1. 为什么需要跨VLAN通信在企业网络中VLAN虚拟局域网是最常用的网络隔离技术之一。简单来说VLAN就像是在同一个物理交换机上划分出多个逻辑交换机。比如财务部的电脑放在VLAN 10研发部的电脑放在VLAN 20这样两个部门的广播流量就不会互相干扰。但问题来了财务部的小张需要给研发部的老王发邮件这时候就需要跨VLAN通信。最典型的解决方案就是通过路由器的Trunk端口来实现。我去年给一家50人规模的公司部署网络时就遇到过类似需求当时用了3台交换机和1台路由器通过Trunk端口完美解决了部门间的通信问题。2. Trunk端口的工作原理2.1 什么是Trunk端口Trunk端口就像是交换机之间的高速公路。普通端口Access端口只能承载一个VLAN的流量而Trunk端口可以同时传输多个VLAN的流量。这就像普通车道只能走一种车而Trunk是公交专用道可以跑各种公交车。在实际配置中Trunk端口会使用802.1Q协议给数据帧打上VLAN标签。比如原始数据帧源MAC | 目标MAC | 类型 | 数据 | FCS带标签的数据帧源MAC | 目标MAC | 802.1Q标签 | 类型 | 数据 | FCS2.2 Trunk与Access端口的区别我用一个实际案例来说明。上周有个客户抱怨网络慢检查发现他们把连接路由器的端口误配成了Access端口。这就好比在高速收费站只开了一个人工通道所有车都得排队通过。改成Trunk端口后相当于开放了ETC通道流量立即畅通了。主要区别对比如下特性Access端口Trunk端口VLAN支持仅1个VLAN多个VLAN数据帧格式不带标签带802.1Q标签典型应用场景连接终端设备交换机间或连接路由器3. 详细配置步骤3.1 基础环境准备假设我们使用华为S5700交换机网络拓扑如下VLAN 10192.168.1.0/24财务部VLAN 20192.168.2.0/24研发部路由器接口192.168.1.1VLAN10、192.168.2.1VLAN20首先创建VLANsystem-view vlan batch 10 203.2 配置Access端口将连接电脑的端口设为Access模式并划分到对应VLANinterface GigabitEthernet 0/0/1 port link-type access port default vlan 10interface GigabitEthernet 0/0/6 port link-type access port default vlan 203.3 配置Trunk端口关键步骤来了配置连接路由器的端口interface GigabitEthernet 0/0/24 port link-type trunk port trunk allow-pass vlan 10 20这里有个常见坑点新手容易忘记allow-pass命令导致VLAN无法通过。我遇到过好几次因为这个导致的网络故障。4. 路由器配置要点4.1 子接口配置以华为AR路由器为例需要创建子接口interface GigabitEthernet 0/0/0.10 dot1q termination vid 10 ip address 192.168.1.1 255.255.255.0interface GigabitEthernet 0/0/0.20 dot1q termination vid 20 ip address 192.168.2.1 255.255.255.04.2 路由配置确保开启路由功能ip route-static 192.168.2.0 255.255.255.0 192.168.2.15. 常见问题排查5.1 通信失败的四大原因根据我处理过的案例90%的问题出在以下方面Trunk端口未放行对应VLANshow interface trunk查看路由器子接口VLAN ID配置错误终端设备的网关设置错误防火墙策略阻止了跨VLAN访问5.2 实用诊断命令在华为设备上这些命令特别有用display vlan # 查看VLAN划分 display interface brief # 查看端口状态 display arp all # 检查ARP表记得有次故障就是靠display interface trunk发现有个端口意外被设成了Access模式。6. 性能优化建议6.1 流量控制当VLAN间流量大时建议启用QoS优先级标记限制每个VLAN的带宽考虑使用三层交换机代替路由器6.2 安全增强跨VLAN通信要注意配置ACL限制访问权限开启端口安全功能定期检查ARP表去年有个客户公司内网中毒就是因为VLAN间访问控制太宽松。后来我们加了ACL规则只开放必要的端口问题就解决了。7. 真实案例分享上个月给一家电商公司部署网络时他们需要将客服系统VLAN 30与订单系统VLAN 40隔离但又要允许特定服务器通信。我们是这样做的在核心交换机配置Trunk端口路由器上设置精细化的ACL规则对关键业务流量启用QoS优先实施后网络延迟从平均15ms降到了3ms而且再没出现过跨VLAN访问导致的安全问题。这个案例说明好的Trunk配置不仅能实现通信还能提升整体网络性能。