我的网络拓扑如下:
PC1------- PC2-------交换机--------路由器-PT PC3-------2960-24 PC4-------
我试图实现的是:不允许任何 PC ping PC3,但允许 PC3 ping 每台 PC。
您有什么建议吗?我能否以某种方式先将所有数据包路由到路由器以使用 ACL 列表,还是必须在这里使用 VLAN?
答案1
常规交换机将连接所有 PC,甚至无需将数据包传递给路由器。
如果想要安全起见,您必须使用具有不同 IP 范围的不同 VLAN,并在路由器中制定允许和拒绝内容的规则。
如果您的要求不是那么高,您也可以使用不同的 IP 范围,而无需不同的 VLAN。如果没有 VLAN,交换机将无法分离 PC,但不同的 IP 范围可以,除非有人重新配置他们的 PC。因此,这取决于您是想防止意外访问还是防止具有管理员权限的人故意访问。