我正在开展一个有关网络安全的项目,并且讨论了有关 VLAN 的主题。
我想知道是否可以设置多个 VLAN(VLAN0、10、20、30),以便所有 VLAN 都可以与 VLAN0 通信,但不能相互通信?
提前致谢!
答案1
是的,这是可以做到的。例如,在思科产品中,您可以使用访问列表 (ACL),即
access-list 101 permit ip <vlan10 net> <mask> <vlan0 net> mask
access-list 101 permit ip <vlan20 net> <mask> <vlan0 net> mask
..............................................................
access-list 101 deny ip any any
或者,如果只有一个 VLAN 10 与 VLAN 20 通信,请添加此行
access-list 101 permit ip <vlan10 net> <mask> <vlan20 net> mask
但请记住将其放在最后一行上面。
此致。
答案2
是的,从很多方面来说,这完全有可能。在 Cisco 术语中,您应该搜索与隔离 VLAN 相关的设置(相对于将单个端口与配置的端口以外的任何端口隔离开的私有 VLAN)。
除了建议使用 ACL 的其他答案之外,还应该注意,您可以通过控制路由轻松地做到这一点,前提是互连 VLAN 的路由器不是具有 VLAN 的同一设备(交换机)(并且我们实际上在这里谈论的是不同的子网,它们经常与 VLAN 混淆,但完全不同)。