企业组网 vlan 一个问题，求高手解惑

dode

2023-06-20 13:05:47 +08:00

11 和 11 通，不同 vlan 不通

bbroot

2023-06-20 13:17:22 +08:00

@dode 交换机 1 所有接口都使用 trunk 口也不能使不同 vlan 互通吗？

unknowsll

2023-06-20 13:52:33 +08:00

@bbroot 因为你的 vlan 是起到了路由器上面，如果要互通，你需要做静态路由的，我有点奇怪为嘛不把全部的 vlan 起到交换机上面呢，就是路由器下面的这个交换机，相当于汇聚交换机的作用，压力也就能全部给到交换机层面，路由器

汇聚交换机 vlan1 vlan 10 vlan 11 vlan 12 下联口可以 trunk 可以 access

接入交换机 vlan10 vlan11 vlan 12 下联交换机

unknowsll

2023-06-20 13:52:59 +08:00

@unknowsll 接入交换机 vlan10 vlan11 vlan 12 下联对应的机器更正一下。

hunono

2023-06-20 14:00:18 +08:00

我不怎么搞这些东西，以前只附带接触一点。
1 、你可以让接入设备互通，不过要在路由器上做设置，交换机做不了，除非交换机 1 是三层交换机。
2 、不同 vlan 交换数据要通过路由器，除非交换机 1 是三层交换机。
3 、意义不好说，当你只有这些设备，并且要完成某些功能时，那他就有意义。小企业会把交换机 1 采购成三层交换机，在这上面做路由，内网的绝大部分数据都只在三层交换机上传输，到不了更上一级，然后吧路由器采购成防火墙，接入到其他网络、外网。

交换机、vlan 、mac 地址这些都与二层有关，要想不同网段通就需要三层设备（三层交换机、路由器、甚至某些防火墙）。

bbroot

2023-06-20 14:01:54 +08:00

@unknowsll vlan 在交换机上是不是需要 3 层交换机？

bbroot

2023-06-20 14:04:18 +08:00

@hunono 感谢大神指导应该就是想内网互通就需要一个三层交换机，有一点不明白，如果互通了那 vlan 的意义是什么

adoal

2023-06-20 14:06:11 +08:00

路由器上各 VLAN 的 VIF 配了 IP ，打开转发，防火墙规则不作梗，不同 VLAN 里的交换机或终端设备配上了本 VLAN 的 IP 并把网关指到路由器里对应的 VIF IP ，那么各 VLAN 里接入各设备之间的流量是可以通的，就是从路由器转发了而已

adoal

2023-06-20 14:09:18 +08:00

做了 VLAN 就隔离了，要在三层做合理配置才能互通，广播域是限制在 VLAN 内了，不同 VLAN 要通过网关转发才行，这样网关上可以做各种访问控制策略，而不是“我特喵的做了 VLAN 居然还能像没做 VLAN 一样随随便便任意端口之间都互通？”，所以 VLAN 还是有意义的

bbroot

2023-06-20 14:25:33 +08:00

@adoal 受教了，感谢指导

yuchenr

2023-06-20 15:14:23 +08:00

vlan 互通一般是在三层交换上做。
如果没三层交换，就需要在路由上添加静态路由了

Admrial

2023-06-20 15:20:17 +08:00

1.所有 vlan 下的接入设备是否互通？
只要网关都在同一台设备上，通；不在同一台设备上要写回指路由

2.不同 vlan 下设备交换数据走路由器还是交换机 1
跨三层要走路由器，二层可以不过路由器直接走交换机

3.这种组网有没有意义？
有，vlan 的意义就是逻辑隔离

feaul

2023-06-20 15:38:13 +08:00

你的所有 vlan 的网关都在路由器上吗？如果是在路由器配置的子接口，那么不通的 vlan 之间可以互相访问。这就是单臂路由实现的 vlan 间访问。
还有在解答下，互通了那 vlan 的意义是什么？ vlan 是隔离二层的广播域，简单来说就是同一个 vlan 下发送的广播报文是不会发送到另一个 vlan 里面去的，把广播报文隔离了，不会隔离单播报文。

lengrongec

2023-06-20 16:20:10 +08:00

配置 vlanif 接口就可以互通，不配置接口不同 vlan 就不能互通

bbroot

2023-06-20 19:28:03 +08:00

@feaul 如果没有三层交换机的话就只能在路由器设置 vlan 网关吧

feaul

2023-06-21 09:18:15 +08:00

@bbroot 是的，vlan 间互相访问一般有 3 种。
1.设置单臂路由，也就是上面我说的方法，用一根网线，路由器上设置子接口。
2.和第一种差不多，不设置子接口。一个 vlan 连接路由器的一个物理接口。
3.使用三层交换机。在 vlan 上配置地址。

raysonlu

2023-06-21 10:36:58 +08:00

@feaul 那请教一下，没有 vlan 的路由器（比如普通的家庭路由器）+可以设置 vlan 的二层交换机的组合，是否就是你所说单臂路由，并且可以隔离广播报文？
另外我一直搞不清楚子网隔离和 vlan 隔离的区别，三层交换机上不同的 vlan 会配置不同的网关，但理论上来说，只要配置了不同网关就已经实现“隔离”目的了，如果实际应用中 vlan 隔离和网关隔离要同时配置，要这个 vlan 隔离的作用什么？

julyclyde

2023-06-21 12:31:38 +08:00

@bbroot 如果你的网络拓扑长期固定不变，vlan 确实没多大意义

经常改的话，比如这个座位一段时期属于某个网，后来搬走了，原来座位网口留给另一个权限的别人用，这时候改 vlan 比改跳线简单一些

feaul

333 天前

@raysonlu 抱歉不经常上线，不可以，因为一般的家用路由系统都不带 vlan 功能，现在不太了解 openwrt 的系统，不过看网上 openwrt 还有支持 vlan 这个功能，你可以尝试用 openwrt 系统来做个尝试。

feaul

333 天前

先解释子网隔离个 vlan 隔离的区别：在 PC 没有网关的情况下，同一 vlan 的不通子网是无法通信的，这就是子网隔离。同一子网的不同 vlan 也是无法通讯，这是 vlan 隔离，同一个 vlan 同一个子网是可以通讯的。这是正常的通讯。
实际应用中为什么要一个 vlan 对应一个子网：理论上是这样的同一 vlan 下不同的子网是可以隔离，但是实际交换机的转发广播报文时在同一个 vlan 下转发的，并不是基于子网转发的，所以交换机的同一个 vlan 下的所有端口都会收到广播报文，就没有实现隔离广播报文的目的了。