在劃分VLAN後，不同VLAN之間不能直接進行二層通訊。如果要實現VLAN間通訊，可以採取以下3種方案之一。

1．三層VLANIF介面方案

這是一種通過計算機網路體系結構中第三層（網路層）來實現VLAN間通訊的解決方案。每個VLAN都可以配置一個三層VLANIF邏輯介面，而這些VLANIF介面就作為對應VLAN內部使用者主機的預設閘道器，通過三層交換機內部的IP路由功能可以實現同一交換機上不同VLAN的三層互通，不同交換機上不同VLAN間的三層互通需要配置各VLANIF介面所在網段間的路由。

該方案除S1700系列外，其他所有華為S系列交換機均支援。

在圖6-20所示的網路中，Device交換機上劃分了兩個VLAN：VLAN2和VLAN3。可通過如下配置實現VLAN間互通。

（1）在Device上建立兩個VLANIF介面並配置VLANIF介面的IP地址，但這兩個VLANIF介面對應的IP地址不能在同一網段。

（2）將各VLAN中的使用者裝置預設閘道器設定為所屬VLAN對應VLANIF介面的IP地址。

現在僅以位於VLAN 2中的主機A向位於VLAN 3中的主機C發起通訊為例，介紹通過VLANIF介面進行VLAN間三層互通的基本原理。具體通訊流程如下。

（1）在主機A向主機C傳送的資料包到了網路層後，主機A先將包中的目的IP地址-主機C的IP地址和自己所在網段進行比較。

（2）發現主機C和自己不在同一個子網，於是主機A以廣播方式在本子網內傳送一個ARP請求幀，其目的是查尋自己的閘道器-VLANIF2介面的MAC地址。

（3）VLANIF2介面經過與ARP請求幀中的目的IP地址進行比較，發現自己的IP地址與其一致，接收該ARP請求幀，然後以單播方式向主機A返回一個ARP應答幀，幀中的源MAC地址即為VLANIF2的MAC地址。

（4）在主機A接收由VLANIF2介面返回的ARP應答幀後從中學習到了VLANIF2介面的MAC地址。

（5）主機A利用所獲得的閘道器VLANIF2介面的MAC地址，重新進行資料幀封裝，把幀中的目的MAC改為VLANIF2介面MAC地址，目的IP仍為主機C的IP地址，然後傳送給閘道器-VLANIF2介面。

（6）Device交換機在收到該資料幀後進行三層轉發，發現幀中的目的IP地址--主機C的IP地址為直連路由，資料幀直接通過該主機的閘道器-VLANIF3介面進行轉發。

（7）VLANIF3介面作為VLAN 3內主機的閘道器，在收到資料幀後如果已有主機C的IP地址與MAC地址對映表，則直接傳送給主機C，否則VLANIF3介面先在VLAN 3內以廣播方式傳送一個ARP請求幀，查尋主機C的MAC地址。

（8）主機C在收到ARP廣播幀後向VLANIF3介面返回一個ARP應答幀。

（9）VLANIF3介面在收到主機C發來的ARP應答幀後再次進行資料幀封裝，把幀中的目的MAC地址改為主機C的真實MAC地址（其他不變），然後把主機A發來的資料幀傳送給主機C。這樣主機A之後要發給C的資料幀都先發送給閘道器，由閘道器-VLANIF3介面做三層轉發。

主機C與主機A之間的通訊原理一樣，最終實現VLAN間的三層互通。

2．三層乙太網子介面方案

三層乙太網子介面是一種同時具備三層乙太網物理介面和二層乙太網物理介面雙重特性的邏輯介面。即它具有三層乙太網物理介面的三層路由功能，同時又具有二層乙太網物理介面封裝VLAN標籤的特性。通過三層乙太網子介面就可以實現不同VLAN間的三層互通，也就是我們通常所說的"單臂路由"，在三層交換機和路由器中均可實現。

該方案僅5700HI和5710EI子系列、S7700、S9300和S9700系列華為交換機支援。

如圖6-21所示，DeviceA為支援配置子介面的三層裝置，DeviceB為二層交換裝置。LAN通過DeviceB的二層乙太網介面與DeviceA的三層乙太網介面相連。連線在DeviceB上的使用者主機被劃分到兩個VLAN：VLAN2和VLAN3。這時可通過如下配置實現VLAN間互通。

（1）在DeviceA與DeviceB相連的三層乙太網介面上建立兩個子介面Port1.1和Port1.2，並配置802.1Q封裝與VLAN2和VLAN3分別對應。

（2）為以上這兩個子介面配置與各自所屬VLAN對應網段的IP地址。

（3）將DeviceB與DeviceA相連的二層乙太網介面型別配置為Trunk或Hybrid型別，並同時允許VLAN2和VLAN3的幀通過。

（4）將VLAN 2和VLAN 3中的使用者裝置的預設閘道器設定為所屬VLAN對應三層乙太網子介面的IP地址。

現在同樣以主機A向主機C發起通訊為例介紹三層乙太網子介面的VLAN間通訊方案的基本原理（其實基本過程與前面介紹的VLANIF介面VLAN間通訊方案是一樣的，只不過這裡的閘道器是各VLAN所對應的子介面）。具體流程如下。

（1）在主機A向主機C傳送的資料包到了網路層後，主機A先將包中的目的IP地址-主機C的IP地址和自己所在網段進行比較。

（2）發現主機C和自己不在同一個子網，於是主機A以廣播方式在本子網內傳送一個ARP請求幀，其目的是查尋自己的閘道器VLAN 2對應的Port1.1子介面的MAC地址。

（3）Port1.1子介面經過與ARP請求幀中的目的IP地址進行比較，發現自己的IP地址與其一致，接收該ARP請求幀，然後以單播方式向主機A返回一個ARP應答幀，幀中的源MAC地址即為Port1.1子介面的MAC地址。

（4）主機A接收由Port1.1子介面返回的ARP應答幀後從中學習到該子介面的MAC地址。

（5）主機A利用所獲得的閘道器Port1.1子介面的MAC地址，重新封裝資料幀，把目的MAC地址改為Port1.1子介面MAC，目的IP仍為主機C的IP地址，然後傳送給閘道器Port1.1子介面。

（6）DeviceA交換機在收到該資料幀後進行三層轉發，發現其目的IP地址-主機C的IP地址為直連路由，資料幀直接通過該主機的閘道器-VLAN 3對應Port1.2子介面進行轉發。

（7）Port1.2子介面作為VLAN 3內主機的閘道器，在收到資料幀後如果已有主機C的IP地址與MAC地址對映表，則直接傳送給主機C，否則Port1.2子介面先在VLAN 3內以廣播方式傳送一個ARP請求幀，查尋主機C的MAC地址。

（8）主機C在收到ARP廣播幀後向Port1.2子介面返回一個ARP應答幀。

（9）Port1.2子介面在收到主機C的ARP應答幀後，再次進行資料幀封裝，把幀中的目的MAC地址改為主機C的真實MAC地址（其他不變），然後就把主機A發來的資料幀傳送給主機C。這樣主機A之後要發給C的資料幀都先發送給閘道器，由閘道器-Port1.2子介面做三層轉發。

主機C與主機A之間的通訊原理一樣，最終實現VLAN間的三層互通。

3．VLAN Switch方案

通過VLAN Switch（VLAN交換）也可以實現不同VLAN間的通訊。VLAN交換是一種按照VLAN標籤進行資料轉發的技術，需要預先在網路中的各交換機上建立一條靜態轉發路徑。當交換機接收到符合轉發條件的VLAN資料後，根據VLAN交換表將報文直接轉發到相應的出介面，無需檢視MAC地址表，提高了轉發效率及安全性，可有效地避免MAC地址攻擊及廣播風暴。

該方案僅在S7700、S9300、S9300E和S9700等華為高階S系列交換機中支援。

VLAN交換功能如下。

（1）新增外層VLAN標籤功能，即VLAN Switch stack-vlan功能。

（2）在不同介面之間轉換外層VLAN標籤，即VLAN Switch switch-vlan功能。

VLAN Switch stack-vlan功能與VLAN Stacking（VLAN堆疊，將在下章介紹）功能類似，也是一種針對使用者不同VLAN封裝外層VLAN標籤的二層技術。與VLAN Stacking功能的差異如表6-11所示。

表6-11 VLAN Switch功能與VLAN Stacking功能比較
 

VLAN Switch switch-vlan功能與VLAN Mapping（VLAN對映，將在下章具體介紹）功能類似，也可以實現不同VLAN間的通訊。與VLAN Mapping功能的差異如表6-12所示。

表6-12 VLAN Switch功能與VLAN Mapping功能比較
 

轉載自：http://book.51cto.com/art/201312/423175.htm