用户7818964695895
我能想到的有四种办法,但是可能都需要有特定条件:
1、48口交换机支持vlan管理,这样根据端口绑定vlan和mac,这样是最安心也是最安全的;
2、48口交换机不支持vlan,但是有windows server及域服务器,这样可以在server系统里设置好域并给与权限,客户机使用域登陆;
3、48口交换机不支持vlan,但路由器支持,可以在路由器内根据ip绑定mac和vlan;
4、上述情形以外,所有客户机有管理员权限,网卡指定ip地址并设置子网掩码/24(255.255.255.0),这样客户机只能访问本段的设备,尽量使用192.168.X.X,这是C类私用地址,第一个x用来区分网段。第二个X是客户机地址,1默认路由地址不要使用,255为广播地址无法使用,2-254可任意使用,但不可出现数字相同,否则会IP地址冲突。
经纪人-阿翔
你好,头条最强的高级网络工程师为您解答该问题。关注我,带你入门网络工程师行业。
根据你的描述,你的网络拓扑如下:
该拓扑的网段以及vlan规划如上图所示。题主的需求是:各部门的电脑不能互访。为了实现该需求,我用到的技术是ACL(访问控制列表)、策略路由这两个技术来实现。
没做流量控制之前,该拓扑之间的电脑都是可以互访的。
大家看着我是怎样一步一步实现各部门之间的电脑不能互访的吧。
第一步:在48口交换机上配置ACL,控制1部门的电脑IP不能访问2部门、3部门的电脑。
acl number 3000
rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.3.0 0.0.0.255
第二步:配置流分类。
traffic classifier TB operator and
if-match acl 3000
第三步:配置流行为。
traffic behavior TB
deny
第四步:配置流策略。
traffic policy TB
classifier TB behavior TB
第五步:全局下应用该策略路由。
traffic-policy TB global inbound
第六步:检验实验成果。
从上图看,策略路由生效了,有效的控制了1部门访问其它部门。其它部门的配置方式和1部门的一致。
欢迎关注网络专家vlog,你身边的网络专家。
网络专家vlog
针对您的问题,可以采用以下两种方法来解决
1、分别为三个部门划分不通的VLAN,把相同部门的PC加入到对应的VLAN中。
案例拓扑:
1、在交换机SW1新建VLAN10 、VLAN20、VLAN30
<huawei>system-view/<huawei>
[Huawei]vlan batch 10 to 20
2、把对应部门的PC机加入到对应的VLAN中去
[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei-port-group]port link-type access
[Huawei-port-group]port default vlan 10
其他部门的也类型以上配置。
2、通过子网的方式隔离
分别为三个部门分别不通的子网IP地址
例如:研发部:192.168.1.0
财务部:192.168.3.0
这样在没有路由的情况下三个网段的主机是不同相互通信的。
攻城狮成长日记
都说是基于部门划分vlan,多数交换机默认不同vlan间都是互通的,需要配合acl禁止vlan互通,另外只说是48口交换机,啥样的交换机?二层?三层?交换机上边其他的网络环境是啥?不说清楚拓扑,这问题难回答。。。
rzsqin
看你的需求是完全不能访问还是只是二层无法访问!完全不能方问,只能固定IP,禁用QQ微信之类的互联网软件,一般来说无法通过交换机实现,处分不让这个交换机上互联网!!
不可网管型交换机
那就只需要每一个部门的电脑都设置不能的网段即可!这个应该是最简单的!比如第一个192.168.1.0 第二个192.168.2.0 第三个192.168.3.0!这样就可以了!
可网管的交换机
那就用VLAN,把不同的部门根据所连接的端口划分到不同的VLAN,从二层隔离不同的部门!这样除了不能共享文件,还减少了广播风暴!当然IP也是要在不同网段的!
风来了156
根据不同情况可以有不同的操作方法:
非网管型交换机
无法根据vlan隔离,可以将不同部门ip地址设置为不同网段或不同子网,比如,192.168.1.0/24;192.168.2.0/24;192.168.3.0/24;
这种情况如果员工不会更改ip地址完全是可行的;
可网管型交换机
不同部门划分到不同vlan即可解决;还可通过端口安全和端口隔离开进行控制。
疯评科技
你需要一台网管型的交换机,通过vlan来管理3个部分,网管型交换机功能很强大,价格也贵很多
穿吊带衫的和尚
不出意外这应该是一个网络题,现在都2019年了,互联网大潮势不可挡,竟然还有人学网络哎,简直是往火坑里跳。
糊里不糊涂a
TPLlNK二层交换机有端口隔离功能,简单设置一下行了
俺是东北人42543982
交换机得是三层交换机,楼上说的就可以,如果你的交换机连VLAN功能都不支持,那恐怕你得花钱换设备了