VLAN 间访问卡到怀疑人生,结果只是这个参数忘了配……

最新推荐文章于 2025-12-04 17:39:28 发布
原创 最新推荐文章于 2025-12-04 17:39:28 发布 · 451 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部


网络排障最怕的不是设备坏了,也不是链路断了,而是那种你感觉一切都配对了、物理连通没问题、ping 却死活不通的情况。

我前阵子就遇到一个案例——两台主机分属不同 VLAN,本来 VLAN 间通信应该没问题,但我一通抓包、改配置、查路由,折腾了一个小时,最后才发现只是一个小小的参数没配


1. 场景背景

  • 设备:三层交换机(支持 VLAN 间路由)

  • 主机

    • PC1 → VLAN 10,IP:192.168.10.10/24,网关:192.168.10.1
    • PC2 → VLAN 20,IP:192.168.20.20/24,网关:192.168.20.1

  • 需求:PC1 和 PC2 能够互相访问

  • 接口规划

    • VLAN 10 → 三层交换机接口 VLANIF 10 → 192.168.10.1
    • VLAN 20 → 三层交换机接口 VLANIF 20 → 192.168.20.1


2. VLAN 间路由的基本条件

在三层交换机上实现 VLAN 间通信,需要满足这几个前提:

  1. VLAN 创建并加入接口

    vlan batch 10 20
    interface GigabitEthernet 0/0/1
      port link-type access
      port default vlan 10
    interface GigabitEthernet 0/0/2
      port link-type access
      port default vlan 20

  2. 三层接口(VLANIF)配置 IP

    interface Vlanif 10
      ip address 192.168.10.1 255.255.255.0
    interface Vlanif 20
      ip address 192.168.20.1 255.255.255.0

  3. 开启三层转发功能

    • 在某些厂商(如华为)上需要 ip routing(或者系统默认开启)
    • 思科设备默认开启路由转发


3. 问题现象

配置完后,PC1 能 ping 自己网关,PC2 也能 ping 自己网关,但是PC1 ping 不通 PC2

抓包发现:

  • PC1 发出了 ICMP 请求
  • 三层交换机收到了包
  • 但是没发出去,像是被“卡”在 VLANIF 接口了


4. 排查思路

我当时的排查流程:

  1. 检查 VLAN 配置VLAN 10 和 VLAN 20 都有成员接口,没问题。

  2. 检查 VLANIF IP 配置都正确,子网掩码也没错。

  3. 检查路由表

    <Switch> display ip routing-table
    Destination/Mask     NextHop
    192.168.10.0/24      Direct
    192.168.20.0/24      Direct

    路由正常。

  4. 检查 ACL没有限制 ICMP。

  5. 检查三层转发开关问题就在这!设备上三层功能默认是关闭的,需要用:

    [Switch] ip routing

    开启全局路由功能,否则 VLANIF 接口虽然有 IP,但不会做三层转发。


5. 解决过程

执行:

[Switch] ip routing

再测试:

  • PC1 ping PC2 → 成功
  • PC2 ping PC1 → 成功

问题解决,用时 1 小时 3 分钟,其中 1 小时浪费在没想到是 ip routing 没配。


6. 总结教训

  1. 不要假设设备默认行为有的厂商默认三层转发是关闭的,需要显式开启。

  2. VLAN 间路由排障思路VLAN → VLANIF IP → 路由表 → ACL → 三层转发开关。

  3. 小参数大麻烦一个开关没开,可以让你怀疑整条链路的配置。


原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

eNSP实验四:实现VLAN通信实验
You can do more than just get by.
05-11 1万+
两种方法实现不同VLAN通信置Dot1q终结子接口方法实现VLAN互访;VLANIF接口方法实现VLAN互访。
两个vlan如何互通_【建策百科】特别的VLAN互通的实验
weixin_39974932的博客
12-10 5391
一个人的知识,通过学习可以得到;一个人的成长,就必须通过磨练。若是自己没有尽力,就没有资格批评别人不用心。开口抱怨很容易,但是闭嘴努力的人更加值得尊敬。Vlan互通技术是我们学习网络的一个基本技术,如果是一台路由器连接一台二层交换机,为了实现二层交换机下不同vlan的PC机实现互通,需要置普通的单臂路由技术。但是单臂路由会出现可靠性和性能问题,所以后来出现了三层交换机,通过给不同的v...
思科vrf置实例_从原理到置,最全的VLAN说明就在这了!
weixin_39590739的博客
12-05 8320
轻松点击 正确关注有关VLAN的技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了,而且最早的VLNA技术早在1996年Cisco(思科)公司就提出了。随着几年来的发展,VLAN技术得到广泛的支持,在大大小小的企业网络中广泛应用,成为当前最为热门的一种以太局域网技术。本篇就要为大家介绍交换机的一个最常见技术应用--VLAN技术,并针对中、小局域网VLAN...
思科三层交换机不同vlan互通_思科三层交换机实现不同VLAN互相访问
weixin_31845811的博客
12-28 7026
思科三层交换机实现不同VLAN互相访问置案例解决:思科二层交换机不具备三层交换能力,无法在两个VLAN之间提供路由,为了解决这一问题,就必须增加思科路由器或思科三层交换机之类的路由设备。我们这里选择增加一台思科三层交换机来实现(可以实现VLAN路由,同时可提供更多的接口来接入主机)。思科三层交换机VLAN路由置步骤:1、置干道(TRUNK)在接口模式下声明该接口为trunk模式的命令格...
VLAN互访
将勤补拙
12-17 5379
划分VLAN后,由于广播报文只在同VLAN内转发,所以不同VLAN的用户不能二层互访,这样能起到隔离广播的作用。但在实际应用中,不同VLAN的用户又常有互访的需求,此时就需要实现不同VLAN的用户互访,简称VLAN互访。 同VLAN内互访一样,VLAN互访也会经过用户主机的报文转发、交换机内部的以太网交换、设备之间交互时VLAN标签的添加和剥离3个环节。同样,根据以太网交换原理,...
三层交换机的方式实现VLAN通信及外部网络访问
n_u_l_l_的博客
10-10 8548
再此之前介绍三层交换机: 三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。 三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。 三层交换机的对应VLAN的IP相当于其下所连主机的网关,分别设置完IP后可以在路由表中查到这个IP,并且前面的字母为C 表示直连网络。所以能够通信。 如下为例:(192...
VLAN基础&VLAN路由联动OSPF实验
Z3300529971的博客
11-20 7341
VLAN 前言以及技术背景 随着网络中计算机的数量越来越多,传统的以太网网络开始面临广播泛滥以及安全性无法保障等各种问题、 VLAN(Virtual Local Area Network) 即虚拟局域网,是一个将物理局域网在逻辑上划分多个广播域的技术。通过在交换机上VLAN,以实现在同一个VALN内的用户可以进行二层互访,而不同的VLAN的用户被二层隔离。这样既可以隔离广播域,又能提升网络的安全性。 交换机的所有接口属于同一个广播域,往往也是一个逻辑子网; 用户无法根据业务需要灵活的在交换机上进行
华为交换机Vlan访问控制ACL
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
04-26 7296
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 置说明 acl 3001 #rule deny ip source 192.168.X.0 0.0.0.255 destination 192.168.X.0 0.0.0.255 /禁无线用户访问服务器 quit #traffic classifier vlanx /创建流行为 if-match acl 3001 traffic behavior
通过acl限制vlan通信
本人任职于安超云技术架构部,拥有十余年云计算与AI经验。专注AI基础设施、分布式集群、高可用架构、虚拟化、存储、网络及数据库等领域。博客内容以学习笔记为主,力求准确,但个人能力所限,难免疏误。非常欢迎交流指正,期待与您共同探讨技术
12-26 9639
作者:【吴业亮】云计算开发工程师 博客:http://blog.youkuaiyun.com/wylfengyujiancheng 拓扑: 目标: 1、pc1和pc2互信通信 2、pc2和pc3互信通信 3、pc1和pc3无法通信创建aclacl 3000 rule 1 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.30.0 0.0
Windows 网置多VLAN
热门推荐
weixin_40759186的博客
07-05 6万+
目前测试支持的是Intel网微软PROSet驱动安装:下载地址:https://www.intel.cn/content/www/cn/zh/support/articles/000005634/network-and-i-o/wireless-networking.html根据电脑操作系统选择适合的版本进行安装,网属性里有红框项表示安装成功 1.      设置网右键点击有线网,属性—》...
文件服务器跨vlan之间访问,[转载]实现不同的VLAN访问同一个服务器
weixin_42641741的博客
08-06 2967
1台三层交换;连 1台服务器;连2台 2层交换机,每台交换机置了2个vlan (vlan10,vlan20)。不同vlan 相互之间不能通讯,要求所有2层交换机下的客户机能够访问服务器。-----------------------------------------------------------------实现不同的VLAN访问同一个服务器服务器都是192.168.1.XX划分到VLAN...
不同vlan相互访问
CodeNotes
05-08 2981
题目要求: 根据下图所示拓扑结构图,按要求VLAN 2、VLAN 3、VLAN4和各节点IP地址,DNS服务器,Web服务器(www.abc.com),最终要求在PC2的浏览器中输入www.abc.com,出现web server的网页内容。 步骤: 1.基本设置:添加各个元件,并设置每个元件的ip地址以及子网掩码 2.添加vlan:交换机中的 Vlan Configuration中 如下图操作添加 vlan2,vlan3,vlan3 3.将各个元件与交换机的每个端口添加到各个vlan中 此时,相.
实验7 利用三层交换机实现VLAN路由
w1911026171的博客
04-27 3296
在“单臂路由”方式实现VLAN路由时,存在带宽、转发效率等局限性,为应对该问题,还可以采用三层交换机来实现。三层交换机在原有二层交换机的基础上增加了路由功能。其中VLANIF 接口基于网络层,可以置IP地址,借助三层交换机的VLANIF 接口就可以实现路由转发功能。
综合组网实验(eNSP)(vlanvlan通信、nat地址转换、acl、dhcp、ospf……)
!不将就的博客
04-20 1万+
综合实验 一、概述 本次实验模拟学校实验室的网络环境,通过虚拟环境进行组网,通过vlan、路由、访问控制等,实现不同实验室之间通信,并且可以通过ACL控制某一个实验室的网络通信,进行简单的组网分析 二、应用的网络知识 Vlan Vlan通信 静态路由 动态路由 链路聚合 链路备份 Nat地址转换 ACL访问控制 DHCP 三、实验拓扑 四、实验分析 五、实验详细置 1. LSW1的置...
VLAN ——传统VLAN置与VLAN单臂路由
2401_84427508的博客
04-20 2373
此后,可使用vlan vlan-id全局置模式命令创建VLAN.创建VLAN后交换机端口会分给相应的VLAN。在交换机的接口路置模式下,对每个与路由器连接的接口执行 switchport access vlan vlan-id 命令。同时,由于只能在同一VLAN内的端口之间交换数据,不同的VLAN的端口之间不能直接访问,这有助于限制个别主机访问服务器等资源,提高网络的安全性。注意,分给各路由器接口,要实现路由的唯一子网。第三步:置接口:创建VLAN后,需要将交换机的接口与相应的VLAN进行关联。
网络安全漏洞之React 框架分析
anquan2233的博客
12-04 790
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
vue实现页面不断插入内容并且自动滚动功能
最新发布
weixin_50606255的博客
12-04 182
我们在看视频时经常会看到黑客入侵别人电脑会在屏幕上显示一串代码,并且代码不断插入自动滚动,看起来很厉害的样子,现在就在此纪录实现此功能:
TCP,UDP使用socket编程流程
weixin_46855342的博客
12-01 163
UDP socket编程流;
多厂商置对齐器:AI 如何在 Cisco / Huawei / Juniper 做语义映射
oQianYuan的博客
12-03 740
这些模型上的差异,使得简单的“语法级模板替换”永远会失败。“给我一个能阻止外网 SSH 进入财务内网的安全策略,并在所有出口设备上同步生效(Cisco/Huawei/Juniper 各一套)。需特别注意 mask 类型的标准化,AI 内部统一用 CIDR (/24) 或 Wildcard 存储,渲染时再转换。/* 假设 Gi0/0 属于 untrust,内网为 trust */在过去十几年里,不同厂商 CLI 的“语法差异”从来不是最难的问题。AI 在多厂商对齐中的真正价值,是负责把。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值