VLAN 共享网关端口 - 如何阻止 VLAN 之间的互联网流量？

我的 VLAN 出现以下情况，无法看到灯光：

为了简化，我将讨论 2 个 VLAN，而不是 10+ 个。在 L2 交换机中，我有 VLAN 100 和 VLAN 200。使用 802.1Q VLAN：

• VLAN 1（所有端口系统 VLAN - 管理 VLAN）。
• VLAN 100（端口 4、6 - 连接到计算机，端口 15 连接到路由器）。
• VLAN 200（端口 10、12 - 连接到计算机，端口 15 连接到路由器）。

端口配置为：

• 端口 4,6 (一般未标记 - PVID 100)
• 端口 10、12（一般未标记 - PVID 200）
• 端口 15（一般未标记 - PVID 1）。

结果是正确的：我的所有端口都可以上网，但无法在 VLAN 之间通信。从端口 1 ping 到端口 4、6 或 10、12。端口 4、6 - 10-12 之间没有通信。是的，我在 4、5 和 10-12 之间可以 ping 通。所以现在一切都正常。

我的问题是: - 我将一台 PC (10.20.30.187) 连接到端口 10 (VLAN 200)，然后启动 wireshark 查找 ICMP。 - 一台笔记本电脑 (10.20.30.190) 连接到端口 4 (VLAN 100)，然后我启动对 8.8.8.8 的 ping。 --> 在 VLAN 200 中的 PC 上，我可以看到从 8.8.8.8 发送到笔记本电脑 (10.20.30.187) 的所有数据包。我看不到从 PC 发送的数据包，因为源位于另一个 VLAN 中，但可以看到互联网响应。

由于所有 VLAN 都通过 VLAN 15，而路由器无法识别 VLAN，我是否可以将这些流量从互联网分离到 VLAN，从而避免这种情况？我一直在考虑 ACL，但什么也想不出来。已经过去了几天……我甚至尝试过一个“愚蠢”的做法，比如创建一个扩展 ACL，拒绝从 PC IP 到笔记本电脑 IP 的流量，但当然，源 IP 是 8.8.8.8。

那么你们有什么想法吗？

我一直在检查这个论坛（一些例子： VLAN 和公有/私有流量 VLAN 向不应该发送数据的端口发送数据 本征 VLAN 通用端口上的标记数据包 802.1q VLAN 回应回复不包含 VLAN ID）当然还有很多其他问题，但似乎没有人遇到过这种情况，或者已经知道如何解决，所以不需要问。希望你能给我一个解决方案。

非常感谢。Portuguevos 致以最诚挚的问候。

---

首先感谢您的回答。

因此，将流量从互联网分离到任何 VLAN 的唯一方法是使用带 VLAN 的路由器。但还有其他可能吗？也许是 ACL？我想学习这个，因为这是我喜欢的东西，但我一直在寻找，找不到类似的东西。不要使用带 VLAN 的路由器，因为我家里没有 ;-)

以防万一，让我重新解释一下情况：我必须说我对 VLAN 的描述不是实际情况。到目前为止，我一直在使用 VLAN 来分离部门之间的流量。最近，一位同事使用 L2 交换机将多个具有公共 IP 的 Internet 连接分发到几个办公室。因此，在 24 端口 L2 交换机中，他使用端口 24 连接到路由器（没有关于此设备的具体信息），在那里他从 ISP 接收大约 20 个公共 IP。因此，他创建了端口 2 +24 的 VLAN 20。Vlan 20 端口 3+24 等等。每当他所在大楼的办公室需要互联网连接时，他都会从端口 2 或 3 或 4 等部署一条以太网电缆到办公室安装的路由器。所以每个办公室都有自己的互联网，假设没有人可以看到对方。所以他认为一切都是分开的。这个想法对我来说很奇怪也很新颖，所以我在家里构建了一个小场景。我有一台 SG3216 TP-Link 交换机、一个 ADSL（端口 15 - 192.168.100.0/24）和一个 4G 路由器（端口 16 - 192.168.200.0/24）。我有 VLAN 100 端口 4、6、15、16（一般未标记）和 VLAN 200，端口 10、12、15、16（一般未标记）。VLAN 工作正常。VLAN 之间没有流量，但所有 VLAN 都有互联网。（我已检查过在不同的 VLAN 中使用相同范围的 IP，没有通信）。但问题是使用 Wireshark，我可以捕获从互联网到任何 VLAN 的所有流量。我无法捕获从其他 VLAN 到互联网的流量。

如果有人知道该怎么做才能避免看到来自互联网到不属于你的 VLAN 的数据，我将不胜感激。非常感谢。