一个48口的交换机，每个端口都连接了一台计算机，这48台计算机分别属于三个部门，如果只是需要实现三个部门不能相互访问，这个问题其实比较简单的，我们只需要将三个部门划的计算机分为不同的网段就可以了，如下图所示，假设公司有三个部门分别规划为三个网段，技术部192.168.1.0/24，财务部192.168.2.0/24，销售部192.168.3.0/24。

此时我们不需要对这台交换机做任何操作，这样三个部门之间的计算机是不能进行互访的，只能在同一网段也就是同部门的计算机才可以通信。因为分别属于不同网段的计算机如果需要进行通信是需要依靠三层网络设备如路由器、三层交换机等以路由的方式去进行实现的。那为了比较符合实际工作场景以及相关知识的完整性，我下面再进行详细阐述，请继续往下看！

VLAN技术

VLAN（Virtual Local Area Network）即虚拟局域网。它是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的计算机进行互访，而不同VLAN间的计算机被进行隔离不能互访。默认情况下交换机的所有端口属于VLAN1，我们说交换机的工作原理，交换机是通过MAC地址表进行二层转发，当技术部的一台计算机PC1 192.168.1.1/24第一次要与PC2 192.168.1.2/24通信时，首先需要发送一个ARP查询包以获取到PC2的MAC地址，这个ARP查询包目的MAC地址为“FF-FF-FF-FF-FF-FF”，以广播泛洪地形式发送出去。此时同一默认VLAN1下的所有主机都会收到这个广播数据帧，我们称它们在同一个广播域。也就是说虽然其他两个部门已经属于不同的网段，但还都会收到这个PC1产生的ARP广播包。

超大的广播域会带来大量的广播风暴和安全隐患，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理，而解决这个问题的方法就是去划分VLAN隔离广播域。所以我们一般的做法是不同部门会去划分为不同的VLAN，如下所示，我们对一台华为交换机进行VLAN划分。

<Huawei>system-view

[Huawei]vlan batch 10 20 30 //使用batch可批量创建VLAN

[Huawei]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type access //将端口类型配置为Access

[Huawei-Ethernet0/0/1]port default vlan 10 //将端口划分到VLAN10

[Huawei-Ethernet0/0/1]int e0/0/2

[Huawei-Ethernet0/0/2]port link-type access

[Huawei-Ethernet0/0/2]port default vlan 10

[Huawei-Ethernet0/0/2]quit

[Huawei]port-group VLAN20 //也可以定义多个端口为一组的方式一次性将VLAN划入

[Huawei-port-group-vlan20]group-member e0/0/3 to e0/0/4

[Huawei-port-group-vlan20]port link-type access

[Huawei-port-group-vlan20]port default vlan 20

[Huawei]port-group VLAN30

[Huawei-port-group-vlan30]group-member e0/0/5 to e0/0/6

[Huawei-port-group-vlan30]port link-type access

[Huawei-port-group-vlan30]port default vlan 30

我们将三个部门划分为三个VLAN，这样一来不同VLAN下的计算机就不能相互通信了，即使所有的计算机都属于同一网段比如都是192.168.1.0/24也是不能进行通信的。

访问控制列表技术

访问控制列表简称为 ACL（Acess Control List），它使用包过滤技术，在网络设备上通过读取数据包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

通常局域网中的计算机一般都是需要对外进行访问的，因此每台计算机都会设置上一个网关IP地址。

而这个网关IP一般就是设置在一台三层交换机上，如下图所示，为了能让三个部门的计算机能访问互联网，我们这里计算机采用连接的是一台三层交换机，并在这台三层交换机上配置上这三个VLAN网段的网关IP地址。

[Huawei]int Vlanif 10 //进入VLANIF模式

[Huawei-Vlanif10]ip address 192.168.1.254 255.255.255.0 //直接配置IP地址和掩码即可

[Huawei-Vlanif10]int vlan 20

[Huawei-Vlanif20]ip address 192.168.2.254 24 //也可以直接写掩码位

[Huawei-Vlanif20]int vlan 30

[Huawei-Vlanif30]ip address 192.168.3.254 24

这样虽然三个部门属于三个网段VLAN，但是各计算机之间通过这台三层交换机是可以相互进行通信的了。

那么为了能够实现不同部门不能进行互访，此时我们就需要在这台三层交换机配置访问控制列表。配置参考如下：

[Huawei]acl 3000 //创建acl规则，拒绝访问其他两个部门

[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[Huawei-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[Huawei-acl-adv-3000]rule 15 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

[Huawei]traffic classifier VLAN //创建名为VLAN的流分类

[Huawei-classifier-VLAN]if-match acl 3000 //将ACL与流分类关联

[Huawei]traffic behavior VLAN //创建名为VLAN的流行为

[Huawei-behavior-VLAN]deny //配置流行为动作为拒绝报文通过

[Huawei-behavior-VLAN]quit

[Huawei]traffic policy VLAN // //创建名为VLAN的流策略

[Huawei-trafficpolicy-VLAN]classifier VLAN behavior VLAN //将流分类VLAN与流行为VLAN关联

[Huawei-trafficpolicy-VLAN]quit

[Huawei]traffic-policy VLAN global inbound //全局应用流策略

配置完成后，各部门之间也就不能相互访问了。

端口隔离技术

我们可以将不同的端口加入不同的VLAN，但这样会浪费有限的VLAN资源。采用端口隔离功能，可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间二层数据的隔离。如下图三个部门处于同一网段中，我们将每个端口加入到隔离组中。

[Huawei]int e0/0/1

[Huawei-Ethernet0/0/1]port-isolate enable group 5

[Huawei-Ethernet0/0/1]int e0/0/3

[Huawei-Ethernet0/0/3]port-isolate enable group 5

[Huawei-Ethernet0/0/3]int e0/0/5

[Huawei-Ethernet0/0/5]port-isolate enable group 5

这样端口隔离的端口之间无法相互通信，所以端口隔离功能为用户提供了更安全的方案。但是这样虽然也实现了禁止不同部门的计算机相互访问，但是同部门的计算机也是无法访问了。

总结

以上就是在一台48口交换机下接入计算机分别属于三个部门，禁止各个部门间相互访问的实现总结了，在实际工作中划分VLAN并配置ACL实现尤为常见，关于更多网络知识，欢迎大家关注咯~

你好，头条最强的高级网络工程师为您解答该问题。关注我，带你入门网络工程师行业。

根据你的描述，你的网络拓扑如下：

该拓扑的网段以及vlan规划如上图所示。题主的需求是：各部门的电脑不能互访。为了实现该需求，我用到的技术是ACL（访问控制列表）、策略路由这两个技术来实现。

没做流量控制之前，该拓扑之间的电脑都是可以互访的。

大家看着我是怎样一步一步实现各部门之间的电脑不能互访的吧。

第一步：在48口交换机上配置ACL，控制1部门的电脑IP不能访问2部门、3部门的电脑。

acl number 3000

rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255

rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.3.0 0.0.0.255

第二步：配置流分类。

traffic classifier TB operator and

if-match acl 3000

第三步：配置流行为。

traffic behavior TB

deny

第四步：配置流策略。

traffic policy TB

classifier TB behavior TB

第五步：全局下应用该策略路由。

traffic-policy TB global inbound

第六步：检验实验成果。

从上图看，策略路由生效了，有效的控制了1部门访问其它部门。其它部门的配置方式和1部门的一致。

欢迎关注网络专家vlog，你身边的网络专家。

感谢你的邀请

针对您的问题，可以采用以下两种方法来解决

1、分别为三个部门划分不通的VLAN,把相同部门的PC加入到对应的VLAN中。

案例拓扑：

配置步骤：

1、在交换机SW1新建VLAN10 、VLAN20、VLAN30

<Huawei>system-view

[Huawei]vlan batch 10 to 20

2、把对应部门的PC机加入到对应的VLAN中去

[Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10

[Huawei-port-group]port link-type access

[Huawei-port-group]port default vlan 10

其他部门的也类型以上配置。

2、通过子网的方式隔离

分别为三个部门分别不通的子网IP地址

例如：研发部：192.168.1.0

市场部：192.168.2.0

财务部：192.168.3.0

这样在没有路由的情况下三个网段的主机是不同相互通信的。

我能想到的有四种办法，但是可能都需要有特定条件：

1、48口交换机支持vlan管理，这样根据端口绑定vlan和mac，这样是最安心也是最安全的；

2、48口交换机不支持vlan，但是有windows server及域服务器，这样可以在server系统里设置好域并给与权限，客户机使用域登陆；

3、48口交换机不支持vlan，但路由器支持，可以在路由器内根据ip绑定mac和vlan；

4、上述情形以外，所有客户机有管理员权限，网卡指定ip地址并设置子网掩码/24（255.255.255.0），这样客户机只能访问本段的设备，尽量使用192.168.X.X，这是C类私用地址，第一个x用来区分网段。第二个X是客户机地址，1默认路由地址不要使用，255为广播地址无法使用，2-254可任意使用，但不可出现数字相同，否则会IP地址冲突。

感谢邀请！这个问题可以简单也可以复杂，简单点使用Vlan来搞定，复杂点增加使用VPN来搞定这个事情，一个是二层隔离技术一个是三层隔离技术。但是首先，你得熟悉一下二层网络和三层网络的转发机制。

首先，建议你的三个部门使用不同的网段，例如分别是192.168.1.0/24、192.168.2.0/24、192.168.3.0/24，使用不同网段的好处就是，基本上隔绝了在局域网内的访问，因为只有同一网段的主机才能在局域网内访问，不同网段的主机只能通过网关来访问。

当一台PC访问相同网段的主机时，PC机通过发送ARP报文，获取对端PC响应的MAC地址后，直接在二层交换机根据MAC寻址转发，二层交换机会记录目的主机的MAC和出接口对应的信息，这样流量就会从正确的出接口丢出去。

当然一台PC访问不是相同网段的主机时，访问会通过网关查路由访问，这个时候只要在网关路由器连接交换机的入端口配置ACL，例如在192.168.1.0/24所在的路由器端口配置ACL丢弃所有访问192.168.2.0/24和192.168.3.0/24网段的报文，就可以实现禁止互访。

当然，在同一个交换机的情况下，可以用VLAN来隔离广播域，防止某些PC配置了其他网段的地址来恶意访问他网的主机。例如192.168.1.0/24位于VLAN 100，192.168.2.0/24位于VLAN 200，192.168.2.0/24位于VLAN 300.

VLAN不同，可以防止主机恶意配置地址。举个例子，如果不配置VLAN隔离的话，本来分配地址是192.168.1.100的主机，也可以配置一个192.168.2.100的子地址，在交换机内实现对192.168.2.0/24网段的访问，所以如果通过VLAN隔离不同部门的主机的话，基本上可以杜绝这个现象。

最后一招是，在网关路由器不同的接口绑定不同的VRF，通过VPN实现路由器上访问的隔离。这个时候，路由器就是起了MCE的作用，不同网段的路由在路由器上完全隔离，再配合交换机的VLAN隔离，最终实现整个流量在交换机、路由器的转发面和控制面隔离

所以，建议推荐VLAN、ACL加上VRF的方式，实现不同部门之间二层和三层的隔离。

划分三个VLAN，开启三层接口，三层接口为网关地址，然后写高级acl，用acl控制不能访问lin另两个VLAN，下以华为交换机为例：

vl ba 10 20 30

port-g group g0/0/1 to g0/0/16

po li acc

po de vl 10

quit

port-g group g0/0/17 to g0/0/32

po li acc

po de vl 20

quit

port-g group g0/0/33 to g0/0/48

po li acc

po de vl 30

quit

int vl 10

ip add 192.168.1.254 24

quit

int vl 20

ip add 192.168.2.254 24

quit

int vl 30

ip add 192.168.3.254 24

quit

acl 3001

step 10

rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

quit

acl 3002

step 10

rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

quit

acl 3003

step 10

rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule deny ip source 192.168.3.0 0.0.0.255 destination192.168.2.0 0.0.0.255

traffic-f vl 10 in acl 3001

traffic-f vl 20 in acl 3002

traffic-f vl 30 in acl 3003

根据题主的要求，方案如下：选一台48口的三层交换机，对交换机进行简单设置，划分三个VLAN，分别连接三个部门的电脑。

这样做有以下几个好处：第一，就算你知道其他部门的网络参数，将自己电脑的网络参数修改为另外部门的网络参数，一样不能访问。因为不同部门的网络，在不同的VLAN ID号中运行，相互间是逻辑隔离的。第二，能够通过在。交换机上进行配置，而使特定用户能够访问另外特定网络或另外两个网络（比如部门领导，部门主管，公司领导，他们对网络的权限需求是不一样的），简化了网络管理，提高了网络使用效率。第三，如果某一特定时段需要三个网络，或者其中两个网络之间互访，也很容易通过对交换机的配置而达到目的。

很简单，分两步走。

第一步，划分三个VLAN，即每个部门一个VLAN；

第二步，配置ACL，阻止各个VLAN互相访问；

具体的操作步骤，请关注我，翻看我前面写过的文章就可以了，已经写过几个真实案例了，而且是不同品牌的交换机，对这个问题还是有比较好的针对性的。

不是使用什么协议，你可以把48个端口配置成不同的VLAN，当然了如果上联网线占去一个网口，剩下47个口，就把47个口分属不同vlan即可！

如果你的交换机支持vlan划分的话，划分三个网段即可。