如果要在两个 VLAN 之间进行通信，则需要一个路由器（第 3 层设备）。

请记住，第 2 层地址（MAC 地址）仅对 VLAN 是本地的。要与另一个 VLAN 通信，您需要第 3 层 (IP) 地址。路由器可以根据第 3 层地址转发流量。开关不能。

a) 同一 VLAN 中的两台主机应该能够相互通信 - 当涉及多个交换机时，这需要正确设置它们之间的链路（= VLAN 中继）。需要路由两个 VLAN 之间的通信（使用专用路由器或第 3 层交换机）。这假设有问题的主机属于同一 IP 子网。无论 VLAN 成员身份如何，不同的子网都需要在其间进行路由。

b) 这需要在路由器上设置。根据其功能，这可以通过防火墙式策略（“允许从 VLAN 4 到 VLAN 1、2、3 的流量”）或通过 ACL 规则（使用第 3 层交换机）来完成。请注意，ACL 规则是无状态的，因此根据它们的应用位置，您可能需要允许双向流量。

除非在 setup 中部署路由器，否则您无法完成此要求。因为默认情况下，相同的 Vlan 主机可以在没有任何路由的情况下相互通信。

但是为了保证不同Vlans之间的通信，需要路由来启用layer3设备的路由是强制性的。需要通过创建子接口在路由器上配置 VLAN 间路由，或者如果您选择的设备是第 3 层交换机，则可以配置 SVI 启用“IP 路由”