在现代网络环境中，VLAN（虚拟局域网）用于逻辑上分隔网络，以提高性能和安全性。即使在没有三层交换机或路由器的情况下，依然可以通过仅仅利用二层交换机和路由器来配置VLAN以实现不同VLAN之间的互访。以下将详细介绍如何完成这一过程。
首先，理解VLAN的基本概念是至关重要的。VLAN允许将物理网络划分成多个逻辑网络，这样不同VLAN之间的通信就能够被控制和管理。每个VLAN都拥有一个唯一的标识符，通常称为VLAN ID。这种划分可以用于不同类型的用户、部门或服务。例如，可以将开发团队、市场团队和运营团队分别放在不同的VLAN中，以实现流量隔离。
为了实现VLAN间的互访，有必要进行适当的配置。二层交换机本身只能在同一VLAN内转发数据包，对不同VLAN的设备无法直接通讯。因此，必须使用路由器进行数据包的转发。一般情况下，交换机和路由器的配合是通过VLAN间路由实现的。可以使用“Router on a Stick”的方法来搭建这样的网络结构，这种方式使得路由器能够在单个物理接口上管理多个VLAN的流量。
在实施“Router on a Stick”架构时，首先需要配置二层交换机的VLAN。这涉及到在交换机上创建不同的VLAN，并将对应的端口分配给这些VLAN。为了在Cisco交换机上实现这一目标，使用命令行界面（CLI）进行VLAN配置。例如，可以使用以下命令来创建VLAN 10和VLAN 20，并将相应的端口添加到这些VLAN中。
``` Switch# configure terminal Switch (config)# vlan 10 Switch (config-vlan)# name Development Switch (config-vlan)# exit Switch (config)# vlan 20 Switch (config-vlan)# name Marketing Switch (config-vlan)# exit Switch (config)# interface range fastethernet 0/1 - 2 Switch (config-if-range)# switchport mode access Switch (config-if-range)# switchport access vlan 10 Switch (config-if-range)# exit Switch (config)# interface range fastethernet 0/3 - 4 Switch (config-if-range)# switchport mode access Switch (config-if-range)# switchport access vlan 20 ```
完成VLAN配置后，接下来的步骤是配置路由器，以使不同VLAN间的设备能够相互通信。为实现该目标，需要在路由器上配置子接口。每个子接口将代表一个VLAN，并使用802.1Q封装协议来处理VLAN标签。此时，可以设定每个子接口的IP地址，确保它们所在的VLAN设备可以通过这些IP地址相互访问。
以下是如何在Cisco路由器上配置子接口的示范命令，针对VLAN 10和VLAN 20进行配置。
``` Router# configure terminal Router (config)# interface gigabitethernet 0/0.10 Router (config-subif)# encapsulation dot1Q 10 Router (config-subif)# ip address 192.168.10.1 255.255.255.0 Router (config-subif)# exit Router (config)# interface gigabitethernet 0/0.20 Router (config-subif)# encapsulation dot1Q 20 Router (config-subif)# ip address 192.168.20.1 255.255.255.0 ```
配置完成后，确保每个VLAN中的设备的IP地址和子网掩码正确设置，以及它们的默认网关指向相应的路由器子接口IP地址。以VLAN 10设备为例，其可以使用192.168.10.2这一地址，其默认网关设置为192.168.10.1。对于VLAN 20的设备，则可使用192.168.20.2作为IP地址，默认网关仍然是192.168.20.1。
配置完成后，可以通过ping命令进行测试，确认VLAN之间的通信是否成功。如果一切正常，用户将可以顺利访问不同VLAN中的设备。例如，从VLAN 10的设备可以ping通VLAN 20中的设备，反之亦