您需要使用私有 VLAN。私有 vlan 用于同一子网和 vlan 上的设备需要相互分离的情况。例如，在酒店楼层，您可能在同一个 vlan 中的每个房间都有设备，但您不希望一位客人嗅探其他客人的流量。

要实现这一点，您需要由两个社区组成的私有 vlan。

Private-vlans 由主要成员和次要成员组成。Promiscuous 将成为主要 vlan 的成员，但孤立和社区将成为辅助 vlan 的成员。

同一社区的成员可以相互交谈，但不能与不同的社区交谈。

隔离 vlan 的成员不能与其他隔离 vlan 或社区通信。

但是社区和隔离都可以与连接到路由器的端口混杂。

您需要将 pc2 和 pc3 放在一个社区中，将 pc1 和 4 放在另一个社区中。因此，每一对将能够相互交流，但不能与其他社区成员交流。

直观地说明它

vlan 1000
    2001 - 社区 - pc1 & pc4 应该在这里。
    2002 - 社区 - pc2 & pc3 应该在这里。

希望这对你有意义。

您可以在此处阅读有关私有 VLAN 的更多信息：https ://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/PrivateVLANs.html#42874

如果您的交换机支持，您可以使用专用 VLAN 执行此操作。

创建包含 pc2 和 pc3 的社区辅助 VLAN

创建另一个包含 pc1 和 pc4 的社区辅助 VLAN

社区 VLAN 成员只能与彼此和任何混杂端口通话

所有 4 台主机都应该是同一个主 VLAN 的成员

如果您有主机需要与之通信的路由器，则可以将交换机上的路由器端口配置为混杂端口（私有 VLAN 的任何成员都可以与此端口通信）

有关更多详细信息，请参阅本文：

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/release/12-2_52_se/configuration/guide/3560scg/swpvlan.html

另一个选项（如果您的交换机支持）是 VLAN ACL。VACL 应用于 VLAN 内的所有桥接流量。有关详细信息，请参阅以下内容：

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-0SY/configuration/guide/15_0_sy_swcg/vlan_acls.html

如果是第 2 层交换机，则需要使用子接口和中继设置路由器（棒上的路由器）。如果是第 3 层交换机，您可以在其上设置路由并省略路由器。搜索“棒上的路由器”命令。