在局域网部署中,VLAN 技术通过隔离广播域提升了网络安全性和稳定性,但不同 VLAN 间的通信需求又成了新的难题。比如财务部门的电脑(VLAN 10)需要访问服务器区(VLAN 20)的数据,该如何实现?今天来拆解 3 种方案,理清思路。
一、先搞懂:为什么同 VLAN 能直接通信,跨 VLAN 却不行?
其实核心在于通信层级的差异:
同 VLAN 且同网段的设备,属于二层通信,通过 MAC 地址表就能直接转发数据帧,无需额外设备;
不同 VLAN 对应不同网段,必须通过三层通信实现互访,这就需要路由器、三层交换机等设备介入,靠 IP 地址和路由表来转发报文。
二、方案 1:路由器物理接口 —— 原理简单但几乎被淘汰
早年网络规模较小时,有人会用路由器的物理接口做 VLAN 网关:给每个 VLAN 分配一个路由器接口,比如 VLAN 10 对应 GE0/0/1,VLAN 20 对应 GE0/0/2,接口分别配置对应网段的 IP(如 192.168.10.254/24、192.168.20.254/24)。
但这种方式的致命缺点是接口占用太多—— 有 10 个 VLAN 就需要 10 个物理接口,路由器接口数量根本不够用,扩展性极差。现在除了极简单的场景,基本没人用了。
方案 2:路由器子接口
子接口(Sub-Interface)是基于路由器以太网接口所创建的逻辑接口,(如 GE0/0/1.10、GE0/0/1.20),每个子接口对应一个 VLAN。以物理接口ID+子接口ID 进行标识,子接口同物理接口一样可进行三层转发。子接口不同于物理接口,可以终结携带VLAN Tag 的数据帧。基于一个物理接口创建多个子接口,将该物理接口对接到交换机的Trunk 接口,即可实现使用一个物理接口为多个VLAN 提供三层转发服务。
子接口终结VLAN 的实质包含两个方面:
对接口接收到报文,剥除VLAN 标签后进行三层转发或其他处理。
对接口发出的报文,又将相应的VLAN 标签添加到报文中后再发送。
方案 3:三层交换机 VLANIF
二层交换机(Layer 2 Switch)指的是只具备二层交换功能的交换机。
三层交换机(Layer 3 Switch)除了具备二层交换机的功能,还支持通过三层接口(如VLANIF 接口)实现路由转发功能。
VLANIF 接口是一种三层的逻辑接口,支持VLAN Tag 的剥离和添加,因此可以通过VLANIF 接口实现VLAN 之间的通信。
VLANIF 接口编号与所对应的VLAN ID 相同,如VLAN 10 对应VLANIF 10。
VLANIF 配置示例
举个例子,VLAN 10 的 PC1(192.168.10.2)要访问 VLAN 20 的 PC2(192.168.20.2):通过三层交换机完成两台PC 之间的相互通信。
基础配置:
[SW1]vlan batch 10 20
[SW1]interface GigabitEthernet 0/0/1
[SW1-Gigabittenet0/0/1]portlink-typeaccess
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1] interface GigabitEthenet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 20
配置vlanif:
[SW1]interface Vianif 10
[SW1-Vlanif10]ip address 192.168.10.254 24
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24
假设PC、三层交换机上都已存在相应的ARP 或MAC 表项。
PC1 与PC2 之间通信过程如下:
PC1 通过本地IP 地址、本地掩码、对端IP 地址进行计算,发现目的设备PC2 与自身不在同一个网段,判断该通信为三层通信,将去往PC2 的流量发给网关。PC1 发送的数据帧:源MAC = MAC1, 目的MAC = MAC2。
需要完整配置手册的朋友,可以留言或发消息,我会把整理好的三色笔记完整版分享给你~持续更新 HCIA-Datacom 其他核心考点,关注不迷路