在局域網部署中，VLAN 技術通過隔離廣播域提升了網絡安全性和穩定性，但不同 VLAN 間的通信需求又成了新的難題。比如財務部門的電腦（VLAN 10）需要訪問服務器區（VLAN 20）的數據，該如何實現？今天來拆解 3 種方案，理清思路。

一、先搞懂：為什么同 VLAN 能直接通信，跨 VLAN 卻不行？

其實核心在于通信層級的差異：

同 VLAN 且同網段的設備，屬于二層通信，通過 MAC 地址表就能直接轉發數據幀，無需額外設備；

不同 VLAN 對應不同網段，必須通過三層通信實現互訪，這就需要路由器、三層交換機等設備介入，靠 IP 地址和路由表來轉發報文。

二、方案 1：路由器物理接口 —— 原理簡單但幾乎被淘汰

早年網絡規模較小時，有人會用路由器的物理接口做 VLAN 網關：給每個 VLAN 分配一個路由器接口，比如 VLAN 10 對應 GE0/0/1，VLAN 20 對應 GE0/0/2，接口分別配置對應網段的 IP（如 192.168.10.254/24、192.168.20.254/24）。

但這種方式的致命缺點是接口占用太多—— 有 10 個 VLAN 就需要 10 個物理接口，路由器接口數量根本不夠用，擴展性極差。現在除了極簡單的場景，基本沒人用了。

方案 2：路由器子接口

子接口(Sub-Interface)是基于路由器以太網接口所創建的邏輯接口,（如 GE0/0/1.10、GE0/0/1.20），每個子接口對應一個 VLAN。以物理接口ID+子接口ID 進行標識,子接口同物理接口一樣可進行三層轉發｡子接口不同于物理接口,可以終結攜帶VLAN Tag 的數據幀｡基于一個物理接口創建多個子接口,將該物理接口對接到交換機的Trunk 接口,即可實現使用一個物理接口為多個VLAN 提供三層轉發服務｡

子接口終結VLAN 的實質包含兩個方面:

對接口接收到報文,剝除VLAN 標簽后進行三層轉發或其他處理｡

對接口發出的報文,又將相應的VLAN 標簽添加到報文中后再發送｡

方案 3：三層交換機 VLANIF

二層交換機(Layer 2 Switch)指的是只具備二層交換功能的交換機｡

三層交換機(Layer 3 Switch)除了具備二層交換機的功能,還支持通過三層接口(如VLANIF 接口)實現路由轉發功能｡

VLANIF 接口是一種三層的邏輯接口,支持VLAN Tag 的剝離和添加,因此可以通過VLANIF 接口實現VLAN 之間的通信｡

VLANIF 接口編號與所對應的VLAN ID 相同,如VLAN 10 對應VLANIF 10｡

VLANIF 配置示例

?

舉個例子，VLAN 10 的 PC1（192.168.10.2）要訪問 VLAN 20 的 PC2（192.168.20.2）：通過三層交換機完成兩臺PC 之間的相互通信｡

基礎配置：

[SW1]vlan batch 10 20

[SW1]interface GigabitEthernet 0/0/1

[SW1-Gigabittenet0/0/1]portlink-typeaccess

[SW1-GigabitEthernet0/0/1] port default vlan 10

[SW1] interface GigabitEthenet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2] port default vlan 20

配置vlanif：

[SW1]interface Vianif 10

[SW1-Vlanif10]ip address 192.168.10.254 24

[SW1]interface Vlanif 20

[SW1-Vlanif20]ip address 192.168.20.254 24

假設PC､三層交換機上都已存在相應的ARP 或MAC 表項｡

PC1 與PC2 之間通信過程如下:

PC1 通過本地IP 地址､本地掩碼､對端IP 地址進行計算,發現目的設備PC2 與自身不在同一個網段,判斷該通信為三層通信,將去往PC2 的流量發給網關｡PC1 發送的數據幀:源MAC = MAC1, 目的MAC = MAC2｡

需要完整配置手冊的朋友，可以留言或發消息，我會把整理好的三色筆記完整版分享給你～持續更新 HCIA-Datacom 其他核心考點，關注不迷路