在局域网部署中，VLAN 技术通过隔离广播域提升了网络安全性和稳定性，但不同 VLAN 间的通信需求又成了新的难题。比如财务部门的电脑（VLAN 10）需要访问服务器区（VLAN 20）的数据，该如何实现？今天来拆解 3 种方案，理清思路。

一、先搞懂：为什么同 VLAN 能直接通信，跨 VLAN 却不行？

其实核心在于通信层级的差异：

同 VLAN 且同网段的设备，属于二层通信，通过 MAC 地址表就能直接转发数据帧，无需额外设备；

不同 VLAN 对应不同网段，必须通过三层通信实现互访，这就需要路由器、三层交换机等设备介入，靠 IP 地址和路由表来转发报文。

二、方案 1：路由器物理接口 —— 原理简单但几乎被淘汰

早年网络规模较小时，有人会用路由器的物理接口做 VLAN 网关：给每个 VLAN 分配一个路由器接口，比如 VLAN 10 对应 GE0/0/1，VLAN 20 对应 GE0/0/2，接口分别配置对应网段的 IP（如 192.168.10.254/24、192.168.20.254/24）。

但这种方式的致命缺点是接口占用太多—— 有 10 个 VLAN 就需要 10 个物理接口，路由器接口数量根本不够用，扩展性极差。现在除了极简单的场景，基本没人用了。

方案 2：路由器子接口

子接口(Sub-Interface)是基于路由器以太网接口所创建的逻辑接口,（如 GE0/0/1.10、GE0/0/1.20），每个子接口对应一个 VLAN。以物理接口ID+子接口ID 进行标识,子接口同物理接口一样可进行三层转发｡子接口不同于物理接口,可以终结携带VLAN Tag 的数据帧｡基于一个物理接口创建多个子接口,将该物理接口对接到交换机的Trunk 接口,即可实现使用一个物理接口为多个VLAN 提供三层转发服务｡

子接口终结VLAN 的实质包含两个方面:

对接口接收到报文,剥除VLAN 标签后进行三层转发或其他处理｡

对接口发出的报文,又将相应的VLAN 标签添加到报文中后再发送｡

方案 3：三层交换机 VLANIF

二层交换机(Layer 2 Switch)指的是只具备二层交换功能的交换机｡

三层交换机(Layer 3 Switch)除了具备二层交换机的功能,还支持通过三层接口(如VLANIF 接口)实现路由转发功能｡

VLANIF 接口是一种三层的逻辑接口,支持VLAN Tag 的剥离和添加,因此可以通过VLANIF 接口实现VLAN 之间的通信｡

VLANIF 接口编号与所对应的VLAN ID 相同,如VLAN 10 对应VLANIF 10｡

VLANIF 配置示例

举个例子，VLAN 10 的 PC1（192.168.10.2）要访问 VLAN 20 的 PC2（192.168.20.2）：通过三层交换机完成两台PC 之间的相互通信｡

基础配置：

[SW1]vlan batch 10 20

[SW1]interface GigabitEthernet 0/0/1

[SW1-Gigabittenet0/0/1]portlink-typeaccess

[SW1-GigabitEthernet0/0/1] port default vlan 10

[SW1] interface GigabitEthenet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2] port default vlan 20

配置vlanif：

[SW1]interface Vianif 10

[SW1-Vlanif10]ip address 192.168.10.254 24

[SW1]interface Vlanif 20

[SW1-Vlanif20]ip address 192.168.20.254 24

假设PC､三层交换机上都已存在相应的ARP 或MAC 表项｡

PC1 与PC2 之间通信过程如下:

PC1 通过本地IP 地址､本地掩码､对端IP 地址进行计算,发现目的设备PC2 与自身不在同一个网段,判断该通信为三层通信,将去往PC2 的流量发给网关｡PC1 发送的数据帧:源MAC = MAC1, 目的MAC = MAC2｡

需要完整配置手册的朋友，可以留言或发消息，我会把整理好的三色笔记完整版分享给你～持续更新 HCIA-Datacom 其他核心考点，关注不迷路