大家好,今天小编关注到一个比较有意思的话题,就是关于如何禁止路由器连接交换机的问题,于是小编就整理了3个相关介绍如何禁止路由器连接交换机的解答,让我们一起看看吧。
一个路由器两个交换机,怎么让两个交换机不能互相访问?
回答本行业问题,怎么让两个交换机不能相互访问?最好的办法就是划分vlan,简单介绍下。
划分VLAN可以隔离冲突域和广播域,同一个局域网,可以根据不同的应用划分不同的Vlan,默认情况下这些不同的VLAN是相互隔离的
①什么是划分VLAN
VLAN也叫虚拟"虚拟局域网",是一组逻辑上的设备和用户,并不受物理位置的限制。它是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
②VLAN划分实现的方式
- 按端口划分VLAN,利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。端口划分VLAN是最常用的一种VLAN划分方法,简单明了,管理非常方便。
- 按MAC地址划分VLAN,设备的MAC地址是全球唯一的一个物理地址,根据设备的MAC地址可以将很多的网络设备划分在同一个VLAN中。
- 按 IP 地址划分VLAN,是通过局域网所连设备的IP地址来决定端口所属VLAN的,只要设备的IP地址不变,那么它的vlan就不变。
- 三层交换机的内网限制功能非常加强大,如果不同网段之间的数据交换比较多,需要用三层交换机划分VLAN。
- 三层交换机一般需要划分VLAN并描述,给VLAN划分***,给VLAN指定端口,然后配置路由协议。
- 路由器上划分VLAN相对简单,一般在“VLAN管理”中添加对应的VLAN,在“接口设置”中,编辑新添加的VLAN,设置IP地址和dhcp服务等。
- 划分VLAN最大的好处就是可以隔离冲突域和广播域,否则一旦产生广播风暴,整个网络就可能被彻底的瘫痪,影响网络的正常使用。
关注尬聊科技,分享更多知识,分享越多,收获越多!
我用最具性价比的设备,举个例子:
路由器用H3C的ER3100,交换机用S***都是百兆的,过去的十年中在小企业局域网中,用的很多。这两年开始升级用千兆型号了。
我们就说这两种设备。
ER3100的LAN口是可以支持定义成不同的网段的,比如LAN1口是192.168.1.0/24网段,LAN2口是192.168.2.0/24网段。开通后两个网段都可以上网,都有各自的DHCP服务,相互也能互访。(傻瓜式企业宽带路由器配置就是简单好用)
Lan1口和Lan2口各自接傻瓜交换机S***就可以正常使用了。
最后在ER3100的防火墙设置中,禁止192.168.1.0/24网段访问192.168.2.0/24网段就可以了。虽然只禁止了一个方向,其实互访都是被禁止了,数据是不能通的。
级别更高的设备,跨交换机划Vlan组,设访问控制列表,等等。设置过程不[_a***_],原理都差不多的。
还有一种特殊方法就是端口隔离,这样做所有的Lan口相互之间是全隔离的,只能和上联口通讯,相互之间不通。以前TP的楼道交换机就带一个拨码开关,可以直接实现这个功能,而专业一点的管理型交换机通过配置isolate vlan实现端口隔离。
可以划分VLAN来实现,这需要你的路由器支持端口VLAN划分,一个端口一个VLAN就可以互相隔离了。路由器不支持VLAN划分的话,需要换一个支持VLAN的路由器才行。一般的行为管理路由器都具有该功能,并且把每个VLAN接口分配不同的网段,而下面的电脑由自动获取IP即可,比如vlan1自动分配IP为192.168.10.1-254,vlan2自动分配为192.168.101.1-254,如果使用无线AP具有AC控制功能的也可以这样划分,可以把无线分成两个网段,一个对内一个对外之类的,具体操作你可以咨询路由器厂家客服。
一个路由器两个交换机,怎么让两个交换机不能互相访问?楼主这个问题提的好,其实这个问题主要是以ACL的配置来进行的,又叫访问配置列表。其实简单的原理就是在路由器上配置ACL,然后交换相互之间走数据就要通过路由器。那路由器就查询自身的ACL,看是否允许数据通过,允许就放行,不允许就丢弃数据。下面我就以H3C的带web设置功能的路由为例来说明,具体型号为H3C ER3200。
网络拓扑图如下这样的,
交换机A,网络地址段为:192.168.20.0/24 交换机的管理IP为:192.168.20.200
交换机B,网络地址段为:192.168.30.0/24 交换机的管理IP为:192.168.30.200
路由器的IP地址为:192.168.20.1/24和192.168.30.1/24(注意两个网段路由器就有二个IP地址,如果是普通家用的就只有一个,当然普通家用的也不支持ACL功能)
进行路由器的配置界面
找到安全专区-----防火墙(高级的路由器叫ACL)-----出站通信策略,可以在出站做出可以在入站做。
问题描述不严格啊,两个交换机本来就不存在能不能相互访问的问题,
当然,问题肯定是问如何让两个交换机下各自的设备不能跨交换设备访问另一个的。
如果问题是这样,其实未必需要两个交换机啊,一个交换机也能实现。
方法1,画vlan是最简单的办法,但是很多人根本不知道vlan是什么,很多路由器也不支持vlan。
方法2,
再加一个路由器接主路由器,单独负责一个交换机的机器,当然ip段要设置和主路由器分配的一样。这样子路由下的设备就访问不了另外一个的了。
华为交换机如何防止私接路由器?
华为路由器禁止用户私接路由器,可以***用如下命令:
[huawei]dhcp snooping
上述命令的作用是:开始dhcp snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。屏蔽接入网络中的非法的 DHCP 服务器。
一个网络内,可以允许存在多个DHCP服务,当用户需要联网时,以收到的第一个dhcpdiscover为准。管理员将无法保证客户端从管理员指定的 DHCP服务器获取合法地址,客户机有可能从非法 DHCP 服务器获得错误的 IP 地址等配置信息,导致客户端无***常使用网络。
不可上网交换机设置?
解决办法:尝试换一条质量较好的网线连接不能上网的电脑与交换机,并确保接口连接牢固,对应接口的指示灯都亮。
2、可能原因:电脑指定了错误的网络参数。
解决办法:如非特殊要求,请将电脑设置为自动获取IP地址、DNS地址。不同操作系统的设置方法不同。
3、可能原因:路由器限制电脑上网。
解决办法:去掉交换机,将电脑直接连接到路由器的LAN口,如果不能上网,则排查路由器的问题或电脑自身的问题(即IP地址的设置、浏览器问题或网卡故障等)。
到此,以上就是小编对于如何禁止路由器连接交换机的问题就介绍到这了,希望介绍关于如何禁止路由器连接交换机的3点解答对大家有用。
