问题1：在多交换机LAN环境中，若仅在一端交换机创建VLAN，是否所有交换机都需配置才能实现该VLAN的跨设备传递？ #

答案是肯定的，具体得看交换机间的链路模式：

• 如果交换机之间用的是access链路（默认模式，仅允许单个VLAN流量通过）：未配置该VLAN的交换机无法识别对应VLAN帧，会直接丢弃，跨设备传递完全无法实现。
• 如果交换机之间用的是trunk链路（允许多个VLAN流量通过）：就算只在一端创建了VLAN，其他交换机也至少需要完成两个基础配置才能正常传递流量：
  1. 在trunk端口上手动允许该VLAN的流量通过（部分交换机默认允许所有VLAN，但为了安全和规范，建议手动指定）；
  2. 若无需该VLAN与其他网段通信，可不配置SVI（交换虚拟接口），但仅需传递帧的话，必须保证trunk端口允许该VLAN通过，否则帧仍会被过滤。

简单总结：要实现VLAN跨设备传递，所有涉及的交换机都需要针对该VLAN做基础配置——要么将互联端口设为trunk并允许该VLAN，要么（不推荐）将互联端口划入该VLAN（会占用整条链路，仅能传递该VLAN流量）。

问题2：菊花链拓扑下中间交换机是否需要配置？ #

结论很明确：必须配置中间的5口交换机，否则你的需求无法实现。

你的拓扑是：Draytek路由器 -> Netgear 5口智能交换机 -> Netgear 5口智能交换机 -> Netgear 16口智能交换机，需求是让16口交换机上的目标VLAN：

1. 与本地网络其他设备完全隔离；
2. 能通过路由器的VPN路由至其他站点。

中间的两台5口交换机需要完成以下配置：

• 将它们之间的互联端口，以及与路由器、16口交换机连接的端口，全部配置为trunk模式，并精准控制允许通过的VLAN：
  • 仅允许目标VLAN和本地默认VLAN（若存在）的流量通过；
  • 为了强化本地隔离效果，trunk端口不要允许目标VLAN与其他本地VLAN互通（配合路由器ACL会更稳妥）。
• 无需在中间交换机上创建目标VLAN的SVI，因为它们仅负责二层帧转发，三层路由（包括VPN路由）由路由器负责。

为什么必须配置？如果中间交换机的互联端口保持默认的access模式，它们只会转发默认VLAN的帧，目标VLAN的帧会被直接丢弃，根本无法到达路由器，VPN路由自然无法实现；若不配置trunk并允许目标VLAN，就算16口交换机发出了对应帧，中间交换机也无法识别和转发。

额外建议：为了确保目标VLAN与本地设备彻底隔离，可在路由器上配置ACL（访问控制列表），禁止该VLAN的IP段与本地其他IP段通信，仅允许其通过VPN隧道访问远端站点，这样隔离效果更可靠。

内容的提问来源于stack exchange，提问作者sam