回答本行業問題，同一交換機的不同VLAN，如何做到隔離?三層交換機下的VLAN劃分，本身就已經做到了隔離，無法通訊，VLAN的作用是可以隔離衝突域和廣播域。

什麼是VLAN

VLAN也叫虛擬區域網，是一組邏輯上的裝置和使用者，它們並不受物理位置的限制。相互之間的通訊類似在同一個網段中，VLAN是一種新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通訊是透過第3層的路由器來完成的。如果一個區域網內有幾百臺主機，一旦產生廣播風暴，整個網路可能就會出現癱瘓。所以透過vlan劃分廣播域，使得廣播被限制在每一個vlan裡面，而不會跨VLAN傳播。不同vlan之間的主機在沒有三層路由的前提下是不能互訪的，從而做到了隔離，這也是出於安全的考慮。

如何劃分VLAN透過埠的劃分VLAN

是利用交換機的埠來劃分VLAN，就是將交換機的某些埠定義為一個VLAN，埠劃分VLAN是最常用的一種VLAN劃分方法，簡單明瞭，管理非常方便。

透過MAC地址劃分VLAN

採用全球有唯一的一個物理地址MAC地址，根據網絡卡裝置的MAC地址可以將若干臺計算機劃分在同一個VLAN中。

透過網路協議劃分VLAN

根據每個主機的網路層地址或協議型別劃分VLAN，將執行相同協議的主機劃分到相同的vlan中，適合廣域網中。

透過子網劃分VLAN

基於子網的VLAN，是透過所連計算機的IP地址，來決定埠所屬VLAN的。即使計算機因為換了網絡卡或是其他原因導致MAC地址改變，只要它的IP地址不變，就仍可以加入原先設定的VLAN。

VLAN之間如何通訊

VLAN是廣播域，兩個廣播域之間由路由器連線，廣播域之間的資料包都是由路由器中繼的。因此VLAN間的通訊也需要路由器提供中繼服務。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。

關注尬聊科技，分享更多知識，分享越多，收穫越多!

1、如果你的交換機只是2層交換機，則不同的VLAN之間不能通訊。

2、如果你的交換機是3層交換機，則把VLAN虛介面起來VLAN間就可以通訊了

3、二層交換機需要配合三層交換機或路由器才可以通訊。

說的通俗一點，就是用管理型交換機劃分了多個子網，用子網的特點來隔離不同的廣播域，從而來降低廣播氾濫帶來的頻寬佔用過高而影響網速，如果讓兩個子網進行通訊的話可以用個路由器做個單臂路由，或者用個三層交換機進行通訊！

“網路極客”，全新視角、全新思路，伴你遨遊神奇的網路世界。

交換機的不同VLAN是無法直接進行通訊，從邏輯上已經進行了隔離。

同一個區域網，通常會將不同的部門劃分到不同的VLAN；

使用VLAN來確保各個部門資料之間的安全性，透過VLAN的方式實現更加靈活。

一起來簡單瞭解一下什麼是VLAN，連線VLAN的方式有哪些。

什麼是VLAN

VLAN是Virtual Local Area Network的簡稱，虛擬區域網的意思。

在同一個區域網，透過VLAN技術，可以將物理裝置從邏輯上進行分離；

使得在同一個區域網內，不同部門的資料分離實現可能，確保了局域網內資料的安全性；

透過VLAN可以降低區域網的廣播包，降低廣播風暴對區域網的影響。

VLAN互通的兩種方式

不同VLAN之間想要實現通訊，有兩種方式：

一種是透過三層交換機，在三層交換機上建立不同VLAN的閘道器地址；

透過不同的VLAN閘道器之間的預設路由來實現通訊。

一種是透過路由器的單臂路由路由來實現；

需要使用路由器的子埠，在不同的子埠配置閘道器地址。

同個交換機的不同VLAN，不透過上述兩種方法，均無法實現通訊。

關於VLAN互訪，還有那些問題？

根據我所知道的回答一下這個問題。

同一個交換機下的不同埠，如果屬於不同的VLAN，是無法相互通訊的。舉兩個最常見的例子：

家庭用的光貓，一般配置了4個LAN埠，其中寬頻上網和IPTV使用了不同的VLAN進行隔離，寬頻上網一般使用VLAN1347，IPTV一般使用VLAN43。假如寬頻上網的無線路由器連線到光貓的IPTV埠，那麼是無法實現寬頻上網的，反之亦然；

辦公區域網：辦公區域網經常根據部門劃分不同的VLAN，假如不透過上層的三層交換機，不同VLAN的電腦是無法相互通訊的；下圖分別顯示了家庭光貓和辦公環境Vlan的劃分。什麼是VLAN

VLAN稱為虛擬區域網，用來隔離廣播域的，將一個大的區域網透過劃分不同的VLAN，劃分成大小不等的“小區域網”，而每個小的區域網屬於一個VLAN。

假如VLAN為100，如果某個埠劃分為VLAN100，有一個打標籤和去標籤的過程：

資料包進入這個埠：資料包就被打上VLAN100的標籤，那麼就之只能和VLAN100的埠交換資料；

資料包離開這個埠：資料包就會剝去VLAN100的標籤，假如這個資料包的VLAN不是100，會被丟棄。

VLAN的概念只存才於交換機中，主機終端是不認識VLAN的，對主機是透明的。

VLAN有什麼用

區域網中存在大量的廣播資料，廣播資料對於每個終端都是可以收到的，假如區域網規模很大，有上萬臺終端，那麼主幹鏈路很可能被廣播資料堵塞，這時就需要VLAN了；

劃分VLAN通常依據不同的部門、不同的地域劃分，比如家庭光貓透過劃分不同的VLAN區分寬頻上網業務和IPTV業務，辦公區域網根據不同業務部門劃分不同的VLAN。

不同VLAN之間如何通訊

雖然劃分了不同VLAN，但是畢竟是一個區域網的終端，得相互通訊啊，這時就需要三層交換機或者單臂路由了；

不同VLAN之間相互通訊，使用三層交換機是最常用的，將VLANIF介面配置在三層交換機，透過直連路由就可以實現不同VLAN之間的相互通訊；

單臂路由透過子介面對應不同的VLAN，使用直連路由實現不同VLAN之間的相互通訊，這種做法用的比較少。

vlan簡稱為虛擬區域網，不同的vlan邏輯上可以理解為不同的區域網，不同區域網自然是無法互相通訊的，這也是書面上常說的二層vlan。

不同vlan底下主機要通訊的話，可以透過兩種方式來實現，一種是配置vlan ip地址走三層路由協議，一種可以透過路由器單臂路由來實現。

回到最初問題，同一交換機不同vlan怎麼隔離，其實預設就是隔離的。至於兩個不同vlan之間要怎麼通訊可以參考第二段思路。

玩點高階的嘛，同個交換機VLAN二層隔離誰不會啊

中間2個交換機，都是二層的，左邊交換機接電腦和互聯口都是access，vlan id10，右邊交換機接電腦和互聯口也是access，vlan id 20

兩邊電腦三層同段，能不能通訊？

我們搞個實驗驗證一下：

選Juniper vQFX17版做交換機，看起來高大上一點。

左邊交換機，2個介面打VLAN 10

右邊交換機，2個介面打VLAN 20

2個PC就選個vMX路由器模擬了，配置：

直接ping一下：

哈哈，居然成功了，原來資料包是進入交換機的時候打上一個TAG，用於內部二層隔離廣播域，出交換機的時候，他就自動把TAG給剝離了，所以互聯的兩個介面VLAN不同，他也是可以通訊的。

針對這個問題，我會從VLAN定義，VLAN劃分依據，VLAN劃分作用，同一交換機不同VLAN如何做到隔離以及VLAN如何實現互通等5個方面做一個簡單的分享：

1、VLAN定義

vlan叫虛擬區域網，是一種透過將區域網內的裝置邏輯地址劃分成一個個網段從而實現虛擬工作組的新興技術。

2、VLAN劃分依據

①基於埠劃分

基於埠的vlan劃分方法是最常用的，就是將一個埠或者幾個埠劃分到一個vlan，這個埠的使用者就屬於該VLAN，如上圖所示，可以將E1/0/1,E1/0/2，2個埠劃分到VLAN10，E1/0/3、E1/0/4，2個埠劃分到VLAN20；

②基於MAC地址劃分

基於mac地址劃分，就是將mac地址劃分到對應的vlan中，如上圖所示，PCA和PCB的mac地址劃分在vlan10，PCC和PCDmac地址劃分在vlan20中；

這種劃分方法就是將執行相同協議的pc劃分到相同的vlan中，比如上圖中PCA、PCB執行IP協議就劃分到vlan10，PCC、PCD執行IPX協議就劃分到vlan20；

④基於子網劃分VLAN

這種劃分方式就是根據子網劃分的，如上圖所示將10.0.0.0/24劃分到vlan10,20.0.0.0/24劃分到vlan20；

3、vlan的作用

透過劃分不同vlan，相同vlan內的主機可以直接通訊，而不同vlan不能直接互通，從而將廣播報文限制在一個vlan內。

①限制廣播域

廣播域限制在一個vlan內，既節省了頻寬，又提高了網路處理能了；

②增加區域網的安全性

不同vlan內的報文在傳輸時相互隔離

故障限制在同一個vlan內，本vlan內的故障不會影響其他vlan的正常工作；

④靈活構建虛擬區域網

用vlan劃分不同的使用者到不同的區域網，不必受限於固定的範圍，組建網路和維護更加方便靈活；

4、同一交換機，如何做到相互隔離

原理就是對於交換機來說，是根據vlan標籤來區分不同的vlan的乙太網幀的，如圖所示，PCA傳送一個目的地址為PCB的資料幀，到達交換機，交換機會打上vlan10的標籤，然後根據vlan表確定從PCB的埠轉發出去交給PCB，而PCC和PCD是收不到的；

5、vlan互通

①透過單臂路由實現不同vlan之間互

②透過三層交換路由功能實現不同vlan之間的通訊

根據我對題主問題的理解，我覺得題主應該是想問VLAN這個技術是怎麼做到VLAN間主機隔離的。

首先我們來看看vlan資料幀格式和以及vlan這個技術沒出現前的傳統乙太網資料幀格式。

vlan資料幀的報文格式,如下圖所示：

傳統的乙太網資料幀格式，如下圖所示：

兩者對比，我們發現VLAN的資料幀中比傳統的乙太網資料幀多了4個位元組的VLAN Tag，Vlan Tag中的VID就是我們平時所說的VLAN號，取值範圍是：1-4094。

接下來，我們繼續看下面的拓撲：

PC1和PC2在同一個網段內，其中PC1連線交換機的埠GE0/0/1屬於VLAN 1，port ,PC2連線交換機的埠GE0/0/2口屬於VLAN2。

華為交換機的配置方法是：

interface GE0/0/x //x指的是交換機埠號

port link-type access

port default vlan x //x指的是VLAN號，取值範圍是1-4094

交換機的埠配置成access口後，交換機從該埠接收到傳統的乙太網資料幀將會被打上一個4位元組Vlan tag，Vlan tag中的VID就是我們在介面下用命令：port default vlan x 配置的x這個數字。同時交換機也會生成一張包含vlan id的mac地址表，然後交換機根據這張表來轉發報文，如下圖所示：

綜上所述，VLAN技術就是交換機埠透過給接收到的資料幀打上vlan tag以及生成一張標識了VLAN號的MAC地址表來隔離不同VLAN主機間的通訊的。

回答本領域問題！

首先要說明的是同一個交換機的不同VLAN，天生就具有隔離功能！

這個也是VLAN存在的最大意義了！

廣播域

我們都知道，VLAN最初是用來劃分廣播域的，在同一個廣播域內的PC才能夠通訊。如下圖所示，一個主機發送廣播以後，所有能收到報文的裝置，稱為在同一個廣播域內。

而VLAN可以劃分廣播域，例如下圖表示，劃分廣播域以後，不同的廣播域內的PC就被隔離出來，不能直接在二層進行通訊了。

最極端的情況，每個PC都在一個廣播域內，即每個PC都在一個VLAN裡，則他們在二層就完全實現隔離了！如果畫成下面的內容，可能會更清晰：

交換機如何識別不同VLAN的報文的呢？

透過VLAN ID，交換機的埠會配置不同的VLAN，它會有不同的規則來對收到的報文做處理。如下圖所示，假設E0/1和E0/2在同一個VLAN裡，PC1傳送的報文會透過E0/2傳送給PC2，而不會透過E/3傳送給PC3。交換機內部會維護這樣一張表，只有在同一個VLAN的端口才能通訊，不在同一個VLAN裡的埠是隔離的。

交換機的配置：

交換機收到帶VLAN的報文如何處理呢？

收到的報文帶不帶VLAN，VLAN ID是多少，我們在報文裡都可以看出來，如下圖所示：VLAN ID的格式

，裡面有描述。

總結

所以不管從VLAN劃分廣播域的原理，還是交換機的內部的實現原理，同一個交換機的不同VLAN之間都是二層隔離的，接在它們上面的PC是不能夠進行通訊的！

區域網的核心裝置是交換機，一個交換機是一個廣播域也就是說，連線在同一交換機下的電腦都可以收到該交換機發送的ARP廣播包！VLAN是虛擬區域網的縮寫，把一個大的區域網在邏輯上劃分為許多小的區域網，這樣ARP廣播傳播的範圍就被侷限在一個個小的區域網之中！

VLAN，使用0到4095來分別代表不同的虛擬區域網，其中，預設的VLANID是1，而0被保留不作使用！通常使用的VLAN，是基於埠的靜態劃分！

當把一個埠劃分到一個VLAN號碼的時候，任何連線到該埠的計算機都被認為是該VLAN的成員，連線在該埠上的計算機發送一個數據包的時候，交換機會在目的MAC地址和源MAC地址之後插入VLANID，交換機在轉發該資料之前會查詢相應的對映表來決定是轉發還是丟棄！這樣就是實現了不同vlan之間的二層隔離！