不允許域電腦相互通信
我們的域由大約 60 台電腦組成。我的任務是確保 Windows 10 工作站無法相互通信。我的經理要求我創建靜態路由,以便電腦只能與網路列印機、文件伺服器、DC 通信並訪問 Internet。
由於所有這些電腦都在同一個網路上,我不相信靜態路由會阻止這些電腦相互看到。允許域中的電腦使用網路資源但不直接相互通信的最佳方式是什麼?
如果您有支持它的交換機,則用於有線連接的“受保護埠”或用於 Wi-Fi 接入點的“客戶端隔離”可以幫助您消除同一第 2 層網路中主機之間的流量。
例如,這是來自Cisco 交換機手冊:
受保護埠具有以下特性: 受保護埠不會將任何流量(單播、多播或廣播)轉發到同樣是受保護埠的任何其他埠。數據流量無法在二層受保護埠之間轉發;僅轉發控制流量,例如 PIM 數據包,因為這些數據包由 CPU 處理並以軟體方式轉發。在受保護埠之間傳遞的所有數據流量都必須通過第 3 層設備轉發。
因此,如果您不打算在它們之間傳輸數據,則一旦它們受到“保護”,您就無需採取行動。
受保護埠和非受保護埠之間的轉發行為照常進行。
您的客戶端可以受到保護,DHCP 伺服器、網關等可以在不受保護的埠上。
2017 年 7 月 27 日更新
正如@sirex 指出的那樣,如果您有多個未堆疊的交換機,這意味著它們實際上不是單個交換機,受保護的埠不會阻止它們之間的流量。
注意:某些交換機(如專用 VLAN Catalyst 交換機支持矩陣中所指定)目前僅支持 PVLAN 邊緣功能。術語“受保護的埠”也指此功能。PVLAN 邊緣埠具有阻止與同一交換機上其他受保護埠通信的限制。但是,單獨交換機上的受保護埠可以相互通信。
如果是這種情況,您將需要隔離專用 VLAN埠:
在某些情況下,您需要阻止交換機上的終端設備之間的第 2 層 (L2) 連接,而無需將設備放置在不同的 IP 子網中。此設置可防止浪費 IP 地址。專用 VLAN (PVLAN) 允許在第 2 層隔離同一 IP 子網中的設備。您可以限制交換機上的某些埠,使其僅訪問連接了預設網關、備份伺服器或 Cisco LocalDirector 的特定埠。
如果 PVLAN 跨越多個交換機,則交換機之間的 VLAN 中繼應該是標準 VLAN埠。
您可以使用中繼跨交換機擴展 PVLAN。中繼埠承載來自正常 VLAN 以及來自主 VLAN、隔離 VLAN 和社區 VLAN 的流量。如果進行中繼的兩個交換機都支持 PVLAN,思科建議使用標準中繼埠。
如果您是 Cisco 使用者,您可以使用此矩陣查看您的交換機是否支持您需要的選項。