局域网VLAN为何会串段？Trunk怎么对齐？

局域网里的VLAN问题常被误认为是“配置没下全”，其实更常见的是干道两端对边界的理解不同。真正危险的不只是互相不通，而是看起来偶尔能通、故障却跨段漂移。

本征VLAN失配最容易制造这种半隐蔽故障。基于标签的干道上的无标签报文必须被某一端归入默认VLAN，如果交换机A把无标签流量当成VLAN十，而交换机B把同一类报文放进VLAN二十，地址租约、语音注册甚至生成树报文都可能落到错误广播域。问题不只是用户拿错地址，更麻烦的是控制报文会在错误实例里学习拓扑，导致某些端口看似连通，跨楼层漫游或语音VLAN却周期性掉线。很多现场一端显式设置为给本征VLAN打标签，另一端却沿用默认不打标签习惯，于是问题只在跨设备边界上出现，单机自测完全看不出来。工程上最稳妥的做法不是“记住默认值”，而是把本征VLAN改成专用空置VLAN，业务VLAN全部显式打标签。

允许VLAN列表裁剪遗漏会把另一个方向的故障放大出来。新增业务时，接入口、网关三层接口和地址服务器都配好了，但中间某段干道忘记放行对应VLAN，结果同楼层用户互通，跨汇聚或上网却失败。更难排的是旧VLAN未被及时裁剪，测试网络或电机VLAN被意外透传到不该到达的弱隔离区域，形成“串段”而不是彻底中断。其机制是干道口对VLAN集合的交集计算不同，控制报文可能还在，数据报文却只在部分路径上存在，于是排障时看到地址能学到、网关也在线，业务仍然断续。运维若只测到网关的连通性，很容易漏掉横向访问和跨汇聚访问的异常。正确做法是把允许列表纳入模板和变更单，新增VLAN必须沿整条链路核对，删除VLAN也要同步回收，而不是让干道长期保持全放行。

VLAN边界问题怕的不是单点配错，而是双端默认值各自“合理”。把本征VLAN、允许列表和端口角色都写成显式配置，局域网的隔离才不会靠运气成立。