我是网络新手,已经了解了 VLAN、子网划分等。我正在寻找一种方法,使子网上的所有主机无法通信,甚至无法相互感知。它们应该能够通信的唯一主机是默认路由。这个功能应该叫什么?
如果我从头开始实现这一点,我会将每台主机放在自己的 /30 子网上,并设置唯一的 VLAN ID。显然,这非常麻烦,我假设路由器/交换机具有执行此操作的功能,但我似乎找不到该功能的名称。
我想象拥有公共 WiFi 的企业会使用这一功能来将主机彼此隔离。
理想情况下,我可以将所有使用前面提到的隔离方案的主机放在同一个子网上,这样我就可以通过为子网配置防火墙规则轻松地将防火墙规则同时应用于所有主机。
答案1
对于以太网交换机,这有时被称为“私有 VLAN”或“端口隔离”,其中只有指定的“上游”端口(路由器)可以向该 VLAN 中的所有其他端口发送/接收数据包。
它必须在“访问”交换机上进行配置,就在相关设备连接的地方——这不是仅靠路由器就能强制执行的。
对于 Wi-Fi 来说,相当于在每个接入点上配置“客户端隔离”。
在这两种情况下,如果希望保留主机之间的某些过滤访问(即相当于通过防火墙进行 VLAN 间路由),路由器需要代表所有主机应答 ARP(有时称为当地的代理ARP(Proxy-ARP)