开云(中国)Kaiyun·官方网站 登录入口

号主：老杨丨11年资深麇集工程师开yun体育网，更多网工普及干货，请关爱公众号：麇集工程师俱乐部

来了，许多东说念主一上来就会建 VLAN：

vlan 10

quit

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 10

建是建了，业务一测却发现：怎么不同 VLAN 还能互通？怎么同 VLAN 的某些端口反而欠亨？

那是因为你只学了“建 VLAN”，但没搞懂 VLAN 到底是怎么“遏制”的”。

今天咱们就从底层逻辑讲了了。

一、VLAN 实质上是“逻辑遏制”

物理上，扫数设备插在一台交换机上，表面上透顶能通讯。

伸开剩余83%

但 VLAN 的出现，就极度于给这些口划了“小圈子”，

每个 VLAN 是一个寂寥的二层播送域，数据只在这个“圈子”里转，不越界。

是以 VLAN 信得过的遏制，是遏制“播送域”。

你建了 VLAN10 和 VLAN20，实质上便是告诉交换机：

VLAN10 的口不可把播送传到 VLAN20 VLAN20 的口不可反映 VLAN10 的 ARP 苦求 组播、DHCP 等也各行其是

但安宁，这一切齐开导在前提上：

★ 你得让接口“知说念我方属于哪个 VLAN”

这就引出了下少许——

二、VLAN 的“遏制”要靠端口形态来实施

许多东说念主确立 VLAN 后发现不顺利，

不是 VLAN 自己没问题，而是 端口形态没设对，导致“收支的数据包没打标签”。

Access 形态：

port link-type access

port default vlan 10

相宜接 PC、打印机、录像头这类不懂 VLAN 的设备。

交换契机自动帮它打上 VLAN10 的标签。

你惟有记取一句话：

★ Access 是“强制分辩”：你进这个口，就只可属于一个 VLAN。

Trunk 形态：

port link-type trunk

port trunk allow-pass vlan 10 20

相宜交换机之间互联，传多个 VLAN 的数据。 不栽培 allow-pass，你 VLAN 建了也传不外。

最常见实在立错在哪？

你建了 VLAN，但 Trunk 口没放行阿谁 VLAN → 数据包径直被丢弃，根蒂没进来。

是以：

VLAN 是否能遏制？得看接口形态认不认 Trunk 不放行，等于“明建实封” Access 没设 VLAN，等于全混通盘了三、还有一种 VLAN 不遏制的情况：三层网关“帮你转发”

不同 VLAN 表面上欠亨，但一加网关，就又能互通了。

因为你确立了 VLAN 接口（VLANIF），梗概用了路由器 / 防火墙作念了三层互通：

interface Vlanif10

ip address 192.168.10.1

interface Vlanif20

ip address 192.168.20.1

这本领，交换机里面就不错径直完了“不同 VLAN 的互访”。

你以为 VLAN 遏制了，本质上是：

★ VLAN 只作念了二层遏制，但你又在三层把它们买通了。四、补一个真场景问题

用户说：“我两个录像头在不同 VLAN，尽然还能互 ping。”

你去一查：

VLAN 确乎分开了 端口也设了 Access 但交换机上开启了 inter-VLAN routing（确立了两个 VLANIF） 何况没配 ACL 截至互通

是以就出现了“逻辑上遏制，业务上不隔”的假象。

回想一句话 ★ VLAN 仅仅一个二层“遏制政策”，

信得过生不顺利，要看你有莫得设对端口形态，

有莫得放开 Trunk，

有莫得三层接口“悄悄兜底”。

信得过生不顺利，要看你有莫得设对端口形态，

有莫得放开 Trunk，

有莫得三层接口“悄悄兜底”。

你不错记取这个判断逻辑：

VLAN顺利判断三连：

1. 接口加到 VLAN 里没？

2. Trunk 是否放行 VLAN？

3. 有莫得三层接口在悄悄转发？

原创：老杨丨11年资深麇集工程师开yun体育网，更多网工普及干货，请关爱公众号：麇集工程师俱乐部

发布于：福建省