号主：老杨丨11年资深集聚工程师，更多网工普及干货，请保重公众号：集聚工程师俱乐部

来了，许多东谈主一上来就会建 VLAN：

vlan 10

quit

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 10

建是建了，业务一测却发现：怎样不同 VLAN 还能互通？怎样同 VLAN 的某些端口反而欠亨？

那是因为你只学了“建 VLAN”，但没搞懂 VLAN 到底是怎样“隔绝”的”。

今天咱们就从底层逻辑讲理会。

一、VLAN 实质上是“逻辑隔绝”

物理上，整个开辟插在一台交换机上，表面上十足能通讯。

伸开剩余83%

但 VLAN 的出现，就荒谬于给这些口划了“小圈子”，

每个 VLAN 是一个寂然的二层播送域，数据只在这个“圈子”里转，不越界。

是以 VLAN 真确的隔绝，是隔绝“播送域”。

你建了 VLAN10 和 VLAN20，实质上即是告诉交换机：

VLAN10 的口不成把播送传到 VLAN20 VLAN20 的口不成反馈 VLAN10 的 ARP 央求 组播、DHCP 等也道不同

但防卫，这一切皆设立在前提上：

★ 你得让接口“知谈我方属于哪个 VLAN”

这就引出了下小数——

二、VLAN 的“隔绝”要靠端口形态来扩展

许多东谈主配置 VLAN 后发现不顺利，

不是 VLAN 自己没问题，而是 端口形态没设对，导致“收支的数据包没打标签”。

Access 形态：

port link-type access

port default vlan 10

符合接 PC、打印机、录像头这类不懂 VLAN 的开辟。

交换契机自动帮它打上 VLAN10 的标签。

你惟有记取一句话：

★ Access 是“强制折柳”：你进这个口，就只可属于一个 VLAN。

Trunk 形态：

port link-type trunk

port trunk allow-pass vlan 10 20

符合交换机之间互联，传多个 VLAN 的数据。 不树立 allow-pass，你 VLAN 建了也传不外。

最常见的配置错在哪？

你建了 VLAN，但 Trunk 口没放行阿谁 VLAN → 数据包顺利被丢弃，根柢没进来。

是以：

VLAN 是否能隔绝？得看接口形态认不认 Trunk 不放行，等于“明建实封” Access 没设 VLAN，等于全混一齐了三、还有一种 VLAN 络续交的情况：三层网关“帮你转发”

不同 VLAN 表面上欠亨，但一加网关，就又能互通了。

因为你配置了 VLAN 接口（VLANIF），好像用了路由器 / 防火墙作念了三层互通：

interface Vlanif10

ip address 192.168.10.1

interface Vlanif20

ip address 192.168.20.1

这本事，交换机里面就不错顺利达成“不同 VLAN 的互访”。

你以为 VLAN 隔绝了，执行上是：

★ VLAN 只作念了二层隔绝，但你又在三层把它们买通了。四、补一个真场景问题

用户说：“我两个录像头在不同 VLAN，尽然还能互 ping。”

你去一查：

VLAN 确乎分开了 端口也设了 Access 但交换机上开启了 inter-VLAN routing（配置了两个 VLANIF） 况兼没配 ACL 截止互通

是以就出现了“逻辑上隔绝，业务上不隔”的假象。

追溯一句话 ★ VLAN 仅仅一个二层“隔绝战术”，

真确生不顺利，要看你有莫得设对端口形态，

有莫得放开 Trunk，

有莫得三层接口“悄悄兜底”。

真确生不顺利，要看你有莫得设对端口形态，

有莫得放开 Trunk，

有莫得三层接口“悄悄兜底”。

你不错记取这个判断逻辑：

VLAN顺利判断三连：

1. 接口加到 VLAN 里没？

2. Trunk 是否放行 VLAN？

3. 有莫得三层接口在悄悄转发？

原创：老杨丨11年资深集聚工程师bat365线上买球，更多网工普及干货，请保重公众号：集聚工程师俱乐部

发布于：福建省