23.jpg?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_bG9nby5wbmc_eC1vc3MtcHJvY2Vzcz1pbWFnZS9yZXNpemUsUF8yMA,g_center,t_50,x_10,y_10

在一家小型企业中,所有员工都使用一台交换机,老板为了避免员工私下通信,将他们分配了不同网段,但偶尔还是会发现,有些员工会自行修改网段和别人通信。如果你是这家企业的网络工程师,你该如何处理?

项目拓扑

项目拓扑如图:

23-1.jpg?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_bG9nby5wbmc_eC1vc3MtcHJvY2Vzcz1pbWFnZS9yZXNpemUsUF8yMA,g_center,t_50,x_10,y_10

需求分析

PC0和PC1即使处于同网段也不可以Ping通!

在不同网段时,PC0和PC1不处于同一个广播域,所以不能通信,也就是说,隔离两者的广播域,可以让其不能通信。

项目方案

使用VLAN虚拟局域网隔离两者的广播域。

相同的VLAN可以通信,不同的VLAN不可通信。

方案步骤

1
2
3
4
5
6
7
8
9
10
11
Switch>enable
Switch#configure terminal
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport access vlan 3

注意:以上命令在交换设备上执行。

方案测试

测试效果如图:

23-2.jpg?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_bG9nby5wbmc_eC1vc3MtcHJvY2Vzcz1pbWFnZS9yZXNpemUsUF8yMA,g_center,t_50,x_10,y_10

方案原理

PC0在发送数据包时,需要经过交换机Fa0/1端口,而这个端口被封装为VLAN2,也就是说,这个数据包被打上了VLAN2标签,它只能从另一个VLAN2端口出去。通过这种限制,使两台PC即便处于统一网段,也不可以通信:

23-3.jpg?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_bG9nby5wbmc_eC1vc3MtcHJvY2Vzcz1pbWFnZS9yZXNpemUsUF8yMA,g_center,t_50,x_10,y_10


博客内容遵循 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 协议

本文永久链接是:https://dusays.com/23/


 上一页

网络

 评论