在一家小型企业中,所有员工都使用一台交换机,老板为了避免员工私下通信,将他们分配了不同网段,但偶尔还是会发现,有些员工会自行修改网段和别人通信。如果你是这家企业的网络工程师,你该如何处理?
项目拓扑
项目拓扑如图:
需求分析
PC0 和 PC1 即使处于同网段也不可以 Ping 通!
在不同网段时,PC0 和 PC1 不处于同一个广播域,所以不能通信,也就是说,隔离两者的广播域,可以让其不能通信。
项目方案
使用 VLAN 虚拟局域网隔离两者的广播域。
相同的 VLAN 可以通信,不同的 VLAN 不可通信。
方案步骤
Switch>enable
Switch#configure terminal
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport access vlan 3注意:以上命令在交换设备上执行。
方案测试
测试效果如图:
方案原理
PC0 在发送数据包时,需要经过交换机 Fa0/1 端口,而这个端口被封装为 VLAN2,也就是说,这个数据包被打上了 VLAN2 标签,它只能从另一个 VLAN2 端口出去。通过这种限制,使两台 PC 即便处于统一网段,也不可以通信:
