摘要:可就是VLAN之间ping不通——明明线都接对了,Switch上看着绿灯亮着,怎么就是跨不过去?
号主:老杨丨11年资深网络工程师,更多网工提升干货,
你有没有遇到过这种情况?
两个VLAN都配好了,交换机端口划分也没错,PC也能正常上网。
可就是VLAN之间ping不通——明明线都接对了,Switch上看着绿灯亮着,怎么就是跨不过去?
更让人抓狂的是,有人上来就说:“再检查一遍端口!”
可你心里清楚:二层通了,但三层没通,再查端口也没用。
没错,VLAN间通信,靠的不是“端口对”,而是三层路由能力。
今天我们就来彻底讲清楚:为什么光有二层连通性,VLAN之间依然无法通信。
广播域隔离:每个VLAN是一个独立的广播域。
逻辑分组:把物理位置不同的设备,按部门、功能等逻辑分组。
安全与管理:限制不必要的跨部门访问,提升网络可控性。
✅ 举个例子:
财务部(VLAN 10)和研发部(VLAN 20)在同一个交换机上,但默认情况下,它们无法直接通信——这正是VLAN的设计目的。
关键结论:
二层交换只能解决“同一个VLAN内的通信”。
跨VLAN通信,必须依赖三层设备进行路由转发。
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
✅ 优点:成本低,适合小型网络。
⚠️ 缺点:所有VLAN流量都走一个物理口,容易成为瓶颈。
vlan 10
vlan 20
interface Vlanif 10
ip address 192.168.10.1 255.255.255.0
interface Vlanif 20
ip address 192.168.20.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.10.254
✅ 优点:转发效率高,延迟低,适合中大型网络。
✅ 现代核心交换机基本都支持此模式。
排错命令:
show ip route(查看路由表是否有直连VLAN网段)display interface Vlanif 10(查看SVI状态)display ip routing-table(华为查看路由表)VLAN 10(192.168.10.0/24)和 VLAN 20(192.168.20.0/24)无法互访。
但各自VLAN内PC可以互相ping通。
检查PC网关设置
PC1(VLAN10)网关是否为 192.168.10.1?
PC2(VLAN20)网关是否为 192.168.20.1?
检查SVI是否配置且UP
display interface Vlanif 10# 查看状态是否为 UP,IP是否正确
检查是否启用IP路由
display current-configuration | include ip routing# 必须看到 ip routing 或类似开启路由的命令
查看路由表
display ip routing-table# 应能看到两条直连路由:
# 192.168.10.0/24 Direct Vlanif10
# 192.168.20.0/24 Direct Vlanif20
检查ACL或安全策略
是否有ACL deny了跨VLAN流量?
是否启用了端口隔离或MUX VLAN?
六、总结VLAN间通信 = 二层接入 + 三层路由
✅ 二层负责“进得来”:端口划分VLAN、Trunk允许VLAN、MAC表学习。
✅ 三层负责“转得去”:SVI或路由器子接口配置IP,开启路由功能,形成跨VLAN转发路径。
下次再遇到“VLAN通不了”的问题,别再只查端口了。
先问自己一句:三层路由配了吗?网关对了吗?路由表里有吗?
搞清楚这一点,你就比80%的人更懂企业网络。
来源:网络工程师俱乐部一点号