对于资深读者,这个问题看起来有点傻,不就是前者是间接通信,后者是直接通信的区别吗?
对于初学者,这是一个拦路虎,所以今天再写一篇文章。为了不让文章落入俗套,文章中加入一些新鲜的元素。
有一小公司只有几个员工,所有员工的电脑都在一个网段10.1.1.0/24,连在交换机默认VLAN 1上。
10.1.0.0/24容纳多少个IP地址?
最小为 10.1.0.0,通常保留,主机不能使用,是这个网段的集体象征,类似国家名誉元首。
最大为 10.1.0.255,保留做该网段的广播地址,主机也不能使用。
主机能使用的IP地址:10.1.0.1 – 10.1.0.254,一共254个地址。
为了上互联网,还需要配置一个网关,以帮助该网段的主机访问互联网。
网关要占用一个IP,通常为 10.1.0.1/24。
所以真正留给主机使用的只有253个IP地址,但对于小公司足够了。
使用这253个IP地址的主机,如果想互相通信,只要发送一个ARP广播,获得对方的MAC地址,就可以直接通信了。但是,这需要交换机的配合,否则就是白扯。
VLAN逻辑隔离
如果10.1.0.2/24主机与10.1.0.200/24主机不在一个VLAN,它们之间的ARP消息交互能到达对方吗?
不能!
这就是交换机的VLAN逻辑隔离功能,不在一个VLAN的主机,在交换机VLAN的层面上,是无法穿越VLAN到达对方!
所以,这两个主机一定要在一个相同的VLAN,才可以直接通信,这是交换机对流量的约束。
什么是直接通信?
10.1.0.2/24 与 10.1.0.200/24之间通信,只会经过交换机的二层转发,不会经过网关,这就是直接通信。
流量不经过网关,网关将失去对流量的控制,这样很不灵活!
网关如果想控制这两个IP之间的流量,首先要让他们之间的流量流经网关,对吗!
要让这两台主机意识到对方和自己不在一个网段,不在一个广播域,所以无法通过ARP广播发现对方的MAC地址。
如何实现这个目标呢?
很简单,通过网络掩码来实现。只要将双方的网络掩码增长一位,就可以了。
10.1.0.2/25和10.1.0.200/25在一个网段吗?
不在了,前者的网段是10.1.0.0/25,后者的网段是10.1.0.128/25。
什么是间接通信?
太神奇了,IP还是那个IP,山还是那座山,通过网络掩码的操纵,竟然变成了不同的网段!
这就叫“山不转水转”!
既然不在一个网段了,它们之间的通信需要通过网关的转发,这就是间接通信!
每一个网段,都需要一个网关,也都需要一个IP地址。
10.1.0.2/25的网关 IP = 10.1.0.1/25,连接VLAN 1
10.1.0.200/25的网关IP = 10.1.0.129/25,连接VLAN 2
既然10.1.0.2/25主机要把流量,转发给自己的网关10.1.0.1/25,自然要知道网关的MAC地址,否则无法完成二层的封装。
主机需要和自己的网关在一个VLAN吗?
当然了,否则怎么通过ARP广播发现网关的MAC地址呢!
主机10.1.0.2/25把流量发给网关10.1.0.1/25。
网关10.1.0.1/25剥离二层头,根据目的IP=10.1.0.200,查询路由表,结果匹配到10.1.0.128/25这个网段。
将流量转发到网段10.1.0.128/25去,其实就是转发给网关10.1.0.129/25。网关发送ARP广播查询10.1.0.200的MAC地址。
网关将流量转发给10.1.0.200/25。
如果网关不想让它们通信,只需要转发之前增加一个流水线工序,增加一个Deny ACL,拒绝访问就OK了。
如果网关想让它们自由通信,不配置任何ACL就完事了。
归纳一下
IP地址、网络掩码是控制主机在不在一个网段的利器,用于控制主机。
VLAN是二层交换机逻辑隔离广播域的利器,用于控制交换机。
ACL是路由器控制不同网段之间流量的利器,实现最大程度的灵活性。
转载请注明:七维网络 » 两个vlan互通和划分到同一个vlan有何区别?