一个48口的交换机,每个端口都连接了一台计算机,这48台计算机分别属于三个部门,为防止各个部门间相互...
感谢邀请!这个问题可以简单也可以复杂,简单点使用Vlan来搞定,复杂点增加使用VPN来搞定这个事情,一个是二层隔离技术一个是三层隔离技术。但是首先,你得熟悉一下二层网络和三层网络的转发机制。
首先,建议你的三个部门使用不同的网段,例如分别是192.168.1.0/24、192.168.2.0/24、192.168.3.0/24,使用不同网段的好处就是,基本上隔绝了在局域网内的访问,因为只有同一网段的主机才能在局域网内访问,不同网段的主机只能通过网关来访问。
当一台PC访问相同网段的主机时,PC机通过发送ARP报文,获取对端PC响应的MAC地址后,直接在二层交换机根据MAC寻址转发,二层交换机会记录目的主机的MAC和出接口对应的信息,这样流量就会从正确的出接口丢出去。
当然一台PC访问不是相同网段的主机时,访问会通过网关查路由访问,这个时候只要在网关路由器连接交换机的入端口配置ACL,例如在192.168.1.0/24所在的路由器端口配置ACL丢弃所有访问192.168.2.0/24和192.168.3.0/24网段的报文,就可以实现禁止互访。
当然,在同一个交换机的情况下,可以用VLAN来隔离广播域,防止某些PC配置了其他网段的地址来恶意访问他网的主机。例如192.168.1.0/24位于VLAN 100,192.168.2.0/24位于VLAN 200,192.168.2.0/24位于VLAN 300.
VLAN不同,可以防止主机恶意配置地址。举个例子,如果不配置VLAN隔离的话,本来分配地址是192.168.1.100的主机,也可以配置一个192.168.2.100的子地址,在交换机内实现对192.168.2.0/24网段的访问,所以如果通过VLAN隔离不同部门的主机的话,基本上可以杜绝这个现象。
最后一招是,在网关路由器不同的接口绑定不同的VRF,通过VPN实现路由器上访问的隔离。这个时候,路由器就是起了MCE的作用,不同网段的路由在路由器上完全隔离,再配合交换机的VLAN隔离,最终实现整个流量在交换机、路由器的转发面和控制面隔离
所以,建议推荐VLAN、ACL加上VRF的方式,实现不同部门之间二层和三层的隔离。