如果您使用的是单独的 IP 网络（即，具有不相交的地址），那么某些东西必须在两侧都有地址和连接。

• 使用路由器，您可以过滤 IP 地址和许多其他内容，例如 UDP 协议、源和目标端口号、数据包大小。
• 所谓的L3 交换机是具有路由器功能的交换机：即，它也是路由器
• 使用防火墙，您可以过滤许多内容，包括 URL 或交互的其他更高级别方面
• 使用应用层代理，您可以过滤各种权限、一天中的时间、交易历史、cookie、会话以及任何其他可能方便的内容。
• 有了电线，你什么也做不了。如果您用一根电线连接两个 VLAN，这通常是一个错误，只会使您的网络复杂化，而不会带来任何好处。

你说你想“尽可能严格地”控制访问，但你没有说特殊计算机打算执行什么样的服务，所以很难在没有猜测的情况下进一步指导。如果我猜的话，我会建议使用带有两个以太网接口的小型路由器。将专用计算机放在一侧，另一侧放入您的主 LAN。

[编辑] ...也可以在某些以太网交换机上使用私有 VLAN来做这种事情，这使得交换机的某些端口只能与某些其他端口进行通信。这样做的目的是，例如，使所有酒店客人的笔记本电脑都可以与路由器通信，从而与互联网通信，但不能直接通信，也不能看到彼此的广播等。不同的交换机制造商以不同的方式做到这一点，并且它们似乎是非标准的。您必须查看您的开关手册以查看它提供的内容。除非您有令人信服的理由，否则我建议您不要这样做。根据您对任务的描述，这不会达到您想要的效果：例如，您无法按协议 UDP 和端口进行过滤。

如果您在两个端口之间连接一根电缆，每个端口都在一个单独的 VLAN 中作为访问端口，那么您最终会得到一个 VLAN

这与拥有两个不同的物理交换机并用电缆将它们连接在一起完全相同。

如果这台计算机必须在单独的网络上，那么您必须为这台计算机创建第三个 VLAN，然后在路由器上路由和过滤进出这台计算机的流量。

因此，您需要一个支持 VLAN 的路由器，并具有达到您想要达到的任何安全级别所需的安全功能。

大多数企业级路由器确实有一些方法可以过滤来自或到达特定网络（访问列表）的流量。如果这台计算机确实需要高级别的安全性，那么您可能需要一个执行数据包检查的防火墙。

如果没有第 3 层交换机或路由器，您所要求的将是不可能的。您不能使用第 2 层交换机连接具有不同 IP 地址的两个独立网络。

此外，在 2 个不同的 VLAN 之间连接电缆几乎首先会破坏 VLAN 的用途。那为什么不把它们都放在同一个 VLAN 中呢？这样做也会带来安全风险，因为来自两个 VLAN 的所有流量都将在它们之间自由流动。

是的，您肯定需要第 3 层设备来确保 Vlan 1 和 Vlan 2 之间的通信。一般的二层设备是透明设备，同一个Vlan之间通过二层交换机进行通信是可行的。基于目的mac地址帧的目的地是基于mac地址表的检查。

Vlan 间路由配置是 layer3 设备上的强制要求，用于在不同 VLans 之间路由流量。