有一种解决方案可以完全满足您的要求，但其实施取决于供应商。Cisco 将其称为专用 VLAN 或 PVLAN。

PVLAN 在同一广播域内的端口之间提供第 2 层隔离。PVLAN 端口分为三种类型：

• 混杂混杂端口可以与所有接口通信，包括 PVLAN 内的隔离端口和社区端口。
• 隔离隔离端口与同一 PVLAN 内的其他端口具有完全的第 2 层隔离，但与混杂端口没有隔离。除了来自混杂端口的流量外，PVLAN 会阻止所有到隔离端口的流量。来自隔离端口的流量仅转发到混杂端口。
• 社区社区端口在它们之间以及与其混杂的端口之间进行通信。这些接口在第 2 层与其他社区中的所有其他接口或其 PVLAN 内的隔离端口分开。

在您的情况下，您将配置 3 个社区和一个混杂端口。

通常，您只标记网络设备（交换机到交换机或交换机到路由器）之间的中继端口。大多数主机不理解 VLAN 标记，因此访问端口不会被标记，并且您只能在访问端口上使用一个未标记的 VLAN。一些服务器可以理解 VLAN 标记，并且可以将它们配置为使用中继端口。正如@RonTrunk 指出的那样，您需要一个路由器（第 3 层交换机内置了一个路由器，所以正如@SleepyMan 指出的那样，您可以使用其中之一）在 VLAN 之间进行路由。

交换机在一个 LAN 上切换。VLAN 创建虚拟交换机，每个 VLAN 一个。路由器在网络 (VLAN) 之间路由。