企业组网 vlan 一个问题，求高手解惑

dode

2023-06-20 13:05:47 +08:00

11 和 11 通，不同 vlan 不通

bbroot

2023-06-20 13:17:22 +08:00

@dode 交换机 1 所有接口都使用 trunk 口也不能使不同 vlan 互通吗？

unknowsll

2023-06-20 13:52:33 +08:00

@bbroot 因为你的 vlan 是起到了路由器上面，如果要互通，你需要做静态路由的，我有点奇怪为嘛不把全部的 vlan 起到交换机上面呢，就是路由器下面的这个交换机，相当于汇聚交换机的作用，压力也就能全部给到交换机层面，路由器

汇聚交换机 vlan1 vlan 10 vlan 11 vlan 12 下联口可以 trunk 可以 access

接入交换机 vlan10 vlan11 vlan 12 下联交换机

unknowsll

2023-06-20 13:52:59 +08:00

@unknowsll 接入交换机 vlan10 vlan11 vlan 12 下联对应的机器更正一下。

hunono

2023-06-20 14:00:18 +08:00

我不怎么搞这些东西，以前只附带接触一点。
1 、你可以让接入设备互通，不过要在路由器上做设置，交换机做不了，除非交换机 1 是三层交换机。
2 、不同 vlan 交换数据要通过路由器，除非交换机 1 是三层交换机。
3 、意义不好说，当你只有这些设备，并且要完成某些功能时，那他就有意义。小企业会把交换机 1 采购成三层交换机，在这上面做路由，内网的绝大部分数据都只在三层交换机上传输，到不了更上一级，然后吧路由器采购成防火墙，接入到其他网络、外网。

交换机、vlan 、mac 地址这些都与二层有关，要想不同网段通就需要三层设备（三层交换机、路由器、甚至某些防火墙）。

bbroot

2023-06-20 14:01:54 +08:00

@unknowsll vlan 在交换机上是不是需要 3 层交换机？

bbroot

2023-06-20 14:04:18 +08:00

@hunono 感谢大神指导应该就是想内网互通就需要一个三层交换机，有一点不明白，如果互通了那 vlan 的意义是什么

adoal

2023-06-20 14:06:11 +08:00

路由器上各 VLAN 的 VIF 配了 IP ，打开转发，防火墙规则不作梗，不同 VLAN 里的交换机或终端设备配上了本 VLAN 的 IP 并把网关指到路由器里对应的 VIF IP ，那么各 VLAN 里接入各设备之间的流量是可以通的，就是从路由器转发了而已

adoal

2023-06-20 14:09:18 +08:00

做了 VLAN 就隔离了，要在三层做合理配置才能互通，广播域是限制在 VLAN 内了，不同 VLAN 要通过网关转发才行，这样网关上可以做各种访问控制策略，而不是“我特喵的做了 VLAN 居然还能像没做 VLAN 一样随随便便任意端口之间都互通？”，所以 VLAN 还是有意义的

bbroot

2023-06-20 14:25:33 +08:00

@adoal 受教了，感谢指导

yuchenr

2023-06-20 15:14:23 +08:00

vlan 互通一般是在三层交换上做。
如果没三层交换，就需要在路由上添加静态路由了

Admrial

2023-06-20 15:20:17 +08:00

1.所有 vlan 下的接入设备是否互通？
只要网关都在同一台设备上，通；不在同一台设备上要写回指路由

2.不同 vlan 下设备交换数据走路由器还是交换机 1
跨三层要走路由器，二层可以不过路由器直接走交换机

3.这种组网有没有意义？
有，vlan 的意义就是逻辑隔离

feaul

2023-06-20 15:38:13 +08:00

你的所有 vlan 的网关都在路由器上吗？如果是在路由器配置的子接口，那么不通的 vlan 之间可以互相访问。这就是单臂路由实现的 vlan 间访问。
还有在解答下，互通了那 vlan 的意义是什么？ vlan 是隔离二层的广播域，简单来说就是同一个 vlan 下发送的广播报文是不会发送到另一个 vlan 里面去的，把广播报文隔离了，不会隔离单播报文。

lengrongec

2023-06-20 16:20:10 +08:00

配置 vlanif 接口就可以互通，不配置接口不同 vlan 就不能互通

bbroot

2023-06-20 19:28:03 +08:00

@feaul 如果没有三层交换机的话就只能在路由器设置 vlan 网关吧

feaul

2023-06-21 09:18:15 +08:00

@bbroot 是的，vlan 间互相访问一般有 3 种。
1.设置单臂路由，也就是上面我说的方法，用一根网线，路由器上设置子接口。
2.和第一种差不多，不设置子接口。一个 vlan 连接路由器的一个物理接口。
3.使用三层交换机。在 vlan 上配置地址。

raysonlu

2023-06-21 10:36:58 +08:00

@feaul 那请教一下，没有 vlan 的路由器（比如普通的家庭路由器）+可以设置 vlan 的二层交换机的组合，是否就是你所说单臂路由，并且可以隔离广播报文？
另外我一直搞不清楚子网隔离和 vlan 隔离的区别，三层交换机上不同的 vlan 会配置不同的网关，但理论上来说，只要配置了不同网关就已经实现“隔离”目的了，如果实际应用中 vlan 隔离和网关隔离要同时配置，要这个 vlan 隔离的作用什么？

julyclyde

2023-06-21 12:31:38 +08:00

@bbroot 如果你的网络拓扑长期固定不变，vlan 确实没多大意义

经常改的话，比如这个座位一段时期属于某个网，后来搬走了，原来座位网口留给另一个权限的别人用，这时候改 vlan 比改跳线简单一些

feaul

2023-07-28 22:10:07 +08:00

@raysonlu 抱歉不经常上线，不可以，因为一般的家用路由系统都不带 vlan 功能，现在不太了解 openwrt 的系统，不过看网上 openwrt 还有支持 vlan 这个功能，你可以尝试用 openwrt 系统来做个尝试。

feaul

2023-07-28 23:00:30 +08:00

先解释子网隔离个 vlan 隔离的区别：在 PC 没有网关的情况下，同一 vlan 的不通子网是无法通信的，这就是子网隔离。同一子网的不同 vlan 也是无法通讯，这是 vlan 隔离，同一个 vlan 同一个子网是可以通讯的。这是正常的通讯。
实际应用中为什么要一个 vlan 对应一个子网：理论上是这样的同一 vlan 下不同的子网是可以隔离，但是实际交换机的转发广播报文时在同一个 vlan 下转发的，并不是基于子网转发的，所以交换机的同一个 vlan 下的所有端口都会收到广播报文，就没有实现隔离广播报文的目的了。