交换机下面接两个路由 A 和 B(分别有公网 ip)，他们下面又分别有设备 A*和 B*， A*通过 B 的 VPN 与 B*通信。此时数据是只通过交换机，不走外网么？

两个路由同段么

你说这情况默认二层交换机，那就要走外网，从 A 走到给 A 和 B 分配公网 IP 的上一级电信运营商设备那里应该就去 B 了。

实际情况 tracert 看一下。

@yyzh 公网 ip 同网段

@RiverMud 怎么用命令行看啊？

想了一下，你说的这个网络结构，有没有 VPN 结果应该都是一样的。

1.在 A*设备上不连 VPN ，tracert B 的公网 IP 地址；
2.在 A*设备上连上 VPN ，tracert B*的内网 IP 地址。

看下路径。

mtr ip 看看

一般来说设备需要通过子网掩码判断对方和自己是不是同一网段。如果目标 IP 和本地 IP 与子网掩码与运算后一致，则直接 ARP 取回 MAC ，交换机直发；如果不一致，则丢给默认网关。

但好像从没看过公网 IP 会伴随分配一个子网掩码？

路由 WAN 上面加一个静态路由应该就行了，让对方的 IP 变成 onlink ，不发给网关，而是本地找人。

@gpt5 公网同网段，vpn 流量就只在交换机

关键是 AB 是不是同网段，掩码是否相同，如果是 255.255.255.255 （典型的家宽得到的公网 IP 掩码），那就不是同一网段了。
如果 AB 两个公网 IP 都是 255.255.255.0 ，那其上的交换机会直接从 A 的物理端口交换到 B 的物理端口，不再往上级路由走。
当然还是基于 A*呼叫 B 的 VPN 地址是 B 的公网地址。

还有一种方法 ，路由层面规划静态路由，互相的子网地址写在对方的路由表里，同时 AB 的 WAN 设定一个在交换机上的 IP ，然后 192.168.B.* VIA 192.168.B.WAN dev ethA-WAN