|
单位原本的网络拓扑大概如下:
在上图网络中,SW3及SW1均为支持802.1Q VLAN的交换机。交换机相连的两个端口使用trunk模式,允许打了各个VLAN标签的数据帧从此通过。SW1交换机上配置一个端口为access模式,允许访问财务VLAN 2003。 在R1路由器中,使用隧道(Tunnel)连接到财政局专网中。在局域网内部,给财务用机分配的IP段为192.168.202.112/29。由于不知道财政专网那边是否要求单位财务用机的IP网段必须是他们分配的,所以为了简单起见,不管财务用机放到哪里,我都会在交换机上添加VLAN 2003的ACCESS端口而不改变其IP配置。 近期由于单位办公楼加固,财务室搬到了中心机房下面的办公室。此办公室只有一个“傻瓜”交换机连接到中心机房的SW3,由于此“傻瓜”交换机用于办公室上网,因此此交换机连接到SW3中属于VLAN 105(办公)的端口上。现在的网络拓扑大概如下:
下面从原理的角度给予说明:
1、在链路层为以太网的TCP/IP网络中,网络层对象间的数据传递,最终要交付给以太网层传递。究竟网络层对象要将数据交付给给以太网层哪个对象,这是由IP-MAC映射来确定的。IP-MAC映射的确定,在以太网中是通过ARP协议来完成的。
2、某个网络设备,在提交要传递的网络层数据包时,会根据其上的路由表条目,按照路由算法来寻找下一跳IP,由下一跳IP进而通过IP-MAC映射寻找下一跳MAC,进而把数据包提交给第二层处理。
3、财务用机PC2要访问网络,如果目标网络和自己在一个网络(即在一个网段),那么就发送ARP广播来寻找目标网络IP对应的MAC。如果目标网络不是和自己在一个网络(不同网段),那么数据要被提交给PC2上的网关192.168.202.118(只有默认网关没有别的路由条目的情况下)。PC2将数据提交给网关,需要获得网关IP对应的MAC,而网关MAC的获得,是通过ARP广播实现的。也就是说,PC2发出ARP广播,此广播帧会洪泛到PC1、交换机SW1,到达SW3的f0/1端口,交换机SW3的f0/1端口获得此广播帧后,SW3会将此广播帧洪泛到和f0/1端口在一个VLAN的所有端口,但广播帧不会被传递到SW3上的VLAN
2003内,因为他们不属于一个VLAN,这正是交换机中划分VLAN的作用:隔离广播帧,减小广播帧的区域。
4、经过上述过程后,PC2仍不能获得网关192.168.202.118所对应的MAC。通信失败。
5、从上述分析中我们可以看出,要想让PC2的数据提交成功,在PC2发出ARP广播寻找192.168.202.118对应的MAC时,SW3应当应答自己的MAC给PC2。但是交换机不会,因此我们需要在PC2上手工添加此IP-MAC映射:arp
-s 192.168.202.118 SW3的MAC。
6、手工添加IP-MAC映射后,PC2的数据将可以传递到SW3,进而被R1传递出去。
7、然后是回程数据,即交换机SW3要转发给PC2数据。SW3要转发给PC2的数据包的目的地址是192.168.202.117,SW3发现是自己VLAN
2003网段的IP,因此SW3就在属于VLAN 2003的所有端口中发送ARP广播,请求获得192.168.202.117对应的MAC。由于此广播只在VLAN
2003端口中进行,因此此广播不会被传递到SW3的f0/1端口,也不会被传递到交换机SW1,更不会到达PC2。因此SW3不能获得192.168.202.117对应的MAC,通信失败。此时,我们需要在交换机SW3上手工添加到PC2的IP-MAC映射:arp
192.168.202.117 PC2的MAC。
8、至此双向通信完成。
另外还可以使用如下多种方式来实现不同网段同一VLAN的通信:
另外,如果财务用机不是一定要使用192.168.202.117/29网段地址,那么可以给财务用机分配内部任意网段的IP,然后在路由器的tunnel端口做源IP地址的NAT,保证财务用机出去到专网的IP为指定网段IP即可。如下图示:
从上面的方案中可以看出,方案一、方案二和方案五最简单有效。 |
|
|
