Я пытался найти ответ на этот вопрос и даже спросил CCNA, с которой работал, но это все еще не имеет смысла. Вот сценарий:
У меня есть офис, в котором несколько рядов компьютеров, которым нужно разговаривать только внутри каждого ряда. Все необходимое пространство подсети значительно меньше полного / 24, поэтому несколько подсетей не нужны. Однако мы не хотим, чтобы люди в строке 1 могли пинговать или получать доступ к компьютерам в строке 2, но мы НЕ хотим, чтобы они могли подключиться к NAS. Итак, я подумал, что я создам несколько VLAN на одном / 24 и помечу каждый порт правильной VLAN в зависимости от того, в какой строке они находятся, а затем поместу NAS в управляющую VLAN, которая позволит всем различным VLAN взаимодействовать с NAS и ничего больше. Используемая мной установка имеет шлюз безопасности уровня 3, который обрабатывает всю маршрутизацию, подключенную к коммутатору уровня 2 (маршрутизатор на флешке). Проблема в том, что когда я создаю VLAN и помечаю порты на коммутаторе, я все еще могу пинговать хосты в других VLAN. Что я делаю не так?
ПРИМЕЧАНИЕ. Я использую Ubiquiti USG для подключения к коммутатору Ubiquiti UniFi с 48 портами.
Я не уверен, что то, что вы пытаетесь достичь, будет работать с управляющими VLAN, но если оставить это в стороне, причина, по которой вы можете видеть все другие компьютеры, заключается в том, что я подозреваю, что ваши компьютеры не настроены для отправки тегированных пакетов и поэтому отправляют немаркированные пакеты .
В этом случае VLAN, которой назначаются пакеты, будет основываться на PVID порта, к которому они подключены. Обратите внимание, что это отличается от того, членом каких VLAN является порт. Большинство коммутаторов имеют разные страницы конфигурации для членства и PVID.
Не зная, к какому коммутатору вы подключены, я не могу прокомментировать, как именно вам нужно его настроить, но посмотрите, видите ли вы настройку PVID для портов, и убедитесь, что он установлен на нужную вам VLAN. Это ограничит трафик по мере необходимости.