我不太了解 TCP/IP,而且我尝试做的事情对我来说似乎相当基础,但我似乎无法弄清楚。
我有一个中央路由器连接到我的 ISP,并且连接到此路由器的所有计算机目前都能够互相看到。我想隔离其中一个物理端口,以便连接到此特定端口的计算机看不到网络的其余部分,但仍能够访问互联网。
隔离网络将通过托管交换机 (GS105E) 连接。交换机可以根据端口和 802.1Q 配置 VLAN,但我不知道这是否是实现目标所需要的。
到目前为止,当我创建不同的 VLAN 时,该网络上的计算机无法使用 DCHP 服务器并且无法连接到互联网。
一个可能的解决方案是添加另一个路由器而不是交换机,但我希望交换机能够为此提供更高效、更轻量的解决方案。
是否可以使用一台路由器和一台交换机来实现这一点?或者我真的需要 2 个路由器来创建 2 个网络吗?
答案1
您的路由器应该能够将端口放入不同的 VLAN。假设有 3 台计算机 A、B、C 和一台路由器 R。如果您想让 A 和 B 互相看到,但将它们与 C 隔离,您可以选择将 A 和 B 都添加到vlan1并将 C 添加到vlan2。您还需要将 R 添加到vlan1以便vlan2两个 VLAN 都能够连接到 R。不需要额外的路由器。
答案2
不太清楚的是,您的“物理端口”是路由器上的端口还是交换机结构中的端口,正确答案会根据这一点而发生微妙的变化。但是,您谈论的是 VLAN,这让我怀疑它是交换机结构中的端口。
如果它是交换机结构中的端口,则需要配置从该端口到中央路由器的中继。您还需要有一个“具有本机 VLAN 的中继端口”或“将所有其他端口放在另一个 VLAN 中”。然后,您需要在中央路由器内配置两个 VLAN,一个用于新 LAN,另一个(可能未更改)用于现有 LAN。之后,您需要过滤从新 VLAN 到旧 VLAN 的流量。
如果它是一个物理端口,则可以使用现有 LAN 上未使用的 IP 地址范围(或至少之后不会使用)来配置新端口,然后配置访问列表(基本上是过滤)以阻止从新端口到旧端口的流量。