我一直在尝试寻找这个问题的答案,甚至询问了与我共事的 CCNA,但仍然没有找到答案。情况如下:
我的办公室有多排计算机,每排之间只需通信。所需的整个子网空间远低于完整的 /24,因此不需要多个子网。但是,我们不希望第 1 排的人能够 ping 或访问第 2 排的计算机,但我们希望他们能够访问 NAS。因此,我的想法是,我将在同一个 /24 上创建多个 VLAN,并根据它们所在的行使用正确的 VLAN 标记每个端口,然后将 NAS 放在管理 VLAN 上,这将允许所有各种 VLAN 与 NAS 通信,而不能进行其他通信。我使用的设置有一个第 3 层安全网关,它处理连接到第 2 层交换机(单块路由器)的所有路由。问题是,当我创建 VLAN 并标记交换机上的端口时,我仍然可以 ping 其他 VLAN 上的主机。我做错了什么?
注意:我使用 Ubiquiti USG 连接到 Ubiquiti UniFi 48 端口交换机
答案1
我不确定您想要实现的目标是否可以与管理 VLAN 一起使用,但撇开这一点不谈,您之所以能够看到所有其他计算机,是因为我怀疑您的计算机未配置为发送标记数据包,因此正在发送未标记的数据包。
在这种情况下,数据包被分配到的 VLAN 将基于它们所连接的端口的 PVID。请注意,这与端口所属的 VLAN 不同。大多数交换机都有不同的成员资格和 PVID 配置页面
由于不知道您连接的是哪个交换机,我无法评论您需要如何配置它,但请查看您是否可以看到端口的 PVID 设置,并检查它是否设置为您想要的 VLAN。这将根据需要限制流量。