传统三层架构 
查看本文前,请务必看完华为对VLAN的详细解释:
https://info.support.huawei.com/info-finder/encyclopedia/zh/VLAN.html
一、同一网段,不同VLAN通讯
下图两台PC是否可以通讯?
SW1所有接口都为access VLAN10,SW2所有接口都为access VLAN20.
答案是可以的。
为什么?
通常我们认为,VLAN就是用来划分子网的,而交换机互联就必须用trunk接口。
首先,VLAN并非用来划分子网用的,VLAN仅仅是用来划分二层网络,同一个VLAN可以划分多个子网,同一个子网也可以划分多个VLAN。
其次,交换机的内部只处理Tag帧,当PC的无Tag帧包进入access接口,交换机为其打上VLAN Tag,当从access接口出来后,access接口为其撕去Tag帧。
所以,上图通讯过程为,PC1 ping PC2,PC1发广播包查找PC2,进入交换机1 access接口,添加VLAN10 Tag,交换机1向所有允许VLAN10通过的接口发送广播包,包从交换机1右侧access接口发出,被撕去标签。
撕去标签后,进入交换机2 access接口,添加VLAN20 Tag,交换机2向所有允许VLAN20通过的接口发送广播包,包从交换机2右侧access接口发出,被撕去标签,到达PC2.
包返回相同。
二、二层设备与路由器连接
下图PC能否与路由器通讯?
答案是可以的
为什么?
通常我们认为,二层设备不能与路由器直接连接,必须使用三层交换机开启路由接口或配置子接口。
但与上方实验相同,当使用access接口与路由器互联时,此接口会把对应VLAN的Tag标签撕去,直达路由器,通讯完全没问题。
三、二三层混合网关
下图PC1能否与PC2通讯?
如图
通常我们认为,要么网关全部在核心交换机上,要么网关就只能在汇聚上。
但使用VLAN技术,我们完全可以进行混合配置,比如VLAN10的网关在SW1上,而VLAN20的网关在RT1上。
四、防火墙DMZ区域与DMZ交换机、核心交换机连接
下图PC1怎样与PC2通讯?
如图
为什么?
通常我们认为,防火墙DMZ区域需要独立部署,从物理上DMZ区域不能接入核心交换机。
但实际上我们可以通过VLAN技术在核心上从二层进行隔离,此时PC2流量全部经由DMZ接口转发。
五、虚拟化软件分布式交换机
下图VM1怎样与VM2通讯?
如图
从第四个实验我们得知防火墙区域并不需要从核心隔离出去,因此本实验我们结合vSphere软件分布式交换机技术,可以实现在同一套虚拟化系统中进行DMZ区域划分,在网络上完全与内网隔离。
六、总结
VLAN,太强了!
评论