mac，這樣是最安心也是最安全的；

2、48口交換機不支持vlan，但是有windows server及域服務器，這樣可以在server系統裡設置好域並給與權限，客戶機使用域登陸；

3、48口交換機不支持vlan，但路由器支持，可以在路由器內根據ip綁定mac和vlan；

4、上述情形以外，所有客戶機有管理員權限，網卡指定ip地址並設置子網掩碼/24（255.255.255.0），這樣客戶機只能訪問本段的設備，儘量使用192.168.X.X，這是C類私用地址，第一個x用來區分網段。第二個X是客戶機地址，1默認路由地址不要使用，255為廣播地址無法使用，2-254可任意使用，但不可出現數字相同，否則會IP地址衝突。

經紀人-阿翔

看你的需求是完全不能訪問還是隻是二層無法訪問！完全不能方問，只能固定IP，禁用QQ微信之類的互聯網軟件，一般來說無法通過交換機實現，處分不讓這個交換機上互聯網！！

不可網管型交換機

那就只需要每一個部門的電腦都設置不能的網段即可！這個應該是最簡單的！比如第一個192.168.1.0 第二個192.168.2.0 第三個192.168.3.0！這樣就可以了！

可網管的交換機

那就用VLAN，把不同的部門根據所連接的端口劃分到不同的VLAN，從二層隔離不同的部門！這樣除了不能共享文件，還減少了廣播風暴！當然IP也是要在不同網段的！

風來了156

都說是基於部門劃分vlan,多數交換機默認不同vlan間都是互通的，需要配合acl禁止vlan互通，另外只說是48口交換機，啥樣的交換機？二層？三層？交換機上邊其他的網絡環境是啥？不說清楚拓撲，這問題難回答。。。

rzsqin

vlan

numberljf

阿里雲的安全組

盛章凱

根據不同情況可以有不同的操作方法:

非網管型交換機

無法根據vlan隔離，可以將不同部門ip地址設置為不同網段或不同子網，比如，192.168.1.0/24；192.168.2.0/24；192.168.3.0/24；

這種情況如果員工不會更改ip地址完全是可行的；

可網管型交換機

不同部門劃分到不同vlan即可解決；還可通過端口安全和端口隔離開進行控制。

瘋評科技

你需要一臺網管型的交換機，通過vlan來管理3個部分，網管型交換機功能很強大，價格也貴很多

穿吊帶衫的和尚

交換機得是三層交換機，樓上說的就可以，如果你的交換機連VLAN功能都不支持，那恐怕你得花錢換設備了

關鍵字: 電腦 科技 交換機