有没有办法让局域网里的某个设备，不能访问局域网里其它任何设备

划分 vlan

Vlan 交换机直接隔离

VLAN 隔离，很多交换机上有硬开关

@NewYear #2 方法一就是正解，通个可变子网掩码，限制需要控制的机器的广播域，只让他能访问到路由器，很实用

划分 vlan ，openwrt 系统的基本操作，教程随便搜下就能搜到
我家里的主路由划好 vlan 之后，把 2.4G 信号的 wifi 接入到这个 vlan ，5G 信号的 wifi 接入另一个 vlan 即可，两者之间的 ip 互相 ping 不通
2.4G 的信号范围广，能覆盖家里的所有区域，所有智能家电都连的这个，都能轻松连上

即便在同一个子网里，仍然可以使用 acl 或者 supervlan 的方式实现

@iovekkk #25 我之前也是这么划的，后来发现手机连 5G 的话想控制 2.4G 的家电不能走局域网，还得去外网绕一圈，然后就放弃了还是都划在一起吧，家里没必要搞那么正式

@NewYear #2 方法一里面的.0.2 还是可以从三层和局域网内其他设备互通。

@xwh

内容已经说得很全面了，你看内容没看全，要么就是……

@LYwyc2 从外网绕一圈有什么问题吗？我在 app 上操作家里的空调电风扇洗碗机什么的都没什么延迟

@NewYear #29  很明显三层是通的，路由可达，为什么不通呢？

@xwh

抱歉，我的错，有点想当然了。
这应该是子掩码不包含的 IP 走了默认路由，然后三层交换通过路由表转发回去了 lan 口，这种情况蛮特殊的，可能不同的路由器会有不同的结果。
有点反常识了……

我特别喜欢歪门邪道的方法，因为家用/企业环境不可能都刚好有企业级的二三层网管交换机，且设备不一定趁手，如果是企业里反而好搞，直接按规范来就行。
我再提供几个思路，哈哈哈

@all
更正回答：
解决思路 1(0 成本，有局限)：局域网正常设备有完整的网络功能(Windows/Linux 都有)，通过 ARP 设置不可信 IP 指向错误的 MAC 地址，自然该 IP 也不能访问其他正常设备了

解决思路 2(0 成本，有局限)：要限制的设备有设置路由表功能(Windows/Linux 都有)，直接按范围通过静态路由指向同网段无效 IP 。

解决思路 3：如果局域网内其他设备拥有完整的网络功能，通常会带有防火墙功能，通过自己的防火墙拦截掉不信任的 IP 范围也是可以的。

解决思路 4(买便宜路由器)：要限制的设备上面套一个带防火墙的路由器(老式家用路由器都带防火墙功能，或者刷 openwrt 软路由，或者一百多的企业路由器)，WAN 口接局域网，LAN 口开 DHCP ，IP 段与 WAN 口不相同，限制一下目标 IP 范围就行了。
这个解决办法价格便宜，但是要增加一个路由器。

解决思路 5(要买交换机)：买个带有端口隔离的交换机，5 口的网管交换机比如水星好像也有这个功能。

解决思路 6(受限于路由器功能，可能要买路由器)：路由器带有 VLAN 功能、端口隔离功能。