使用支持 VLAN 的可管理交换机进行设备隔离

1. 您的端点的任何端口都不需要标记。所有端点端口都应配置为访问端口。

2. 您需要将连接到另一台交换机的交换机端口配置为中继端口。同样，连接到戴尔交换机的另一台交换机上的端口也需要配置为中继端口。

3. 您需要一个路由器来在 VLAN 之间路由流量。

4. 您需要为每组端点配置相应的 IP 地址。同一 VLAN 中的端点需要同一 IP 网络中的 IP 地址。每个 VLAN 中的端点不得使用与不同 VLAN 中的端点相同 IP 网络中的 IP 地址。例如，VLAN 1 中的所有设备都可以配置 192.168.1.0/24 IP 网络中的 IP 地址。VLAN 2 中的所有设备都可以配置 192.168.2.0/24 IP 网络中的 IP 地址。

5. 是的，您需要在两个交换机上配置“匹配”的 VLAN。您还需要确保中继端口已配置为承载您配置的 VLAN 的流量。

6. 您可以使用路由器上的 ACL 来控制（允许或限制）VLAN 之间的流量。

如果您的设备不支持 VLAN（并且它们的接口连接在不同的 VLAN 中），那么它们之间的通信只能在第 3 层实现。设置路由器并根据您的需要路由或阻止流量。

搞清楚了。因为我真的不想添加路由器。

我用 4 台主机进行了测试：2 个“客户端”和 2 个“服务器”，均不支持 VLAN。
客户端插入端口 3 和 4。
服务器插入端口 19 和 20。
将所有四个端口设为“常规”，为每个端口创建一个 VLAN（因为我模拟了 4 个逻辑网络段，151 和 152 分别用于端口 3 和 4，153 和 154 用于“服务器”端口 19 和 20）。
使端口 3 成为 VLAN 153 和 154 的成员，不加标记，使端口 4 成为 VLAN 154 的成员，仅不加标记。

结果是，客户端 1 可以看到两个服务器（在 VLAN 153/154 上的端口 19 和 20 中），而客户端 2 只能看到端口 20 中的服务器 2。

配置如下：

console# show running-config
port jumbo-frame
interface range ethernet g(3-4,19-20)
switchport mode general
exit
vlan database
vlan 151-154
exit
interface ethernet g3
switchport general pvid 151
exit
interface ethernet g4
switchport general pvid 152
exit
interface ethernet g19
switchport general pvid 153
exit
interface ethernet g20
switchport general pvid 154
exit
interface range ethernet g(3,19-20)
switchport general allowed vlan add 151 untagged
exit
interface range ethernet g(4,20)
switchport general allowed vlan add 152 untagged
exit
interface range ethernet g(3-4,19)
switchport general allowed vlan add 153 untagged
exit
interface range ethernet g(3-4,20)
switchport general allowed vlan add 154 untagged
exit
interface vlan 151
name Client151
exit
interface vlan 152
name Client152
exit
interface vlan 153
name Server153
exit
interface vlan 154
name Server154
exit
interface vlan 1
ip address 192.168.1.5 255.255.255.0
exit
ip default-gateway 192.168.1.1
ip name-server  8.8.8.8 8.8.4.4

我猜这只是限制变量和使用测试环境的问题。谢谢大家的回答！接下来，测试主干。