用戶7818964695895
針對您的問題,可以採用以下兩種方法來解決
1、分別為三個部門劃分不通的VLAN,把相同部門的PC加入到對應的VLAN中。
案例拓撲:
配置步驟:
1、在交換機SW1新建VLAN10 、VLAN20、VLAN30
<huawei>system-view/<huawei>
[Huawei]vlan batch 10 to 20
2、把對應部門的PC機加入到對應的VLAN中去
[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 10
其他部門的也類型以上配置。
2、通過子網的方式隔離
分別為三個部門分別不通的子網IP地址
例如:研發部:192.168.1.0
市場部:192.168.2.0
財務部:192.168.3.0
這樣在沒有路由的情況下三個網段的主機是不同相互通信的。
攻城獅成長日記
你好,頭條最強的高級網絡工程師為您解答該問題。關注我,帶你入門網絡工程師行業。
根據你的描述,你的網絡拓撲如下:
該拓撲的網段以及vlan規劃如上圖所示。題主的需求是:各部門的電腦不能互訪。為了實現該需求,我用到的技術是ACL(訪問控制列表)、策略路由這兩個技術來實現。
沒做流量控制之前,該拓撲之間的電腦都是可以互訪的。
大家看著我是怎樣一步一步實現各部門之間的電腦不能互訪的吧。
第一步:在48口交換機上配置ACL,控制1部門的電腦IP不能訪問2部門、3部門的電腦。
acl number 3000
rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.3.0 0.0.0.255
第二步:配置流分類。
traffic classifier TB operator and
if-match acl 3000
第三步:配置流行為。
traffic behavior TB
deny
第四步:配置流策略。
traffic policy TB
classifier TB behavior TB
第五步:全局下應用該策略路由。
traffic-policy TB global inbound
第六步:檢驗實驗成果。
從上圖看,策略路由生效了,有效的控制了1部門訪問其它部門。其它部門的配置方式和1部門的一致。
歡迎關注網絡專家vlog,你身邊的網絡專家。
網絡專家vlog
我能想到的有四種辦法,但是可能都需要有特定條件:
1、48口交換機支持vlan管理,這樣根據端口綁定vlan和mac,這樣是最安心也是最安全的;
2、48口交換機不支持vlan,但是有windows server及域服務器,這樣可以在server系統裡設置好域並給與權限,客戶機使用域登陸;
3、48口交換機不支持vlan,但路由器支持,可以在路由器內根據ip綁定mac和vlan;
4、上述情形以外,所有客戶機有管理員權限,網卡指定ip地址並設置子網掩碼/24(255.255.255.0),這樣客戶機只能訪問本段的設備,儘量使用192.168.X.X,這是C類私用地址,第一個x用來區分網段。第二個X是客戶機地址,1默認路由地址不要使用,255為廣播地址無法使用,2-254可任意使用,但不可出現數字相同,否則會IP地址衝突。
經紀人-阿翔
看你的需求是完全不能訪問還是隻是二層無法訪問!完全不能方問,只能固定IP,禁用QQ微信之類的互聯網軟件,一般來說無法通過交換機實現,處分不讓這個交換機上互聯網!!
不可網管型交換機
那就只需要每一個部門的電腦都設置不能的網段即可!這個應該是最簡單的!比如第一個192.168.1.0 第二個192.168.2.0 第三個192.168.3.0!這樣就可以了!
可網管的交換機
那就用VLAN,把不同的部門根據所連接的端口劃分到不同的VLAN,從二層隔離不同的部門!這樣除了不能共享文件,還減少了廣播風暴!當然IP也是要在不同網段的!
風來了156
都說是基於部門劃分vlan,多數交換機默認不同vlan間都是互通的,需要配合acl禁止vlan互通,另外只說是48口交換機,啥樣的交換機?二層?三層?交換機上邊其他的網絡環境是啥?不說清楚拓撲,這問題難回答。。。
rzsqin
vlan
numberljf
阿里雲的安全組
盛章凱
根據不同情況可以有不同的操作方法:
非網管型交換機
無法根據vlan隔離,可以將不同部門ip地址設置為不同網段或不同子網,比如,192.168.1.0/24;192.168.2.0/24;192.168.3.0/24;
這種情況如果員工不會更改ip地址完全是可行的;
可網管型交換機
不同部門劃分到不同vlan即可解決;還可通過端口安全和端口隔離開進行控制。
瘋評科技
你需要一臺網管型的交換機,通過vlan來管理3個部分,網管型交換機功能很強大,價格也貴很多
穿吊帶衫的和尚
交換機得是三層交換機,樓上說的就可以,如果你的交換機連VLAN功能都不支持,那恐怕你得花錢換設備了