• 生活小妙招免费各类生活中的小问题知识以及音乐简谱等,是你了解世界未知知识的好地方。
> 十万个为什么 > 一个48口的交换机,每个端口都连接了一台计算机,这48台计算机分别属于三个部门,为防止各个部门间相互访问,应该用什么协议?

一个48口的交换机,每个端口都连接了一台计算机,这48台计算机分别属于三个部门,为防止各个部门间相互访问,应该用什么协议?

十万个为什么 空空 2024-3-20 23:38:03 3次浏览

关于问题一个 48 口的交换机,每个端口都连接了一台计算机,这 48 台计算机分别属于三个部门,为防止各个部门间相互访问,应该用什么协议?一共有 5 位热心网友为你解答:

【1】来自网友【喵呜 47394】的最佳回答:

协议算不上吧,就是一个功能:划分 vlan 就行了,然后如果三个业务网关在同一台设备上,还得配置 QOS 流策略来做隔离就行了。

同业务段下如果也不让互相访问,那就配置端口隔离,同业务 vlan 段下的交换机端口在同一隔离组即可。

【2】来自网友【IT 老良】的最佳回答:

一个 48 口的交换机,每个端口都连接了一台计算机,这 48 台计算机分别属于三个部门,如果只是需要实现三个部门不能相互访问,这个问题其实比较简单的,我们只需要将三个部门划的计算机分为不同的网段就可以了,如下图所示,假设公司有三个部门分别规划为三个网段,技术部 192.168.1.0/24,财务部 192.168.2.0/24,销售部 192.168.3.0/24。

此时我们不需要对这台交换机做任何操作,这样三个部门之间的计算机是不能进行互访的,只能在同一网段也就是同部门的计算机才可以通信。因为分别属于不同网段的计算机如果需要进行通信是需要依靠三层网络设备如路由器、三层交换机等以路由的方式去进行实现的。那为了比较符合实际工作场景以及相关知识的完整性,我下面再进行详细阐述,请继续往下看!

VLAN 技术

VLAN(Virtual Local Area Network)即虚拟局域网。它是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置 VLAN,可以实现在同一个 VLAN 内的计算机进行互访,而不同 VLAN 间的计算机被进行隔离不能互访。默认情况下交换机的所有端口属于 VLAN1,我们说交换机的工作原理,交换机是通过 MAC 地址表进行二层转发,当技术部的一台计算机 PC1 192.168.1.1/24 第一次要与 PC2 192.168.1.2/24 通信时,首先需要发送一个 ARP 查询包以获取到 PC2 的 MAC 地址,这个 ARP 查询包目的 MAC 地址为“FF-FF-FF-FF-FF-FF”,以广播泛洪地形式发送出去。此时同一默认 VLAN1 下的所有主机都会收到这个广播数据帧,我们称它们在同一个广播域。也就是说虽然其他两个部门已经属于不同的网段,但还都会收到这个 PC1 产生的 ARP 广播包。

超大的广播域会带来大量的广播风暴和安全隐患,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分 CPU 时间来对它进行处理,而解决这个问题的方法就是去划分 VLAN 隔离广播域。所以我们一般的做法是不同部门会去划分为不同的 VLAN,如下所示,我们对一台华为交换机进行 VLAN 划分。

<Huawei>system-view

[Huawei]vlan batch 10 20 30 //使用 batch 可批量创建 VLAN

[Huawei]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type access //将端口类型配置为 Access

[Huawei-Ethernet0/0/1]port default vlan 10 //将端口划分到 VLAN10

[Huawei-Ethernet0/0/1]int e0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 10

[Huawei-Ethernet0/0/2]quit

[Huawei]port-group VLAN20 //也可以定义多个端口为一组的方式一次性将 VLAN 划入

[Huawei-port-group-vlan20]group-member e0/0/3 to e0/0/4

[Huawei-port-group-vlan20]port link-type access

[Huawei-port-group-vlan20]port default vlan 20

[Huawei]port-group VLAN30

[Huawei-port-group-vlan30]group-member e0/0/5 to e0/0/6

[Huawei-port-group-vlan30]port link-type access

[Huawei-port-group-vlan30]port default vlan 30

我们将三个部门划分为三个 VLAN,这样一来不同 VLAN 下的计算机就不能相互通信了,即使所有的计算机都属于同一网段比如都是 192.168.1.0/24 也是不能进行通信的。

访问控制列表技术

访问控制列表简称为 ACL(Acess Control List),它使用包过滤技术,在网络设备上通过读取数据包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

通常局域网中的计算机一般都是需要对外进行访问的,因此每台计算机都会设置上一个网关 IP 地址。

而这个网关 IP 一般就是设置在一台三层交换机上,如下图所示,为了能让三个部门的计算机能访问互联网,我们这里计算机采用连接的是一台三层交换机,并在这台三层交换机上配置上这三个 VLAN 网段的网关 IP 地址。

[Huawei]int Vlanif 10 //进入 VLANIF 模式

[Huawei-Vlanif10]ip address 192.168.1.254 255.255.255.0 //直接配置 IP 地址和掩码即可

[Huawei-Vlanif10]int vlan 20

[Huawei-Vlanif20]ip address 192.168.2.254 24 //也可以直接写掩码位

[Huawei-Vlanif20]int vlan 30

[Huawei-Vlanif30]ip address 192.168.3.254 24

这样虽然三个部门属于三个网段 VLAN,但是各计算机之间通过这台三层交换机是可以相互进行通信的了。

那么为了能够实现不同部门不能进行互访,此时我们就需要在这台三层交换机配置访问控制列表。配置参考如下:

[Huawei]acl 3000 //创建 acl 规则,拒绝访问其他两个部门

[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[Huawei-acl-adv-3000]rule 15 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[Huawei]traffic classifier VLAN //创建名为 VLAN 的流分类

[Huawei-classifier-VLAN]if-match acl 3000 //将 ACL 与流分类关联

[Huawei]traffic behavior VLAN //创建名为 VLAN 的流行为

[Huawei-behavior-VLAN]deny //配置流行为动作为拒绝报文通过

[Huawei-behavior-VLAN]quit

[Huawei]traffic policy VLAN // //创建名为 VLAN 的流策略

[Huawei-trafficpolicy-VLAN]classifier VLAN behavior VLAN //将流分类 VLAN 与流行为 VLAN 关联

[Huawei-trafficpolicy-VLAN]quit

[Huawei]traffic-policy VLAN global inbound //全局应用流策略

配置完成后,各部门之间也就不能相互访问了。

端口隔离技术

我们可以将不同的端口加入不同的 VLAN,但这样会浪费有限的 VLAN 资源。采用端口隔离功能,可以实现同一 VLAN 内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。如下图三个部门处于同一网段中,我们将每个端口加入到隔离组中。

[Huawei]int e0/0/1

[Huawei-Ethernet0/0/1]port-isolate enable group 5

[Huawei-Ethernet0/0/1]int e0/0/3

[Huawei-Ethernet0/0/3]port-isolate enable group 5

[Huawei-Ethernet0/0/3]int e0/0/5

[Huawei-Ethernet0/0/5]port-isolate enable group 5

这样端口隔离的端口之间无法相互通信,所以端口隔离功能为用户提供了更安全的方案。但是这样虽然也实现了禁止不同部门的计算机相互访问,但是同部门的计算机也是无法访问了。

总结

以上就是在一台 48 口交换机下接入计算机分别属于三个部门,禁止各个部门间相互访问的实现总结了,在实际工作中划分 VLAN 并配置 ACL 实现尤为常见,关于更多网络知识,欢迎大家关注咯~

【3】来自网友【网络专家 vlog】的最佳回答:

你好,头条最强的高级网络工程师为您解答该问题。关注我,带你入门网络工程师行业。

根据你的描述,你的网络拓扑如下:

该拓扑的网段以及 vlan 规划如上图所示。题主的需求是:各部门的电脑不能互访。为了实现该需求,我用到的技术是 ACL(访问控制列表)、策略路由这两个技术来实现。

没做流量控制之前,该拓扑之间的电脑都是可以互访的。

大家看着我是怎样一步一步实现各部门之间的电脑不能互访的吧。

第一步:在 48 口交换机上配置 ACL,控制 1 部门的电脑 IP 不能访问 2 部门、3 部门的电脑。

acl number 3000

rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.3.0 0.0.0.255

第二步:配置流分类。

traffic classifier TB operator and

if-match acl 3000

第三步:配置流行为。

traffic behavior TB

deny

第四步:配置流策略。

traffic policy TB

classifier TB behavior TB

第五步:全局下应用该策略路由。

traffic-policy TB global inbound

第六步:检验实验成果。

从上图看,策略路由生效了,有效的控制了 1 部门访问其它部门。其它部门的配置方式和 1 部门的一致。

欢迎关注网络专家 vlog,你身边的网络专家。

【4】来自网友【攻城狮成长日记】的最佳回答:

感谢你的邀请

针对您的问题,可以采用以下两种方法来解决

1、分别为三个部门划分不通的 VLAN,把相同部门的 PC 加入到对应的 VLAN 中。

案例拓扑:

配置步骤:

1、在交换机 SW1 新建 VLAN10 、VLAN20、VLAN30

<Huawei>system-view

[Huawei]vlan batch 10 to 20

2、把对应部门的 PC 机加入到对应的 VLAN 中去

[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10

[Huawei-port-group]port link-type access

[Huawei-port-group]port default vlan 10

其他部门的也类型以上配置。

2、通过子网的方式隔离

分别为三个部门分别不通的子网 IP 地址

例如:研发部:192.168.1.0

市场部:192.168.2.0

财务部:192.168.3.0

这样在没有路由的情况下三个网段的主机是不同相互通信的。

【5】来自网友【经纪人-阿翔】的最佳回答:

我能想到的有四种办法,但是可能都需要有特定条件:

1、48 口交换机支持 vlan 管理,这样根据端口绑定 vlan 和 mac,这样是最安心也是最安全的;

2、48 口交换机不支持 vlan,但是有 windows server 及域服务器,这样可以在 server 系统里设置好域并给与权限,客户机使用域登陆;

3、48 口交换机不支持 vlan,但路由器支持,可以在路由器内根据 ip 绑定 mac 和 vlan;

4、上述情形以外,所有客户机有管理员权限,网卡指定 ip 地址并设置子网掩码/24(255.255.255.0),这样客户机只能访问本段的设备,尽量使用 192.168.X.X,这是 C 类私用地址,第一个 x 用来区分网段。第二个 X 是客户机地址,1 默认路由地址不要使用,255 为广播地址无法使用,2-254 可任意使用,但不可出现数字相同,否则会 IP 地址冲突。

喜欢 (0)