大公司网络:不同网段能互通吗?怎么配?

先回答两个最常被问的问题,然后用一张企业三层拓扑图把"VLAN—网关—路由—防火墙"这条链路画清楚。

问题 1 · 不同网段之间能不能互通?

✅ 能 —— 但默认 不通。必须经过三层设备(路由器 / 三层交换机 / 防火墙)转发。

问题 2 · 它们必须在同一个子网吗?

❌ 完全不需要。"不同网段 = 不同子网",企业网就是故意切成很多子网,再靠路由把它们连起来。

一句话原理

同一子网内 → 主机用 ARP + 二层交换机 直接互发帧;
跨子网 → 主机把包丢给 默认网关(一般是三层交换机的 SVI 或路由器的子接口),由网关查路由表转发到下一跳,最后再交付到目标子网。

所以"跨网段互通"本质就三件事:
① 每个子网都有一个网关 IP ② 中间设备有去对端子网的路由 ③ 沿路 ACL / 防火墙策略放行

企业典型三层拓扑(核心 / 汇聚 / 接入 + 防火墙)

企业三层架构 · 跨网段流量走向 PC1 (VLAN10) → 网关 SVI → 三层核心查路由 → 防火墙策略 → 服务器 / 互联网 Internet 边界防火墙 / NGFW NAT · 安全策略 · IPS Untrust ↔ Trust ↔ DMZ DMZ · VLAN 50 192.168.50.0/24 核心 · 三层交换机 SVI = 各 VLAN 的网关 VLAN 间路由 · 路由表 · ACL 汇聚交换机 A Trunk (VLAN 10,20) 汇聚交换机 B Trunk (VLAN 30,99) VLAN 10 · 办公区 10.10.10.0/24 GW 10.10.10.1 (SVI) PC1 · PC2 · 打印机 VLAN 20 · 财务区 10.10.20.0/24 GW 10.10.20.1 (SVI) PC × N(独立 ACL) VLAN 30 · 服务器区 10.10.30.0/24 GW 10.10.30.1 (SVI) DB · 应用 · 内部 API VLAN 99 · 管理 10.10.99.0/24 GW 10.10.99.1 (SVI) 设备管理 · 跳板机 跨网段流量:PC1(VLAN10) → SVI 10.10.10.1 → 核心查路由 → SVI 10.10.30.1 → DB Server(VLAN30)
VLAN 10 办公 VLAN 20 财务 VLAN 30 服务器 VLAN 99 管理 DMZ 防火墙

为什么"不同网段必然存在"?

📐 IP 地址不够 / 广播域要小

一栋楼 5000 台设备塞进一个 /24 ❌ 装不下;塞进一个 /16 ✅ 装下了,但广播风暴会把整网卡死。
切成 N 个 /24 子网 → 每个 VLAN 一个广播域。

🛡️ 安全隔离 / 合规

财务、研发、生产服务器、访客 Wi‑Fi、IoT 摄像头 —— 这些都不应该在同一个广播域里。等保 / SOC2 / PCI‑DSS 都要求分段。

🌐 故障隔离

某个 VLAN 中毒/环路,只会熏死自己那一段;核心三层照常跑,其他 VLAN 不受影响。

📊 策略与计费

访客网段 → 限速 + 不通内网;服务器区 → 不允许出公网;财务 → 走专线。
策略以"子网"为最小单位下发。

跨网段互通的 4 种实现方式

方式设备典型场景性能
三层交换机 + SVI
企业首选		 L3 Switch 园区内 VLAN 间路由 线速转发 (硬件 ASIC)
Router‑on‑a‑Stick 路由器 + Trunk 小公司 / 实验室 受限于路由器端口带宽
防火墙做网关
逐包检测		 NGFW 不同安全域之间(如内网 ↔ DMZ) 慢一点但有 L7 策略
纯路由器 Router 跨楼 / 跨地域 / WAN 出口 看型号

实战配置:VLAN 10 与 VLAN 30 互通(Cisco 风格)

① 创建 VLAN 并配置 SVI(三层交换机)

! 创建 VLAN
vlan 10
 name OFFICE
vlan 30
 name SERVERS

! 为每个 VLAN 配置一个三层接口 (SVI) ——
! 这个 IP 就是该网段所有主机的"默认网关"
interface Vlan10
 ip address 10.10.10.1 255.255.255.0
 no shutdown

interface Vlan30
 ip address 10.10.30.1 255.255.255.0
 no shutdown

! 开启全局路由(很多型号默认是关的)
ip routing

关键点:两个 SVI 都"直连"在同一台三层交换机上 → 路由表里自动产生 10.10.10.0/24 directly connected Vlan1010.10.30.0/24 directly connected Vlan30,VLAN 10 和 VLAN 30 就已经能互 ping 通了

② 接入交换机:把端口划到 VLAN,上联做 Trunk

! 接入交换机 Access SW
interface GigabitEthernet0/1     ! PC 接入口
 switchport mode access
 switchport access vlan 10

interface GigabitEthernet0/24    ! 上联到核心
 switchport mode trunk
 switchport trunk allowed vlan 10,20,99

③ PC 端:网关指向 SVI

PC1 (VLAN10):
  IP        10.10.10.50
  Mask      255.255.255.0
  Gateway   10.10.10.1   ← 就是三层交换机上的 SVI

④ 想限制谁能访问谁?加 ACL

! 允许办公区访问服务器的 HTTPS / SSH,其他全拒
ip access-list extended OFFICE_TO_SERVERS
 permit tcp 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255 eq 443
 permit tcp 10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255 eq 22
 deny   ip  10.10.10.0 0.0.0.255 10.10.30.0 0.0.0.255
 permit ip  any any

interface Vlan10
 ip access-group OFFICE_TO_SERVERS in

"能不能互通" = 路由是否存在;"该不该互通" = ACL / 防火墙策略说了算。这两件事在企业网里是分开的。

跨园区 / 跨城市:再叠一层

多个园区都按上面的结构搭好之后,互通就交给:

常见误区 ❌

误区真相
"要互通就必须在同一个子网" 恰好相反。同子网根本不需要路由;正因为不同子网,才用路由器/三层交换机把它们连起来。
"配了 VLAN 自动就能互通" VLAN 只切广播域,默认不通。必须有 SVI 或外部路由器做 L3 转发。
"两台主机在同一台交换机上就一定能 ping 通" 不一定 —— 如果它们在不同 VLAN 且没配 SVI,照样不通。
"防火墙后面的服务器一定访问不到" 能不能访问取决于策略(Trust ↔ DMZ 的 policy + NAT),路由层面早就通了。
一句话总结 —— 大公司网络是故意切成几十上百个网段的,互通靠三层设备(核心交换机/路由器/防火墙)转发,根本不需要也不应该在同一子网。
Hermes Agent · 企业网络拓扑速查 · 2026‑06‑24