普通的交換機可以設定，路由器的路由表，讓交換機1和交換機2的ip不能互相訪問，可網管的交換機簡單多了，做VLAN

可以劃分VLAN來實現，這需要你的路由器支援埠VLAN劃分，一個埠一個VLAN就可以互相隔離了。路由器不支援VLAN劃分的話，需要換一個支援VLAN的路由器才行。一般的行為管理路由器都具有該功能，並且把每個VLAN介面分配不同的網段，而下面的電腦由自動獲取IP即可，比如vlan1自動分配IP為192.168.10.1-254,vlan2自動分配為192.168.101.1-254，如果使用無線AP具有AC控制功能的也可以這樣劃分，可以把無線分成兩個網段，一個對內一個對外之類的，具體操作你可以諮詢路由器廠家客服。

一個路由器兩個交換機，怎麼讓兩個交換機不能互相訪問？樓主這個問題提的好，其實這個問題主要是以ACL的配置來進行的，又叫訪問配置列表。其實簡單的原理就是在路由器上配置ACL，然後交換相互之間走資料就要透過路由器。那路由器就查詢自身的ACL，看是否允許資料透過，允許就放行，不允許就丟棄資料。下面我就以H3C的帶web設定功能的路由為例來說明，具體型號為H3C ER3200。

網路拓撲圖如下這樣的，

交換機A,網路地址段為：192.168.20.0/24 交換機的管理IP為:192.168.20.200

交換機B,網路地址段為：192.168.30.0/24 交換機的管理IP為:192.168.30.200

路由器的IP地址為：192.168.20.1/24和192.168.30.1/24(注意兩個網段路由器就有二個IP地址，如果是普通家用的就只有一個，當然普通家用的也不支援ACL功能)

進行路由器的配置介面

找到安全專區-----防火牆（高階的路由器叫ACL）-----出站通訊策略，可以在出站做出可以在入站做。

進行兩個如下圖的配置：

VLAN20不能訪問VLAN30: 源介面：VLAN20 源地址：所有地址 目地不IP地址範圍超始IP：192.168.30.0 結束IP：192.168.30.255

VLAN30不能訪問VLAN20: 源介面：VLAN30 源地址：所有地址 目地不IP地址範圍超始IP：192.168.20.0 結束IP：192.168.20.255

我裡做的是網段所都不能訪問，如果是某臺機器，如樓主所說的兩臺交換機而已，那麼就在兩次設定的源地址與目的地址填寫源的I，目的IP具體的IP就行，具體如圖所示。

配置過程中要記得不要輸入出錯，錯了有可能不能上網的。以上配置完後就可以在交換機A上PING交換機B，肯定是不通的。也就是所有的A網段的的PC不能訪問B網段的網路。這樣透過配置防火牆達（或ACL）到兩個網段不能訪問，當然。這個配置方法是多種多樣，這只是一個很遍的做法。當然路由器不同。設定方法也不太一樣，但都是在路由器上做配置，如果網路環境有三層交換機。可以就在三層做了。

回答本行業問題，怎麼讓兩個交換機不能相互訪問?最好的辦法就是劃分VLAN，簡單介紹下。

①什麼是劃分VLAN

VLAN也叫虛擬"虛擬區域網"，是一組邏輯上的裝置和使用者，並不受物理位置的限制。它是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通訊是透過第3層的路由器來完成的。

②VLAN劃分實現的方式