内外网之间隔离不访问,要同时访问网络打印机,用三层交换机还是用VLAN交换机,内外网不同网段的。

2024-12-26 21:25:42
推荐回答(3个)
回答1:

可以,我们公司就是这么做的,不过用的是cisco的3560三层交换机
划分VLAN,把接口加入VLAN后,
后面就是防控列表了,其实很简单
PS:我们公司一个部门一个VLAN,各部门相互之间不能访问,然后单独划出一个VLAN放一些NAS,网络打印机,或者所有人都要访问的服务器。
下面是我们公司各VLAN的防控列表,你参考下,

ip access-list extended vlan30
deny ip 172.2.1.0 0.0.0.255 any
deny ip 172.16.0.0 0.0.0.255 any
deny ip 172.6.1.0 0.0.0.255 any
deny ip 172.7.1.0 0.0.0.255 any
deny ip 172.8.1.0 0.0.0.255 any
permit ip any any
ip access-list extended vlan40
deny ip 172.1.1.0 0.0.0.255 any
deny ip 172.16.0.0 0.0.0.255 any
deny ip 172.6.1.0 0.0.0.255 any
deny ip 172.7.1.0 0.0.0.255 any
deny ip 172.8.1.0 0.0.0.255 any
permit ip any any
permit ip 192.168.8.0 0.0.0.255 any
ip access-list extended vlan50
deny ip 172.1.1.0 0.0.0.255 any
deny ip 172.2.1.0 0.0.0.255 any
deny ip 172.6.1.0 0.0.0.255 any
deny ip 172.7.1.0 0.0.0.255 any
deny ip 172.8.1.0 0.0.0.255 any
permit ip any any
ip access-list extended vlan60
deny ip 172.1.1.0 0.0.0.255 any
deny ip 172.2.1.0 0.0.0.255 any
deny ip 172.16.0.0 0.0.0.255 any
deny ip 172.7.1.0 0.0.0.255 any
deny ip 172.8.1.0 0.0.0.255 any
permit ip any any
ip access-list extended vlan70
deny ip 172.1.1.0 0.0.0.255 any
deny ip 172.2.1.0 0.0.0.255 any
deny ip 172.16.0.0 0.0.0.255 any
deny ip 172.6.1.0 0.0.0.255 any
deny ip 172.8.1.0 0.0.0.255 any
permit ip any any
ip access-list extended vlan80
deny ip 172.1.1.0 0.0.0.255 any
deny ip 172.2.1.0 0.0.0.255 any
deny ip 172.16.0.0 0.0.0.255 any
deny ip 172.6.1.0 0.0.0.255 any
deny ip 172.7.1.0 0.0.0.255 any
permit ip any any
................

回答2:

我看了下交换机的说明书,按照说明来说 使用基于端口的vlan就可以满足你的要求,可以这样设置,pc1、pc2假如在端口2和端口3,,打印机在端口4,pc3和pc4在端口5和端口6,互联网在端口1上。接下来分别设置端口2、3、4、5、6的可通讯端口。端口2和端口3的可通讯端口为1,2,3,4。端口4的可通讯端口为2,3,5,6。端口5和端口6的可通讯的端口为4,5,6 应该就可以满足你的要求了

回答3:

多网段访问用三层交换机方便控制,你的需求按你的思路就可以实现。