禁止互访如何设置？

萌萌哒

我网段是192.168.1.100~192.168.1.254，如何让某个IP设备禁止互访内网其他设备或者禁止访问网关？

GVN_DataCenter

蹲一个方案，我想到的只有划VLAN

爱快技术支持01

楼主您好，同段互访是属于二层访问，二层访问不过路由层，无法在路由器上进行阻断。建议可以在交换机上做端口隔离进行实现

==========================================================================
如回复您这边还有需要协助可联系爱快技术工程师爱快已开通快速服务码通道，使用服务码可通过多渠道（爱快路由官网、微信小程序爱快微云、手机APP爱快e云，微信公众号爱快智能网络）进行技术咨询可以快速解决您的问题，具体操作步骤请看以下帮助链接
新内核版本测试固件帖：https://bbs.ikuai8.com/thread-129069-1-1.html
文本教程：http://ikuai9.com:555/s/fu36pp
视频教程：http://ikuai9.com:555/s/t0katu

尊敬的爱快用户，插播一条喜大普奔消息
爱快e云支持远程管理爱快路由、AP、交换机，更有丰富的网络检测/验收工具，新上线的方案设计功能更是为项目而生，目前Android和iOS端均已支持下载。
可打开此网址跳转下载链接进行下载：
https://www.ikuai8.com/product/software/client-app.html
苹果用户也可以直接在应用商店搜索爱快E云下载哦

linnan2004

同一个段的互访，根本都到不了路由器上来。所以只能在交换机上面想办法

xiaohhl

GVN_DataCenter 发表于 2023-1-16 10:24
蹲一个方案，我想到的只有划VLAN

交换机端口隔离

xibanya

没有网管交换机的话，可以用操作系统自带的防火墙

例如Windows防火墙

示例1：禁止192.168.1.3主动访问192.168.1.4-192.168.1.10

在192.168.1.3电脑上，控制面板-Widnows防火墙或Windows Defender防火墙-高级设置

出站规则-新建规则-自定义-所有程序-任意协议-作用域-此规则应用于哪些远程IP地址-下列ip地址-添加地址范围192.168.1.4-192.168.1.10-阻止连接

示例2：

192.168.1.254为服务器，禁止192.168.1.2-192.168.1.99连入
服务器上新建入站规则，步骤同上

2498996752

交换机支持vlan隔离，打开这个开关即可，没有这个功能的交换机建议换一个交换机即可解决

消息来自爱快e云

xibanya

xiaohhl 发表于 2023-1-29 15:20
交换机端口隔离

端口隔离不灵活，如果需要阻断互放的设备位于不同的交换机 既有互访需求又有隔离需求，端口隔离的限制性就来了。。。。
同广播域下用流策略应用到接口灵活一点。毕竟主机端口相对固定

linnan2004

GVN_DataCenter 发表于 2023-1-16 10:24
蹲一个方案，我想到的只有划VLAN

其实有个办法。。。

DHCP分配的时候，子网掩码修改成4个255，此时每个IP地址都是独立的三层，互访必定会过路由器，然后再通过ACL阻断即可。缺点是如果下面的电脑是手工配置的IP地址，则不会受到以上限制

xiaohhl

xibanya 发表于 2023-1-30 16:35
端口隔离不灵活，如果需要阻断互放的设备位于不同的交换机 既有互访需求又有隔离需求，端口隔离的限制性 ...

那就麻烦点，需要多设IP段，只有不同局域网的IP互相访问才经过路由器，才能做出限制。不过很费操作。还不如端口隔离来得简单（包括VLAN隔开）。最方便灵活的还是VLAN划分，但是要交换机支持和会操作。
：可以互相访问的统一用一个VLAN，不能互相访问的都用单独的vlan。