[网络-VLAN]不同VLAN之间互访概念

交换机划分VLAN后同一VLAN间可以互相访问，不同VLAN间无法访问，那么如何实现不同VLAN之间进行互相访问呢？实际网络工程应用中，每个VLAN都分配一个网段，并且园区网中一个楼层一个段或者企业网中，一个部门一个段，按网段来隔离广播域辨识度较高，简化网络管理，便于网络维护。那如果跨部门跨网段/VLAN相互访问，则需要通过三层数据包转发的方式进行相互访问。

三层数据包跨VLAN转发原理可以看一下单臂路由这一节概念，其实这里涉及到一个重要的概念网关

这里需要注意的是二层交换机是不具备三层（网络层）功能的，只能工作在数据链路层，所以只具备根据MAC地址转发数据帧，无法转发网络数据包。

如果需要转发网络数据包，只能依靠路由器，或者具有网络层数据包转发模块的三层交换机。

跨VLAN转发的原理如下：

首先同一VLAN中两台PC相互访问，是在同一广播域中，只需要通过交换机根据MAC地址表来转数据帧，帧中含有上层应用协议信息（含IP数据包）

这个实验在前一篇【相同vlan可互访，不同vlan无法相互访问】已经实现了

两台PC各自并维护对方的arp表项信息

那如果要让上图的技术部PC能够访问财务部PC，则需要三层互访也就是IP地址转发，需要更高一层的应用协议去寻址，也是就是网络层协议，但前提是需要有设备支持这个协议，那就需要路由器或者三层交换机

企业网一般用三层交换机作为局域网核心网络设备，可以看下如下三层网络拓扑

可以看到当核心交换机作为网关后，核心交换机内部的arp表项中MAC地址及对应的IP地址 ，很明显每个部门的PC都包含了，这就通过三层是实现了数据交换,总结起来如下：

不同网段实现互通，首先进行二层数据转发，更具以太网协议进行MAC地址寻址，当未发现目的地址在所属的二层范围内，则通过三层IP网关寻址，最终通过三层网关实现数据交换，进行相互访问