浅析不同VLAN相同网段主机二层互通情况.docVIP

浅析不同VLAN相同网段主机二层互通情况 　　【摘 要】一般情况下不同VLAN的报文在传输时是相互隔离的，如果不同VLAN的主机之间要通信，则需要通过路由器或三层交换机等三层设备。但是某些情况下，二层相同网段不同VLAN的主机也可以互通。 　　【关键词】VLAN 二层 网段 连通性 　　VLAN（Virtual Local Area Network）也就是虚拟局域网。在当前几乎所有的交换机都支持的功能。划分VLAN可以限制网络上的广播数据包，减少广播的产生，降低广播流量，用户可得到更多的带宽。可降低广播风暴的发生，还可以防止广播风暴波及整个网络。 　　VLAN的划分可以增强局域网的安全性，不同VLAN的主机不能随意连通，从而降低泄露机密信息的可能性。一般情况下不同VLAN的报文在传输时是相互隔离的，如果不同VLAN的主机之间要通信，则需要通过路由器或三层交换机等三层设备。 　　但是某些情况下，二层相同网段不同VLAN的主机也可以互通。 　　一、使用hybrid端口 　　Hybrid端口能让主机同时属于多个VLAN，从而实现相同网段不同VLAN的主机不用路由也可以连通。例如下图中的三个不同的VLAN使用同一个网段的IP地址，通过对端口的设置可以让这些主机互通。由于不是所有品牌的交换机都支持hybrid端口，此处以华为的交换机为例。 　　在下面的例子中，三台主机分别属于VLAN1、VLAN 2和VLAN 3通过端口设置，PC1与PC2、PC3互通，PC2与PC3不通。 　　配置如下： 　　[Switch]vlan 1 　　[Switch-vlan1]port Ethernet 0/1 　　[Switch]vlan 2 　　[Switch-vlan2]port Ethernet 0/2 　　[Switch]vlan 3 　　[Switch-vlan1]port Ethernet 0/3 　　[Switch]interface Ethernet 0/1 　　[Switch-Ethernet0/1]port link-type hybrid 　　[Switch-Ethernet0/1]port hybrid vlan 2 3 untagged 　　[Switch-Ethernet0/1]quit 　　[Switch]interface Ethernet 0/2 　　[Switch-Ethernet0/2]port link-type hybrid 　　[Switch-Ethernet0/2]port hybrid vlan 1 untagged 　　[Switch-Ethernet0/2]quit 　　[Switch]interface Ethernet 0/3 　　[Switch-Ethernet0/3]port link-type hybrid 　　[Switch-Ethernet0/3]port hybrid vlan 1 untagged 　　连通性分析： 　　当PC1发数据给PC2时，在端口E 0/1加上VLAN 1的tag，在交换机中这个数据帧将被转发到允许VLAN 1数据帧通过的端口上，包括access VLAN1的端口和hybrid VLAN 1 untagged端口，端口E 0/2的PVID为VLAN 2而且VLAN 1 untagged，因此端口E 0/2允许VLAN 1和VLAN 2的数据帧通过，发送这两个VLAN的数据帧时会去掉帧的tag成为普通帧发送给PC2； 　　PC2发数据给PC1时，由于端口E 0/1模式为hybrid VLAN2 untagged，可以将VLAN2的数据巾帧去掉帧的tag成为普通帧发送给PC1；由于PC1与PC2的IP地址在同一个网段，这两台主机可以互通。 　　同理PC1与PC3可以互通。 　　由于端口E 0/2没有VLAN 3 untagged，端口E 0/3也没有VLAN2 untagged，PC2与PC3虽然IP地址在同一个网段也无法互通。 　　二、级联时通过不同VLAN的端口连接 　　在划分了VLAN的交换机级联进，正常情况下会将级联的端口设为TRUNK模式，或者将两台交换机上相同VLAN中的端口相连。如果将两台交换机上不同VLAN中的端口相连，再将两个VLAN中主机的IP设置在同一个网段，则两个两个VLAN中主机可以互通。 　　在下面的例子中，Switch1与Switch2上划分有VLAN1、VLAN2和VLAN 3，划分情况如图所示，Switch1上不作设置，完全默认。Switch2上划分VLAN2和VLAN 3，其上的端口F0/1与F0/2属于VLAN2，端口F0/3属于VLAN 3。则PC1与PC2可以互通，PC1与PC3无法互通。这种情况是不论品牌的，此处以思科交换机