网工：不同vlan之间如何通信

一、概述

vlan是一种把承载一个局域网数据的物理设备划分为承载多个局域网数据的逻辑设备的技术，划分出来的虚拟局域网之间相互隔离不能直接互通。该技术实现的原理是在以太网数据帧的源MAC地址之后加入802.1Q标记，根据接入链路类型对此标记进行相应处理，802.1Q有4个字段，第四字段的12位VID表明该帧所属的VLAN ID，取值0-4095，有效范围是1-4094，其中4064-4094是默认保留的。

802.1Q帧格式

二、接口类型

接口类型决定了接口接收或发送帧时对该帧做何种处理，分为access、trunk、hybrid三种。

access接口接收到数据帧时先判断是否有tag标记，如果有且与自己的缺省标记一样那么接收数据帧，如果没有tag标记接收数据帧并打上自己的缺省tag标记。发送数据帧时接口会剥离tag标记后发送，所以access一般用于终端或者接口下的终端全部是同一个vlan成员的接入场景。

trunk接口接收到数据帧时会判断是否带有tag标记，假设设备默认允许所有vlan tag通过，如果带有tag标记，接收；如果不带tag标记时接收并打上native的tag，默认是1；接口发送数据帧时也是根据是否带有tag标记进行处理，假设设备默认允许所有vlan tag通过，如果带有tag标记且与native的tag不一致时保留tag发送；如果带的tag标记与native的tag标记一致发送时玻璃tag标记。所以trunk接口一般用于需要传输多个vlan的场景。

hybrid接口与trunk接口处理类似，区别就在于hybrid接口可以指定哪些vlan不带tag标记。所以hybrid接口称为灵活的trunk，它既可以实现access的功能，也可以实现trunk的功能，除了基于接口划分的其它划分vlan成员的方式都需要hybrid接口参与。

三、同一交换机上不同vlan之间二层通信分析

拓扑简介：拓扑中，交换机1的PC1是vlan 10的成员，PC3是vlan 20 的成员；PC1访问PC3，第一步，PC1发送arp广播报文请求PC3的MAC地址，当数据帧进入交换机的1接口，由于没有tag信息，数据帧会被打上vlan 10的tag，传输范围就在vlan 10的成员范围内。而PC3属于vlan 20的成员，接收不到vlan 10成员发送的arp请求，故而PC3不会进行回复，说明了vlan隔离了广播域，同一交换机上不同vlan之间仅用二层无法进行通信；缘由就是不同vlan之间的通信数据被隔离。

同一设备上的不同vlan之间二层通信分析

四、跨交换机不同vlan之间二层通信分析

如果不同vlan说的不是同一交换机上，而是跨交换机之间的不同vlan之间的二层通信呢？

拓扑中，PC1是交换机1中vlan10的成员，PC4是交换机中vlan 20的成员，PC1访问PC4必须要经过交换机直接的互联24接口，两台设备能否通信的前提取决于交换机2中vlan 20的成员是否能接收并传输交换机1中vlan 10成员发送过来的数据帧，所以24口的接口配置尤为重大。

正常配置交换机之间互联用trunk接口，允许所有vlan通过肯定是无法通信的，由于隔离了广播域的情况下PC4收不到PC1发送的arp报文。

要通信就要在交换机之间的互联口做处理，让数据帧从交换机1的24口出来到进入交换机的24口后变成交换机2中vlan 20的成员。

做法一，access接口对接，交换机1的24接口改为access接口并配置为vlan 10的成员，交换机2的24口改为access口并配置为vlan 20的成员，这种方法当数据帧从交换机1的24口出来后剥离tag，交换机2接收到无tag的数据帧后打上vlan 20的tag，如此就能让交换机2中vlan 20的成员收到交换机1中vlan 10成员发送的数据帧；这种方法阻断了交换机之间其它vlan之间的通信；

做法二，trunk接口对接，交换机1把pvid配置为10，交换机2把pvid配置为20，这种做法当数据帧从交换机1的24口发出时剥离tag，进入交换机2时由于没有tag就会被打上20的tag标签，实现vlan10和vlan20的身份互换，影响的vlan变少。

所以，不同vlan之间二层无法通信说得过于绝对，在跨交换机的情况下至少能实现两个不同vlan之间可以二层通信。

跨交换机不同vlan之间二层通信分析

五、同一交换机上不同vlan之间三层通信分析

不同vlan三层之间的通信往往说的是不同网段之间的通信，我们先来看同一交换机上不同vlan之间的三层通信，交换机1上配置vlan 10的地址192.168.1.254，vlan 20的地址192.168.2.254；PC1请求网关地址后把访问PC3的数据包发给网关192.168.1.254，由于创建了svi地址，所以交换机上会生成相应的直连路由，网关查找自己的路由表后转发到vlan 20所在的网段实现通信；

同一交换机上不同vlan之间三层通信分析

六、跨交换机不同vlan之间三层通信分析

跨交换机不同vlan之间的三层通信同样需要有路由表，如果交换机1和交换机2只有一台有要通信这两个网段的路由，那么PC的网关就指向有路由的这台设备。

如果都有路由那么网关指向哪台设备无所谓。我们来分析一下都有路由网关分别指向不同设备的通信情况，交换机1中vlan 10地址192.168.1.254， vlan 20地址192.168.4.254，PC1的网关192.168.1.254；交换机2中vlan 10地址192.168.10.253，vlan 20地址192.168.4.253，PC2的网关192.168.4.253；PC1访问PC4时，PC1请求192.168.1.254的arp信息，得到回应后把数据包发送给192.168.1.254，交换机1查找路由发现是接口192.168.4.254的直连，那么这个地址就会请求PC4的arp信息。得到回应后发送数据包给PC4，PC4在回包时又会请求192.168.4.253的arp信息，得到回应后发送数据包给192.168.4.253；查找路由表后又由192.168.1.253请求192.168.1.1的arp信息，最终回包。

跨交换机不同vlan之间三层通信分析

七、总结

同一设备不同vlan之间二层无法通信，三层路由通信；

不同设备不同vlan之间可做两个vlan的映射实现互通，其余的vlan依然无法通信。三层路由通信。

trunk接口连接终端的情况可根据具体网卡进行处理，如果支持802.1Q可直接互联，不支持802.1Q可调整NATIVE vlan互联。